Offene Punkte in meinem Backup-Konzept

[galdak]

Hallo Leute

Ich bin gerade an meinem neuen Backup-Konzept. D.h. ich will meine DS216+II im Heimnetzwerk auf meine externe DS210j sichern.

folgende Punkte sind bei mir zurzeit offen:

VPN Ja/Nein
Soll ich für mein Backup VPN verwenden oder reicht eine Verschlüsselung? Gem. folgendem Beitrag ist an der Verschlüsselung von HyperBackup nichts auszusetzen (HyperBackup-Verschlüsselung).

Ist ein VPN für ein Backup nötig?
Auch für den Zugriff von aussen auf meine DS (z.B. Photo Station, Dokuwiki, Note Station) stelle ich ein VPN in Frage. Ich sehe den Zugriff eher via HTTPS (SSL).

HyperBackup vs UltimateBackup
Mit beiden habe ich noch relativ wenig Erfahrung. Meine Anforderung an das Backup sind relativ einfach: inkrementelles Backup nach extern. Keine Versionierung nötig.
Ich habe jedoch einen hohen Anspruch daran, dass das Teil erfolgreich durchläuft. Bei HyperBackup habe ich viel gelesen, dass das Backup abbricht. Das wäre für mich ein Grund, eine andere App einzusetzen.
Empfehlung?

 

[Tommes]

Empfehlung?

Meine Empfehlung - learning by doing!

Ich persönlich halte VPN für das Mittel der Wahl, jedoch liegt das wohl an meiner eigenen Paranoia. Bei Ultimate Backup wäre z.B. ein geöffneter SSH-Port von Nöten, da hierüber der rsync geschleust wird. Allein deshalb würde ich schon auf VPN setzen, wenngleich SSH ja verschlüsselt überträgt. Den SSH-Port brauchst du bei Hyper Backup z.B. nicht, jedoch stellt ein offener Port generell ein gewisses Risiko da. Da du deine DS aber eh schon übers Internet erreichbar gemacht hast, wirst du dir diese Fragen bestimmt schon selbst beantwortet haben.

Das Hyper Backup mit Abbrüchen zu kämpfen hat, dazu kann ich nichts sagen. Mir ist dieses Verhalten bei Ultimate Backup jedoch noch nicht aufgefallen. Wo wir wieder bei dem Punkt "Empfehlungen" wären... Probier es am besten mal aus und sammel deine eigenen Erfahrungen.

Tommes

 

[galdak]

Meine Empfehlung - learning by doing!

Darauf läuft's hinaus... ;-) mache ich in der Regel auch.
Aber allenfalls kann ich aufgrund einiger Inputs ein Overengineering vermeiden. Leider habe ich aktuell nicht die gewünschte Zeit für alle Tests.

SSH-Port brauchst du bei Hyper Backup z.B. nicht

Damit ich das richtig verstehe: im externen Netzwerk, wo meine Remote DS steht, muss am Router kein Port für die reine Datensicherung freigegeben werden?

 

[Fusion]

Doch, ein Port muss immer freigegeben werden. Ob es jetzt ein Port für OpenVPN ist, oder einer für SSH, oder einer für Hyper Backup, ....

 

[Tommes]

... wobei mache Ports für Angriffe interessanter sind als andere. So wird der Standard-SSH-Port 22 in der Regel wohl ziemlich stark frequentiert, wohingegen der Hyperbackup Port evtl. deutlich uninteressanter für einen Angriff sein kann (nur eine Vermutung)

Tommes

 

[galdak]

Hi Leute

Ich reaktiviere hier mal meinen Post nochmals. Nach meinen Tests von HyperBackup und Ultimate Backup fiel meine Wahl klar auf Ultimate Backup.
Gründe dafür: v.a. performance, aber auch die Ablage im Zielsystem.

Allerdings muss für Ultimate Backup der SSH Port geöffnet sein.
Da ich diesen Port aber lieber zu lassen würde, habe ich mir folgende Gedanken gemacht:

- die Remote DS verbindet sich mit der DS im Heimnetzwerk via VPN mit einem eigenen Benutzer (z.B. backup)
- nach Anmeldung des Benutzers backup, soll im Heimnetzwerk der SSH Port auf der Fritzbox aktiviert werden (oder falls nicht möglich auf der DS)
- anschliessend soll das Ultimate Backup gestartet werden (auch mittels Script) Grund: auf der Remote DS kann ich Ultimate Backup nicht installieren (DSM 5.2)
- nach Beendigung des Backups wird die Remote-DS heruntergefahren. Bei Abmeldung des Benutzers soll der Port wieder geschlossen werden.

Mich interessiert hier eure Einschätzung:
Würde das funktionieren? Habe ich etwas nicht beachtet? Ist das ein gangbarer Weg um den Port nicht immer offen zu halten?
Oder ist es over-engineered, d.h. ist der SSH Port auf einem frei definierbaren Port (z.B. 49022) weniger anfällig und diese Lösung daher nicht nötig?


Der Post läuft parallel zu meinen Tests bzgl. VPN. Bin da aktuell leider noch nicht so weit...

 

[whitbread]

Ich würde erstmal einen Highport nehmen und gut ist. Wenn die Remote NAS aus ist führt die Port-Weiterleitung der Fritte ja ins Leere.

Wenn Du mit Ultimate Backup zurecht kommst hast Du schon mal 2 Fliegen mit einer Klappe geschlagen, da die Verbindung via ssh ja zertifikatsbasiert ist und zusätzliche Sicherheit bietet.
Ich nutze noch das alte filebasierte Backup von Hyperbackup - dort gibt es keine Performanceeinbussen und es ist einfach einzurichten.

Zum Thema Sicherheit: Schritt 1 - nur verschlüsselte Ports nehmen hast Du ja beachtet. VPN bietet imho nur zusätzliche Sicherheit, wenn man zertifikatsbasierte Verfahren verwendet. Dies ist in Ultimate Backup in ssh ja inkludiert. Weitere Sicherheit erreichst Du ohne zusätzliche Firewall nicht.

Kurzer Hinweis noch: Die DS210j hat schon arg mit der Verschlüsselung zu kämpfen, allerdings kommt das aufgrund der langsamen Internetverbindung nicht zum Tragen. Meine DS211j ist - allerdings lokal - beim Backup mit / ohne Verschlüsselung deutlich (Faktor 3-4) langsamer.

 

[galdak]

Wenn die Remote NAS aus ist führt die Port-Weiterleitung der Fritte ja ins Leere.

Danke, daran habe ich noch gar nicht dran gedacht. Aber stimmt natürlich.

Kurzer Hinweis noch: Die DS210j hat schon arg mit der Verschlüsselung zu kämpfen, allerdings kommt das aufgrund der langsamen Internetverbindung nicht zum Tragen.

OK, werde ich berücksichtigen.

VPN bietet imho nur zusätzliche Sicherheit, wenn man zertifikatsbasierte Verfahren verwendet. Dies ist in Ultimate Backup in ssh ja inkludiert. Weitere Sicherheit erreichst Du ohne zusätzliche Firewall nicht.

Das heisst: mit VPN kann ich noch mehr absichern gegenüber "nur" Ultimate Backup. Oder bringt dann VPN gar keine zusätzliche Sicherheit?

 

[whitbread]

Ich halte zertifikatbasiertes SSH und VPN für gleichwertig was Sicherheit angeht. Mit beiden Verfahren ist ein vielschichtiger Zugriff auf eine Remote-NAS möglich, mit VPN ggf. etwas komfortabler.

Eine Nutzung von PPTP oder L2TP wäre also ein Rückschritt.