Snapshot oder geht auch HBS3 (gegen Ransomware sichere Backups)

    Hallo Leute,

    ich bin neu hier.

    Schön dass es Menschen wie euch gibt, welche sich in Ihrer Freizeit mit den Problemen Anderer auseinandersetzen.

    Dieses Forum hat mir schon oft in der Vergangenheit als unregistrierter Leser weiter geholfen.

    Nun ist es jedoch an der Zeit ein eigenes Thema zu öffnen, da ich zu meiner Frage keinen Beitrag finden konnte.


    Szenario:

    Z.Zt. sichere ich Daten von Haus-A bzw. NAS-A nach Haus-B bzw. NAS-B per HBS3 (RTRR).

    Bei HBS3 habe ich die Versionsverwaltung aktiviert und sichere mit 20-Versionen (Zeitplan=täglich).


    Frage:

    Wenn mein NAS-A von Ransomware befallen wäre und die Infizierten Daten per HBS3 nach NAS-B gesichert werden würden, kann ich dann einfach eine frühere Version einspielen (z.B. die vom Vortag) und alles wäre wie vorher (Stand der Sicherung vom Vortag), weil ich mehrere Versionen habe?

    Oder sind dann auch die Versionen von Ransomware befallen?

    ...Ich habe nämlich gelesen, dass man im Falle eines Ransomware-Angriffs und einer Sicherung per Snapshot ganz einfach die letzte Snapshot-Sicherung einspielen kann und die Ransomware dann eliminiert wäre!?

    Ich hoffe darauf, dass die Backups mit HBS3 so wie mit Snapshot sicher vor Ransomware sind, sofern mehrere Versionen der Sicherungen vorhanden sind!


    Vorab sei gesagt, dass ich kein Snapshot verwenden möchte!

    Die Gründe sind u.A. folgende:

    - Weil ich Statische-Volumen verwende (mehr Performance)

    - Weil sonst noch mehr Backup-Daten erzeugt werden (zusätzlich zu den ganzen anderen Backups von mir)

    - Weil ich mit HBS3 ultra zufrieden bin und gerne nur ein Programm verwenden würde

    - Weil es den Administrationsaufwand erhöhen würde


    Hoffentlich konnte ich euch meine Frage verständlich formulieren!?

    Für die kommenden Antworten oder erforderlichen Fragen bin ich euch sehr dankbar :)


    Mit freundlichem Gruß

    T-B-W

  • T-B-W

    Hat den Titel des Themas von „Snapshot oder geht auch HBS3 (Ransomware sichere Backups)“ zu „Snapshot oder geht auch HBS3 (gegen Ransomware sichere Backups)“ geändert.

    Moin,


    von der Theorie her sollten die Daten im Backup, bzw. Versionen davon unverschlüsselt bleiben, habe aber zum Glück keine Erfahrungen mit ransomware.

    Mir würde es aber erhebliche Zweifel bereiten, denn warum sollte das Backupsystem nicht auch befallen werden, wenn entsprechende Daten schon dahin übertragen werden?


    Die Nutzung von Snapshots mag eine Möglichkeit sein sich zu schützen, ich nutze ebenfalls Snapshots dafür, habe aber auch ein Backup auf externer HDD, welches ebenfalls gegen Verschlüsselung helfen kann (ich sichere ja nicht manuell oder schließe die Platte an dem System an, wenn ich weiß dass mein System verschlüsselt wurde).

    Nur ist das eben mit Aufwand verbunden und um den gering zu halten ist dieses Backup nur monatsaktuell, daher nutze ich auch tägliche Snapshots.

    Bewährt hat sich die 3-2-1 Methode,

    3 Sicherungen - 2 Medien - 1 außer Haus.


    Bei mir sieht das so aus:

    Meine NASen sichern sich einmal auf ein zentrales Backup NAS.

    Die Daten vom Backup-NAS werden in den ungeraden Wochen auf ein weiteres NAS gesichert. In den geraden Wochen auf eine ext. USB Platte die per automatischer Zeitschaltuhr ein/aus geknipst wird. Diese Platte wird dann gegen eine andere Platte getauscht und dann außer Haus gelagert.

    Einmal editiert, zuletzt von Jagnix ()

    Moin Leute,

    vielen Dank für die flotten Antworten.

    Es ist echt krass, was hier im Forum so los ist.


    tiermutter:

    Ich vertiefe mich weiter in die Snapshot-Thematik und lasse mich u.U. doch auf Snapshot ein.


    Jagnix:

    Meine Sicherung geht noch über die 3-2-1 Methode hinaus.

    Letztendlich ist meine Anfrage "nur" der Interesse halber gestellt worden.

    Ich musste es einfach genauer wissen, um noch besser schlafen zu können.


    Falls es interessiert, offeriere ich meine Backupstruktur mal...

    NAS-A HAUPTSERVER befindet sich in der Firma [folgend nur noch A genannt]

    NAS-B BACKUPSERVER befindet sich ebenfalls in der Firma aber in einem anderen Brandabteil [folgend nur noch B genannt]

    NAS-C HOMESERVER befindnet sich bei mir zu Hause (1 Km vom Firmengebäude entfernt) [folgend nur noch C genannt]

    A sichert täglich auf B mit Versionierung (20 Versionen), bei A gelöschte Daten werden bei B NICHT gelöscht

    A sichert täglich auf C ohne Versionierung, bei A gelöschte Daten werden AUCH bei C gelöscht

    C sichert täglich auf A ohne Versionierung, bei C gelöschte Daten werden AUCH bei A gelöscht

    C sichert täglich auf B mit Versionierung (20 Versionen), bei C gelöschte Daten werden bei B NICHT gelöscht

    Darüber hinaus sichere ich jeden Tag mit vier Ext.-HDD via auf Windows installiertem Programm "Personal-Backup" auf B vorhandene Daten.

    Die Festplatten werden rotiert. Das heißt, dass jede Festplatte alle fünf Tage mal einen neuen Backupstand erhält.

    Die Backups werden in einem wasserdichten und feuerfesten Schränkchen aufbewahrt (in der Firma).

    Die gesamte Datenmenge von A+C bzw. die auf B beträgt gerade einmal 1,2TB.

    Die Sicherungen zwischen NAS&NAS oder vom NAS über Windows auf die Ext.-HDD geht innerhalb weniger Minuten vonstatten.

    Die Externen Festplatten mache ich einzig und allein aus dem Grund, dass meine Daten mit Ransomware befallen werden könnten.

    Daher meine am Anfang des Beitrags gestellte Frage.

    Denn dann könnte ich mir die "Arbeit" mit den Ext.-HDDs sparen.


    Ich wünsche euch allen einen entspannten Feierabend.


    Liebe Grüße

    T-B-W

    Zitat von Jagi

    Die Daten vom Backup-NAS werden in den ungeraden Wochen auf ein weiteres NAS gesichert.

    Nachdem die Frage "Warum initiert das Backupsystem einen Job und nicht das Quellsystem?" für mich zuletzt endlich geklärt wurde, stellt sich mir hier erneut eine Grundsatzfrage zum Backup:

    Warum sicherst Du die Daten aus einem bestehenden Backup in ein zweites Backup, anstatt die Daten direkt von der Quelle in das zweite Backup zu sichern?

    Zitat von T-B-W

    Falls es interessiert, offeriere ich meine Backupstruktur mal...

    [...]

    Klingt auf jeden Fall so, als hättest Du für jedes Ereignis welches einen Datenverlust mit sich bringt ein passendes Backup.

    Das mit den externen HDD verstehe ich aber nicht: Auf die Platten werden Daten vom NAS gesichert? Wozu dann ein Windows PC dazwischen?


    Die Verbindung Home -> Office ist ein VPN?

    Zitat von tiermutter

    Warum sicherst Du die Daten aus einem bestehenden Backup in ein zweites Backup, anstatt die Daten direkt von der Quelle in das zweite Backup zu sichern?


    Ähm. Weil ... ähm. Kopfkratz. Keine Ahnung.

    Guter einwand. Ich ähm werde das überdenken. :)

    :S

    Wenn ich T-B-W richtig verstanden habe macht er es ja auch so mit den externen HDD. Davon ab habe ich auch sonst schon öfter gelesen, dass so verfahren wird...

    Scheint ja Gründe dafür zu geben.

    Zitat von tiermutter

    Klingt auf jeden Fall so, als hättest Du für jedes Ereignis welches einen Datenverlust mit sich bringt ein passendes Backup.

    Das mit den externen HDD verstehe ich aber nicht: Auf die Platten werden Daten vom NAS gesichert? Wozu dann ein Windows PC dazwischen?


    Die Verbindung Home -> Office ist ein VPN?

    Ja, auf die HDDs werden die Daten vom NAS über Windows gesichert.

    Das hat jedoch seine Berechtigung, weil ich bei Personal-Backup wesentlich mehr einstellen kann.

    So kann ich beispielsweise Ordnergenau sagen, welche Dateiendungen nicht mitgesichert werden sollen.

    Dazu gehören z.B. temporäre Daten aus einer Datenbank.

    U.v.m.

    Zudem sind meine Server, wie bei so vielen Anderen, an einem "verlassenen" Ort aufgestellt.

    Sich jeden Tag zu dem Server durchzuschlagen und die Platten wechselhaft an und abzustöpseln wäre nervig.


    Die Verbindung von Home zu Office läuft per RTRR (DynDNS) ohne VPN.

    Ich bin mir nicht sicher, ob dies so sicher genug ist!?

    Die Daten werden unverschlüsselt übertragen...

    Meinungen dazu sind sehr willkommen!

    Habe mir ehrlich gesagt keine Kopf drüber gemacht. Fande es nur Praktisch weil:



    NAS auf Backup NAS -> Backup verschlüsselt mit 5 Versionen

    Backup NAS auf 2tes NAS - Sicherung als Einzelversion unverschlüsselt

    Zitat von tiermutter

    :S

    Wenn ich T-B-W richtig verstanden habe macht er es ja auch so mit den externen HDD. Davon ab habe ich auch sonst schon öfter gelesen, dass so verfahren wird...

    Scheint ja Gründe dafür zu geben.

    Nein, die externen HDDs werden mit den "Originaldaten" befeuert.

    Auf Denen möchte ich die ganzen Versionierungen, so wie sie auf dem Backup-Server vorhanden sind, nicht haben.

    :)

    Sorry wegen fehlendener Zitate, komme mobil nicht damit klar...


    Ok... Missverstanden...


    Ich ziehe mein zweites und drittes Backup lieber direkt von der Quelle, weil ich mitbder arbeite und nur hier feststelle, wenn etwas nicht stimmt. Wenn am Backup etwas nicht stimmt merke ich es nicht, nicht zuletzt deswegen habe ich ja mehrere Backups, eben für den Fall das ein Backup warum auch immer nicht funktioniert.


    T-B-W

    Direkt heißt über Internet mit portfreigaben?

    Definitv keine gute Idee! Gibt etliche Themen dazu, die ich mobil leider nur schwer raussuchen und posten kann..


    Allem voran dennoch das hier

    Files encrypted in *.ooc100 (Malware, Virus, Hacker)

    Zitat von tiermutter

    Direkt heißt über Internet mit portfreigaben?

    Definitv keine gute Idee! Gibt etliche Themen dazu, die ich mobil leider nur schwer raussuchen und posten kann..

    Jop, mit Portfreigabe :(

    Ich suche mal nach den Themen und werde es dann per VPN umsetzen.

    QVPN ist sowieso schon eingerichtet.

    Über Protokoll L2TP/IPSec...

    Das funzt soweit auch gut, um von wo anders per VNC auf meine ganzen Rechner zuzugreifen.

    Das gelingt sogar per Handy!!!

    Ich liebe QNAP dafür.

    QTS ist einfach super.


    Allein deshalb, hat sich die ganze Angelegenheit schon stark gelohnt.

    Danke euch:)

    QVPN = portfreigabe!

    Das macht es nicht besser, abgesehen davon dass der Verkehr dabei verschlüsselt wird...


    Security - Das NAS offen im Internet


    Lobe diese Funktionen nicht, das kann jedes Gerät und ist unendlich unsicher! Eine VPN gehört direkt auf den Router bzw. die Firewall...

    Jop, auch bei QVPN wieder eine Portfreigabe (bzw. gleich drei Ports)...

    Das es unsicher ist, war mir nicht bewusst.

    Hoffentlich ist die VPN Einrichtungen auf einer FritzBox 7590 für mich machbar.


    An dieser Stelle offenbart sich mein eher schlechter Kenntnisstand in Sachen der Sicherheit über Verbindungen.


    Das macht mich jetzt wild.=O

    Einerseits scheint die Sonne noch und ich möchte mich draußen im Garten entspannen.

    Andererseits möchte ich diese Sicherheitslücken sofort beseitigen.:handbuch:


    Nochmal zum Verständnis...

    Es sollten (wenn mögl.) keine einzigen Portfreigaben von bzw. für außerhalb freigegeben werden, richtig?

    Kommunikation von außerhalb also nur noch über dauerhaft bestehende VPNs von Router zu Router?

    Setz dich doch mit nem Laptop in den Garten und versuch beides unter einen Hut zu bringen 8)

    Zitat von T-B-W

    Nochmal zum Verständnis...

    Es sollten (wenn mögl.) keine einzigen Portfreigaben von bzw. für außerhalb freigegeben werden, richtig?

    Kommunikation von außerhalb also nur noch über dauerhaft bestehende VPNs von Router zu Router?

    Korrekt.


    VPN von Fritte zu Fritte sollte kein Problem sein, dazu gab es in den letzten Wochen auch einige Info in diesem Forum meine ich.

    Geschwindigkeit und Sicherheit sind hier immer wieder ein Thema, was die Sicherheit angeht ist es aber un einiges besser als die aktuelle Situation.

    Soooouuu,

    es ist vollbracht.

    Mein Home- & Firmennetzwerk ist nun dauerhaft miteinander via VPN verbunden (nur die Kommunikation zwischen den Geräten).

    Das hat noch viel mehr Vorteile als nur Sicherheit...


    Die Backupaufträge senden ohne SSL-Verschlüsselung, da die beiden NAS ja per VPN verbunden sind.

    Ist das so i.O.?


    Ein Port musste ich trotzdem öffnen, um per RTRR sichern zu können (Port-8899).

    Das ist aus meiner Sicht jedoch keine Sicherheitslücke, da der Port nun nicht mehr "offen" für das Internet ist.

    Stimmt das so?


    Meine DynDNS-Adressen habe ich aus den Fritten herausgenommen.

    Die werden jetzt nicht mehr benötigt, da sämtliche Kommunikation nur noch per VPN geschieht.


    Das VPN habe ich mit den MyFritz.net-Adressen hergestellt.

    Mit meinen vorherigen DynDNS-Adressen ging es nicht...Das wunderte mich.

    Die Verbindung steht per LAN-LAN-Kopplung mit einem sehr starkem Passwort.


    Zur Geschwindigkeit habe ich euch noch n paar Screenshots beigefügt.

    Ich habe an beiden Anschlüssen ein Speed von ↓ 500,0 Mbit/s und ↑ 100,0 Mbit/s (Glasfaser).

