Backup soll in der Synology nicht sichtbar sein

[Seamo]

Hallo zusammen,

ich habe im Forum nach meinen Anwendungsfall gesucht aber nichts gefunden.

Aktuell fahre ich folgende Backupstrategie:
1. Backup: Backup auf eine externe Festplatte (3x in der Woche)
2. Backup: Synology sichert die Daten auf eine QNAP über VPN auf einen anderen Standort (2x in der Woche)

Eigentlich müsste man die externe Festplatte immer wieder ausstecken und nur für die Sicherung anstecken. Ich denke aber immer wieder nicht dran und bevor mein Backup mehrere Wochen alt ist lass ich sie an der Synology angesteckt.

Problem ist natürlich, wenn jemand Zugriff auf meine Synology erhält, (man hat keine Zugriff von außen, sondern ist nur im internen Netz oder per VPN erreichbar) kann er meine Daten inkl. der angeschlossen externen Festplatte verschlüsseln. Er sieht dann auch, dass ich auf eine QNAP meine Sicherungen durchführe und wird vermutlich auch versuchen auf diese Daten Zugriff zu erhalten und zu verschlüsseln.

Wäre es möglich, dass man das Backup das über die QNAP läuft unsichtbar macht bzw. dass ich das Backup von der QNAP anstoße. Somit wäre auf der Synology nicht ersichtlich, dass auch ein Backup auf der QNAP durchgeführt wird.

Vielleicht hat jemand eine Idee wie das funktionieren könnte.

Viele Grüße

 

[stefann42at]

wie aktuell ist denn deine QNAP? Sofern es schon HBS3 zb hat, kannst du damit eine aktive Sync (in Richtung QNAP) anstossen...

 

[peterhoffmann]

Mein erster Gedanke war auch, dass die Synology das Backup nicht zur Qnap schiebt, sondern das Backup von der Qnap durchgeführt wird. So sieht ein Eindringling nicht, dass da ein Backupjob vorliegt.

 

[Seamo]

wie aktuell ist denn deine QNAP? Sofern es schon HBS3 zb hat, kannst du damit eine aktive Sync (in Richtung QNAP) anstossen...

HBS3 funktioniert auf meiner QNAP. Wenn ich aber einen aktiven Sync starte habe ich immer die Lokole NAS sprich die QNAP als Quelle. Kann man hier die Quelle ändern?

 

[stefann42at]

du erstellst per HBS3 einen aktiven Sync, dann als Quelle 'rsync-Remote Server' (also dein Synology) - rsync-Logindaten der Synology angeben nicht vergessen. Im Großen und ganzen wars das...

 

[Seamo]

Du hast vollkommen recht. Hier ist die Qnap Oberfläche etwas verwirrend, da die eigene NAS immer auf der rechten Seite steht und der Datentransfer mit den Pfeilen dargestellt wird. Die Pfeile habe ich dabei gar nicht war genommen .

Hier Beispiele für die die mitlesen. Die eigene NAS steht dabei immer Links und die Pfeile dazwischen zeigen an wie die Daten gesendet werden.

Beispiel für einen aktiven Syncronisationsauftrag:

Beipsiel für einen Ein Wege Syncronisationsauftrag:


Eine Frage hätte ich noch.
Auf lange Sicht wird die QNAP durch eine Synology ersetzt. Ist das Szenario genauso möglich, wenn man zwei Synologys besitzt? Sprich kann man im Hyper Backup auch einen Backup/Sync auf eine entferne NAS anstoßen?

 

[synfor]

die eigene NAS immer auf der rechten Seite steht

Die eigene NAS steht dabei immer Links

Was denn nun?

 

[Seamo]

Was denn nun?

Sry hab mich verschrieben, meine natürlich immer links

 

[synfor]

Ach, eigenes NAS ist auch nicht eindeutig. In der Regel dürfte das auf beide zutreffen.

 

[Seamo]

Jap das stimmt. Mit eigener NAS meine ich die NAS mit der man eingeloggt ist.

 

[Seamo]

Da es bald konkreter wird, wollte ich nochmal die Fragen, ob jemand die Frage von oben beantworten kann:

Eine Frage hätte ich noch.
Auf lange Sicht wird die QNAP durch eine Synology ersetzt. Ist das Szenario genauso möglich, wenn man zwei Synologys besitzt? Sprich kann man im Hyper Backup auch einen Backup/Sync auf eine entferne NAS anstoßen?

 

[himitsu]

es gibt ja nur zwei Richtungen:

• das andere NAS (aktuell QNAP) holt sich die zu sichernden Daten ab, dann gibt es lokal auch keine Zugangsdaten des anderen NAS
  (abgesehn vom PublicKey, wenn mit Schlüsseln gearbeitet wird)
• das lokale NAS schiebt seine Daten rüber, dann braucht es natürlich Zugriff
  • Name+Passwort
  • oder via Schlüssel (z.B. SSH)
  • egal wie, dieser Zugriff darf dann kein root/admin sein, sondern nur ein Beschränkter auf das Zielverzeichnis, bzw. die Zielanwendung darf nur auf eigene Verzeichnisse Zugriff haben
• innerhalb des ZielNAS kann man dann noch einen zweiten Backupjob anlegen, der die gesicherten Daten wegsichert, worauf das eigentliche Backup keinen Zugriff hat und somit kann es Dieses auch nicht zerstören,selbst wenn jemand Zugriff auf das lokale NAS und somit eventuell "eingeschränkten" Zugriff auf das andere NAS bekommt.
  • im einfachsten Fall wären das Snapshots
  • und über Quota kann man noch absichern, dass der Angreifer die Platte nicht überfüllt und so das andere System lahmlegen könnte
• du kannst bei Synology auch gern ein VDSM einrichten, oder z.B. ein anderes Linux im VMM, so dass der Angreifer maximal auf die virtuelle Instanz Zugriff bekommt, aber nicht auf das Hauptsystem