Datensicherung NAS to NAS im Pull-Verfahren

  • Hallo an alle,

    ich besitze 2 QNAP NAS. Das Haupt-NAS ist Domänenmitglied und speichert die täglich anfallenden Daten in verschiedenen Freigaben, das zweite dient als Backup und ist kein Domänenmitglied. Jetzt ist das Haupt-NAS so eingestellt, dass dieses die Daten per Sicherungsmanager auf das Backup-NAS "schiebt" (push-Verfahren). Dazu muss ich aber auf diesem NAS die Zugangsdaten für das Backup-NAS hinterlegen. Im Fall eines Trojaners wäre es also denkbar, dass dieser auf diesem Weg auch mein Backup erreicht. Die Idee ist jetzt, mein Backup-NAS so einzustellen, dass dieses die Daten vom Haupt-NAS "zieht" (pull-Verfahren). So liegen die Zugangsdaten für das Backup-NAS nur in meiem Kopf und nirgends anders und damit für einen Trojaner schwerer zu erreichen. Mir gelingt es aber in der Einstellungen des BACKUP-NAS nicht, das (externe) Haupt-NAS als Quellordner und das (lokale) Backup-NAS als Zielordner einzustellen. Wie funktioniert das?

    Danke für eure Unterstützung.

    Jens

  • Wo genau ist das Problem? bei mir läuft das seit Jahren so, das Backup-NAS "zieht" sich die Daten vom Haupt-NAS.

    Bei der Einrichtung des Jobs im SM darf allerdings nicht als Backup, sondern muss Synchronize als Job.ge wählt werden.


    Gruss

  • Hallo,

    ich mache Folgendes

    - Sicherungsmanager starten

    - Remote-Application - NAS to NAS - Einen Replikationsauftrag erstellen

    - Externer Ort ist das Haupt-NAS, Lokaler Ort ist das Backup-NAS


    Unter "Quellordner" kann ich jetzt aber nur Ordner des Lokalen NAS auswählen und keine Ordner des externen NAS. Die Quelle ist aber das externe NAS.

  • Hallo und danke. Fehler gefunden


    Die Funktion NAS to NAS funktioniert nur zum Senden von Dateien an ein externes NAS. Ich muss aber "RTRR (Zweigang Synchronisierung)" auswählen, um Dateien vom externen NAS auf die lokale Platte zu ziehen.


    Danke

    2 Mal editiert, zuletzt von Jens_W ()

  • Hallo,


    ich bin neu im Forum und überlege, von Synology zu QNAP zu wechseln. Wichtig ist mir, eine verschlüsseltes, inkrementelles (es werden nur geänderte Daten übertragen) Pull-Backup (der externe NAS hat beim Haupt-NAS nur Leserechte, nichts sonst) einzurichten.


    Ist das mit QNAP möglich? Wenn ich Synchronisierung höre, gehen bei mir die Alarmglocken an: Wenn mein Haupt-NAS verschlüsselt wird, würde sich dann nicht der Offsite NAS auch verschlüsseln? Gibt es eine Datei-Historie der Backups?


    Vielen Dank!

  • Wenn mein Haupt-NAS verschlüsselt wird, würde sich dann nicht der Offsite NAS auch verschlüsseln?

    Nein.

    Ich habe zwar nicht diese Konstellation, QNAP und Syno gemeinsam zu syncen, aber der technische Hintergrund bleibt immer gleich.


    Wenn dein Quell-NAS verschlüsselt ist (entweder komplette Disk, oder einzelne Verzeichnisse) dann wird natürlich beim Lesen (Kopieren) die Datei VORHER entschlüsselt. Die Übertragung der Daten wäre dann immer unverschlüsselt, außer du wählst extra eine Verschlüsselung bei der Übertragung (z.B. über VPN, falls das Ziel wo anders stehen sollte).

    Die Verschlüsselung auf dem Ziel-NAS müsstest du dann wieder extra einrichten, die ist unabhängig von der Verschlüsselung des Quell-NAS zu sehen.

  • danke für die schnelle Antwort RedDiabolo , ich habe mich missverständlich ausgedrückt:


    wenn Ransomeware meinen Server ungewollt verschlüsselt, werden dadurch auch die mit RTRR synchronisierten Daten des Off-site Backups verschlüsselt?


    Zusammengefasst: ist folgendes mit RTRR möglich (Haupt NAS A, Off-site NAS B)?

    1. A hat keine Schreibrechte auf B

    2. B hat keine Schreibrechte auf A

    3. B pullt Daten inkrementell von A: Es werden nur geänderte Daten übertragen

    4. B hat eine Historie der Daten von A: Bei der Wiederherstellung einer Datei X entscheide ich, welchen der gesicherten Zeitpunkte ich wiederherstelle („gestern war es möglicherweise schon corrupted, aber vor einer Woche noch nicht.“)
    5. B verschlüsselt die empfangenen Daten von A

    6. A kann Daten von B wiederherstellen (aber natürlich nicht auf B ändern, da es nur Leserechte gibt)

  • wenn Ransomeware meinen Server ungewollt verschlüsselt

    OK, DAS ist ein ganz anderes Thema ...


    Je nachdem, wie die Ransomeware aufgebaut ist und wo sie läuft, kann das unterschiedliche Auswirkungen haben.

    Wenn sie auf deinem NAS A (Quelle läuft) dann wird sie nicht zwangsläufig gleich NAS B verschlüssel (was aber denkbar wäre), sondern deine Synchronisation (RTRR) überschreibt einfach die validen Daten mit Müll und das war es dann.


    Auch wenn "nur" geänderte Daten übertragen werden, wenn die Ransomeware mal loslegt sind praktisch alle Nutzdaten überschrieben, also alles geändert und damit gültig für das Überschreiben, bzw. bei komplett neuen Dateinamen werden sie rüberkopiert und die nicht mehr vorhandenen gelöscht (je nach Einstellung im RTRR).


    Was dich davor rettet? Einmal ginge Versionierung, die aber auf dem Ziel-NAS laufen müsste, damit die "alten" Files noch länger stehen bleiben. Damit kommst du aber auch gleich zur Frage des Platzbedarfes. Mit Versionierung wird dein Backup-NAS um einiges mehr an Platzbedarf haben werden, als das Quell-NAS.


    Für so einen Worst-Case muss ein komplett neu überdachtes Backup her, da reicht ein einfaches Syncen mit RTRR nicht mehr aus. Einge gute Lösung wäre eine zeitlich versetzte Sicherung auf einem Drittgerät, das immer offline ist und nur nach "gutem Gefühl" hochgefahren und aktualisiert wird. Danach wieder abschalten und gegen weitere Angriffe geschützt sein. Zusätzliche sporadische Sicherungen auf externe Disk, die danach im Schrank liegen und damit einen Sicherungsstand von "vor x-Wochen" haben, sind auch ein guter Rettungsanker.


    Am besten überlegst du dir

    • was sind die wichtigen Daten?
    • wie/wo sollten sie redundant gesichert werden? (Stichwort 3-2-1 Backup-Regel)
    • wie identifizierst du den Schädling, wie bringst du ihn weg und wie soll die Wiederherstellung erfolgen?

    Dann überlegst du dir DEINE Backupstrategie und setzt sie um, dabei gilt (wie immer) je besser, umso teurer, für lau gibt es keine Sicherheit ...

  • Danke dir, das war genau meine Befürchtung, als ich „Synchronisation“ gehört habe: eine Sync ist kein Backup.


    ich habe genau diesen Fall: externes Backups mit mehreren Versionen, in meinem Anwendungsfall ist das ganze jedoch nicht inkrementell. Und das macht es bitter - es liegt mehrfach der gesamte zu sichernde Umfang auf dem Ziel ab.


    Ich habe mich viel mit Backup Konzepten beschäftigt und hatte die Hoffnung, dass QNAP eine Pull-Backup Lösung ermöglicht (eine Synchronisation hat Syno auch, sogar Pull Backup, aber nur für die teure Produktreihe als Ziel NAS - das ist Verschwendung).

    Ich verstehe nicht, warum integrierte Pull-Backups scheinbar nicht möglich sind :(


    Wenn mir jemand noch sagen kann, welche der oben aufgeführten 6 Punkte funktionieren und welche nicht wäre ich dankbar. Das würde mir beim Verständnis helfen. :)