Versioniertes backup der diskstation

[3formaggi]

Hallo,

ich habe aktuell zwei diskstations, eine ds215j und eine ds120j. Aktuell sichern meine Desktop Computer auf die 120j. Die 215j würde ich gerne außer Haus stellen und auf diese regelmäßig die Daten der 120j sichern.
Abgesehen von einem Hardwareausfall würde ich mich gerne vor allem auch vor Kryptotrojanern schützen. Aus diesem Grund würde ich gerne das Backup der 120j per pull durchführen, also einen Zugriff der 215j auf die 120j einrichten und nicht anders rum. Außerdem hätte ich gerne ein versicniertes Backup, falls ein Rechner in meinem Netzwerk von einem Kryptotrojaner befallen wird und die per Netzwerkfreigabe eingebundene 120j verschlüsselt.
Nach einiger Recherche bin ich zu dem Schluss gekommen, dass ich mit Hyperbackup keine Backups mit Pull machen kann und Snapshots auf meinen Diskstations nicht unterstützt werden.

Hat jemand hier im Forum einen Tipp für mich, wie man das umsetzten könnte?

 

[Kurt-oe1kyw]

Willkommen im Forum.
Vorweg ich kenne dieses "pull" nicht.
Aber das was du möchtest, lässt sich mit Hyperbackup leicht realisieren.
Du erstellst einen Backup-Job und wählst die Version welche Datenbank-basierend ist. Dort kannst du dann Einstellen wieviele Versionen du behalten möchtest, du kannst dann also auf der "Zeitlinie" zurückfahren zu einem Datum wo das System noch "sauber" war.
Wenn die "Gegenstelle" keine Synology ist, dann wählst du r-sync aus, damit kannst du auch andere NAS von anderen Herstellern für das Backup verwenden.

Mir erschliesst sich auch gerade nicht der Sinn mit der anderen Reihenfolge.
Für mein Verständnis ist es nicht von Bedeutung ob jetzt die Quelle die komprimitierten Daten sendet, oder sich das Ziel die komprimitierten Daten zum Empfang holt.
Aber vielleicht können die Netzwerkspezialisten hier aus dem Forum das genauer erklären ob es einen Unterschied macht.

 

[NSFH]

Pull wäre ideal, es geht aber auch mit Push, indem die zweite DS in einem anderen Subnet angesiedelt wird und eine Direktverbindung mit der zu sichernden DS erhält.
Die 2.DS lässt sich über die Remote Serververwaltung von DSM administrieren.
Auf der Backup DS alles runterschmeissen bis auf HB Vault.
Entsprechend in beiden DS die Firewall so einrichten, dass nur die beiden und nur der DSM Port 5001 und der HBV Port offen sind.
Wichtig ist, dass die im LAN sniffende Ransomware keinen Zugriff auf die Verbindung der beiden DS hat! Ob du das durch eine Direktverbindung oder VLAN realisierst ist egal.

 

[3formaggi]

Erstmal, vielen Dank für die schnellen Antworten.

Ich habe nur noch nicht ganz verstanden, wieso eine Direktverbindung zwischen den beiden NAS existieren sollte. Ist das notwendig, solange sie verschlüsselt kommunizieren?
Und noch eine weitere Frage: Wenn ich, einen Ordner habe, in den ich mein Backup mache, ist es möglich, dass meine DS diesen automatisch versioniert? Also das selbst, wenn ich alle Daten in diesem Ordner per Netzwerkfreigabe lösche (oder ein Trojaner sie verschlüsselt), die DS automatisch zwei ältere Versionen gespeichert hat, die ich wiederherstellen kann?
Auf diese Weise könnte ich, sollten meine Daten kompromittiert werden, diese direkt von der 120j wiederherstellen.

 

[NSFH]

Eine der Stärken von Emotet ist das Passwort Sniffing. Nicht aller Verkehr läuft im LAN verschlüsselt ab. Wirklich sicher kann man beim Pushbackup nur sein, wenn das Nutz-LAN getrennt ist vom Backup LAN!
Auch darf die Backup-DS nicht via DSM im Nutz-LAN hängen!
Das Hyperbackup ist versionisiert und liegt auf der Ziel-DS wo du es haben möchtest. Wird die Nutz-DS verschlüsselt sind die Backups ab diesem Moment auch in der Backup-DS nicht mehr brauchbar. Hyperbackup ist es egal ob die Dateien nutzbar sind oder nicht. Alle vorigen Versionen des Backups funktionieren aber. Die Ransonware hat darauf keinen Einfluss.
Daher gilt es zu verhindern, dass eine Zugriffsmöglichkeit aus dem befallenen LAN (Subnet) auf den Backupserver gibt. Das geht nur in dem man abkapselt mit einer eigenen Leitung direkt oder via VLAN.
Aus dem Grund kommen nur DS in Frage, die mindestens 2 LAN Ports haben.