ComputerBase Menü
Aktuelles

Immutable Snapshots auf der NAS speichern?

S

Sirzento

Ensign
Registriert
Mai 2015
Beiträge
188
Ich bin ein kompletter NAS Anfänger und habe mich etwas informiert und wollte nochmal genauer Nachfragen ob das alles so möglich ist.

Ich will meine Daten etwas sicherer Abspeichern als nur auf einer HDD die in meinem Computer verbaut ist. Dafür wollte ich mir eine 2 Bay NAS holen und zwei Platten im RAID laufen lassen damit ich schonmal abgesichert bin falls eine kaputt gehen sollte.

Dazu habe ich noch von "immutable snapshots" gehört und das diese einen gegen Ransomware schützen können da man zu einem früheren Speicherstand zurückspringen kann wo z.B. noch keine Daten von der Ransomware verschlüsselt waren falls man betroffen ist (Falls man diesen Snapshot noch hat).

Dazu wäre meine Frage ob man diese Snapshots auch direkt mit auf der NAS speichern könnte? Wäre es möglich z.B. bei 10Tb Speicher im RAID nur 8Tb "öffentlich" zur Verfügung zu stellen und die restlichen 2Tb nur für die Snapshots zur Verfügung zu stellen an die man nicht von außen ran kommt damit Ransomware diese erst gar nicht befallen könnte?


PS: Ich weiß richtige Backups auf einer externen Festplatte wären nochmal um einiges besser aber so wie ich es hier beschrieben habe sehe ich meine Daten schon auf der sicheren Seite. (Ignorieren wir einmal ein Brand, Einbrecher oder ähnliches)
 
Moin ja, die Snapshots werden nur auf dem NAS geischert. QNAP und Synology machen das automatsich, wenn eingerichtet, ob QNAP auch immutable kann, wieß ich gerade nicht. Eine externe Festplatte welche verschlüsselt ist, würde ich auch empfehlen.
 
Kann man durchaus auf dem NAS machen, ABER dein Konzept ist Mist ohne Sicherung auf einen weiteren, externen Datenträger.

Auf der einen Seite die Furcht vor Schadsoftware und dann nur das NAS nutzen. RAID ist nett und eine feine Zusatzabsicherung (für den Fall 1 HDD defekt), aber ohne weitere Kopie alles andere als sicher / durchdacht.
 
Wirklich immutable kann kein Consumer-NAS das mir bekannt ist.

Was du tun kannst ist Snapshots einrichten und dann für die Datenverbindung einen nicht-Admin User anlegen, der nur Zugriff auf das hat, was er wirklich braucht.
Falls dein Client-Gerät dann kompromittiert sein sollte, kann das wenigstens die Snapshots nicht löschen.

Für Snapshots empfehle ich QNAP, das ist da deutlich besser implementiert als der Schwachsinn den Synology treibt.
Snapshots über eine zusätzliche App die nichtmals für alle Modelle verfügbar ist kann doch nicht deren Ernst sein, oder?...


Wirklichen Schutz gegen Ransomware bieten aber nur zusätzlich offline Kopien deiner Daten.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Drahminedum
warum immutable?
Ergänzung ()

HP hat auf SSD basierende Speicher, auf die nur einmal gespeichert werden kann, für diese mail-archivierung. einfach mal danach googlen, wenn so was sein soll. das kann dann nicht gelöscht und nicht verändert werden. man braucht dann halt viele diese speicherkasseten.
 
Zuletzt bearbeitet:
Das "immutable" stand immer dabei bei den Texten die ich gelesen habe. Also wenn normale Snapshots genau das gleiche können dann sollte es mich nicht stören.

Wäre ich denn, so wie ich es beschrieben habe, sicher gegen Ransomware da ich meine Daten mit einem Snapshot wiederherstellen könnte sofern eins vorhanden ist?

Klar, ich könnte noch ein Backup auf einen externen Datenträger machen aber wenn ich jetzt z.B. einmal die Woche ein Snapshot mache und diesen für ein halbes Jahr abspeicher sehe ich da noch kein Grund für außer wenn ich mich absichern will gegen:
  • Brand, Blitzschlag, Flut
  • Falls jemand meine NAS klaut
  • Ein so spezieller Virus kommt der es schafft sich über einen normalen Nutzer in die NAS zu hacken und per Admin meine Snapshots findet und die Löschen/Verändern will
  • Beide Festplatten gleichzeitig kaputt gehen
 
@Rickmer Das es nicht für alle Modelle verfügbar ist, beudetet nicht, dass die Lösung per se schlecht ist. Und wie wir "immutable" definieren ist auch eine Frage. Echtes Immutable ist lediglich WORM Speicher. Darum gehts hier aber nicht, sondern um einen Kompromiss. Und der besagt, dass die Daten eben nicht, nichtmal vom Admin User selber überschrieben werden können. Gibt mir das 100% Sichehreit? Mitnichten, man kann das NAS immer noch zurücksetzen etc. pp. Schützt es mich gegen 80% aller Ransomware die eben eher autoamtisiert unterwegs ist? Wahrscheinilich. Und genau auf diesen Sweetspot komtm es dem TE an. Und das könnte eine Synology durchaus.
 
  • Gefällt mir
Reaktionen: Sirzento
Das NAS darf nirgendwo als Netzlaufwerk eingebunden sein. dann wird es meistens auch nicht gefunden von den Verschlüsselungs Trojanern.
Besser wäre noch, man hat keine Freigabe darauf. und das NAS holt/erstellt sich das Backup selbst.

Siehe Synologyies der Plus modelle wie DS 224+ haben Active-Backup (for Bussiness) QNap wird etwas ähnliches anbieten.
 
DFFVB schrieb:
Das es nicht für alle Modelle verfügbar ist, beudetet nicht, dass die Lösung per se schlecht ist.
Zum Vergrößern anklicken....
Wenn man vor so einem Modell steht und feststellt, dass Snapshots nicht zu aktivieren sind weil Synology zu faul oder zu blöd waren, das ins OS zu integrieren, dann ist das eine schlechte Lösung.

DFFVB schrieb:
Und wie wir "immutable" definieren ist auch eine Frage. Echtes Immutable ist lediglich WORM Speicher. Darum gehts hier aber nicht, sondern um einen Kompromiss. Und der besagt, dass die Daten eben nicht, nichtmal vom Admin User selber überschrieben werden können.
Zum Vergrößern anklicken....
Deshalb schreib ich doch, dass mir kein Consumer-NAS bekannt ist, das immutable kann.

drago1401 schrieb:
Bester wäre noch man hat keine Freigabe darauf. und das NAS holt/erstellt sich das Backup selbst.
Zum Vergrößern anklicken....
Das ist auch hilfreich.

Auch hilfreich ist in Verbindung damit eine Ransomware-Erkennung, z.B. eine heurtistische Erkennung wenn unerwartet viele Dateien plötzlich verschlüsselt sind oder falls eine 'Opfer-Datei' verschlüsselt ist, die jegliche Backup-Jobs von der als kompromittiert erkannten Quelle unterdrückt.


Sirzento schrieb:
Wäre ich denn, so wie ich es beschrieben habe, sicher gegen Ransomware da ich meine Daten mit einem Snapshot wiederherstellen könnte sofern eins vorhanden ist?
Zum Vergrößern anklicken....
Kommt drauf an, wie die Snapshots konfiguriert sind. Falls das NAS den 'guten' Snapshot überschreibt weil für einen neuen automatisierten Snapshot der verschlüsselten Dateien unzureichend Speicherplatz hat, ist das schlecht.
 
drago1401 schrieb:
Das NAS darf nirgendwo als Netzlaufwerk eingebunden sein. dann wird es meistens auch nicht gefunden von den Verschlüsselungs Trojanern.
Besser wäre noch man hat keine Freigabe darauf. und das NAS holt/erstellt sich das Backup selbst.
Zum Vergrößern anklicken....
Ich würde die NAS aber gerne als Netzlaufwerk einbinden um es bequem nutzen zu können. Wäre es vielleicht auch noch möglich das Netzlaufwerk mit einem Password oder ähnlichem zu sichern sodass mein PC nur Zugriff drauf hat wenn ich mich authentifiziert habe? Ist zwar wieder kein 100% Schutz aber wenn ich das Laufwerk nur alle paar Tage nutze und mich wieder abmelden würde nachdem ich meine Daten genutzt habe wäre das ja etwas sicherer als sowas gar nicht zu haben.

DFFVB schrieb:
Schützt es mich gegen 80% aller Ransomware die eben eher autoamtisiert unterwegs ist? Wahrscheinilich. Und genau auf diesen Sweetspot komtm es dem TE an.
Zum Vergrößern anklicken....
Genau. Wenn da jetzt ein hochspezialisierter Virus kommt der sich in sämtliche NAS Systeme Hacken kann um Daten zu verschlüsseln hätte ich in diesem Fall Pech. Aber da ich denke das dieses Setup mir um einiges mehr Sicherheit bietet als eine einfache interne Festplatte würde ich es gerne so aufbauen. Ob ich zusätzlich nochmal ein komplettes Backup auf eine externe Festplatte mache kann ich mir ja immer noch überlegen im nachhinein. Das hätte ja in dem Fall nichts mit dem Setup der NAS zu tun.
Ergänzung ()

Rickmer schrieb:
Das ist auch hilfreich.

Auch hilfreich ist in Verbindung damit eine Ransomware-Erkennung, z.B. eine heurtistische Erkennung wenn unerwartet viele Dateien plötzlich verschlüsselt sind oder falls eine 'Opfer-Datei' verschlüsselt ist, die jegliche Backup-Jobs von der als kompromittiert erkannten Quelle unterdrückt.
Zum Vergrößern anklicken....
Das hört sich gut an, ist mir aber gerade zu hoch wie sowas alles funktioniert. Würde so eine Erkennung direkt mit auf der NAS laufen?
Ergänzung ()

drago1401 schrieb:
Besser wäre noch, man hat keine Freigabe darauf. und das NAS holt/erstellt sich das Backup selbst.
Zum Vergrößern anklicken....
Wie könnte ich dann Daten schreiben/nutzen wenn ich keine Freigabe auf die Daten hätte?
Und klar wäre das cool wen die NAS ein Backup auch komplett selbstständig erstellt aber eine externe Festplatte dauerhaft an der NAS zu haben oder eine zweite Backup only NAS zu haben hört sich nicht so gut an für mich.
 
Zuletzt bearbeitet:
Sirzento schrieb:
Wäre es vielleicht auch noch möglich das Netzlaufwerk mit einem Password oder ähnlichem zu sichern sodass mein PC nur Zugriff drauf hat wenn ich mich authentifiziert habe?
Zum Vergrößern anklicken....
So funktioniert ein NAS immer. Auf dem NAS werden Ordner (sogenannte 'shares') erstellt und da wird festgelegt welcher Benutzer (Name + PW) auf diese Ordner zugreifen kann und was er machen kann (z.B. Daten nur lesen oder Daten lesen + schreiben).
 
  • Gefällt mir
Reaktionen: Sirzento
Dann könnte ich ja ein Nutzer einrichten der nur Lesezugriff hat und mit dem dann ein Netzlaufwerk in Windows einbinden zum Daten ansehen und kopieren um die Lokal zu bearbeiten und wenn ich Daten schreiben will müsste ich mich umloggen. Das hört sich eigentlich ziemlich gut an.
 
bei einer Synology würde ich auf der Synology das Programm "Active Backup (for Bussiness)" einrichten damit erstellt und holt sich das Synology die Backups selbst auf einen gesicherten Teil dem man nur im Synology sieht.
und die anderen Freigaben würde ich nirgendwo ein binden sondern mit "Synology Drive Client" in im 2 Wege System auf von PC<->Synology synchronisieren. Dort kann man eine Tiefe einstellen wie viele überschriebene Versionen das NAS vorhalten soll. die sollte natürlich immer höher sein als die zu synchronisierende Clienten Anzahl. dann wird zwar dein PC verschlüsselt und synchronisierst es auf das NAS. aber du kannst die ja die Version von davor holen. Oder hast noch dein Tägliches offline Backup.
 
drago1401 schrieb:
bei einer Synology würde ich auf der Synology das Programm "Active Backup (for Bussiness)" einrichten damit erstellt und holt sich das Synology die Backups selbst auf einen gesicherten Teil dem man nur im Synology sieht.
Zum Vergrößern anklicken....
Ich hatte das jetzt so verstanden das es schon eine Funktion gibt zur Snapshot Erstellung und wenn ich den Speicherort angebe auf den kein Benutzer Zugriff hat kommt da auch keine Ransomware ran. Oder meinst du mit dem "Backup" die Snapshots? Und kann man den "gesicherten Teil" auf der Platte selbst definieren?

drago1401 schrieb:
und die anderen Freigaben würde ich nirgendwo ein binden
Zum Vergrößern anklicken....
Auch keine read-only Freigabe?

drago1401 schrieb:
sondern mit "Synology Drive Client" in im 2 Wege System auf von PC<->Synology synchronisieren.
Zum Vergrößern anklicken....
Synchronisieren? Heißt das nicht die Daten sind dann zusätzlich auf meinem PC?
drago1401 schrieb:
Dort kann man eine Tiefe einstellen wie viele überschriebene Versionen das NAS vorhalten soll. die sollte natürlich immer höher sein als die zu synchronisierende Clienten Anzahl.
Zum Vergrößern anklicken....
Das verstehe ich jetzt nicht ganz.

Hat das ganze noch was mit den Snapshots zu tun oder ist das jetzt etwas komplett anderes? Ist nicht alles mit Snapshots schon gut abgesichert oder wo wäre der Vorteil hier falls damit jetzt nicht doch die Snapshots gemeint sind?
 
drago1401 schrieb:
Das NAS darf nirgendwo als Netzlaufwerk eingebunden sein. dann wird es meistens auch nicht gefunden von den Verschlüsselungs Trojanern.
Zum Vergrößern anklicken....

Das ist nicht richtig. Ganz generell ich habe zwei Möglichkeiten:

1. Ich erstelle ein Netzlaufwerk, welches Zugriffe (Lesen udn Schreiben) für einen Nutzer hat de rnicht der Admin des NAS ist. Auf diese Freigabe werden Synologys Defintion von Immutable Snapshots angewednet. Der Nutzer ist ziemlich sicher, es sei denn die Ranswomware hackt auch noch gleich das Synology NAS; bekommt Admin Zugang etc. --> Unwahrscheinlich.

2. Ich mache von meinem Windows Rechner eine Freigabe und lasse diese von Active Backup/ HyperBackup wegsichern. Vorteil: Komprimierung, verschlüsselung möglihc, ggf sogar deduplizierung, inkrementell etc.


drago1401 schrieb:
QNap wird etwas ähnliches anbieten.
Zum Vergrößern anklicken....

Nee Active BackUp ist tatsächlich ein USP von Synology. QNAP hatte da nichts vergleichabres zu. Von Synology Drive rat eich ab, hat bei mir zu Datenverlust geführt.

Rickmer schrieb:
Wenn man vor so einem Modell steht und feststellt, dass Snapshots nicht zu aktivieren sind weil Synology zu faul oder zu blöd waren, das ins OS zu integrieren, dann ist das eine schlechte Lösung.
Zum Vergrößern anklicken....

