13523530998
Goto Top

Physisch getrennte Netzwerke zwecks Backup (kein VLAN)

Moin, unser Backup läuft, die Firewall (OPNsense) steht ... und Ransomewareattacken sollten mich nicht jucken. Tun sie aber.
Daher die Frage : gibt es eine Appliance oder irgendein 'Gimmick', dass die tägl. Backups nochmal in ein physisch getrenntes Netzwerk packt, ohne dass man jeden Tag selbst Hand anlegen muss?
Unser VoIP läuft über ein VLAN. Und VLANs sind nun mal so sicher wie alle Systeme mit Passwortschutz - also auch unsicher. Daher kein logisch sondern ein physisch getrenntes Netzwerk.
Wir haben virtualisierte Server (qemu/KVM), zwei lokale NAS-Backups sowie Remotesicherungen. Für zumindest eines dieser Backups möchte ich ein physisch getrenntes Netzwerk, in das dann tägl. ne Kopie des einen NAS erfolgt.
Jmd ne Idee?
Danke

Content-Key: 63979974221

Url: https://administrator.de/contentid/63979974221

Printed on: July 16, 2024 at 14:07 o'clock

Member: DarkZoneSD
DarkZoneSD Jun 12, 2024 at 18:08:23 (UTC)
Goto Top
Moin,

schonmal an eine Tape library gedacht? Ist ja praktisch ein "Offline" Backup face-smile

Grüße
Member: kaiand1
kaiand1 Jun 12, 2024 at 18:19:07 (UTC)
Goto Top
Hi
nun du kannst dir ja ein Script machen für dein Backup das vorher per Befehl am Switch den Lanport X Aktiviert und so der Netzwerk Zugriff auf dein Backupsystem möglich ist.
Nach dem Backup wird der Lanport am Switch wieder Offline geschaltet und so hast du halt dein Netz "Getrennt".
Ginge ja auch mit ner USB Platte oder am PC ein 2ten Lanport ect....

Würde die Automatischen Scripte halt so nicht drankommen...
jedoch einer der Zugriff auf des System hat würde es Finden....
Member: em-pie
em-pie Jun 12, 2024 at 18:28:25 (UTC)
Goto Top
Moin,

Hau in den Backup-Server eine zweite NIC und häng daran ein weiteres Storage (oder ne Linux-Büchse mit Kapazität).

Nur der Backup-Server hat dann Zugriff drauf. Sonst von nirgends anders.

Läuft bei Veeams Immutable-BackupTarget identisch.
Member: StefanKittel
StefanKittel Jun 12, 2024 at 18:28:33 (UTC)
Goto Top
Hallo,
anbei eine Idee wie ich das bei einem Kunden umgesetzt habe.

Server (ESXi)
ein LAN-Port ist nur für die ESXi-Verwaltung konfiguriert.

Backup-Server (Windows Server mit Windows Firewall ohne Zugriffe von Außen, Altaro als Backup-Software)
Ein LAN-Port nur für die Verbindung zum ESXi
Ein LAN-Port nur für die Verbindung zum NAS

NAS (QNAP)
Nur ein LAN-Port für die Verbindung zum Backup-Server

Stefan
Member: nachgefragt
nachgefragt Jun 12, 2024 at 19:48:39 (UTC)
Goto Top
+1 für Tape Library

Nachdem die Sicherung in eine Richtung erfolgt ist, werden diese offline gelegt und mit Schreibschutz versehen, sodass nicht einmal die Backup-Software selbst ohne Hilfe auf die Daten käme.
Je nachdem kann man das oder die Bänder täglich wechseln.
Mitglied: 13523530998
13523530998 Jun 12, 2024 at 22:21:02 (UTC)
Goto Top
Danke für die schnellen Antworten. Allerdings sehe ich nicht die Lösung des Problems.

@DarkZoneSD: ja daran gedacht, die Preise angeschaut und mich gefragt welche Definition von "Offline" wohl benutzt wird (s.u.)
@kaiand1: Skripte sind des Admins beste Helfer und Du hast ja in Deinem letzten Satz auch erklärt warum dies hier leider keine echte Lösung wäre.
@em-pie: als Hacker würde ich im OS das Routing einschalten und manuell ne Route legen: Hallo "weiteres Storage (oder ne Linux-Büchse". Und wenn Veeam das tatsächlich genauso machen würde wären sie vmtl. schon längst regresspflichtig.
Zu Veeam: deren "Immutable-Backup" unter Linux finde ich lustig, denn das Immutable-Attribut (chattr +i Datei) gab es unter Linux schon in den 90ern. Und selbst ein echtes "Immutable"-System via Docker würde ja für das "Immutable-Backup" nichts bringen.
@StefanKittel: klingt ähnlich wie bei @em-pie, nur dass hier noch ne VM eingesetzt wird. Falls ich da was missverstanden habe, bitte berichtige mich.
@nachgefragt: die Bemerkung "ohne Hilfe auf die Daten" ist es, was mich so umtreibt. Denn unsere Ransomwarefreunde "helfen" hier gerne.

