Verschlüsselt auf zweitem QNAP sichern

  • Hallo,

    ich habe für mich und meine Eltern jeweils einen TS-128a gekauft. Sie sollen sich wöchentlichgegenseitig ein Backup aufspielen.

    Mir ist aber wichtig, dass das Backup irgendwie verschlüsselt oder zumindest passwortgesichert ist.

    Ich dachte, dass ich hierfür die Hybrid Backup Sync mit der clientseitigen Verschlüsselung nutzen könnte. Das funktioniert aber offenbar nur für Backups auf einen Clouddienst.


    Nun habe ich versucht das über WebDAV zu machen. Das scheint mir aber sehr kompliziert und ich bekomms nicht zu laufen.


    Ist WebDAV überhaupt der richtige Ansatz oder wie mach ich das am geschicktesten?

    2 Mal editiert, zuletzt von MetroFun ()

  • Wer soll den die Schlüssel für das jeweilige Backup verwalten?
    Leg auf beiden Seitzen ein verschlüsseltes Volume an, verbinde die QNAP mit VPN und mach ein normales Backup.

  • Vielleicht versteh ich das falsch aber ist denn das Backup Verschlüsselt wenn der Datenträger verschlüsselt ist?

    Hätte gedacht, dass die Daten unverschlüsselt übertragen und abgespeichert werden. Ich will halt nicht, dass die Daten auf dem anderen NAS einfach einsehbar sind.

    Zumal ja beim normalen Backup nur bestimmte Ordner und nicht das ganze Volume gesichert werden.

  • Das:


    Hätte gedacht, dass die Daten unverschlüsselt übertragen und abgespeichert werden.


    und das :


    Ich will halt nicht, dass die Daten auf dem anderen NAS einfach einsehbar sind.


    wiederspricht sich. :)


    Da nützt es auch nichts das das Backup-NAS eine Volumenverschlüsselung hat. Oder die Daten in einem verschlüsseltem Ordner liegen. Solange diese "eingehängt" sind, sind die Daten auch lesbar.

  • Was wäre denn die empfohlene Vorgehensweise für

    - gegenseitiges Backup von zwei NASen

    - Backup nur lesbar für Eigentümer und nicht für Backup-NAS-Nutzer


    Beispiel fürs Verständnis:

    Daten vom Sohn auf der NAS vom Papa, aber kein anderer Nutzer, auch nicht Papa, kann die Daten des Sohn-Backups lesen. Genau so soll es sich für Papa's Backup verhalten. Sprich nur der Eigentümer der Daten soll sie lesen können.

  • wiederspricht sich. :)

    Eben! Ich will ein Verschlüsseltes abspeichern und glaube dass es nicht reicht einfach die Festplatte des Sender-NAS zu verschlüsseln. So hatte ich MatthiasJ verstanden und daher frage ich nochmal nach.

    Ich möcht genau das, was MoeD beschreibt.

  • Ich will ein Verschlüsseltes abspeichern und glaube dass es nicht reicht einfach die Festplatte des Sender-NAS zu verschlüsseln.

    So ist es.


    Wenn nur die Cloudbackup-Funktionen die Möglichkeit einer client-seitigen Verschlüsselung bieten, würde ich es über WebDAV probieren. Also auf dem Ziel-Nas eine WebDAV-Freigabe einrichten und mit Cloudbackup darauf zugreifen.

  • Kennt du dafür eine gute Anleitung? Hab mich dran versucht, habs aber nicht zum Laufen bekommen.


    Das ganze Volume im verschlüsselten Zustand rüber zu schieben geht nicht, oder?

  • Man könnte Snapshots von Volumen extern sichern. Da kenne ich mich aber nicht mit aus.


    Für WebDAV gibt es hier eine Anleitung. Ich würde in Schritten arbeiten. Am Ziel-NAS WebDAV einrichten und dann erst versuchen von extern per PC darauf zuzugreifen. Wenn das klappt, dann die Verbindung per Hybrid Backup Sync einrichten. Da gibt es auch ein Tutorial zu.

  • Hat bisschen gedauert aber scheint jetzt halbwegs zu funktionieren. Danke soweit schonmal!


    Ich war jetzt verwundert, dass die Dateinamen alle im Klartext angezeigt werden und nur der Inhalt der Datei verschlüsselt wird. Aber ok, damit kann ich leben.

    Kann ich denn diese Dateien noch mit einem anderen Tool entschlüsseln als dem QNAP?

    10 Mal editiert, zuletzt von MetroFun ()

  • Das ganze Konzept ist schon etwas "ungewöhnlich"

    Du kaufst Deinen Eltern ein NAS, das Du einrichtest und vermutlich auch verwaltest.

    Ursprünglich wolltest Du nur, dass die Daten dort verschlüsselt abgelegt sind, aber inzwischen
    ist klar, dass Du Dein Backup dort so ablegen willst, dass sie nicht darauf zugreifen können.

    Damit ist aber auch klar, dass die Schlüssel für Dein Backup bei Dir liegen müssen.