    Mit der unsicheren Verbindung waren die Geschwindigkeiten um das 5-6-fache schneller...

    Aber da HBS3 zum Glück nur veränderte oder neue Daten sendet, ist dieser Nachteil (noch) erträglich.


    Jetzt sollte alles Sicher sein... :)

    Vielen Dank tiermutter, dass Du mich auf den richtigen Weg gebracht hast!


    Verbindung_per_VPN_in_die_andere_Richtung.jpgVerbindung_per_VPN_und_ohne_SSL.jpgVerbindung_per_VPN.jpgVerbindung_ohne_VPN_in_die_andere_Richtung.jpgVerbindung_ohne_VPN.jpg

    Respekt dafür, dass du das mal eben so aufgezogen hast ohne dich bislang damit beschäftigt zu haben...


    Nun kenne ich mich mit der Fritte nicht aus, zumal ich ein anderes VPN Protokoll verwende. Demnach weiß ich nicht wie das Routing und die Adressvergabe funktioniert, würde aber behaupten, dass keinerlei Portfreigaben erforderlich sein sollten.


    Hier würde ich mal wieder freundlich an Crazyhorse verweisen, ich glaube er ist da im Thema bzw. hatte auch mal so einen Aufbau.

    Du hast wieder recht.

    Es sind keine Portfreigaben notwendig gewesen.

    So... Jetzt sollte alles stimmig sein :)


    Das die VPN-Verbindung zwischen den Fritten so langsam ist, liegt u.U. an dem schwachen Prozessor in der Fritte (jeweils FirtzBox Mod.7590).

    Denn der Upload wird durch die FritzBox verschlüsselt.

    Deshalb war es mit QVPN auch krass schneller, denn soein NAS hat natürlich viel mehr Prozessorleistung als ne FritzBox.

    Zitat von T-B-W

    Die Backupaufträge senden ohne SSL-Verschlüsselung, da die beiden NAS ja per VPN verbunden sind.

    Ja


    Zitat von T-B-W

    Ein Port musste ich trotzdem öffnen, um per RTRR sichern zu können (Port-8899).

    Im LAN ok, am WAN Port Router/Firewall zum NAS hin nicht Ok!

    Zitat von T-B-W

    Ich habe an beiden Anschlüssen ein Speed von ↓ 500,0 Mbit/s und ↑ 100,0 Mbit/s (Glasfaser).

    Mit der unsicheren Verbindung waren die Geschwindigkeiten um das 5-6-fache schneller...

    VPN ist richtig schnell wenn es in Hardware läuft, dann kannst deinen Upload locker auslasten. Aber das wird nix mit einer Fritz.

    Wobei die 7590 schon einen Intel Chip mit AES Support dabei hat, aber hier brauchst du min Fritz OS 7.2+.

    Zitat von T-B-W

    Jetzt sollte alles Sicher sein... :)

    Naja wenn ich mir anschaue was die Fritz kann und das 2020, dann ähhh nein.


    IKEv1 kann man ja noch verwenden, wenn man aktuelle Verschlüsselung, Hash und vor allem den Main Mode einsetzt.

    Letzter ist bei der Fritz aber nicht so einfach einstellbar und vor allem stabil.


    Das geht mit gescheiten GWs deutlich besser.

    Moin Crazyhorse,

    ein Fritz-OS Update hat die Geschwindigkeit der VPN Übertragungen nun verdoppelt.

    Trotzdem bin ich dank deiner Anstöße auf der Suche nach geeigneter VPN-Hardware um LAN-LAN-Kopplungen herstellen zu können.

    Evtl. werde ich hier ja fündig um herauszufinden, was ich dafür alles benötige.

    Ein VPN für den "normalen" Internetzugang bzw. dessen Traffic benötige ich nicht.

    Ich schließe diesen Beitrag nun.

    Ihr seid mir eine große Hilfe gewesen!

    Vielen Dank dafür.