Ransomware Backup Strategie

[x.treme]

Hallo zusammen,

ich überlege mir derzeit eine Backup-Strategie für mein Heimnetzwerk, die auch für Ransomware einen gewissen Schutz bieten soll.

Meine derzeitige Idee:

• Sync von Computer/Notebook/Mac via Synology Drive zum NAS. Eigener Nutzer-Account hierfür und nur Port 6690 wird in der Synology Firewall freigegeben.
• Aktivierung von Versionierung in Synology Drive um beim daily doing vorherige Dokumentversionen wiederherstellen zu können
• Sync der Dateien mit meinem QNAP im Keller via rsync (Nur rsync Port wird hierfür im QNAP freigegeben)
• Aktivierung von Snapshots im QNAP ( Täglich / Wöchentlich / Monatlich).

Was denkt ihr?

 

[Drahminedum]

Warum kein Active Backup for Business von Synology? Kostet ebenfalls nichts. Einmal im Monat ein Vollbackup, dazwischen tägliche Diff-Backups.
Und Rsync ist, je nach Synology-Modell, schnarchlangsam.

 

[Wasserhuhn]

Es gilt wie immer fallunabhängig die 3 2 1 1 0 Regel.

 

[Tamron]

Und ich verschlüssele dir alles davon und nun?

Was du brauchst sind immutable Backups.

 

[drunk_chipmunk]

Regelmäßig Backups auf externe HDD(s) und die in den Schrank legen.

Alles, was übers Netzwerk verbunden ist, kann angegriffen und verschlüsselt werden.

 

[Hauro]

Es bleibt die regelmäßige Datensicherung auf einem externen Medium, welches nur während der Datensicherung angeschlossen wird. Bleibt das Medium angeschlossen, kann die aktive Ransomware auch die Datensicherung zerstören.

 

[x.treme]

Warum kein Active Backup for Business von Synology? Kostet ebenfalls nichts. Einmal im Monat ein Vollbackup, dazwischen tägliche Diff-Backups.
Und Rsync ist, je nach Synology-Modell, schnarchlangsam.

Die Daten sollen zwischen MacBook und PC synchron seinn, das geht dann nur mit Drive in Kombination.

Die Verbindung in den Keller geht über DLAN über 6 Etagen, da kommen eh nur 10MB/s hin ^^
Damit beide Standorte kaputt gehen, reicht auch ke

Es gilt wie immer fallunabhängig die 3 2 1 1 0 Regel.

Die Daten existieren auf drei Geräten (PC, Synology, QNAP mit zwei verschiedenen Technologien (Synology Drive und rsync + Snapshot) und sind mit Keller / Wohnung zumindest ein wenig physisch getrennt (die wichtigsten Daten sind zudem noch verschlüsselt in der Cloud, aber da halt keine 20TB)

Und ich verschlüssele dir alles davon und nun?

Was du brauchst sind immutable Backups.

Deswegen ja die Snapshots.

 

[Kryss]

Und was hilft dir das Backup im Keller und NAS, wenn es z.B. brennt oder Wasserschaden im Haus / Wohnung?
Dir fehlt zur "Abrundung" ein "Cloud" Backup an einem anderen Standort. Imo. Wenn es wirklich kritische Daten sind (Fotos für die Arbeit, Dokumente wie Zeugnisse, Diplom usw).

vg Chris

 

[x.treme]

Regelmäßig Backups auf externe HDD(s) und die in den Schrank legen.

Alles, was übers Netzwerk verbunden ist, kann angegriffen und verschlüsselt werden.

Ich habe bei meinen Eltern eine Platte noch, aber die wird halt maximal einmal im Monat aktualisiert mit den wichtigsten Daten, wenn überhaupt

Wobei bei 5. Etage Dachgeschoss und 2. Untergeschoss Keller, schon einme Bombe einschlagen müsste, damit beides verwüstet ist. Wasser oder Feuer reichen da vstl. nicht. Das gemeinsame Stromnetz ist da das höhere Risiko.

Wie hoch seht ihr bei dem Setup den das Risiko für das Worst-Case Szenario.

Immerhin müsste sowohl PC als auch Synology und QNAP mit Root-Rechten übernommen werden, um die Snapshots verschlüsseln zu können.

