HBS3 - Backup auf externe QNAP NAS

    Hallo zusammen,


    ich möchte meine Daten von meiner QNAP TS-453D übers Internet auf eine externe QNAP TS-233 via HBS3 sichern.


    Nun meine Fragen (diesbezüglich bin ich kein Profi und hoffe hier auf Tips von euch) hierzu.

    - Verwende ich hier die HBD3 App und aktiviere somit bei beiden NAS den RTRR Server?

    - Bei der externen NAS muss eine IP-Adresse eingegeben werden. Ist hier eine statische IP notwendig oder kann ich das auch via DYNDNS machen?

    - Beim Kontozugriff stelle ich hier auf Remote NAS Konto oder RTRR-Server Konto ein?


    Generell, ist diese Vorgehensweise empfehlenswert oder gibt es andere Möglichkeiten das Datenbackup durchzuführen auf eine extern NAS? Ich frage deshalb, werden die Daten hier verschlüsselt übertragen? Wie ist eure Einschätzung nach die Sicherheits so einaner Übertragung?


    Danke.


    Grüße,

    vantage

    Site2Site VPN (gab's doch gestern oder vorgestern erst die gleiche Diskussion)


    NIEMALS die NAS direkt dem Internet aussetzen (egal ob DDNS oder nicht)

    Dringend VPN verwenden (oder Rsync mit Keys, ist aber etwas tricky).


    Bei mir verbinden sich Quell NAS und Ziel NAS mit einem eigens dafür vorgesehen VPN, verwendet wird dann die IP aus dem VPN.

    Wenn man keine Hardware hat um das entsprechend zu realisieren kann auch eins der NAS den VPN Server machen.

    QVPN besser meiden (da sind wir wieder bei keinen Teil von QNAP dem WAN aussetzen)


    Ich fahre sehr gut mit Asus Routern mit Merlin Firmware (einfach zu konfigurieren und gute Performance), aber je nach Budget und knowhow geht ne Software Lösung mit z.B. pfsense oder auch günstige Hardware wie Mikrotik auch

    Nein! Keinen QVPN Service!

    Einen richtigen VPN Server auf dem Router oder zur Not eigener Hardware.

    Der QVPN Dienst war in der Vergangenheit auch schon Einfallstor für Hacker!


    Gruss

    Sind da FritzBoxen im Einsatz, kannst du die einfach per VPN verbinden und dann über den Tunnel sichern.


    Der RTRR Server wird nur auf dem Ziel benötigt.

    Mal für mich:

    Was genau ist mit QVPN denn vorgefallen?

    Eigentlich fasst diese App ja nur 3rd party VPN Tools zusammen, Qbelt ausgenommen. Laufen tut unterm Strich aber ein OVPN, WG oder IPsec Service, der angreifbar ist und so sicher, wie die Version des Tools per se...

    Zumindest OVPN habe ich nicht unbedingt als veraltet in Erinnerung...

    Bisher ist da noch nichts bekannt geworden, aber bis es mit den letzten Wellen los ging dachte auch jeder die Apps sind sicher und hat hier Ports weiter geleitet.


    Das macht es für mich riskant das einzusetzen, zudem QNAP nicht immer die neusten Updates integriert hat, siehe Kernel, PHP Version usw.

    Ah ok... Aber da nehme ich an, dass ein Angreifer bereits im Netzwerk sein muss, der öffentlich lauschende Dienst selbst scheint (garantiert) nicht selbst betroffen zu sein, sodass das Sicherheitsrisiko überschaubar ist.

    Das allein würde mich jetzt nicht von der Verwendung von QVPN abhalten (wenn das NAS nur client sein soll bleibt ja auch nicht viel). Mich stört vielmehr, dass man nicht selbst (ohne weiteres) den Überblick hat welche jeweilige Version des VPN überhaupt verwendet wird und dass man etwaige Fixes nicht so schnell bekommt wie ich es zB von OPNsense gewohnt bin.

    Da QNAP ja keine genauen Details der QSV abliefert, kann ich es nicht sagen (gibt es denn einen Dienst den man direkt erreichen kann für QVPN, der dann für interne Angteifer direkt attackierbar war/ist?) Kann ja auch ein QNAP Dienst sein der dem VPN Server vorsteht und den Traffic normlerweise durchlässt/untersucht, der aber irgendeine Lücke hatte.

    Naja wenn der Dienst hier angreifbar ist und du um ihn zu nutzen auf einer Seite exponieren musst, damit sich die andere Seite einwählen kann, dann wird es halt zum Risiko.


    Und verstecken war noch nie ein guter Schutz, bei einer Sense kann ich nachsehen welche Version ist von OpenVPN, IPsec, Wireguard usw. auf welchem Firmwarestand enthalten.

    Dann kann ich den Dienst noch mit pfBlocker, Zenamor usw. absichern, oder gar nur auf den Dyndns des gegenüber berechtigen über eine Alias Regel.


    Alles Dinge die hier fehlen.


    Mir sind meine Daten jedenfalls zu wichtig, um hier ein Risiko einzugehen, wenn ein Fritzbox VPN kann.

    Oder ich für ein paar hunder € eine richtige Appliance kaufen kann, die dann das ganze LAN absichern kann, inkl. VLANs usw.

    Da ist dann auch ein Fail2ban gleich mit drin.


    Kannst ja mal versuchen so ein Teil zu scannen mit Greenbone.


    Aber es kann jeder mit seinen Daten machen was er will, viele haben ja nicht mal ein Backup, von daher no Risko no Fun!

    Zitat von Crazyhorse

    Sind da FritzBoxen im Einsatz, kannst du die einfach per VPN verbinden und dann über den Tunnel sichern.


    Der RTRR Server wird nur auf dem Ziel benötigt.

    Nennt sich LAN2LAN Verbindung und bei AVM gibt es eine verständliche Beschreibung. Das ist bei mir schon einige Monate mit HBS3 im Einsatz ohne Probleme bisher.