Entwicklung BackupStrategie

Huibuu

Benutzer
Mitglied seit
15. Mrz 2015
Beiträge
88
Punkte für Reaktionen
0
Punkte
6
Hallo ihr lieben Forummitglieder,

nachdem ich nun jahrelang mit meiner Synology und einfachen, händischen Backups gut zurecht gekommen bin, habe ich nun eine neue Möglichkeit ein Backup auf ein externes NAS zu erstellen. Mein Schwiegervater steigt in den Club der Synology-Nas-Besitzer auf, was mir komplett neue Möglichkeiten eröffnet. Darum habe ich in der vergangenen Zeit schon einige Zeit darauf verwendet, zu prüfen wie ich das Ganze umsetze! Jetzt brauche ich aber bitte eure Unterstützung…

Für uns sind 5 Dinge wichtig:
1. Die Absicherung von Feuer, Einbruch, defekter Hardware
2. Die Absicherung vor Viren (z.B. Ransoftware)
3. Absicherung vor versehentlichen löschen
4. Die Möglichkeit Daten aus dem Urlaub hochzuladen
5. Die Sicherheit (des Datentransfers) unserer Daten vor anderen Personen

Hierzu möchte ich mich gern mit euch austauschen und eine anwenderfreundliche Idee entwickeln und umsetzen.

Wie ich es mir in den Grundzügen ausgedacht habe:
  • dauerhafte VPN Verbindung zwischen zwei Fritzboxen (Absicherung Punkt 5)
  • Zwei neue DS220+ mit Raid1 oder andere Arten der Spiegelung zwischen den eingesetzten Festplatten (Absicherung gegen Hardwaredefekt)
  • Ultimate Backup holt jeweils die zu sichernden Daten (versioniert) der anderen NAS (Absicherung Punkt 1 und 3)
  • Dritte NAS (vielleicht eine alte DS114?) läuft in einem getrennten SUBNET zum heimischen Netzwerk und ist via Direkt-Lan-Verbindung mit der DS220+ verbunden; hierauf soll ein versioniertes Backup erstellt werden (Absicherung Punkt 2)
  • In die Server trage ich unter Netzwerk keinen Gateway ein (hatte ich mal als zusätzliche Sicherheitsoption irgendwo aufgeschnappt)
  • Upload von Fotos über VPN mit Router (Punkt 4)

Was habe ich bisher getestet? Was funktioniert?
  • Zwischen unseren Fritzboxen besteht eine dauerhafte VPN Verbindung (die Geschwindigkeit reizt unseren Upload komplett aus)
  • Ein Backup zwischen den NAS funktioniert sowohl über Ultimate Backup als auch über HyperBackup
  • Diese Backups zusätzlich auf ein externes Medium gesichert
  • Upload von Urlaubsfotos über VPN Verbindung

Probleme:
  • Ich habe nur ältere NAS, die über kein BRTS verfügen, daher sind mir einige Möglichkeiten (beispielsweise Snapshot, Active Backup) nicht möglich zu testen
  • HyperBackup von ca. 2 TB Daten dauert trotz weniger Änderungen und lokaler Anbindung sehr lange. (Vielleicht zu alte Hardware? DS414)
  • Ich verstehe die Funktionsweise, Vor- und Nachteile der verschiedenen neuen Backupmöglichkeiten wie „ActiveBackup“,“Snapshot“,“CloudSync“ nicht. Auch hinsichtlich der Einrichtung, der Performance sowie des Speicherverbrauchs (versionierte Backups) habe ich hier keine Informationen
  • UltimateBackup hat teilweise Probleme mit verschiedenen Dateien. Bisher sind es nur die Schreibweise, die ich jedoch teilweise (in Programmen/Contens) nicht verändern kann. Mit HB hatte ich die Probleme noch nicht (bzw. keine Kenntnis davon)

Wo benötige ich Hilfe (mir schwirren zig Fragen im Kopf herum)
1. Siehe Punkt Probleme
2. Würdet ihr die VPN Verbindung der Router als auch der VPN Verbindung mobiler Endgeräte als sicher erachten (kein Zugriff von Dritten)?
3. Ist der Ransoftware-Schutz durch das 3.NAS ausreichend?
4. Ich möchte einige Daten (ca. 2 von 4TB) lokal „spiegeln“. Würdet ihr ausschließlich auf ein RAID1 setzen oder seht ihr noch andere Möglichkeiten die praktikabel und performant (und nicht zwei gleichgroße Festplatten benötigten) sind?
5. Ist davon auszugehen, dass HyperBackup auf einem neueren NAS schneller läuft oder empfehlt ihr eine Unterteilung des Backups in mehrere Teilpakete?
6. Bedarf es noch einer zusätzlichen Verschlüsselung (UB und HB bieten da ja etwas an) oder ist VPN ausreichend damit die Daten nicht abgefangen und ausgelesen werden können?
7. Besteht ein erhöhtes Sicherheitsrisiko, wenn das NAS für iPhone und iPad per VPN (des Routers) erreichbar ist? Bisher hatte ich dafür einen separaten NAS um den eigentlichen Server mit allen Daten nicht „online“ zu haben.
8. Welches Programm würdet ihr für die Backups zwischen den NAS verwenden?
9. Welches Programm würdet ihr für das Backup auf das 3.NAS verwenden?
10. Seht ihr noch Lücken oder Probleme in meinen Überlegungen? Habt ihr Tipps?
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.064
Punkte für Reaktionen
552
Punkte
194
Eure Fritzboxen limittieren enorm. 2 VPN Router, die ein site2site aufbauen und halten wären eine bessere Lösung.
Ich setze für sowas immer Draytek Router ein.
Natürlich sollten im Idealfall alle extern genutzten geräte nur über VPN in das LAN kommen, egal ob PC oder Smartphone.

Hyperbackup ist mit dem versionisierten Backup die bevorzugte Methode, da hier der Datendurchsatz nicht so hoch ist wie bei Vollbackups.
Grundsätzliches Problem ist, dass Hyperbackup kein Pull kann. Du kannst also aktuell nur vom Source auf das backup-NAS sichern.
Deine Übertragung ist dabei verschlüsselt, könntest du sogar noch mit Zertifikat schützen.

Dann bedenke, dass du bei einer dauerhaften sit2site Verbindung einem Eindringling auch den Zugang zum entfernten LAN gewährst und das unter Umgehung der dortigen Firewall.

Durch das dritte NAS ergibt sich folgende Möglichkeit:
Für die Dauer des Backups VPN Tunnel zum entfernten LAN aufbauen.
Mit Hyperbackup versionisiert Datensicherung via VPN auf Backup-NAS um die Datenmenge gering zu halten.
Im entfernten LAN zeitgesteuert später eine 1:1 Kopie der Hyperbackup Datenbank auf das 3.NAS. Den Cronjob so anlegen, dass für jeden Wochentag eine Kopie gezogen wird und in einem eigenen Ordner abgelegt wird=7 Tage mit 7 Versionen

Sollte jetzt das Source NAS kompromittiert werden und sogar Adminzugriff darauf bestehen, könnte der Angreifer im offenen Zeitfenster des VPN-Zuganges das Backup-NAS erreichen und aus Hyperbackup heraus die DB dort löschen. An das 3.NAS, welches dann aus ist bzw durch die Server-Firewall geschützt ist käme er aber nicht heran.
 

Huibuu

Benutzer
Mitglied seit
15. Mrz 2015
Beiträge
88
Punkte für Reaktionen
0
Punkte
6
Puh, deine paar Absätze bringen mich schon etwas ins grübeln, weil ich nicht alles auf Anhieb verstehe.

Ich verstehe nicht wieso du meinst, dass die VPN Verbindung der FB limitiert. Wenn mein Upload dem der maximal zur Verfügung stehenden Leitung entspricht, dann limitiert doch eher mein Internetanschluss als die VPN der FB?

Eine Neuanschaffung bei den Routern haben wir gerade nicht vor, aber für die Zukunft werde ich dann an Site2Site Router denken.
Die dauerhafte Verbindung zwischen den Fritzboxen werde ich trennen und nur bei Bedarf aktivieren.
Das der Eindringling bei Befall eines Systems auch auf den entfernten LAN Zugriff hat, lässt sich wohl nicht ausschließen, wenn ich ein Backup über www plane, oder? Ich plane aber ausschließlich die Verbindungen von meinen NAS herzustellen. Die Daten vom entfernten LAN hole ich via Ultimate Backup und schiebe meine Daten via Hyper Backup rüber. So sollte eine Weiterverbreitung vom anderen Server zu mir eigentlich unterbleiben, da dort keine Zugangsdaten liegen!?

Mit Hyperbackup versionisiert Datensicherung via VPN auf Backup-NAS um die Datenmenge gering zu halten.
Im entfernten LAN zeitgesteuert später eine 1:1 Kopie der Hyperbackup Datenbank auf das 3.NAS. Den Cronjob so anlegen, dass für jeden Wochentag eine Kopie gezogen wird und in einem eigenen Ordner abgelegt wird=7 Tage mit 7 Versionen
Das bedeutet doch, dass ich 7x die große der Hyper Backup-Datenbank an Festplattenkapazität vorhalten muss. Das scheidet eigentlich aufgrund der Größe aus.
Reicht es nicht die Daten versioniert mit Hyper Backup auf den 3.NAS zu schieben?
Die Datenbank als solches kann doch eigentlich nicht mit Ransoftware infiziert werden? Sondern nur einzelne/alle Dateien in den verschiedenen Versionen?


