Las copias de seguridad son una de las mejores formas para proteger los datos en caso de desastre informático, ya sea debido a un fallo de hardware, a un problema puntual de software, e incluso frente a posibles ataques de ransomware o de cualquier ciberataque que quiera borrar todos nuestros datos. QNAP es una de las marcas más especializadas en NAS y copias de seguridad, y ahora han lanzado la funcionalidad Airgap+ en su popular software HBS3 y sus routers Qhora para añadir una capa de protección a las copias de seguridad. ¿Quieres conocer qué es Airgap y cómo funciona? A continuación, tenéis todos los detalles.
El software Hybrid Backup Sync 3 (HBS3) es el software propietario de QNAP que nos permitirá realizar copias de seguridad, tanto en el NAS local, en un NAS remoto, en un servidor de la red local e Internet, e incluso es compatible con diferentes servicios en la nube como OneDrive, Google Drive, Dropbox y otras alternativas más profesionales como Amazon S3 entre otras muchas opciones. En muchas empresas tienen un NAS principal donde guardan todos los datos, y posteriormente un NAS secundario que es el que recibe las copias de seguridad. Ahora QNAP con Airgap+ lo que hará es proteger este NAS secundario de posibles ciberataques.
Qué es Airgap+ y cómo funciona
Airgap+ es una funcionalidad incorporada tanto en HBS3 como en los routers QHora del fabricante QNAP. Esta característica de seguridad, consiste en permitir el tráfico desde el NAS de origen cuando se está realizando la copia de seguridad, sin embargo, una vez que ha terminado la copia de seguridad, el router se encargará de aislar por completo el NAS de destino, prohibiendo su acceso desde el NAS de origen e incluso desde cualquier ordenador o dispositivo que haya en la red local de origen. De esta forma, en caso de infección por ransomware en la red de origen, no afectará al NAS de destino porque simplemente no hará comunicación.
Cuando volvemos a realizar una copia de seguridad desde el NAS de origen, entonces sí volveremos a tener comunicación entre los equipos sin problemas, e incluso nosotros con un PC podremos acceder a la administración del NAS. Solamente durante dicha copia habrá comunicación, posteriormente se prohibirá el acceso totalmente para protegerlo.
También hay otros escenarios donde esta característica funcionará perfectamente, como en los escenarios donde tengamos dos NAS en la red privada, y queramos aislar uno de ellos que será el de destino, ya que el primero simplemente actuará como «puente». Las posibilidades de Airgap+ son muy amplias, dependiendo de cómo esté configurada tu red y cuántos NAS tengas.
Ahora que ya sabéis qué es Airgap+ y su funcionamiento, os vamos a enseñar a configurarlo en dos NAS de QNAP y usando un router QHora para la comunicación entre ambos equipos.
Router QHora con el firmware compatible
Actualmente hay dos routers compatibles con esta característica de Airgap+, es obligatorio que tengamos o el router QHora-321 o el QHora-322. En nuestro caso, hemos usado el router QHora-321 para la realización de todas las pruebas.
Es muy importante que la versión de firmware del router sea la 2.4.2 o superior, en nuestro caso, tenemos la versión 2.4.4.106 que es la última versión disponible actualmente. Si nos metemos en la configuración de los puertos, podéis ver el estado de los mismos y las subredes que tenemos. En una subred tenemos un servidor NAS y en otra subred tenemos el NAS secundario al que enviaremos las copias de seguridad.
De manera predeterminada, el router QHora permite comunicación entre todas las redes sin problemas, si queremos bloquear el acceso tendremos que configurar su firewall con diferentes reglas. El funcionamiento de Airgap+ no requiere configurar nada de forma avanzada, todo se hará de forma automática una vez que hayamos configurado todo.
Datos iniciales en los NAS de origen y destino
El servidor NAS de origen es un TS-431K, un servidor NAS de gama media pero que nos proporcionará un muy buen rendimiento para realizar estas copias de seguridad.
Hemos creado un conjunto de almacenamiento con unidades SSD en RAID 0, y posteriormente hemos creado una carpeta compartida llamada «AlmacenOrigen» y dentro hemos creado la carpeta «COSAS PARA BACKUP«. Esta carpeta será la que copiemos al servidor NAS de destino.
El servidor NAS de destino es el TBS-464, un NAS de gama media-alta con unidades SSD. En este caso, también hemos configurado dos unidades NVMe en RAID 0 y hemos creado una carpeta compartida llamada «AlmacenDestino«, y dentro tenemos todo vacío, ya que es donde llegarán todos los datos desde el NAS de origen.
Ambos servidores NAS están actualizados con la última versión de QTS 5.2.0 en ambos, además, también tenemos la última versión de HBS3 a fecha de finales de octubre de 2024.
Configuración del backup con HBS3 y Airgap activado
La puesta en marcha de la función Airgap+ es muy sencilla, ahora mismo solamente estamos en el NAS de origen para programar la copia de seguridad, no hemos realizado ninguna configuración en el router ni tampoco en el NAS de destino, para que veáis que todo el proceso se puede hacer desde el NAS de origen sin problema.
Lo primero que debemos hacer es irnos a HBS3 en el NAS de origen, y pinchamos en «Copia de seguridad y restauración«, elegimos la opción de «Crear un trabajo de copia de seguridad» y continuamos con el asistente de configuración. Después tenemos que elegir la carpeta o carpetas en el origen que queremos copiar en el NAS de destino, y pinchamos en siguiente. Ahora elegiremos «NAS remoto» ya que será el que usaremos como NAS de destino del backup.
Es obligatorio que tengamos el servidor RTRR de HBS3 en el NAS de destino activado, pero podemos activarlo sin problemas desde el NAS de origen. Cuando nos salga el mensaje, pinchamos en «Habilitar«, y nos pedirá introducir la dirección IP, el puerto de administración, si queremos usar HTTPS y también las credenciales de administración del sistema operativo de destino. Gracias a esta información, HBS3 se encargará de todo lo necesario para configurar y activar el servidor RTRR.
Una vez que hayamos activado el servidor RTRR, ponemos un nombre, la dirección IP y el puerto de destino, pinchamos en «Detectar servidor» para asegurarnos de que tenemos comunicación. Después podemos poner las credenciales de administración del NAS, un aspecto importante es que solamente podemos poner usuarios que pertenezcan al grupo de administradores solamente. Podemos pinchar en si queremos usar una conexión SSL para proteger los datos, nuestra recomendación es que sí activéis esta opción.
Justo debajo tendremos la opción de «Utilice Airgap+ para proteger los datos del NAS remoto«, si pinchamos sobre el icono de «Info» podremos ver una explicación más detallada. Activamos la opción e introducimos la dirección IP del router y también las credenciales de administración de QHora.
Este error que nos saldrá es completamente normal, el motivo es que tenemos que activar previamente una opción en el router para que funcione correctamente.
En el panel de administración de QHora, nos vamos a «Sistema / Control de acceso / TLS mutuo» y lo activamos.
Nos pedirá confirmación para activar esta funcionalidad, pinchamos en «Sí» y ya habremos activado esta característica. Ya estaremos listos para volver a HBS3.
Ahora en el menú de HBS3 volvemos a rellenar todas las opciones y credenciales, y si pinchamos en «Crear» ya nos funcionará perfectamente.
Ahora ya hemos dado de alta el servidor NAS remoto, simplemente debemos elegirlo, elegir la carpeta de destino en el NAS, y revisar que todo esté correcto a nivel de carpetas de origen y destino.
Todas las opciones relacionadas con la programación y reglas son las mismas de siempre, HBS3 es un software muy avanzado que nos permitirá realizar copias de seguridad muy avanzadas, y por esto tenemos múltiples opciones de configuración disponibles.
En la pestaña de «Resumen» nos pondrá un resumen de todas las configuraciones que hemos realizado, así como también el RPO y RTO estimado en caso de desastre. Si pinchamos en «Crear» habremos terminado el asistente del trabajo de copia de seguridad. Un aspecto importante, es que podemos comprobar la identidad de los datos, que es una nueva función de HBS3 para comprobar la hora de modificación, tamaño y el valor de hash de cada archivo, para confirmar si los archivos se pueden restaurar correctamente. Esta opción estaba en «Programar», y podemos comprobarlo cuando nosotros queramos.
Ahora procedemos a realizar la primera copia de seguridad con Airgap+ activado.
Veréis que la copia de seguridad se realiza como siempre, nada ha cambiado en este aspecto.
Ahora tendremos que esperar hasta que termine la copia de seguridad. Una vez terminada, comprobaremos que no tenemos acceso al servidor NAS de destino, ya que se ha aislado por completo para evitar posibles ciberataques.
Comunicación al NAS de destino mientras se hace la copia de seguridad
Mientras se está haciendo el backup o mientras se comprueba la integridad de los archivos, tendremos comunicación con el NAS de destino sin ningún tipo de problema, todo funciona con normalidad.
En la siguiente imagen podéis ver que también tenemos acceso al NAS mientras se comprueba la integridad de los archivos.
Como podéis ver, tenemos comunicación con el NAS de destino sin problemas.
Aislamiento del NAS de destino al terminar la copia
Sin embargo, cuando hemos terminado la copia de seguridad o hemos terminado de comprobar la integridad, veremos que el NAS de origen ha perdido toda comunicación con el NAS de destino. Si hemos montado una carpeta con Hybrid Mount veremos que da error, ya que no hay comunicación. Si intentamos entrar con nuestro PC al NAS de destino, tampoco funcionará.
Este es el objetivo de Airgap+, aislar por completo el NAS y que no sea accesible desde otras subredes.
Borrado de la tarea de copia de seguridad
En el caso de que borres la tarea de la copia de seguridad en el NAS de origen, también se borrará en el NAS de destino de forma completamente automática, tal y como siempre ha ocurrido.
Al borrar el trabajo de copia de seguridad, Airgap+ dejará de funcionar, por lo que ya podremos acceder al servidor NAS de destino con normalidad.
Tal y como podéis ver, la funcionalidad Airgap+ nos permitirá aislar el NAS de destino por completo, para evitar infecciones con ransomware y otros ciberataques que puedan poner en peligro nuestros datos. En una buena política de copias de seguridad, siempre deberíamos tener un NAS secundario donde guardar las copias, y esta función le dará una capa de seguridad adicional porque será como si almacenásemos los datos en un soporte sin conexión, como un disco duro externo, pero con todo lo bueno de un servidor conectado como es la posibilidad de programar los backups.