Zwei getrennte Subnetze - wie kann ich mein Backup einsehen

  • Hallo zusammen,
    ich bin netzwerkmäßig noch ein ziemlicher Anfänger, daher vielleicht auch meine Fragestellung:


    Mein TS-451+ hat ja zwei RJ45-Schnittstellen. Die erste hab ich an meine Fritzbox angeschlossen und so mit dem Subnetz x verbunden. Da kann ich aus Windows problemlos vom PC aus drauf zugreifen. Die zweite Schnittstelle ist direkt per x-cross-Kabel mit meinem WD-MyCloud-Backup-NAS verbunden, die beiden kommunizieren untereinander im Subnetz y. So erhoffe ich mir dass ein möglicher Virus - wenn überhaupt - nur mein Hauptnetzwerk x befällt und dort rumlöscht, nicht aber mein Backup-Subnetz y. Ich kann meine Backupaufträge (die über das x-cross-Kabel im Backup-Subnetz y kommunizieren) anlegen und sie laufen auch ohne Fehlermeldung durch.
    Mein Problem: Wie schaue ich denn jetzt am einfachsten auf meinem MyCloud-Backup-NAS nach was da so an Daten draufliegt? Kann ich in meiner TS-451+ irgendwie ein Routing zwischen Subnetz x und y einrichten? Oder gibt es eine Möglichkeit, das (Backup)Subnetz y in meiner Fritzbox mit dem (Haupt/Standard)Subnetz x zu verknüpfen???

  • Was Du vor hast geht nicht!
    Wenn ein Netzwerkport mit der Fritzbox im Subnet x ist, der andere mit enem Kabel im Subnet Y direkt an der WD, dann kommst Du nicht an die WD Station!
    Ob man im Nas ein Routing einrichten kann bezweifele ich, wenn, dann voraussichtlich nur über die CLI.


    Aber wenn ein Routing vorhanden ist, dann ist es das auch für einen möglichen Virus.


    Auch jetzt ist das eher fragwürdig ob die Trennung hilft. Wenn der Programmcode sich irgendwo im Subnetz x einnistet und von dort per Backup ins Subnetz Y "gesichert" wird, dann richtet er dort zwar zunächst keinen Schaden an, aber spätestens nach einem Restore hast Du ihn vermutlich wieder.
    Du müsstest dann mit einem sauberen PC direkt an das WD und dort erst mal nach dem Virus suchen und ihn entfernen.
    Warum überhaupt ein x-cross-Kabel? Das TS 451 hat doch GB/s Ports, da kann man ein normales Patchkabel nehmen.


    Gruss


  • Aber wenn ein Routing vorhanden ist, dann ist es das auch für einen möglichen Virus.


    Auch jetzt ist das eher fragwürdig ob die Trennung hilft. Wenn der Programmcode sich irgendwo im Subnetz x einnistet und von dort per Backup ins Subnetz Y "gesichert" wird, dann richtet er dort zwar zunächst keinen Schaden an, aber spätestens nach einem Restore hast Du ihn vermutlich wieder.

    Also das Routing wollte ich ja nur temporär einrichten um mal zu überprüfen ob alles läuft wie's soll - es soll kein(!) dauerhaftes Routing sein.
    Und wenn ein Virus z.B. mein ganzes NAS verschlüsselt: Ja dann würde ich mir schon die Mühe machen das Backup erst mal vom "sauberen" PC aus zu analysieren. Zwar werde ich mein Backup-NAS nur bei Bedarf überhaupt mit Strom versorgen - aber wenn halt gerade während des Backups der Virus zuschlägt hab ich mir durch zwei getrennte Netze mehr Sicherheit erhofft. Ist das ein Denkfehler?


    Man kann doch bestimmt im TS-451 eine temporäre Route einrichten...

  • Warum willst Du denn dann ein temporäres Routing einrichten wenn Du mit einem sauberen PC das Backup überprüfen kannst?
    Sollte das Netz schon befallen sein dann öffnest Du weitere Verbreitungswege.


    Dann verbinde den PC für die Überprüfung direkt mit dem WD.
    Ist zwar "Turnschuh-Administration" aber m.E. immer noch sicherer als ein Routing.