Bitte meine Antwort nicht missverstehen, ich bin dankbar für jeden Vorschlag und möchte hier nicht den Nörgler mimen, aber zumindest die o.g. Ansätze haben wir auch schon beleuchtet und sind zum Schluss gekommen, dass nur ein physisch getrenntes Netz einen (kleinen) zusätzlichen Sicherheitsgewinn bringt. Die o.g. Ansätze verschieben das Problem nur eine Ebene weiter, lösen es aber nicht.

Dennoch danke dafür und ich hoffe auf Zugabe.
Mitglied: 13523530998
13523530998 Jun 12, 2024 at 22:28:06 (UTC)
Goto Top
Wollte ja noch etwas zum Begriff "Offline" sagen. Wenn zB die Marketingabtlg von Veeam Folgendes als Pluspunkt(?!) anmerkt "Offline when not being written to or read from..." frage ich mich schon, ob sie des Pudels Kern überhaupt erkannt haben.
Member: kpunkt
kpunkt Jun 13, 2024 at 04:27:43 (UTC)
Goto Top
Willst du jetzt was gegen Ransomware oder gegen Hacker?
Bei Ransomware ist zweite NIC (virtuell/physisch) eigentlich Mittel zur Wahl. Man muss halt das Backup vorher auch durchscannen, weil sonst bringt dir das beste Backup nix, wenn da schon was käferartiges drauf schläft.

Alles, was irgendwie automatisiert ist, wird auch der böse Hax0r finden. Von daher bleibt wohl nur das manuelle physische Abtrennen. Tape oder auch nur irgendwas anderes, was man abklemmen kann und nur für das Wegsichern dran blebt.

Nur jetzt mal meine bescheidene Meinung.
Member: nachgefragt
nachgefragt Jun 13, 2024 updated at 05:02:12 (UTC)
Goto Top
Zitat von @13523530998:
@nachgefragt: die Bemerkung "ohne Hilfe auf die Daten" ist es, was mich so umtreibt. Denn unsere Ransomwarefreunde "helfen" hier gerne.
Nach Generationenprinzip und 3-2-1 Regel sichern wir die Backups auf Band, je nach LTO-Standard passt da auch eine ganze Menge drauf. Zudem kannst du die Dinger ewig lagern, kein Strom, kein Netzwerk, kein Verschleiß.

Und man weiß ja nie wann man den Wurm aufweckt, siehe gestern.
Patchday: Schadcode kann sich auf Windows-Servern wurmartig ausbreiten
https://www.heise.de/news/Patchday-Schadcode-kann-sich-auf-Windows-Serve ...

Ich hab auch Umgebungen da reicht den Kunden eine Spiegelung der NAS, die ist aber immer immer Netz, und damit nie "so sicher" wie ein dediziert gelagertes Band. Zudem wird dann nochmal auf eine externe Platte gesichert, aber auch die bleibt meist eingesteckt. Da ist mir ein Tape lieber, auch ein Single Drive spuckt das Tape nach dem Backup aus, wenn man es so einstellt.
Member: ElmerAcmeee
ElmerAcmeee Jun 13, 2024 at 04:54:44 (UTC)
Goto Top
Moin,
die Antwort passt zwar nicht ganz zur Frage, aber evtl hilft dir das trotzdem weiter...
Bei Backupappliances wird der Ransomwareschutz über nicht löschbare Snapshots gewährleistet.
Diese können dann auch mit Bordmitteln über ein anderes Netz die Daten replizieren.
Gibt es virtuell und physisch. z.B. DELL Datadomain oder Quantum DXI
Gruß und viel Erfolg
Member: StefanKittel
StefanKittel Jun 13, 2024 at 05:51:00 (UTC)
Goto Top
Moin,
wichtig ist doch, dass niemand die Datensicherung löschen kann.

In meinem Beispiel.
Wenn Jemand den ESXi gehackt hat kann er von keiner VM auf den Backup-Server zugreifen.
Er kann den ESXi umkonfigurieren. Um auf den Backup-PC zuzugreifen muss er die IP erraten (der antwortet nicht auf Ping) und ihn dann hacken (Einen Windows PC mit Updates, aktivierter Firewall) ist schon schwierig.
Dann muss er auf dem gehackten PC aus dem Backup-Programm die Zugangsdaten vom NAS extrahieren und das NAS Hacken.
Und dann gibt es noch das Cloud-Backup mit wieder anderen Zugangsdaten und nicht löschbaren Instanzen und die USB-HDD/Band im Schrank als nächster Level.

> Zitat von @StefanKittel:
Server (ESXi)
ein LAN-Port ist nur für die ESXi-Verwaltung konfiguriert.

Backup-Server (Windows Server mit Windows Firewall ohne Zugriffe von Außen, Altaro als Backup-Software)
Ein LAN-Port nur für die Verbindung zum ESXi
Ein LAN-Port nur für die Verbindung zum NAS

NAS (QNAP)
Nur ein LAN-Port für die Verbindung zum Backup-Server

Stefan
Member: DerMaddin
DerMaddin Jun 13, 2024 at 06:04:38 (UTC)
Goto Top
Zitat von @13523530998:

Zu Veeam: deren "Immutable-Backup" unter Linux finde ich lustig, denn das Immutable-Attribut (chattr +i Datei) gab es unter Linux schon in den 90ern. Und selbst ein echtes "Immutable"-System via Docker würde ja für das "Immutable-Backup" nichts bringen.

Vielleicht verstehe ich dein "Problem" nicht oder bin zu naiv aber ich sehe hier keinen Nachteil in diesem Vorgehen. Wir nutzen auch Veeam + Linux-Repo als erstes Backup-Ziel. Dazu noch ein Offsite-Copy und zusätzlich in eine S3-Cloud-Repo ebenfalls mit Immutablility.

Die Zugriffe/Schreibvorgänge innerhalb der Linux-Repo erfolgen mit einem User dessen Passwort nur innerhalb Veeam-Config bekannt ist. Die Veeam-Config ist verschlüsselt mit einem sehr langem und starkem Passwort. Einzig der Root wäre in der Lage das Passwort des Veeam-Users zu ändern, dazu müsste man aber eine SSH-Verbindung von genau DER einen IP-Adresse herstellen, das Root-Passwort kennen und dazu noch das TOTP.

Aus meiner Sicht ist hier genug Schutz vor Ransomware-Angriffen und selbst ein Hacker würde nach einfacheren Zielen suchen anstatt dem Backup.
Member: pebcak7123
pebcak7123 Jun 13, 2024 at 06:24:37 (UTC)
Goto Top
Einfachste Lösung, falls von euerem Backup Programm unterützt, ist wie hier schon erwähnt ein cloud-backup auf ein S3 Bucket bei einem Provider der immutability unterstützt ( Wasabi, Backblaze, etc. ). Preislich ist das meiner meinung nach auch voll im Rahmen ( ca 7€/ TB / Monat)
Member: DivideByZero
DivideByZero Jun 13, 2024 at 06:45:19 (UTC)
Goto Top
Guten Morgen,

das ist ja bei Deiner engen Definition klar: wenn physisch getrennt, dann mit klassischen Methoden unmöglich. Du benötigst logischerweise zwingend, ob temporär oder dauerhaft, einen Übergangspunkt. Ob der möglichst stark abgesicherte ist, ist bei Deiner Vorgabe egal, da jede Absicherung theoretisch überwunden werden kann.

Aus meiner Sicht nur - theoretisch - lösbar durch Datenträgeraustausch: in Netz A Datenträger bespielen, diesen in Netz B bringen, dort auslesen. Etwaiger Müll würde natürlich mit übertragen, daher darf in B nichts auf dem Datenträger ausgeführt werden (nur lesen). Umsetzung: ohne menschlichen Eingriff kenne ich keine Lösung, müsste so eine Art Roboter sein, der entnimmt und einlegt.

Gruß

DivideByZero

PS: daher würde ich ja empfehlen: Zugriff über separate Firewall nur von B auf NAS in A, nur ein Port, Backup als Pull. Zb Synology ABB. Zugangsdaten gibt es dann keine in A. Angriffe theoretisch möglich, praktisch höchst unwahrscheinlich.
Member: ThePinky777
ThePinky777 Jun 13, 2024 updated at 07:39:48 (UTC)
Goto Top
man kann auch den Backupserver so konfigurieren das nur dieser Verbindungen ins Netz machen darf Firewall Technisch (Lokale Firewall des Backupservers), Aber rein connecten übers LAN darf sich nix. Kannst dann halt den Backupserver nicht mehr Remote steuern... musst dich immer in serverraum vor den Server setzen wenn du was machen willst.
Das wäre dann auch relativ sicher...

konkret macht man das dann z.B. mit Veeam so das der Backupserver ausserhalb der Domain installiert wird.
Eingehend nur RDP Port offen und mit Lokalem Account arbeitet man auf dem Server.
Optimaler weise hat man noch ne Tape Library und backupt auf Tape. Tapes entnimmt man immer Regelmässig, also meist einmal die Woche.
Somit im Schlimmen Falls hat man noch die Backups auf dem Backupserver von Gestern.
Sollte der Server auch erwischt worden sein hat man noch die Tape Backups von letzter Woche.
... bischen Schwund ist immer...

und wenn man nun End Paranoia hat kann man natürlich den RDP Port auch verrammeln und dann nur noch lokal per Console drauf gehen...
Member: kreuzberger
kreuzberger Jun 13, 2024 at 07:32:55 (UTC)
Goto Top
+1 für Tape Library

Aber ok, wenn du eine offline-Variante erzeugen möchtest, geht das auch mit NAS, indem man es sich selbst an- und ausschalten lässt. (Bei SYNOLOGY machbar). Wenn du willst, hängst du das NAS an einen Switch, der mit einer Zeitschaltuhr gesteuert ist. Noch mehr Offline.
Das Backup im separaten Netzwerk bedarf eben zusätzliche Netzwerkkarten in allen zu sichernden Servern. (Oder wenn mehrere Netzwerkkarten vorhanden sind eben mindestens eine davon abgezweigt.)
Der Übersicht halber verkabelst du das Backup-Netz farblich, also meinetwegen alles in blau.

Ich habe gerade bei jemandem ein SYNOLOGY so konfiguriert, dass es nur dienstags an geht, dann Backup for Business durchführt als Spiegelung macht und wieder aus geht. Was aus ist kann in der zeit nicht angegriffen werden. (Wer es noch sicherer will könnte hier noch ein Tape von diesem Backup befüllen.)

Kreuzberger
Member: StefanKittel
StefanKittel Jun 13, 2024 at 07:49:24 (UTC)
Goto Top
Moin,
der Vollständigkeit werfe ich mal den Begriff "Monitoring" in den Raum.
Ich war schon bei so vielen, besonders kleinen, Kunden die Daten aus der Datensicherung haben wollten und wo die letzte erfolgreiche Datensicherung Monate alt war weil es eben kein Monitoring gab.

Das kann bei einem gestaffelten Backup durchaus aufwendig sein.
Primäres Backup: Super
Sync nach extern: Fehler weil der Mond gerade falsch steht...

Stefan
Member: nachgefragt
nachgefragt Jun 13, 2024 at 07:53:49 (UTC)
Goto Top
Zitat von @StefanKittel:
der Vollständigkeit werfe ich mal den Begriff "Monitoring" in den Raum.
Hol mich mal ab,
bei mir meldet dich Backupsoftware und/oder der Bandroboter wenn es Probleme gibt. Meinst du das?
Member: StefanKittel
StefanKittel Jun 13, 2024 at 07:58:09 (UTC)
Goto Top
Zitat von @nachgefragt:
Zitat von @StefanKittel:
der Vollständigkeit werfe ich mal den Begriff "Monitoring" in den Raum.
Hol mich mal ab,
bei mir meldet dich Backupsoftware und/oder der Bandroboter wenn es Probleme gibt. Meinst du das?

Halb
Besonders bei KMUs gibt es Niemanden der solche Dinge überprüft. Wenn es dann kein IT-Systemhaus gibt was dafür bezahlt wird prüft das schlicht Niemand.

Und dann gibt es Lösungen wo z.B. das NAS die Daten in die Cloud synchronisiert und Niemand eine Benachrichtugn konfiguriert hat.

Stefan
Member: em-pie
em-pie Jun 13, 2024 at 08:24:31 (UTC)
Goto Top
@em-pie: als Hacker würde ich im OS das Routing einschalten und manuell ne Route legen: Hallo "weiteres Storage (oder ne Linux-Büchse".
aber genau das wolltest du doch: ein separates, physisches Netzwerk:
gibt es eine Appliance oder irgendein 'Gimmick', dass die tägl. Backups nochmal in ein physisch getrenntes Netzwerk packt, ohne dass man jeden Tag selbst Hand anlegen muss?
Denn auch hier brauchst du "irgendwo" eine zusätzliche NIC im Backup-Server, der das "andere" Netzwerk ansprechen kann. Und auch hier kann sich der pöhse Pursche zum Backup-Target durchhangeln - sofern keine Firewall mit DPI etc. dazwischen hängt. Die muss dann aber auch ordentlich was wegschaufeln können, wenn man beide Ziele mit min. 10Gbit/s anbinden möchte...


@ThePinky777
konkret macht man das dann z.B. mit Veeam so das der Backupserver ausserhalb der Domain installiert wird.
Eingehend nur RDP Port offen und mit Lokalem Account arbeitet man auf dem Server.
Das ist aber nicht Best Practice gemäß VEEAM (und streng genommen auch nicht von anderen Systemen)
Eingehend wird maximal nur der Port für die VEEAM-Console erlaubt.

Ansonsten gilt das hier:
und wenn man nun End Paranoia hat kann man natürlich den RDP Port auch verrammeln und dann nur noch lokal per Console drauf gehen...
Hier könnte man überlegen, ob man den Server wenigstens per iDRAC, MMI, XClarity und wie die Dinger nicht alle heißen, administriert. Oder eben per IP-KVM...
Member: ukulele-7
ukulele-7 Jun 13, 2024 at 08:47:00 (UTC)
Goto Top
+1 für Veeam Immutable Backup Repository

Zusätzlich hatten wir mal testweise einen VPN Client mit automatischer Einwahl nach Zeitplan auf der Linux-Box installiert. Die Idee war (ist), das die Box Remote steht und nur einmal die Woche sich aus eigenem Antrieb bootet und einwählt. Das Backup ist als reverse incremental angelegt. Leider ist das Projekt irgendwie eingeschlafen aber irgendwann dieses Jahr werde ich mir das wieder vornehmen.

Das ganze passiert zusätzlich zum bestehenden System, lokales Repository und Tape (ohne Library).
Member: DerMaddin
DerMaddin Jun 13, 2024 at 08:58:38 (UTC)
Goto Top
Zitat von @StefanKittel:

Halb
Besonders bei KMUs gibt es Niemanden der solche Dinge überprüft. Wenn es dann kein IT-Systemhaus gibt was dafür bezahlt wird prüft das schlicht Niemand.

Und dann gibt es Lösungen wo z.B. das NAS die Daten in die Cloud synchronisiert und Niemand eine Benachrichtugn konfiguriert hat.

Stefan

Meine Erfahrung ist ganz anders, zumindest bei den KMUs, bei denen ich in den letzten 20 Jahren beschäftigt war. Die IT-Teams waren unterschiedlich groß, von 3 bis 15 Personen und jede Warnung und Fehler im Backup wurden entweder via Email an ein IT-Postfach gesendet oder gleich in das IT-Ticketsystem. Kommerzielle Lösungen wie Veeam machen es ganz einfach mit dem Email-Versand der Backup-Ergebnisse.
Member: StefanKittel
StefanKittel Jun 13, 2024 at 09:07:42 (UTC)
Goto Top
Zitat von @DerMaddin:
...Die IT-Teams waren unterschiedlich groß, von 3 bis 15 Personen...
In den meisten KMUs bis 50MA und Arztpraxen ist das IT-Team eher 0-0,1 Personen stark.
Member: nachgefragt
nachgefragt Jun 13, 2024 at 09:12:57 (UTC)
Goto Top
Zitat von @StefanKittel:
Wenn es dann kein IT-Systemhaus gibt was dafür bezahlt wird prüft das schlicht Niemand.
und Niemand eine Benachrichtugn konfiguriert hat.
Danke Stefan,
da habe ich Glück, Keiner und Niemand sind meine Kollegen, geht was schief wird eine E-Mail verschickt, die liest Keiner und auch Niemand. face-wink
Member: ukulele-7
ukulele-7 Jun 13, 2024 updated at 09:15:53 (UTC)
Goto Top
Ich mochte den Begriff KMU noch nie. In der IT gibt es zu viele Unterschiede zwischen 10 oder 250 Mitarbeiter und ob das Office-Arbeitsplätze sind oder Produktion.
Member: nachgefragt
nachgefragt Jun 13, 2024 at 09:18:52 (UTC)
Goto Top
Stimmt, ob in meiner Struktur 50 oder 250 Mitarbeiter werkeln ist egal, der rote Faden bleibt, nur müssen ggf. die "Knoten" vergrößert werden.
Member: DerMaddin
DerMaddin Jun 13, 2024 at 09:36:50 (UTC)
Goto Top
Firmen mit keinem eigenen IT-Personal haben in der Regel irgendeinen IT-Service und wenn nicht, dann kein Mitleid, wenn Daten flöten gehen. Das nennt sich dann Unternehmerrisiko was jeder GF selbst ermitteln muss. Leider gibt es immer noch zu viele Chefs, die meinen in die IT einmal etwas zu investieren und dann 10+ Jahre nichts tun, weil läuft ja.
Member: nachgefragt
nachgefragt Jun 13, 2024 updated at 12:42:58 (UTC)
Goto Top
OFF-Topic | OFF-Topic | OFF-Topic

Zitat von @ukulele-7:
+1 für Veeam Immutable Backup Repository
Hast du da zufällig Zahlen?

Beispiel
15TB Datenvolumen, Tages-Wochen-Monatssicherung, muss ich mit LTO7 mit ca. 45€ pro 15TB rechnen, sagen wir mal
5x Wochensicherung, zyklisch überschrieben
12x Monatssicherung, zyklisch überschrieben
1x Jahressicherung, 10-30 Jahre Aufbewahrung
1x Cleaning Tape
= 18x 45€ = 820€ der Satz, d.h. ~80€ pro Jahr

zzgl. Bandlaufwerk/-roboter natürlich

Für mich ist ein "Immutable Backup Repository" ein kleiner Bauernfänger, man müsste beim Tape einfach den roten Schutzschalter aktivieren, ebenso wie die WORM-Bänder.


--

Hat sich erledigt, kann man sich selbst ausrechnen, ich bleib beim Tape face-wink
https://community.veeam.com/vug-austria-79/de-neu-in-v11-hardened-unvera ...

Die Option ist im Prinzip nichts anders
1
wie beim Tape, einfach das der Datensatz einen Schreibschutz erhält. Aber beim Tape lege ich diese i.d.R. zyklisch in einen Tresor, Softwarefehler,... hätten hier also keinen Einfluss.
screenshot 2024-06-13 144031
Member: nachgefragt
nachgefragt Jun 13, 2024 at 12:05:26 (UTC)
Goto Top
Zitat von @DerMaddin:
Leider gibt es immer noch zu viele Chefs, die meinen in die IT einmal etwas zu investieren und dann 10+ Jahre nichts tun
NIS2 ist eine Konsequenz dessen, mir hat nur niemand verraten wer die Einhaltung kontrolliert.
Member: StefanKittel
StefanKittel Jun 13, 2024 at 12:13:31 (UTC)
Goto Top
Zitat von @nachgefragt:
NIS2 ist eine Konsequenz dessen, mir hat nur niemand verraten wer die Einhaltung kontrolliert.
Soweit ich weiß: Niemand.
Nur wenn Du ein Problem hast (Ransomware) was Du melden musst und sich dann herrausstellt, dass Du die Richtlinien nicht umgesetzt hast, dann bitten die Sich zur Kassen. 2% des Jahresumsatzes habe ich gehört.
Stefan
Member: kreuzberger
kreuzberger Jun 13, 2024 at 13:33:48 (UTC)
Goto Top
Leute,

NIS2 gilt nur für bestimmte, „systemrelevante“ Unternehmen wie zb Energieversorger, jedoch aber nicht für die 5-Leute-Tischlerei an der Ecke.

Veeam ist für kleine Unternehmen meist viel zu teuer, vor allem dann, wenn einem die Community-Edition nichts nützt (Mailserver, Postfächer, O365, über 500GB Daten, etc.).

Und, ja: wenn sich in Kleinunternehmen niemand um Backup kümmert ist es dann eben in deren Verantwortung nicht klug. Auch ich kenne solche Leute, die diesen Ritt auf der Rasierklinge dauerhaft machen.

Und überhaupt: es geht ja um ein separates Backup-Netz.


Kreuzberger
Mitglied: 13523530998
13523530998 Jun 13, 2024 at 13:38:50 (UTC)
Goto Top
Danke für die Vorschläge, bei @DivideByZero, @ThePinky777 und @kreuzberger sehe ich auch Schnittmengen zu meiner Anfrage.

@kpunkt: Ransomwareeinsatz ohne Hackerkenntnisse dürfte ein eher dürftiger Nebenerwerb werden.
Und ja wir prüfen natl. vor dem Backup (derzeit nur stichpunktartig) die Funktionalität (=unverschlüsselt) der zu sichernden Daten bzw. Images. "Von daher bleibt wohl nur das manuelle physische Abtrennen." auch richtig. Das machen wir ja und ich will es automatisieren, daher meine Anfrage.

@nachgefragt: klingt absolut nachvollziehbar. Aber nachdem ein Kunde von uns gut 120.000€ für die Wiederherstellung der IT-Struktur ausgeben musste und eine Woche nicht mal n Auftrag drucken konnte möchte ich MEHR bzw. andere (<>08/15-Lösungen) Sicherheit. Deshalb meine Anfrage.

@ElmerAcmeee schau ich mir mal an (klingt aber teuer und nicht nach physisch getrennt)

@StefanKittel: ja das ist EINER von vielen Punkten. Ich kenne mich mit ESXi nicht mehr so gut aus, aber bei der KVM-Virtualisierung kann ich mir zB über "virsh domifaddr <VMname>" oder "virsh dumpxml <VMname>" nahezu alle benötigten Infos holen. Und dann gehts weiter...

@DerMaddin: kein Nachteil, nur eben weder etwas Neues noch Bahnbrechendes, wie es aber kolportiert wird. Und ja Veeam baut nochmal ne eigene Verwaltungsstruktur auf. Nett und sicher gut durchdacht. Aber nur eine weitere Hürde für die Angreifer. 'Physisch getrenntes Netzwerk' = 'dead end' für Angreifer: das wäre mein (naiver) Wunsch.

@DivideByZero: Du bist nah dran. Allerdings muss der Übergangspunkt nicht gesichert werden und Prüfungen finden im abgetrennten Netz statt. Das einzige Problem was noch ungelöst ist, ist dass es - wie Du richtig schreibst - noch nicht " ohne menschlichen Eingriff" geht, auch wenn es nur ein schlichter Kabeltausch ist.

@ThePinky777: auch das entspricht schon in Teilen unserer Umsetzung, aber ohne Firewallconfig oder andere passwortgeschütze Szenarien. Das Ziel ist (ja ich wiederhole mich) ein physisch getrenntes Netz.

@kreuzberger: auch hier sehe ich einen Teil unserer Konfiguration. Allerdings bedarf es keiner weiteren NICs. Aber (s.o.) es fehlt eben noch der Automatismus - seufz.

@StefanKittel: Stichwort "Monitoring" passt. Ohne Kontrolle ist das Ganze recht sinnfrei.

Mein Gedanke ist/war, dass irgend jemand schon eine kleine aber feine Lösung für dieses Allerweltsproblem gefunden hätte. Lösungen die in der Anschaffung schon im fünfstelligen Bereich liegen und dann am besten auch noch regelmäßigen Support benötigen, mögen für Konzerne keine Rolle spielen, im KMU-Bereich rechnen sie sich nicht unbedingt.

Daher wer noch etwas zu Backup über "physisch getrennte Netwerke" gehört hat, gerne den Vorschlag posten.
Danke.
Member: kreuzberger
kreuzberger Jun 13, 2024 at 14:05:50 (UTC)
Goto Top
@13523530998

auch hier sehe ich einen Teil unserer Konfiguration. Allerdings bedarf es keiner weiteren NICs. Aber (s.o.) es fehlt eben noch der Automatismus - seufz.

Nun, wenn du ein separates Netz willst ist eine separate Netzwerkkarte zwingend erforderlich. Telepathisch wirst du die Daten nicht von A nach B bekommen.

Eine Offline-Situation der Backup-Daten zu erzeugen geht, indem man das Kabel dann händisch aus der Verbindung trennt. Will man das automatisiert geht das wie ich schrieb zb. mit einer Zeitschaltuhr, die den Switch/Router-Firewall (was auch immer dazwischen ist) per Stromembargo in den Ruhestand zwingt.
Darüber hinaus liesse sich das Backup-Ziel, sofern es zb ein SYNOLOGY-NAS ist, zeitgesteuert ein-/ausschalten immer nur dann und für den Zweck, das Backup durchzuführen. Will man dann, was sinnvoll ist, das SYNOLOGY-Spiegel-Backup in mehreren Generationen auf Tape sichern geht das im separaten Netz natürlich auch, als Backup-To-Tape.

Ob man das dann mit SYNOLOGY Backup f. Business oder anderen Backup-Programmen macht ist chematisch Wurscht.

Aber wo fehlt dir da der Automatismus?


Kreuzberger
Member: kpunkt
kpunkt Jun 14, 2024 at 04:20:46 (UTC)
Goto Top
Zitat von @13523530998:

Mein Gedanke ist/war, dass irgend jemand schon eine kleine aber feine Lösung für dieses Allerweltsproblem gefunden hätte.
Naja, es wurden dir ja einige genannt. Ein Allerweltsproblem seh ich da aber nicht. Das ist schon sehr spezifisch. Du bist halt sehr hart an der Grenze an "spring ins Wasser, werde aber nicht nass".

Und immer bedenken: immer dann, wenn das Backup gerade verbunden ist, hast du das Problem, dass dein Hacker überall hinkommen kann.
Member: nachgefragt
nachgefragt Jun 14, 2024 at 05:38:04 (UTC)
Goto Top
Zitat von @13523530998:
@nachgefragt: klingt absolut nachvollziehbar. Aber nachdem ein Kunde von uns gut 120.000€ für die Wiederherstellung der IT-Struktur ausgeben musste und eine Woche nicht mal n Auftrag drucken konnte möchte ich MEHR bzw. andere (<>08/15-Lösungen) Sicherheit. Deshalb meine Anfrage.
Da sind wir wieder bei NIS2, u.a. solche Szenarien durchzuspielen und konzeptionell festzuhalten. In deinem Fall ist das Kind schon in den Brunnen gefallen, man ist also wach gerüttelt.
Backup to Tape ist für mich das Mittel der Wahl, die Wiederherstellungszeit hängst von der Infrastruktur ab.
Member: Error-404
Error-404 Jun 14, 2024 at 11:01:49 (UTC)
Goto Top
...mal gaaaaaanz losgelöst von allen bisherigen Vorschlägen:

Wie wäre es mit der pragmatischen Lösung, einfach ein kleines günstiges Switch zwischen NAS und Netzwerk zu schalten, was dann wiederum per Zeitschaltuhr mit Strom versorgt wird?

Wenn Strom da = Switch an, NAS kann sich mit dem Netzwerk verbinden.

Wenn Strom aus = Switch aus, Netzwerkverbindung futsch. NAS selbst kann weiter laufen und wird nicht unerwartet heruntergefahren, braucht halt nur genug Zeit zum Schreiben des Backups.

Je nach Paranoialevel könnte man das auch über Philips Hue oder anderweitige Smartsteckdosen schalten lassen...
Member: kreuzberger
kreuzberger Jun 14, 2024 at 11:35:24 (UTC)
Goto Top
Error-404

achja . . . . .

siehe oben:

Aber ok, wenn du eine offline-Variante erzeugen möchtest, geht das auch mit NAS, indem man es sich selbst an- und ausschalten lässt. (Bei SYNOLOGY machbar). Wenn du willst, hängst du das NAS an einen Switch, der mit einer Zeitschaltuhr gesteuert ist. Noch mehr Offline.

Eine Offline-Situation der Backup-Daten zu erzeugen geht, indem man das Kabel dann händisch aus der Verbindung trennt. Will man das automatisiert geht das wie ich schrieb zb. mit einer Zeitschaltuhr, die den Switch/Router-Firewall (was auch immer dazwischen ist) per Stromembargo in den Ruhestand zwingt.

seufz

Kreuzberger
Mitglied: 13523530998
13523530998 Jun 14, 2024 at 13:07:17 (UTC)
Goto Top
Bitte keinen Streit: die Infinitesimalrechnung (und vieles andere) wurde ja auch (fast) gleichzeitig von zwei verschiedenen Leuten erfunden. Und die Geschichte mit der Zeitschaltuhr hab ich ja schon durch: um ehrlich zu sein waren es gleich drei!
Das Dumme an diesen Zeitschaltuhren ist, dass sie bei mir Assoziationen wie Backofen, Mikrowelle oder Rolladen schließen hervorrufen und sie in der IT auf mich wie Bastelkram wirken.
Geht das Ganze nicht smarter? Wir haben 2024 und nicht mehr 1960....
Member: DarkZoneSD
DarkZoneSD Jun 14, 2024 at 13:23:26 (UTC)
Goto Top
Klar geht das smarter aber dann wirds auch komplizierter, Du könntest das ganze ja z.B. über eine Siemens LOGO o.ä. steuern und dann per Node-Red ereignisgesteuert arbeiten. Gibt viele Möglichkeiten sowas zu realisieren.

Viele Grüße
Member: StefanKittel
StefanKittel Jun 14, 2024 at 13:28:34 (UTC)
Goto Top
Zitat von @13523530998:
Geht das Ganze nicht smarter? Wir haben 2024 und nicht mehr 1960....
Moin,
bis "Unfreundlichen" sind teilweise ja auch smart und fangen mit Warten und Beobachten an.
Wenn das NAS nur von 22:00 - 04:00 verbunden ist, dann wird es halt dann gelöscht.
Also den Zugriff so gestalten, dass der Backup-Server nur Zugangsdaten zum hinzufügen hat.

Oder ein 2. NAS was die Daten vom 1. NAS holt und vorab überprüft wieviel sich geändert hat.
Wenn sich bestimmte Key-Dateien oder zu viele Daten geändert haben schaltet sich NAS2 ab und fertig.

Dies Immutable S3 ist mir zu "komplex" und wenig einsichtbar. Eine einfache Lösung KISS die man durchschaut und überblickt ist mir einfacher.

Stefan
Member: kreuzberger
kreuzberger Jun 14, 2024 at 13:30:09 (UTC)
Goto Top
@13523530998

zugegeben, diese uralt-Zeitschaltuhren ⏲ mit dem Drehkranz und den vielen kleinen Kippschaltern (je 15min) haben ja so ihren Charme.
Aber es gibt auch inzwischen digitale Zeitschaltuhren.
🤣
Kreuzberger
Member: aqui
aqui Jun 14, 2024 at 13:37:02 (UTC)
Goto Top
Aber es gibt auch inzwischen digitale Zeitschaltuhren.
Oder noch besser smarte WLAN Tasmota Stecker! Die machen es noch eleganter... 😉
Member: kaiand1
kaiand1 Jun 14, 2024 at 14:18:46 (UTC)
Goto Top
Mikrotik (oder anderes) und dort per Script halt Lanport On/Off Schalten Zeitlich und zusätzlich wenn der Port Aktiv ist den Traffic dort Auswerten und wenn dieser <= x liegt den Port Abschalten...

Aber da hat er ja auch des Problem das ein Hacker zugriff auf sein System hat und wenn des Verbunden ist dort auch Zugang hat... was er ja nicht möchte.....
Member: kreuzberger
kreuzberger Jun 14, 2024 at 14:39:28 (UTC)
Goto Top
Wäre eigentlich mit Pergamentpapier und Bleistift vom Bildschirm abpausen auch sicher?
🙄
Mitglied: 13523530998
13523530998 Jun 15, 2024 at 16:02:43 (UTC)
Goto Top
Da der aktuell letzte Beitrag leider nur Stammtischniveau erreicht und ich diesen Thread nicht derart enden lassen will hier nochmal meinen Dank an alle, die einen konstruktiven Beitrag geleistet haben.
Damit kann dieser Thread geschlossen werden.
Member: DivideByZero
DivideByZero Jun 15, 2024 at 16:12:19 (UTC)
Goto Top
Das macht man selbst, daher bitte noch: Wie kann ich einen Beitrag als gelöst markieren?

Gruß

DivideByZero
Member: aqui
aqui Jun 15, 2024, updated at Jun 16, 2024 at 16:37:05 (UTC)
Goto Top
Das macht man selbst, daher bitte noch:
FAQs lesen leider auch Fehlanzeige... . face-sad
Mitglied: 13523530998
13523530998 Jun 15, 2024 at 18:03:55 (UTC)
Goto Top
Inwiefern sollte dieser Thread gelöst sein? Habe ich 'was überlesen?

Zitat von @aqui:

Das macht man selbst, daher bitte noch:
FAQs lesen hilft eigentlich aber dafür hats beim TO wohl auch nicht gereicht... . face-sad

Hilfreiche Reihenfolge im Leben & in Foren: lesen - verstehen - handeln.
Member: kreuzberger
kreuzberger Jun 15, 2024 at 18:38:06 (UTC)
Goto Top
@13523530998

nun, es gab hier ja neben meinem Scherzartikel mehrere sinnvolle Vorschläge von den geschätzten Kolleginnen und Kollegen.

Dass sie dir nicht so recht gefallen ist schade, eine Lösung stellen sie aber dennoch dar.

Keuzberger
Mitglied: 13523530998
Solution 13523530998 Jun 16, 2024 at 16:25:34 (UTC)
Goto Top
Ich muss mich entschuldigen: Wie konnte ich nur so anmaßend sein und glauben selbst beurteilen zu können wann meine Frage beantwortet wurde? Schändlich! Natl. wissen andere Forenmitglieder das wesentlich besser als ich. Ja sogar schon J. F. von Schönberg hat solcherart Kompetenzen literarisch ein Denkmal gesetzt.

Auch zB bei der Aussage, dass notwendigerweise für ein separates Netz eine separate Netzwerkkarte zwingend erforderlich sei ist für mich 'mindblowing' - was natl. an meinem Unwissen liegt u.s.w.

Daher habe ich mich entschlossen diesem Neusprech und der damit verbundenen zeitgeistigen Logik nachzugeben und werde diesen (vermeintlich) ungelösten Thread als gelöst markieren. Klar!

Eine letzte Bitte an den Forenadmin: Möglicherweise findet ja jmd diesen Thread über eine Suchmaschine. Er glaubt vll. dieser sei - gemäß Kennzeichnung - gelöst, liest bis zum bitteren Ende und bemerkt in den späten Posts kognitive Dissonanzen. Ja, wer weiß, vll. springen diese dann sogar auf sein Denken über... Gefährlich! Daher bitte - lieber Forenadmin - lösche diesen Thread. Danke.

Ich verbleibe mit sanften Grüßen und reflektiere - nur so für mich - die Frage: "How many fingers, Winston?"
Member: kpunkt
kpunkt Jun 17, 2024 at 04:50:16 (UTC)
Goto Top
Hogwarts....in Hogwarts gäbe es bestimmt eine Lösung, die auch blueprintwürdig wäre....