Data beschermen tegen ransomware in een thuisomgeving

Vraag

woensdag 23 februari 2022 13:37

Acties:

0 Henk 'm!

Topicstarter

Situatieschets
Ik heb een deel data die erg belangrijk voor mij zijn. Het gaat om ruwweg 1TB en per jaar komt daar ongeveer 200GB bij. Deze data wil ik graag optimaal beschermen tegen verlies. Tegelijkertijd ben ik, ondanks interesse in hard- en software, geen specialist in opslag en heb ik ook geen oneindig budget om mij te beschermen.

De huidige setup
De data staat vandaag op volgende plekken:
• Een harde schijf in een desktop
• Een Synology DS216+ met twee schijven (mirror, BTRFS en maandelijkse data scrubbing)
• Twee externe harde schijven die tweewekelijks roteren. Er ligt er altijd één onsite en één offsite
• SD kaartjes met foto's (een deel van de data) worden nooit gewist maar worden apart gelegd

Verder heb ik nog beschikking over een Synology DS115J met plek voor één harde schijf.

Het probleem
De huidige setup heeft zijn waarde al bewezen toen een overspanning mijn desktop én Synology NAS heeft gefrituurd. De data was niet verloren gegaan dankzij de externe harde schijven.

Tegen bit rot kan ik mij voldoende beschermen door de data scrubbing van de Synology NAS. Niet 100% want in dit geval was de NAS verloren en ben ik niet helemaal zeker dat de kopies bit perfect waren maar ik ben bereid dit risico te nemen.

Blijft er nog over: user error (verkeerde kopies nemen, vergeten een kopie te nemen) en ransomware. Het is de laatste factor waar ik mij nog beter tegen wil beschermen.

Oplossingen
Dit doe ik al:
• Geen toepassingen van de NAS over het internet gebruiken
• Apparaten hebben enkel read only credentials voor de NAS opgeslagen, als ik een backup wil doen dan log ik in met read/write credentials.
• Mijn backup maak ik met FreeFileSync. Die kijkt naar de bestandsgrootte en datum om te kijken of er iets gewijzigd is. Als ik hier onverwachte verschillen zie dan zou ik het verdacht vinden.

Maar wat kan ik beter doen?

Alle reacties

woensdag 23 februari 2022 13:43

Acties:

0 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

Voeg een online backup -met versioning- toe die bijv. elke nacht backupt vanaf Synology.

Kost wel wat, natuurlijk. Eenmalige kosten ipv jaarlijks: zet een tweede NAS met zeg 4*2 TB schijven (netto 6TB, 4x1TB is amper goedkoper) neer bij een ander en backup, dus niet sync maar met versies, naar die NAS via VPN of in geval van Syno de ingebouwde backup tools.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

woensdag 23 februari 2022 13:44

Acties:

0 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

Aanvulling:

Mijn backup maak ik met FreeFileSync.

Ik neem even aan dat die sync geen bestanden verwijderd die niet meer bestaan op de NAS. Anders helpt het niet tegen malware en ook niet tegen oepsjes.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

woensdag 23 februari 2022 13:59

Acties:

0 Henk 'm!

DJMaze

F_J_K schreef op woensdag 23 februari 2022 @ 13:43:
Voeg een online backup -met versioning- toe die bijv. elke nacht backupt vanaf Synology.

Dat kan die ook goedkoop doen door zijn ds115j bij goede familie/kennisen te plaatsen.

Want bij brand is TS nu ook de backups kwijt.

[ Voor 7% gewijzigd door DJMaze op 23-02-2022 14:01 ]

Maak je niet druk, dat doet de compressor maar

woensdag 23 februari 2022 14:19

Acties:

0 Henk 'm!

DUX

blijft ook nu voor Oranje

Ik heb ook ingezet op de versioning van Synology. Blijft wel een beetje een gok want ransomware wil eerst ook nog wel eens sluimeren voordat het geactiveerd wordt, dus hoever moet je terug kunnen met je backup? En ook is het wel voorgekomen dat er ransomware op Synology zelf verscheen waardoor je niet eens bij je backup kon.

Wat dat betreft is, denk ik, een secundaire offline backup met versioning op een ander merk/medium dan je primaire backuptool de beste oplossing. Maar dat is een extra handmatige handeling die je dan periodiek moet uitvoeren. En als je deze secundaire backup ook nog eens offsite maakt moet je nog voor reizen ook

. < G o o o o o o o o g l e >
Vorige 1 2 3 4 5 6 7 8 Volgende

woensdag 23 februari 2022 14:20

Acties:

0 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

Oeps, overheen gelezen.. Inderdaad, zet die ene bij een bekende. En ga dus voor backup en niet sync, of hooguit sync zonder verwijderen (met als nadeel dat je bij renames twee documenten hebt)

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

woensdag 23 februari 2022 14:27

Acties:

+1 Henk 'm!

JaDatIsPeter

Admiral Freebee schreef op woensdag 23 februari 2022 @ 13:37:
Ik heb een deel data die erg belangrijk voor mij zijn. Het gaat om ruwweg 1TB en per jaar komt daar ongeveer 200GB bij. Deze data wil ik graag optimaal beschermen tegen verlies.

O365 family abo nemen a 99 eu/jr. Heb je 6 TB Onedrive en “gratis” Office. Met aanbiedingen (Amazon.de) soms bijna voor de helft. Natuurlijk geen mappen automatisch syncen, want dan sync je de ransomwared-data mee. Vertrouw je MS niet, dan stop je alles in 1 of meer true/vera crypt containers. Of 7zip/rar met wachtwoorden. Wil je ook nog zekerheid over bitrot, maak dan par2 bestanden aan en check die periodiek.

woensdag 23 februari 2022 14:33

Acties:

+1 Henk 'm!

Skywalker27

O365 onedrive heeft bescherming hiervoor. Je moet dan eerst al je devices schoonmaken en daarna je onedrive herstellen.

Ransomware detection and recovering your files

[ Voor 77% gewijzigd door Skywalker27 op 23-02-2022 14:35 ]

woensdag 23 februari 2022 15:10

Acties:

0 Henk 'm!

BytePhantomX

Overweeg het gebruik van AWS Glacier of Azure Cold storage. Voor 1 tb ben je circa 2 euro per maand kwijt. Als je het versleuteld voor het er in gaat, hoef je ook niet bang te zijn voor de Amerikaanse diensten. Enige nadeel, als je het echt een keer nodig hebt, dan betaal je een aardig bedrag om het terug te halen. Maar dan maak je je daar waarschijnlijk niet zo druk over.

Kijk hier voor de details: https://aws.amazon.com/s3/pricing/

[ Voor 7% gewijzigd door BytePhantomX op 23-02-2022 15:11 ]

woensdag 23 februari 2022 15:27

Acties:

+1 Henk 'm!

Admiral Freebee

Topicstarter

Oké, ik zie een aantal interessante dingen voorbijkomen:

Strategie	Kost	Complexiteit	Opmerkingen
Extra backup op een NAS	Laag indien ik de DS115J gebruik	Laag indien ik de NAS lokaal laat staan. Als ik hem extern zet dan moet ik de NAS exposen over het internet waar ik niet zo tuk op ben of beginnen met VPNs.	De vraag blijft vooral hoe lang je terug moet kunnen gaan om zeker te zijn dat je snapshots niet besmet zijn. En hoe voorkom je dat deze NAS ook geïnfecteerd wordt door ransomware als hij gewoon in je LAN hangt?
Backup naar cloud storage	Hangt wat van de oplossing af en hoe hard de hoeveelheid data groeit	Laag indien ik accepteer dat de backup niet encrypted is. Als ik hem moet gaan versleutelen dan wordt de complexiteit een stuk hoger want ik zie het niet zitten om elke keer een full backup te doen wegens beperkte uploadsnelheid.	Hoe zorg je ervoor dat je dit incremental én versleuteld kan doen? Voor de foto's zou ik eventueel encrypted files kunnen maken en die periodiek uploaden maar dit lijkt me niet ideaal. Verder stel ik me op deze manier wel bloot aan onverwachte prijsstijginen, het wijzigen van de voorwaarden van de dienst of het stopzetten van de dienst. Met mijn trage upload snelheid is dat niet wenselijk.

[ Voor 7% gewijzigd door Admiral Freebee op 23-02-2022 15:31 ]

woensdag 23 februari 2022 15:32

Acties:

0 Henk 'm!

thunder7

houten vaas/schaal nodig?

In linux weet ik hoe je een externe schijf kunt aankoppelen als een encrypted volume. Daar geef je dan je credentials bij op, en dan kun je een backup met versioning daar naar maken. Na afsluiten is het weer een encrypted blob extern.

Geen idee eigenlijk of dat ook in windows kan.

hout-nerd - www.hetmooistehout.nl of www.houtenschalen.nl

woensdag 23 februari 2022 15:36

Acties:

0 Henk 'm!

Admiral Freebee

Topicstarter

thunder7 schreef op woensdag 23 februari 2022 @ 15:32:
In linux weet ik hoe je een externe schijf kunt aankoppelen als een encrypted volume. Daar geef je dan je credentials bij op, en dan kun je een backup met versioning daar naar maken. Na afsluiten is het weer een encrypted blob extern.

Geen idee eigenlijk of dat ook in windows kan.

Ik gebruik Veracrypt volumes op de externe schijven en de schijven blijven enkel mounted voor de tijd dat de backup uitgevoerd wordt.

woensdag 23 februari 2022 16:26

Acties:

+1 Henk 'm!

Orion84

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

DUX schreef op woensdag 23 februari 2022 @ 14:19:
Ik heb ook ingezet op de versioning van Synology. Blijft wel een beetje een gok want ransomware wil eerst ook nog wel eens sluimeren voordat het geactiveerd wordt, dus hoever moet je terug kunnen met je backup? En ook is het wel voorgekomen dat er ransomware op Synology zelf verscheen waardoor je niet eens bij je backup kon.

Dat is deels te ondervangen door in de gaten te houden hoeveel wijzigingen er gerapporteerd worden bij de bijvoorbeeld dagelijkse backup. Ik krijg elk nacht een mailtje van mijn hyper backup jobs (lokaal en naar Synology's C2 cloud backup dienst) en daar staat ook in hoeveel data er nieuw / gewijzigd is.
Verder goed om even naar het versioning schema te kijken en zorgen dat je niet alleen een paar weken aan dagelijkse versies hebt, maar ook (minder frequent) versies langer bewaart. Zeker als je de NAS vooral bijvoorbeeld gebruikt als fotoarchief is het aantal daadwerkelijke wijzigingen (los van nieuwe bestanden) beperkt en kost het bewaren van meer versies dus nauwelijks extra opslag.

Bij Synology C2 kan je ook gewoon op de web portal inloggen en via daar bij je bestanden. Vanaf een compleet gewiste / nieuwe NAS kan je ook gewoon verbinden naar je oude jobs.

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

woensdag 23 februari 2022 16:39

Acties:

0 Henk 'm!

SniperGuy

Je kunt de MD5 hash laten berekenen en opslaan: dan weet je later of de files nog exact hetzelfde zijn als toen je ze voor het eerst opsloeg

woensdag 23 februari 2022 16:39

Acties:

0 Henk 'm!

ollie1965

Op zoek naar energiebesparing

Mijn setup:

1 primaire NAS op locatie in RAID 5 2 volumes en verschillende Admins voor benadering van volumes
1 secondaire NAS op een andere locatie met Raid 1. Secundaire NAS zelf is met een ander Admin account te benaderen dan waar de backups mee gemaakt worden
1 losse schijf off site

- Primaire NAS maakt dagelijks (avond) een incrementele backup naar 2de volume met een recycle/rotatie van 2560
- Primaire NAS maakt dagelijks (ochtend) een incrementele backup naar de secundaire NAS met een recycle/rotatie van 2560
- Primaire NAS maakt wekelijks (ochtend) een incrementele backup naar de secundaire NAS met een recycle/rotatie van 400
- Primaire NAS maakt maandelijkse (ochtend) een incrementele backup naar de secundaire NAS met een recycle/rotatie van 120
- Primaire NAS maakt 3 maandelijkse (ochtend) een incrementele backup naar de secundaire NAS met een recycle/rotatie van 50
- Primaire NAS maakt 6 maandelijkse (ochtend) een incrementele backup naar de secundaire NAS met een recycle/rotatie van 30

Backups naar secundaire NAS zijn gemaakt met andere Admin accounts en zijn encrypt

Logboek bestand ingeschakeld om te kunnen zien welke bestanden gewijzigd zijn en melding aanstaan als backup meer dan X% wijziging/verwijdering/toevoeging is (dan heb je na 1 dag al wel wat in de gaten)

- 1x per maand een backup naar de off site backup (die dan even onsite is

) en is encrypt

Theoretisch kan ik alles kwijt zijn (zeer late kick-in van ransomeware), 6, 3, 1 maand, 1 week of 1 dag.
Heb nog overwogen om een jaarlijkse backup te doen naar de secundaire NAS en een jaarlijkse off site backup. Maar ik vond het persoonlijk wel een redelijke oplossing voor een thuissituatie.

Hoe meer ik weet, hoe meer ik weet dat ik te weinig weet

Dit , hierom en hierom

woensdag 23 februari 2022 16:49

Acties:

0 Henk 'm!

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

Admiral Freebee schreef op woensdag 23 februari 2022 @ 15:27:
Laag indien ik accepteer dat de backup niet encrypted is. Als ik hem moet gaan versleutelen dan wordt de complexiteit een stuk hoger want ik zie het niet zitten om elke keer een full backup te doen wegens beperkte uploadsnelheid.

Backup gewoon naar Glacier (99.999999999% (11 negens) 'durability' garantie). Dat kan encrypted (is volgens mij zelfs default) zonder elke keer een full backup te doen, er is een Synology package voor beschikbaar en Glacier kost geen drol. Je moet alleen wat geduld hebben als je wil restoren zonder hoge kosten - liever 2 weken (bij wijze van) doen over m'n restore dan helemaal niks hebben denk ik dan maar

[ Voor 11% gewijzigd door RobIII op 23-02-2022 16:52 ]

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

woensdag 23 februari 2022 16:59

Acties:

0 Henk 'm!

Orion84

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

RobIII schreef op woensdag 23 februari 2022 @ 16:49:
[...]

Backup gewoon naar Glacier (99.999999999% (11 negens) 'durability' garantie). Dat kan encrypted (is volgens mij zelfs default) zonder elke keer een full backup te doen, er is een Synology package voor beschikbaar en Glacier kost geen drol. Je moet alleen wat geduld hebben als je wil restoren zonder hoge kosten - liever 2 weken (bij wijze van) doen over m'n restore dan helemaal niks hebben denk ik dan maar

Yep, zo had ik het in het verleden ook. En voor een paar tientjes ook al eens bijna een TB aan foto en videomateriaal hersteld (verspreid over een paar weken).

Grote nadeel daarvan vond ik wel dat je niet buiten de glacier client op je synology om bij je data kan, aangezien alles in compleet onnavolgbare indexen en weet ik wat wordt gemikt zonder de originele bestandsnamen etc.

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

woensdag 23 februari 2022 17:00

Acties:

0 Henk 'm!

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

Orion84 schreef op woensdag 23 februari 2022 @ 16:59:
Grote nadeel daarvan vond ik wel dat je niet buiten de glacier client op je synology om bij je data kan, aangezien alles in compleet onnavolgbare indexen en weet ik wat wordt gemikt zonder de originele bestandsnamen etc.

Pin me d'r niet op vast, maar er staan volgens mij wat projectjes op GitHub die daar wel mee overweg kunnen / wijs uit worden.

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

woensdag 23 februari 2022 17:03

Acties:

0 Henk 'm!

Orion84

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

RobIII schreef op woensdag 23 februari 2022 @ 17:00:
[...]

Pin me d'r niet op vast, maar er staan volgens mij wat projectjes op GitHub die daar wel mee overweg kunnen / wijs uit worden.

Dat was te verwachten inderdaad. Mijn ervaring is ook alweer van een paar jaar geleden. Inmiddels dus overgestapt op de C2 dienst van Synology.

Zelf gebruik ik het met name voor het backuppen van mijn foto en video bestanden waarvoor de NAS de primaire opslaglocatie is. Dingen als documenten en dergelijke heb ik in onedrive hangen.

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

woensdag 23 februari 2022 17:04

Acties:

0 Henk 'm!

Microkid

Frontpage Admin / Moderator PW/VA

Smile

Je hebt een Synology. Voeg daar dan gewoon Synology C2 aan toe, cloud backup. Voor iets van $60 per jaar kan je een TB backuppen, incl versioning en rotation. Alles encrypted. Via Hyperbackup wordt bij mij elke nacht alle wijzigingen weggeschreven naar C2. 1x instellen, daarna geen omkijken meer naar. En omdat het geintegreerd is in je NAS, werkt het gewoon direct uit de doos

4800Wp zonnestroom met Enphase
Life's a waste of time. Time's a waste of life. Get wasted all the time and you'll have the time of your life.

Pagina: 1

Reageer

Onderwerpen

Vraag

Alle reacties