Hoe veilige backup op Synology NAS realiseren?

donderdag 2 april 2020 13:56

Acties:

Poes!

Topicstarter

Er zijn allerlei tutorials. Maar mij wordt daaruit niet duidelijk hoe ik automatisch mijn data op een NAS kan backuppen zonder dat malware op Windows die backup kan wissen. Mijn Windows-schijven via bestandsdeling met de NAS delen doe ik ook liever niet.

Zelf denk ik aan een programma dat op Windows draait en zelf – zonder de NAS als netwerkschijf te mappen – verbinding maakt met de NAS en daar backups op wegschrijft met versie-geschiedenis. Bestaat zo’n programma? Of zie ik een eenvoudige optie over het hoofd?

Een eigen idee: op Windows Duplicati draaien die een backup zet op een sFTP-server op de NAS (niet via internet, maar lokaal).

Mijn NAS: Synology DS116.

[ Voor 9% gewijzigd door pmeter op 02-04-2020 14:22 ]

donderdag 2 april 2020 19:05

Wim-Bart

Zie signature voor een baan.

Ik heb het heel anders opgelost. Ik share niks op mjn Synology behalve wat read-only shares voor Iso's en dergelijke.

Ik gebruik Backup for Business op de Synology welke mijn ESX Server backup maakt (Syno haalt de data op) en ik heb op mijn PCs (2*), Surface en laptop de Agent draaien. En dat maakt een Backup iedere dag.

Ik heb 3 Jobs per device.
Job 1: Zondag
Job 2: Maandag, woensdag, vrijdag
Job 3: Dinsdag, Donderdag, Zaterdag

De Zondag data gaat met Cloudsync naar mijn Onedrive (waar ik 2 laatste backups heb staan)..

En reeds al een keer mijn Exchange Server terug gezet vanaf Onedrive door terug te synchroniseren.

[ Voor 9% gewijzigd door Wim-Bart op 02-04-2020 19:07 ]

Beheerders, Consultants, Servicedesk medewerkers. We zoeken het allemaal. Stuur mij een PM voor meer info of kijk hier De mooiste ICT'er van Nederland.

donderdag 2 april 2020 14:03

Acties:

superduper

Z3_3.0 Woeiiii

er worden altijd credentials ergens opgeslagen zodra je je backup automatiseerd, dus helemaal veilig kan je nooit zijn.

Ik heb het als volgt opgezet:
- acronis maakt backup met apart account naar de NAs
- backup files worden naar cloud(onedrive) gesynct met versioning. Dan kan ik indien ineens een versleutelde 'backup' verschijnt, nog een versie terug.
- map staan in de actieve watchlist van bitdefender zodat bij een infectie niet alles encrypten kan worden (blocked acces bij 'verdachte' activiteit).

Heb dit alleen nog nooit geprobeerd ook zo te recoveren... moet ik eens doen.

donderdag 2 april 2020 14:43

Acties:

Q

Au Contraire Mon Capitan!

pmeter schreef op donderdag 2 april 2020 @ 13:56:
Er zijn allerlei tutorials. Maar mij wordt daaruit niet duidelijk hoe ik automatisch mijn data op een NAS kan backuppen zonder dat malware op Windows die backup kan wissen. Mijn Windows-schijven via bestandsdeling met de NAS delen doe ik ook liever niet.

Zelf denk ik aan een programma dat op Windows draait en zelf – zonder de NAS als netwerkschijf te mappen – verbinding maakt met de NAS en daar backups op wegschrijft met versie-geschiedenis. Bestaat zo’n programma? Of zie ik een eenvoudige optie over het hoofd?

Een eigen idee: op Windows Duplicati draaien die een backup zet op een sFTP-server op de NAS (niet via internet, maar lokaal).

Mijn NAS: Synology DS116.

Het advies van superduper is prima.

Als je écht goed beschermd wilt zijn tegen cryptolocker-achtige virussen dan moet je helaas een oplossing inrichten waarbij je computer op geen enkele manier kan inloggen op de NAS.

Je zou het proces moeten omkeren: je NAS logt in op je computer via een account met wachtwoord. Dat zou een cryptolocker altijd tegenhouden.

Deze setup heeft misschien zo zijn eigen security risico's. Je moet je NAS en bijbehorende credentials goed beveiligen. Je moet 100% zeker zijn dat je netwerk share op je computer goed is afgeschermd voor mensen zonder geldig account.

Via MacOS of Linux kun je ook makkelijk backups maken via SSH, volgens mij kan dat tegenwoordig ook wel op Windows, maar dat zal ff een uitzoek puntje zijn.

Deze setup is in iets andere vorm heel gebruikelijk in de enterprise wereld, waarbij je een centrale backup server hebt die via client software op de computer de data naar binnen slurpt.

Ik weet niet hoe ver cryptolockers en andere virussen gaan tegenwoordig. Maar ik zou er alles aan doen om besmetting te voorkomen want ze kunnen alles wat je typt afvangen en ook al je on-line accounts komen daarmee ingevaar. Of je braaf een wachtwoord manager gebruikt maakt niet uit.

Ik ben benieuwd hoe anderen hier over denken.

[ Voor 8% gewijzigd door Q op 02-04-2020 14:45 ]

donderdag 2 april 2020 15:17

Acties:

pmeter

Poes!

Topicstarter

superduper schreef op donderdag 2 april 2020 @ 14:03:
[...]
Ik heb het als volgt opgezet:
- acronis maakt backup met apart account naar de NAs
[...]

Hoe maakt Acronis contact met de NAS? Ik heb Acronis 2014 en zie alleen een optie voor een netwerkdrive. En Acronis 2020 gebruik ik liever niet omdat die alle incremental backups in hetzelfde tibx bestand opslaat. Ik heb liever losse bestanden voor incremental backups.

[ Voor 25% gewijzigd door pmeter op 02-04-2020 16:02 ]

donderdag 2 april 2020 17:58

Acties:

superduper

Z3_3.0 Woeiiii

pmeter schreef op donderdag 2 april 2020 @ 15:17:
[...]

Hoe maakt Acronis contact met de NAS? Ik heb Acronis 2014 en zie alleen een optie voor een netwerkdrive. En Acronis 2020 gebruik ik liever niet omdat die alle incremental backups in hetzelfde tibx bestand opslaat. Ik heb liever losse bestanden voor incremental backups.

Ik heb versie 2018. Bij doel selecteren IP opgeven, dus waarschijnlijk via smb. En ik krijg gewoon losse tib files.

donderdag 2 april 2020 19:05

Acties:

Beste antwoord ✓

Wim-Bart

Zie signature voor een baan.

Ik heb het heel anders opgelost. Ik share niks op mjn Synology behalve wat read-only shares voor Iso's en dergelijke.

Ik gebruik Backup for Business op de Synology welke mijn ESX Server backup maakt (Syno haalt de data op) en ik heb op mijn PCs (2*), Surface en laptop de Agent draaien. En dat maakt een Backup iedere dag.

Ik heb 3 Jobs per device.
Job 1: Zondag
Job 2: Maandag, woensdag, vrijdag
Job 3: Dinsdag, Donderdag, Zaterdag

De Zondag data gaat met Cloudsync naar mijn Onedrive (waar ik 2 laatste backups heb staan)..

En reeds al een keer mijn Exchange Server terug gezet vanaf Onedrive door terug te synchroniseren.

[ Voor 9% gewijzigd door Wim-Bart op 02-04-2020 19:07 ]

Beheerders, Consultants, Servicedesk medewerkers. We zoeken het allemaal. Stuur mij een PM voor meer info of kijk hier De mooiste ICT'er van Nederland.

vrijdag 3 april 2020 08:49

Acties:

superduper

Z3_3.0 Woeiiii

Wim-Bart schreef op donderdag 2 april 2020 @ 19:05:
Ik heb het heel anders opgelost. Ik share niks op mjn Synology behalve wat read-only shares voor Iso's en dergelijke.

Ik gebruik Backup for Business op de Synology welke mijn ESX Server backup maakt (Syno haalt de data op) en ik heb op mijn PCs (2*), Surface en laptop de Agent draaien. En dat maakt een Backup iedere dag.

Ik heb 3 Jobs per device.
Job 1: Zondag
Job 2: Maandag, woensdag, vrijdag
Job 3: Dinsdag, Donderdag, Zaterdag

De Zondag data gaat met Cloudsync naar mijn Onedrive (waar ik 2 laatste backups heb staan)..

En reeds al een keer mijn Exchange Server terug gezet vanaf Onedrive door terug te synchroniseren.

Dat is ook handig, maar afhankelijk van model NAS. De mijne wordt niet ondersteund.

vrijdag 3 april 2020 08:53

Acties:

sypie

En het handigste is dat je voor je backup een apart account maakt op je NAS.

Zo heb ik een account als Sypie maar ook SypieTM, daar komt mijn TimeMachine backup op te staan. Die loopt dus niet door de bestanden van mijn normale account heen loopt of mijn quotum vol trekt. (uiteraard kan ik die zelf ophogen wanneer nodig)

vrijdag 3 april 2020 10:26

Acties:

jan99999

En vooral file version gebruiken, zodat indien encryptie toeslaat, je terug in de tijd kan gaan.

zaterdag 4 april 2020 13:24

Acties:

tss68nl

Misschien een dom idee, maar Synology staat je toch toe middels Btrfs om oude versies van bestanden te bewaren? Is het dan niet zo dat als een virus alle bestanden via de share wist, dat je altijd alles nog op de Synology hebt staan?

Ik heb twee synology's overigens (één echte bij m'n broer, één virtuele hier). Van alle data wordt door de synology een backup gemaakt naar de andere locatie (en omgekeerd), en daarbij heb ik aangegeven dat bestanden wél toegevoegd en naar een nieuwe versie mogen worden geschreven, maar niet verwijderd.

Dus naast dat ik lokaal al de zekerheid heb van historie op alle files, heb ik óók nog de zekerheid dat er ieder uur een synchronisatie naar een andere locatie gaat die historie bewaart.

Dus kortom:
* Zou lokale historie geen oplossing zijn op je NAS?
* Heb je familieleden waar je een off-site mee kan maken?

KNX Huisautomatisering - DMX Lichtsturing

zaterdag 4 april 2020 14:41

Acties:

pmeter

Poes!

Topicstarter

Mijn NAS DS-116 ondersteund helaas geen Btrfs.

Eerlijk gezegd had ik net na het openen van het topic een ingeving: Duplicatie i.c.m. FTP-toegang tot de NAS. Dat heb meteen ik aan de first-post toegevoegd. Maar ik ben geen IT'er, dus hou me aanbevolen voor advies.

Op mijn pc draait nu de Duplicati-service. Die service maakt via FTP verbinding met de NAS op een apart NAS-account en schrijft mijn gegevens met versiegeschiedenis weg. De versiegeschiedenis wordt dus door de duplicatie-service op de pc bijgehouden. En omdat de FTP geen deel uitmaakt van de Windows-netwerkomgeving (waar alle programma's toegang toe hebben) vermoed ik dat eventuele cryptoware op de pc niet de backup op de NAS zal aantasten.

De NAS synchroniseert de backup verder automatisch met Onedrive (1 Tb).

Daarnaast heb ik twee handigmatige backups:
- In de kast ligt een externe schijf die ik wekelijks bijwerk vanuit Windows.
- Een off-site externe schijf die ik maandelijks bijwerk met Acronis bootable media (Linux-based). Die heeft versie-geschiedenis en hangt nooit aan 'Windows'.

[ Voor 38% gewijzigd door pmeter op 04-04-2020 14:56 ]

zaterdag 4 april 2020 15:00

Acties:

jeroen3

Is Synology C2 misschien iets voor jou?
Voor €60 euro per jaar heb je 1 TB client-side versleutelde cloud opslag.

Als 1 TB niet genoeg is kun je per TB a €70 opschalen. Geen idee hoeveel data je hebt, maar dan zal wel meevallen in een 1-bay nas.

zaterdag 4 april 2020 15:18

Acties:

pmeter

Poes!

Topicstarter

Ik heb zo'n 8 TB's data, waarvan ik 5 TB wil backuppen. Daartoe behoren files voor hobbymatige videobewerking, virtuele instrumenten (VSTi's) en mp3's. Aan de NAS komt daarvoor een 8 TB usb-schijf te hangen. Dat is nieuw. Daarnaast backup ik dit tot dusver handmatig onsite en offsite

Met mijn 3 MB/s (24 Mb/s) upload heb ik er vooralsnog voor gekozen om alleen documenten en foto's online te backuppen. Anders vrees ik dat de backup van documenten soms dagen moet wachten op minder belangrijke dingen.

Heeft Synology C2 een voordeel boven een 1 TB Onedrive wat ik al heb?

zaterdag 4 april 2020 16:04

Acties:

jeroen3

Oei, 5 TB in de cloud backuppen. Met 3 MB/s duurt dat slechts 500 uur

Maar dat is niet erg, dat gebeurt op de achtergrond. Het is sowieso al wat langzamer want de NAS versleuteld de data.

Onedrive een synchronisatieservice is niet hetzelfde als een backupservice.
Een backupservice heeft snapshots van het alles op èèn moment.
Een synchronisatieservice heeft versies van bestanden op moment van wijzigen.
Bij een backupservice kun je de toestand van alles op tijdstip x terugzetten. Of een individuele file.
Bij een synchronisatieservice kun je de toestand van èèn file tegelijk terugzetten.
En dat laatste is erg vervelend bij cryptolockers.

edit: tevens kun je hyper backup (de backup tool om naar c2 te uploaden) ook gewoon gebruiken om naar disks te werken. Inclusief versleuteling.

[ Voor 18% gewijzigd door jeroen3 op 04-04-2020 16:07 ]

zondag 5 april 2020 12:18

Acties:

pmeter

Poes!

Topicstarter

Wat ik nog niet helemaal snap is waar de snapshots worden gemaakt.

Je kan lokaal Hyper backup gebruiken en dat met Cloud sync naar Onedrive Google Drive syncen. Dat lijkt een goede backup, met alleen het gevaar dat een geïnfecteerde NAS alle snapshots verwijdert. En ik vraag me af hoe goed het uploaden zal werken omdat Hyper backup alles in één grote container-file zet. Moet dan elke keer het hele bestand opnieuw uploaden?

Hyper backup kan ook backuppen naar Synology C2. Dat is wel een backupdienst. Worden de snapshots dan gemaakt en beheert door C2, zodat een geïnfecteerde NAS daar niet bij kan? Of beheert het lokaal draaiende Hyper backup dan nog steeds de snapshots? Of heb je snapshots (door C2 gemaakt) van snapshots (lokaal gemaakt) en daarmee twee lagen van snapshots over elkaar?

Ook vraag ik mij af wat de beste manier is om de brongegevens bij Hyper backup te krijgen. Hyper backup draait namelijk op de NAS en mijn gegevens staan op twee schijven in de Windows PC. Synchroniseer je de PC-schijven naar de NAS en backup je dat met Hyper backup naar C2? Of maak je direct met Hyper backup een backup met snapshots op de NAS? En welk programma draait daarvoor op Windows? Synology Drive lijkt af te vallen, omdat die een te synchroniseren map aanmaakt. Dan moet alles in een submap staan. Ik wil 2 schijven (d-schijf en e-schijf) met in totaal 100.000 bestanden backuppen.

[ Voor 14% gewijzigd door pmeter op 05-04-2020 12:47 ]

zondag 5 april 2020 12:41

Acties:

jeroen3

Hyper backup kan backuppen naar Onedrive

Ik wist niet dat je naar onedrive kon.

Ik vermoed dat C2 de snapshots beheert, want als ik de versies, data of integriteit wil controleren moet ik de key file ingeven.

Hyper Backup werkt met data op de NAS. Dus niet op je pc.

Met Synology Drive kun je meerdere mappen synchroniseren. Je kunt zelfs mappen van meerdere servers synchroniseren.

Als je Synology Drive combineert met Hyper Backup heb je dus bestandsveries (per wijziging), en snapshots (per dag).

100k bestanden gaat hij overigens wel even mee bezig zijn. Sneller dan Owncloud, dat dan wel.

[ Voor 11% gewijzigd door jeroen3 op 05-04-2020 12:43 ]

zondag 5 april 2020 12:46

Acties:

pmeter

Poes!

Topicstarter

jeroen3 schreef op zondag 5 april 2020 @ 12:41:
[...]

Ik wist niet dat je naar onedrive kon.

Staat er inderdaad niet tussen. Google Drive wel. Daarom ging ik ervan uit dat Onedrive ook zou kunnen. Dat blijkt niet zo te zijn.

Vraag

Beste antwoord (via pmeter op 07-04-2020 18:10)

Alle reacties