 

[roxery]

Die Ransomware kann sich auch bereits Monate vorher ins System einnisten, wird dann mit gesichert und schlägt erst zum Zeitpunkt X zu. Dann bringen die Backups auch nicht mehr viel, außer man entfernt Sie vor der Recovery aus dem Backup.

 

[madmax2010]

Das fiesete bei Ransomware ist inzwischen, dass sie teils über Monate dateien korrumbieren.
Bei Backups ist wichtig, dass du 1. Nicht direkt auf das Zielmedium schreiben kannst und 2. weit zurück reichende Versionierte Dateien.

Hamster ruhig regelmaessig Full Backups bei Verwandten / Freunden. EIn paar extra HDDs sind immer billiger, als Ransomware

 

[drunk_chipmunk]

Ich habe bei meinen Eltern eine Platte noch, aber die wird halt maximal einmal im Monat aktualisiert mit den wichtigsten Daten.

Es kommt halt darauf an, wie wichtig die Daten sind. Ich habe z. B. über die Jahre einen großen Bestand an privaten Dokumenten, Fotos etc. angehäuft. Das ist wichtig, aber da ändert sich kurzfristig nicht viel. Ich sichere vielleicht alle ein oder zwei Monate und vor Neuinstallationen alles komplett auf externe HDD (abwechselnd auf zwei HDDs), wenn zwischendurch etwas passiert, ists halt Pech.

Ganz wichtige Sachen wie laufende Bewerbungen etc. sichere ich bis zum nächsten vollständigen Backup auf einem USB-Stick.

Für Firmendaten wäre so eine Strategie natürlich zu wenig. Für mich reicht es. Ein "Jahres-Backup" auf einer außer Haus gelagerten HDD wäre bei mir vielleicht noch eine sinnvolle Ergänzung.

 

[andy_m4]

Immerhin schon mal gut, wenn Du ein NAS hast. Das kann man durchaus als Backup nehmen (man sollte davon aber noch ein weiteres Offsite-Backup machen damit wenn Dir die Bude abfackelt nicht Deine Daten + Backup weg ist).

Dort (also auf dem NAS) werden auch die Daten nicht draufgepackt (Push-Backup), sondern der Backup-Rechner holt sich die Daten (Pull-Backup). Damit ist schon mal ausgeschlossen, das das Backup-System direkt durch seine Clients infiziert oder dortige vorhandene Dateien zerstört werden können.
Außerdem sollte natürlich ein Backup versioniert sein (was aber ohnehin oft Standard ist). Damit eine kaputte Datei nicht etwa eine intakte Backup-Datei überschreibt.

 

[conf_t]

Setze auf Pull statt Pushbackups. Richtig implementiert kann dann die Ransomeware eben nicht remote auf das Backup zugreifen. Das Backup NAS muss dazu eine kommplett eigene Benutzerstruktur, möglichst keine weiteren Dienste und immer uptodate sein. Bei Synology kann sowas ein NAS mit Active Backup for Business inkl Versionierung, gibt es aber nicht für jedes NAS.
Die meisten Tools nutzen leider nur Pushbackups. Ziel hinter Pullbackups ist, dass das System, was gebackupt wird absolut keine Vertrauensstellung zum Backupserver hat. Der aber Vollzugriff auf das zu sichernde System.

http://www.lbackup.org/network_backup_strategies

Neben den diversen Pushbackups, über dieverse Standorte (bei Familienmitgliedern) via VPN habe ich als letzte Stufe ein NAS, dass nur Pullbackups vom Haupt NAS macht und sich explizit nur für die Backup Kobs ein und ausschaltet. Es gibt neben dem administrativen user nur einen weiteren und alles was ich sonst nicht brauche ist deaktiviert.

 

[x.treme]

@conf_t Danke dir, genau das ist ja die oben skizzierte Idee.

Bei Synology selber brauche ich Push, einfach weil ich einen kontinuierlichen Sync zwischen MacBook und PC benötige. Hier ist nur die Versionierung vorhanden, was aber auch mehr die Usability dient.

Den Pull-Part habe ich eben so angedacht, dass sich das QNAP die Daten via rsync vom Synology zieht, und hier zudem eine Versionierung durchführt (mehrstufig, e.g. wöchentlich / monatlich / jährlich)

 

[conf_t]

Ja, genau, du brauchst letztlich dafür ein 2. NAS. Wie das bei QNAP zu realisieren geht, weiß ich nicht, aber ich denke, per rsync / scp usw. sollte das gehen