Hallo zusammen
Dies ist der erste Post im Jahr 2023 und somit ein Happy New Year.
Hat jemand Erfahrung mit Blocky, es getestet oder nutzt es aktiv?
Blocky for Veeam
Userlevel 5
+2
Userlevel 7
+12
Erfahrungen damit habe ich leider nicht aus meiner Zeit als Service Provider.
So wie ich es sehe bietet es keinen gleichwertigen Schutz wie Immutability.
Es schützt nur das Filesystem auf dem Repository und das funktioniert auch. Bis jemand an admin Credentials gelangt und Zugriff auf den Server hat. Ein Angreifer auf dem VBR server kann diese relativ einfach exportieren und damit dann auch Blocky deinstallieren oder noch einfacher die Disks formatieren.
Ebenso sehe ich nicht aus dem Whitepaper raus, wie Blocky davor schützt, wenn ein Administrator/Angreifer auf dem Backup Server die Retention heruntersetzt oder alle Backups löscht. Immutability Lösungen helfen hier mit diesem Problem.
Userlevel 5
+2
Erfahrungen damit habe ich leider nicht aus meiner Zeit als Service Provider.
So wie ich es sehe bietet es keinen gleichwertigen Schutz wie Immutability.
Es schützt nur das Filesystem auf dem Repository und das funktioniert auch. Bis jemand an admin Credentials gelangt und Zugriff auf den Server hat. Ein Angreifer auf dem VBR server kann diese relativ einfach exportieren und damit dann auch Blocky deinstallieren oder noch einfacher die Disks formatieren.
Ebenso sehe ich nicht aus dem Whitepaper raus, wie Blocky davor schützt, wenn ein Administrator/Angreifer auf dem Backup Server die Retention heruntersetzt oder alle Backups löscht. Immutability Lösungen helfen hier mit diesem Problem.
Sehe ich auch so, wobei bei einem Immutable Repo auch die Root Credentials relevant sind und man kann das FS formatieren. Wenn es für Windows nur ohne lokalen Admin oder mit Single Use Credentials gehen würde ;-) Da bevorzuge ich definitiv S3 Lock.
Was sind deine Best Practises für ein Hardened Repo? Komplett Air-gapped oder das OOB Management noch zugänglich? Ist wohl wiederum die Frage Security vs. Usability.
Userlevel 7
+14
Ich denke Blocky schützt hauptsächlich gegen Angriffe die von Extern kommen, als z.b. Ransomware per Netzwerkzugriff. Wenn der Angreifer administrative Rechte erhält, dann dürfte auch Blocky vermutlich verlieren. Wir hatten in der deutschen VUG 2021 einen Vortrag zu Blocky aber leider finde ich leine Aufzeichnung. Eventuell hat ein anderes Community Mitglied mehr Infos.
Das Hardened epository sollte eine komplette Blackbox sein. D.h. nach der Einrichtung werden alle Remotezugriffe deaktiviert. Klar ist die Verwaltung und Überwachung umständlicher. Aber wenn jemand auf die Management Oberfläche käme, bräuchte es nur einen Reboot um das System zu wipen. Dann lieber manuell das System prüfen und wirkliche Sicherheit haben.
Userlevel 7
+17
Naja, komplette Sicherheit wird es wohl nicht geben.
Aber man kann es dem Angreifer zumindest schwerer machen und z.B. den Port auf dem Switch deaktivieren an dem das Admin Interface des Hardened Repository Servers hängt. Das bringt keine 100%ige Sicherheit, aber es erfordert (zumindest in größeren und mittleren Unternehmen) das Zusammnespiel von Netzwerk- und Server-Admin, um den Zugriff auf die Admin Oberfläche des Servers zu bekommen.
Userlevel 1
Beim OOB Management ist wahrscheinlich ja iLO, iDRAC, IMM oder so gemeint oder? Das mit dem Port deaktivieren ist eine gute Idee. Bei Dell kann man zusätzlich noch 2FA aktivieren auf dem iDRAC je nach Edition. Denke das können auch andere Serverhersteller.
Also ich habe in D eine ganze Reihe von Blocky Installationen durchgeführt, von daher gebe ich hier mal meinen Senf dazu :-)
Linux Hardened Repo ist eindeutig vorzuziehen, aber leider ist das nach wie vor nicht für alle Backups geeignet, z.B kein Konfig Backup. Weiter fehlt in der Praxis, insbesondere in kleinen Unternehmungen, Linux Know-How. Ganz erschwerend kommt hinzu, dass der Backup Server ein Windows Server sein muss. Die meisten Installationen sind m.E. All-in-One Installationen und dort bedeutet ein Linux Hardened Repo dann meist einen weiteren finaziellen Aufwand. Dieser Aufwand ist grösser als Blocky Lizenzen.
Das zum Schutz bereits gesagte stimmt. Backups lassen sich aus der Konsole löschen. Works as designed. Auch kann der Schutz in der Blocky GUI deaktiviert werden. Die GUI ist aber mit Passwort zu öffnen. Ich erinnere mich, dass ich der der Vorstellung von Jörg Vogel (Blocky Vertriebler) eher skeptisch war und bis heute bin. Es bietet aber einen zusätzlichen Schutz, der sich nicht negieren lässt. Jedes mehr an Sicherheit ist positiv zu bewerten. Mir wurde auch berichtet, dass an einem Feature gearbeitet wird, welches das Löschen aus der veeam Konsole verhindert.
Wer einen Windows Repository Server einsetzt, für den bringt Blocky m.E. einen positiven Nutzen. Wichtig ist, dass Nutzer hier die SChwachstellen verstehen und sich nicht in einem falschen Gefühl der Sicherheit trügen. Gleiches gilt aber auch beim Linux Hardened Repository, Stichwort NTP oder root. Auch hier lassen sich Backups selbstverständlich löschen.
Die Einrichtung von Blocky ist fix erledigt. Mehr als ein Stunde kam da selbst mit viel Quatschen beim Kunden nicht rum. Nach den ersten Windowsupdates kam dann immer etwas Support dazu, da nach Windows(oder auch veeam) Updates meist ein kurzes Nachjustieren erfordrlich ist. Ohne blockt Blocky dann selbst veeam und die Backups schlagen fehl.
Unsere Kunden haben uns das aus der Hand gerissen, lief wie geschnitten Brot ;-) Die Kosten waren meist so niedrig, dass die Admins die Beauftragung selbst durchwinken konnten :-) Alle Unternehmen stellen sich die Frage nach Ransomwareschutz. Gerade bei Behörden hatte ich den Eindruck, dass die Blocky allein deshalb gekauft haben, weil es günstig ist und sie bei einem Angriff dann sagen können: “Wir haben etwas gemacht, nicht unsere Schuld”. Wer Anti-Viren-Sofware kauft, der kauft auch Blocky...
Comment
Enter your username or e-mail address. We'll send you an e-mail with instructions to reset your password.