Aller au contenu

Messages recommandés

Posté(e) (modifié)

Bonjour à tous,

Je suis débutant et je possède un NAS à mon domicile sur lequel je stocke des données et héberge des services comme un serveur de messagerie, surveillance station, drive, etc. Mon NAS est monté derrière un Routeur Synology (lui même monté en DMZ de ma LiveBox en IP dynamique), je peux l'atteindre via un DDNS. Je souhaiterais aujourd'hui m'attaquer à la sauvegarde de mon NAS or il semble avoir de multiples solutions pour de multiples besoins comme illustré sur la page Synology dédiée au sujet.

J'ai plusieurs souhaits (idéalement) :

  1. me protéger des randsomewares
  2. me protéger des atteintes à l'intégrité physique de mes disques durs ou de mon NAS (malveillance ou défaillance)
  3. stocker mes enregistrements surveillance station son mon NAS de backup (de sorte à les conserver et y avoir accès si je suis victime d'un cambriolage avec vol/casse de mon NAS)
  4. avoir un accès high availability à mes emails
  5. chiffrer les échanges entre mon NAS et mon NAS de backup
  6. chiffrer les backups sur le NAS de backup de sorte à ce que même si un tiers y accède il ne puisse récupérer aucune information
  7. accéder à mon NAS de backup à distance via un VPN et en utilisant un sous domaine du type backup1.ndd.tld

J'ai donc plusieurs questions :

  1. J'imagine que ma première condition impose de faire un backup asynchrone ?
  2. Je crois savoir qu'il existe des systèmes de versionning "intelligents" qui fonctionnent en mode delta pour minimiser l'espace de backup nécessaire mais auriez-vous un ordre de grandeur sur le ratio à avoir entre la mémoire du NAS de backup et le NAS principal (x fois plus de mémoire sur le backup que sur le principal) ?
  3. Y a t il des contraintes hardware à avoir en tête ? Mon NAS principal est un DS418play et j'imaginais prendre un NAS de backup 2 baies en RAID1 monté derrière un routeur Synology : qu'en pensez vous ?
  4. Comment chiffrer les échanges entre les deux NAS ?
  5. Comment chiffrer les backups sur le NAS de backup ?
  6. Je pensais utiliser la combinaison du paquet snapshot et du paquet hyperbackup pour faire cela : est-ce la configuration optimale ?
  7. Comment gérer les sujets de certificats / domaine ? J'ai suivi ce tuto de @oracle7 sur les certificats wildcard.
  8. Y a t il d'autres sujets auquels je ne pense pas.

Merci d'avance pour votre aide,

Modifié par TuringFan
Posté(e)
Le 11/04/2021 à 12:29, Juan luis a dit :

il manque la situation du  NAS de Backup

Très bon point @Juan luis

Le NAS de backup sera dans un logement à plusieurs centaines de km sans maitrise des éventuels accès physiques par des tiers au NAS avec une connexion fibrée.

Posté(e)
Le 10/04/2021 à 23:58, TuringFan a dit :

J'imagine que ma première condition impose de faire un backup asynchrone ?

Ce qui va te protéger des ransomwares ce sont les bonnes pratiques plus qu'autre chose.
On fait attention à ce qu'on stocke, et surtout, on met en place des montages SMB a minima. On ne se connecte pas en SMB avec l'utilisateur admin sur son NAS, on utilise un maximum d'utilisateurs en lecture seule. Si on a besoin d'écrire sur le NAS depuis SMB, on le fait avec un utilisateur aux droits a minima (cela demande de réfléchir à la structure de ses dossiers partagés, des groupes d'utilisateurs, etc...).

Si tu ne te sers pas de SMB, que tu as sécurisé ton NAS suivant les prescriptions du forum et que tu fais attention à ce que tu télécharges, le risque de ransomware est quasi nul.

Si malgré tout ça doit arriver, la sauvegarde est effectivement le moyen le plus efficace de s'en prémunir.

Le 10/04/2021 à 23:58, TuringFan a dit :

Je crois savoir qu'il existe des systèmes de versionning "intelligents" qui fonctionnent en mode delta pour minimiser l'espace de backup nécessaire mais auriez-vous un ordre de grandeur sur le ratio à avoir entre la mémoire du NAS de backup et le NAS principal (x fois plus de mémoire sur le backup que sur le principal) ?

Tu as possibilité de compresser tes sauvegardes (réglage par défaut je crois), mais tu ne vas pas gagner 50% hein. 😉 
Idéalement prévois un espace de stockage équivalent à celui de ton NAS principal.

Le 10/04/2021 à 23:58, TuringFan a dit :

avoir un accès high availability à mes emails

Ca me semble très optimiste, déjà avoir son serveur mail personnel avec une IP dynamique et un port 25 fermé (j'ai cru comprendre que seul Free permettait de le débloquer, par défaut les FAI (du monde entier quasiment en fait) le bloque) me semble relativement incertain.

Le 10/04/2021 à 23:58, TuringFan a dit :

Y a t il des contraintes hardware à avoir en tête ? Mon NAS principal est un DS418play et j'imaginais prendre un NAS de backup 2 baies en RAID1 monté derrière un routeur Synology : qu'en pensez vous ?

Si c'est un NAS de sauvegarde, une baie, éventuellement deux baies si l'espace de stockage initial est important, parfois deux disques de moindre capacité coûtent moins chers qu'un gros disque. Pour moi aucun intérêt au RAID, on parle de sauvegarde, d'espace de stockage mort. Un NAS une baie d'ancienne génération (je dirais à partir de la série 14) se trouve pour rien quasiment d'occasion. Et tu prévois un disque dur externe pour une sauvegarde locale chez toi, que tu caches bien si tu souhaites te protéger des risques d'un cambriolage.

Le 10/04/2021 à 23:58, TuringFan a dit :

Comment chiffrer les échanges entre les deux NAS ?

HyperBackup chiffre par TLS les échanges via le port 6690.

Le 10/04/2021 à 23:58, TuringFan a dit :

Comment chiffrer les backups sur le NAS de backup ?

Je n'ai jamais fait, mais je pense que ça se fait au niveau des dossiers partagés à leur création.

Le 10/04/2021 à 23:58, TuringFan a dit :

Je pensais utiliser la combinaison du paquet snapshot et du paquet hyperbackup pour faire cela : est-ce la configuration optimale ?

Optimale je ne sais pas, mais ça me semble être une bonne idée. Attention qu'à mon avis Snapshot Replication fonctionne uniquement si tu utilises le système de fichiers BTRFS.

Le 10/04/2021 à 23:58, TuringFan a dit :

Comment gérer les sujets de certificats / domaine ? J'ai suivi ce tuto de @oracle7 sur les certificats wildcard.

Ce qu'il te faut c'est un certificat valide sur le NAS distant, qu'il soit issu de Let's Encrypt ou auto-signé. De préférence Let's Encrypt. Pourquoi ne pas utiliser le domaine gratuit Synology pour le NAS distant ?

Le 10/04/2021 à 23:58, TuringFan a dit :

Y a-t-il d'autres sujets auxquels je ne pense pas

Tu as déjà bien anticipé la chose, j'insisterais sur le fait d'avoir une sauvegarde locale tout de même, sur un disque externe.

Posté(e)
il y a 16 minutes, .Shad. a dit :

Tu as déjà bien anticipé la chose, j'insisterais sur le fait d'avoir une sauvegarde locale tout de même, sur un disque externe.

@.Shad., @TuringFan je confirme !!

pour avoir été confronté recemment à une restoration complète, la sauvegarde distante hors site (C2 dans mon cas) fonctionne parfaitement, .... mais les temps de restoration ne sont pas vraiment comparables avec une sauvegarde locale sur DD externe (même avec une connexion fibre) !

Je pense que les 2 sont nécessaires (en fonction de la "valeur" que l'on attribue à ses données évidemment) : sauvegarde locale sur DD externe, et sauvegarde hors site .... pour le scenario du pire !

Posté(e)
Le 13/04/2021 à 22:34, TuringFan a dit :

Très bon point @Juan luis

Le NAS de backup sera dans un logement à plusieurs centaines de km sans maitrise des éventuels accès physiques par des tiers au NAS avec une connexion fibrée.

Bonjour,

Alors si possible,  je recommanderai une connexion VPN site to site , indépendante des NAS afin d'être autonome  sans risque de se "couper la branche..."

Bien sûr ,ce n'est possible que si le site distant est "amis", ça a un certain coût ,(un routeur VPN) et des compétences dans ce domaine.

