Veilig gebruik van Rsync

Rsync is een populair stukje open source software waarmee je bestanden tussen twee folders kunt kopiëren en vervolgens kunt blijven synchroniseren. Rsync werkt incrementeel. Dat wil zeggen dat de initiële kopieeractie alle bestanden kopieert en vervolgens voor het synchroniseren alleen de bestanden kopieert die zijn aangepast. Zo kun je folders op een snelle manier synchroon houden. Doordat niet telkens alles wordt gekopieerd, kan dit zelfs uitkomst bieden als het over netwerkverbindingen met een beperkte bandbreedte gaat, zoals internet.

Rsync wordt veel gebruikt in Linux-omgevingen maar er is ook een Windows-versie beschikbaar. Daarnaast zit Rsync vaak geïntegreerd in producten zoals NAS-systemen.
 

Welke risico’s kleven er aan Rsync?

Rsync kan een goede oplossing zijn om bestanden te kopiëren en synchroon te houden. Het is wel belangrijk om aandacht te hebben voor het volgende.

• De standaard (of onjuiste) configuratie van Rsync kan ertoe leiden dat data inzichtelijk zijn of zelfs kunnen worden aangepast door derden. Dit kan bijvoorbeeld het geval zijn wanneer er geen versleuteling of authenticatie plaatsvindt over het netwerk. Dit risico is vooral aanzienlijk als Rsync op niet vertrouwde netwerken wordt gebruikt zoals het openbare internet.
• Zorg dat je goed voor ogen hebt welk doel je wilt bereiken met het inzetten van Rsync. Het wordt vaak gebruikt als back-up-methode, maar het geeft je geen garanties op een bruikbare back-up. Idealiter richt je een back-up in volgens de “3-2-1-methode”. Deze methode stelt dat je minimaal 3 kopieën van je data hebt, die je op 2 verschillende media zet en waarvan 1 op een andere locatie wordt opgeslagen.
• Ook zijn sommige applicaties of sommige data niet geschikt voor Rsync. Dit heeft er mee te maken dat Rsync-bestand voor bestand naloopt en niet een zogenoemde snapshot van een situatie maakt.

Aandachtspunten bij veilig gebruik van Rsync

Het is belangrijk om Rsync in te zetten voor het juiste doel. Daarnaast is het belangrijk om bij de volgende punten stil te staan.

• Voorkom dat een Rsync-service (daemon) direct benaderbaar is via het internet. Richt bij voorkeur een VPN-tunnel of SSH-tunnel in waarover Rsync-verkeer plaatsvindt. Op deze manier is de data versleuteld en niet direct zichtbaar vanaf het internet.
• Mocht een VPN-oplossing niet haalbaar zijn, zorg dan dat het netwerkverkeer op een andere manier versleuteld wordt en beperk het toegestane verkeer in de firewall naar de Rsync-service (daemon) - standaard port 873 - dan alleen tot vertrouwde IP-adressen. Zo voorkom je dat een Rsync-service (daemon) benaderbaar is voor het hele internet.
• Zorg dat toegang tot de Rsync-service (daemon) beperkt wordt tot alleen geauthentiseerde gebruikers. Een foute configuratie kan ervoor zorgen dat iedereen die toegang heeft tot de Rsync-service (daemon) en bestanden kan inzien.
• Houd je Rsync-software up-to-date met de laatst beschikbare beveiligingsupdates. Wanneer Rsync een onderdeel is van een product, zoals bijvoorbeeld een NAS-systeem, dan kun je meestal niet zelf Rsync up-to-date houden. Zorg dan dan je de laatste updates installeert van het het product waar het onderdeel van is.

Een back-up strategie opstellen

Voor het inrichten van een goede back-up van je bedrijfsgegevens, kun je het beste een back-up strategie opstellen. Lees hoe je dat doet en onderneem veilig.