netbackup verschlüsseln - hardwarebasiert

[audiostar]

Hallo Forum,

da der Syno Support leider keine positive Antwort gemailt hat, würde ich mir vom Forum Feedback und eventuell alternative Lösungsansätze wünschen. Allgemein bekannte, folgende Problematik:
- Ein Syno Server wird über netbackup gesichert (via VPN)
- der remote Syno Server steht nicht sicher
- der systemfolder netbackup kann nicht encryptiert werden - und der Syno Support gibt keinen Hinweis auf Besserung
- Es werden in absehbarer Zeit wohl auch keine TPM chips oder support für FED/SED auf den Mainboards landen

Folgende Lösung, leider viel zu teuer, funktioniert:
- Ruby Cipher on-the-fly AES 256bit Modul vor HDD installieren (Versand aus U.S. rund 75,- EUR)
- der USB dongle wird über einen TCP/IP USB extender und VPN zum host Standort verlegt (480,- EUR)

Alternativ käme mir noch in den Sinn:
- Digitrade oder hiddn.no USB device (via SATA-USB Adapter) direkt ans Mainboard. Wurde im Forum ja schon mehrfach diskutiert, dass Installation von DSM auf USB nicht funktioniert - damit sind aber die externen Syno USB Ports gemeint, korrekt? Wird die Lösung funktionieren?

Um vorweg Luft aus den Segeln zu nehmen: Container sind auf der NAS keine Option, da hauptsächlich PDF Dokumente von einer Kodak Network Scan Station via FTP hochgeladen werden. Die Scan Station läuft auf WinCE - und keine Modifikation erwünscht

Ich suche nach einer Hardware Lösung - keine Zeit fürs Programmieren

Bin gespannt auf Eure Antworten!

 

[itari]

- Ein Syno Server wird über netbackup gesichert (via VPN)
- der remote Syno Server steht nicht sicher
- der systemfolder netbackup kann nicht encryptiert werden - und der Syno Support gibt keinen Hinweis auf Besserung

Verstehe ich nicht ... warum sollte man einen Netzwerkbackup über VPN laufen lassen; der rsync verschlüsselt doch bereits. Und wenn man per VPN arbeitet, dann braucht einen doch das Netzwerk nicht mehr interessieren, weil man sich die Shares doch so mounten kann als wären sie lokal.

Was sind 'Systemfolder'??? Meinst jetzt nicht '/etc' oder so??? Falls du sowas wie 'photo' oder ähnliches meinst ... klar kann man die verschlüsseln, nur nutzen kann man sie mit den Mediaanwendungen danach nicht mehr *gg* Aber wenn du sie eigentlich nur sichern willst, dann leg dir doch für den Zweck verschlüsselte 'gemeinsame Ordner' an und gut ist es

Itari

 

[Merthos]

Daten lokal in einen verschlüsselten Ordner sichern und diesen dann nach Remote duplizieren. Somit ist es ziemlich egal, wie sicher der ist.

 

[audiostar]

@ Itari: Server A liegt aus Sicherheitsgründen nicht in der DMZ, auch der Server B Router kann nicht übner port forwarding angesprochen werden. Nehmen wir das Setup mal als gegeben an Der Server B dient nur zur Datensicherung, keine shares gemountet. Ich bezeichne "netbackup" als Systemfolder, in den der gesamte content aus Server A gesichert wird.
Es geht mir nicht um verschlüsselte Übermittlung (habe ich bereits per VPN), sondern um Diebstahl des Gerätes in Location B. Und dort kann "netbackup" schlichtweg nicht encryptiert werden... Hoffe, es ist so verständlicher?

@Merthos: Wie oben erwähnt wird der Server nur vor einer ScanStation per SFTP mit Daten versorgt, WinCE based. Also kein TrueCrypt installierbar, da embedded

Kann man denn den INTERNEN SATA port der NAS mit einem SATA-USB Adapter zum Laufen bringen? Wenn ja, finden sich ja reichlich externe FDE Lösungen, die einen Diebstahl zwecklos machen...

 

[jahlives]

Hast du am Zielort des Backups openssl?

 

[Merthos]

???? Also ScanStation -> Syno (remote) -> Backup oder wie? Beschreib mal den Datenfluss, der ist mir zumindest momentan nicht klar.

 

[audiostar]

Das ging ja schnell

Location A:
ScanStation (via FTP) ---> Server A (push data).
Ein paar mal in der Woche: Server A (via netbackup, VPN) auf remote Server B

Location B:
Die backup Daten liegen im Syno eigenen folder "netbackup" und können nicht verschlüsselt werden

 

[Merthos]

Und A ist sicher? Dann einfach dort ein lokales Backup mit Verschlüsselung machen und dann erst diese Daten nach B schieben.

 

[audiostar]

Wie meinen? VPN über 2 USG Router, via IPSEC. Die USG Serie hat integriertes SSL VPN mit Token Reg., wird aber nicht fürs Backup genutzt....

 

[Merthos]

Brauchst Du doch keinen Router zu. Einfach die Daten an sich verschlüsseln, verschlüsselter Ordern von der DS, Openssl, Zip mit Passwort oder was auch immer für Dich passend ist...

 

[audiostar]

Seit wann gibt es denn Auto ZIP mit Passwort beim internen backup in DSM? Soll ja automatisch laufen...

Habe zwei Probleme: Durch lokales Backup müsste ich wegen rund doppelter Datenmenge eine neue NAS kaufen (4-bay statt 2-bay). Würde die Taiwanesen freuen, mich aber nicht.
Zweitens habe ich extrem schlechte Erfahrungen mit den encrypted shares auf der Syno NAS - bei Restore gab es haufenweise Probleme (von ASCII bis hin zu Datenverlust). Frag´ mich nicht warum...

Noch eine Sache: Wenn man auf A eine interne Datensicherung macht (in einen encrypted folder) - und diesen encrypted folder über netbackup sichert, werden nicht einzelne Dateien versendet, sondern eine 2TB grosse Datenmenge - das wird meine VPN Verbindung nicht schaffen, denke ich

 

[jahlives]

Location B:
Die backup Daten liegen im Syno eigenen folder "netbackup" und können nicht verschlüsselt werden

du weisst dass du auf der Syno openssl hast? openssl kann auch Files verschlüsseln. Ich würde den Inhalt von netbackup in ein tar packen und dann mit openssl verschlüsseln. Allerdings wäre die lösung mit der verschlüsselten Share praktikabler. Weil wenn du das netbackup bzw dessen Inhalt nur noch verschlüsselt hast, dann würde das nächste Backup wieder ein Vollbackup machen

 

[Merthos]

Dass das vielleicht nicht mit der existierenden GUI geht, sollte eigentlich klar sein.

Ich sichere alles auf externe Platten in verschlüsselte Ordner (eCryptfs), die dann an einem unsicheren Ort lagern. Also wie bei Dir, nur dass ich halt die Platten transportiere und Du nur die Daten.

eCryptfs (die verschlüsselten Ordner) ist kein Container. Es wird nicht immer wieder alles übertragen sondern nur die geänderten Daten.

 

[audiostar]

eCryptfs - bin ggf mit der aktuellen DSM nicht gut genug bekannt - wäre ggf eine Lösung. Plattentransport mache ich auch, aber nur einmal im Quartal - die Bequemlichkeit siegt....

Was openSSL betrifft: Kann ich auf einer NAS die Daten aus netbackup einzeln verschlüsseln? Habe diese Funktion in DSM3,2 1955 nicht gefunden. Hast Du ggf. einen Link zum Weiterlesen?

 

[jahlives]

Wie merthos schon sagen wohl kaum im DSM ;-)
openssl ist ein Kommando auf der Shell. Ich würde das bei mir so machen

cd /pfad/backup
tar cvzf /pfad/zum/archiv.tar.gz .
openssl enc -in /pfad/zum/archiv.tar.gz -out /pfad/zum/archiv.tar.gz.enc -e -md sha1 -aes256

teste das aber unbedingt erstmal mit unwichtigen Testdaten!

 

[audiostar]

Hmmm, wie ich anfangs schrieb: Keine Zeit und Lust auf Programmieren. Trotzdem Danke für den Code!

Vielleicht weiß einer von Euch wie es mit der SATA-USB gebridgten Systemplatte (siehe Frage weiter oben) aussieht? Funktioniert eine Installation von DSM? Dann hätte ich eine einfache Hardware-Lösung, ohne viel Arbeit

 

[Merthos]

Ich glaube, da wirst Du der erste sein, der sowas probiert...

 

[audiostar]

Dann werde ich da mal ran.... Du solltest die Lösung mit dem Ruby Cipher mal checken. Wenn man irgendwie einen GÜNSTIGEN TCP/IP USB extender, oder dLAN / Wireless Extender bekäme, eine perfekte Lösung um die ganze Platte sauber zu verschlüsseln...