geschützte Verbindung und Synchronisierung von zwei Synology NAS-Geräten bei potenziellen Hackerangriff

[SimplyMe]

Moin zusammen,

ich möchte gerne folgendes Szenario umsetzen:


NAS1 soll als Hauptbackup fungieren und mit NAS2 verbunden werden, welches als geschztes Backup dient.


Ziel besteht darin, dass NAS1 im Netzwerk erkannt wird und die Hauptdatensicherung übernimmt. Gleichzeitig soll NAS2 nicht im Netzwerk bekannt sein und die Daten von NAS1 synchronisieren, ohne dass NAS1 Netzwerken von NAS2 kennt.


Der Zweck dieses Setups ist es, sicherzustellen, dass bei einem Hackerangriff auf NAS1 die Verbindung zu NAS2 nicht einfach ausgelesen werden kann.

 

[Thonav]

Moin und Willkommen hier!
Mal ganz nüchtern und aus der Distanz betrachtet - wie stellst Du Dir vor, dass ein NAS mit einem NAS Daten synchronisiert, das es gar nicht kennt?

Zudem - wozu eine Ein-Wege-Synchronisation? Wenn Du versehentlich eine Datei oder Ordner löschst, so wäre die auch auf dem Austausch-NAS weg. Daher sind regelmäßige (stündliche, tägliche) Backups empfehlenswerter.

Der Übeltäter für externe Angriffe ist in der Regel der PC, da muss man natürlich darauf achten, dass dieser keine Admin-Rechte zu Deinem NAS1 erhält. Des Weiteren müssen die Daten auf den NAS vor Ablage vom PC auf Virenfreiheit und Schädlinge geprüft worden sein.

Und? Was verstehst Du als Netzwerk? Das Heimnetz oder eine Verbindung ins Internet? NAS2 muss ja irgendwie eine Verbindung zum NAS1 haben, sonst wäre es ja nicht erreichbar.

Eine Frage noch - was macht Deine Daten so wertvoll, dass Du davon ausgehst, dass eine mit sicheren Zugangsdaten, 2FA Zugang und nach 2-3 Versuche sperrende, also gut abgesicherte NAS von irgendjemandem auf der Welt gehackt werden kann?

Zu allen Deiner Fragen findest Du über die Suchfunktion vielerlei Informationen. Im Allgemeinen ist es sehr Sinnvoll, dass Du mehr Infos zu Deinen NAS, Deinem internen Netzwerk und Deinen Wünschen verteilst. Deine NAS kannst Du auch wunderbar in einer Signatur aufzählen, so ergibt sich bei den Usern hier schneller ein umfassendes Bild.

 

[Synchrotron]

Als erste Idee: NAS2 und NAS1 (mit einem sonst nicht benutzten LAN-Port) in einem eigenen VLAN. Gesichert wird mit ActiveBackupForBusiness.

Damit liegen nur auf NAS2 die Zugangsdaten für NAS1. Auf NAS1 gibt es keine Zugangsdaten für NAS2. NAS2 ist in seinem VLAN isoliert, und für andere Netzwerkgeräte nicht sichtbar.

Muss ich an NAS2, stecke ich einen Laptop dort direkt ein.

Was fehlt: Keine räumliche Trennung. Daher ist ein weiteres Backup ausgelagert notwendig, um das 3-2-1 Konzept zu erfüllen.

 

[Thonav]

Es sollte aber dabei berücksichtigt werden, dass Active Backup for Business nicht für jeden NAS verfügbar ist.

 

[Synchrotron]

Das ist eine Einschränkung (Plus oder einige ältere Play) - ABfB ist allerdings Voraussetzung, mit HyperBackup ist ein Pull-Backup nicht möglich.

Außerdem erzwingt dieses Setup, dass alle Updates für DSM und Pakete über den temporär angeschlossenen Laptop gemacht werden. Damit ist das isolierte NAS potenziell immer wieder nicht auf dem aktuellen Stand. Man könnte einen sehr begrenzten Internetzugriff einrichten, der nur bestimmte, als sicher definierte Webseiten zulässt, von denen dann die Updates gezogen werden können. Heißt aber ein kleines Loch in der dicken Wand zulassen, ggf. nur bei Bedarf.