Gesicherter Backupserver gesucht
Hallo zusammen,
ich habe mir am Wochenende den interessanten Vortrag aus folgendem Beitrag angesehen: Anatomie eines Super-GAUs - Erfahrungen eines IT-Securityberaters
@DerWoWusste Danke für den Link
Nun stellt sich mir eine Frage. Im Vortrag wir ein besonders sicheres Backupsystem erwähnt, bei dem der Zugriff auf die Backups durch Unbefugte (nahezu) ausgeschlossen wird. Er beschreibt das so:
Das klingt irgendwie gut, aber irgendwie finde ich keinen Ansatz dazu. Welches System macht das so? Oder wenn Eigenbau - wie könnte man das implementieren? Eine Idee wäre ja, so was wie einen FTP-Server auf dem zu sichernden Client zu habe, der die lokal vom Client angefertigten Backup-Container abholt. Wenn man das aber mit einem FTP-Zugang am Client implementiert, vergrößert man die Angriffsfläche des Clients.
Hat jemand ne Idee?
Grüße
lcer
ich habe mir am Wochenende den interessanten Vortrag aus folgendem Beitrag angesehen: Anatomie eines Super-GAUs - Erfahrungen eines IT-Securityberaters
@DerWoWusste Danke für den Link
Nun stellt sich mir eine Frage. Im Vortrag wir ein besonders sicheres Backupsystem erwähnt, bei dem der Zugriff auf die Backups durch Unbefugte (nahezu) ausgeschlossen wird. Er beschreibt das so:
- Der Backup-Server ist hinter einer "Firewall" (mit Anführungszeichen!)
- Die Firewall lässt nichts zum Backupserver.
- Der Backupserver stellt selbstständig die Verbindung zu dem zu sichernden Etwas (Host, Agent auf Host was auch immer) her, öffnet dazu temporär die Firewall.
- Nachdem Sicherungsjob wird wieder alles dicht gemacht.
Das klingt irgendwie gut, aber irgendwie finde ich keinen Ansatz dazu. Welches System macht das so? Oder wenn Eigenbau - wie könnte man das implementieren? Eine Idee wäre ja, so was wie einen FTP-Server auf dem zu sichernden Client zu habe, der die lokal vom Client angefertigten Backup-Container abholt. Wenn man das aber mit einem FTP-Zugang am Client implementiert, vergrößert man die Angriffsfläche des Clients.
Hat jemand ne Idee?
Grüße
lcer
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 606517
Url: https://administrator.de/forum/gesicherter-backupserver-gesucht-606517.html
Ausgedruckt am: 02.04.2025 um 16:04 Uhr
17 Kommentare
Neuester Kommentar
Zitat von @lcer00:
Hallo zusammen,
ich habe mir am Wochenende den interessanten Vortrag aus folgendem Beitrag angesehen: Anatomie eines Super-GAUs - Erfahrungen eines IT-Securityberaters
@DerWoWusste Danke für den Link
Nun stellt sich mir eine Frage. Im Vortrag wir ein besonders sicheres Backupsystem erwähnt, bei dem der Zugriff auf die Backups durch Unbefugte (nahezu) ausgeschlossen wird. Er beschreibt das so:
Das klingt irgendwie gut, aber irgendwie finde ich keinen Ansatz dazu. Welches System macht das so? Oder wenn Eigenbau - wie könnte man das implementieren? Eine Idee wäre ja, so was wie einen FTP-Server auf dem zu sichernden Client zu habe, der die lokal vom Client angefertigten Backup-Container abholt. Wenn man das aber mit einem FTP-Zugang am Client implementiert, vergrößert man die Angriffsfläche des Clients.
Hat jemand ne Idee?
Hallo zusammen,
ich habe mir am Wochenende den interessanten Vortrag aus folgendem Beitrag angesehen: Anatomie eines Super-GAUs - Erfahrungen eines IT-Securityberaters
@DerWoWusste Danke für den Link
Nun stellt sich mir eine Frage. Im Vortrag wir ein besonders sicheres Backupsystem erwähnt, bei dem der Zugriff auf die Backups durch Unbefugte (nahezu) ausgeschlossen wird. Er beschreibt das so:
- Der Backup-Server ist hinter einer "Firewall" (mit Anführungszeichen!)
- Die Firewall lässt nichts zum Backupserver.
- Der Backupserver stellt selbstständig die Verbindung zu dem zu sichernden Etwas (Host, Agent auf Host was auch immer) her, öffnet dazu temporär die Firewall.
- Nachdem Sicherungsjob wird wieder alles dicht gemacht.
Das klingt irgendwie gut, aber irgendwie finde ich keinen Ansatz dazu. Welches System macht das so? Oder wenn Eigenbau - wie könnte man das implementieren? Eine Idee wäre ja, so was wie einen FTP-Server auf dem zu sichernden Client zu habe, der die lokal vom Client angefertigten Backup-Container abholt. Wenn man das aber mit einem FTP-Zugang am Client implementiert, vergrößert man die Angriffsfläche des Clients.
Hat jemand ne Idee?
Moin,
Ist eigentlich ein Standard-verfahren:
- SSH oder VPN-Zugang zum Client
- scp, rsync, robocopy, etc zum Kopieren der Daten
Setze ich auch schon öfter mal bei Kunden ein.
lks
Hi
das ist eine ganz normale Pull-Sicherung.
Man macht sich dazu ein VLAN in dem alle Backup-Komponenten stehen. Dieses VLAN Hängt man hinter eine Firewall und die hat eingehend einfach eine Deny-All Regel. Ausgehend dürfen die backupserver/Mediaagents mit den Netzwerken sprechen, in denen zu sichernde Komponenten stehen.
Dann stellt man sich einen PC im Büro ab dessen Port auch in das VLAN kommt und nur über diesen ist eine Kommunikation mit dem Backupserver möglich. Sprich, auf diesem Rechner ist dann die Verwaltungskonsole installiert.
Somit ist sichergestellt das keiner jemals von aussen mit dem Backupserver reden kann, wenn dieser die Verbindung nicht eigenständig aufbaut
das ist eine ganz normale Pull-Sicherung.
Man macht sich dazu ein VLAN in dem alle Backup-Komponenten stehen. Dieses VLAN Hängt man hinter eine Firewall und die hat eingehend einfach eine Deny-All Regel. Ausgehend dürfen die backupserver/Mediaagents mit den Netzwerken sprechen, in denen zu sichernde Komponenten stehen.
Dann stellt man sich einen PC im Büro ab dessen Port auch in das VLAN kommt und nur über diesen ist eine Kommunikation mit dem Backupserver möglich. Sprich, auf diesem Rechner ist dann die Verwaltungskonsole installiert.
Somit ist sichergestellt das keiner jemals von aussen mit dem Backupserver reden kann, wenn dieser die Verbindung nicht eigenständig aufbaut
Zitat von @lcer00:
Hallo,
Würde Robocopy funktionieren (Wir sind hauptsächlich bei Windows unterwegs)? Benötigt smb nicht eine wechselseitige offene Verbindung?
Hallo,
Zitat von @Lochkartenstanzer:
Ist eigentlich ein Standard-verfahren:
Ist eigentlich ein Standard-verfahren:
- SSH oder VPN-Zugang zum Client
- scp, rsync, robocopy, etc zum Kopieren der Daten
Würde Robocopy funktionieren (Wir sind hauptsächlich bei Windows unterwegs)? Benötigt smb nicht eine wechselseitige offene Verbindung?
SMB über VPN? Ich dachte, daß wäre klar.
lks
Hallo,
Schön und gut, damit kann ich ein Dateibackup durchführen.
Meiner Meinung nach sind Systembackups bzw. Backups von kompletten virtuellen Maschinen und z.B. Backups von Datenbanken genauso wichtig, wenn nicht sogar wichtiger.
Was nützt dir ein Backup der Dateien, wenn die Systeme defekt sind ?
CH
SSH oder VPN-Zugang zum Client
scp, rsync, robocopy, etc zum Kopieren der Daten
scp, rsync, robocopy, etc zum Kopieren der Daten
Schön und gut, damit kann ich ein Dateibackup durchführen.
Meiner Meinung nach sind Systembackups bzw. Backups von kompletten virtuellen Maschinen und z.B. Backups von Datenbanken genauso wichtig, wenn nicht sogar wichtiger.
Was nützt dir ein Backup der Dateien, wenn die Systeme defekt sind ?
CH
Zitat von @ChriBo:
Hallo,
Schön und gut, damit kann ich ein Dateibackup durchführen.
Meiner Meinung nach sind Systembackups bzw. Backups von kompletten virtuellen Maschinen und z.B. Backups von Datenbanken genauso wichtig, wenn nicht sogar wichtiger.
Hallo,
SSH oder VPN-Zugang zum Client
scp, rsync, robocopy, etc zum Kopieren der Daten
scp, rsync, robocopy, etc zum Kopieren der Daten
Schön und gut, damit kann ich ein Dateibackup durchführen.
Meiner Meinung nach sind Systembackups bzw. Backups von kompletten virtuellen Maschinen und z.B. Backups von Datenbanken genauso wichtig, wenn nicht sogar wichtiger.
Was hindert Dich daran, ein komplettes System-backup zu machen? Der transfer dieses Backup-Images kann dann ohne weiteres per scp/rsync/robocopy erfolgen.
Was nützt dir ein Backup der Dateien, wenn die Systeme defekt sind ?
Man kann die Systeme auch aus den Dateien restaurieren, wenn man das Backup richtig gemacht hat.
lks

Hallo,
Acronis / VEEAM agentenbasiert.
Gruß,
Jörg
Acronis / VEEAM agentenbasiert.
Gruß,
Jörg
Für eine ausreichende Sicherheit reicht doch Veeam und ein Linux / FreeBSD System als Backup-Ziel.
Das Backup System darf nicht in der Domäne hängen.
Es muss im eigenen VLAN hängen.
Es darf Firewalltechnisch nur vom Backupserver angesprochen werden, auch nur in der vordefinierten Uhrzeit des Backups, das lässt sich per Cronjob einstellen und muss nicht vom Backup Programm kommen.
Die Freigabe wird mit einem eigenständigen Usernamen direkt auf dem Linux System authentifiziert - wie gesagt, keine Konten aus dem AD.
Die Credentials für diese Freigabe sind nur in Veeam gespeichert.
Der Veeam Backupserver hängt nicht in der Domäne.
Es hat einen eigenständigen Benutzernamen lokal auf dem Rechner, keine AD Anbindung.
Um die Domänenrechner sichern zu können sind die Domänencredentials nur in Veeam gespeichert.
Für den Zeitpunkt einer nötigen Rücksicherung wird die Firewall manuell aufgemacht - natürlich nur, wenn dier Rücksicherungsgrund kein infiziertes Gerät war, das darauf wartet, dass sich weitere Tore öffnen.
Sollte der Angreifer die Windows Clients erreichen, dann ist aber noch lange nicht das SMB zum Backup Ziel offen. Er muss zuerst durch die Firewall und dann noch das SMB vom FreeBSD knacken oder eine Sicherheitslücke in Veeam finden um die Credentials auszulesen.
Veam kann auch differenziell sichern und auch alte Versionen zurücksichern.
Das Backup System darf nicht in der Domäne hängen.
Es muss im eigenen VLAN hängen.
Es darf Firewalltechnisch nur vom Backupserver angesprochen werden, auch nur in der vordefinierten Uhrzeit des Backups, das lässt sich per Cronjob einstellen und muss nicht vom Backup Programm kommen.
Die Freigabe wird mit einem eigenständigen Usernamen direkt auf dem Linux System authentifiziert - wie gesagt, keine Konten aus dem AD.
Die Credentials für diese Freigabe sind nur in Veeam gespeichert.
Der Veeam Backupserver hängt nicht in der Domäne.
Es hat einen eigenständigen Benutzernamen lokal auf dem Rechner, keine AD Anbindung.
Um die Domänenrechner sichern zu können sind die Domänencredentials nur in Veeam gespeichert.
Für den Zeitpunkt einer nötigen Rücksicherung wird die Firewall manuell aufgemacht - natürlich nur, wenn dier Rücksicherungsgrund kein infiziertes Gerät war, das darauf wartet, dass sich weitere Tore öffnen.
Sollte der Angreifer die Windows Clients erreichen, dann ist aber noch lange nicht das SMB zum Backup Ziel offen. Er muss zuerst durch die Firewall und dann noch das SMB vom FreeBSD knacken oder eine Sicherheitslücke in Veeam finden um die Credentials auszulesen.
Veam kann auch differenziell sichern und auch alte Versionen zurücksichern.
Ehrlich gesagt habe ich es nicht getestet, dieser Punkt ist auf meiner ToDo Liste noch offen.
Ich bin davon ausgegangen, dass die Sachen nicht vom Agent des Clients auf das Backupziel "geschoben" werden, sondern der Backup Server die Sachen vom Agent "abholt" und dann auf das Backup Ziel schiebt.
Bild:
Ich bin davon ausgegangen, dass die Sachen nicht vom Agent des Clients auf das Backupziel "geschoben" werden, sondern der Backup Server die Sachen vom Agent "abholt" und dann auf das Backup Ziel schiebt.
Bild:

Hallo,
Japp - allerdings kennt im Idealfall "nur" Acronis die Zugangsdaten für das SMB-Share
Gruß,
Jörg
Zitat von @lcer00:
Wenn man von der Verwaltungskonsole einen Sicherungsjob startet, beginnt der Agent Daten vom Client aus an den Sicherungsspeicher (ein NAS mit SMB) zu senden.
Wenn man von der Verwaltungskonsole einen Sicherungsjob startet, beginnt der Agent Daten vom Client aus an den Sicherungsspeicher (ein NAS mit SMB) zu senden.
Japp - allerdings kennt im Idealfall "nur" Acronis die Zugangsdaten für das SMB-Share
Gruß,
Jörg

Hallo,
Das wäre die zweite Option. Zumal man dann noch weitere Möglichkeiten (Deduplizierung usw.) erhält.
Gruß,
Jörg
Das wäre die zweite Option. Zumal man dann noch weitere Möglichkeiten (Deduplizierung usw.) erhält.
Gruß,
Jörg
Da ist nichts Besonderes dran. Wir sichern auf diese Weise alle Server und ziehen auch die Backups der Standorte durch die VPNs. Bei Linux Server arbeiten wir mit SSH/ReverseSSH und bei Windows Servern gibt es einen "Backup Target Server" wo die Windows Maschinen hinsichern dürfen. Das holt dann das Backupsystem wieder per SSH ab. Und denk immer daran: Immer nur von sichereren Netzen aus Verbindung in die unsichereren Netze aufbauen. Niemals umgekehrt. Es darf keinen Weg zum Backup Server geben. Für die Wartung kannst du über einen Bastion Host gehen oder besser noch geh in den Serverraum direkt an den Backupserver.