17
Gesicherter Backupserver gesucht
Hallo zusammen,
ich habe mir am Wochenende den interessanten Vortrag aus folgendem Beitrag angesehen: Anatomie eines Super-GAUs - Erfahrungen eines IT-Securityberaters
@DerWoWusste Danke für den Link
Nun stellt sich mir eine Frage. Im Vortrag wir ein besonders sicheres Backupsystem erwähnt, bei dem der Zugriff auf die Backups durch Unbefugte (nahezu) ausgeschlossen wird. Er beschreibt das so:
Das klingt irgendwie gut, aber irgendwie finde ich keinen Ansatz dazu. Welches System macht das so? Oder wenn Eigenbau - wie könnte man das implementieren? Eine Idee wäre ja, so was wie einen FTP-Server auf dem zu sichernden Client zu habe, der die lokal vom Client angefertigten Backup-Container abholt. Wenn man das aber mit einem FTP-Zugang am Client implementiert, vergrößert man die Angriffsfläche des Clients.
Hat jemand ne Idee?
Grüße
lcer
ich habe mir am Wochenende den interessanten Vortrag aus folgendem Beitrag angesehen: Anatomie eines Super-GAUs - Erfahrungen eines IT-Securityberaters
@DerWoWusste Danke für den Link
Nun stellt sich mir eine Frage. Im Vortrag wir ein besonders sicheres Backupsystem erwähnt, bei dem der Zugriff auf die Backups durch Unbefugte (nahezu) ausgeschlossen wird. Er beschreibt das so:
- Der Backup-Server ist hinter einer "Firewall" (mit Anführungszeichen!)
- Die Firewall lässt nichts zum Backupserver.
- Der Backupserver stellt selbstständig die Verbindung zu dem zu sichernden Etwas (Host, Agent auf Host was auch immer) her, öffnet dazu temporär die Firewall.
- Nachdem Sicherungsjob wird wieder alles dicht gemacht.
Das klingt irgendwie gut, aber irgendwie finde ich keinen Ansatz dazu. Welches System macht das so? Oder wenn Eigenbau - wie könnte man das implementieren? Eine Idee wäre ja, so was wie einen FTP-Server auf dem zu sichernden Client zu habe, der die lokal vom Client angefertigten Backup-Container abholt. Wenn man das aber mit einem FTP-Zugang am Client implementiert, vergrößert man die Angriffsfläche des Clients.
Hat jemand ne Idee?
Grüße
lcer
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 606517
Url: https://administrator.de/forum/gesicherter-backupserver-gesucht-606517.html
Ausgedruckt am: 02.04.2025 um 16:04 Uhr
17 Kommentare
Neuester Kommentar
Zitat von @lcer00:
Hallo zusammen,
ich habe mir am Wochenende den interessanten Vortrag aus folgendem Beitrag angesehen: Anatomie eines Super-GAUs - Erfahrungen eines IT-Securityberaters
@DerWoWusste Danke für den Link
Nun stellt sich mir eine Frage. Im Vortrag wir ein besonders sicheres Backupsystem erwähnt, bei dem der Zugriff auf die Backups durch Unbefugte (nahezu) ausgeschlossen wird. Er beschreibt das so:
Das klingt irgendwie gut, aber irgendwie finde ich keinen Ansatz dazu. Welches System macht das so? Oder wenn Eigenbau - wie könnte man das implementieren? Eine Idee wäre ja, so was wie einen FTP-Server auf dem zu sichernden Client zu habe, der die lokal vom Client angefertigten Backup-Container abholt. Wenn man das aber mit einem FTP-Zugang am Client implementiert, vergrößert man die Angriffsfläche des Clients.
Hat jemand ne Idee?
Hallo zusammen,
ich habe mir am Wochenende den interessanten Vortrag aus folgendem Beitrag angesehen: Anatomie eines Super-GAUs - Erfahrungen eines IT-Securityberaters
@DerWoWusste Danke für den Link
Nun stellt sich mir eine Frage. Im Vortrag wir ein besonders sicheres Backupsystem erwähnt, bei dem der Zugriff auf die Backups durch Unbefugte (nahezu) ausgeschlossen wird. Er beschreibt das so:
- Der Backup-Server ist hinter einer "Firewall" (mit Anführungszeichen!)
- Die Firewall lässt nichts zum Backupserver.
- Der Backupserver stellt selbstständig die Verbindung zu dem zu sichernden Etwas (Host, Agent auf Host was auch immer) her, öffnet dazu temporär die Firewall.
- Nachdem Sicherungsjob wird wieder alles dicht gemacht.
Das klingt irgendwie gut, aber irgendwie finde ich keinen Ansatz dazu. Welches System macht das so? Oder wenn Eigenbau - wie könnte man das implementieren? Eine Idee wäre ja, so was wie einen FTP-Server auf dem zu sichernden Client zu habe, der die lokal vom Client angefertigten Backup-Container abholt. Wenn man das aber mit einem FTP-Zugang am Client implementiert, vergrößert man die Angriffsfläche des Clients.
Hat jemand ne Idee?
Moin,
Ist eigentlich ein Standard-verfahren:
- SSH oder VPN-Zugang zum Client
- scp, rsync, robocopy, etc zum Kopieren der Daten
Setze ich auch schon öfter mal bei Kunden ein.
lks
Hi
das ist eine ganz normale Pull-Sicherung.
Man macht sich dazu ein VLAN in dem alle Backup-Komponenten stehen. Dieses VLAN Hängt man hinter eine Firewall und die hat eingehend einfach eine Deny-All Regel. Ausgehend dürfen die backupserver/Mediaagents mit den Netzwerken sprechen, in denen zu sichernde Komponenten stehen.
Dann stellt man sich einen PC im Büro ab dessen Port auch in das VLAN kommt und nur über diesen ist eine Kommunikation mit dem Backupserver möglich. Sprich, auf diesem Rechner ist dann die Verwaltungskonsole installiert.
Somit ist sichergestellt das keiner jemals von aussen mit dem Backupserver reden kann, wenn dieser die Verbindung nicht eigenständig aufbaut
das ist eine ganz normale Pull-Sicherung.
Man macht sich dazu ein VLAN in dem alle Backup-Komponenten stehen. Dieses VLAN Hängt man hinter eine Firewall und die hat eingehend einfach eine Deny-All Regel. Ausgehend dürfen die backupserver/Mediaagents mit den Netzwerken sprechen, in denen zu sichernde Komponenten stehen.
Dann stellt man sich einen PC im Büro ab dessen Port auch in das VLAN kommt und nur über diesen ist eine Kommunikation mit dem Backupserver möglich. Sprich, auf diesem Rechner ist dann die Verwaltungskonsole installiert.
Somit ist sichergestellt das keiner jemals von aussen mit dem Backupserver reden kann, wenn dieser die Verbindung nicht eigenständig aufbaut
Hallo,
Würde Robocopy funktionieren (Wir sind hauptsächlich bei Windows unterwegs)? Benötigt smb nicht eine wechselseitige offene Verbindung?
Der Netzwerkteil ist für mich nachvollziehbar. Gibt es "fertige" Backup-Tools die das eigentliche Sichern (das Wegkopieren) mit eingebaut haben? Mir geht es inbesondere um Sachen wie Versionierung, und Aufbewahrungsregeln, einfaches Datenkopieren (rsync etc.) reicht ja nicht aus um Zeitlich gestaffelte Backups vorzuhalten.
Grüße
lcer
Zitat von @Lochkartenstanzer:
Ist eigentlich ein Standard-verfahren:
Ist eigentlich ein Standard-verfahren:
- SSH oder VPN-Zugang zum Client
- scp, rsync, robocopy, etc zum Kopieren der Daten
Würde Robocopy funktionieren (Wir sind hauptsächlich bei Windows unterwegs)? Benötigt smb nicht eine wechselseitige offene Verbindung?
Zitat von @SeaStorm:
Hi
das ist eine ganz normale Pull-Sicherung.
Man macht sich dazu ein VLAN in dem alle Backup-Komponenten stehen. Dieses VLAN Hängt man hinter eine Firewall und die hat eingehend einfach eine Deny-All Regel. Ausgehend dürfen die backupserver/Mediaagents mit den Netzwerken sprechen, in denen zu sichernde Komponenten stehen.
Hi
das ist eine ganz normale Pull-Sicherung.