    Ein Problem habe ich nur mit euerer Trust-Beziehung. Du bist der Gute Sohn, aber sie die Bösen Eltern? Sie haben aber genügend Ahnung, um auf Deine Datensicherung zu können, aber nicht um ihr NAS selber einzurichten?

    Ich hab das ganze jetzt nur für die eine Richtung dargestellt, denn wenn ich die Sicherungsrichtung umdrehe wirds noch schräger: Du kannst zwar auf das Eltern-NAS drauf und dort die Daten einsehen, willst aber deren Backup bei Dir nicht nutzen können, obwohl Du ja von der Einrichtung her alle Schlüssel hast.

    Der WebDAV-Ansatz mit Verschlüsselung scheint ja erst mal zu reichen, wobei micht die offenen Dateinamen noch stören.

    Das Setup mit Hybrid-Backup auf beiden NAS um Versioning zu ermöglichen sieht interessant aus. Gibt es dazu Erfahrungen?

    Eine Variante hätte ich noch: Mounte das verschlüsselte Volume bei deinen Eltern erst, wenn Du ein Backup machen willst, Das Passwort dafür hast ja nur Du.

    M.

  • Warum ist das Konzept ungewöhnlich?

    Die Passwörter werden zusammen mit der NAS übergeben+geändert und damit macht auch die Backup-Sperre in meinen Augen Sinn.


    Um ein Beispiel zu nennen: Die Bankauszüge meiner Eltern gehen mich oder meinen Bruder nichts an, genau so wenig wie umgekehrt. Das kann man jetzt relativieren oder akzeptieren.


    Eine Lösung ohne WebDAV wäre noch schön. Ich bin noch nicht dahinter gestiegen wie das mit den Volume/Pool/Freigabeordner-Verschlüsselungen läuft und was dann sichtbar ist. Meine Vorstellung wäre, dass es einen Freigabeordner gibt, für den ein NAS-Benutzer das Passwort festlegt und damit auch nur der eine Nutzer die Zugriffsrechte verwalten und nutzen kann.

  • Meine Vorstellung wäre, dass es einen Freigabeordner gibt, für den ein NAS-Benutzer das Passwort festlegt und damit auch nur der eine Nutzer die Zugriffsrechte verwalten und nutzen kann.

    Der Nutzer kann zwar das Passwort festlegen oder auch ändern, allerdings hat er nicht die Hoheit über die Zugriffsrechte. Diese hat der Admin und natürlich auch andere User mit Admin-Rechten. In der Praxis ist das dann so: in dem Moment wo der User das Passwort eingibt und damit den Freigabeordner entschlüsselt, könnte sich die oben genannte Admin-Gruppe auch Zugriff verschaffen. Darüber hinaus müsste man mit Scripten arbeiten, die während eines automatisierten Backup-Prozesses zuerst den Freigabeordner freischaltet, dann das Backup durchführt und abschließend wieder den Freigabeordner sperrt. Über das GUI wird das wohl nichts.


    Alternativ könnt ihr besser im QNAPclub Store stöbern. Duplicati (WEBdav, SFTP,...) wäre ein Stichwort, da sind die Dateinamen nicht am Ziel lesbar.


    Wer NAS-Systeme über das Internet miteinander verbindet, sollte gut wissen was er tut: Sicherheit bitte ernst nehmen.

  • Das Konzept gibt doch in dem Fall vor, dass eine entsprechende Backup Software eingesetzt werden muss.


    Diese verschlüsselt die Daten auf dem Quellnas und schreibt auf das BU System die bereits verschlüsselten und unlesbaren Daten.


    Mit Boardmitteln wird das nix.

    Schaue doch mal resilio an.

  • Mit Resilio kann man verschlüsselte Backups schreiben? Ich meine Resilio ist ein P2P Datei Sync Software, eher geeignet als Dropbox Ersatz.

  • Mit Boardmitteln wird das nix.

    Menoooo... ich will aber nicht noch was installieren :rolleyes:


    naja ich werde mir dieses Resilio mal :handbuch:

  • Schon weiter gekommen mit resilio? Ich glaube verschlüsselt geht nur mit der kostenpflichtigen Version was dann 100$ wären.
    Das die Dateinamen unverschlüsselt sind find ich nicht schön aber auch nicht schlimm, von daher ist die WebDAV Lösung ok.


    Was mich jetzt natürlich noch brennend intressieren würde ist, ob ich die Dateien auch ohne eine QNAP NAS wieder entschlüsseln kann. Geht das irgendwie?

    €dit: Lösung selbst gefunden: Ist basierend auf OpenSSL verschlüsselt. QNAP bietet kein offizielles Tool an, dafür gibts aber ein inoffizielles tool von "Mikiya83" hat: https://github.com/Mikiya83/hbs_decipher/releases

    Funktioniert, so richtig zufriedenstellend ist das ganze aber ehrlich gesagt nicht...

    2 Mal editiert, zuletzt von MetroFun ()