    Gruss

  • Dein Konzept hinkt an der Tatsache, dass wenn dein NAS infiziert ist, dies immer und grundsätzlich mit beiden Netzbereichen verbunden ist.
    Da auf dem NAS auch offenbar deine automatisierte Backup-Verbindung hinterlegt ist, ist es egal, ob du ein Routing eingerichtet hast oder nicht, denn von NAS aus kann der Angreifer immer auf beide Netze zugreifen.
    Kenne die WD Teile nicht so genau, aber prinzipiell könntest Du per SSH auf die Qnap und von dort ebenfalls per SSH auf die MyCloud springen. Da könntest Du dann nach deinem Backup sehen - der Angreifer aber auch.

  • Ich habe es genau so vor wie bestheliman.
    Hab ich nen Ransomvirus, der meinen PC (Windows) nutzt, dann hat er alle meine Rechte und kann nur auf meinen PC und auf angeschlossene (gemappte) Netzlaufwerke zugreifen. Da ich mich mit Snapshots noch nicht auskenne, steelen diese Recovermöglichkeiten für mich keine Lösung dar.
    Auf der WD will ich Ressourcen einrichten, auf die nur die Kennung Sicherung o.ä. Zugriff hat. Diese Kennung ist in der QNAP eingetragen und die QNAP soll nur zum Sicherungszei5punkt darauf zugreifen.
    An die WD hänge ich sporadisch eine externe Platte dran, die ich dann nach der Sicherung außer Haus lagere. (Privathaushalt)
    1. Kann ich auf dem PC temporär eine Route vorgeben, damit er die WD über die QNAP erreicht - nur zur Prüfung der Sicherung bzw. zur externen Datensicherung auf die Platte?
    2. Kann ein (Windows) Ransomvirus Kennungen auf der QNAP auslesen, um über die QNAP auf die WD zuzugreifen?
    Da ich zunächst die erste Frage für mich bejahe und die zweite Frage aktuell noch verneine, werde ich es zumindest so versuchen. Oder wo ist mein Denkfehler?
    Danke

  • Hallo winger,


    ich stelle eine Gegenfrage:


    wenn Du einen Ransomware-Virus hast, der alle deine Daten auf der Qnap verschlüsselt hat und du merkst es, nachdem die Qnap die frisch verschlüsselten Daten auf die WD gesichert hat:
    Wie kommst Du an deine Daten und wo war der Vorteil im Vergleich zur Sicherung mittels externer Platte direkt an der Qnap?

  • Hallo Sawachika,
    ein Ransomvirus meldet sich sofort nach dem Tätigwerden, da der Bösewicht ja Geld haben will. Die Datensicherung auf die WD soll nachts erfolgen. Um das Netzkabel zwischen QNAP und WD zu trennen, bleibt dann noch hinreichend Zeit.


    Ich weiß, dass auch die Bösewichte sich weiterentwickeln, aber bis heute haben wir in dieser Beziehung noch ‚Glück‘.


    Auf der QNAP will ich die Daten in verschiedenen Ressourcen verwalten. Auf der WD und der externen Platte reichen mir aber unterschiedliche Verzeichnisse.

  • Hi Winger,


    die Fälle (reichlich davon) die ich zu dem Thema bisher bearbeiten musste, stellen sich mir anders dar.
    Ein Ransomware-Virus meldet sich in den meisten Fällen nach vollendeter Verschlüsselung, manchmal auch zwischendrin beim nächsten Neustart des Betriebssystems o.ä. - Varianten gibt es da unzählige.
    Es gibt auch Varianten, die, um nicht durch hohe CPU-Last aufzufallen, über Tage hinweg mit geringer Rechenlast arbeiten.
    Spätestens bei dieser Variante hat sich deine Sicherung mindestens in Teilen "verschlüsselt".


    Die Begründung ist allerdings richtig - der Bösewicht will Geld - und verhindern, dass das Opfer einfach so ohne Zahlung des Lösegeldes davonkommt.

  • Alles in allem hat diese Vorgehensweise etwas wie Russisches Roulette...
    Wenn(!) Du Glück hast könnte es gelingen, wenn Du Pech hast ...


    Es gibt ein Zitat das einer Madame de Sevigne zugeschrieben wird, die sich über die damals zeitgemäßen Kondome geäußert haben soll:
    Ein Spinnweb für die Sicherheit - ein Bollwerk für die Vergnügen.