Posté(e) (modifié)

Merci pour vos réponses @.Shad., @bruno78 et @Juan luis

Le 15/04/2021 à 10:36, .Shad. a dit :

Ce qui va te protéger des ransomwares ce sont les bonnes pratiques plus qu'autre chose

En ligne mais en terme de sécurité je préfère être redondant en ajoutant aux bonnes pratiques des backups.
De mon coté SMB (pour accès réseau via explorateur windows sur PC et accès utilisateurs non admin), SSH activés puis AFP, NFS, FTP, TFTP désactivés.

Le 15/04/2021 à 10:36, .Shad. a dit :

Idéalement prévois un espace de stockage équivalent à celui de ton NAS principal.

Ok, bonne nouvelle car je prévoyais plutôt d'avoir un stockage supérieur sur le NAS backup que sur le NAS principal.

Le 15/04/2021 à 10:36, .Shad. a dit :

Ca me semble très optimiste, déjà avoir son serveur mail personnel avec une IP dynamique et un port 25 fermé (j'ai cru comprendre que seul Free permettait de le débloquer, par défaut les FAI (du monde entier quasiment en fait) le bloque) me semble relativement incertain.

Je suis chez Orange en IP dynamique et j'ai suivi le tuto de @oracle7, pour le moment ça fait le job.

Le 15/04/2021 à 10:36, .Shad. a dit :

Y a t il des contraintes hardware à avoir en tête ?

Je pensais notamment à d'éventuelles contraintes pour supporter les paquets utilisés pour le backup : hyperbackup, snapshot et éventuellement le paquet pour le serveur e-mail high-availability.

Le 15/04/2021 à 10:36, .Shad. a dit :

HyperBackup chiffre par TLS les échanges via le port 6690.

Ok, merci.

Le 15/04/2021 à 10:36, .Shad. a dit :

Je n'ai jamais fait, mais je pense que ça se fait au niveau des dossiers partagés à leur création.

Ok, idem que sur mon NAS principal donc.

Le 15/04/2021 à 10:36, .Shad. a dit :

Attention qu'à mon avis Snapshot Replication fonctionne uniquement si tu utilises le système de fichiers BTRFS.

Merci, c'est mon cas.

Le 15/04/2021 à 10:36, .Shad. a dit :

Ce qu'il te faut c'est un certificat valide sur le NAS distant, qu'il soit issu de Let's Encrypt ou auto-signé. De préférence Let's Encrypt. Pourquoi ne pas utiliser le domaine gratuit Synology pour le NAS distant ?

En fait j'imaginais créer chez mon registrar un "sous domaine" du type "backup.ndd.tld" et ne maitrisant pas bien les sujets de certificats je voulais savoir si je pouvais inclure ce domaine dans mon wildcard de façon similaire à ce que je fais sur mon NAS principal : peut-être as tu une opinion là dessus @oracle7 ?

Le 15/04/2021 à 11:22, Juan luis a dit :

je recommanderai une connexion VPN site to site

C'est ce que je pensais faire en achetant un routeur pour le réseau du NAS backup (ne serait-ce que pour avoir un wifi invité dissocié du réseau du NAS backup) : cela est-il compatible les sujets de certificats et DDNS avec ma volonté d'avoir chez mon registrar un sous domaine du type "backup.ndd.tld" ? Qu'en penses tu @Juan luis ?

Le 15/04/2021 à 10:58, bruno78 a dit :

pour avoir été confronté recemment à une restoration complète, la sauvegarde distante hors site (C2 dans mon cas) fonctionne parfaitement, .... mais les temps de restoration ne sont pas vraiment comparables avec une sauvegarde locale sur DD externe (même avec une connexion fibre) !

Je pense que je vais aussi sérieusement songer au DD derrière mon NAS principal. En revanche @bruno78 petite question : avec le NAS de backup et les paquets associés (snapshot + hyperbackup) je comprends que seules les données sont sauvegardées mais pas les applications et les configurations, qu'en est il avec un DD ? Pour info je sauvegarde déjà à chaque gros changement mes fichiers de configurations routeur et NAS. Mon ideal in fine serait une solution "press bouton" où tout serait réinstallé à l'identique : configuration, applications et données.

Le 10/04/2021 à 23:58, TuringFan a dit :

stocker mes enregistrements surveillance station son mon NAS de backup (de sorte à les conserver et y avoir accès si je suis victime d'un cambriolage avec vol/casse de mon NAS)

Une idée là dessus ? VPN ?

