Kant en klare NAS of DIY build?

Waarom is hardware matige encrypte een probleem bij kant-en-klaar?
Of is de encryptie in een Synology ook softwarematig?

De voornaamste reden waarom ik een kant en klare NAS heb gekocht (en weer zal kopen) is omdat het een component is welke gewoon moet werken en waar ik geen omkijken naar wil hebben. Mijnsinziens een belangrijk punt in de afweging. Onderhoud en kans op storingen is bij mainstream kant-en-klare producten heel veel kleiner is mijn ervaring.

Elke Synology die ik om handen heb gehad werkt gewoon, geen gezeik.
Zelfbouw is meer storage en performance voor hetzelfde geld maar is vroeg of laat altijd gepuzzel.
Hardware compatibility issue's, driver problemen, gezeur met RAID sets initieel of in de loop van tijd.

[ Voor 0% gewijzigd door Kokkers op 31-12-2012 17:40 . Reden: typo ]

Persoonlijk zou ik met een wijde boog om hardware encryptie heenlopen. Als je hardware dinges het begeeft, kun je dan nog wel decrypten?

Kokkers schreef op maandag 31 december 2012 @ 17:40:
De voornaamste reden waarom ik een kant en klare NAS heb gekocht (en weer zal kopen) is omdat het een component is welke gewoon moet werken en waar ik geen omkijken naar wil hebben.

Dat is zeker een goed argument voor een kant en klare NAS; waarschijnlijk zelfs het beste argument. Je koopt iets en het doet wat het belooft. Simpel zat. Zelfbouw kost je veel meer tijd.

Mijnsinziens een belangrijk punt in de afweging. Onderhoud en kans op storingen is bij mainstream kant-en-klare producten heel veel kleiner is mijn ervaring.

Of zelfbouw meer kans op problemen is, is moeilijk te zeggen. Het is zeker mogelijk dat een onderdeel defect raakt of je problemen met de configuratie krijgt. Aan de andere kant biedt een zelfbouw NAS wel de mogelijkheid tot het draaien van ZFS; wat simpelweg zeer hoogwaardige bescherming biedt aan je bestanden. Dit niveau van bescherming kan Synology je niet bieden. Synology biedt eigenlijk geen enkele bescherming tegen corruptie.

Elke Synology die ik om handen heb gehad werkt gewoon, geen gezeik.

Totdat je problemen krijgt zoals bad sectors, of corruptie op een andere methode. Omdat je corruptie niet altijd kan detecteren, kan deze ook doorvloeien naar je backup. Kortom, dat 'geen gezeik' mag wel genuanceerd worden. Men zou namelijk kunnen stellen dat een ZFS NAS je minder omkijken geeft naar je data, omdat ZFS dankzij zijn beveiligingen ervoor zorgt dat je opgeslagen data goed blijft, zonder tussenkomst van de gebruiker.

Zelfbouw is meer storage en performance voor hetzelfde geld maar is vroeg of laat altijd gepuzzel.
Hardware compatibility issue's, driver problemen, gezeur met RAID sets initieel of in de loop van tijd.

Er zitten zeker nadelen aan, maar ook voordelen. Meer storage en performance voor hetzelfde geld vind ik niet het beste argument. Veiligere opslag, dat zou mijn voornaamste argument zijn. Synology maakt gewoon gebruik van legacy RAID en legacy filesystems (ext4) waar sinds wijdverspreid gebruik toch vrij ernstige bugs in zijn gevonden. ZFS is opslag van een totaal andere klasse.

Met een kant en klaar NAS operating system zoals FreeNAS, NAS4Free of ZFSguru heb je ook niet zoveel omkijken meer naar. De hardware zelf kan ook vrij simpel zijn zoals een Brazos bordje waar de CPU al op zit. PicoPSU en RAM erbij en je hebt een werkend systeem wat als ZFS NAS kan dienen.

Mijzelf schreef op maandag 31 december 2012 @ 18:14:
Persoonlijk zou ik met een wijde boog om hardware encryptie heenlopen. Als je hardware dinges het begeeft, kun je dan nog wel decrypten?

Dat ligt aan de methode van encryptie. Onder FreeBSD/FreeNAS/NAS4Free/ZFSguru gebruik je bijvoorbeeld AES-NI hardware acceleratie die in recente Intel processors zit ingebouwd. Als die niet beschikbaar is, val je terug naar software encryptie. De hardware encryptie in Intel is van het type AES-XTS; dit moet ook softwarematig ondersteund worden wil je hardware onafhankelijk zijn. Op BSD platforms werkt dit dus; maar dat is geen vanzelfsprekendheid. Ik zou juist eerder denken een uitzondering.

Verwijderd schreef op maandag 31 december 2012 @ 19:18:Synology maakt gewoon gebruik van legacy RAID en legacy filesystems (ext4) waar sinds wijdverspreid gebruik toch vrij ernstige bugs in zijn gevonden.

Zover ik 't begrijp zijn Synology-devices Linux based. RAID (md) en ext4 legacy noemen is onzin, de Linux RAID-implementatie is tried and tested, ext4 is een betrouwbaar, state-of-the-art filesystem. Als je met vrij ernstige bugs doelt op de (enkele) corruption bug uit oktober dan is dat wat mij betreft geen reden om ext4 af te schrijven. Ja de bug zat in stable, maar heb je ook beredeneerd wat het risico was dat de gemiddelde gebruiker liep?

Ik ben het met je eens dat ZFS een heel ander fs is dan ext4, maar dat doet niets af aan laatstgenoemde.

Dat ligt aan de methode van encryptie. Onder FreeBSD/FreeNAS/NAS4Free/ZFSguru gebruik je bijvoorbeeld AES-NI hardware acceleratie die in recente Intel processors zit ingebouwd. Als die niet beschikbaar is, val je terug naar software encryptie. De hardware encryptie in Intel is van het type AES-XTS; dit moet ook softwarematig ondersteund worden wil je hardware onafhankelijk zijn. Op BSD platforms werkt dit dus; maar dat is geen vanzelfsprekendheid. Ik zou juist eerder denken een uitzondering.

Volgens mij loopt er hier het een en ander langs elkaar. Je hebt het over cryptoacceleratie, terwijl degene die je quote het over 'hardware encryptie' (sic) heeft. Mogelijk is dit te wijten aan het feit dat het nog steeds niet helemaal duidelijk is wat TS onder 'hardwarematige encryptie' verstaat.

Om toch even in te haken op je antwoord, AES-NI is zeker nuttig als je aan de slag gaat met disk crypto. AES-NI biedt instructies om een aantal AES-operaties efficient uit te voeren, cipher modes (XTS) hebben echter niets met hardwaresupport te maken. Wel is het zo dat zowel de FreeBSD als Linux kernel AES-NI backed implementaties van AES in alle gangbare cipher modes bieden (met name XTS is relevant voor disk crypto). dm-crypt/eCryptfs/geli kunnen hier ook allen gebruik van maken.

Wat TS (en anderen) volgens mij bedoelen met 'hardware encryptie' is een oplossing waarbij de crypto nooit een probleem kan zijn als je de disks in een ander systeem stopt, met andere woorden, zoveel mogelijk transparante encryptie. Er is een standaard voor schrijven die 'transparant' kunnen encrypten (Opal), maar ik heb geen idee welke disks/controllers dat ondersteunen. Succes met het zoeken naar de hardware Bovendien kan ik me voorstellen dat een controller/BIOS enkel drives apart kan unlocken, dan mag je je passphrase 3/4x intikken. Handig.

Een sterker argument om je 'transparent crypto'-eis onderuit te halen is het feit dat je disks sowieso niet 'portable' zijn vanwege het gebruikte filesystem en eventuele RAID-configuratie. Mijn eerdere Googleactie leverde op dat recente Synologymodellen eCryptfs/ext4/md gebruiken. Indien je geen encryptie en geen RAID gebruikt dan is de disk prima leesbaar onder Windows, maar dan zul je eerst een ext4 driver moeten installeren. In geval van encryptie en/of RAID kun je niet om Linux heen, het 'makkelijkste' is dan een Ubuntu LiveCD.

Eenzelfde argument geldt overigens voor ZFS op BSD, met als verschil dat dit in alle gevallen kansloos is onder Windows, en met wat moeite enkel leesbaar onder Linux indien plain ZFS wordt gebruikt. Voor crypted disks (in geval van geli) heb je toch echt FreeBSD nodig..

Met een kant en klaar NAS operating system zoals FreeNAS, NAS4Free of ZFSguru heb je ook niet zoveel omkijken meer naar. De hardware zelf kan ook vrij simpel zijn zoals een Brazos bordje waar de CPU al op zit. PicoPSU en RAM erbij en je hebt een werkend systeem wat als ZFS NAS kan dienen.

Met een Brazosbordje ben je er niet, die mist AES-NI en krijgt de gigabitlink nooit vol, zelfs niet op Linux/md/dm-crypt. ZFS is sowieso een stuk veeleisender qua hardware dan ext4 (uiteraard krijg je er wel wat voor terug).

De bottom line van m'n relaas; vergeet 'hardwarematige encryptie' en kies tussen een off-the-shelf NAS en eigen hardware met NAS-distro. In het laatste geval kun je in ieder geval alle hardware vervangen en alsnog je disks lezen (mits het operating system hetzelfde is).

Vergeet niet te controleren of een NAS distro fatsoenlijk encryptie ondersteunt, los van Solaris ondersteunt ZFS bijvoorbeeld geen encryptie, als je dan ook nog eens gebruik wil maken van RAID wordt 't wat gecompliceerd (enige oplossing die ik zie is disk -> crypto -> zfs-raid -> fs, terwijl disk -> raid -> crypto -> fs logischer is).

[ Voor 4% gewijzigd door Thralas op 01-01-2013 17:12 ]

Ik ben zelf ook aan het twijfelen tussen een zelfbouw nas en een synology.
ik ben ervan overtuigd dat (zoals verschillende mensen hier aangeven), je goedkoper een krachtiger versie kan maken, dat bovendien meer schijven aankan (zie maar de best-buy van deze maand).

Enige waar ik nog mee zit is de software. De eenvoudige zaken zoals samba/mailserver/ftp server/website hosten/ download station/... is eenvoudig te doen op linux/windows home server.

Bij de kant en klare versie zijn er enkele zaken die me wel handig lijken, maar iets moeilijker lijken:

- bestanden eenvoudig benaderbaar vanuit ipad/iphone / android (foto's of documenten)
- survaillance station voor ip camera's en usb camera's

Een nadeel bij de kant en klare is dan natuurlijk de "beperking" van de opname van die camera's (full hd of meer kan niet?)

Heeft er iemand ervaring met die 2 specifieke zaken?

Promy, je bijdragen aan dit topic worden gewaardeerd. Maar centraal in dit topic staan de belangen van de topicstarter. Voor vraagjes over die twee punten die je noemt moet ik je verwijzen naar Het grote DIY RAID NAS topic deel 3 waar je dit soort 'tussendoor' vraagjes kunt stellen. In deze post kun je wel refereren aan posts binnen dit topic. Dit doe je door de link te kopiëren waar de datum wordt weergegeven van de post. Succes!