    Irgendwie erinnert mich dieser Ansatz mit den Subnetzen daran.


    Gruss

  • Hi FSC830,
    kannst Du das bitte etwas erklären?


    Glück mit der Einrichtung der Subnetze und der Angabe auf dem PC, dass er die WD nur über die QNAP findet? Naja, Versuch und Irrtum. Wenn‘s nicht klappt, isses nicht schlimm. Kommt die WD zum Testen, ob die Sicherung geklappt hat und ob die Lesbarkeit funktioniert halt an einen richtigen Switch. IP vom PC ändern und die Sache hat nichts mehr mit Glück zu tun.


    Oder Glück in Bezug auf Sicherheit? An welcher Stelle ist das denn unsicher? Ob die WD jetzt im normalen Netz steht oder nur über die QNAP erreichbar ist. Sicherung ist Sicherung.


    Oder hab ich Dich ganz falsch verstanden?

  • Wie oben auch schon von anderen angemerkt:
    Die Tatsache das die WD Station nur über den zweiten Port des QNAP zu erreichen ist heisst nicht das ein Virus den Weg dorthin nicht findet!


    Das meinte ich mit Spinnweb für die Sicherheit.
    Wenn der Virus erst mal im Netz ist kannst Du nie sicher sein das die Backups tatsächlich virenfrei sind.


    Apropos temporäres Routing: Du müsstest dann auch das NAS (temporär) als Gateway auf Deinem PC eintragen damit Du an die WD kommst.


    Gruss


  • (..) halt an einen richtigen Switch. IP vom PC ändern und die Sache hat nichts mehr mit Glück zu tun.

    Klingt nicht, als ob Du einen managebaren Switch nutzen möchtest, den Du mit VLANs entsprechend konfigurierst.


    Bitte denke daran, dass die IP-Subnetze eine logische Grenze sind und keine Physikalische und es ausreichend Methoden gibt, Geräte aus anderen Subnetzen zu finden. QFinder macht das zum Beispiel mühelos ;)

  • Warum willst Du denn dann ein temporäres Routing einrichten wenn Du mit einem sauberen PC das Backup überprüfen kannst?
    Sollte das Netz schon befallen sein dann öffnest Du weitere Verbreitungswege.

    Das mit dem temporären Routing wollte ich nur mal die ersten Tage machen bis die Backups gesichert so laufen wie ich mir das vorstelle. Danach nicht mehr.
    Aber nach den Argumenten, die ihr hier so anbringt, werde ich wohl doch das zweite Subnetz eliminieren. So megaviel mehr an Sicherheit bringts wahrscheinlich wirklich nicht - dafür aber einiges mehr an Aufwand für mich.
    Ich will das Backup-Ziel-NAS (MyCloud) eh an eine schaltbare Steckdose hängen und nur jede Woche ein Mal darauf sichern. Den Rest der Zeit ist wird das Teil ohne Saft sein - da sind dann auch dem besten Hacker die Hände gebunden... :D
    Und die täglichen Backups landen bei mir erst mal weiterhin in einem zweiten Volumen auf einem für den normalen Betrieb nicht genutzten Bay in meinem Haupt-NAS (TS-451).

  • Hi bestheliman,
    ich werde das wie beschrieben so einrichten. An keiner Stelle konnte ich erkennen, dass ich durch diesen Aufbau auch nur auf etwas Sicherheit verzichte. Den kleinen Aufwand, meinem PC zu sagen, dass er die WD nur über die QNAP erreicht, halte ich für vernachlässigbar. Die Alternative ist ja, dass ich die WD an einem einfachen Switch hänge und dann ist sie voll im Netz (wenn angeschaltet).

  • Hi bestheliman,
    ich werde das wie beschrieben so einrichten.

    Könntest du vielleicht berichten wo und wie du das Routing genau anlegst und in wie weit das so funktionierst wie du dir das vorstellst? Hast du auch ne Fritbox? Hätte halt auch den Charme dass mein (Haupt)Netzwerk nicht dichtgefahren wird beim Backup... *grübel*

  • An keiner Stelle konnte ich erkennen, dass ich durch diesen Aufbau auch nur auf etwas Sicherheit verzichte.

    Das eine Thema ist ja das "erkennen können" - und das andere ist das "erkennen wollen".
    Wenn mein Automechaniker mir sagt, dass es keine gute Idee ist, dauernd mit schleifender Kupplung an der Ampel am Hang zu stehen - dann kann ich ihm das glauben, weil ich der Meinung bin, dass er sich in der Materie auskennt. Oder aber ich kann anderer Meinung sein und mich darüber ärgern, dass mein Fahrzeug dauernd eine neue Kupplung braucht.


    Mir wäre in diesem konkreten Fall schlichtweg der Aufwand zu hoch für nicht existenten Sicherheitsgewinn - zumal die Werkzeuge, mit denen sich tatsächlich ein Sicherheitsgewinn erzielen lassen könnte, im Werkzeugkasten liegen.
    Aber sawa ist ja schon still ;)

    Einmal editiert, zuletzt von sawachika ()

  • Ich finde diesen Ansatz viel zu verkopft. Alleine deswegen halte ich ihn für unsicher.


    Das NAS-interne "Backup" kann man viel eleganter mit einem simplen RAID 1 lösen. Aber: alles, was in einem physischen Gerät liegt, ist nicht sicher - wenn das Gerät hochgeht, ist alles weg.


    Also braucht man ein zweites Medium, physikalisch getrennt. Das könnte dein WD sein. Da es nur zum sichern angemacht wird, braucht man den ganzen Pseudo-Subnetzkram nicht.


    Die von dir gewünschte Sicherheit des Backups bekommst du nur, wenn du alternierend auf verschiedene (!) Backup-Ziele sicherst.


    Also: berücksichtige die 3-2-1-Regel.


    Die Sicherheit bekommst auf der Eingangsseite des NAS: sichere Passwörter, Netzwerkzugriffsschutz, 2-Faktor-Authentifizierung, ein Adminpasswort, das es nur auf dem NAS gibt, VPN, etc. pp. Permanente Updates aller deiner Systeme, möglichst wenig laufende Dienste...


    Das Subnetz ist eher Fake. Zumindest in der angedachten Form.

  • Ich habe eine 7490 und einen 1750 E Repeater von AVM, da die QNAP im Arbeitszimmer stehen soll und ich dort keine Verkabelung habe. Dort steht aktuell auch meine WD. Da die WLAN Verbindung vom Repeater zur Frit6box so eklig langsam ist (15 MBit/s im 5 Ghz Netz) hab ich gestern einen TP-Link Accesspoint (AC1200) an die Fritzbox angeschlossen. Jetzt bin ich zwar auch erst bei 50 MBit/s, aber vielleicht kann ich durch Änderung der Aufstellorte da noch etwas verbessern.
    sawachika: Ich bin nicht der tägliche Schrauber und kenne nicht alle Möglichkeiten. Aber wo bin ich denn mit meiner Lösung unsicherer gegenüber der Variante, die WD ebenfalls ins normale Netz zu stellen? Da ich weder QNAP noch WD im WLAN betreiben wollte, halte ich durch den Anschluss der WD an der QNAP den Traffic im WLAN geringer. Das ist aber nicht so wichtig, da die Datensicherung ja nachts laufen soll.
    Wie erhöhe ich denn die Sicherheit, wenn ich mir jetzt einen einfachen Gigabit Switch kaufe? Was liegt denn in meinem Werkzeugkasten, was ich noch nicht nutze. Für einen Tipp bin ich dankbar - da ich alleine nicht darauf komme.
    @Doc HT: Deinen Rat will ich gerne beherzigen. Für die Installation habe ich mir schon mehrere Infos zusammengetragen, die Ihr alle in verschiedensten Artikeln verbreitet habt.
    Auf Grund Deiner Hinweise (auch in anderen Artikeln) will ich nicht nur auf die WD sichern, sondern jetzt auch auf mehrere externe Medien - natürlich auch außer Haus. Ob und wie ich eine Versionierung umsetze, weiß ich noch nicht - aber es handelt sich nur um einen Privathaushalt mit vielen Bildern, Scans, Filmen etc. - aber natürlich auch mit vielen Dokumenten. Bzgl. der Dokumente und Scans werde ich mich auch mit der Verschlüsselung versuchen zu arrangieren. Das Subnetz ist Fake - mache ich mich aber auch durch das Subnetz unsicherer? Wenn ja, dann ist diese Idee sofort tot.