---

Merci d'avance pour votre aide, en espérant que cela en aidera aussi d'autres.

Modifié par TuringFan
Posté(e)

@TuringFan

Bonjour,

il y a 5 minutes, TuringFan a dit :

En fait j'imaginais créer chez mon registrar un "sous domaine" du type "backup-ndd.tld" et ne maitrisant pas bien les sujets de certificats je voulais savoir si je pouvais inclure ce domaine dans mon wildcard de façon similaire à ce que je fais sur mon NAS principal : peut-être as tu une opinion là dessus @oracle7 ?

Un wilcard te permet justement d'utiliser n'importe quel domaine de niveau juste inférieur à ton domaine "principal". Je serais  tenté de mettre le même certificat sur les deux NAS.

Cordialement

oracle7😉

Posté(e)
à l’instant, oracle7 a dit :

@TuringFan

Bonjour,

Un wilcard te permet justement d'utiliser n'importe quel domaine de niveau juste inférieur à ton domaine "principal". Je serais  tenté de mettre le même certificat sur les deux NAS.

Cordialement

oracle7😉

Parfait c'est ce que j'avais en tête. Si ça marche pas je créerais chez mon registrar un autre domaine du type "backup-ndd.tld.

Posté(e)
il y a 8 minutes, TuringFan a dit :

C'est ce que je pensais faire en achetant un routeur pour le réseau du NAS backup (ne serait-ce que pour avoir un wifi invité dissocié du réseau du NAS backup) : cela est-il compatible les sujets de certificats et DDNS avec ma volonté d'avoir chez mon registrar un sous domaine du type "backup-ndd.tld" ? Qu'en penses tu @Juan luis ?

Bonjour,

Je ne suis pas sûr de bien comprendre , mais si tu installe un autre routeur sur un autre accès fibre, tu auras une autre adresse IP publique avec un autre domaine associé...

Posté(e)
il y a 3 minutes, Juan luis a dit :

Bonjour,

Je ne suis pas sûr de bien comprendre , mais si tu installe un autre routeur sur un autre accès fibre, tu auras une autre adresse IP publique avec un autre domaine associé...

Oui. Du coup je voulais savoir si je pouvais créer un sous domaine "backup.ndd.tld" avec son propre DDNS mais qui bénéficierait lui aussi de mon certificat wildcard en ndd.tld ?

Posté(e)
il y a 9 minutes, TuringFan a dit :

Oui. Du coup je voulais savoir si je pouvais créer un sous domaine "backup.ndd.tld" avec son propre DDNS mais qui bénéficierait lui aussi de mon certificat wildcard en ndd.tld ?

🤔 a mon avis il faut chercher dans les sujets "domaine à IP multiples "

Posté(e)
il y a 41 minutes, TuringFan a dit :

En revanche @bruno78 petite question : avec le NAS de backup et les paquets associés (snapshot + hyperbackup) je comprends que seules les données sont sauvegardées mais pas les applications et les configurations, qu'en est il avec un DD ?

@Juan luis je n'utilise de mon côté que HyperBackup (ça correspond à mon besoin). Le fait de sauvegarder ou pas des applis (et donc leurs données/paramétrages) ne dépend pas de la cible, mais du paquet lui-même. Certains paquets sont sauvegardables, .... d'autres non.

Ma stratégie de backup est à présent la suivante avec HyperBackup (après être passé par une restauration complète qui fait bien flipper et qui instantanément met le doute sur ce que l'on a fait comme sauvegarde, jamais testée, ni jamais vraiment vérifié la complétude ou la cohérence) :

  • j'ai 1 DD reservé aux backups dans le NAS => backup (données et appli) local en ligne des 3 autres DD toutes les 4 heures. Ce serait la source de restauration en première intention, locale donc rapide.
  • je fais (à la main environ 1 fois par semaine, suivant les grosses évolutions ou pas ) un backup externe sur un DD USB, que je ne laisse pas en ligne.
  • enfin je fais une fois par jour un backup en ligne externe (service Synology C2, pour les données les plus importantes) ..... en cas de scenario du pire localement ....

Ces 3 backups, sur 3 supports distincts, sont faits avec HyperBackup, gèrent les versions, et permettent la sauvegardes des applis et leurs configurations ... pour celles qui y sont éligibles. Chacune de ces 3 taches est personnalisée en fonction de la capacité du support cible, mais aussi et surtout en fonction de la "valeur" des différentes données. A noter que je ne fais pas de "backup de backup" ! Chacune des 3 taches prend les données sources,  initiales, comme source de la tache de backup.

C'est vrai que rapidement il faut se poser 5 minutes, et faire le tour des scenarios : dd en panne, volume en panne, groupe de stockage en panne, NAS en panne, NAS détruit/volé.... . Dans chaque cas savoir et vérifier où se trouve la sauvegarde et comment je fais pour restaurer. Et pour être complet, se demander aussi comment je fais si l'un sur 3 des backups est KO/HS/inaccessible .... . Savoir si on est prêt à perdre 1 heure de boulot, 1 jour , 1 semaine ..... les dernières photos du weekend .....

Posté(e) (modifié)

Bonsoir @Juan luis, @.Shad., @bruno78 et @oracle7

Je lis des choses sur les sauvegardes en ce moment pour envisager la meilleur stratégie pour moi.

Quelqu'un pourrait il svp m'expliquer la différence entre les sauvegardes hyperbackup et les réplications snapshots ?

Je comprends en effet que le paquet Snapshots Replication propose deux choses :

  • La réalisation de snapshots qui sont des instantanés incrémentaux des datas (pas d'instantané de la configuration et/ou des paquets). Le prérequis est d'avvoir un volume en Btfrs. Cette méthode semble donc s'approcher "d'une super corbeille" et/ou d'un outil de versionning. Les snapshots sont par défaut en local, sur le même stockage. Il est possible d'utiliser des fonctions avancées pour programmer la réalisation des snapshots et paramétrer leurs règles de conservations. Il est également possible de rendre les snapshots visibles pour y naviguer comme dans des fichiers. Il faut pour cela que l'utilisateur ait un droit de lecture du dossier au moment du snapshot et que le dossier partagé ne soit pas chiffré.
  • La réplication des snapshots qui si je scomprends bien est une copie des données et de tous les snapshots. En cas de recovery on peut donc accéder aux données et à tous les snapshots enregistrés sur le stockage. La réplication utilise le port 5566 et ne peut se faire que vers un serveur distant (impossible par exemple d'utiliser en stockage de destination un disque dur externe monté sur le port USB du NAS). Lors de la réplication, les données peuvent être transmises de façon sécurisée.

Je comprends par ailleurs que le paquet hyperbackup propose lui une nique chose :

  • la réalisation de sauvegardes quotidiennes stockées à distance (NAS, DD en USB, cloud) des données, configurations et paquets (sous réserve que les paquets le proposent). Le transfert de données peut être chiffré si besoin.

Enfin si l'on souhaite faire des sauvegardes dans le cloud, on peut aussi utiliser le paquet cloud sync.

Est-ce bien cela ?

Plusieurs questions complémentaires :

  1. Que se passe t il si les dossiers sont chiffrés : les snapshots et réplications sont ils également chiffrés ? Si oui, avec quelle clé les déchiffrer ?
  2. Que se passe t il si un snapshot est réalisé sur le dossier A (sur lequel l'utilisateur User1 à accès en lecture) et le dossier B (sur lequel l'utilisateur User1 n'a aucun accès en écriture et/ou lecture) : l'utilisateur User1 pourra t il quand même voir le snapshot ?
  3. Où trouver la liste des paquets et éléments de configurations sauvegardés dans le cadre d'un hyperbackup ?
  4. Si l'on considère la sauvegarde de donnée uniquement peut on finalement estimer qu'on arrive au même résultat de sauvegarde (en dehors de la fréquence de sauvegarde et des contraintes techniques des supports de backups) en utilisant (i) des snapshots + des réplications ou (ii) hyperbackup ?
  5. Que se passe t'il quand nos dossiers partagés sont chiffrés avec des clefs dans le magasin de clés ? Comment récupérer les données si le NAS principal et ses disques durs sont perdus et/ou définitivement endommagés et que nous avons fait des sauvegardes (i) via snaphots replications dans un premier cas et (ii) via hyperbackup dans un second cas ?
  6. Est-il utile de cumuler snapshots replications et hyperbackup ? Hyperbackup effectue t il également une sauvegarde des snapshots ?

En gros je voudrais savoir si j'ai plutôt intérêt à faire des réplication de snapshots ou un backup ou les deux ?

Edit : je comprends que Cloud Sync et Hyper Backup font la même chose sauf que (i) cloud station ne fait que de la sauvegarde à distance (vers  cloud, serveurs, NAS, etc.) et non sur DD externe et que (ii) Cloud Sync fais des sauvegardes en temps continu vs. des sauvegardes ponctuelles avec Hyper Backup.

D'un point de vue sécurité (ransomeware, virus, corruption de données, destruction NAS principal, etc.) y a t il un intérêt à utiliser de la sauvegarde en mode ponctuel vs. en temps continu ?

Merci d'avance,

Modifié par TuringFan
Posté(e)

Bonjour à tous @Juan luis, @.Shad., @bruno78 et @oracle7

Je suis encore preneur de vos lumières s'il vous plait : je lis ici et là que les snapshots ne sont pas des véritables sauvegardes. Pourquoi ?

Toujours dans l'idée de faire des backups de mon NAS principal vers un second NAS sur un site distant j'ai du mal à arbitrer entre les différentes possibilités :

  1. Utiliser snapshot replication pour faire des snapshots et les répliquer sur le second NAS - fréquence maximale toute les 5 min
  2. Utiliser hyper backup et faire des backups sur le second NAS - fréquence maximale toutes les heures
  3. Utiliser un mixte de 1 et 2
  4. Utiliser cloud sync et faire du backup en temps continu : impossible car disponible uniquement pour une destination dans un service cloud

Enfin existe t il une méthode pour faire des backups en temps continu vers le second NAS ?

D'une façon générale, les backups en temps continu, offrent ils le même niveau de protection que les backups en temps discret (avec versionning, etc.) ? Qu’arriverait il si des fichiers étaient corrompus (malware, ransomware, anomalies hardware, etc) : cette corruption serait elle immédiatement héritée à la sauvegarde en la transformant en un miroir strict (donc avec ces fichiers corrompus) du NAS principal ?

Merci d'avance,

Posté(e)

@TuringFan

Bonjour,

Je peux me tromper mais je crois que l'on a affaire ici à deux visions bien différentes dont l'usage est aussi bien différent :

  • Le snapshot qui porte bien son nom et qui n'est pour moi qu'une photo instantanée du système et que s'assimilerais ni plus ni moins à la création d'un point de restoration sous Windows. De plus, pour moi ce n'est pas une sauvegarde à part entière dans la mesure (et c'est son défaut quelque part) elle se fait en local sur le même support. Elle n'a donc qu'une finalité ponctuelle.
  • La sauvegarde pure et dure réalisée par Hyperbackup sur un autre support (quelqu'il soit sur disque USB externe ou Disques distants). Là, la finalité est pour moi bien plus sécurisante et correspond exactement à ce que l'on entend quand on parle de sauvegarde : sécuriser une copie des données actuelles sur un support externe.

Du coup, chacune répond à un besoin bien spécifique.

Pour la solution 2 quant à l'exécuter toutes les heures, cela me paraît un peu (beaucoup) exagéré sauf si tes données (dont celles les plus récentes) sont capitales pour ton fonctionnement. Mais si ce sont des photos de familles, vidéos etc... une sauvegarde toutes les semaines me paraît amplement suffisante. Sans parler de "l'occupation" du réseau et des ressources CPU du NAS que cela engendre ainsi que de l'activité disque intense générée qui diminue aussi la durée de vie de tes disques par ex.

Pour la solution 4 du backup en continu, cela relève plutôt de données dites "stratégiques" pour une entreprise, pour un particulier c'est plus que discutable, non ? En plus, si d'aventure tes données venaient à être corrompues alors ta sauvegarde le serait immédiatement aussi. Mais ce n'est que mon avis ...

Les autres intervenants sus-cités auront sûrement d'autres arguments. C'est juste ma vision des choses.

Cordialement

oracle7😉

Posté(e)

Merci @oracle7,

Réponse très claire.

il y a 27 minutes, oracle7 a dit :

elle se fait en local sur le même support.

Je pensais que les réplications pouvaient être faites à distance (DD, NAS secondaire, etc.) ?

il y a 28 minutes, oracle7 a dit :

une sauvegarde toutes les semaines me paraît amplement suffisante. Sans parler de "l'occupation" du réseau et des ressources CPU du NAS que cela engendre ainsi que de l'activité disque intense générée qui diminue aussi la durée de vie de tes disques par ex.

En ligne avec toi

il y a 28 minutes, oracle7 a dit :

si d'aventure tes données venaient à être corrompues alors ta sauvegarde le serait immédiatement aussi

Ok, c'est un argument majeur à mes yeux pour ne pas utiliser cette stratégie

Mais du coup en faisant des backups d'un NAS sur lequel il y a snapshot, réalisons nous aussi des backups des snapshots avec en cas de restauration d'un backup spécifique la possibilité de naviguer (comme sur le NAS d'origine) entre tous les points de restauration antérieurs ?

-
Merci encore

Posté(e)

@TuringFan

Bonjour,

il y a 4 minutes, TuringFan a dit :

Je pensais que les réplications pouvaient être faites à distance (DD, NAS secondaire, etc.) ?

Je ne te comprends plus, relis ton post du 25/04 ...

il y a 5 minutes, TuringFan a dit :

Mais du coup en faisant des backups d'un NAS sur lequel il y a snapshot, réalisons nous aussi des backups des snapshots

Oui c'est évident, les snapshot sont considérés comme d'autres données (films, Photo, etc ...), non ?

il y a 6 minutes, TuringFan a dit :

avec en cas de restauration d'un backup spécifique la possibilité de naviguer (comme sur le NAS d'origine) entre tous les points de restauration antérieurs ?

Là cela me paraît pour le coup moins évident, (en fait je ne sais pas trop pas assez connaisseur pour le coup).

Cordialement

oracle7😉

Posté(e)
il y a 1 minute, oracle7 a dit :

Je ne te comprends plus, relis ton post du 25/04 ...

Oui, sauf erreur de ma part je pensais que les snapshots ne pouvaient être fait que en local mais qu'ils pouvaient ensuite être répliqués à distance (sans bien comprendre ce que cela signifie).

PS : j'ai également complété par une question de sécurité sur les backups ici.

Posté(e) (modifié)

Salut @TuringFan,

Je n'ai pas un grand avis sur le sujet. Mes données sont relativement mortes sur mon NAS, pour celles qui m'intéressent du moins, donc je me sers uniquement de la sauvegarde. Mais peut-être ce sujet du forum pourra éclairer quelques-unes de tes interrogations : 

Modifié par .Shad.
Posté(e)
Le 03/05/2021 à 08:39, .Shad. a dit :

Salut @TuringFan,

Je n'ai pas un grand avis sur le sujet. Mes données sont relativement mortes sur mon NAS, pour celles qui m'intéressent du moins, donc je me sers uniquement de la sauvegarde. Mais peut-être ce sujet du forum pourra éclairer quelques-unes de tes interrogations : 

Merci

Posté(e) (modifié)

Bonjour à tous,

Je poste ici les évolutions de ce que j'envisage en espérant que cela sera utile pour de futurs lecteurs.

Après avoir envisagé l'opportunité d'utiliser le second NAS (sur un LAN distant) pour héberger mes backups et l'utiliser dans le cadre d'un cluster Synology High Availability j'ai renoncé à cette seconde option car elle semble imposer de nombreuses contraintes (en hardware et en configuration).

Pour le moment j’envisage donc :

  1. D'installer Snapshot Replication sur mon NAS principal et sur mon NAS secondaire (sur lequel sera herbergé surveillance station, cf. plus bas).
  2. D'installer un second routeur et un second NAS sur un LAN distant.
  3. De suivre du mieux possible le tuto de sécurisation de Fenrir pour les deux installations.
  4. De protéger l'accès physique à mon NAS secondaire (en fonction des retours sur ce fil).
  5. D'installer un DDNS sur le second réseau et de configurer un sous réseau du type backup.ndd.tld pour accéder au second réseau (en fonction des retours sur ce fil).
  6. D'effectuer des backups depuis mon NAS principal (à une fréquence encore à déterminer) avec une transmission sécurisée et un chiffrement des archives via HyperBackup.
  7. D'accéder à ce réseau secondaire et ses appareils via un VPN Server installé sur le routeur.
  8. De me protéger d'un acte malveillant / dysfonctionnement sur mon LAN principal en ayant ma caméra IP (sur le LAN principal) qui enregistrera directement avec Surveillance Station hébergé sur mon NAS secondaire soit (i) en restant bannie d'internet et en utilisant une connexion VPN entre les deux réseaux soit (ii) en ayant accès à internet mais en configurant le pare-feu pour ne permettre (en fonction des retours sur ce fil). A noter néanmoins que les snasphots (point 1) blqoue temporairement les enregistrements (pendant c. 5 seconde dans ma configuration actuelle) lors de leur création, reste à voir si hyperbackup agit de même.
  9. D'effectuer un backup en sens inverse depuis Surveillance Station hebergé sur mon NAS secondaire vers mon NAS principal : là aussi avec une transmission sécurisée et un chiffrement des archives via HyperBackup mais en utilisant la fréquence maximale (à savoir toutes les 1h pour le moment). J'attends sur ce sujet des retours sur ce fil.
  10. D'effectuer régulièrement (une fois par mois probablement) un backup chiffré sur un DD externe (conservé hors ligne) via HyperBackup.

    PS : je mets en PJ le schéma du montage

 

797137731_Stratgiedesauvegarde.thumb.png.d8d576ccb61201d639127bb2933fd20e.png

Je suis évidemment preneur de vos remarques et conseils.

Modifié par TuringFan
Posté(e)

J'ai des doutes sur l'intérêt (et le pourquoi) d'envoyer tes enregistrements SS sur ton réseau secondaire pour les renvoyer sauvegardés sur le NAS principal.
De plus, concernant l'aspect sécurité, si tu bannis l'accès à Internet vers tes caméras hors VPN depuis Internet, tu ne l'empêches pas de transmettre vers Internet.
Sous réserve de ceux qui connaissent les RT @oracle7 @maxou56 mais je ne crois pas que leur pare-feu permette de gérer le flux sortant, seulement le flux entrant.

C'est assez souhaitable pour tout ce qui touche à l'IoT et la surveillance (surtout pour des marques chinoises) d'isoler ces périphériques sur un VLAN spécifique, et de les empêcher d'accéder à Internet (en bloquant tout trafic sortant du réseau local, ou en modifiant leur résolution DNS).

Posté(e)

@.Shad. merci pour ton retour,
 

Il y a 11 heures, .Shad. a dit :

J'ai des doutes sur l'intérêt (et le pourquoi) d'envoyer tes enregistrements SS sur ton réseau secondaire pour les renvoyer sauvegardés sur le NAS principal.

L'idée est la suivant.

Imaginons un cambrioleur dérobant ou détruisant le NAS principal les vidéos de la surveillance deviendrait de facto non accessibles sauf pour celles déjà sauvegardées via Hyper Backup sur le NAS secondaire. Or la fréquence maximale de sauvegarde avec ce paquet est de 1h : il est donc fort probable que cela ne soit pas suffisant (NAS volé en moins de 1h).

Le backup dans l'autre sens revient ensuite juste à dupliquer les vidéos dans le cadre d'une stratégie de sauvegarde standard.

In fine le risque résiduel est donc : avoir un vol / une destruction du NAS principal et en même temps un vol / une défaillance du NAS secondaire. Je considère ce risque comme suffisamment faible.

Il y a 11 heures, .Shad. a dit :

De plus, concernant l'aspect sécurité, si tu bannis l'accès à Internet vers tes caméras hors VPN depuis Internet, tu ne l'empêches pas de transmettre vers Internet.
Sous réserve de ceux qui connaissent les RT @oracle7 @maxou56 mais je ne crois pas que leur pare-feu permette de gérer le flux sortant, seulement le flux entrant.

C'est assez souhaitable pour tout ce qui touche à l'IoT et la surveillance (surtout pour des marques chinoises) d'isoler ces périphériques sur un VLAN spécifique, et de les empêcher d'accéder à Internet (en bloquant tout trafic sortant du réseau local, ou en modifiant leur résolution DNS).

Voici ce que j'ai.
image.thumb.png.3e9a85c2c5223d4c841cc684b36bdedb.png

Je pensais que le bannissement était bilatéral ... Comment banir proprement la cam dans les deux sens ?

Merci encore,

Posté(e)

Bonjour

tout cela est renforcé par l'utilisation de deux bons onduleurs.

Indispensable pour sécuriser les sauvegardes et se prémunir d'une défaillance DD/Raid.

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.