Man macht sich dazu ein VLAN in dem alle Backup-Komponenten stehen. Dieses VLAN Hängt man hinter eine Firewall und die hat eingehend einfach eine Deny-All Regel. Ausgehend dürfen die backupserver/Mediaagents mit den Netzwerken sprechen, in denen zu sichernde Komponenten stehen.
Der Netzwerkteil ist für mich nachvollziehbar. Gibt es "fertige" Backup-Tools die das eigentliche Sichern (das Wegkopieren) mit eingebaut haben? Mir geht es inbesondere um Sachen wie Versionierung, und Aufbewahrungsregeln, einfaches Datenkopieren (rsync etc.) reicht ja nicht aus um Zeitlich gestaffelte Backups vorzuhalten.
Grüße
lcer
Zitat von @lcer00:
Hallo,
Würde Robocopy funktionieren (Wir sind hauptsächlich bei Windows unterwegs)? Benötigt smb nicht eine wechselseitige offene Verbindung?
Hallo,
Zitat von @Lochkartenstanzer:
Ist eigentlich ein Standard-verfahren:
Ist eigentlich ein Standard-verfahren:
- SSH oder VPN-Zugang zum Client
- scp, rsync, robocopy, etc zum Kopieren der Daten
Würde Robocopy funktionieren (Wir sind hauptsächlich bei Windows unterwegs)? Benötigt smb nicht eine wechselseitige offene Verbindung?
SMB über VPN? Ich dachte, daß wäre klar.
lks
Hallo,
Schön und gut, damit kann ich ein Dateibackup durchführen.
Meiner Meinung nach sind Systembackups bzw. Backups von kompletten virtuellen Maschinen und z.B. Backups von Datenbanken genauso wichtig, wenn nicht sogar wichtiger.
Was nützt dir ein Backup der Dateien, wenn die Systeme defekt sind ?
CH
SSH oder VPN-Zugang zum Client
scp, rsync, robocopy, etc zum Kopieren der Daten
scp, rsync, robocopy, etc zum Kopieren der Daten
Schön und gut, damit kann ich ein Dateibackup durchführen.
Meiner Meinung nach sind Systembackups bzw. Backups von kompletten virtuellen Maschinen und z.B. Backups von Datenbanken genauso wichtig, wenn nicht sogar wichtiger.
Was nützt dir ein Backup der Dateien, wenn die Systeme defekt sind ?
CH
Hallo,
Grüße
lcer
Zitat von @Lochkartenstanzer:
SMB über VPN? Ich dachte, daß wäre klar.
Da steh ich jetzt auf dem Schlauch. Wenn man von einem kompromittierten Client ausgeht, habe ich bei bestehender SMB-Verbindung doch eine recht große Angriffsfläche - egal ob mit oder ohne VPN. Die wäre bei gut gepatchtem ssh/scp doch deutlich kleiner. Oder?Zitat von @lcer00:
Hallo,
Würde Robocopy funktionieren (Wir sind hauptsächlich bei Windows unterwegs)? Benötigt smb nicht eine wechselseitige offene Verbindung?
Hallo,
Würde Robocopy funktionieren (Wir sind hauptsächlich bei Windows unterwegs)? Benötigt smb nicht eine wechselseitige offene Verbindung?
SMB über VPN? Ich dachte, daß wäre klar.
Grüße
lcer
Zitat von @ChriBo:
Hallo,
Schön und gut, damit kann ich ein Dateibackup durchführen.
Meiner Meinung nach sind Systembackups bzw. Backups von kompletten virtuellen Maschinen und z.B. Backups von Datenbanken genauso wichtig, wenn nicht sogar wichtiger.
Hallo,
SSH oder VPN-Zugang zum Client
scp, rsync, robocopy, etc zum Kopieren der Daten
scp, rsync, robocopy, etc zum Kopieren der Daten
Schön und gut, damit kann ich ein Dateibackup durchführen.
Meiner Meinung nach sind Systembackups bzw. Backups von kompletten virtuellen Maschinen und z.B. Backups von Datenbanken genauso wichtig, wenn nicht sogar wichtiger.
Was hindert Dich daran, ein komplettes System-backup zu machen? Der transfer dieses Backup-Images kann dann ohne weiteres per scp/rsync/robocopy erfolgen.
Was nützt dir ein Backup der Dateien, wenn die Systeme defekt sind ?
Man kann die Systeme auch aus den Dateien restaurieren, wenn man das Backup richtig gemacht hat.
lks
So ziemlich jedes Backuptool macht das. Entweder wird die VM gesichert oder eben über einen Agent, der am Client installiert wird.
Hallo,
Acronis / VEEAM agentenbasiert.
Gruß,
Jörg
Acronis / VEEAM agentenbasiert.
Gruß,
Jörg
Zitat von @117471:
Hallo,
Acronis / VEEAM agentenbasiert.
Hallo,
Acronis / VEEAM agentenbasiert.
Bei uns läuft Acronis. Habe das gerade mal mit Wireshark überprüft.
Wenn man von der Verwaltungskonsole einen Sicherungsjob startet, beginnt der Agent Daten vom Client aus an den Sicherungsspeicher (ein NAS mit SMB) zu senden.
Ich habe hier nicht die Advanced-Versionen, geht das da vielleicht anders?
Grüße
lcer
Für eine ausreichende Sicherheit reicht doch Veeam und ein Linux / FreeBSD System als Backup-Ziel.
Das Backup System darf nicht in der Domäne hängen.
Es muss im eigenen VLAN hängen.
Es darf Firewalltechnisch nur vom Backupserver angesprochen werden, auch nur in der vordefinierten Uhrzeit des Backups, das lässt sich per Cronjob einstellen und muss nicht vom Backup Programm kommen.
Die Freigabe wird mit einem eigenständigen Usernamen direkt auf dem Linux System authentifiziert - wie gesagt, keine Konten aus dem AD.
Die Credentials für diese Freigabe sind nur in Veeam gespeichert.
Der Veeam Backupserver hängt nicht in der Domäne.
Es hat einen eigenständigen Benutzernamen lokal auf dem Rechner, keine AD Anbindung.
Um die Domänenrechner sichern zu können sind die Domänencredentials nur in Veeam gespeichert.
Für den Zeitpunkt einer nötigen Rücksicherung wird die Firewall manuell aufgemacht - natürlich nur, wenn dier Rücksicherungsgrund kein infiziertes Gerät war, das darauf wartet, dass sich weitere Tore öffnen.
Sollte der Angreifer die Windows Clients erreichen, dann ist aber noch lange nicht das SMB zum Backup Ziel offen. Er muss zuerst durch die Firewall und dann noch das SMB vom FreeBSD knacken oder eine Sicherheitslücke in Veeam finden um die Credentials auszulesen.
Veam kann auch differenziell sichern und auch alte Versionen zurücksichern.
Das Backup System darf nicht in der Domäne hängen.
Es muss im eigenen VLAN hängen.
Es darf Firewalltechnisch nur vom Backupserver angesprochen werden, auch nur in der vordefinierten Uhrzeit des Backups, das lässt sich per Cronjob einstellen und muss nicht vom Backup Programm kommen.
Die Freigabe wird mit einem eigenständigen Usernamen direkt auf dem Linux System authentifiziert - wie gesagt, keine Konten aus dem AD.
Die Credentials für diese Freigabe sind nur in Veeam gespeichert.
Der Veeam Backupserver hängt nicht in der Domäne.
Es hat einen eigenständigen Benutzernamen lokal auf dem Rechner, keine AD Anbindung.
Um die Domänenrechner sichern zu können sind die Domänencredentials nur in Veeam gespeichert.
Für den Zeitpunkt einer nötigen Rücksicherung wird die Firewall manuell aufgemacht - natürlich nur, wenn dier Rücksicherungsgrund kein infiziertes Gerät war, das darauf wartet, dass sich weitere Tore öffnen.
Sollte der Angreifer die Windows Clients erreichen, dann ist aber noch lange nicht das SMB zum Backup Ziel offen. Er muss zuerst durch die Firewall und dann noch das SMB vom FreeBSD knacken oder eine Sicherheitslücke in Veeam finden um die Credentials auszulesen.
Veam kann auch differenziell sichern und auch alte Versionen zurücksichern.
Hallo,
Soll dass bedeuten, dass Veem in dieser Konfiguration die Daten wie folgt sichert:
UND NICHT so:
Die zweite Variante macht derzeit mein Acronis (standart-Edition). Welche Veem-Variante mach das so oder - gibt es da einen Fachbegriff für, dann kann ich selbst nach suchen.
Grüße
lcer
Zitat von @NordicMike:
Für eine ausreichende Sicherheit reicht doch Veeam und ein Linux / FreeBSD System als Backup-Ziel.
Das Backup System darf nicht in der Domäne hängen.
Es muss im eigenen VLAN hängen.
Es darf Firewalltechnisch nur vom Backupserver angesprochen werden, auch nur in der vordefinierten Uhrzeit des Backups, das lässt sich per Cronjob einstellen und muss nicht vom Backup Programm kommen.
Für eine ausreichende Sicherheit reicht doch Veeam und ein Linux / FreeBSD System als Backup-Ziel.
Das Backup System darf nicht in der Domäne hängen.
Es muss im eigenen VLAN hängen.
Es darf Firewalltechnisch nur vom Backupserver angesprochen werden, auch nur in der vordefinierten Uhrzeit des Backups, das lässt sich per Cronjob einstellen und muss nicht vom Backup Programm kommen.
Soll dass bedeuten, dass Veem in dieser Konfiguration die Daten wie folgt sichert:
- der Agent auf dem PC/Server schickt Daten zum Backupserver
- der Backupserver schreibt die Daten auf das Linux-System
UND NICHT so:
- der Agent schickt die Daten direkt zum Linux-System
- der "Backup-Server" spielt nur Verwaltungskonsole?
Die zweite Variante macht derzeit mein Acronis (standart-Edition). Welche Veem-Variante mach das so oder - gibt es da einen Fachbegriff für, dann kann ich selbst nach suchen.
Grüße
lcer
Ehrlich gesagt habe ich es nicht getestet, dieser Punkt ist auf meiner ToDo Liste noch offen.
Ich bin davon ausgegangen, dass die Sachen nicht vom Agent des Clients auf das Backupziel "geschoben" werden, sondern der Backup Server die Sachen vom Agent "abholt" und dann auf das Backup Ziel schiebt.
Bild:
Ich bin davon ausgegangen, dass die Sachen nicht vom Agent des Clients auf das Backupziel "geschoben" werden, sondern der Backup Server die Sachen vom Agent "abholt" und dann auf das Backup Ziel schiebt.
Bild:
Hallo,
habe gerade nochmal gesucht und was für Acronis gefunden:
PDF best Practice von Acronis
Man muss einen Acronis Storage Node benutzen, dann passt es.
Grüße
lcer
habe gerade nochmal gesucht und was für Acronis gefunden:
PDF best Practice von Acronis
Man muss einen Acronis Storage Node benutzen, dann passt es.
Grüße
lcer
1
Hallo,
Japp - allerdings kennt im Idealfall "nur" Acronis die Zugangsdaten für das SMB-Share
Gruß,
Jörg
Zitat von @lcer00:
Wenn man von der Verwaltungskonsole einen Sicherungsjob startet, beginnt der Agent Daten vom Client aus an den Sicherungsspeicher (ein NAS mit SMB) zu senden.
Wenn man von der Verwaltungskonsole einen Sicherungsjob startet, beginnt der Agent Daten vom Client aus an den Sicherungsspeicher (ein NAS mit SMB) zu senden.
Japp - allerdings kennt im Idealfall "nur" Acronis die Zugangsdaten für das SMB-Share
Gruß,
Jörg
Hallo,
Das wäre die zweite Option. Zumal man dann noch weitere Möglichkeiten (Deduplizierung usw.) erhält.
Gruß,
Jörg
Das wäre die zweite Option. Zumal man dann noch weitere Möglichkeiten (Deduplizierung usw.) erhält.
Gruß,
Jörg
Da ist nichts Besonderes dran. Wir sichern auf diese Weise alle Server und ziehen auch die Backups der Standorte durch die VPNs. Bei Linux Server arbeiten wir mit SSH/ReverseSSH und bei Windows Servern gibt es einen "Backup Target Server" wo die Windows Maschinen hinsichern dürfen. Das holt dann das Backupsystem wieder per SSH ab. Und denk immer daran: Immer nur von sichereren Netzen aus Verbindung in die unsichereren Netze aufbauen. Niemals umgekehrt. Es darf keinen Weg zum Backup Server geben. Für die Wartung kannst du über einen Bastion Host gehen oder besser noch geh in den Serverraum direkt an den Backupserver.
