Ext. HDD als Backupziel autom. ein-/ausbinden

[Superior1337]

Hi,

habe eine Frage zum Vorgehen bei Backups im kleinen Unternehmen, 1x Win Server und 8x Win Clients.

Bisher wird über Acronis Backup 12.5 der Server 1x die Stunde voll gebackuped und alle 10 Minuten inkrementell.
Die Clients über Netzwerk 1x am Tag voll und jede Stunde inkrementell.

Alles wird auf einer externen HDD per USB am Server hängend gespeichert.

Nun ist es ja wohl so, dass im Falle eines Ransomwarevorfalls evtl. auch alle Laufwerke im Netzwerk verschlüsselt werden. Dann ja ggf. auch die ext. HDD mit den Backups, wodurch diese in dem Fall nichts mehr bringen würden.

Aufgrund ganz schlechten Internets ist keine externe Cloudspeicherung möglich.

Nun frag ich mich, wie man das am besten lösen kann, dass die Backups immer geschrieben werden können, aber vor Verschlüsselung geschützt sind.

Meine Idee wäre, zwei externe HDDs als Backupziel abwechselnd automatisch zu mounten. Sollte ja mit Aufgabenplanung und mountvol Batchbefehl gehen oder? Und falls ja, ist dann die ungemountete HDD geschützt vor der Verschlüsselung? Oder würde die trotzdem erreichbar sein für die Ransomware? Oder würde die gar selbst die Platte vorher mounten und dann verschlüsseln?

Kann die USB-Platten halt nicht jeden Tag per Hand umstecken.

Was hätte ich ansonsten für sichere und schnelle Alternativen?

Danke Vorweg, VG

 

[Picard87]

1x die Stunde voll gebackuped und alle 10 Minuten inkrementell.
Die Clients über Netzwerk 1x am Tag voll und jede Stunde inkrementell.

Den Sinn davon lasse ich mir gerne erklären... Und das alles auf eine externe HDD?! Und machen die 8 Clients alle gleichzeitig das Backup?

Eine Grundregel von Backups ist, dass das Sicherungsmedium nicht dauerhaft verbunden sein darf, eben weil dann die von dir beschriebenen Gefahren lauern.
Cloudspeicherung ist auch kein Backup und du handelst dir ganz andere Probleme ein.

Eine nicht gemountete Platte ist für das System zwar erkennbar, aber nicht schreib- oder lesbar.

 

[BFF]

Warum soll es einem Cryptotrojaner nicht moeglich sein eine externe HDD zu mounten?

Abgesehen davon. Das erscheint mir etwas "sinnfrei".

Bisher wird über Acronis Backup 12.5 der Server 1x die Stunde voll gebackuped und alle 10 Minuten inkrementell.
Die Clients über Netzwerk 1x am Tag voll und jede Stunde inkrementell.

 

[Superior1337]

Der Sinn davon ist, da dort kein RAID vorhanden ist, möglichst jede Änderung nicht zu verlieren. Oder eben maximal ein paar Minuten.

Hat aber erstmal mit der Erreichbarkeit des Backupziels nichts zu tun. Wie löst man das am besten?

 

[Picard87]

Nochmal: jedes Medium, das nicht physisch getrennt ist, kann potentiell gemountet und gelesen/ beschrieben werden. Darum wirst du nicht herum kommen.
und btw: ein RAID ist KEIN Backup.
Hier wirst du eher mit Schreib-/Leserechten der einzelnen Nutzer auf bestimmte Verzeichnisse arbeiten müssen. Ansonsten ist es fast unmöglich, einen Ransomware Zugriff auf das Netzwerk zu verhindern.
Ich würde einen Schritt vorher ansetzen und alle System aktuell halten, Mitarbeiter sensibilisieren, Dinge wie Makros deaktiveren etc.

 

[Oelepoeto]

Evt. auf ein NAS mit Zeitplan umsteigen?

 

[Superior1337]

Nochmal: jedes Medium, das nicht physisch getrennt ist, kann potentiell gemountet und gelesen/ beschrieben werden. Darum wirst du nicht herum kommen.
und btw: ein RAID ist KEIN Backup.

Das habe ich verstanden und ich habe nirgends RAID und Backup gleichgesetzt. Aber da wir kein RAID haben und mal die Platte ausfallen kann, muss dann das Backup wenigstens möglich jung sein.

Das hat aber nichts mit meiner Frage zu tun, warum es zu welchen Zeitpunkten gemacht wird ist nicht Teil der Frage. Die Frage war, ob man das Backupziel nicht getimed aktivieren kann, ohne dass die Ransomware es auch kann. Z.B. sowas wie eine Hardware Zeitschaltuhr die man vor die Platte hängt.

Oder eben welche Alternativen man noch hat die man besser absichern kann? NAS?

Ergänzung (11. Dezember 2021)

Evt. auf ein NAS mit Zeitplan umsteigen?

Kann das denn dann im selben Netzwerk nicht auch verschlüsselt werden? Habe privat eine Diskstation die als Netzlaufwerk letztlich eingebunden ist. Würde ich das in der Firma auch so machen, wäre aber das Netzlaufwerk auch leicht erreichbar und die Dateien verschlüsselbar?

 

[Rickmer]

Am nächsten dran an etwas 'unantastbares' ohne die Verfügbarkeit zu kompromittieren kommst du noch mit sowas: https://helpcenter.veeam.com/docs/backup/vsphere/hardened_repository.html?ver=110

Mit den paar Systemen sollte es auch die Community Edition von Veeam tun. Diese hat auch vollen Support für das hardened Repository.

Dafür müsste allerdings jemand den Umgang mit Veeam Backup & Replication lernen - kein Triviales Unterfangen, wenn man es richtig machen will.

 

[cscmptrbs]

Eine 3.5" HDD mit externer Stromversorgung benutzen, dazu eine schaltbare, also Wlan oder USB, Steckdose die per Batch/Script geschaltet werden kann. Mit einer 4-Fach-Steckdose wäre dann auch ein Laufwerkwechsel möglich.
Dann Acronis den Batch On / OFF vor dem Sichern und nach dem Sichern ausführen lassen.

 

[Picard87]

Kann das denn dann im selben Netzwerk nicht auch verschlüsselt werden?

kann es. Ein NAS o.ä. löst das Zugriffsproblem nicht. Wenn die Clients ständigen Zugriff auf den Server und alle seine Verzeichnisse haben soll und das Backup-Medium dauerhaft physisch mit dem Server bzw. dem Netzwerk verbunden ist, wirst du hier keinen von dir gewünschten "sicheren" Betreib hinbekommen.

 

[Superior1337]

Eine 3.5" HDD mit externer Stromversorgung benutzen, dazu eine schaltbare, also Wlan oder USB, Steckdose die per Batch/Script geschaltet werden kann. Mit einer 4-Fach-Steckdose wäre dann auch ein Laufwerkwechsel möglich.
Dann Acronis den Batch On / OFF vor dem Sichern und nach dem Sichern ausführen lassen.

Die Idee find ich bisher am besten, allerdings haben wir nur externe SSDs Samsung T5. Die haben ja keine extra Stromversorgung. Ich sag ja, eine USB-Zeitschaltuhr wäre echt mal eine sinnvolle Erfindung. Oder für Netzwerkkabel, das ginge ja vllt. eher?

 

[Picard87]

Am nächsten dran an etwas 'unantastbares' ohne die Verfügbarkeit zu kompromittieren kommst du noch mit sowas: https://helpcenter.veeam.com/docs/backup/vsphere/hardened_repository.html?ver=110

Damit habe ich mich auch mal in einem anderen Zusammenhang beschäftigt. Könnte gehen. Ist allerdings, wie angemerkt, alles andere als trivial und man läuft Gefahr, sich beim Schutzversuch vor Ransomware mehr neue Probleme zu schaffen...

 

[Superior1337]

Die Idee find ich bisher am besten, allerdings haben wir nur externe SSDs Samsung T5. Die haben ja keine extra Stromversorgung. Ich sag ja, eine USB-Zeitschaltuhr wäre echt mal eine sinnvolle Erfindung. Oder für Netzwerkkabel, das ginge ja vllt. eher?

Könnte ich vielleicht ein USB-Hub mit externer Stromversorgung nehmen, da die externe SSD dranhängen (nur USB) und dann die externer Stromversorgung vom Hub via Wifisteckdose oder altmodische Zeitschaltuhr planen? Oder lässt das Hub die SSD auch ohne Strom durch?

 

[Picard87]

Also die Idee mit der geschalteten Steckdose etc. mag ja ihren Charme in der Theorie haben, aber nochmal fürs Protokoll: dir sind die Daten so wichtig, dass stündlich oder gar alle 10 (!) Minuten gesichert wird und dann willst du dein Backup basierend auf einer Baumarkt-Zeitschaltuhr oder einer 10€ China Wifi Steckdose aufbauen...?!

 

[Superior1337]

Also die Idee mit der geschalteten Steckdose etc. mag ja ihren Charme in der Theorie haben, aber nochmal fürs Protokoll: dir sind die Daten so wichtig, dass stündlich oder gar alle 10 (!) Minuten gesichert wird und dann willst du dein Backup basierend auf einer Baumarkt-Zeitschaltuhr oder einer 10€ China Wifi Steckdose aufbauen...?!

Würde auch 15€ ausgeben!

Nee, also hab nur bisher keine wirklich gute Lösung.

 

[cscmptrbs]

Die meisten Hubs mit Netzteil funktionieren leider auch ohne Netzteil weil dann einfach der USB Strom durchgeleitet wird.

Hab mal Acronis-Sicherung auf einem NAS so eingerichtet das sich Acronis mit eigenem Benutzennamen und Passwort auf dem NAS anmelden musste.

Ob das dann gegen Verschlüsselungstrojaner hilft weiß ich aber nicht.

Wenn der Verschlüsselungstrojaner aber gerade aktiv ist wenn das Backup läuft nützt das alles nichts.

 

[Rickmer]

Wenn eine Ransomware aktiv ist wird die deine Sicherungsplatte mit wipen sobald die online kommt...


Meiner Meinung nach ist die effektiveste kostengünstige Trennung ein NAS zu machen und dort eine versteckte Freigabe zu erstellen mit eigenen Credentials.
Diese werden dann einzig der Backup-Software gegeben - in der Hoffnung, dass diese die Credentials halbwegs sicher speichert und das Share nicht irgendwie über Windows mountet.

Aber auch das hilft nicht gegen eine richtig gut geschriebene Ransomware, die nach genau so etwas suchen kann oder Kriminelle, die aktiv aufgeschaltet sind.
Beispiel: https://forums.veeam.com/veeam-backup-replication-f2/saved-passwords-in-veeam-vulnerable-t64964.html


Daher das Veeam Hardened Repository - dort wird die mögliche Angriffsfläche soweit wie irgendwie möglich minimiert um ein Aushebeln der Maßnahmen gegen Modifizierung oder Löschung von Backups so schwierig wie machbar zu machen.

 

[Raijin]

Das habe ich verstanden und ich habe nirgends RAID und Backup gleichgesetzt. Aber da wir kein RAID haben und mal die Platte ausfallen kann, muss dann das Backup wenigstens möglich jung sein.

Du setzt das aber schon in gewisser Weise gleich. RAID dient der Verfügbarkeit und der Ausfallsicherheit, während Backups vor Datenverlust schützen. In der jetzigen Form nutzt du aber extrem häufige Backups im Sinne der Verfügbarkeit und Ausfallsicherheit, also als RAID-Ersatz. Das ist zugegebenermaßen andersherum als die meisten die beiden Begriffe RAID und Backup missverstehen und falsch einsetzen, aber es ändert nichts daran, dass es am eigentlichen Ziel vorbeigeht.

Wenn die Verfügbarkeit der Daten bei euch so wichtig ist, solltet ihr die Daten auf einem RAID einrichten, um im Falle eines Plattenausfalls direkt weiterarbeiten zu können. Das mit so vielen Backups zu reproduzieren, empfinde ich als viel zu aufwändig.

Das Problem bei derart vielen Backups kurz hintereinander wird sein, dass damit das/die Backupmedien dauerhaft verbunden sein müssen bzw. es sein werden, weil kein Mensch alle 10 Minuten irgendwelche Platten umsteckt. Ganz abgesehen davon gilt es bei Backups ja auch, mehrere Kopien vorzuhalten und eine entsprechende Historie der Daten zu haben, je nachdem auch wie veränderlich die Daten letztendlich sind.
Wenn beispielsweise Daten infiziert wurden und du immer nur das aktuelle Stundenbackup überbügelst, ohne zB ein Tages-/Wochen/Monatsbackup irgendwo abzulegen, habt ihr ein Riesenproblem, wenn der Server sich mal was einfangen sollte und ihr nur noch verseuchte Backups rumliegen habt.

Daher würde ich

a) ein RAID für die Verfügbarkeit und Ausfallsicherheit einrichten
b) eine sinnvolle Backupstrategie implementieren, mit dem Ziel, Backups vorzuhalten und kein Backup als PseudoRaid

Damit reduziert sich vermutlich auch die Angriffsfläche für Malware, weil die Backupmedien beispielsweise nur 1x am Tag angestöpselt werden, zB für Mo-Fr jeweils ein eigenes Medium und eines für das Wochen-/Monatsbackup. Je seltener und kürzer die Backupmedien verbunden sind, umso eher sind sie vor Malware geschützt, weil man die Malware hoffentlich erkennt bevor man alle Backupmedien einmal durchhat.

 

[t-6]

Zu ergänzen wäre noch, dass Ihr bei einem Ransomware-Befall ganz andere Sorgen habt als Daten zurückzubekommen die älter sind als 10 Minuten. Da seid Ihr glücklich, wenn Ihr nicht mehr als einen ganzen Arbeitstag verloren habt; was dem typischsten Backup-Rythmus (1x täglich) entspricht.

Auch solltet Ihr dringend überlegen ob es überhaupt Sinn macht die Arbeitsmaschinen jede Stunde (!) zu sichern. Typischerweise habt Ihr die Arbeitsdaten ja gar nicht auf den PCs selber, sondern auf einem Fileserver - und dessen Daten sollten so oft wie erträglich gesichert werden.
Grundsätzlich sollten die PCs ohne große Problem austauschbar sein, aber dieses stündliche Konzept klingt danach, als ob die Geräte Einhörner sind. Warum müssen die stündlich gesichert werden?

Zusammengefasst:
-zentraler Fileserver mit RAID; sicherstellen & testen dass Benachrichtigungen über defekte HDDs auch ankommen
-eine Form von Dateisystem-Snapshot (Volumenschattenkopien bei Windows; BTRFS-Snapshot bei Synology usw.)
-regelmäßige Datensicherungen, mind. 1x täglich, auf soviele externe Medien wie möglich/erträglich, mit mindestens einem Medium dass ständig offline ist

Bei Datensicherungen auf bspw. ein NAS gilt das Berechtigungskonzept strikt durchzuziehen:
-es wird eine separate Freigabe für jede Backup-Quelle eingerichtet
-für jede dieser Freigaben ist ein gesonderter Nutzer mit komplexen Zugangsdaten einzurichten
-diese Zugangsdaten werden in der Backupsoftware der jeweiligen Backupquelle eingerichtet und nur dort
-kein anderer Benutzer auf dem NAS hat Zugriff auf die jeweiligen Backup-Freigaben, auch kein Admin; falls Zugriff auf die Sicherungsfreigaben benötigt wird, kann man sich übergangsweise den Zugriff erteilen
-idealerweise werden die Zugangsdaten in die Backupsoftware eingetragen - und dann gelöscht/vergessen; die Backupsoftware ist die einzige Instanz, die die Zugangsdaten "kennen muss"
-Backup-Freigaben werden nirgends als Netzlaufwerk o.Ä. gemountet "um schnell gucken zu können ob auch alles läuft"; ob die Backups erfolgreich sind oder nicht, wird einem die Backup-Software per Email mitteilen; Wiederherstellung ist vernünftig regelmäßig zu testen und nicht "mal eben so"
-das NAS wird für nichts anderes genutzt als für Backups
-es steht idealerweise in einem anderen Brandabschnitt

 

[andy_m4]

Ich würde auch eher einen getrennten Rechner als Backup-System verwenden.
Dort werden auch die Daten nicht draufgepackt (Push-Backup), sondern der Backup-Rechner holt sich die Daten (Pull-Backup). Damit ist schon mal ausgeschlossen, das das Backup-System direkt durch seine Clients infiziert werden kann.
Außerdem sollte natürlich ein Backup versioniert sein (was aber ohnehin oft Standard ist). Damit eine kaputte Datei nicht etwa eine intakte Backup-Datei überschreibt.

Ansonsten haben ja meine Vorredner im Wesentlichen schon alles gesagt.