20
Schutz gegen Ransomware - Subnetz erstellen
Hallo
in unserem Praxis-LAN sind 10 Clients, 1 WindowsServer 2019 und eine (Backup-)NAS (Synology DiskStation).
Neben einer ausgeklügelten Backup-Strategie mit regelmäßigen Backups (nach extern) möchten wir weitere Massnahmen zum Schutz gegen Ransomware realisieren.
Im Synology-Forum wurde empfohlen, die Backup-NAS in ein anderes Subnetz zu verlagern, damit nach einer Infektion mit Ransomware beim Netzwerk-Scan die Backup-NAS nicht gefunden wird.
Es wurde für die NAS folgende Massnahmen empfohlen:
- Deaktivierung des SMB-Dateidienstes (und somit keine Netzlaufwerk bzw. Windowsfreigaben)
- Backups der Clients/Server mit Active Backup for Business (Synology DSM-App) auf die NAS
- Aktivierung der Firewall auf der Backup-NAS (ausschliesslich der Port für die Backup-Software geöffnet)
- Zeitplanung für den Online-Status der NAS (NAS nur für die Zeit des Backups angeschaltet)
- Die NAS sollte in einem anderem Subnetz sein
Zu letztem Punkt habe ich nun Fragen:
Wenn wir nun wirklich unser LAN in 2 VLANs aufteilen :
VLAN 1 : Server + Clients 192.168.0.x
VLAN2: BackupNAS 192.168.1.x
Die Kommunikation zwischen beiden Netzen (bzw. zwischen der NAS und den Clients/Server) erfolgt wie ?
VLAN-Switch (Layer 3-lite) ?
VLAN-Router ?
oder ist beides notwendig?
Grüße Rainer
in unserem Praxis-LAN sind 10 Clients, 1 WindowsServer 2019 und eine (Backup-)NAS (Synology DiskStation).
Neben einer ausgeklügelten Backup-Strategie mit regelmäßigen Backups (nach extern) möchten wir weitere Massnahmen zum Schutz gegen Ransomware realisieren.
Im Synology-Forum wurde empfohlen, die Backup-NAS in ein anderes Subnetz zu verlagern, damit nach einer Infektion mit Ransomware beim Netzwerk-Scan die Backup-NAS nicht gefunden wird.
Es wurde für die NAS folgende Massnahmen empfohlen:
- Deaktivierung des SMB-Dateidienstes (und somit keine Netzlaufwerk bzw. Windowsfreigaben)
- Backups der Clients/Server mit Active Backup for Business (Synology DSM-App) auf die NAS
- Aktivierung der Firewall auf der Backup-NAS (ausschliesslich der Port für die Backup-Software geöffnet)
- Zeitplanung für den Online-Status der NAS (NAS nur für die Zeit des Backups angeschaltet)
- Die NAS sollte in einem anderem Subnetz sein
Zu letztem Punkt habe ich nun Fragen:
Wenn wir nun wirklich unser LAN in 2 VLANs aufteilen :
VLAN 1 : Server + Clients 192.168.0.x
VLAN2: BackupNAS 192.168.1.x
Die Kommunikation zwischen beiden Netzen (bzw. zwischen der NAS und den Clients/Server) erfolgt wie ?
VLAN-Switch (Layer 3-lite) ?
VLAN-Router ?
oder ist beides notwendig?
Grüße Rainer
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 2413207030
Url: https://administrator.de/contentid/2413207030
Printed on: April 23, 2024 at 11:04 o'clock
20 Comments
Latest comment
damit nach einer Infektion mit Ransomware beim Netzwerk-Scan die Backup-NAS nicht gefunden wird.
Dann darf aber das NAS natürlich nicht permantent als Laufwerk gemountet sein, ansonsten erweist man sich einen Bärendienst und dann nützt auch die Segmentierung nichts.Diese ist nur sinnvoll wenn das NAS auf die Endgeräte keine feste Verbindung hat und diese lediglich nur zum Backup hergestellt wird. Dann macht es Sinn.
Die Kommunikation zwischen beiden Netzen (bzw. zwischen der NAS und den Clients/Server) erfolgt wie ?
Mit simplen IP Routing natürlich. Frage ist eher peinlich und solltest du als Netzwerk Admin aber eigentlich auch ohne solch einen Thread wissen !! Einfach mal die Suchfunktion benutzen hier im Forum ! 
Wie IP Routing grundsätzlich geht steht hier:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Wie du das mit einem VLAN fähigen Router oder Firewall umsetzt hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Und wie es mit einem Layer 3 fähigen VLAN Switch geht hier:
Verständnissproblem Routing mit SG300-28
Hallo Rainer, Du brauchst einen VLAN-fähigen Switch und einen Router oder einen Switch, der VLANs routen kann (sog. Layer 3 Switch). Zum Setup gibt's hier 1000e Threads und ausgezeichnete Tutorials. Google oder die Forensuche ist Dein Freund.
Abkürzung: VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Wenn Nur das NAS in ein separates VLAN soll, kannst Du den VLAN-fähigen Switch sparen und das direkt an den Router hängen (vorhandenen Port vorausgesetzt). Ist aber nicht elegant und nicht zukunftsorientiert.
Viele Grüße, commodity
Abkürzung: VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Wenn Nur das NAS in ein separates VLAN soll, kannst Du den VLAN-fähigen Switch sparen und das direkt an den Router hängen (vorhandenen Port vorausgesetzt). Ist aber nicht elegant und nicht zukunftsorientiert.
Viele Grüße, commodity
1
Zitat von @fishrain:
Die Kommunikation zwischen beiden Netzen (bzw. zwischen der NAS und den Clients/Server) erfolgt wie ?
VLAN-Switch (Layer 3-lite) ?
VLAN-Router ?
oder ist beides notwendig?
VLAN-Switch (Layer 3-lite) ?
VLAN-Router ?
oder ist beides notwendig?
Ja, es braucht schon ein Gerät, welches den Datenverkehr zwischen den Netzen regelt.
Ganz nebenbei, was ist mit dem ganzen anderen Geraffel? Schon mal Ansatzweise mit § 75 SGB V beschäftigt?
Wenn Nur das NAS in ein separates VLAN soll, kannst Du den VLAN-fähigen Switch sparen und das direkt an den Router hängen (vorhandenen Port vorausgesetzt). Ist aber nicht elegant und nicht zukunftsorientiert.
Genau ..eigentlich sollte nur die NAS alleine ins Subnetz (und die wird eigentlich nie gemounted...denn selbst wenn die Backups gezogen werden läuft das über ein anderes Protokoll) ...aber mit einer Fritzbox (die ist bei uns im Einsatz) funktioniert das VLAN ja nicht....müssten wir also dann doch VLAN-fähigen Switch besorgen
@148523: Danke für die links zum IP Routing
Zitat von @148523:
Frage ist eher peinlich und solltest du als Netzwerk Admin aber eigentlich auch ohne solch einen Thread wissen !!
So Recht Du hast Frage ist eher peinlich und solltest du als Netzwerk Admin aber eigentlich auch ohne solch einen Thread wissen !!
Bist Du eigentlich mit @aqui verwandt? Der Duktus ist ausgesprochen ähnlich. Und Deine Beiträge inhaltlich auch immer sehr wertig 
Der TO ist Arzt oder Praxismanager oder der diesen dienende "Computer-Fuzzi". Also vielleicht nicht so streng sein.
Die Frage also solche steht ja schon für eine gewisse (begrüßenswerte) Sensibilität zum Thema und da ist er der Mehrheit der deutschen Praxen schon mal Lichtjahre voraus. Ich mag KMUs, die anfangen sich zu interessieren. Die muss man ja nicht gleich verschrecken.
Und: Jeder fängt klein an (aber zugegeben: Vielleicht nicht gleich live in einer Praxis).
Viele Grüße, commodity
2VLAN ja nicht....müssten wir also dann doch VLAN-fähigen Switch besorgen
VLAN-fähig reicht nicht, er muss VLANs dann auch routen können. Cisco CBS350 z.B. wäre ein ordentlicher Weg.Professioneller und (ich finde) auch übersichtlicher geht es mit einem VLAN-Router.
Viele Grüße, commodity
Cisco CBS350 z.B. wäre ein ordentlicher Weg.
Ein Cisco CBS250er Switch würde dafür auch reichen aber bei der weißen Zunft kommt es ja nicht so aufs Budget an ! 
Zitat von @148523:
... aber bei der weißen Zunft kommt es ja nicht so aufs Budget an !
... aber bei der weißen Zunft kommt es ja nicht so aufs Budget an !
Da kann ich Dir aber andere Stories erzählen. Da hab ich den. ein oder anderen "wieder abgeworfen", nachdem er mein Stundensätze herunterverhandeln wollte.
lks
1Zitat von @148523:
Ein Cisco CBS250er Switch würde dafür auch reichen
Jein, für DHCP braucht er dann doch einen Helper. Für einen Nicht-Admin ist der 350 also der direktere Weg.Ein Cisco CBS250er Switch würde dafür auch reichen
Viele Grüße, commodity
Jein, für DHCP braucht er dann doch einen Helper. Für einen Nicht-Admin ist der 350 also der direktere Weg.
bei uns sind alle IPs fest vergeben...somit muss DHCP nicht unbedingt an Bord sein und mit "VLAN-fähig" meinte ich einen Layer3 lite-Switch der statisches Routing unterstützt (z.B. der Lancom LANCOM GS-3126X)...
Hallo.
Was ein Quatsch. Wenn der Mitarbeiter-PC oder Server Zugriff hat, hat auch die Ransomware Zugriff (auf den Backupserver).
Schutz vor Ransomware? Kommt drauf an was die Ransomware kann.
Nehmen wir mal eine Ransomware von der Stange.
Die Ransomware kann:
Was hilft?
Ich nehme beides. Eigentlich brauchst du nur den Switch, aber wie sollte man dann filtern, wenn es nicht durch den Router/die Firewall geht?
Gruss
Im Synology-Forum wurde empfohlen, die Backup-NAS in ein anderes Subnetz zu verlagern, damit nach einer Infektion mit Ransomware beim Netzwerk-Scan die Backup-NAS nicht gefunden wird.
Was ein Quatsch. Wenn der Mitarbeiter-PC oder Server Zugriff hat, hat auch die Ransomware Zugriff (auf den Backupserver).
Schutz vor Ransomware? Kommt drauf an was die Ransomware kann.
Nehmen wir mal eine Ransomware von der Stange.
Die Ransomware kann:
- Daten verschlüsseln -> Verfügbarkeit und Datenintegrität ist nicht mehr gewährleistet.
- Daten vor dem Verschlüsseln an eigene Server übertragen -> Vertraulichkeit der Daten ist nicht mehr gewährleistet.
Was hilft?
- Hardware-Netzwerk-Firewall, welche ausgehende Verbindungen zu Angreifer-Servern verhindert. Konfiguriere eine Whitelist. Somit wird die Vertraulichkeit der Daten gesichert
- Backups offline speichern ggf. Verschlüsselt, falls die physische Sicherheit unzureichend ist
- Unötige Software, Dienste und Features deinstallieren bzw. deaktivieren
- Ausschliesslich starke Kryptografie verwenden
- Nur signierte Makros zulassen
- Software aktuell halten
- Windows Defender, alle anderen Schutzprogramme sind meiner Meinung nach Schlangenöl
- Prinzip der geringsten Berechtigung (a.k.a. nicht jeden Hinz und Kunz zum Admin machen)
- Mehraugenprinzip
- DNSSEC, DKIM, SPF, DMARC, DANE, TLS validieren
- Mikrosegmentierung, mehre Subnetze erstellen, nicht alle Dienste auf der gleichen Hardware laufen lassen usw. damit die Firewall schön filtern kann
- Multi-Faktor-Authentifizierung
- Bekannte Dateierweiterungen ausblenden deaktivieren
- Mitarbeiter schulen bzw. schulen lassen. Das beste Antivirenprogramm ist immer noch Gehirn.exe.
VLAN-Switch (Layer 3-lite) ?
VLAN-Router ?
oder ist beides notwendig?
VLAN-Router ?
oder ist beides notwendig?
Ich nehme beides. Eigentlich brauchst du nur den Switch, aber wie sollte man dann filtern, wenn es nicht durch den Router/die Firewall geht?
Gruss
bei uns sind alle IPs fest vergeben
wer's braucht. Geht ja auch...ich finde Deine Hinweise super. Den Backup-Server aber (unerreichbar) aus dem Netz zu nehmen - und ausschließlich ein Pull-Backup zu machen - halte ich für eine sehr geeignete und zeitgemäße Maßnahme zum Schutz des (lokalen) Backups. Dass das natürlich nur ein Baustein ist, sollte klar sein.
Die Aussage des TO greift da natürlich in der Tat zu kurz. Seine Frage bezog sich aber nicht auf die Sinnhaftigkeit seines Vorgehens oder ergänzende Maßnahmen sondern auf das Wie des VLAN-Routings.
Jetzt können wir natürlich diskutieren, ob wir den Leuten besser helfen, wenn wir ihre Fragen beantworten oder ihre Fragen in Frage stellen
Viele Grüße, commodity
1
Hi,
naja richtig sicher kannst das alles nur mit immutable storage sein.
Und nur das ist die Zukunft und der Schutz vor einem Einschlag!
unhackbar
Klein jedoch skalierbar!
Und als I Tüpfelchen eine externe Platte als offsite.
naja richtig sicher kannst das alles nur mit immutable storage sein.
Und nur das ist die Zukunft und der Schutz vor einem Einschlag!
unhackbar
Klein jedoch skalierbar!
Und als I Tüpfelchen eine externe Platte als offsite.
Das waren:
30 Sekunden Werbung
Weiter im Thread. (Ach, war ja schon alles gesagt)
30 Sekunden Werbung
Weiter im Thread. (Ach, war ja schon alles gesagt)
Naja war keine Werbung.
War nur die Nebenfrage des TOs beantwortet welche um die Sicherheit des Backup geht.
Aber naja jedem des seine
War nur die Nebenfrage des TOs beantwortet welche um die Sicherheit des Backup geht.
Aber naja jedem des seine
keine Werbung wäre es gewesen, WORM zu verlinken.
Zu "Yowie® powered by Cloudian® Hyperstore®" (ich schmeiß mich weg, was für eine Marketinggrütze) zu verlinken - und das mit dem marktschreierischen Begriff unhackbar, ist Werbung. Und falsche obendrein.
Ist aber nicht schlimm, wollte das nur klar stellen.
Eine Nebenfrage des TO war es im Übrigen auch nicht.
Viele Grüße, commodity
Zu "Yowie® powered by Cloudian® Hyperstore®" (ich schmeiß mich weg, was für eine Marketinggrütze) zu verlinken - und das mit dem marktschreierischen Begriff unhackbar, ist Werbung. Und falsche obendrein.
Ist aber nicht schlimm, wollte das nur klar stellen.
Eine Nebenfrage des TO war es im Übrigen auch nicht.
Viele Grüße, commodity
Zitat von @commodity:
Den Backup-Server aber (unerreichbar) aus dem Netz zu nehmen - und ausschließlich ein Pull-Backup zu machen - halte ich für eine sehr geeignete und zeitgemäße Maßnahme zum Schutz des (lokalen) Backups.
Absolut richtig !!!Den Backup-Server aber (unerreichbar) aus dem Netz zu nehmen - und ausschließlich ein Pull-Backup zu machen - halte ich für eine sehr geeignete und zeitgemäße Maßnahme zum Schutz des (lokalen) Backups.
Zitat von @EliteHacker:
Wenn der Mitarbeiter-PC oder Server Zugriff hat, hat auch die Ransomware Zugriff (auf den Backupserver).
Bei einem Pull-Backup hat eben der PC/Server keinen Zugriff auf den Backup-Server (sondern umgekehrt) ..dies lässt sich z.B. über RSYNC-Protokoll oder über das Protokoll von Active Backup for Business realisieren. Es handelt sich dabei um nicht-routingfähige Protokolle (im Gegensatz zur einer Netzwerkfreigabe via SMB).Wenn der Mitarbeiter-PC oder Server Zugriff hat, hat auch die Ransomware Zugriff (auf den Backupserver).
Dass Ransomware im "besser" wird ist mir doch auch klar...und sicher ist man nur wenn man die Verbindung kappt
Und die vielen anderen gutgemeinten Tipps beherzigen wir ja eh schon. Mir ging's jetzt wirklich nur um das Thema VLAN und IP-Routing bei Subnetzen.
Danke an alle für den guten Input (die unsachlichen Nebenbemerkungen hab ich alle ignoriert
)1Zitat von @Fabezz:
Hi,
naja richtig sicher kannst das alles nur mit immutable storage sein.
Und nur das ist die Zukunft und der Schutz vor einem Einschlag!
Hi,
naja richtig sicher kannst das alles nur mit immutable storage sein.
Und nur das ist die Zukunft und der Schutz vor einem Einschlag!
Falsch der Schutz vor einem Einschlag ist ein ordentliches Sicherheits - und Risikomanagement und nicht Symptombehebung.
lks
Jein, für DHCP braucht er dann doch einen Helper.
Den Helper benötigt er aber gar nicht wenn richtigerweise einzig nur das NAS in ein VLAN abgetrennt ist ! Ein NAS hat immer eine statische IP.Nebenbei supporten die CBS250er natürlich auch DHCP Relay (ip helper)
https://www.cisco.com/c/en/us/td/docs/switches/lan/csbms/CBS_250_350/Adm ...
