Beratung hinsichtlich einer sicheren Cloud-Backup-Lösung

F

fooBar

Enthusiast
Thread Starter
Mitglied seit
11.11.2006
Beiträge
811
Heyho,
derzeit suche ich eine Cloud-Lösung, in der ich online (oder alternativ ggf. bei meinen Eltern daheim, hauptsache ich habe Backups an zwei Orten, sodass ich vor einem Feuer-Desaster geschützt bin) meine wichtigen Dateien backuppen kann. Dabei ist mir aber die Sicherheit enorm wichtig, d.h. soetwas wie Wuala müsste es mindestens sein, d.h. dass die Dateien VOR dem Upload bereits lokal verschlüsselt werden und die Firma keinen Zugriff auf die Dateien hat. Aber Wuala kann eben recht teuer werden und außerdem weiß man aufgrund des Closed Sources natürlich nicht, ob es Backdoors gibt...

Folgendes sind meine Gedankengänge: Wenn ich teuren Speicher bei Dropbox oder Wuala kaufe, kann ich gleich bei meinen Eltern daheim einen NAS für 200EUR aufstellen, der Preis wäre dann nach 2 Jahren gerechtfertigt.

Weiterhin ist das Vertrauen in den Anbieter ein wichtiger Punkt. Ich würde gerne Backups von meinen ganz wichtigen Dateien machen. Die sollten dann aber auf jeden Fall vor dem Upload bvereits verschlüsselt sein; am besten mit einer OpenSource Software. Hier käme zum einen TrueCrypt in Frage: Man kann nicht nur AES, sondern auch andere Algorithmen und Kaskaden, wie z.B. AES-Twofish wählen. Lädt also jmd. Deinen Container runter und behält ihn für 10 Jahre und angenommen, dann wäre AES gecrackt, hätte man nochmal eine zusätzliche Sicherheit durch 2 Algorithmen. TrueCrypt muss aber mit dem Sync-Dienst funktionieren, das tut es ja angeblich mit Dropbox ganz gut. Aber auch hier ist der Preis auch wieder ein Faktor, der nicht zu vernachlässigen ist; auch hier kann man sich theoretisch einen NAS zulegen…

Die einzigen beiden Anbieter mit mehr Speicher sind Skydrive und T-Online Mediencenter mit jeweils 25GB. Beide bieten aber keine gescheite Software (nur WebDAV Zugriff) und keine Verschlüsselung clientseitig von Haus aus an. TrueCrypt wird voraussichtlich nicht wirklich gut mit WebDAV funktionieren, weil man bei WebDAV ja niemals eine lokale Kopie des Laufwerkes besitzt und somit bereits zum Einbinden des TC-Containers der ganze Inhalt erstmal heruntergeladen werden müsste. Wie es mit dem Upload aussähe, keine Ahnung. Ich weiß nicht, ob bei WebDAV ein partieller Upload wie bei Dropbox+TC möglich ist; ich vermute aber mal nein, da ja keine Software im Hintergrund steht, sondern WebDAV ja eine Art Protokoll ist.

Bliebe aber noch die Möglichkeit, eine Software einzusetzen: Dabei habe ich vorhin gerade TeamDrive entdeckt. Funktioniert anscheinend mit WebDAV zusammen und kann auch beliebige Ordner auf der Festplatte als Backup-Quellen nutzen – außerdem werden die Dateien VOR dem Upload verschlüsselt. Kostet aber auch ein bischen Geld, wenn man mehr als 2 GB an Daten backuppen möchte. Weiterhin ist die Software natürlich auch Closed Source und somit ist das Vertauen ggf. nicht ganz so hoch wie etwa in TrueCrypt.

Duplicati finde ich dahingehend nicht gut, dass man nicht mehrere beliebige Ordner auf der HDD als Quelle für ein Backup angeben kann.

FAZIT: Meiner Meinung sind die besten Lösungen folgende:

1. Eigenen NAS, wobei man sich hier natürlich etwas auskennen sollte, wenn man entsprechende Einstellungen im Router hinterlegt, sodass man z.B. von außen auf den NAS zugreifen kann. Außerdem sollte man eine zweite Wohnung/Haus haben (wie z.B. bei den Eltern daheim), wo der NAS dann steht, sodass man eine Art “feuerfestes” Backup wie in der Cloud hat. Natürlich kann es bei den Eltern auch mal brennen, aber dann hat man ja immernoch seine lokale Daten. Dass es gleichzeitig bei sich daheim und beim 2. Standort brennt, halte ich für ausgeschlossen :)

2. Ggf. SkyDrive/T-Online mit TeamDrive, das werde ich noch testen, wie gut das funktioniert.

3. letzte Möglichkeit wäre dann eben noch DropBox+TrueCrypt, auch wenn es preislich vielleicht nicht ganz so gut ist, wie sich direkt einen NAS anzuschaffen: Hierbei kann man die Dateien lokal verschlüsseln, wobei ein Algorithmus der Wahl genutzt werden kann (oder sogar 2 bzw. 3 hintereinandergeschaltete); es können neben dem PW auch Keyfiles genutzt werden! Dropbox läuft auf allen Rechnern eigentlich sehr gut und kann ja scheinbar nur die Änderungen eines TC-Containers hochladen: Getestet habe ich dies zwar noch nicht, aber oft genug darüber gelesen.
Der Ablauf dieses Aufbaus wäre nicht ganz so “flüssig” wie bei den anderen Lösungen: Man müsste den TC-Container manuell mounten und dann die entsprechend zu sichernden Ordner / Dateien in das gemountete Laufwerk syncen (z.B. DirSync Pro), dann den Container unmounten und dann sollte DropBox die Änderungen hochladen. Nachteil wie gesagt: Manueller Prozessablauf (automatisches mounten ginge ja nur, wenn irgendwo, z.B. in einer batch-Datei, das PW hinterlegt ist, und das will sicherlich niemand) und außerdem doppelter Speicherverbrauch, da alle zu backuppenden Daten einmal im Original lokal vorliegen und dann nochmal lokal innerhalb des TC-Containers. Vorteil dafür eben enorme Sicherheit und wohl verlässlicher Prozess.

Irgendwelche Gedanken?
Bitte um eine aufschlussreiche Diskussion!
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Moin,

Als erstes fällt mir dazu ein: Man kann es treiben und man kann es übertreiben - verspricht ein interessantes Thema zu werden :-D

Welche Daten hast du denn, die irgendwen veranlassen könnten, deinen mehr als 25GB großen Container über Jahre aufzuheben bis er vll. oder auch nicht an die Daten herankommt? Ganz zu schweigen von dem Aufwand den derjenige vorab erstmal betreiben müsste, um überhaupt an den Container zu kommen...
Und selbst wenn du sojemanden findest - kann er mit deinen Briefen an die Versicherung und einem Stapel Urlaubsfotos soviel Schaden anrichten? Und wenn er das kann - warum bricht er nicht einfach in deine Wohnung ein und klaut sich dort direkt die passende Festplatte?

Klar, es mag bestimmt Fälle geben, in denen sowas notwendig und gerechtfertigt ist - aber in 99,937% der Fälle sollte AES alleine schon reichen...

Nichts desto trotz kann ich deine Sorge nachvollziehen und, halte selbst nicht sonderlich viel von diesen Cloud-Storages - schon garnicht, wenns um sensible Daten geht... Keiner weis, was die im Endeffekt wirklich damit anstellen...

Ich würde daher eine NAS-basierte Lösung ins Auge fassen - was du allerdings nicht vergessen darfst: Alleine mit dem Anschaffungspreis ists nicht getan... Strom, ggf. Ersatzteile, usw...

Zu deinem letzten Gedankengang TrueCrypt+DropBox: Zum einen könntest du den Ablauf mit TrueCrypt soweit (BATCH, WSH) automatisieren, dass du im Endeffekt nur noch das Passwort eingeben müsstest... wäre ja schonmal ganz akzeptabel - alternativ kannst du das Passwort mit in das Script packen und die ein oder andre Keyfile (vll. von nem USB-Stick, den du immer dabei hast...?) verwenden - selbst wenn jemand an das Passwort käme, bräuchte er noch die Keyfiles...

Ansonsten noch ein Denkanstoß - nicht ganz so bequem wie ne Klaut, aber geht auch - und das billiger, schneller und sicherer:
Man nehme zwei USB Platten und verschlüssele diese - anschliessend erstelle man auf beiden Platten ein identisches Backup.
Platte A behälst du zu Hause und aktualisierst fleissig deine Backups - Platte B deponierst du im Büro/bei denen Eltern/bei einem Kumpel/Bankschliessfach.
Nach einer gewissen Zeit (1 Woche, zwei Wochen, egal...) tauschst du die Platten aus...

So hast du immer ein halbwegs aktuelles Backup ausser Haus, an das so einfach niemand heran kommt.
 
Zuletzt bearbeitet:
Es gibt denke ich zwei ziemlich sichere Methoden...

Möglichkeit 1:
Backup sensibler Daten auf externe Datenträger und diese in definierten Abständen dann extern bunkern (Eltern, Arbeit, Bankschließfach, Freunden, Bekannten usw.)
Das ganze nach wahl noch verschlüsselt und schon kommt da niemand ran. Außer der Einbrecher womöglich --> wobei der wohl dann eher an der Verschlüsslung scheitert anstatt da was rauszubekommen...
Wichtig sind mehrere Datenträger je nach Anforderungen und Datenaufkommen bzw. Änderungshäufigkeit. Dafür geht es recht schnell so ein Backup durchzuführen. Nachteil ist, es erfordert händische Eingriffe in Form des außer Haus bringens.

Möglichkeit 2:
Das ganze via verschlüsselter VPN Verbindung auf ein Storage stehend irgendwo extern (Eltern, Arbeit, Freunde, Bekannte) drauf schieben lassen.
Da das ganze ähnlich der Cloudlösung ist, bleiben die Nachteile dieser Lösung wohl vorhanden. Aber, bei der Auswahl des richtigen Standortes, kann das Risiko denke ich bedenkenlos abgeschätzt werden, was Zugriff dritter auf die Daten angeht.
Bei meinen Eltern oder engen Freunden würde ich sowas bedenkenlos machen.
Vorteil hier, man bekommt sowas quasi vollautomatisiert hin. (was aber nicht unbedingt der eigentliche Sinn des Backups ist) Nachteil könnten INet Bandbreiten auf deiner Seite sein (je nach Datenmenge) des Weiteren erfordert es ein wenig mehr Grips in Sachen Generationsprinzip. Sonst wird der aktuelle Stand schlicht einfach immer überschrieben (und somit potentielle Userfehlgriffe ohne sofortige Bemerkung werden mitsyncronisiert)

Ich setz übrigens Methode 1 ein. Und nutze dazu mehrere externe HDDs, welche im Wochentakt rotieren. Technisch wäre auch täglich machbar, da ich sowieso (außer WE) auf Arbeit fahre... Aber bei mir ändern sich die Files idR nur am WE signifikannt. Daher ists eher wichtig den Stand des letzten WEs sicher zu haben.



Was als womöglich dritte Option noch in Betracht kommen könnte, wäre halt die Online Möglichkeit mit vorverschlüsselten Containern und übertriebenen Schlüssellängen (um zukünftige Entschlüssung zu verhindern)
Wo du diese dann schlussendlich hinlädst, ist erstmal ziemlich egal. Solange der Schutz des Containers hält. Nachteil, idR werden dann immer ganze Container hochgeladen. Was viel Uploadbandbreite am Stück benötigt.
 
Danke erstmal für eure aufschlussreichen Posts :-) Also erstmal: Ja, ich habe derzeit bereits 2 verschlüsselte Backup-HDDs, die ich hin und wieder zu meinen Eltern mitnehme, das aber nur so alle Monat mal, weil ich nicht öfter heimkomme. Derzeit mach ich ein Praktikum, dort könnte ich die HDD natürlich mit hin nehmen, aber wenn ich weiterstudiere, suche ich auch für dann eine Lösung... Zum Freund oder Freundin ginge, aber ich will nicht unbedingt für Paranoid gehalten werden; haha!! (Gut, Freundin weiß schon bescheid, aber wer weiß, wie lange ich noch mit ihr zusammen bin... ;)).

Wenn ich das ganze über das Internet mache, dann brauche ich die Uploadleistung sowieso schonmal, daher egal ob Cloud oder per VPN auf den Heimrechner meiner Eltern und/oder NAS dort.

Okay, zum Thema NAS: Da weiß ich eben nicht genau, ob es sninvoll ist, von außen durch eine Portweiterleitung am Router auf das Teil zuzugreifen und wie es dabei mit der Sicherheit bzgl. Angriffen aussieht... Da müsste ich mich ggf. mal einlesen. Weiterhin weiß ich nicht, wie man die Teile normal per TC verschlüsselt. Aber gut, hier wäre wohl noch etwas lesebedarf.

Weiterhin ist mir mal aufgefallen, dass man ja sowieso nur die Daten sichern muss, die sich häufig ändern, weil eben das monatliche Backup sowas wie Urlaubsfotos idR ja sowieso schon einschließt, da man ja nicht eben mal jede Woche in den Urlaub fährt :) Aber ob man hierbei mir 2GB auskommt, ist eben die Frage.

Bei Dropbox wie gesagt gäbe es ja die Möglichkeit, TC zu nutzen. Dabei wird NICHT immer der volle Container hochgeladen, sondern laut Internetquellen immer nur die Änderungen des Containers. Wie das genau funktioniert, fragt mich nicht, aber es scheint zu klappen! Das wäre dann eigentlich ja eine gute Lösung, da sie mit Skript bis auf die PW-Eingabe automatisiert werden kann, aber es ist eben kein komplettes set-and-forget. Und da die 2GB auch noch durch weitere Dateien (zwischen Freunden) teils belegt sind, müsste ich wohl wirklich auf 50GB upgraden... Bzgl. der Sicherheit wäre das auf jeden Fall TOP, weil ich Kaskaden in TC verwenden kann. Und ob ich nun AES oder eine Kaskade verwende, ist im Prinzip ja echt egal, weil ich nen leistungsfähigen Rechner habe und da eher noch die Festplattenschreibgeschwindigkeit als die Verschlüsslungsgeschwindigkeit limitiert...

Nunja, mal sehen, was ich zum Thema NAS so rausbekomme.... Vielleicht kann mir hier noch jmd. ein paar Denkanstöße geben. Was ich dabei halt denke: Klar Strom okay... Müsste ich abklären. Und natürlich kann auch mal ne Platte ausfallen, aber das passiert ja recht selten. Für das Geld hätte ich dann zwar viel Speichern, den ich alleine garnicht benötige, aber man weiß ja nie, wohin es sich noch entwickelt. Auf jeden Fall hätte ich hierbei nicht die monatlichen Raten an einen Cloud Betreiber und könnte z.B. auch ein Initialbackup direkt vor Ort draufkopieren. Alles so Sachen, die ganz schön sind. Man weiß ja auch nie, wie sich die Nutzungsbedingungen von Serviceprovidern entwickeln...
 
Wenn die Lösung mit TrueCrypt funktioniert (was ich bisher nicht kannte aber sich interessant anhört. Dürfte was ähnliches sein wie lancrypt?), würde ich dies so machen.
Ein NAS, mit 4-6 Platten, Hot-Spare einrichten, glücklich sein.

Wenn es Dir lediglich um eine Synchronisierung geht, dann wäre dies wohl nahezu "optimal" im privaten Umfeld.
Theoretisch könntest Du dann noch ein weiteres NAS nutzen, diese dann per rsync o.ä. synchronisieren.
Ein VPN lässt sich häufig schon direkt am NAS einrichten.

Schaue doch mal bei QNap oder Synology.

Was den Strom angeht: so viel macht es nicht aus. Das Teil wird ja mal in Standby fallen, ich schätze dann brauch das Ding um die 20 Watt.
Dann bringste deiner Mum nen Strauß Blumen und ne Packung Pralinen mit und fertig.
Sinnvoll wäre aber evtl. eine Lan-Steckdose.
 
heuchler schrieb:
Wenn die Lösung mit TrueCrypt funktioniert (was ich bisher nicht kannte aber sich interessant anhört. Dürfte was ähnliches sein wie lancrypt?), würde ich dies so machen
Zum Vergrößern anklicken....
auf welche beziehst du dich nun? Lancryprt sagt mir nun wiederum nix, aber ich werds mal googlen :)

heuchler schrieb:
Ein NAS, mit 4-6 Platten, Hot-Spare einrichten, glücklich sein.
Zum Vergrößern anklicken....
wie gesagt, mir würden ja wahrscheinlich für das Wichtigste theoretisch schon 50GB langen :-) Also ich denke eine 2*1TB (raid-spiegelung) reicht wohl erstmal :)

heuchler schrieb:
Theoretisch könntest Du dann noch ein weiteres NAS nutzen, diese dann per rsync o.ä. synchronisieren. Ein VPN lässt sich häufig schon direkt am NAS einrichten..
Zum Vergrößern anklicken....
Wieso noch eine? Was ist der Vorteil von rsync gegenüber irgendeiner anderen Software im Internet? Habe halt Windows und da müsste ich sonst wohl über Cygwin gehen....

heuchler schrieb:
Sinnvoll wäre aber evtl. eine Lan-Steckdose.
Zum Vergrößern anklicken....
Was meinst Du damit? Powerlan? Und falls ja, wieso gerade das? Wieso den NAS nicht einfach direkt an den Router anschließen?
 
fooBar schrieb:
Wieso noch eine? Was ist der Vorteil von rsync gegenüber irgendeiner anderen Software im Internet? Habe halt Windows und da müsste ich sonst wohl über Cygwin gehen....
Zum Vergrößern anklicken....
Mit rsync kannste halt prima Daten von A nach B spiegeln/Synchronisieren - unter Windows tut robocopy etwa das gleiche...

Was meinst Du damit? Powerlan? Und falls ja, wieso gerade das? Wieso den NAS nicht einfach direkt an den Router anschließen?
Zum Vergrößern anklicken....
Ich vermute, er meinte eine Steckdosenleiste, die sich übers Netz an und ausknipsen lässt, damit das NAS nicht ständig durchbrummt...
 
Ach so etwas gibt es Oo Ui, das wusste ich ja nicht, wär natürlich cool.
 
fooBar schrieb:
Duplicati finde ich dahingehend nicht gut, dass man nicht mehrere beliebige Ordner auf der HDD als Quelle für ein Backup angeben kann.

Irgendwelche Gedanken?
Zum Vergrößern anklicken....

Ich nutze Duplicati und man kann die Quell-Ordner selbst auswählen. Im Setup Wizard kann man sich entscheiden zwischen "My Documents" oder einer "Custom Folder List". In der alten Version hieß das noch "Specific folder".

Documents.png

Mit "Custom folder list" oder "Specific Folder" kann man dann beliebige Ordner auf der Festplatte auswählen. Über die Filterfunktion kann man dann sogar bestimmte Unter-Ordner mit Regeln wieder ausschließen.

Trev
 
fooBar schrieb:
Bei Dropbox wie gesagt gäbe es ja die Möglichkeit, TC zu nutzen. Dabei wird NICHT immer der volle Container hochgeladen, sondern laut Internetquellen immer nur die Änderungen des Containers. Wie das genau funktioniert, fragt mich nicht, aber es scheint zu klappen!
Zum Vergrößern anklicken....

Nur, solange der TC-Container gemountet ist, wird da erstmal gar nichts gesichert. Erst nachdem man den Container "abgehängt" hat, werden auch die Änderungen übertragen. Wenn man also den Rechner startet, einen TC-Container öffnet, dann arbeitet und den Rechner ausschalten möchte, muss man erstmal den TC-Container abhängen und warten, bis alle Änderungen gesichert wurden.

Trev

---------- Post added at 15:42 ---------- Previous post was at 15:39 ----------
fdsonne schrieb:
Was als womöglich dritte Option noch in Betracht kommen könnte, wäre halt die Online Möglichkeit mit vorverschlüsselten Containern und übertriebenen Schlüssellängen (um zukünftige Entschlüssung zu verhindern)
Wo du diese dann schlussendlich hinlädst, ist erstmal ziemlich egal. Solange der Schutz des Containers hält. Nachteil, idR werden dann immer ganze Container hochgeladen. Was viel Uploadbandbreite am Stück benötigt.
Zum Vergrößern anklicken....

Das ist im Prinzip, was Duplicati macht. Alle Dateien werden in einem verschlüsselten Container auf Online-Speicher hochgeladen. Aber Duplicati schafft es auch, inkrementelle Backups zu machen; also nur die Änderungen an Dateien zu übertragen statt der kompletten Datei bzw. dem kompletten Container. Und das Password wählt man selbst aus und damit liegt bei Amazon S3, SkyDrive, HiDrive und wie sie alle heißen ein sicheres Backup.

Trev
 
trevorreznik schrieb:
Das ist im Prinzip, was Duplicati macht. Alle Dateien werden in einem verschlüsselten Container auf Online-Speicher hochgeladen. Aber Duplicati schafft es auch, inkrementelle Backups zu machen; also nur die Änderungen an Dateien zu übertragen statt der kompletten Datei bzw. dem kompletten Container. Und das Password wählt man selbst aus und damit liegt bei Amazon S3, SkyDrive, HiDrive und wie sie alle heißen ein sicheres Backup.

Trev
Zum Vergrößern anklicken....

Das Problem ist, beim Thema absolute Sicherheit ist genau das ein meilenweit offenes Scheunentor, was man sich bauen kann ;)
Die Verbindung zwischen heimischem PC und dem Container irgendwo im WAN ist schlicht und einfach nicht 100% sicher zu bekommen... Da der Anwender schlicht und einfach keine Möglichkeiten hat, sicher zu gehen, was an der Gegenstelle mit den Daten passiert. Es gibt sogenannte "man-in-the-middle" Methoden um vermeindlich sichere SSL Verbindungen an der Gegenstelle mitzuhören, nämlich genau dort, wo die SSL Verbindung terminiert wird, ist jeglicher Verkehr hinter der Terminierungsstelle unverschlüsselt und somit für jederman, der dort rankommt, lesbar...
Wenn überhaupt wäre das von mir angesprochene vorverschlüsseln am heimischen PC sicher und dann der Upload im ganzen. Mit allen Nachteilen.


Zum anderen, mit übertriebenen Schlüssellängen meine ich nicht das Password selbst, sondern eben die Schlüssellänge, mit der verschlüsselt wird. Die Schritte für die Berechnung beim verdoppeln der Schlüssellänge, nehmen expotentiell zu. Was zumindest auf die nächsten Jahre halbwegs vorrausberechenbar macht, ob sowas sicher bleibt oder nicht.
AES gibts mittlerweile ja schon ein paar Jahre, und auch wenn Lösungsansätze zum Knacken durchaus gegeben sind, bleibt einfach die Zeit für die Berechnung im Raum als KO Kriterium für das Knacken. Irgendwo hab ich mal was aufgeschnappt vor ein paar Jahren, das AES256 mit der damals gebündelten Rechenpower der ganzen Welt weit über 10 Jahre brauchen würde, um das Teil zu entschlüsseln. -> das wäre quasi sicher :fresse: für die nächsten paar Jahre.
 
fdsonne schrieb:
Wenn überhaupt wäre das von mir angesprochene vorverschlüsseln am heimischen PC sicher und dann der Upload im ganzen. Mit allen Nachteilen.
Zum Vergrößern anklicken....

Ich habe nie das Gegenteil behauptet. Bei Duplicati ist es so wie du es vorschlägst: Alle Dateien werden auf dem lokalen PC verschlüsselt und dann werden die verschlüsselten Daten auf den Speicher übertragen. Ein man-in-the-middle ist dadurch nicht erfolgreich. Die Schwachstelle ist eigentlich der lokale PC, auf dem die Daten unverschlüsselt liegen. Übertragung und Datenspeicher sind nur verschlüsselt.

fdsonne schrieb:
Irgendwo hab ich mal was aufgeschnappt vor ein paar Jahren, das AES256 mit der damals gebündelten Rechenpower der ganzen Welt weit über 10 Jahre brauchen würde, um das Teil zu entschlüsseln. -> das wäre quasi sicher :fresse: für die nächsten paar Jahre.
Zum Vergrößern anklicken....

Das Passwort ist natürlich auch wichtig, denn mit "Mama" als Passwort werden die verschlüsselten Daten einem Angriff nicht lange standhalten. Und Passwörter wie "45trF,8" halten einem Brute-force-Angriff auch nicht lange Stand. Da hat man tatsächlich mit Passwörtern wie "InderSchulewarichindieKatrinverliebt" viel bessere Chancen; manchmal kommt es halt doch auf die Länge an. :-)

Ach ja: Duplicati nutzt AES256.

Trev
 
wie sicherst du dann inkrementell? Oder geht die inkr. Sicherung dann auch komplett Online? Wenn ja, haben wir leicht aneinander vorbei geredet ;)

Übrigens, ne gewisse Kennwortkomplexität setze ich mittlerweile vorraus :fresse:
Wobei selbst simple BruteForce Methoden sich bei 6-8 Zeichen gern schon die Zähne ausbeißen und da muss das noch nichtmal äußerst komplex sein...
 
fdsonne schrieb:
wie sicherst du dann inkrementell? Oder geht die inkr. Sicherung dann auch komplett Online? Wenn ja, haben wir leicht aneinander vorbei geredet ;)

Übrigens, ne gewisse Kennwortkomplexität setze ich mittlerweile vorraus :fresse:
Wobei selbst simple BruteForce Methoden sich bei 6-8 Zeichen gern schon die Zähne ausbeißen und da muss das noch nichtmal äußerst komplex sein...
Zum Vergrößern anklicken....

Die Sicherung funktioniert so: Duplicati teilt alle Dateien in Blöcke auf, macht von jedem Block einen Hash und speichert diese. Dann wird zunächst ein komplettes Backup gemacht. Zum Backup gehört eine Liste der Dateien und ihrer Hashes. Deshalb hat Duplicati auch drei verschiedene Dateien: Ein Manifest mit der Liste der Backupdateien. Signature-Dateien, die die Hashes der Blöcke enthalten. Und Archive, die die Dateien enthalten. Alles ist verschlüsselt.

Beim nächsten Backup liest Duplicati dann die Liste der Dateien (Manifest) und Hashes (Signatures) und vergleicht diese mit den Hashes der aktuellen Dateien. Sind sie unterschiedlich, so wird der neue Block zum Backup hinzugefügt. Dabei gilt die Regel: Alles, was den lokalen Rechner verlässt, ist verschlüsselt. Die Hashes werden mit rsync erstellt und verglichen. Die Archive werden mit zip erstellt und gesplittet und verschlüsselt wird alles mit AEScrypt (bzw. GnuPG). Nachlesen kannst du das auch unter Duplicati - HowTos. Alles klar?


Zum anderen Thema: Bei Passwörtern kommt es immer auf die Ausgangssituation an. Hat man z.B. einen Hash eines Passworts von WinXP, so sind auch Passwörter mit 14 Zeichen inkl. Sonderzeichen in Sekunden auf Standardhardware geknackt. Einen dt. Artikel finde ich dazu gerade nicht, aber genau darüber wird in diesem Blog berichtet: Cracking 14 Character Complex Passwords in 5 Seconds. Wie gesagt, es kommt immer auf die Ausgangssituation an.

Trev
 
Zuletzt bearbeitet:
trevorreznik schrieb:
Mit "Custom folder list" oder "Specific Folder" kann man dann beliebige Ordner auf der Festplatte auswählen. Über die Filterfunktion kann man dann sogar bestimmte Unter-Ordner mit Regeln wieder ausschließen.

Trev
Zum Vergrößern anklicken....
Ah cool, danke, das wusste ich noch nicht. Dann werd ichs ggf. nochmal mit dem WebDAV Laufwerk von T-Online Mediencenter ausprobieren...


trevorreznik schrieb:
Nur, solange der TC-Container gemountet ist, wird da erstmal gar nichts gesichert. Erst nachdem man den Container "abgehängt" hat, werden auch die Änderungen übertragen. Wenn man also den Rechner startet, einen TC-Container öffnet, dann arbeitet und den Rechner ausschalten möchte, muss man erstmal den TC-Container abhängen und warten, bis alle Änderungen gesichert wurden.

Trev
Zum Vergrößern anklicken....
Ja das war mir klar, daher sagte ich ja auch, dass dies eben kein komplettes Set-and-Forget ist, sondern man noch bisjen was manuell machen muss, z.b. per Batch Skript o.ä. Aber gut, statt Duplicati könnte man auch EncFS für Windows nutzen, da werden auch alle Dateien per AES verschlüsselt und zusätzlich wird auch nur jede Datei einzeln gesynct. Daher auch hier eine Art 'inkrementelles' Backup.

Aber es hört sich trotzdem nett an, da es scheinbar ja auch mit eigenen 'Servern' funktioniert bzw. eben mit verschiedenem Space! Werd mir dann wohl doch nochmal überlegen müssen, ob ich wirklich nen eigenen NAS verwende, oder eben mittels TC, oder EncFS oder Duplicati selbst bei einem Cloud-Hoster online gehe...

Einzig und alleine bei EncFS wäre es halt ggf. noch möglich, mobile darauf zuzugreifen (--> über BoxCryptor)!

Edit:

1. Also habe gerade Duplicati mal angetestet. Okay, es funktioniert wirklich, dass man mehrere Ordner lokal angeben kann. Und Support für einige Hoster ist auch dabei, sieht echt klasse klasse aus! Mit SkyDrive zusammen (25GB umsonst!) funktioniert es wunderbar! Leider kein Zugriff von mobiler App aus möglich und Duplicati ist closed source, oder?

2. EncFS gibt es für Windows. Zusammen mit Dropbox ebenfalls schick! Zugriff auch von Android aus möglich (BoxCryptor!): https://plus.google.com/108447839809768268554/posts/Jr1yf2MpVtX

Nun steh ich echt vor der Qual der Wahl... Oo TrueCrypt und Wuala fallen wohl wirklich weg. Bleiben die beiden bzw. ein eigenes NAS übrig!
 
Zuletzt bearbeitet:
fooBar schrieb:
1. Also habe gerade Duplicati mal angetestet. Okay, es funktioniert wirklich, dass man mehrere Ordner lokal angeben kann. Und Support für einige Hoster ist auch dabei, sieht echt klasse klasse aus! Mit SkyDrive zusammen (25GB umsonst!) funktioniert es wunderbar! Leider kein Zugriff von mobiler App aus möglich und Duplicati ist closed source, oder?
Zum Vergrößern anklicken....

Nein. Duplicati ist open source unter LGPL. Den source code von Duplicati gibt es auf der Duplicati developer site.

Und noch ein Hinweis zum Begriff "inkrementell". Bei Duplicati weiß ich, dass auch nur die Änderungen innerhalb einer Datei gesichert werden. Wenn also 90% einer Datei unverändert bleiben, werden auch nur die restlichen 10% gesichert. Das ist bei großen Dateien sehr ressourcensparend. Bei EncFS bin ich da nicht sicher: Es arbeitet bei der Verschlüsselung auch blockweise, aber ich weiß nicht, ob auf dem Zielsystem auch einzelne (geänderte) Blöcke liegen, oder immer nur komplett verschlüsselte Dateien. Weiß das jemand?

Trev
 
Okay danke nochmals!
Nutze nun Duplicati in Verbindung mit 25GB freiem Space bei T-Online Mediencenter (->WebDAV) bzw mit SkyDrive, funktioniert soweit super.

Aber einige Frage hätte ich da noch: Wieso fragt Duplicati am Anfang nie nach dem Passwort? Wird das lokal zwischengespeichert oder wie? Wäre ja nicht so toll...!?
 
fooBar schrieb:
Aber einige Frage hätte ich da noch: Wieso fragt Duplicati am Anfang nie nach dem Passwort? Wird das lokal zwischengespeichert oder wie? Wäre ja nicht so toll...!?
Zum Vergrößern anklicken....

Duplicati speichert das Passwort, damit man es nicht bei jedem Backup neu eingeben muss. Das Passwort steht verschlüsselt in der Datenbank (Ausnahme Ubuntu). Mehr Infos dazu gibt es im Duplicati-Wiki.

Ich persönlich sehe da auch kein Problem, denn wenn man das Passwort lesen kann, kann man auch die anderen Daten auf dem Rechner lesen.

Trev
 
Ich fände es besser, wenn ich einmalig beim Start von Duplicati das PW eingeben müsste, es aber nicht auf der Platte gespeichert ist. Würde es nicht reichen, irgendwie ein "Hash" des PWs sozusagen als bei der Verschlüsslung zu nutzenden Key zu speichern und nicht das wirkliche PW selbst?

Klar, das Argument ist natürlich schon irgendwie wahr. Andererseits... Ein Skript zum Mounten von TrueCrypt Containern zu verwendne und darin das PW Plaintext zu hinterlegen, ist ja auch nicht gerade wünschenswert. Da ist es schon besser, es einmal pro Bootvorgang einzugeben, auch wenn die Container dann dauerhaft für die Windowssession gemountet sind. Auch hier könnte man eigentlich sagen: Gut, wenn der Angreifer Zugriff auf den PC hat, ist es ja egal, ob er das Container-PW aus der Batch-Datei ausliest oder die gemounteten Daten direkt.
 
fooBar schrieb:
Ich fände es besser, wenn ich einmalig beim Start von Duplicati das PW eingeben müsste, es aber nicht auf der Platte gespeichert ist. Würde es nicht reichen, irgendwie ein "Hash" des PWs sozusagen als bei der Verschlüsslung zu nutzenden Key zu speichern und nicht das wirkliche PW selbst?
Zum Vergrößern anklicken....

Man kann sich nur schlecht mit einem Hash bei SkyDrive & Co anmelden. Und wenn man das könnte, wäre es auch ein Problem, weil man einen Hash u.U. im Netzwerk abfangen und dann wiederverwenden kann. Aber einmaliges Eingeben beim Start klingt nicht verkehrt.

Trev
 
trevorreznik schrieb:
Aber einmaliges Eingeben beim Start klingt nicht verkehrt.Trev
Zum Vergrößern anklicken....
Aber geht nicht, gelle? Wenigstens Eingabe eines PWs, mit dem wiederum die DB verschlüsselt wird. Weil für jeden einzelnen Hoster PWs eingeben, geht ja auch nicht wirklich...^^

Wobei mir da gerade einfällt, dass man ja rein theoretisch die DB mit einem eigenen Key verschlüsseln könnte (sodass der Zugriff darauf eben nur bei Kenntnis dieses DB-PWs möglich ist) und dann per Batch-Skript eben dieses PW beim Windows Login abfragen könnte... ich werd wohl später mal testen ;) Falls ich dazu komm und ne Lösung finde und du interessiert dran bist, kann ichs hier auch posten!

Edit: Was ich mich noch frage: Wenn Duplicati das PW doch wirklich in einer DB speichert, dann könnte man es doch auch im GUI anzeigen lassen theoretisch. Aber das geht ja nicht, daher dachte ich auch, dass nur irgendetwas vom Passwort abgeleitetes gespeichert werden würde... Oder es wurde eben nur vom Autor so limitiert, dass niemand, der Zugriff zum PC hat, mal eben das PW nachschauen kann im GUI...
 
Zuletzt bearbeitet:
fooBar schrieb:
Aber geht nicht, gelle? Wenigstens Eingabe eines PWs, mit dem wiederum die DB verschlüsselt wird. Weil für jeden einzelnen Hoster PWs eingeben, geht ja auch nicht wirklich...^^
Zum Vergrößern anklicken....

Doch es geht wohl. Das soll dann das Verhalten sein, wenn man den Workaround im Wiki anwendet.

fooBar schrieb:
Oder es wurde eben nur vom Autor so limitiert, dass niemand, der Zugriff zum PC hat, mal eben das PW nachschauen kann im GUI...
Zum Vergrößern anklicken....

Genau so ist es.


Trev
 
Danke ja, kenn ich mittlerweile auch. Abseits von den derzeitig bestehenden Problemen (max. Dateigröße 100MB und kein "." am Anfang des Dateinamens) gibt es hierbei das Problem, wie man den Ordner auf dem NAS verschlüsselt. Es gibt zwar Möglichkeiten dazu, aber die Clientsoftware der Cloud kann dann wohl nicht automatisch den verschlüsselten Cloud-Ordner mounten, sondern man müsste das ganze manuell durch Einloggen am NAS machen...

Ich gehe nun über EncFS und Wuala --> 50GB reichen mir sowieso und 5EUR / Monat ist gut. Der Wuala Client gefällt mir sehr sehr gut und macht einen guten Eindruck. Die Geschwindigkeit passt ebenfalls (habe SkyDrive und T-Online Mediencenter mit Duplicati versucht, aber hier ist die Transparenz des Prozesses nicht gut, da man in Duplicati nur einen Gesamtfortschrittsbalken hat... Außerdem sind die Hoster lahm).

EncFS gibts entweder als encfs4win Port oder für 30EUR von BoxCryptor. Letzteres hat auch ne Android Version, mit der man zumindest auf die Dropbox zugreifen kann. Aber Support für lokale Dateien auf dem Handy soll bald kommen, dann könnte man übers Handy und Wuala Dateien runterladen und per App entschlüsseln...

Aber mobile Unterstützung habe ich für mich sowieso erstmal ausgenommen, es geht primär um ein Backup im Notfall... Und die wirklichen wichtigen Dateien kann ich noch per EncFS in die Dropbox legen und mittels BoxCryptor drauf zugreifen.
 
Sehr interessante Beiträge, nur für mich bleibt bei Duplicati eine Frage offen:
Wie kann ich das Backup validieren?
Ansonsten nutze ich auch Wuala wegen der Verschlüsselung.

Danke im Voraus.
 
Ganz genau das wusste ich auch nicht. Ich fand es daher einfach sehr wenig transparent, v.a. auch der Backupprozess selbst etc... Mittels EncFS und Wuala hat man doppelte Sicherheit und einen sehr transparenten Prozess, weil alle Dateien einzelne hochgeladen werden :-)
 
Ich hoffe nur, das diejenigen, die hier von Datensicherung auf externen Festplatten schreiben, ihre Festplatten auch EMV-fest lagern, sonst kanns schon beim indirekten Blitzeinschlag Essig mit den Daten sein. Und in der Wolke sichern ist nutzlos, wenn die Amis wie bei Megaupload einfach alles mitnehmen. Bei guter Verschlüsselung sind die Daten zwar vor deren Zugriff sicher, mangels Verfügbarkeit aber auch vor dem eigenen...
 
gelöscht
 
Zuletzt bearbeitet von einem Moderator:
Anmelden, um zu antworten.

Ähnliche Themen

Shadow_LA
Vanderplanki - Software für Archivierung von Dateien (Backup)
Antworten
0
Aufrufe
155
Shadow_LA
Shadow_LA
X
Ersatz für Homeassistant, GooglePhotos und NAS - Passt mein Software-Setup-Idee?
Antworten
8
Aufrufe
607
VirtuGuy
V
R
NAS als Cloud Ersatz
Antworten
6
Aufrufe
903
hs_warez
hs_warez
P
[Kaufberatung] Budget-NAS für Backup, Foto-Selfhost und Firewall+VLAN - EpycEmbedded vs AM4 vs gebrauchte Workstation?
Antworten
14
Aufrufe
2K
Pete_5
P
S
Problem + Lösung: Teamspeak3 Server - keine Verbindung von außen
Antworten
0
Aufrufe
269
Sky7677
S
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh