La principal función de un NAS siempre ha sido la de almacenar archivos y copias de seguridad de nuestros equipos, servidores o, en definitiva, cualquier dispositivo, y ahora eleva el nivel de seguridad gracias a la función QNAP Airgap+.
Se trata de una funcionalidad implementada en el software Hybrid Backup Sync 3 (HBS 3) para que las copias de seguridad queden aisladas en el NAS que las contiene, y así blindarlo frente a ciberataques o ransomware.
Para ello necesitaremos, como mínimo dos NAS y un router QHora, lo demás os lo proporcionamos nosotros gratuitamente en este tutorial de montaje, y os contamos nuestra experiencia de uso con ella.
Qué es QNAP Airgap+
Lo primero que debemos hacer tras adquirir un NAS es aprovecharlo para tener nuestros ficheros más sensibles replicados y seguros dentro de su sistema de almacenamiento en red.
A este podemos añadir multitud de capas de seguridad, como pueden ser la implementación de redes virtuales, VPN, firewall, encriptación, etc. y además multitud de funciones para aligerar las tareas como en NetBak PC Agent o HBS 3.
Esta nueva función QNAP Airgap+ se integra en la aplicación por excelencia de copias de seguridad sin conexión de QNAP, HBS 3, disponible tanto en el sistema QTS como QuTS hero y en los routers QNAP QHora-321 y QHora-322.
La idea es implementar un sistema, como mínimo de dos NAS, uno de origen, donde tenemos los ficheros que queremos respaldar, y otro de destino, donde queremos volcar las copias de seguridad, a través de un router QHora, para que, al terminar de realizar el backup, el NAS de destino quede totalmente inaccesible y protegido frente a ataques y ransomware.
Entonces, lo que hace Airgap+ es permitir el tráfico de datos desde el NAS origen al de destino únicamente durante la creación de la copia de seguridad a través de una red privada, siendo directamente el router el que aísla posteriormente el NAS de destino.
QNAP Airgap+ también puede integrarse en otros escenarios, con un tercer NAS (modo avanzado) actuando como puente de comunicación, pudiendo realizar copias de seguridad incluso de forma remota.
Es compatible con nubes como Google Drive o Dropbox para uso doméstico o de entornos más profesionales como Amazon S3 para volcar estos datos a un NAS y mejorar la seguridad. Si a esto le añadimos capacidad de deduplicación de datos y un RAID 5 o 6, estaremos ante un sistema sumamente robusto y blindado.
Como configurar QNAP Airgap+
Sin más dilación, vamos a configurar QNAP Airgap+ en el escenario más sencillo donde tendremos dos NAS, uno de origen y otro de destino, dentro de una red local gobernada por el router QNAP QHora-322.
Requisitos previos
El sistema necesariamente requiere dos NAS, uno en donde se encuentren todas las carpetas y contenido que queremos poner sobre seguro, y otro donde se vuelquen esas copias de seguridad
Estos NAS pueden ser de cualquier gama, ya que QNAP Airgap+ es compatible con QTS y QuTS hero, siempre que la versión del sistema operativo sea 5 o superior y la aplicación HBS 3 (Hybrid Backup Sync) esté en su versión 25 o posterior.
En nuestro caso utilizaremos el NAS QNAP TVS-h674 como origen, con un sencillo RAID 0, y el NAS QNAP TS-432X como destino de las copias, con un solo disco duro (no teníamos más unidades a mano).
Recomendamos que el NAS destino tenga al menos un RAID 1 o RAID 5 para añadir mayor replicación de datos.
En el caso del router, debe ser un QHora-321 o QHora-322 con el firmware QuRouter 2.4.2 o superior (nosotros usamos la versión 2.4.5).
Configuración de router
Comenzamos por realizar la configuración indispensable en el router QHora-322 para implementar Airgap+.
Podemos colocar el router como principal o secundario, llevando a cabo la primera configuración de la unidad, siguiendo paso a paso el asistente que nos aparece en el navegador.
Para acceder a él lo más cómodo será instalar Qfinder Pro y así detectar el router en la red, o bien colocando directamente la dirección IP, que normalmente será 192.168.101.1.
No olvidemos instalar la última actualización del firmware, lo cual podremos hacer directamente desde el asistente.
Una vez dentro de la interfaz, podríamos entretenernos en crear redes VLAN para los diferentes puertos, pero nosotros mantendremos la configuración de serie, donde cada puerto pertenece a una VLAN, estando comunicadas entre ellas. Para un uso normal, creemos que es más que suficiente.
Lo que sí necesitamos hacer es activar la función TLS mutuo (mTLS), ubicada en el apartado “Sistema > Configuración de control de acceso”. De esta forma se habilita la autenticación mediante certificados para los NAS implicados, siendo uno de los requisitos de la comunicación segura.
El siguiente paso sería conectar ambos NAS a la red local y como mínimo arrancarlos para efectuar su primera configuración en caso de no tenerlos ya operativos.
Acto seguido nos dirigiremos a la opción “Dispositivos QNAP conectados”, donde deberían aparecer los dos NAS y su correspondiente dirección IP.
Debemos notar que cada boca RJ45 en este router aplica una extensión distinta al tercer número, por lo que estaríamos en subredes distintas, aunque interconectadas entre sí. Esto provoca que los NAS no se detecten en Qfinder Pro desde nuestro PC, al estar en otras subredes.
En nuestro caso ya aparecen los NAS con un nombre identificativo como origen y destino, porque así lo hemos configurado en el momento de inicializar cada equipo.
Con esto, ya tendríamos la configuración en el router lista.
Configuración del NAS de destino
Nosotros hemos denominado a este NAS como PR-BACKUP, creando un conjunto y volumen de almacenamiento con el nombre Backups-Destino. Al solo tener un disco duro extra, haremos un volumen simple, pero recomendamos implementar al menos un RAID 1.
Si deseamos volcar las copias en carpetas determinadas, una para cada equipo, por ejemplo, o para departamentos de la empresa, entonces tendríamos que configurar distintas carpetas compartidas para identificar cada destino. Esto es opcional para cada uno.
Dado que es un volumen simple, hemos colocado un SSD en modo caché solo lectura para acelerar el proceso de transferencia de datos. Esto también es opcional.
El siguiente paso obligatorio será instalar en el NAS de destino la aplicación HBS 3 desde la tienda de aplicaciones, ya que es la que se encarga de crear o recibir, en este caso, los trabajos de copia de seguridad, y la que implementa QNAP Airgap+.
A continuación abrimos la aplicación HBS 3 y nos dirigimos al apartado “Servicios” donde debemos activar la función “NAS remoto RTRR servidor”. Esta función es la que se encarga de sincronizar los datos entre el NAS de origen y el de destino, ya sea de forma local o remota, así que es fundamental.
En el panel de configuración del servicio hemos optado por realizar el acceso mediante la cuenta local del NAS que utilizamos como administrador, aunque también se pueden configurar unas credenciales de acceso específicas, que realmente sería lo más seguro.
Dejamos el puerto en 8899 por defecto, y activamos la opción de “Integrarse con QuWAN” si tenemos nuestro router QHora inscrito en el servicio de la nube de QNAP.
El resto de opciones las dejamos por defecto. Esta opción en realidad también se podría configurar directamente desde el NAS de origen, pero de esta forma creemos que queda más claro.
Configuración de QNAP Airgap+ en el NAS de origen
Hemos denominado como NAS de origen aquel que normalmente utilizamos como enlace directo hacia nuestros equipos, para subir y descargar datos, crear servidores, multimedia, etc., por tanto, es normal que en nuestro ejemplo, sea el NAS más potente.
En él tenemos el sistema QuTS hero, demostrando que esta configuración puede funcionar independientemente del tipo de sistema. Hemos configurado un RAID 1.
Para tener la información bien ordenada y localizada, crearemos una carpeta compartida de nombre “Datos-Backup”, para almacenar los datos que enviaremos como copia de seguridad hacia el NAS de destino.
Volvemos a instalar HBS 3 en este NAS, y, ahora sí, procedemos a configurar el trabajo de copia de seguridad que dará vida a QNAP Airgap+.
Nos ubicamos en la primera opción “Copia de seguridad y restauración” y desplegamos el botón azul para elegir “Crear un trabajo de copia de seguridad”.
El primer paso consistirá en seleccionar las carpetas implicadas tanto en el NAS de origen como destino, y si hemos hecho todo lo anterior, será sumamente sencillo.
Seleccionamos la carpeta donde tenemos los datos (Datos-Backup) como directorio que deseamos respaldar.
En el siguiente paso debemos seleccionar “NAS Remoto” como tipo de espacio, al mismo tiempo que se abre una nueva ventana de configuración donde debemos identificar nuestro PR-BACKUP.
Asignamos un nombre, éste mismamente, y lo más importante, escribimos la dirección IP del NAS de destino y el puerto de comunicación. Podemos volver al router para tomar el dato de la IP, mientras que el puerto por defecto era el 8899. Si pulsamos en “Detectar servidor” estaremos seguros de si la comunicación es correcta o no.
Elegimos la opción de “Cuenta de NAS Remoto” y colocamos las credenciales del usuario que actúa como administrador en el NAS de destino. Recordad que antes hemos elegido esta opción de autenticación.
Para añadir más seguridad estableceremos la comunicación mediante conexión SSL; y por supuesto, activaremos la opción de “Utilice Airgap+ para proteger los datos del NAS remoto”.
En este punto necesitamos colocar la IP del router, que puede ser una de las que corresponden a las distintas subredes, 101, 102, 103… siempre con el último número terminando en 1, como debe ser en la puerta de enlace. También necesitamos las credenciales de acceso al router para activar la fusión.
Por último, nos aseguramos de que la comunicación sea efectiva haciendo la prueba de velocidad.
Con todo listo, confirmamos y volvemos al asistente principal donde ya podemos pulsar en “Seleccionar”, para acceder al NAS remoto, donde seleccionaremos la carpeta compartida donde se enviará la copia de seguridad.
Terminamos este paso visualizando en forma de esquema la carpeta de origen y destino, NAS y sus IP, asignando un nombre al trabajo.
A continuación entramos en toda la configuración de programación del trabajo. Podemos sencillamente elegir “No programado” o entretenernos en llevar a cabo una configuración exhaustiva de la automatización de copias de seguridad. Esto es común en todos los trabajos de copia de seguridad de HBS 3.
Como elementos importantes destacamos el elegir el número de versiones a almacenar y usar QuDedup en caso de que utilicemos QuTS hero, siendo una ventaja técnica de cara al ahorro de espacio, aunque puede darnos problemas con archivos multimedia y de otros tipos como ya nos avisa el asistente.
De nuevo, podríamos integrar el trabajo en QuWAN para optimizar los procesos y el ancho de banda de la conexión.
Llegamos al final de asistente con un resumen de lo que deseamos hacer, y en este instante le damos “Crear” si estamos conformes con todo lo configurado.
Funcionamiento de QNAP Airgap+
El trabajo está hecho, ahora podemos, bien esperar a que se cumple la programación y realizar una copia manualmente desde HBS 3.
Hasta el momento, habíamos tenido acceso al NAS de destino de forma normal y corriente, ahora comprobaremos que solamente tendremos dicho acceso mientras que está efectuando la copia de seguridad o verificación de la misma, en definitiva, cuando Airgap+ establece la comunicación entre los dos NAS.
En el resto de escenarios, el NAS será inaccesible por cualquier medio, quedará totalmente asilado. Tanto es así que si tuviésemos carpetas sincronizadas entre NAS o entre el NAS y algún equipo, tampoco estarían disponibles a partir de este momento.
Desde HBS 3 podemos visualizar el trabajo realizando, el espacio ocupado por la copia de seguridad y algunos parámetros básicos que hayamos establecido durante la configuración.
Si volvemos al router y nos dirigimos a “Red > Configuración de la interfaz física” veremos que en la conexión LAN7, donde tenemos conectado el NAS de Backups, aparece el identificativo Airgap+ indicándonos de la función está activa.
Lo mismo se indica en el NAS de destino si tenemos la oportunidad de entrar en “HBS 3 > Espacios de almacenamiento” veremos que sale el identificador de protección.
Completando la integración: copias de seguridad con NetBak PC Agent
Ya tenemos un tutorial explicando como configurar NetBak en nuestro PC, pero de forma básica, es una función que nos permite realizar copias de seguridad de nuestro disco o discos duros del PC hacia un NAS.
La idea es instalar NetBack en el PC, enviar una copia de seguridad al NAS de origen, que a su vez se enviará en otra copia de seguridad hacia el NAS de destino con Airgap+.
Los dos únicos requisitos que necesitamos es:
- Instalar Hyper Data Protector en el NAS donde se deban almacenar los backups del PC, y para ello sí que necesitamos un NAS de cierto nivel de potencia.
- Enviar los datos de backups hacia la misma carpeta compartida que se enviará al NAS de destino, “Datos-Backup” en nuestro caso.
Podemos comprobar desde el NAS que, efectivamente, NetBak PC Agent crea una carpeta con el backup dentro de nuestra carpeta compartida.
Y que tras realizar una nueva copia de seguridad, el espacio ocupado obviamente subirá drásticamente.
Conclusiones sobre QNAP Airgap+
Airgap+ es una funcionalidad que lleva un paso más allá la realización de trabajos de backup, con cierto nivel de requisitos y coste en lo que a infraestructura se refiere, pero dando un resultado final muy robusto para entornos empresariales y datos especialmente sensible.
El poder aislar el NAS a nivel de enrutamiento de paquetes mediante QHora, brinda una capa más de seguridad frente a ciberataques y ransomware en nuestros datos. Ya con solo este detalle, la inversión de una empresa quedará amortizada, más aún si utilizamos mecanismos de seguridad adicionales.
En este sentido, la integración de las funciones de QNAP en su sistema, NAS y dispositivos es excepcional. Por ejemplo, en 5 minutos hemos configurado NetBak PC Agent para añadir nuestro equipo personal al sistema de copias de seguridad con muy poco esfuerzo.