Anschaffung zweiter DS für Backup und Verschlüsslung der Daten

[betacarve]

Hallo zusammen,

ich habe aktuell eine DS414 im Einsatz. Dies läuft im SHR-Modus und ist mit 2x4 und 2x3TB bestückt. Ich möchte mir nun eine zweite DS anschaffen, um die Daten der 414 zu sichern – ich dachte da an eine 1515.
Die 1515 soll dann als Raid 0 laufen, denn die Wahrscheinlichkeit, dass an beiden DS zeitglich Platten abschmieren, dürfte relativ unwahrscheinlich sein – wenn auch nicht unmöglich.

Jetzt habe ich aber im Vorfeld ne Menge fragen, was das Kopieren der Daten und die Aktivierung der Verschlüsselung angeht.

1. Ich weiß, dass ich Ordner nur bei der Erstellung verschlüsseln kann – hier fängt es also schon an. Sehe ich es richtig, dass ich daher erst die Daten von der 414 auf die 1515 kopieren/verschieben müsste, dann die 414 platt machen, neue Ordner erstellen und diese ggf. direkt verschlüsseln?
2. Die 1515 kann ja auch verschlüsseln, aber ich gehe davon aus, dass ich, da die Daten auf der 414 ja schon verschlüsselt werden, die Verschlüsselung auf der 1515 nicht einschalten darf!?
3. Ich nutze zuhause einen iMac. Werden die Daten dann direkt entschlüsselt, sobald der Ordner am iMac (Finder / Path Finder) aufrufe? Wenn ja; wie sage ich es dem iMac, dass die eingebunden Laufwerke entschlüsselt werden müssen?!
4. Kann ich von Extern (Webinterface) nach wie vor auf meine Daten zugreifen, wenn diese verschlüsselt sind? Wenn ja; wie entschlüsseln ich diese?
5. Im ersten Step, wollte ich die beiden DS im selben Haus haben – bis Konfiguration und erstes Backup abgeschlossen sind. Im nächsten Schritt würde ich die 1515 gerne – entweder zu einem Nachbarn geben oder ggf. woanders im Haus deponieren, wo ich aber kein LAN habe. Wäre dann ggf. auch einen Sicherung per WLAN möglich?

Das sind so die Fragen, die mit spontan eingefallen sind. Ich beziehe mich aktuell auch noch auf die DSM 5.2. Bis ich die 1515 habe, würde ich vielleicht auch direkt auf die 6.0 umsteigen. Habe ich irgendwas – elementares – übersehen!? Könnte ich ggf. auch einen andere DS nehmen - statt der 1515!?

 

[dil88]

Zu 1. Du musst in verschlüsselte Ordner umkopieren. Wie Du diese dann replizierst, ist ein anderes Thema, zu dem ich nichts sagen kann.

Zu 3-5. Du musst verschlüsselte Ordner im DSM per Passwort manuell einhängen. Es geht auch automatisch, dann büßt Du aber einen erheblichen Teil des gewünschten Sicherheitseffekts ein. Sobald die Ordner eingehängt sind, kannst Du mit ihnen genauso arbeiten, wie mit unverschlüsselten Ordnern. Bei Systemordnern wie photo ist das m.W. anders, die solltest Du nicht verschlüsseln.

 

[tale]

dil88 hat das zwar schon beantwortet, aber vielleicht noch ein paar Details:

* Verschlüsselung kann nur bei Erstellung eines neuen Ordners für diesen aktiviert werden. Das geht für jeden Ordner separat. Du musst also nicht etwa ein NAS platt machen, nur um einen Ordner A zu verschlüsseln. Erstelle einfach einen neuen verschlüsselten Ordner B, kopiere alles von A nach B innerhalb des NAS um (vorausgesetzt du hast den freien Speicher) und lösche anschließend A (natürlich nach vorheriger Stichprobe, ob alles geklappt hatte).

* Verschlüsselte Ordner sind zunächst mal nicht zugreifbar oder sichtbar. Um das zu ändern, loggst du dich über den Browser in DSM ein, gehst dann auf "Einstellungen > Gemeinsame Ordner > Rechtsklick auf verschlüsselten Ordner > Einhängen" (Benennungen sinngemäß). Erst dann ist der Ordner "eingehängt" = verfügbar. Meines Wissens geht das nicht direkt über MAC/PC-Tools.

* Alternative zum vorigen Schritt: Du aktivierst die Option "beim Start einhängen". Dadurch wird der Ordner automatisch bei jedem Hochfahren eingehängt und ist stets verfügbar. (Hat auch seine Daseinsberechtigung, denn das unterbindet das Szenario "NAS geklaut, Dieb kennt Zugangsdaten nicht, kann aber Platte einfach an anderen Rechner anschließen et voilà...")

Mit dem Sync zwischen den NAS kenne ich mich leider auch nicht gut genug aus.

 

[X5_492_Neo]

Eine DS1515 Non-plus als Backup für eine 414???? Versteh das bitte nicht falsch, aber worin liegt da der Sinn? Willst du wirklich ein 100% Backup machen? Gängig ist eher ein eher kleines NAS für die wichtigeren Daten. Maximal eine 2. 414 würde ich nehmen um einfach alles zu spiegeln! Und du weisst ünrigens schon das die 1515 kein Intel CPU hat?!?
Das Backup-Nas zum Nachbar stellen, und der macht das so einfach mit?? Seltsamer Nachbar!
Ich empfehle eher deine Strategie zu überdenken! Klar kann es sein das man ein 1:1 Backup haben möchte oder nötig ist, aber zum mehr als doppelten Preis???? Es scheint so das dir klar ist was ein Raid 0 ist, aber nicht das du dann doch noch auf die Idee kommst ein Backup vom Backup machen zu wollen irgendwann!

 

[betacarve]

* Verschlüsselung kann nur bei Erstellung eines neuen Ordners für diesen aktiviert werden. Das geht für jeden Ordner separat. Du musst also nicht etwa ein NAS platt machen, nur um einen Ordner A zu verschlüsseln. Erstelle einfach einen neuen verschlüsselten Ordner B, kopiere alles von A nach B innerhalb des NAS um (vorausgesetzt du hast den freien Speicher) und lösche anschließend A (natürlich nach vorheriger Stichprobe, ob alles geklappt hatte).

In der aktuellen Konfig. nicht möglich, da nicht genug freier Platz verfügbar. Aber gut zu wissen, dass es auch so gehen würde.

* Verschlüsselte Ordner sind zunächst mal nicht zugreifbar oder sichtbar. Um das zu ändern, loggst du dich über den Browser in DSM ein, gehst dann auf "Einstellungen > Gemeinsame Ordner > Rechtsklick auf verschlüsselten Ordner > Einhängen" (Benennungen sinngemäß). Erst dann ist der Ordner "eingehängt" = verfügbar. Meines Wissens geht das nicht direkt über MAC/PC-Tools.

* Alternative zum vorigen Schritt: Du aktivierst die Option "beim Start einhängen". Dadurch wird der Ordner automatisch bei jedem Hochfahren eingehängt und ist stets verfügbar. (Hat auch seine Daseinsberechtigung, denn das unterbindet das Szenario "NAS geklaut, Dieb kennt Zugangsdaten nicht, kann aber Platte einfach an anderen Rechner anschließen et voilà...")

Also wenn ich es richtig verstehe:
Wenn ich die Ordner nicht automatisch einhängen würde (Schritt zwei), dann müsste ich mich über den iMac auf dem NAS anmelden und die Ordner jedes mal gesondert einhängen. Der zweite Schritt, macht dies automatisch. Also besteht die "Sicherheit" so oder so nur durch die Anmeldung am NAS. Klaut mir also jemand das NAS, kann er die Daten nicht nutzen, wenn er das Passwort des NAS nicht weiß. Korrekt!?

Mit dem Sync zwischen den NAS kenne ich mich leider auch nicht gut genug aus.

Macht nix

Eine DS1515 Non-plus als Backup für eine 414???? Versteh das bitte nicht falsch, aber worin liegt da der Sinn? Willst du wirklich ein 100% Backup machen? Gängig ist eher ein eher kleines NAS für die wichtigeren Daten. Maximal eine 2. 414 würde ich nehmen um einfach alles zu spiegeln!

Ich denke, ich kann Dir sagen, wo der Sinn liegt - zumindest für mich
Auf der 414 liegen alle meine Daten; Fotos, Musik, Filme. Aktuell sichere ich einen Teil der 414 auf einem Windows Server 2012, bei dem ich vier HHD's unterschiedlicher Größe zu einem Volumen zusammengefasst habe. Das Volume des Servers kann ich aber nicht ohne weiteres Vergrößern (wenn einen größere PLatte rein soll) - ich muss das Volume dann jedesmal komplett neu erstellen, weil es kein Hardware-RAID ist. Den 2012er Server, sichere ich dann bei einem Online Anbieter - da möchte ich aber weg. Der Grund für eine zweite DS ist also die Abschaffung der Windows Servers als lokales Backup und die Abschaffung des Online-Backups.

Und du weisst ünrigens schon das die 1515 kein Intel CPU hat?!?

Ja - die verbaute CPU kann (wie die 414) hardwaremäßig verschlüsseln. Dewegen ja auch meine Frage zwei und ob ich ggf. auch ne andere DS nehmen kann.

Das Backup-Nas zum Nachbar stellen, und der macht das so einfach mit?? Seltsamer Nachbar!

Nö - ein voll korrekter Nachbar

Ich empfehle eher deine Strategie zu überdenken!

Für Kritik und Vorschläge bin ich immer offen.

Klar kann es sein das man ein 1:1 Backup haben möchte oder nötig ist, aber zum mehr als doppelten Preis???? Es scheint so das dir klar ist was ein Raid 0 ist, aber nicht das du dann doch noch auf die Idee kommst ein Backup vom Backup machen zu wollen irgendwann!

Sagen wir mal so; ich habe noch diverse Festplatten zuhause, die ich dann in die neue DS einbauen will - um so ein großes Volume für die Sicherung der 414 zu schaffen.Raid 0 ist da sicherlich ausreichend, aber wenn ich mich nun nicht irre, dann könnte ich das RAID nicht so ohne weiteres (wie SHR) durch das dazupacken einer weiteren HDD (oder Austausch) vergrößern. Oder irre ich mich!?

 

[Stewi]

Ein RAID 0 für eine BackUp NAS ergibt in meinen Augen überhaupt keinen Sinn. Zumal du dort ""diverse" Festplatten einbauen willst. Das wäre mir alles viel zu unsicher als BackUp. Wenn eine Platte ausfällt, dann ist dein ganzes BackUp umsonst. Wenn es sich jetzt auch noch um gebrauchte Platten handelt die schon einige Betriebsstunden auf dem Buckel haben, dann ist die Wahrscheinlichkeit, dass eine ausfällt sogar ziemlich hoch.
Was versprichst du dir denn für einen Vorteil von einem RAID 0 in deinem Szenario? RAID 0 ist eher auf Geschwindigkeit, multible Zugriffe und schnelle Zugriffszeiten ausgelegt, aber mit Sicherheit nicht auf Datensicherheit.

 

[betacarve]

RAID 0 einfach nur, weil mir dann der komplette Speicherplatz aller eingebauten HDD's zur Verfügung stehen würde. Ich gehe nicht vom Worstcase aus, dass das Produktivsystem und das Backup-System zeitgleich ausfällt. Aber bei RAID 0 stellt sich mir halt die Frage nach der problemlosen "Erweiterbarkeit"

 

[tale]

Also wenn ich es richtig verstehe:
Wenn ich die Ordner nicht automatisch einhängen würde (Schritt zwei), dann müsste ich mich über den iMac auf dem NAS anmelden und die Ordner jedes mal gesondert einhängen. Der zweite Schritt, macht dies automatisch. Also besteht die "Sicherheit" so oder so nur durch die Anmeldung am NAS. Klaut mir also jemand das NAS, kann er die Daten nicht nutzen, wenn er das Passwort des NAS nicht weiß. Korrekt!?

Ja. Wenn ein Dieb dein Gerät klaut und keine Zugangsdaten aufs NAS (und für den Ordner) hat, sollte er in keinem der beiden Fälle auf die verschlüsselten Daten kommen. Selbst ein Reset setzt zwar das Adminkonto zurück, hängt aber gleichzeitig alle verschlüsselten Ordner aus. Daher nutze ich das automatische Einhängen ganz gerne als Komfort-Funktion und die Verschlüsselung dann auch für normale Alltagsordner.

Andererseits spricht aber natürlich auch einiges dafür, Ordner mit selten gebrauchten, brisanten Daten nur bei Bedarf einzubinden. Beispiele:
* Mehrere Benutzer haben Zugriff auf dein NAS haben, insbesondere wenn einige davon zur Admin-Gruppe gehören
* Jemand kennt deine Zugangsdaten aufs NAS, jedoch (noch) nicht das PW für diesen Container
* Dein System war kompromittiert, z.B. könnte ein mieser Ransomware-Trojaner alles verschlüsselt haben, was erreichbar war => dann hätte er deinen Ordner bei automatischer Einhängung mitgenommen
* ...

 

[X5_492_Neo]

Ok, frag mal den voll korrekten Nachbar ob ich mein Backup Nas dazustellen kann! Ist auch nur ne 2 Bay! Strom liegt bei ihm wohl im Hof rum....

schon verständlich mit dem Windows server dingens! Nur um einem Missverständnis vorzubeugen: Synos machen auch nur Software Raid!

ich seh das mit dem Raid 0 genauso wie meine Vorredner! Und gerade wenn du noch diverse Platten hast, kannst du die wunderbar ins SHR integrieren! Statt einem raid 0!

 

[dil88]

Nimm JBOD, das läßt sich problemlos erweitern. Just my 2ct.

 

[betacarve]

Ok, frag mal den voll korrekten Nachbar ob ich mein Backup Nas dazustellen kann! Ist auch nur ne 2 Bay! Strom liegt bei ihm wohl im Hof rum....

Macht er leider nur bei direkten Nachbarn

Und gerade wenn du noch diverse Platten hast, kannst du die wunderbar ins SHR integrieren! Statt einem raid 0!

Ein SHR macht - in meinem Fall - wenig Sinn, denn dann hab ich ja nicht die vollen Kapazitäten der HDD'S sondern wieder den Fall aus Speicher + Redundanz

Nimm JBOD, das läßt sich problemlos erweitern. Just my 2ct.

Das wäre die Lösung.

Blieben noch folgende offenen Punkte:

1. Da die DS414 die Daten bereits verschlüsselt hat, müssen sie auf dem zweiten NAS nicht noch mla verschlüsselt werden!? Im Falle eines Ausfalles der 414 - wie komme ich an die verschlüsselten Daten des Backups?
2. Kann ich auf die verschlüsselten Daten auf über das Webinterface zugreifen und wenn ja; wie!?

 

[dil88]

Zu 2. Das ergibt sich aus dem bereits Beschriebenen: Sobald der gemeinsame Ordner von Dir eingehängt wurde, kannst Du ihn unverschlüsselt nutzen - auch über das Webinterface.

 

[betacarve]

Dieser Logik kann ich mich nicht verschließen Aber manchmal sieht man den Wald...