Alle meine externen Geräte können nur via VPN Zugriff erlangen.
Verstehe ich das richtig, dass das grundsätzlich eine sichere Sache ist und ich wegen dem Fotoupload aus dem Urlaub keinen weiteren NAS brauche?


Ich fasse ab hier mal die Erkenntnisse in Bezug auf meine Fragen vom Post #1 zusammen:
Wo benötige ich Hilfe (mir schwirren zig Fragen im Kopf herum)
1. Siehe Punkt Probleme​
2. Würdet ihr die VPN Verbindung der Router als auch der VPN Verbindung mobiler Endgeräte als sicher erachten (kein Zugriff von Dritten)?​
-> Sicherer kann keine Verbindung ins Heimnetz sein.
3. Ist der Ransoftware-Schutz durch das 3.NAS ausreichend?​
4. Ich möchte einige Daten (ca. 2 von 4TB) lokal „spiegeln“. Würdet ihr ausschließlich auf ein RAID1 setzen oder seht ihr noch andere Möglichkeiten die praktikabel und performant (und nicht zwei gleichgroße Festplatten benötigten) sind?​
5. Ist davon auszugehen, dass HyperBackup auf einem neueren NAS schneller läuft oder empfehlt ihr eine Unterteilung des Backups in mehrere Teilpakete?​
6. Bedarf es noch einer zusätzlichen Verschlüsselung (UB und HB bieten da ja etwas an) oder ist VPN ausreichend damit die Daten nicht abgefangen und ausgelesen werden können?​
-> VPN ist sicher, mehr Sicherheit geht immer... beispielsweise mit Zertifikaten
7. Besteht ein erhöhtes Sicherheitsrisiko, wenn das NAS für iPhone und iPad per VPN (des Routers) erreichbar ist? Bisher hatte ich dafür einen separaten NAS um den eigentlichen Server mit allen Daten nicht „online“ zu haben.​
-> Nein, es besteht kein erhöhtes Risiko. Ein zusätzliches NAS ausschließlich für den Fotoupload, welches auch noch im selben Netzwerk stehen würde, erhöht nicht die Sicherheit.
8. Welches Programm würdet ihr für die Backups zwischen den NAS verwenden?​
9. Welches Programm würdet ihr für das Backup auf das 3.NAS verwenden?​
10. Seht ihr noch Lücken oder Probleme in meinen Überlegungen? Habt ihr Tipps?​
 
Zuletzt bearbeitet:

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.064
Punkte für Reaktionen
552
Punkte
194
Die Hyperbackup DB im Datensicherungs NAS ist nur deswegen gefährdet, weil eine feindliche Übernahme des Quell NAS dem bösen Admin die Gelegenheit geben würde die DB einfach zu löschen, wenn gerade eine VPN Verbindung dort hin besteht.
In geschätzt 99% aller Fälle passiert diese Übernahme nicht, sondern es werden stumpf alle erreichbaren Laufwerke verschlüsselt. Die Verbindung auf dem DaSi Port von HB zwuschen den NAS ist da nicht gefährdet!
Im Ziel NAS reicht es eine externe HD anzuschliessen, auf die dann zeigesteuert die HB DB zusätzlich komplett gesichert wird. 2-3 Sicherungen, also 2-3 Tage reichen da sicher aus um zu bemerken, dass Emotet unterwegs ist.
 

Huibuu

Benutzer
Mitglied seit
15. Mrz 2015
Beiträge
88
Punkte für Reaktionen
0
Punkte
6
@NSFH
Ich hänge in der Umsetzung der Strategie (DS220+ -> Backup auf DS118 als pull -> Backup auf externe HDD). Vielleicht kannst du mir noch einmal unter "die Arme greifen".

So wie du zahlreich im Forum beschrieben hast, nutzt du für das Backup eine Direktverbindung (anderes Subnetz) zu einer BackupDS mit HyperBackupVault und administrierst diese über das Central Management System.
Was genau verstehst du unter administrieren? Weil jedesmal wenn meine BackupDS im anderen Subnetz hängt bekomme ich zwar mit CMS eine Verbindung, kann aber beispielsweise keine Einstellungen vornehmen (z.B. Änderung in der Systemsteuerung, Änderungen in der Backup-Strategie (hinzufügen von Ordnern etc).
Ich müsste jedoch an diese Einstellungen/aufs DSM, weil ich Ultimate Backup als Pull Backup nutzen wollte, dadurch müsste ich UB z.B. auch die geänderte IP mitteilen.
Ebenso würde ich die HDD nicht zwingend zeitgesteuert sichern wollen, sondern ab und an auch manuell.

Verstehst du daher unter dem Wort "administrieren" etwas anderes als ich oder sind meine Einstellungen irgendwo falsch.
Wenn du BackupDS ebenfalls 2 LAN Ports hätte sehe ich ggf. eine Lösung, aber sonst...
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat