ExterneHDD nach Backup sicher aber ganzheitlich vom System trennen

Mitglied: KMUlife

KMUlife (Level 2) - Jetzt verbinden

20.03.2019 um 15:41 Uhr, 1701 Aufrufe, 14 Kommentare

Hallo zusammen!

Ich würde gerne eine Sicherung mit rotierenden Festplatten einsetzen, welche Wöchentlich gewechselt werden.
Nun kam für mich die Frage auf, ob es eine Möglichkeit gibt, nach dem Backup auf die Harddisk eine solche Festplatte "ganzheitlich" auszuwerfen. So das ein Verschlüsselungstrojaner keinen Zugriff auf diese Platte hat. (Nicht das wir im blödsten Fall mit einem Verlust von einer Woche Daten leben müssen.)

Ich meine, dass auswerfen an sich reicht eigentlich nicht, sondern man müsste fast die Platte komplett vom Strom trennen, da die "schlaueren" Viren ein scann über das System laufen lassen können? Oder sind das Märchen? Spätestens bei einem Neustart des Systems würde die HDD aber sicherlich wieder angebunden sein....
Ich habe da an eine USB-Zeitschaltuhr gedacht. Ist dies zu "brachial" oder habt ihr andere Ideen/Erfahrungen?

Grüsse
KMUlife
Mitglied: chiefteddy
20.03.2019 um 15:59 Uhr
Hallo,

wie wäre es denn mit ein Paar mehr Informationen?

Betriebssystem, Sicherungssoftware, Sicherungsdatenträger lokal angebunden oder über Netzwerk?

Für lokale Sicherung zB.:

Mit dem mount- bzw unmount-Befehl Datenträger einhängen bzw aushängen und dann mit Zeitschaltuhr den Strom des Sicherungslaufwerkes abschalten.

Jürgen
Bitte warten ..
Mitglied: KMUlife
20.03.2019 um 16:06 Uhr
Hi chiefteddy

Betriebssystem mehrheitlich Windows Server 2016 virtualisiert mit ESXi
Backupsoftware wird VEEAM eingesetzt für sicherungen lokal und auf ein NAS in einer Aussenstelle
Problematik dabei ist aber, dass alles online ist.


Sicherungsdatenträger wäre per USB via Host direkt am Veeam-Proxy angehängt. Und dann über rotation und eben mount unmount und evt. Zeitschaltuhr... weiss aber nicht ob das die beste Lösung ist.

Eventuell werden wir auch nicht ganze VM's sichern sondern nur die wichtigsten DB's und Daten. Je nachdem, mit vollsicherung der Server wäre ich bei ca. 900GB bei einem Fullbackup der wichtigsten.... Also nicht riesig aber auch nicht klein.

Zitat von chiefteddy:
Mit dem mount- bzw unmount-Befehl Datenträger einhängen bzw aushängen und dann mit Zeitschaltuhr den Strom des Sicherungslaufwerkes abschalten.

Jürgen

Genau an sowas hab ich gedacht, bin mir aber nicht sicher wie gut dies einer USB-Harddisk tut...


Grüsse
KMUlife
Bitte warten ..
Mitglied: chiefteddy
20.03.2019 um 16:27 Uhr
Hallo,

dass heißt, du hast eine 2stufige Disk-to-Disk-Sicherung in Veeam konfiguriert.

Wenn ich mich richtig erinnere, kann man RDX-Datenträger unter Veeam als Tape einbinden und damit auswerfen. Also auf Disk-to-Tape umstellen.

https://www.tandbergdata.com/de/index.cfm/solutions/backup-virtual-envir ...

https://www.tandbergdata.com/default/index.cfm/solutions/backup-virtual- ...

https://www.thomas-krenn.com/de/tkmag/wp-content/uploads/2013/11/TS_Tand ...

Jürgen
Bitte warten ..
Mitglied: H41mSh1C0R
21.03.2019, aktualisiert um 08:00 Uhr
Ist zwar eine "naja" Lösung, aber:

- USB Platte mit separatem Netzteil, so das der USB nicht als Stromversorgung für die Platte reicht
- WOL(Wake-On-LAN) Steckdosenleiste

Idealerweise die Steckdosenleiste nicht über das System an- und ausmachen was den Backup macht. =)

Nach dem Backup automatisiert die WOL Steckdosenleiste ausmachen. =)

vg
Bitte warten ..
Mitglied: KMUlife
21.03.2019 um 10:12 Uhr
Hi Jürgen & H41....

Zitat von chiefteddy:

Hallo,

dass heißt, du hast eine 2stufige Disk-to-Disk-Sicherung in Veeam konfiguriert.

Warum ist diese zweistufig? Kenn mich da mit den Begriffen nicht so aus.

Wenn ich mich richtig erinnere, kann man RDX-Datenträger unter Veeam als Tape einbinden und damit auswerfen. Also auf Disk-to-Tape umstellen.

https://www.tandbergdata.com/de/index.cfm/solutions/backup-virtual-envir ...

https://www.tandbergdata.com/default/index.cfm/solutions/backup-virtual- ...

https://www.thomas-krenn.com/de/tkmag/wp-content/uploads/2013/11/TS_Tand ...

Jürgen

Danke für die guten Links!
Grundsätzlich habe ich eig. exakt das momentan eingerichtet wie man es auf der Folie "The Big Picture - Backup" in deinem letzen Link sieht. Ausser das eben der letze Schritt, backup copy to Disk/Tape noch nicht vorhanden ist.

Wenn ich da schon ein Experten am Draht habe, aus welchen Gründen sollten verschiedene Medien genutz werden. Weil das wäre bei mir ja momentan nicht der Fall. Ich repliziere auf HDD, ich speichere auf HDD auf einem NAS intern und ich kopiere auf ein NAS in der Aussenstelle. Und mit meinem jetzigen Plan würde ich noch auf HDD speichern um die extern zu nehmen...
Sollte ich mich evt. doch nach Bandlaufwerken umsehen?

@H41mSh1C0R
Danke für deinen Vorschlag!

Grüsse
KMUlife
Bitte warten ..
Mitglied: Dilbert-MD
21.03.2019 um 10:58 Uhr
Zitat von KMUlife:
Backupsoftware wird VEEAM eingesetzt für sicherungen lokal und auf ein NAS in einer Aussenstelle

Du hast also eine Kopie der Daten in der Außenstelle auf einem NAS, das aber ständig über Netzwerk/Netzlaufwerk/Standortvernetzung an Euer System angebunden ist.

Du hast noch lokale Kopien der Daten, die mit VEEAM gesichert werden.

Bei beiden fehlt die echte Trennung von den Originaldaten.

Kannst Du ggf. die USB-HDDs in einem anderen Gebäude lagern, morgens eine abholen, darauf die nächtliche Sicherung spiegeln, und kurz vor Feierabend die USB-HDD wieder in das andere Gebäude (anderer Brandabschnitt / anderer Brandkomplex) bringen?

Vor dem Trennen der USB-HDD kannst Du auch gleich das Protokoll checken und siehst, ob es evtl. Fehlermeldungen gab.

Klar kann man das Ganze automatisieren. Automatisches Backup mit anschließender Mail, nach erfolgreichem Backup wird die USB-HDD ausgeworfen und der Strom getrennt, wenn die Sicherung fertig ist. Eine erfolgreiche Sicherung wurde erstellt, wenn z.B. 10.000 Dateien gesichert und verifiziert wurden. Ob es sich dabei um die Sicherung von 10.000 verschlüsselten Dateien handelt sieht man erst im Protokoll.

Gruß
Bitte warten ..
Mitglied: KMUlife
21.03.2019 um 11:05 Uhr
Zitat von Dilbert-MD:

Zitat von KMUlife:
Du hast also eine Kopie der Daten in der Außenstelle auf einem NAS, das aber ständig über Netzwerk/Netzlaufwerk/Standortvernetzung an Euer System angebunden ist.


Korrekt, darum wollen wir ja auch noch auslagern, sonst würde ich diesen Schritt nicht noch zusätzlich machen wollen.

Bei beiden fehlt die echte Trennung von den Originaldaten.

Genau.... darum auslagern....


Kannst Du ggf. die USB-HDDs in einem anderen Gebäude lagern, morgens eine abholen, darauf die nächtliche Sicherung spiegeln, und kurz vor Feierabend die USB-HDD wieder in das andere Gebäude (anderer Brandabschnitt / anderer Brandkomplex) bringen?

Das Ziel wäre, dass immer am Montag jemand die HDD/Bandlaufwerk mit nach Hause nimmt in ein Safe und ne neue Ansteckt. Rotation von 3 Sicherungslaufwerke (Band oder HDD).


Klar kann man das Ganze automatisieren. Automatisches Backup mit anschließender Mail, nach erfolgreichem Backup wird die USB-HDD ausgeworfen und der Strom getrennt, wenn die Sicherung fertig ist. Eine erfolgreiche Sicherung wurde erstellt, wenn z.B. 10.000 Dateien gesichert und verifiziert wurden. Ob es sich dabei um die Sicherung von 10.000 verschlüsselten Dateien handelt sieht man erst im Protokoll.

Ja das ist klar... aber für diesen Fall sollte dann das Sicherungsmedium greifen, welches ausgelagert ist. Also Maximal eine Woche Arbeitsverlust. Wenn man die Verschlüsselung schon vorher bemerkt und das Medium ausgeworfen wurde (was ja mein plan wäre), weniger. Begreife ehrlich gesagt nicht ganz, was du mir sagen willst .

Grüsse
KMUlife
Bitte warten ..
Mitglied: chiefteddy
21.03.2019 um 11:24 Uhr
Hallo.

"Disk-to-Disk" oder "Disk-to-Tape"

Du sicherst zuerst auf eine Disk (HDD) --> ist schneller als auf Tape --> beeinträchtigt das Life-System kürzer
Danach kopierst Du das Backup auf einen 2. Datenträger (Disk, Tape oä) --> keine Beeinträchtigung des Life-Systems


"aus welchen Gründen sollten verschiedene Medien genutz werden?"

Stell dir vor, du hättest 2 identische NAS und machst "Disk-to-Disk". Die Firmware des NAS hat einen Bug, der beim Schreiben der Daten auf das jeweilige RAID-System die Daten beschädigt. Da beide NAS den gleichen Fehler machen, sind beide Backups unbrauchbar.

Du könntest jetzt einwänden, dass wenn das erste Backup fehlerhaft ist, ist die Copy des Backup auch immer fehlerhaft, egal welches Medium für die Copy genutzt wird. Aber alle Bsp. "hinken".
Es geht hier nicht vordergründig um das konkrete Medium, eher um das "System": 2 NAS vom gleichen Hersteller --> Nein; NAS und RDX (oder USB-HDD) --> Ja; NAS und Tape --> Ja; NAS und BlueRay --> Ja

Trotzdem mache ich immer 2 unabhängige Backups von den Daten: Zum einen mache ich eine komplette Sicherung der VMs mit Veeam auf ein NAS ("Disk") und dann eine Copy auf ein anderes NAS - anderer Hersteller - ("Disk - to - Disk")
Unabhängig davon erfolgt eine weitere Sicherung der "Nutzdaten" über einen zeitgesteuerten Copy-Job (xcopy) auf ein weiteres NAS und von dort für ausgewählte Daten (ERP-System, DB) auf ein RDX-Laufwerk, welches außer Haus gelagert wird.
Die ERP-Datenbank wird mit der systemeigenen Sicherungsfunktion (MS-SQL) auf eine 2. Disk im Server gesichert und dann wie oben geschrieben auf ein NAS kopiert. Zum "Mitnehmen" erfolgt dann noch eine Kopie auf eine RDX-Kassette.

Die NAS stehen außerdem in unterschiedlichen Brandabschnitten auf den Betriebsgelände.


"Sollte ich mich evt. doch nach Bandlaufwerken umsehen?"

Bandlaufwerke sind für die 2. Stufe einer Sicherung immer noch eine bewährtet Lösung: preiswert, gut transportierbar. Auf moderne Bänder (LTO8) passen 30TB an Daten. Das Schreiben und Lesen dauert halt entsprechend lange. RDX ist da schneller aber auch teurer.

Jürgen
Bitte warten ..
Mitglied: KMUlife
21.03.2019 um 11:44 Uhr
Hi Jürgen

Danke für deine ausführliche Erklärung!

Ist korrekt, dass Veeam beim "Auswerfen" des RDX-Laufwerks das Tape effektiv (also physisch) auswirft, oder könnte es durch erneutes anlesen des Systems wieder online gebracht werden? Oder wie muss ich mir das "auswerfen" vorstellen?


Grüsse
KMUlife
Bitte warten ..
Mitglied: H41mSh1C0R
21.03.2019 um 12:03 Uhr
Das auswerfen ist physisch. D.h. die Caddy wird aus dem LW geschoben ein Stück. Von allein wird das nicht eingezogen.
D.h. das muss einer händisch wieder reinschieben. =)
Bitte warten ..
Mitglied: Dilbert-MD
21.03.2019 um 12:48 Uhr
Zitat von KMUlife:
Begreife ehrlich gesagt nicht ganz, was du mir sagen willst .

Nimm keine steuerbare Steckdose o.ä für die USB-HDD, sondern zieh das USB-Kabel per Hand ab und bring die USB-HDD in ein anderes Gebäude oder nimm sie mit nach hause, falls das erlaubt ist.
Bitte warten ..
Mitglied: KMUlife
05.04.2019 um 11:22 Uhr
Zitat von H41mSh1C0R:

Das auswerfen ist physisch. D.h. die Caddy wird aus dem LW geschoben ein Stück. Von allein wird das nicht eingezogen.
D.h. das muss einer händisch wieder reinschieben. =)

Hallo zusammen, ich hatte noch alte RDX Festplatten rumliegen und ne D1000. Wollte dies nun mal testen aber habe mühe beim Auswurf:

Wenn ich das RDX an einem Laptop anschliesse kann ich mit folgendem Code die Caddy "rausschieben".
Wenn ich die RDX an einem Host einbinde und dann über USB-Share einer VM bereitstelle funktioniert das Script aber nicht mehr korrekt. Die Caddy wird nur noch virtuell ausgeworfen aber nicht mehr aus dem Laufwerk geschoben. Im Host ist sie somit noch verfügbar.

Wenn ich das ganze mit freeeject mache habe ich folgenden Fehler:
Error 5: CreateFile
Failure ejecting drive D.


Nehme jetzt stark an, dass vmware das auswerfen blockiert:
procmon - Klicke auf das Bild, um es zu vergrößern

Hat jemand ein solches auswerfen via VM/Host fertiggebracht?

Sonst muss ich dann eventuell auf diese "Button push Eject Methode zugreifen:
https://www.tandbergdata.com/knowledge-base/index.cfm/best-effort-lock-b ...

Habt ihr da für mich Erfahrungswerte?

Grüsse
KMUlife
Bitte warten ..
Mitglied: chiefteddy
05.04.2019, aktualisiert um 14:53 Uhr
Die Caddy wird nur noch virtuell ausgeworfen aber nicht mehr aus dem Laufwerk geschoben. Im Host ist sie somit noch verfügbar.

Hallo,

das ist ja auch völlig logisch und korrekt.

Wenn du das USB-Gerät an den Host anschließt, wird es im Host-BS eingebunden. Wenn das USB-Gerät nun in die VM durchgereicht wird, bleibt es physisch im Host eingebunden und wird nur logisch zur VM durchgereicht. Wenn du nun das USB-Gerät aus der VM "entfernst", bleib es doch nach wie vor im Host eingebunden. Der Caddy kann durch die VM nicht ausgeworfen werden, da er im Host ja noch benutzt wird. (Funktioniert bei CDs ja auch nicht)

Wenn keine VM mehr auf das USB-Gerät zugreift, kannst du es in einem 2. Schritt aus dem Host entfernen bzw. auf dem Host einen Auswurf des Caddy initieren.

Jürgen

PS. So richtig verstehe ich aber dein Problem nicht: Wenn du das RDX-Laufwerk als Sicherungsgerät ordnungsgemäß in Veeam konfiguriert hast (gibt eine Webinar darüber bei Veeam), erfolgt die Verwaltung der Datenträger (Caddys) doch durch Veeam (und damit auch das Auswerfen nach Beendigung des Coppy-Jobs). Warum willst du das außerhalb von Veeam über ein Script machen?
Bitte warten ..
Mitglied: KMUlife
05.04.2019 um 15:35 Uhr
Ja, dass es logisch ist, ist mir auch klar. =)

Ich glaube ich verstehe jetzt... Ich habe nur "Veeam Backup Essentials" und um das RDX als Tape einzurichten bräuchte ich die Enterprise Edition so wie ich das sehe. Deshalb habe ich das auf diesen Weg versucht, da ich die Möglichkeit das RDX als Tape einzurichten gar nicht hatte.

Aber das Webinar hat mir gezeigt wo ich hin "müsste", leider bin ich da lizenztechnisch gesperrt. Vlt muss ichs dann doch irgendwie über ne Zeitschaltuhr lösen.

Grüsse
KMUlife
Bitte warten ..
Heiß diskutierte Inhalte
Ubuntu
HAProxy-Wi: Installation des Pakets geht nicht - ich hätte keine enabled Repos
itnirvanaFrageUbuntu30 Kommentare

Hallo, von der Seite möchte ich gerne HAProxy-Wi installieren ich führe das hier aus Dann kommt -> There ar ...

Multimedia
Fernseher im Empfang GEMA-pflichtig?
CaptainDuskyFrageMultimedia27 Kommentare

Guten Tag, wenn ich in einer Firma einen Fernseher im Empfang betreibe, dort aber nur Nachrichten laufen lasse, ist ...

Windows 10
Windows 7 zu Windows 10 weiterhin kostenlos möglich?
gelöst CubeHDFrageWindows 1022 Kommentare

Guten Abend, ist es möglich einen vorhandenen Windows 7 Key für Windows 10 zu verwenden? Kennt ihr vielleicht andere ...

LAN, WAN, Wireless
Wlan Messgerät
gelöst fizlibuzliFrageLAN, WAN, Wireless20 Kommentare

Hallo, gibt es erschwingliche Messgeräte um vorhanden W-Lan ausleuchtungen in ihrer Signalstärke und Bandbreite zu messen. Es sollen einfache ...

Windows Server
PowerShell Script für MailVersand mit Anhang
gelöst klausk94FrageWindows Server20 Kommentare

Hallo Zusammen, ich bin aktuell etwas am verzweifeln an einem PS Script für den Emailversand Das Script funktioniert, jedoch ...

LAN, WAN, Wireless
RJ45 Buchsen Verbindung
gelöst DennisAdm1nFrageLAN, WAN, Wireless19 Kommentare

Ich habe als Aufgabe bekommen die LAN-Verbindung in einem Haus zu fixen, dabei ist mir aufgefallen, dass der RJ45-Stecker ...

Ähnliche Inhalte
Backup

Backup-Software für WAN-Backup gesucht

HenereFrageBackup31 Kommentare

Servus zusammen, ich möchte Daten von Standort A in Standort B sichern. Verbunden über ein VPN übers Internet. Meine ...

Backup

Veem Backup

gelöst DaHuberFrageBackup8 Kommentare

Hallo zusammn, habe einen Knoten den ich gerne lösen würde. Und zwar, habe ich mal Veem als test für ...

Backup

Backup offline

HaraldsteinbachFrageBackup9 Kommentare

Guten Abend Ich möchte unsere Serverumgebung (windows und Linux) zusätzlich zu unserer bisherigen Backuplösung auch offline sichern Momentan werden ...

Hyper-V

HyperV Backup

gelöst PharITFrageHyper-V7 Kommentare

Hallo allerseits, eine kurze Frage: Aufgrund welcher Kriterien entscheidet Ihr Euch (also hauptsächlich) für welche Backup Lösung mit HyperV? ...

Backup

Backup Übersicht

gelöst BergggFrageBackup3 Kommentare

Hallo zusammen, wir haben hier im Unternehmen mehrere Backupprogramme und mehrere Backupserver (Acronis Version X, Acronis Version Y, Veeam,). ...

Hosting & Housing

Plesk Backup

HSHansFrageHosting & Housing5 Kommentare

Habe versucht mit Plesk Version 17.8.11 ein Backup (mySQL-Datenbank) wiederherzustellen. Beiliegend ein Screenshot. Leider kann ich die wiederherzustellende Datenbank ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT