Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?
Forum>Netzwerke>NAS Synology Backup auf Externe Festplatte. Sicherheit.

NAS Synology Backup auf Externe Festplatte. Sicherheit.

barbagianni
barbagianni21.11.1715:14
Hallo Zusammen,

ich habe seit einiger Zeit eine Synology DS415play am laufen bei mir.
Ein Backup habe ich mit Hilfe einer Externe Festplatte und Synology HyperBackup eingerichtet und alle funktioniert automatisch und zuverlässig.

Nun ich habe bedenken bezüglich Sicherheit in Falle eines Trojaners oder Virus.
Da die externe USB-Backup-Platte sich von der Synology einfach gemountet lässt, würde das für mich auch bedeuten, dass bei einer eventuelle Angriff auch meine externe Fest-Platte manipulieren werden könnte.

Liege ich richtig?
Hat jemand eine Idee wie man eine sicheren Workflow gestalten könnte?
Momentan, denke ich nicht daran die Daten per Cloud extern zu packen.

vielen Dank!
0

Kommentare

Jaguar1
Jaguar121.11.1715:19
Benutzt du Windows?
„Die Menschen sind nicht immer was sie scheinen, aber selten etwas besseres.“
-1
maculi
maculi21.11.1716:09
Hallo,
zunächst einmal kann einen der gesunde Menschenverstand auf dem Mac vor Schadsoftware schützen, zumindest vor den allermeisten. Eine 100% Garantie gibt es jedoch nie. Ein Trojaner... der "nur" versucht, den Rechner in ein Botnetz einzuspannen, dem ist die Synology egal. Anders sieht es bei Erpressungssoftware aus, die alle Daten auf dem Rechner verschlüsseln und nur gegen eine Zahlung (oder auch nicht) die Daten wieder freigibt. Um so einem Fall vorzubeugen macht es Sinn, die zusätzliche Platte nicht ständig an der Synology zu haben (bzw. nicht ständig eingeschaltet zu lassen). Ist die Platte nicht zu erreichen, kann darauf auch nichts verschlüsselt werden, und im Fall der Fälle liegen dann dort unverschlüsselte Daten für die Wiederherstellung des Macs.

Gruß
Uli
0
Megaseppl21.11.1716:21
Ich mache dies über 2 weitere NAS auf die die Haupt-NAS in verschiedenen Abständen die Daten sichert.
Eine der beiden NAS wird automatisch hoch- und heruntergefahren so dass in der restlichen Zeit kein Datenzugriff erfolgen kann (die andere NAS kann das leider nicht).
Auf meinem Home-Server läuft täglich ein Task der auf allen erreichbaren Netzwerkshares der NAS (per Read-Only-Zugriff) die Hashwerte bestimmter Honey-Pot-Dateien überprüft und sofort Alarm meldet (per Mail, alle Lichter werden rot, alle NAS werden per SSH abgeschaltet) wenn der Hashwert nicht stimmen sollte oder eine der Dateien fehlt.
0
jensche21.11.1716:48
Synology hat Malware Scanner und Virenscanner.

Zudem ist das Backup ja hoffentlich verschlüsselt.
-2
maculi
maculi21.11.1716:57
jensche Nichts gegen ein verschlüsseltes Backup. Das ist dann sinnvoll, wenn jemand einbricht und die Platten klaut. Aber wenn ein Erpressungstrojaner sein Unwesen treibt, den interessiert nicht, ob er selbst die Daten lesen kann oder nicht, der verschlüsselt einfach nochmal.
+1
chessboard
chessboard21.11.1718:30
Hängt das nicht ohnehin davon ab, mit welchen Rechten überhaupt vom Mac aus auf das NAS bzw. daran angeschlossene externe Festplatten zugegriffen werden kann? Grundsätzlich sollte doch eine Trojaner auf dem Mac nur auf gemounteten Ordnern, für die Schreibzugriff besteht, Schaden anrichten können.

Ich habe es bei mir so gestaltet, dass ich mich vom Mac aus mit einem Benuter am NAS anmelde, der grundsätzlich nur Lesezugriff auf Ordner auf dem NAS hat. Der einzige Ordner, auf den mein Standardbenutzer Schreibzugriff hat, ist ein "Eingangsordner". Zur Verwaltung und endgültigen Ablage der Dateien aus dem Eingangsordner melde ich mich als Admin über die Browseroberfläche auf dem NAS an.

