Snapshot oder geht auch HBS3 (gegen Ransomware sichere Backups)

  • Trotzdem bin ich dank deiner Anstöße auf der Suche nach geeigneter VPN-Hardware um LAN-LAN-Kopplungen herstellen zu können.

    Evtl. werde ich hier ja fündig um herauszufinden, was ich dafür alles benötige.

    Hier gab es zuletzt etwas dazu: OpenVPN - HybridMount

  • Ich bin ein Fan der kleinen ARM Netgate Appliances, die laufen einfach, besser die rennen.


    Kosten zwar auch ein paar € aber bei Updates ist das kein gebastel.


    Neu ist jetzt die SG-2100 und schließt die große Lücke zwischen der SG-1100 und der SG-3100 und diese deckt jetzt genau den Bereich bis zum GBit Inet hin ab.

    Was VPN Durchsatz angeht, ist die SG-3100 mit fast 500MBit auch eher was für Symmetrische Gbit Leitungen, denn da kann ich hier gerade mal etwas über 10% der Bandbreite mit meinem Anschluss nutzen.


    Vor allem vom Energieverbrauch sind die mit 5W mega effektiv, da verbraucht eine Fritz das 2-3 Fache und kann deutlich weniger.

    Hier läuft ja gleich ein DNS Blocker mit, der unerwünschte Werbung und auch bösartige Webseiten blockt.

    Damit laufen dann auch bekannte Angriffe ins leere, da der Command & Controll Server nicht erreicht werden kann.


    Zudem spart man sich bei Win 10 auch eine VPN Client Software, der integrierte IPSec Client ist mit 2 Zeilen Powershell eingerichtet.

    Für die Netgate Hardware gibts einen Profil Generator, der dir den direkten Export ermöglicht und dann heißt es nur noch importieren für Apple und Windows.

    Einmal editiert, zuletzt von Crazyhorse ()

  • Bhoa mist...

    Jetzt habe ich versucht mich etwas in die Thematik einzulesen.

    Aber ich bekomme es einfach nicht so richtig auf die Kette :(


    Ich bin mal so frech und hau hier mal meine Vorstellung hinein.

    Evtl. geht es ja so, wie ich mir das Ganze vorstelle!?


    Ich möchte eine Site-to-Site VPN-Verbindung zwischen dem Home- und dem Office-Netzwerk herstellen.

    Hierzu würde ich mir jeweils für Home und Office den "Netgate SG-1100 Security Appliance" zulegen.

    Diesen würde ich am liebsten nach den FritzBoxen anhängen, weil ich mit FritzBox einfach super klarkomme und das Netz über die FritzBoxen "verwalten" lassen möchte.

    FritzFax, VoIP usw. ist auch auf der FritzBox eingerichtet.

    Oder habe ich dann zwangsläufig doppeltes NAT, wenn die SG-1100 hinter der FritzBox hängt?


    Bin ich für solche Fragen in diesem Forum überhaupt richtig?

  • Ja es ist ein komplexes Thema und da muss man sehr viel Grundlagen kennen, aber die Guides für die Sense sind einfach gut und überall zu finden.


    Da kann man auch nen Einstieg finden.

    Muss aber Bock haben sich da rein zu graben.


    Und das sage ich als Netzwerker, die Kisten arbeiten alles gleich und doch unterschiedlich im Detail wie die was handhaben.



    Erstmal hinter die Fritz, so habe ich mit meinem ersten SG-1100 auch angefangen, als es dann nach 1-2 Wochen soweit lief und alles getestet war, konnte ich mir nen Modem schnappe und das Teil davor klemmen.

    Denn die Kiste kann einfach so viele Verbindungen, da bricht dir die Fritz zusammen oder bremst dich einfach gnadenlos aus.

    War für mich daher keine Option.


    Dazu noch sauber den Limiter eingestellt und die Qualität deiner Inet Leitung ist mega.


    Ich kann hier auch Tagsüber VPN Backups fahren, merkt keiner, auch nicht beim zocken, weil die Latzen sich max 5ms erhöht, dann greift Codel und regelt das.



    #

    Ja dann hast du doppeltes NAT, aber läuft trotzdem.

    Wenn es später mal Richtung Gbit gehen soll würde ich eher gleich Richtung SG-2100 orientieren.

    Vor allem sind die 1GB Ram schon mal limitierende, was z.B. große Blocklisten angeht, da sind die 4GB Ram sehr entspannt.


    Ich habe eine Fritz hier als DECT Station, das kann die aber Netzwerk lasse mal besser nen Profil machen.

    Für richtiges WLAN gibts dann UniFi, die zeigen dem Ding dann auch ganz schnell wo das WLAN hängt.


    Eine Sense ist nicht so schön bunt wie ne Fritz, aber die rennt ganz anders, der DHCP müllt sich nicht mit Clients zu die er mal gesehen hat hier läuft ein eigenen sauberer DNS Resolver in Form von Unbound, der fliegt auch nicht bei bösen Anfragen auseinander und liefert ein saubers NX zurück statt wie einige andere Schrott.

    Da kann man schön eigene Einträge für das NAS setzen, nie wieder warten auf mDNS, einfach UNC (nas.eigenedomain.x) Pfad und da ist es.




    Wichtig ist ein Protokoll, wenn du was änderst, dann immer nur einzelne Punkte und wenn irgendwo steht, das hier nicht drücken weil boom, dann drücke das nur wenn du weißt was du tust und ggf. bereit bist Wochen Später den Fehler zu suchen und dann wirst du das Protokoll zu schätzen wissen.


    Ich hatte mir mit einer DNS Einstellung hier so ein Ei gelegt, nach Wochen ist es erst aufgefallen und dann muss man sich mal 1-2h nehmen und das ganze mit System angehen.


    Guter Einstieg ist auch hier:

    https://www.youtube.com/channel/UCHkYOD-3fZbuGhwsADBd9ZQ


    Sehr coole Videos die erstmal helfen das grundlegende mal eben einrichten zu können.

    z.B. Codel, anschauen, mit klicken und Fun haben.


    Im Detail musst du es dann ggf. noch mal auf deine Leitung Skalieren aber das ist dann mit ein wenig rumspielen oder ein wenig 3 Satz (1GBit -> in pps umrechen) schnell sauber eingestellt.

  • Öha.

    Danke dir für deine ausführliche Antwort :)

    Ich werde mir erst einmal das eine oder andere Buch vor die Linse halten,

    bevor ich mich da heran traue.:handbuch:
    Ich kaufe mir parallel den "Ubiquiti UniFi USG Security Gateway Router" (kostet nur n Hunni)

    und spiele damit ein wenig herum.

    Auf YouTube (zB. iDomiX) gibt es zu der Einrichtung des Gerätes diverse Videos.

    Wenn ich dadurch etwas dazugelernt habe, gehe ich das Ganze mit "richtiger" Hardware an.

    Jetzt muss es erst einmal mit den Fritten und dank des Updates Auf Fritz-OS 7.2.x möglichen 3-4MB/s reichen.

    Ich verwende die VPN-Verbidung (LAN-LAN-Kopplung) ja "nur" für die Datensicherung per HBS3.

    Das läuft soweit okay...

  • Neu ist jetzt die SG-2100 und schließt die große Lücke zwischen der SG-1100 und der SG-3100 und diese deckt jetzt genau den Bereich bis zum GBit Inet hin ab.

    Hallo, wo kriegt man denn als Endkunde so ein Gerät zu kaufen? Generell finde ich das Thema spannend und liebäugele mit solch einer Hardwarefirewall, die dann auch gleich mal DHCP und DNS mit übernehmen könnte sowie auch das Pi-Hole auf dem separat laufenden Raspi obsolet macht. Mittelfristige Ablösung der FritzBox7590 samt zwei Stück FritzRepeater 3000 durch was Gescheiteres wäre auch kein Ding, früher oder später ist der vorhandene Kram ohnehin mal zu aktualisieren.


    Zwar bin ich bislang leider nur "fortgeschrittener Laie" in dieser etwas spezielleren Firewall-Thematik, aber nach gut 30 Jahren in der IT weiß ich immerhin recht gut, wozu das gut ist, was man damit bezweckt und was es nicht leistet (Buntwäsche, Teekochen, Mails vorlesen usw. 8o).

    Für Privathaushalte mag es overkill sein, aber wie einige Andere hier brauche ich auch mein Spielzeug und andere Leute toben sich mit Rennmotorrädern oder getunten Autos aus, die man auch nicht für den Alltag benötigt.


    MfG :)

  • Ich habe die bei einem Distributor in DE bestellt und die waren nach ein paar Tagen oder sogar am nächsten Tag hier.


    Was das WLAN angeht, kann ich UniFi nur empfehlen, die Teil sind solo super, wenn man die nach Vorgabe (Deckenmontage) verbaut, dann hat man eine mega Ausleuchtung und bei mehreren Etage mit dem Controller auch sauberes Roaming, wenn die Clients das unterstützen auch Fastroaming, wo man nix mehr merkt.


    Auf der Netgate.com Seite sind die Distributoren aufgelistet.

  • Mir würde es aber erhebliche Zweifel bereiten, denn warum sollte das Backupsystem nicht auch befallen werden, wenn entsprechende Daten schon dahin übertragen werden?

    Ein großer Vorteil von NASen ist, dass sie wesentlich besser zwischen Programmen und Daten trennen als ein normaler PC oder auch ein Windows-Server.

    Will sagen: selbst wenn man eine Datei mit Schadsoftware auf dem NAS speichert, wird dadurch das NAS nicht von der Schadsoftware befallen.

    Erst wenn jemand eine Sicherheitslücke findet und ausnutzt, die das NAS dazu bringt, etwas von den Daten, die es eigentlich nur speichern soll, spezifikationswidrig als Programm auszuführen, wird es gefährlich.

    Tatsächlich erfolgen Angriffe auf NAS in der Regel nicht durch Ablegen irgendwelcher präparierter Dateien auf Freigaben, sondern über Sicherheitslücken in Netzwerkdiensten.