Ja das ist jetzt aber etwa szu einfach gemacht. BEi aller berechtigten Kritik an Synology, dass sie die Software diversifizieren, und ich als Nutzer schauen muss welche Features es hat, ist normal und nachvollziehbar.

Rickmer schrieb:
Deshalb schreib ich doch, dass mir kein Consumer-NAS bekannt ist, das immutable kann.
Zum Vergrößern anklicken....

Immutavle = immutable. Eine ECM Centrra kann ich auch mit physischem Zugriff überschrieben ;-)

Rickmer schrieb:
Kommt drauf an, wie die Snapshots konfiguriert sind. Falls das NAS den 'guten' Snapshot überschreibt weil für einen neuen automatisierten Snapshot der verschlüsselten Dateien unzureichend Speicherplatz hat, ist das schlecht.
Zum Vergrößern anklicken....

Na bei Snyology Immutable wird da nichts überschrieben....

Rickmer schrieb:
Auch hilfreich ist in Verbindung damit eine Ransomware-Erkennung, z.B. eine heurtistische Erkennung wenn unerwartet viele Dateien plötzlich verschlüsselt sind oder falls eine 'Opfer-Datei' verschlüsselt ist, die jegliche Backup-Jobs von der als kompromittiert erkannten Quelle unterdrückt.
Zum Vergrößern anklicken....

Klar ist da shilfreich, aber ist auch hilfreich wenn man einen privaten Admin einstellen kann, kann Synology nicht, und geht am Zweck von TE vorbei.

Sirzento schrieb:
Dann könnte ich ja ein Nutzer einrichten der nur Lesezugriff hat und mit dem dann ein Netzlaufwerk in Windows einbinden zum Daten ansehen und kopieren um die Lokal zu bearbeiten und wenn ich Daten schreiben will müsste ich mich umloggen. Das hört sich eigentlich ziemlich gut an.
Zum Vergrößern anklicken....

Das kling tehe rumständlich ;-)
 
DFFVB schrieb:
Klar ist da shilfreich, aber ist auch hilfreich wenn man einen privaten Admin einstellen kann, kann Synology nicht, und geht am Zweck von TE vorbei.
Zum Vergrößern anklicken....
Also wenn man sowas auf einer Synology laufen lassen kann, nur mit Einrichtung vorher per Docker oder sonstwie, würde ich nicht zurück schrecken das zu machen sofern man das nur einmal machen müsste und nicht aktiv beobachten/konfigurieren.


Ich habe mich mal etwas weiter umgeschaut und verschiedene Lösungen angeguckt und hätte jetzt eine Frage welche wohl besser ist (Soll das in einem neuen Thread weil es eine komplett neue Frage ist?):

Setup 1:
Eine 2-Bay NAS mit RAID 1 die ein Teil des Speichers als Snapshot Speicherort nutzt auf den niemand Zugriff hat.

Setup 2:
Zwei 1-Bay NAS. Eine aktiv in Benutzung mit direkter Einbindung per Netzlaufwerk und die weitere NAS nur als Backup die in einem Zeitinterval von der Haupt-NAS die Daten pullt und ein Backup erstellt.

Setup 3:
Wie Setup 2 nur mit einem zusätzlichen Snapshot Speicher wie im Setup 1


Wäre Setup 2 eine bessere Wahl um z.B. gegen Ransomware vorzugehen oder wäre das schon bei Setup 1 kein Problem? Gegen den Ausfall einer HDD wären beide Lösungen gut. Geht mit in dem Fall nur um den Datenverlust wenn eine den Geist aufgibt. Mir wäre da Setup 1 lieber da ich dann nur ein Gerät hätte aber wenn Setup 2 Vorteile hat würde ich auch damit laufen.
 