Nach meiner Überlegung sollte dann ein Erpressungtrojaner ggf. nur die Daten im Eingangsordner verschlüsseln können, da er von der Verbindung über die Browseroberfläche ja nichts mitbekommen und diese nicht missbrauchen können sollte. Für externe Festplatten am NAS sollte doch die gleiche Sicherheit gelten, sofern sie nicht mit Schreibzugriff am Mac gemountet werden.

Etwas anderes wäre es natürlich, wenn es ein (Linux-)Trojaner direkt auf das NAS schaffen sollte. Aber dazu müsste das NAS ja vom Internet aus her erreichbar sein. Kann die Verbindung, die das NAS zu Synology zwecks Updates aufbaut, dazu missbraucht werden?
0
maculi
maculi21.11.1718:55
chessboard Kommt darauf an

Mancher benutzt sein NAS als Fileserver, da geht das so wie du es machst. Andere machen direkt aufs NAS das erste Backup, und auf eine zusätzliche Platte ein zweites. Dafür braucht der Mac natürlich Schreibrechte. Wenn dann ein böser Trojaner kommt, dann kann der sich fröhlich austoben und alles verschlüsseln. Die ursprüngliche Frage bezog sich auf Backup, und das zu erstellen ohne Schreibrechte wird schwierig, deshalb ist an- und ausschalten dafür eine praktikable Vorgehensweise.
+1
chessboard
chessboard21.11.1719:39
maculi
OK, da hast du recht. Allerdings habe ich barbagianni so verstanden, dass es nur um das Backup vom NAS auf die externe Platte ging.
Direkte Gefahr besteht in dieser Hinsicht ja eigentlich nur, wenn diese Platte vom Mac aus direkt erreichbar ist. Dazu besteht aber eigentlich keine Notwendigkeit, denn die externe Platte dient ja nur dem Backup vom NAS. Sofern keiner der NAS-Benutzer, mit denen man sich vom Mac aus am NAS anmeldet, Zugriffsrechte auf die externe Platte hat, sollte die vor Trojanern auf dem Mac eigentlich erst einmal sicher sein.

Wenn die Daten auf dem NAS aber bereits vom Trojaner verschlüsselt worden sein sollten, landen sie so dann natürlich auch früher oder später per HyperBackup auf der externen Platte. Sofern in HyperBackup aber das Sichern in Versionen aktiviert ist, sollte man auch bei einem durch den Trojaner verschlüsselten Backup immer noch an die unverschlüsselten Versionen davor kommen können.

Aber davon abgesehen ist An- um Abschalten der externen Platte natürlich die sicherste Lösung!
0
barbagianni
barbagianni22.11.1710:40
Hallo zusammen,
ich wollte natürlich vermeiden dass ich die Externe-Backup-Platte manuell ein- und ausschalte.

Die externe Backup-Platte wird von dem Mac nicht gemountet. Es ist auch nicht notwendig, denn es hängt an den NAS eben zwecks BackUp.
chessboard
maculi
Wenn die Daten auf dem NAS aber bereits vom Trojaner verschlüsselt worden sein sollten, landen sie so dann natürlich auch früher oder später per HyperBackup auf der externen Platte. Sofern in HyperBackup aber das Sichern in Versionen aktiviert ist, sollte man auch bei einem durch den Trojaner verschlüsselten Backup immer noch an die unverschlüsselten Versionen davor kommen können.

Mein andere Gedanke wäre eine zusätzliche Externe-USB Platte anzuschließen und darauf eine verschlüsselten Backup in Regelmäßige Abstände anzulegen.
Das Backup wäre dann in Falle der Fälle die letzte Rettung.

Sagen wir mal 1 Mal in Monat.
Bevor aber der NAS die Platte Mounten "darf" muss ich sie als admin mit Eingabe eines Passworts freigeben.


kann mir jemand sagen warum bei mir verschlüsselung meines Backup per Hyperbackup grau ist?
0
chessboard
chessboard22.11.1712:08
Eine weitere externe Platte erhöht die Sicherheit natürlich. Ich bin nur nicht sicher, ob dieses Backup dann von dir bzw. HyperBackup verschlüsselt werden muss/sollte. Einen erhöhten Schutze vor Verschlüsselungstrojanern würde das nach meiner Ansicht nicht bieten, eine zusätzliche Sicherheit vor mechanischem Datenverlust (Platte kaputt) und Diebstahl natürlich schon.
Kann sein, dass ich falsch liege, aber soweit ich weiß ist es für einen Verschlüsselungstrojaner egal, ob er bereits verschlüsselte oder noch nicht verschlüsselte Daten selber verschlüsselt. Sein Ziel ist es ja, dir den Zugang zu den Daten zu nehmen. Dabei jagt er wahrscheinlich alle Dateien, die bekommen kann, einfach noch mal durch seinen eigenen Verschlüsselungsalgorithmus.
barbagianni
kann mir jemand sagen warum bei mir verschlüsselung meines Backup per Hyperbackup grau ist?
Habe mal gerade bei meinem NAS nachgeschaut: Eine bereits bestehende Datensicherungsaufgabe lässt sich auch hier nicht mehr nachträglich verschlüsseln. Wenn du aber eine neue erstellst, sollte sich auch die Verschlüsselung einstellen lassen. Zumindest geht das bei mir.
+1
chessboard
chessboard22.11.1712:16
Ich persönlich würde mir an deiner Stelle nicht so sehr Sorgen wegen der externen Platte am NAS machen, sondern den Zugriff auf das NAS vom Mac aus so weit wie möglich beschränken. Wenn das NAS quasi nur als Backup-Medium für Dateien, die auf dem Mac liegen, dient und permanenter Schreibzugriff vom Mac auf das gesamte NAS möglich ist, besteht natürlich immer große Gefahr für die Daten, da sie entweder schon auf dem Mac verschlüsselt worden sein können, bevor sie per Backup auf das NAS gelangen, oder das Backup auf dem NAS nachträglich vom Trojaner verschlüsselt wird, weil Zugriff vom Mac aus möglich ist.
Meine Strategie ist daher wie oben beschrieben, nur einen einzigen Ordner mit Schreibzugriff auf dem NAS einzurichten und alles andere über die Browseroberfläche zu machen, ohne die Ordner auf dem Mac zu mounten.
Ist natürlich viel umständlicher, als direkt vom Mac aus drauf speichern zu können. Ist halt eine Frage der Anforderungen. Wenn man permanenten Schreibzugriff (von mehreren Rechnern aus) braucht, dann wäre vielleicht ein weiteres NAS sinnvoll, das dann entsprechend abgesichert ist.
0
Dayzd22.11.1712:24
chessboard
Bei deinem "Eingangsordner" hat der angemeldete Benutzer Schreib- und Leserechte oder nur Schreibrechte?
Wenn nur Schreibrechte, wird ein Trojaner eigentlich nicht viel anrichten können, da er nicht lesen kann, welche Dateien in dem Ordner drin sind, um diese dann zu verschlüsseln. Ohne Leserechte ist das Scannen eines Ordners definitiv nicht möglich. Das Gute: Wenn der Trojaner Root-Rechte auf dem lokalen Rechner erlangen sollte, nützen im diese auch sehr wenig auf dem NAS.
0
chessboard
chessboard22.11.1712:55
Dayzd
chessboard
Bei deinem "Eingangsordner" hat der angemeldete Benutzer Schreib- und Leserechte oder nur Schreibrechte?
Leider aus praktischen Gründes beides, wobei ich mir bewusst bin, dass das eine Schwachstelle ist. Zuerst wollte ich ihn wie den "Briefkasten" auf dem Mac betreiben, aber momentan handhabe ich es aus Bequemlichkeit anders. Ich weiß, das ist eigentlich unkonsequent. Aber bei der Art der Daten, die dort liegen und nicht direkt in mein Archiv auf dem NAS verschoben werden, ist das verschmerzbar.
Die Strategie mit dem Eingangsordner ist halt etwas umständlich, wenn eigentlich nur Daten auf dem NAS gespeichert werden sollen (erst in den Eingangsordner schreiben, dann per Browseroberfläche als NAS-Admin in den richtigen Ordner verschieben). Mir ist aber bislang noch nichts besseres eingefallen, um die Daten auf dem NAS sicher vor Malware zu lagern.
0

Kommentieren

Diese Diskussion ist bereits mehr als 3 Monate alt und kann daher nicht mehr kommentiert werden.