Ran an 3-2-1 - nur wie?

[sedi]

Hallo zusammen,

ich stehe vor der Aufgabe mein Heimnetzwerk so gut es eben geht abzusichern. Selbstverständlich habe ich dazu schon einiges gelesen, natürlich auch hier im Forum, muss aber gestehen, dass mir die Flut an Informationen ein sehr unangenehmes Gefühl der Unwissenheit beschert hat
Aus diesem Grunde wende ich mich nun an Euch und hoffe, dass ihr mir da wertvolle Tipps zukommen lassen könnt und ich so idealerweise Schritt für Schritt zu einer befriedigenden Lösung gelange.

Unsere aktuelle Situation:

• Unser Heimnetz umfasst einige PCs, bestückt mit allem was es so gibt (MacOS, Windows, Linux).
• Unsere 916+ (effektiver Speicherplatz 5 TB, im folgenden NAS1 genannt) ist das Datengrab.
• Jede Datensicherung läuft über ein Backupscript, das beim Herunterfahren eines Rechners gestartet wird (auf rsync-Basis)
• Für den Datenaustausch wurden am NAS1 Freigaben eingerichtet.
• Von den Synology-Apps wird nur Synology Photos genutzt.
• Verschlüsselung - äh nö - leider noch nicht
• Ich habe mir vor kurzem eine 723+ zugelegt (4TB effektiv) - NAS2.

Was soll es werden:

• Alles sollte verschlüsselt werden.
• Wir sollten so gut es eben geht gegen Ransomware gewappnet sein.
• Das Widerherstellen der Daten ist zeitunkritisch, wenn es einen Tag dauert dann ist das eben so.
• Offsite Backup light auf NAS2 (oder vielleicht NAS1?), welches am anderen Ende des Hauses platziert wird (mehr 3-2-1 geht leider nicht!)
• Wir wollen die Möglichkeit mit Containern/VMs herumzuspielen

Nun meine Fragen:

• Wie gehe ich am besten vor, damit ich die bestehenden Daten auf NAS1 nachträglich verschlüsselt bekomme?
• Welches NAS soll in Zukunft Master, welches Slave sein?
• Ist eine Master-Slave-Einteilung überhaupt sinnvoll oder ist Lastverteilung besser?
• Wie oft soll auf Slave gesichert werden? Was ist hier sinnvoll?
• HyperBackup (+ HyperBAckup Vault) oder/und Snapshot Replication?
• Sind weitere Tools sinnvoll?

Ich weiß, das sind eine Menge Fragen, wird wahrscheinlich für Stirnrunzeln sorgen, aber ich weiß momentan nicht womit ich am besten anfangen soll. Daher schon mal ein großes Danke schön für eure Hilfe und Geduld.

 

[Ronny1978]

Alles sollte verschlüsselt werden

Warum? Bitte mal kurz deine Gründe nennen.

Wie gehe ich am besten vor, damit ich die bestehenden Daten auf NAS1 nachträglich verschlüsselt bekomme?

Entweder Backup und dann einen neuen Speicherpool erstellen, btrfs und Verschlüsselung, wenn das DSM das zulässt. Ich würde aber eher große Platten holen, das DSM auf der DS723+ neu einrichten und das Einstellungen und Daten zurückspielen, wenn das geht. Die DS723+ ist schneller, wie die 916+.

Offsite Backup light auf NAS2 (oder vielleicht NAS1

Wenn die im gleichen Raum sind, hat das nix mit Offsite zu tun.

Welches NAS soll in Zukunft Master, welches Slave sein?

Das verstehe ich nicht. Wie bzw. was willst du damit machen? Meist nimmt man ein produktives NAS und eines für die Backups.

Wie oft soll auf Slave gesichert werden? Was ist hier sinnvoll?

Das kommt ja auf die Art der Daten und die Häufigkeit der Änderung an und wie wichtig die Daten sind. Viele hier im Forum sichern 1x täglich auf das Backup NAS.

Wir wollen die Möglichkeit mit Containern/VMs herumzuspielen

Sind weitere Tools sinnvoll?

Naja, logischer Weise dann Container Manager und VMM. Dann aber bitte an RAM und ggf. NVMEs als 2. Pool für die Docker und VMs denken.

 

[sedi]

Warum? Bitte mal kurz deine Gründe nennen.

Naja, wir hatten in letzter Zeit schon mehrere Einbrüche in der Gegend. Wenn die werten Herren Einbrecher meine Synologys schon einpacken, sollte man es ihnen so schwer wie möglich machen die Daten einzusehen.

