dacomand Posted January 1, 2022 Share Posted January 1, 2022 Hallo zusammen, ich benötige von euch bitte Hilfe bzw. Inspiration zum Thema BackUp wichtiger Daten. Ich möchte gerne, dass gewisse Daten offsite, also z.B. bei einem Freund oder Familienmitglied entsprechend gesichert werden können. Dazu hatte ich mir folgendes überlegt: - WireGuard VPN zu einem PI an dem eine externe Platte angeschlossen ist. - Außerdem würde ich dazu den Docker Duplicati nutzen Problem: - das ganze soll automatisiert zu gewissen Uhrzeiten laufen Bisher habe ich noch keine Lösung gefunden / finden können. Habt ihr hierzu Ideen ? Ich bedanke mich vorab! Quote Link to comment
Amr0d Posted January 1, 2022 Share Posted January 1, 2022 Vor dieser Aufgabe stehe ich auch noch und ich habe mir dazu auch schon eine Lösung ausgedacht, zumindest in der Theorie 😄 Ich bin mit Freunden über "Zerotier" bereits mit den PCs in einem Netzwerk und habe das NAS jetzt über den entsprechenden Docker auch ins Netzwerk geholt. Mit "Synthing" soll es möglich sein, dass man ausgewählte Ordner mit einem Zielsystem synced. Das kann man zu einem bestimmten Zeitpunkt machen und wohl auch über eine schöne GUI einstellen. Syncthing habe ich in einem Video gefunden (https://youtu.be/ucrAW-AQhA0?t=1401) aber selber noch nicht getestet. Evtl. hilft dir das ja weiter. Quote Link to comment
dacomand Posted January 1, 2022 Author Share Posted January 1, 2022 Hey super und vielen Dank für die schnelle Antwort. Ich schaue mir das ganze mal an. Wenn du dran denkst und bei dir alles klappt, dann würde ich mich über deine Erfahrungen freuen. Quote Link to comment
mgutt Posted January 1, 2022 Share Posted January 1, 2022 Wenn du dich mit einem VPN mit dem Netz des externen Servers verbindest, dann sehe ich da überhaupt keinen Mehrwert. Alles was du an Backups schreiben kannst, kann ein Angreifer auch auf dem Ziel löschen/verschlüsseln. Nur eine Idee: Was nimmst du bei Duplicati als Protokoll, SFTP? Sagen wir mal du installierst dir einen Container der SFTP bereitstellt. Diesem Container gewährst du nur lesende Rechte auf /mnt/user/<sharename>. Per Bridge Netzwerk änderst du den SFTP Standardport auf irgendwas anderes, also statt 22 zB 8022. Im Router gibst du diesen Port auf deinen Server frei. Auf dem PI wiederum wird Duplicati installiert. Der PI sollte weiterhin eine DDNS erhalten und darüber seine öffentliche IP aktuell halten. Nun erstellst du auf deinem Server ein Skript, das alle 5 Minuten die öffentliche IP der DDNS ermittelt und welche eine iptables Regel erstellt/aktualisiert, die auf Port 8022, ausschließlich Anfragen von dieser öffentlichen IP erlaubt. Alles andere wird verworfen. Damit wären beide Netzwerke nicht verbunden. Wird eine Seite gehackt, ist das der anderen also egal. Deine Seite kennt das Netz des PI nicht mal und das Netz des PI kann wenn nur den PI angreifen und wenn das Erfolg hat, kommt er nur lesend an deine Daten. Dein Backup kann er zwar vernichten, deine Originaldaten aber nicht. Bestimmt bekommt man sowas auch mit dem "Flow Rules" bei Zerotier hin, aber dafür bin ich nicht Netzwerker genug. Wäre in jedem Falls sicherer als Wireguard, wo man beide Netze komplett verbindet. Davon halte ich persönlich gar nichts. @Ford Prefect It's your time to comment ^^ Quote Link to comment
Ford Prefect Posted January 2, 2022 Share Posted January 2, 2022 (edited) 11 hours ago, mgutt said: Wenn du dich mit einem VPN mit dem Netz des externen Servers verbindest, dann sehe ich da überhaupt keinen Mehrwert. Alles was du an Backups schreiben kannst, kann ein Angreifer auch auf dem Ziel löschen/verschlüsseln. Das ist auf jeden Fall das Grundrisiko, wenn man unbedacht die Netze koppelt. Jede Standard Firewall ist so aufgebaut, dass man von "innen-nach-aussen" erstmal (fast) alles machen kann. Es wäre also ratsam, das der Aktor (das "Programm", welches das Backup ausführt) nicht im Netz der zentralen Seite, sondern ausserhalb, zB auf dem Pi liegt. 11 hours ago, mgutt said: Nur eine Idee: Was nimmst du bei Duplicati als Protokoll, SFTP? Sagen wir mal du installierst dir einen Container der SFTP bereitstellt. Diesem Container gewährst du nur lesende Rechte auf /mnt/user/<sharename>. Per Bridge Netzwerk änderst du den SFTP Standardport auf irgendwas anderes, also statt 22 zB 8022. Im Router gibst du diesen Port auf deinen Server frei. Auf dem PI wiederum wird Duplicati installiert. Der PI sollte weiterhin eine DDNS erhalten und darüber seine öffentliche IP aktuell halten. Nun erstellst du auf deinem Server ein Skript, das alle 5 Minuten die öffentliche IP der DDNS ermittelt und welche eine iptables Regel erstellt/aktualisiert, die auf Port 8022, ausschließlich Anfragen von dieser öffentlichen IP erlaubt. Alles andere wird verworfen. ...prinzipiell die richtige Idee....aber ich bin kein Freund von IP-Tables manupulationen auf einzelnen Hosts im Netzwerk Mein Standard-Kommentar wäre daher das eben von einem "richtigen Router" - und zwar extern zum unRaid und dem Pi machen zu lassen. Hilfsweise kannst Du über VLANs ein "Backup-Netzwerk" erstellen, die Docker und ftp-Server da rein packen und einen Router als VM auf unraid laufen lassen. Ein Angreifer, der im unRaid Netzwerk ist, kann den Docker / ne VM aber auch einfach wieder manipulieren. Um das abzuwenden müsste man den unraid Host in ein Management VLAN verbannen...den SMB-Server aber im "Heimnetz" und dem Backup-LAN belassen. ...habe mir noch garnicht überlegt, ob das überhaupt mit unraid Bordmitteln geht...wahrscheinlich über die zusätzliche SMB.conf🤔 11 hours ago, mgutt said: Damit wären beide Netzwerke nicht verbunden. Wird eine Seite gehackt, ist das der anderen also egal. Deine Seite kennt das Netz des PI nicht mal und das Netz des PI kann wenn nur den PI angreifen und wenn das Erfolg hat, kommt er nur lesend an deine Daten. Dein Backup kann er zwar vernichten, deine Originaldaten aber nicht. siehe oben. 11 hours ago, mgutt said: Bestimmt bekommt man sowas auch mit dem "Flow Rules" bei Zerotier hin, aber dafür bin ich nicht Netzwerker genug. Wäre in jedem Falls sicherer als Wireguard, wo man beide Netze komplett verbindet. Davon halte ich persönlich gar nichts. @Ford Prefect It's your time to comment ^^ Bei Wireguard sind es aber nur IP-Netze, bei zerotier ist ein ganzes Ethernet LAN (kriegt Du auch über wireguard, wenn Du nen EOIP drüber legst ) ...und die zt Flow-Rules sind auch nix anderes als eine Firewall. Was mich wieder zurück zu meinem obigen Kommentar führt. Ich würde es richtig machen...jede Site einen vernünftigen Router...am besten noch Wireguard auf diesem, statt auf einem unraidDocker einrichten (hint: wg ist jetzt Standard bei Mikrotik ab ROSv7)....und eben immer schön darauf achten, das die off-site das Backup "pullt" statt dass die Zentrale es pusht. Edited January 2, 2022 by Ford Prefect typos Quote Link to comment
dacomand Posted January 2, 2022 Author Share Posted January 2, 2022 Hey vielen Dank für die Zeit und die ausführlichen Inspirationen. Ich habe mir nun überlegt, dass ich es vielleicht etwas anders lösen werde. Ich werde einen Docker schreiben, der beim Starten oder nach einer gewissen Zeit automatisch eine Verbindung über Wireguard aufbaut und in ein Verzeichnis entsprechend die verschlüsselten Daten empfängt, nimmt und auf eine Festplatte schreibt. Anschließend wird das ganze gelöscht. Danach wird die Verbindung wieder unterbrochen. Ich denke ich werde das die Tage mal testen. Quote Link to comment
mgutt Posted January 2, 2022 Share Posted January 2, 2022 5 hours ago, Ford Prefect said: Ein Angreifer, der im unRaid Netzwerk ist, kann den Docker / ne VM aber auch einfach wieder manipulieren. Das ist nicht möglich, weil ein SFTP Container nur SFTP und kein SSH (keine Shell) unterstützt. Du kannst nur Dateien transferieren bzw in dem Fall sogar nur Dateien abholen, wenn du die gemounteten Pfade auf read-only stellst. Auf das OS des Containers kommst du nicht. 35 minutes ago, dacomand said: Ich werde einen Docker schreiben, der beim Starten oder nach einer gewissen Zeit automatisch eine Verbindung über Wireguard aufbaut und in ein Verzeichnis entsprechend die verschlüsselten Daten empfängt, nimmt und auf eine Festplatte schreibt. Anschließend wird das ganze gelöscht. Das dann auf dem PI, wenn ich es richtig verstanden habe? Wäre auch eine Möglichkeit. Temporär verbinden ist schon mal besser als dauerhaft. Quote Link to comment
Ford Prefect Posted January 2, 2022 Share Posted January 2, 2022 23 minutes ago, mgutt said: Das ist nicht möglich, weil ein SFTP Container nur SFTP und kein SSH (keine Shell) unterstützt. Du kannst nur Dateien transferieren bzw in dem Fall sogar nur Dateien abholen, wenn du die gemounteten Pfade auf read-only stellst. Auf das OS des Containers kommst du nicht. ...die Denke war andersrum. Wenn Du via wireguard oder über anderen Zugang im Heimnetz bis, hast Du Zugriff auf das unraid UI und auf die Container oder VMs. Lokal laufende "VMs" sind daher vulnerabel...und wenn diese den Zugang nach off-site erlauben, kommst Du darüber auch wieder dorthin. 1 Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.