0887 371 498 support@itservice-bg.net
04.07.2026 · Самуил Арсов · NIS2, Киберсигурност

Киберзащита за малкия бизнес (част 10): архивиране (backup) с отдалечен NAS, rsync и SSH

Десета част от поредицата ни за киберзащита на малкия и среден бизнес. Изградихме защитен рутер, сървър, комутатор, VPN, мониторинг, SIEM и — в предишната част — обучен персонал. Но има един въпрос, който рано или късно спасява (или погубва) целия бизнес: какво става, когато въпреки всичко нещо се обърка? Изтрит по грешка файл, отказал диск, откраднат лаптоп или крипто вирус, който заключи всичко.

Архивът (backup) — застраховката на бизнеса. Тази, за която не се сещаш, докато не ти потрябва.

Защо повечето „архиви“ са фикция

Архивът е едновременно най-често пренебрегваната и най-често грешно изпълнената част от системата. Две са класическите провали.

Първо — архив няма изобщо, или седи на същото физическо място, където са и данните. Пожар, наводнение, кражба или ransomware, който криптира и мрежовата папка — и „архивът“ изчезва заедно с оригинала.

Второ — архив уж има, но е фиктивен. Фирмата „прави архив всяка вечер в 22:00 ч.“ Една година по-късно служител се опитва да върне файл — и се оказва, че:

  • доставчикът е сменил IP адреса и архивиращото устройство отдавна не се свързва;
  • на архивиращото устройство му е изгорял дискът, но никой не е видял;
  • самото устройство изобщо не работи, защото чистачката го е изключила, за да включи прахосмукачката в единствения свободен контакт;
  • задачата тихо се е чупила от месеци и никой не е проверявал.

Архив, който никой не проверява дали работи и дали изобщо се възстановява, не е архив.

Единственият праведен път

След всичко изброено има само една правилна посока. Добрият архив е:

  • На отдалечено физическо място, през Интернет. Скоростите отдавна го позволяват. Данните и копието им НЕ трябва да са в една и съща стая — в идеалния случай дори не в един и същи град.
  • Автоматичен. Човек забравя; машината — не. Никакво „ще го пусна аз довечера“.
  • С правилна честота — нито прекалено чест, нито веднъж на две седмици. Един път на 24 часа е балансът за повечето фирми: губиш най-много един работен ден, без да товариш мрежата постоянно.
  • С постоянен достъп до архива. Въпреки че NAS-ът е отдалечен, до него трябва да можеш да стигнеш по всяко време — иначе възстановяването се превръща в приключение точно когато нямаш време за приключения.

Това е и духът на класическото правило 3-2-1: 3 копия на данните, на 2 различни носителя, 1 от които извън обекта. Нашият отдалечен NAS е точно това „1 извън обекта“.

Устройството: ASUSTOR AS5402T

За ролята на отдалечен архивен сторидж избрахме ASUSTOR AS5402T. Причините:

  • Компактен и малък — побира се навсякъде в отдалечения офис, без да заема половин шкаф.
  • 2 × 10TB HDD — конфигурирани като обем от ~18TB полезно пространство за архива.
  • x86 архитектура (не ARM) с Linux-базирана операционна система (ADM) — истински Linux под капака, а не ограничен фърмуер.
  • Удобен Control Panel (ASUSTOR ADM), но с възможност за включен SSH и наличен rsync — точно това, което ни трябва.

Честно за RAID 0: двата диска са в обем без резервираност — ако единият откаже, копието на него се губи. Тук това е съзнателен компромис за максимален капацитет, защото това е вторичното копие — оригиналът стои на продукционния сървър (правилото 3-2-1 остава спазено). За архив, който е единственото копие на критични данни, бихме сложили RAID 1 (огледало) и бихме пожертвали половината капацитет за спокойствие.

Сърцето на решението: rsync през SSH

Ключът към целия механизъм е една малка, но гениална програма — rsync.

Обикновеното копиране прехвърля всичко всеки път. Ако архивът ти е няколко терабайта, това е немислимо да минава всяка нощ по Интернет. rsync копира само разликите. Той сравнява източника и целта и прехвърля единствено променените части на файловете. Дори сървърът да съдържа терабайти, ако за деня са се променили 200 MB — по мрежата минават само тези 200 MB.

Резултатът: по-малко трафик, по-малко време, по-малко натоварване на системата. Първата синхронизация е дълга (минава всичко веднъж), но всяка следваща е бърза.

Вторият стълб е SSH — сигурният канал, по който rsync прехвърля данните. Тук има два важни момента:

  • Криптиране. През SSH архивът минава шифрован — по пътя между двата града няма кой да го прочете или подмени.
  • Автентикация със сертификат (SSH ключ), не с парола. Генерираме двойка ключове на NAS-а; публичния слагаме в authorized_keys на сървъра. Оттам нататък връзката се случва автоматично, без записана парола някъде, и никой не може да я познае или брутфорсне.

Примерна команда, с която NAS-ът тегли (pull) промените от продукционния сървър:

rsync -az --delete \
  -e "ssh -i /volume1/.ssh/backup_key -p 22" \
  backup@203.0.113.10:/var/data/  /volume1/archive/

Защо NAS-ът тегли, а не сървърът бута: при pull модел инициативата е у архива — той се логва в сървъра, чете и си дърпа данните. Така дори сървърът да бъде компрометиран, атакуващият няма никакъв достъп към архива и не може да го изтрие или криптира. Това е малка разлика в посоката, но голяма разлика в сигурността срещу ransomware.

Кога и как — автоматично, в 5:00 сутринта

Синхронизацията се конфигурира директно от NAS-а като планирана задача (scheduled task) и се пуска всеки ден в 5:00 ч. сутринта — когато мрежата е празна и работният ден още не е започнал. Никой не я стартира ръчно, никой не може да я „забрави“. А тъй като е pull от NAS-а, целият процес живее на устройство, което стои на съвсем друго място.

Достъп до данните — по всяко време, отвсякъде

Отдалеченият NAS стои в друг офис или дори в друг град, но до него трябва да има постоянен достъп, за да можеш да върнеш файл в реално време — направо на десктопа си — през интуитивния ASUSTOR File Manager.

Как да стигнем до него сигурно? Тук идва на помощ това, което вече изградихме в част 7:

Препоръчаният начин — през WireGuard тунела. Двата офиса вече са свързани със site-to-site VPN. Достъпваме NAS-а по неговия локален адрес през тунела — File Manager и ADM панелът са ти под ръка, но устройството няма нито един отворен порт към Интернет. Нула повърхност за атака.

Внимание, ако вместо това пренасочите порт директно. NAS с отворен управляващ порт към Интернет е точно това, което ransomware кампании като Deadbolt използваха, за да ударят хиляди устройства. Ако все пак ползвате пренасочен порт, задължително: нестандартен порт (не 8000/8001), firewall правило, което допуска само IP адресите на другия офис, задължителен SSL/HTTPS, силна парола и заключване след неуспешни опити. VPN подходът по-горе просто премахва целия този риск.

Връзката с интерфейса на ASUSTOR естествено е защитена със SSL, така че и през File Manager данните пътуват криптирано.

Заключение

С това затваряме кръга. Изградихме многослойна защита — рутер, комутатор, сегментирана мрежа, VPN, филтриращ DNS, мониторинг, SIEM и обучен персонал — а сега и надежден, автоматичен, отдалечен архив, който тегли само промените през шифрован канал и до който имаме достъп по всяко време.

Това е и последната линия на отбрана: когато всичко друго откаже, добрият архив е разликата между „фирмата е на крака до час“ и „изгубихме данните от последната година“. Не защото сме параноични — а защото, както видяхме, единственият архив, на който можеш да разчиташ, е този, който работи автоматично, стои надалеч и си го тествал, че наистина се възстановява.