Entweder Backup und dann einen neuen Speicherpool erstellen, btrfs und Verschlüsselung, wenn das DSM das zulässt. Ich würde aber eher große Platten holen, das DSM auf der DS723+ neu einrichten und das Einstellungen und Daten zurückspielen, wenn das geht. Die DS723+ ist schneller, wie die 916+.

Ok, nur das ich das richtig verstehe:
- Das DSM der NAS2 (723+) mit Btrfs und Verschlüsselung neu einrichten
- dann die Daten von der alten NAS1 (916+) dorthin kopieren
- die alte NAS1 (916+) dann ebenfalls mit Btrfs/Verschlüsselung neu aufsetzen
- die alte NAS1 (916+) als Sicherung für die neue NAS2 verwenden.

Wenn die im gleichen Raum sind, hat das nix mit Offsite zu tun.

Klar, deswegen habe ich ja angedeutet, dass die NAS2 (723+) in die andere Ecke des Hauses verlegt wird. Mehr 3-2-1 geht dann für uns nicht.

Das verstehe ich nicht. Wie bzw. was willst du damit machen? Meist nimmt man ein produktives NAS und eines für die Backups.

Das kommt ja auf die Art der Daten und die Häufigkeit der Änderung an und wie wichtig die Daten sind. Viele hier im Forum sichern 1x täglich auf das Backup NAS.

Damit hast du mir die Frage ja eigentlich schon beantwortet. Der Slave oder zweites NAS (wahrscheinlich die 916+) oder wie auch immer man das nennen will, wird nur für das Einspielen der Sicherung des ersten NAS (723+) eingeschaltet. Denkbar wäre ja auch, dass man beide 24/7 betreibt, um verschiedene Tools/Programme auf beide aufzuteilen. Ich dachte für mich aber auch, dass die alte Syno (916+) lediglich für die Sicherung der neuen (723+) verwendet werden sollte.

Naja, logischer Weise dann Container Manager und VMM. Dann aber bitte an RAM und ggf. NVMEs als 2. Pool für die Docker und VMs denken

Aufgrund eures Ratschlages habe ich das schon in die Wege geleitet - die NAS2 (723+) wird mit 32 GB RAM und einer 1TB NVME bestückt (die habe ich nämlich noch rumliegen).

 

[*kw*]

mehrere Einbrüche in der Gegend

Beziehe mal bspw. Hetzner in deine Überlegungen ein.

Offsite Backup

Egal, wo es steht, es sollte stromlos und ohne Zugriff über PC/Netzwerk sein.

Zum Rest hat @Ronny1978 was gesagt.

 

[Ronny1978]

Naja, wir hatten in letzter Zeit schon mehrere Einbrüche in der Gegend. Wenn die werten Herren Einbrecher meine Synologys schon einpacken, sollte man es ihnen so schwer wie möglich machen die Daten einzusehen.

Dann ist es okay und verständlich.

Ok, nur das ich das richtig verstehe:

So würde ich es tun.

um verschiedene Tools/Programme auf beide aufzuteilen

Würde ICH nicht so machen. Belasse alles auf dem Haupt-NAS, welches schneller ist, also DS723+.

Denkbar wäre ja auch, dass man beide 24/7 betreibt

Muss nicht sein. Viele hier fahren das Backup NAS zeitgesteuert hoch und nach dem Backup wieder runter. Der zusätzliche Stromverbrauch muss eigentlich nicht sein. Wichtig ist: Beide NAS AUSREICHEND absichern!!!

 

[Synchrotron]

Zuerst einmal sehe ich deine Überlegungen positiv, dich mit der Risikominimierung zu befassen. 3-2-1 ist ein Schlagwort, ganz gut, um erste Überlegungen zu strukturieren. 3 Datensätze, 2 auf anderen Datenträgern, 1 Remote.

Fangen wir mal Remote an: Hier eignet sich entweder eine ausgelagerte DS (Friends & Family), oder bei 5TB tatsächlich ein Cloudspeicher. Bei F&F wird ganz gerne auf Gegenseitigkeit gesichert: Jede stellt dem anderen auf seiner DS Speicherplatz und die Internetverbindung zur Verfügung. Oder man stellt eine eigene DS bei jemandem unter.

Remote ist oft schwierig, wenn man größere Datenmengen zurück bewegen will. Daher ein Backup vor Ort. Liegen die Daten auf den Clients, ist schon die DS zu Hause ein erstes Backup. Liegen Daten originär auf der DS (und werden von den Clients abgerufen), dann ist die erste DS kein Backup, sondern muss nach 3-2-1 selbst gesichert werden.

Was sind Bedrohungen ? Deine Einbrecher in Ehren, aber dagegen hilft vermutlich eher klassische Sicherheitstechnik. Für die DS erst mal relevanter sind Datenlöschung, elektrische Einwirkungen (Blitzschlag, Stromausfall), Feuer, je nach Lage Wasser und ein IT-Vorfall (Ransomware).

Gegen Löschungen hilft ein versioniertes Backup. Heißt das Backup wird deutlich größer als die Quelldaten (1,5 - 2- fach). Gegen Elektrik hilft eine USV und Filtersteckdosen, sowie eine Remote-Backup. Gegen Feuer und Wasser gibt es das Remote-Backup.

Gegen Ransomware sollte zuerst ein entsprechendes Sicherheitskonzept umgesetzt werden: Alle User haben nur Userrechte, der Admin wird nur zum Administrieren verwendet, 2FA ist auch im Heimnetzwerk aktiv etc. Infektionen gehen meist von Windows-Rechnern aus, die würde ich daher besonders restriktiv behandeln.

Die DS bietet dann Schutzmechanismen. Einmal „unveränderliche“ Snapshots (die sind für eine gewisse Zeit unveränderlich), und die beiden Backupverfahren HyperBackup und Active Backup for Business. HBU ist Push, das heißt die zu sichernde DS hat die Zugangsdaten zum Sicherungsziel, und sichert dorthin. ABfB ist Pull, die Zugangsdaten für das zu sichernde System liegen auf der SicherungsDS. Das ist die bessere Variante, weil damit von der Arbeits-DS kein Weg zur Backup-DS führt. RSync kann man auch so anlegen.

Was rate ich dir ? Ich würde die 723+ (besser wäre eine 923+, aber egal bei der Datenmenge) mit einem SSD-Volume für aktive Daten und einem HDD-Volume als Datengrab aufsetzen, und als aktive DS nutzen. Alle Volumes sollten beim Aufsetzen verschlüsselt werden. Auf ihr werden Snapshots gefahren.

Je nach Situation wird die bestehende 916+ vor Ort oder Remote als Backupziel aufgesetzt. Das neue Volume gleich verschlüsseln. Als Sicherungsmethode die aussuchen, die dir am besten zusagt. ABfB könnte irgendwann schwierig werden, weil die 916+ aus den Updates rausfällt.

Wenn dann noch ein Remotebackup benötigt wird, würde ich angesichts der überschaubaren Datenmenge auf einen Cloudlösung gehen, oder wie oben empfohlen einen Server mieten.

 

[sedi]

Vielen Dank für eure Ratschläge. Also ich mach das jetzt genau so, wie von euch vorgeschlagen. Die neue 723+ mit NVME als SSD-Volume für das Containergedöns und einem HDD Volume als Datengrab, alles verschlüsselt versteht sich.

Die alte 916+ wird Backup, natürlich auch verschlüsselt. Mal sehen, ob das irgendwo remote geht, ansonsten wie angedacht am anderen Ende des Hauses.

So bald der 32 GB - Riegel hier aufschlägt, geht es los.

Da ich wirklich nicht viele Daten habe (weniger als 1TB effektiv), und diese auch nicht radikal wachsen, ist eine Cloud-Lösung natürlich denk- und bezahlbar. Hetzner kenne ich von der Arbeit, kann ich nur gutes von erzählen.

Ach ja @Synchrotron , eine USV und einen Überspannungsschutz nutze ich schon ewig.

 

[sedi]

Die Sachen sind nun angekommen! 32 GB RAM und 2 TB NVME eingebaut! check

Mir ist aufgefallen, dass die 723+ zwei NVME-Slots hat, ich hätte auch noch eine NVME (1 TB) zur Hand, bringt das was?

 

[*kw*]

Wo willst du die hinstecken?

 

[sedi]

Da sind doch am Boden zwei Öffnungen für Einsteckplätze für NVMEs, wo sollte ich sie denn sonst hinstecken? Steh ich jetzt am Schlauch?

 

[*kw*]

und 2 TB NVME eingebaut

Ich dachte, die kommen in die 723+?

 

[Benie]

Mir ist aufgefallen, dass die 723+ zwei NVME-Slots hat, ich hätte auch noch eine NVME (1 TB) zur Hand, bringt das was?

Kommt darauf an was Du da auf den NVMEs vorhast.
Wenn Dir 2 1TB zur Verfügung stehen, würde ich beide einbauen und als Raid 1 einrichten, falls mal eine der beiden kaputt geht hast Du weniger Arbeit. Da dann alle Apps drauf und Docker, oder VMM instalieren
Das bringt Durveiniges an Performance.

 

[dil88]

Wenn ich den TO richtig verstehe, hat er eine 2TB NVMe-SSD bereits verbaut und möchte nun in den zweiten NVMe-Slot eine 1TB NVMe-SSD einbauen. Das geht durchaus, nur kannst Du die 1TB SSD nicht zur Spiegelung verwenden, sondern müsstest darauf einen neuen Speicherpool und ein neues Volume erstellen.

 

[*kw*]

Ich hab‘s falsch gelesen.

 

[Synchrotron]

Alles schön und gut - dann hat man 2 nicht gespiegelte, per "illegalem" Skript als Volume eingerichtete einzelne SSDs.

Sowas zu lesen lässt mich immer etwas nervös auf dem Stühlchen herumrutschen. Klingt nicht so gut, außer es ist eh nur Datenmüll, was da herumliegt. Also entweder hau ich so 70-80 Öcken raus für noch eine 1TB, oder so 130 für noch eine 2TB. Oder ich nehme die 1 TB, richte ein, und packe die 2TB als 1TB dazu, und mache ein RAID 1 daraus.

 

[Ronny1978]

mache ein RAID 1 daraus

Kann ich auch nur empfehlen. Sobald Apps, VMs und Docker laufen, würde ich auch immer auf Sicherheit setzen. Kauf die eine 2. 2TB NVME. Da bist du auf Nummer sicher.

 

[sedi]

Wenn ich den TO richtig verstehe, hat er eine 2TB NVMe-SSD bereits verbaut und möchte nun in den zweiten NVMe-Slot eine 1TB NVMe-SSD einbauen. Das geht durchaus, nur kannst Du die 1TB SSD nicht zur Spiegelung verwenden, sondern müsstest darauf einen neuen Speicherpool und ein neues Volume erstellen.

Genau so ist es, aber genau genommen habe ich zwei 1TB SSDs. Wenn ich euch also richtig verstehe würden diese sich wunderbar im RAID1 machen. Noch mal ne 2TB zu kaufen will ich eigentlich nicht, hab mein diesjähriges Budget bereits überreizt.

Außer ihr sagt, dass das mit nur 1 TB im Spiegelmodus speichertechnisch zu knapp werden würde, dann müsste ich noch mal den Familienrat einberufen...

Ich will auf jeden Fall mal den HomeAssistant drauf laufen lassen und PiHole/AdGuard ä. wäre auch nett, aber wie bereits angedeutet, bin ich da absoluter Neuling.

 

[Benie]

I'm Normalfall reicht wenn man 2x 1TB im Raid1 installiert.
Da kannst Du schon 2-3 VMs und alle Pakete, die nicht zum DSM gehören, auf die NVMEs installieren. Und einiges an Docker Container passt dann auch noch mit drauf.

 

[Ronny1978]

dann müsste ich noch mal den Familienrat einberufen

Nein musst du nicht. @Benie hat da schon recht. 1TB reichen für den Anfang. Ich war dann eher dort, evtl. noch andere Daten (Freigegebene Ordner auszulagern) -> jedoch auch mit externer Sicherung. Bitte sei dir aber bewusst, dass bei einem RAID 1 dann 1TB (von deiner 2TB NVME) "verloren" gehen.

PiHole/AdGuard ä. wäre auch nett

Fang bitte erst mal mit Home Assistant an. Bei PiHole oder AdGuard kann man sich bei Falschkonfiguration auch kleinere Probleme "reinholen", wo man schnell am verzweifeln ist und dann auch ganz schnell der Haussegen "schief hängen" kann. . Und noch ein Tipp von meiner Seite: Lesen, Videos schauen, Lesen, Lesen und versuchen zu verstehen. Ggf. dann in den entsprechenden Foren VORHER Fragen stellen, die sich beim Lesen/Anschauen ergeben. Und erst dann anfangen.

Das hat bei mir immer ganz gut funktioniert. Einige fangen erst Mal, haben dann gleich Probleme und können ggf. nicht einmal erklären, was sie eigentlich gemacht haben. Dann fällt auch die Hilfe im Forum unheimlich schwer.

Viel Erfolg.

 

[sedi]

Ich verbaue nun doch 2 x 1TB, reicht ja nach eurer Meinung.

Deinen Rat

Lesen, Videos schauen, Lesen, Lesen

versuche ich grundsätzlich zu befolgen. Aber trotzdem danke, dass du mir das noch mal in Erinnerung gerufen hast.
Ich wollte sowieso mit HomeAssistant beginnen - passt also

Alles schön und gut - dann hat man 2 nicht gespiegelte, per "illegalem" Skript als Volume eingerichtete einzelne SSDs.

...

:‑o Was bedeutet hier "illegales" Skript?