Also das kommt ja auf verschieden FAktoren an:

  • Risiko-Exposition / - Risiko Appetit
  • wie bereit bist Du zu lernen, wieivle Administration aufzuwenden
  • Kosten

Setup 3 wäre natürlich die beste Lösung. Das dann einmal die Woche hochfahren lassen, zieht sich die Daten und fährt wieder runter. DDukönntest das aber auch über eine externe Festplatte machen. HyperbAckup kopiert auch auf eine extern eFestplatte und wirft sie danach aus.
 
DFFVB schrieb:
DDukönntest das aber auch über eine externe Festplatte machen. HyperbAckup kopiert auch auf eine extern eFestplatte und wirft sie danach aus.
Zum Vergrößern anklicken....
Das würde aber heißen ich müsste einmal die Woche die externe Festplatte wieder ab- und anstecken wenn das nächste Backup ansteht richtig? Die Lösung mit 2 NAS hätte ich jetzt gemacht da ich in dem Fall nichts selber machen müsste weil ich genau weiß ich würde das nicht regelmäßig machen.

Was die Kosten betrifft sollte beiden ca. gleich ausfallen da ich in jedem Setup 2 Platten holen für und wenn's 2 NAS werden würde ich diese Gebraucht kaufen.

Dann sieht das ja aktuell so aus als ob Setup 3 die beste Lösung wäre und optimalen Schutz liefert. (Abgesehen von Naturkatastrophen und Diebstahl) (Und abgesehen nochmal alles im RAID 1 laufen zu lassen)
 
Übrigens: Es gibt bei Synology neben den Snapshots auch noch die Möglichkeit WORM Ordner anzulegen:

Protect this shared folder with WriteOnce: You can enable WriteOnce to prevent files in this shared folder from being modified, deleted, or renamed for a specified period. The WriteOnce feature is based on the Write Once, Read Many (WORM) technology. This option can only be enabled during the shared folder creation process and cannot be modified once the shared folder has been created. Click Next and modify the following settings.5
  • Mode: Choose between Enterprise mode and Compliance mode according to your needs. Once Compliance mode is applied to a WriteOnce shared folder, the shared folder or the volume/storage pool where it is located cannot be deleted by anyone.
  • Enable Auto Lock: Enable this option to automatically lock a file to a selected state after the Auto Lock Timer runs out. If this option is not enabled, you can manually lock your files by going to File Station, open the WriteOnce shared folder, right-click on the desired file, select WriteOnce > Lock.
    • Auto Lock Timer: Once you add a file to the folder, a timer begins counting down. The file will be locked when the countdown ends. If you modify the file before the countdown ends, the timer is reset.
    • Retention: Select how long the files will be locked.
    • Lock state: Choose between "Immutable" and "Append-only" states. Files in these states cannot be modified or deleted. However, you can continue to add new data to the end of files in the "Append-only" state

https://kb.synology.com/en-me/DSM/help/DSM/AdminCenter/file_share_create?version=7

Kann bspw. für super wichtige Ordner machen
 
Also in dem WORM Ordner am besten die Snapshots ablegen oder? Das sind das ja doch richtige Immutable Snapshots. Ich dachte die gibt es nicht wirklich im Consumer Bereich?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

S
Synology NAS - Btrfs, Drive Versioning und Snapshots
Antworten
2
Aufrufe
1.266
schM0ggi
S
M
NAS synchronisieren / verschiedene Standorte
Antworten
17
Aufrufe
828
max40
M
M
Daten von NAS auf Externe HDD sichern nach Hacker Angriff
2 3 4
Antworten
75
Aufrufe
2.730
nutrix
N
T
Benötige Feedback zu meinem NAS Konzept (Budget 1,5-3k €)
Antworten
7
Aufrufe
1.040
Thakis
T
F
Kompletten Windows PC ohne Kompremierung auf NAS speichern
Antworten
11
Aufrufe
628
redjack1000
R
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz