lcer00
Goto Top

Gesicherter Backupserver gesucht

Hallo zusammen,

ich habe mir am Wochenende den interessanten Vortrag aus folgendem Beitrag angesehen: Anatomie eines Super-GAUs - Erfahrungen eines IT-Securityberaters
@DerWoWusste Danke für den Link

Nun stellt sich mir eine Frage. Im Vortrag wir ein besonders sicheres Backupsystem erwähnt, bei dem der Zugriff auf die Backups durch Unbefugte (nahezu) ausgeschlossen wird. Er beschreibt das so:

  • Der Backup-Server ist hinter einer "Firewall" (mit Anführungszeichen!)
  • Die Firewall lässt nichts zum Backupserver.
  • Der Backupserver stellt selbstständig die Verbindung zu dem zu sichernden Etwas (Host, Agent auf Host was auch immer) her, öffnet dazu temporär die Firewall.
  • Nachdem Sicherungsjob wird wieder alles dicht gemacht.

Das klingt irgendwie gut, aber irgendwie finde ich keinen Ansatz dazu. Welches System macht das so? Oder wenn Eigenbau - wie könnte man das implementieren? Eine Idee wäre ja, so was wie einen FTP-Server auf dem zu sichernden Client zu habe, der die lokal vom Client angefertigten Backup-Container abholt. Wenn man das aber mit einem FTP-Zugang am Client implementiert, vergrößert man die Angriffsfläche des Clients.

Hat jemand ne Idee?

Grüße

lcer

Content-Key: 606517

Url: https://administrator.de/contentid/606517

Ausgedruckt am: 19.03.2024 um 10:03 Uhr

Mitglied: Lochkartenstanzer
Lösung Lochkartenstanzer 21.09.2020 aktualisiert um 09:16:08 Uhr
Goto Top
Zitat von @lcer00:

Hallo zusammen,

ich habe mir am Wochenende den interessanten Vortrag aus folgendem Beitrag angesehen: Anatomie eines Super-GAUs - Erfahrungen eines IT-Securityberaters
@DerWoWusste Danke für den Link

Nun stellt sich mir eine Frage. Im Vortrag wir ein besonders sicheres Backupsystem erwähnt, bei dem der Zugriff auf die Backups durch Unbefugte (nahezu) ausgeschlossen wird. Er beschreibt das so:

  • Der Backup-Server ist hinter einer "Firewall" (mit Anführungszeichen!)
  • Die Firewall lässt nichts zum Backupserver.
  • Der Backupserver stellt selbstständig die Verbindung zu dem zu sichernden Etwas (Host, Agent auf Host was auch immer) her, öffnet dazu temporär die Firewall.
  • Nachdem Sicherungsjob wird wieder alles dicht gemacht.

Das klingt irgendwie gut, aber irgendwie finde ich keinen Ansatz dazu. Welches System macht das so? Oder wenn Eigenbau - wie könnte man das implementieren? Eine Idee wäre ja, so was wie einen FTP-Server auf dem zu sichernden Client zu habe, der die lokal vom Client angefertigten Backup-Container abholt. Wenn man das aber mit einem FTP-Zugang am Client implementiert, vergrößert man die Angriffsfläche des Clients.

Hat jemand ne Idee?

Moin,

Ist eigentlich ein Standard-verfahren:

  • SSH oder VPN-Zugang zum Client
  • scp, rsync, robocopy, etc zum Kopieren der Daten

Setze ich auch schon öfter mal bei Kunden ein.

lks
Mitglied: SeaStorm
Lösung SeaStorm 21.09.2020 um 09:16:17 Uhr
Goto Top
Hi

das ist eine ganz normale Pull-Sicherung.
Man macht sich dazu ein VLAN in dem alle Backup-Komponenten stehen. Dieses VLAN Hängt man hinter eine Firewall und die hat eingehend einfach eine Deny-All Regel. Ausgehend dürfen die backupserver/Mediaagents mit den Netzwerken sprechen, in denen zu sichernde Komponenten stehen.
Dann stellt man sich einen PC im Büro ab dessen Port auch in das VLAN kommt und nur über diesen ist eine Kommunikation mit dem Backupserver möglich. Sprich, auf diesem Rechner ist dann die Verwaltungskonsole installiert.

Somit ist sichergestellt das keiner jemals von aussen mit dem Backupserver reden kann, wenn dieser die Verbindung nicht eigenständig aufbaut
Mitglied: lcer00
lcer00 21.09.2020 um 09:31:26 Uhr
Goto Top
Hallo,
Zitat von @Lochkartenstanzer:
Ist eigentlich ein Standard-verfahren:

  • SSH oder VPN-Zugang zum Client
  • scp, rsync, robocopy, etc zum Kopieren der Daten

Würde Robocopy funktionieren (Wir sind hauptsächlich bei Windows unterwegs)? Benötigt smb nicht eine wechselseitige offene Verbindung?

