gelöst Gesicherter Backupserver gesucht

Mitglied: lcer00

lcer00 (Level 2) - Jetzt verbinden

21.09.2020, aktualisiert 09:05 Uhr, 1171 Aufrufe, 17 Kommentare, 2 Danke

Hallo zusammen,

ich habe mir am Wochenende den interessanten Vortrag aus folgendem Beitrag angesehen: https://administrator.de/ticker/anatomie-super-gaus-erfahrungen-it-secur ...
@DerWoWusste Danke für den Link

Nun stellt sich mir eine Frage. Im Vortrag wir ein besonders sicheres Backupsystem erwähnt, bei dem der Zugriff auf die Backups durch Unbefugte (nahezu) ausgeschlossen wird. Er beschreibt das so:

  • Der Backup-Server ist hinter einer "Firewall" (mit Anführungszeichen!)
  • Die Firewall lässt nichts zum Backupserver.
  • Der Backupserver stellt selbstständig die Verbindung zu dem zu sichernden Etwas (Host, Agent auf Host was auch immer) her, öffnet dazu temporär die Firewall.
  • Nachdem Sicherungsjob wird wieder alles dicht gemacht.

Das klingt irgendwie gut, aber irgendwie finde ich keinen Ansatz dazu. Welches System macht das so? Oder wenn Eigenbau - wie könnte man das implementieren? Eine Idee wäre ja, so was wie einen FTP-Server auf dem zu sichernden Client zu habe, der die lokal vom Client angefertigten Backup-Container abholt. Wenn man das aber mit einem FTP-Zugang am Client implementiert, vergrößert man die Angriffsfläche des Clients.

Hat jemand ne Idee?

Grüße

lcer
Mitglied: Lochkartenstanzer
LÖSUNG 21.09.2020, aktualisiert um 09:16 Uhr
Zitat von lcer00:

Hallo zusammen,

ich habe mir am Wochenende den interessanten Vortrag aus folgendem Beitrag angesehen: https://administrator.de/ticker/anatomie-super-gaus-erfahrungen-it-secur ...
@DerWoWusste Danke für den Link

Nun stellt sich mir eine Frage. Im Vortrag wir ein besonders sicheres Backupsystem erwähnt, bei dem der Zugriff auf die Backups durch Unbefugte (nahezu) ausgeschlossen wird. Er beschreibt das so:

  • Der Backup-Server ist hinter einer "Firewall" (mit Anführungszeichen!)
  • Die Firewall lässt nichts zum Backupserver.
  • Der Backupserver stellt selbstständig die Verbindung zu dem zu sichernden Etwas (Host, Agent auf Host was auch immer) her, öffnet dazu temporär die Firewall.
  • Nachdem Sicherungsjob wird wieder alles dicht gemacht.

Das klingt irgendwie gut, aber irgendwie finde ich keinen Ansatz dazu. Welches System macht das so? Oder wenn Eigenbau - wie könnte man das implementieren? Eine Idee wäre ja, so was wie einen FTP-Server auf dem zu sichernden Client zu habe, der die lokal vom Client angefertigten Backup-Container abholt. Wenn man das aber mit einem FTP-Zugang am Client implementiert, vergrößert man die Angriffsfläche des Clients.

Hat jemand ne Idee?

Moin,

Ist eigentlich ein Standard-verfahren:

  • SSH oder VPN-Zugang zum Client
  • scp, rsync, robocopy, etc zum Kopieren der Daten

Setze ich auch schon öfter mal bei Kunden ein.

lks
Bitte warten ..
Mitglied: SeaStorm
LÖSUNG 21.09.2020 um 09:16 Uhr
Hi

das ist eine ganz normale Pull-Sicherung.
Man macht sich dazu ein VLAN in dem alle Backup-Komponenten stehen. Dieses VLAN Hängt man hinter eine Firewall und die hat eingehend einfach eine Deny-All Regel. Ausgehend dürfen die backupserver/Mediaagents mit den Netzwerken sprechen, in denen zu sichernde Komponenten stehen.
Dann stellt man sich einen PC im Büro ab dessen Port auch in das VLAN kommt und nur über diesen ist eine Kommunikation mit dem Backupserver möglich. Sprich, auf diesem Rechner ist dann die Verwaltungskonsole installiert.

Somit ist sichergestellt das keiner jemals von aussen mit dem Backupserver reden kann, wenn dieser die Verbindung nicht eigenständig aufbaut
Bitte warten ..
Mitglied: lcer00
21.09.2020 um 09:31 Uhr
Hallo,
Zitat von Lochkartenstanzer:
Ist eigentlich ein Standard-verfahren:

  • SSH oder VPN-Zugang zum Client
  • scp, rsync, robocopy, etc zum Kopieren der Daten

Würde Robocopy funktionieren (Wir sind hauptsächlich bei Windows unterwegs)? Benötigt smb nicht eine wechselseitige offene Verbindung?

Zitat von SeaStorm:

Hi

das ist eine ganz normale Pull-Sicherung.
Man macht sich dazu ein VLAN in dem alle Backup-Komponenten stehen. Dieses VLAN Hängt man hinter eine Firewall und die hat eingehend einfach eine Deny-All Regel. Ausgehend dürfen die backupserver/Mediaagents mit den Netzwerken sprechen, in denen zu sichernde Komponenten stehen.

Der Netzwerkteil ist für mich nachvollziehbar. Gibt es "fertige" Backup-Tools die das eigentliche Sichern (das Wegkopieren) mit eingebaut haben? Mir geht es inbesondere um Sachen wie Versionierung, und Aufbewahrungsregeln, einfaches Datenkopieren (rsync etc.) reicht ja nicht aus um Zeitlich gestaffelte Backups vorzuhalten.

Grüße

lcer
Bitte warten ..
Mitglied: Lochkartenstanzer
21.09.2020 um 09:33 Uhr
Zitat von lcer00:

Hallo,
Zitat von Lochkartenstanzer:
Ist eigentlich ein Standard-verfahren:

  • SSH oder VPN-Zugang zum Client
  • scp, rsync, robocopy, etc zum Kopieren der Daten

Würde Robocopy funktionieren (Wir sind hauptsächlich bei Windows unterwegs)? Benötigt smb nicht eine wechselseitige offene Verbindung?

SMB über VPN? Ich dachte, daß wäre klar.

lks
Bitte warten ..
Mitglied: ChriBo
21.09.2020 um 09:38 Uhr
Hallo,
SSH oder VPN-Zugang zum Client
scp, rsync, robocopy, etc zum Kopieren der Daten

Schön und gut, damit kann ich ein Dateibackup durchführen.
Meiner Meinung nach sind Systembackups bzw. Backups von kompletten virtuellen Maschinen und z.B. Backups von Datenbanken genauso wichtig, wenn nicht sogar wichtiger.
Was nützt dir ein Backup der Dateien, wenn die Systeme defekt sind ?

CH
Bitte warten ..
Mitglied: lcer00
21.09.2020 um 09:38 Uhr
Hallo,
Zitat von Lochkartenstanzer:

Zitat von lcer00:

Hallo,

Würde Robocopy funktionieren (Wir sind hauptsächlich bei Windows unterwegs)? Benötigt smb nicht eine wechselseitige offene Verbindung?

SMB über VPN? Ich dachte, daß wäre klar.
Da steh ich jetzt auf dem Schlauch. Wenn man von einem kompromittierten Client ausgeht, habe ich bei bestehender SMB-Verbindung doch eine recht große Angriffsfläche - egal ob mit oder ohne VPN. Die wäre bei gut gepatchtem ssh/scp doch deutlich kleiner. Oder?

Grüße

lcer
Bitte warten ..
Mitglied: Lochkartenstanzer
LÖSUNG 21.09.2020 um 09:43 Uhr
Zitat von ChriBo:

Hallo,
SSH oder VPN-Zugang zum Client
scp, rsync, robocopy, etc zum Kopieren der Daten

Schön und gut, damit kann ich ein Dateibackup durchführen.
Meiner Meinung nach sind Systembackups bzw. Backups von kompletten virtuellen Maschinen und z.B. Backups von Datenbanken genauso wichtig, wenn nicht sogar wichtiger.

Was hindert Dich daran, ein komplettes System-backup zu machen? Der transfer dieses Backup-Images kann dann ohne weiteres per scp/rsync/robocopy erfolgen.

Was nützt dir ein Backup der Dateien, wenn die Systeme defekt sind ?

Man kann die Systeme auch aus den Dateien restaurieren, wenn man das Backup richtig gemacht hat.

lks
Bitte warten ..
Mitglied: SeaStorm
21.09.2020 um 09:58 Uhr
So ziemlich jedes Backuptool macht das. Entweder wird die VM gesichert oder eben über einen Agent, der am Client installiert wird.
Bitte warten ..
Mitglied: altmetaller
21.09.2020 um 10:25 Uhr
Hallo,

Acronis / VEEAM agentenbasiert.

Gruß,
Jörg
Bitte warten ..
Mitglied: lcer00
21.09.2020 um 10:50 Uhr
Zitat von altmetaller:

Hallo,

Acronis / VEEAM agentenbasiert.

Bei uns läuft Acronis. Habe das gerade mal mit Wireshark überprüft.

Wenn man von der Verwaltungskonsole einen Sicherungsjob startet, beginnt der Agent Daten vom Client aus an den Sicherungsspeicher (ein NAS mit SMB) zu senden.

Ich habe hier nicht die Advanced-Versionen, geht das da vielleicht anders?

Grüße

lcer
Bitte warten ..
Mitglied: NordicMike
LÖSUNG 21.09.2020, aktualisiert um 11:02 Uhr
Für eine ausreichende Sicherheit reicht doch Veeam und ein Linux / FreeBSD System als Backup-Ziel.

Das Backup System darf nicht in der Domäne hängen.
Es muss im eigenen VLAN hängen.
Es darf Firewalltechnisch nur vom Backupserver angesprochen werden, auch nur in der vordefinierten Uhrzeit des Backups, das lässt sich per Cronjob einstellen und muss nicht vom Backup Programm kommen.
Die Freigabe wird mit einem eigenständigen Usernamen direkt auf dem Linux System authentifiziert - wie gesagt, keine Konten aus dem AD.
Die Credentials für diese Freigabe sind nur in Veeam gespeichert.

Der Veeam Backupserver hängt nicht in der Domäne.
Es hat einen eigenständigen Benutzernamen lokal auf dem Rechner, keine AD Anbindung.
Um die Domänenrechner sichern zu können sind die Domänencredentials nur in Veeam gespeichert.

Für den Zeitpunkt einer nötigen Rücksicherung wird die Firewall manuell aufgemacht - natürlich nur, wenn dier Rücksicherungsgrund kein infiziertes Gerät war, das darauf wartet, dass sich weitere Tore öffnen.

Sollte der Angreifer die Windows Clients erreichen, dann ist aber noch lange nicht das SMB zum Backup Ziel offen. Er muss zuerst durch die Firewall und dann noch das SMB vom FreeBSD knacken oder eine Sicherheitslücke in Veeam finden um die Credentials auszulesen.

Veam kann auch differenziell sichern und auch alte Versionen zurücksichern.
Bitte warten ..
Mitglied: lcer00
21.09.2020 um 11:12 Uhr
Hallo,
Zitat von NordicMike:

Für eine ausreichende Sicherheit reicht doch Veeam und ein Linux / FreeBSD System als Backup-Ziel.

Das Backup System darf nicht in der Domäne hängen.
Es muss im eigenen VLAN hängen.
Es darf Firewalltechnisch nur vom Backupserver angesprochen werden, auch nur in der vordefinierten Uhrzeit des Backups, das lässt sich per Cronjob einstellen und muss nicht vom Backup Programm kommen.

Soll dass bedeuten, dass Veem in dieser Konfiguration die Daten wie folgt sichert:

  • der Agent auf dem PC/Server schickt Daten zum Backupserver
  • der Backupserver schreibt die Daten auf das Linux-System

UND NICHT so:

  • der Agent schickt die Daten direkt zum Linux-System
  • der "Backup-Server" spielt nur Verwaltungskonsole?


Die zweite Variante macht derzeit mein Acronis (standart-Edition). Welche Veem-Variante mach das so oder - gibt es da einen Fachbegriff für, dann kann ich selbst nach suchen.

Grüße

lcer
Bitte warten ..
Mitglied: NordicMike
LÖSUNG 21.09.2020 um 11:24 Uhr
Ehrlich gesagt habe ich es nicht getestet, dieser Punkt ist auf meiner ToDo Liste noch offen.

Ich bin davon ausgegangen, dass die Sachen nicht vom Agent des Clients auf das Backupziel "geschoben" werden, sondern der Backup Server die Sachen vom Agent "abholt" und dann auf das Backup Ziel schiebt.
Bild:
job_and_policy - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: lcer00
21.09.2020 um 12:42 Uhr
Hallo,

habe gerade nochmal gesucht und was für Acronis gefunden:

PDF best Practice von Acronis

Man muss einen Acronis Storage Node benutzen, dann passt es.

Grüße

lcer
Bitte warten ..
Mitglied: altmetaller
LÖSUNG 21.09.2020 um 13:26 Uhr
Hallo,

Zitat von lcer00:

Wenn man von der Verwaltungskonsole einen Sicherungsjob startet, beginnt der Agent Daten vom Client aus an den Sicherungsspeicher (ein NAS mit SMB) zu senden.

Japp - allerdings kennt im Idealfall "nur" Acronis die Zugangsdaten für das SMB-Share

Gruß,
Jörg
Bitte warten ..
Mitglied: altmetaller
LÖSUNG 21.09.2020 um 13:28 Uhr
Hallo,

Zitat von lcer00:

Man muss einen Acronis Storage Node benutzen, dann passt es.

Das wäre die zweite Option. Zumal man dann noch weitere Möglichkeiten (Deduplizierung usw.) erhält.

Gruß,
Jörg
Bitte warten ..
Mitglied: it-fraggle
21.09.2020, aktualisiert um 17:19 Uhr
Da ist nichts Besonderes dran. Wir sichern auf diese Weise alle Server und ziehen auch die Backups der Standorte durch die VPNs. Bei Linux Server arbeiten wir mit SSH/ReverseSSH und bei Windows Servern gibt es einen "Backup Target Server" wo die Windows Maschinen hinsichern dürfen. Das holt dann das Backupsystem wieder per SSH ab. Und denk immer daran: Immer nur von sichereren Netzen aus Verbindung in die unsichereren Netze aufbauen. Niemals umgekehrt. Es darf keinen Weg zum Backup Server geben. Für die Wartung kannst du über einen Bastion Host gehen oder besser noch geh in den Serverraum direkt an den Backupserver.
Bitte warten ..
Heiß diskutierte Inhalte
Router & Routing
Wireguard VPN (oder andere alternative) - Kompletter Traffic routen
gelöst KodaCHFrageRouter & Routing15 Kommentare

Guten Morgen Ich habe bisher mit OpenVPN und mit Wireguard VPN einige Tests gemacht. OpenVPN (Kostenlose Version): Hier habe ...

Server-Hardware
Konfiguration und Stromverbrauch ML350 Gen10
kosta88FrageServer-Hardware13 Kommentare

Hallo, ich versuche mal zu berechnen was ein ML350 verbrauchen würde. Ich weiß dass es von der Konfiguration und ...

Server
Kein Zugriff auf NAS bei DS Lite
martingerdesFrageServer11 Kommentare

Hallo liebe Gemeinde, dieses Thema kennen wahrscheinlich viele und ich selbst habe schon viele Forenbeiträge zu diesem Thema gelesen. ...

Windows Server
Hyper-V Server vs Datacenter?
holliknolliFrageWindows Server10 Kommentare

Hallo, hat jemand Erfahrung mit dem - kostenlosen - Hyper-V-Server? Ich meine, warum teure Lizenzen für Datacenter zahlen, wenn ...

Grafikkarten & Monitore
Grafikkarte kaputt? Hier muss noch etwas hin, weil der andere Titel schon vergeben ist :)
Sir.classicFrageGrafikkarten & Monitore9 Kommentare

Hallo an alle, ich habe einen selbst gebauten PC und mein Problem ist, dass meine Monitore regelmäßig (alle 3h) ...

LAN, WAN, Wireless
Spanning Tree Probleme
predator66FrageLAN, WAN, Wireless9 Kommentare

Hallo, wir haben hier eigenartige Spanningtree Probleme, die wir zur Zeit nicht gelöst bekommen: New Root Port MAC ist ...

Ähnliche Inhalte
Windows Server

Mit welchem Programm wurde auf einem Datensicherungsband LTO DAT gesichert

arohwedderFrageWindows Server1 Kommentar

Hallo Leute, ich habe hier ein paar Sicherungsbänder, wo nicht bekannt ist, mit welchem Programm ursprünglich gesichert wurde unter ...

Backup

Kann ich Bänder, die mit HP Data Protector gesichert wurden, lesen?

WolfPeanoFrageBackup7 Kommentare

Oder brauch' ich HP Data Protector, um die Bänder zu lesen?

Windows 10

Inventarprogramm gesucht

gelöst ITgustelFrageWindows 102 Kommentare

Hallo, wir suchen ein gutes Inventarprogramm, denn unsere aktuelle Lösung (eine Access-Datenbank aus den späten 90ern) ist ist mehr ...

Windows 10

Kassensoftware gesucht

gelöst vodaviFrageWindows 108 Kommentare

Hallo zusammen, ich bin mir nicht sicher, ob ich hier richtig bin. Falls nicht, dann bitte einfach das Thema ...

Internet

"Kinderdesktop" gesucht

rudeboyFrageInternet3 Kommentare

Guten Morgen zusammen! Kann mir jemand eine Oberfläche für Windows bzw eine Linux-Distri empfehlen mit der man einen geschützten ...

Windows Tools

Aufgabenplanungstool gesucht

lottiwurmFrageWindows Tools2 Kommentare

Ich bin auf der Suche nach einem Tool, welches folgendes können soll: - Erfassung von Aufgaben, inkl wiederholende Aufgaben ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT