Absichern "Offsite-Backup" im selben LAN

[devaux]

Das Thema ist einen zweiten PBS im selben LAN fuer Offsite-Backusp zugaenglich zu machen. Diesen aber so gut wie moeglich gegen Ransomeware und Hacker abzusichern.
Der Plan ist es einen zweiten autonomen PBS aufzusetzen, der mittels Pull einen Sync-Job vom Haupt-PBS holt.

Koennte ich dies Firewall-maessig so absichern, dass ich vom Haupt-PBS alle Verbindungen outgoing zum zweiten PBS blockiere und lediglich 8007 outgoing vom Secure-PBS auf den Haupt-PBS erlaube? Oder welche Ports werden fuer die Pull-Syncs benoetigt?

Auch kann ich auf dem Secure-PBS backups als "Protected" markieren. Soweit ich dies verstanden habe, kann man dieses Backup dann von keinem Geraet ausserhalb des PBS loeschen, oder? Kann man irgendwo einstellen, dass zum Beispiel immer das letzte Backup geschuetzt ist und nicht geloescht werden kann?
Oder bin ich komplett falsch und es gibt eine elegantere Loesung zum Absichern von Backups? Wie realisiert Ihr das?

 

[alexprogw95]

Hi,
das Thema ist auch noch auf meiner Liste und mein Plan sieht vor:
Verwendung eines ehemaligen Arbeitsrechnert mit kleiner SSD und größerer HDD. Hochfahren mittels Bios-Einstellung zu einer bestimmten Uhrzeit
Ausführen eines PullJobs.
Shutdown per cron oder besser mittels Trigger am Ende des Pulljobs.
Viele Grüße Alex

 

[Falk R.]

Das Thema ist einen zweiten PBS im selben LAN fuer Offsite-Backusp zugaenglich zu machen. Diesen aber so gut wie moeglich gegen Ransomeware und Hacker abzusichern.
Der Plan ist es einen zweiten autonomen PBS aufzusetzen, der mittels Pull einen Sync-Job vom Haupt-PBS holt.

Koennte ich dies Firewall-maessig so absichern, dass ich vom Haupt-PBS alle Verbindungen outgoing zum zweiten PBS blockiere und lediglich 8007 outgoing vom Secure-PBS auf den Haupt-PBS erlaube? Oder welche Ports werden fuer die Pull-Syncs benoetigt?

Auch kann ich auf dem Secure-PBS backups als "Protected" markieren. Soweit ich dies verstanden habe, kann man dieses Backup dann von keinem Geraet ausserhalb des PBS loeschen, oder? Kann man irgendwo einstellen, dass zum Beispiel immer das letzte Backup geschuetzt ist und nicht geloescht werden kann?
Oder bin ich komplett falsch und es gibt eine elegantere Loesung zum Absichern von Backups? Wie realisiert Ihr das?

Du denkst ein wenig kompliziert. Ich baue die zweiten PBS erst einaml ganz normal auf und Standardmäßig machte der Sekundäre ein Pull vom ersten. Wenn die Sync Jobs und Benachrichtigung eingerichtet sind mache ich die Firewall (ich benutze auf bequemlichkeit ufw) eingehend komplett dicht gemacht. Dann kommt von außen niemand mehr heran. Zum Administrieren musst man dann auf der Konsole die Firewall deaktivieren oder Port 8007 / 22 erlauben. Da die meisten Server ein BMC haben (iLO, iDRAC, XCC, etc.) deaktiviere ich den Port vom BMC auf dem Switch um das auch abzuschotten. Um dann an den Backupserver zu kommen, muss man den Port auf dem Switch kennen, das Passwort vom BMC und dann kommt man erst auf die Konsole wo man noch das root Kennwort braucht.
Bisher hat das immer gehalten. Ich habe seit Jahren Hardened Repository Server für Veeam bei vielen Kunden wo ich das nach gleichem Schema einrichte, nur dass dort der Port für den Listener Service aus Richtung Backupserver offen ist. Das hat bisher bei allen Ransomwareangriffen standgehalten.