Zitat von @SeaStorm:

Hi

das ist eine ganz normale Pull-Sicherung.
Man macht sich dazu ein VLAN in dem alle Backup-Komponenten stehen. Dieses VLAN Hängt man hinter eine Firewall und die hat eingehend einfach eine Deny-All Regel. Ausgehend dürfen die backupserver/Mediaagents mit den Netzwerken sprechen, in denen zu sichernde Komponenten stehen.

Der Netzwerkteil ist für mich nachvollziehbar. Gibt es "fertige" Backup-Tools die das eigentliche Sichern (das Wegkopieren) mit eingebaut haben? Mir geht es inbesondere um Sachen wie Versionierung, und Aufbewahrungsregeln, einfaches Datenkopieren (rsync etc.) reicht ja nicht aus um Zeitlich gestaffelte Backups vorzuhalten.

Grüße

lcer
Mitglied: Lochkartenstanzer
Lochkartenstanzer 21.09.2020 um 09:33:31 Uhr
Goto Top
Zitat von @lcer00:

Hallo,
Zitat von @Lochkartenstanzer:
Ist eigentlich ein Standard-verfahren:

  • SSH oder VPN-Zugang zum Client
  • scp, rsync, robocopy, etc zum Kopieren der Daten

Würde Robocopy funktionieren (Wir sind hauptsächlich bei Windows unterwegs)? Benötigt smb nicht eine wechselseitige offene Verbindung?

SMB über VPN? Ich dachte, daß wäre klar.

lks
Mitglied: ChriBo
ChriBo 21.09.2020 um 09:38:17 Uhr
Goto Top
Hallo,
SSH oder VPN-Zugang zum Client
scp, rsync, robocopy, etc zum Kopieren der Daten

Schön und gut, damit kann ich ein Dateibackup durchführen.
Meiner Meinung nach sind Systembackups bzw. Backups von kompletten virtuellen Maschinen und z.B. Backups von Datenbanken genauso wichtig, wenn nicht sogar wichtiger.
Was nützt dir ein Backup der Dateien, wenn die Systeme defekt sind ?

CH
Mitglied: lcer00
lcer00 21.09.2020 um 09:38:22 Uhr
Goto Top
Hallo,
Zitat von @Lochkartenstanzer:

Zitat von @lcer00:

Hallo,

Würde Robocopy funktionieren (Wir sind hauptsächlich bei Windows unterwegs)? Benötigt smb nicht eine wechselseitige offene Verbindung?

SMB über VPN? Ich dachte, daß wäre klar.
Da steh ich jetzt auf dem Schlauch. Wenn man von einem kompromittierten Client ausgeht, habe ich bei bestehender SMB-Verbindung doch eine recht große Angriffsfläche - egal ob mit oder ohne VPN. Die wäre bei gut gepatchtem ssh/scp doch deutlich kleiner. Oder?

Grüße

lcer
Mitglied: Lochkartenstanzer
Lösung Lochkartenstanzer 21.09.2020 um 09:43:37 Uhr
Goto Top
Zitat von @ChriBo:

Hallo,
SSH oder VPN-Zugang zum Client
scp, rsync, robocopy, etc zum Kopieren der Daten

Schön und gut, damit kann ich ein Dateibackup durchführen.
Meiner Meinung nach sind Systembackups bzw. Backups von kompletten virtuellen Maschinen und z.B. Backups von Datenbanken genauso wichtig, wenn nicht sogar wichtiger.

Was hindert Dich daran, ein komplettes System-backup zu machen? Der transfer dieses Backup-Images kann dann ohne weiteres per scp/rsync/robocopy erfolgen.

Was nützt dir ein Backup der Dateien, wenn die Systeme defekt sind ?

Man kann die Systeme auch aus den Dateien restaurieren, wenn man das Backup richtig gemacht hat.

lks
Mitglied: SeaStorm
SeaStorm 21.09.2020 um 09:58:03 Uhr
Goto Top
So ziemlich jedes Backuptool macht das. Entweder wird die VM gesichert oder eben über einen Agent, der am Client installiert wird.
Mitglied: 117471
117471 21.09.2020 um 10:25:45 Uhr
Goto Top
Hallo,

Acronis / VEEAM agentenbasiert.

Gruß,
Jörg
Mitglied: lcer00
lcer00 21.09.2020 um 10:50:03 Uhr
Goto Top
Zitat von @117471:

Hallo,

Acronis / VEEAM agentenbasiert.

Bei uns läuft Acronis. Habe das gerade mal mit Wireshark überprüft.

Wenn man von der Verwaltungskonsole einen Sicherungsjob startet, beginnt der Agent Daten vom Client aus an den Sicherungsspeicher (ein NAS mit SMB) zu senden.

Ich habe hier nicht die Advanced-Versionen, geht das da vielleicht anders?

Grüße

lcer
Mitglied: NordicMike
Lösung NordicMike 21.09.2020 aktualisiert um 11:02:18 Uhr
Goto Top
Für eine ausreichende Sicherheit reicht doch Veeam und ein Linux / FreeBSD System als Backup-Ziel.

Das Backup System darf nicht in der Domäne hängen.
Es muss im eigenen VLAN hängen.
Es darf Firewalltechnisch nur vom Backupserver angesprochen werden, auch nur in der vordefinierten Uhrzeit des Backups, das lässt sich per Cronjob einstellen und muss nicht vom Backup Programm kommen.
Die Freigabe wird mit einem eigenständigen Usernamen direkt auf dem Linux System authentifiziert - wie gesagt, keine Konten aus dem AD.
Die Credentials für diese Freigabe sind nur in Veeam gespeichert.

Der Veeam Backupserver hängt nicht in der Domäne.
Es hat einen eigenständigen Benutzernamen lokal auf dem Rechner, keine AD Anbindung.
Um die Domänenrechner sichern zu können sind die Domänencredentials nur in Veeam gespeichert.

Für den Zeitpunkt einer nötigen Rücksicherung wird die Firewall manuell aufgemacht - natürlich nur, wenn dier Rücksicherungsgrund kein infiziertes Gerät war, das darauf wartet, dass sich weitere Tore öffnen.

Sollte der Angreifer die Windows Clients erreichen, dann ist aber noch lange nicht das SMB zum Backup Ziel offen. Er muss zuerst durch die Firewall und dann noch das SMB vom FreeBSD knacken oder eine Sicherheitslücke in Veeam finden um die Credentials auszulesen.

Veam kann auch differenziell sichern und auch alte Versionen zurücksichern.
Mitglied: lcer00
lcer00 21.09.2020 um 11:12:32 Uhr
Goto Top
Hallo,
Zitat von @NordicMike:

Für eine ausreichende Sicherheit reicht doch Veeam und ein Linux / FreeBSD System als Backup-Ziel.

Das Backup System darf nicht in der Domäne hängen.
Es muss im eigenen VLAN hängen.
Es darf Firewalltechnisch nur vom Backupserver angesprochen werden, auch nur in der vordefinierten Uhrzeit des Backups, das lässt sich per Cronjob einstellen und muss nicht vom Backup Programm kommen.

Soll dass bedeuten, dass Veem in dieser Konfiguration die Daten wie folgt sichert:

  • der Agent auf dem PC/Server schickt Daten zum Backupserver
  • der Backupserver schreibt die Daten auf das Linux-System

UND NICHT so:

  • der Agent schickt die Daten direkt zum Linux-System
  • der "Backup-Server" spielt nur Verwaltungskonsole?


Die zweite Variante macht derzeit mein Acronis (standart-Edition). Welche Veem-Variante mach das so oder - gibt es da einen Fachbegriff für, dann kann ich selbst nach suchen.

Grüße

lcer
Mitglied: NordicMike
Lösung NordicMike 21.09.2020 um 11:24:03 Uhr
Goto Top
Ehrlich gesagt habe ich es nicht getestet, dieser Punkt ist auf meiner ToDo Liste noch offen.

Ich bin davon ausgegangen, dass die Sachen nicht vom Agent des Clients auf das Backupziel "geschoben" werden, sondern der Backup Server die Sachen vom Agent "abholt" und dann auf das Backup Ziel schiebt.
Bild:
job_and_policy
Mitglied: lcer00
lcer00 21.09.2020 um 12:42:31 Uhr
Goto Top
Hallo,

habe gerade nochmal gesucht und was für Acronis gefunden:

PDF best Practice von Acronis

Man muss einen Acronis Storage Node benutzen, dann passt es.

Grüße

lcer
Mitglied: 117471
Lösung 117471 21.09.2020 um 13:26:36 Uhr
Goto Top
Hallo,

Zitat von @lcer00:

Wenn man von der Verwaltungskonsole einen Sicherungsjob startet, beginnt der Agent Daten vom Client aus an den Sicherungsspeicher (ein NAS mit SMB) zu senden.

Japp - allerdings kennt im Idealfall "nur" Acronis die Zugangsdaten für das SMB-Share face-smile

Gruß,
Jörg
Mitglied: 117471
Lösung 117471 21.09.2020 um 13:28:25 Uhr
Goto Top
Hallo,

Zitat von @lcer00:

Man muss einen Acronis Storage Node benutzen, dann passt es.

Das wäre die zweite Option. Zumal man dann noch weitere Möglichkeiten (Deduplizierung usw.) erhält.

Gruß,
Jörg
Mitglied: it-fraggle
it-fraggle 21.09.2020 aktualisiert um 17:19:20 Uhr
Goto Top
Da ist nichts Besonderes dran. Wir sichern auf diese Weise alle Server und ziehen auch die Backups der Standorte durch die VPNs. Bei Linux Server arbeiten wir mit SSH/ReverseSSH und bei Windows Servern gibt es einen "Backup Target Server" wo die Windows Maschinen hinsichern dürfen. Das holt dann das Backupsystem wieder per SSH ab. Und denk immer daran: Immer nur von sichereren Netzen aus Verbindung in die unsichereren Netze aufbauen. Niemals umgekehrt. Es darf keinen Weg zum Backup Server geben. Für die Wartung kannst du über einen Bastion Host gehen oder besser noch geh in den Serverraum direkt an den Backupserver.