Kann ein PC Virenbefall die NAS leicht beeinflussen? Schutzmaßnahmen?

[Ionizer]

Hallo Leute,

ich frage mich ob z.B. ein PC Virenbefall die NAS beeinflussen kann.

Nehmen wir mal an man hat sich einen Virus / Wurm oder sonst was eingefangen auf dem Rechner.
Z.B. jemand hat einen gezippten Anhang in einer Mail geöffnet.

Wie hoch ist dann die Wahrscheinlichkeit, dass die Linux basierte NAS (Synology, QNAP etc.) davon was abbekommt.


Konkret habe ich an die Themen gedacht, bei denen Daten verschlüsselt werden und man bezahlen soll um die Daten wieder "freizukaufen".

Ist da in die Richtung eine grobe Aussage zu treffen?

Kann man irgendwie die Daten auf der NAS im Netzwerk schützen?

Allgemeine Schutzmaßnahmen bei so Themen=?


Ich würde mich um Tipps freuen.


Dankeschön

 

[Janz]

solang das NAS verbunden ist und der Nutzer genügend Rechte auf dem gemappten Netzlaufwerk hat kann natürlich Schadsoftware auch darauf Daten unbrauchbar machen

 

[NeoExacun]

Wenn du von deinem Rechner aus Schreibzugriff auf dem NAS hast, sind die Daten in so einem Fall mit Sicherheit auch futsch. Andernfalls sollte das NAS relativ sicher sein.

Die passende Lösung dafür (und das solltest du so oder so machen): Schreibgeschützte Backups.

 

[Nilson]

Ein Virus kann, was du auch kannst. Also wenn du Dateien auf dem NAS verschlüsslen / löschen kannst, kann das ein Virus auch.

Gegenmaßnahme:

1. Kein Virus einfachen
2. Backup das nicht ständig "online" ist.

 

[Nordwind2000]

So lange du dein NAS absicherst, anderer Benutzername und Passwort gegenüber dem Windowsaccount, und natürlich eine AV-Software auf dem NAS läuft, sollte nichts passieren.

Wenn du natürlich ein Netzlaufwerk angelegt hast, welches gleich nach dem Start zur Verfügung steht, ist es ziemlich sicher, je nach Art des Befalls, dass deine Daten auf dem NAS in Gefahr sind.

 

[linuxfan]

Da müsste man sich meiner Meinung nach schon eine ungewöhnlich aggressive Malware eingefangen haben, wenn sie eingegebene Passwörter dazu verwendet, sich auf Verdacht im Netzwerk per SSH o.ä. einzuloggen und dann Befehle im NAS einzugeben. Immer alles im Netzwerk erreichbare gut mit Passwort absichern.

 

[Ionizer]

Danke für die Antworten. Ich glaube ich sehe schon in welche Richtung es geht.

• Anderer User im Netzwerk
• Schreibgeschützte Backups (auch wenn ich das unbewusst so gemacht habe)

 

[Janz]

nen NAS ist KEIN Backup!

Und andere Nutzer is Schwachsinn wenn die Laufwerke automatisch gemappt werden beim Systemstart. Für meinetwegen wirklich wichtigere Sachen die du zwar auch direkt im Zugriff haben willst für den Nutzer die Schreibrechte entziehen (ersetzt trotzdem kein Backup!)

 

[M@rsupil@mi]

Kann man irgendwie die Daten auf der NAS im Netzwerk schützen?

Von den Zugriffsrechten und Backups (auf externe Datenträger, die halt nur dann angeschlossen sind / laufen, wenn ein Backup läuft) wurde ja schon gesprochen.
Je nach NAS Gerät können die Systeme etwa auch alle X Stunden / Tage ein versioniertes Backup anlegen, was man durchaus bei kleineren, wichtigen Datenmengen "intern" in kurzen Intervallen laufen lassen kann und so eine Datensicherung außerhalb der Reichweite von Viren und CO hat.

In einigen Fällen kann auch ein aktivierter Papierkorb auf dem NAS, worauf nur der Admin auf dem NAS Zugriff hat, helfen von Viren (oder einem selbst versehentlich gelöschte Datei) noch zu retten.

Allgemeine Schutzmaßnahmen bei so Themen=?

Von Sicherung und Benutzertrennung abgesehen gelten all die Aspekte, die einen auch sonst schützen. Nicht alles anklicken, selbst am Rechner möglichst wenig Berechtigungen haben und Downloads nicht von jeder Seite im Netz laden (Seiten, wie etwa Chip oder Computerbild "verseuchen" die Downloads mit "tollen Zusätzen" und versuchen dem User unerwünschte Zusatzprogramme unterzuschieben), wobei aber auch die offiziellen Quellen / Anbieter mitunter viel Schindluder treiben. Etwa Adobe versucht einem beim Download vom Acrobat Reader immer mehr auf den Rechner zu installieren, als man will. Bei andere Programme versuchen es bei der Installation. Deshalb nie die default / express Installation verwenden. Immer manuelle Installation und alles ganz genau lesen!

Je weniger Software man auf dem Rechner hat desto weniger Schwachstellen gibt es. Es gilt zu Hinterfragen, ob man Software XY wirklich braucht im Fall von Schutzsoftware, wie etwa Virenscannern, sollte man auch nicht "blind" der vollen Packung vertrauen, sondern nur das installieren / verwenden, was wirklich von Nutzen ist. Leider stehen auch dahinter Firmen, die in erster Linie wirtschaftlich denken (also etwa Nutzerdaten verkaufen oder dem User das nächste Abo aufschwatzen wollen und sei es durch belanglose Zusatzfunktionen) und generell von der Angst des Users leben.

Gerade wenn man im Web unterwegs ist, dann stellt ein Werbeblocker einen wirklich guten Schutz da. Nicht nur im Bezug auf Tracking, sondern auch weil immer mal wieder Schadsoftware über Werbung und CO verbreitet wird. Da es keinen perfekten Schutz gibt ist es auch immer so, dass man als User seinen Beitrag leisten muss für ein sicheres & sauberes System.

 

[Domi83]

Das eine NAS kein Backup ist, dürfte klar sein, aber eine NAS, ebenso eine USB Festplatte kann man für Backups verwenden. Wenn du eine passende Software hast, erstelle auf der NAS ein verstecktes Laufwerk, lass die Backups dort hin schieben, aber die Freigabe nicht als Laufwerk einbinden.

Die noch schönere Variante wäre noch (mir ist aber so direkt keine NAS bekannt die das macht), du machst ein Backup (Lokal) und lässt die NAS das Backup von deinem PC abholen.

Gruß, Domi

 

[Ionizer]

Also ich fasse zusammen:

• So Dinge wie Werbeblocker und keine Programme installieren sind für uns denke ich klar. Ein Restrisiko bleibt. Teilweise gibt es hier echt tückische Sachen bei denen man definitiv zweimal hinsehen muss.
• Kein automatisches Mapping von Laufwerken. Bzw. User muss Passwort und Login eingeben.
• Tägliche schreibgeschützte Version bzw. regelmässig auf eine z.B. externe Festplatte an der NAS sichern (neben dem obligatorischen RAID1)
• Papierkorb z.B. nur mit Adminrechten
• Virenscanner auf der NAS (obligatorisch)

--> Jetzt noch eine Frage. Im Windows Netzwerk UAC kann man doch das Passwort speichern. Kann man das unterbinden, dass es die Passwort speichern Funktion gibt?


Danke

 

[M@rsupil@mi]

Als was verwendest du das NAS? Soll dort die Sicherung der Daten vom PC abgelegt werden oder sind dort die Daten drauf womit du arbeitest, etc.? Im letzteren Fall bringt es nicht wirklich viel ständig Benutzername und PW eingeben zu müssen.

 

[Ionizer]

Ich arbeite mit den Daten auf einer QNAP NAS. RAID 1 + USB Festplatte

Gut, ja andauernd Login eingeben kann schon auch nerven.

Das täglich Backup auf eine dritte Festplatte, schreibgeschützt durch den Administratoruser, das habe ich bereits eingestellt.

 

[DaveStar]

Mal ein paar Hinweise aus der Praxis:


1. Ja, Ransomware (Verschlüsselungstrojaner) die du auf dem Rechner einfängst wird typischerweise auch die Daten auf deinen Netzlaufwerken, d.h. deinem NAS verschlüsseln.

(Witzigerweise ist es allerdings so, dass die 'typische' Ransomware tatsächlich nur dort zuschlägt, wo man etwas als Netzlaufwerk eingebunden hat. D.h. wenn du eine Netzwerkfreigabe einfach so nutzt, z.B. als Verknüpfung auf den Netzwerkpfad - was ja kaum Nachteile birgt - , dann wird dies typischerweise nicht attackiert. Darauf verlassen würde ich mich freilich trotzdem nicht.)


2. NAS-Seitig kannst du dich vor oben genanntem Szenario auf zwei Arten schützen:

- BackUp vom NAS weiter an eine andere Stelle, z.B. ans NAS angeschlossene externe HDD welche direkt vom mutmasslich infizierten PC aus nicht erreichbar ist. Du musst dann aber sicherstellen, dass die externe HDD wirklich nicht vom PC aus erreichbar ist. Manche NAS-Modelle stellen eine externe HDD welche man an sie anschliesst direkt im Netzwerk zur Verfügung. Die musst du mit entsprechenden Einstellungen auf dem NAS unterbinden.

- Die meisten NAS bieten heutzutage eine irgendwie geartete "Snapshot"-Funktion an. Wenn diese aktiviert & korrekt konfiguriert ist, so kannst du den Datenbestand vor der Attacke Punktgenau und mit wenigen Klicks wiederherstellen.


3. NAS-Geräte an und für sich sind natürlich ebenfalls verwundbar, auch ohne Umweg über deinen PC. Dies gilt insbesondere dann, wenn du irgendwelche Ports zu ihnen geöffnet hast, um irgendwelche Dienste von extern ansteuern zu können. D.h. wenn ein unsicheres NAS (vielleicht sogar noch ungepatcht) offen im Netz hängt, dann nützt alles andere natürlich nichts. Wenn dein NAS mit Schadsoftware infiziert wird, dann sind oben genannte Massnahmen idR wirungslos, d.h. dann hilft wirklich nur ein physisch getrenntes Backup. (z.B. durch eine Rotation von extern angeschlossenen externen Festplatten - sei es via NAS oder via PC)
Denkbar wäre auch, dass die Software deines NAS von innerhalb des Netzwerks, z.B. von deinem infizierten PC aus angegriffen wird. Das dürfte in der Praxis allerdings kaum vorkommen.


4. Ein NAS alleine ist kein BackUp. Wirkliche Sicherheit bieten physisch und räumlich getrennte Kopien. (Es besteht ja immer auch noch die Gefahr von Elementarschäden.)

 

[Ionizer]

Danke für die Antworten, Hinweise und Tipps. Ich denke ich finde nun den richtigen Weg

 

[Oli_P]

Mach ich auch so mit meinen NAS-Stationen. Die werden nie automatisch eingebunden und es sind auch keine Passwörter gespeichert. Wenn ich aufs NAS zugreifen möchte, dann läuft das über eine Verknüpfung und dann muss ich mich einloggen.
Zuviel Komfort ist immer schlecht für die Sicherheit