Routing, Firewallregeln, OpenVPN: Hardware und mit Debian?

Gemeinsam ins Internet mit Firewall und Proxy.
Antworten
user18
Beiträge: 20
Registriert: 21.05.2018 21:41:38

Routing, Firewallregeln, OpenVPN: Hardware und mit Debian?

Beitrag von user18 » 03.06.2018 15:55:12

Hallo zusammen,

ich möchte gerne aus dem Internet per VPN auf mein Heimnetzwerk zugreifen.
Zudem möchte ich ein paar Firewallregeln anlegen (z.B. iptables). Zudem würde ich das VPN nur für Quell-Adressen aus Deutschland erlauben (GeoIP), um den Angriffsvektor etwas zu reduzieren.
Als Internetanschluss werde ich innerhalb der nächsten 2 Jahren 500 Mbit Down / 50 Mbit Up haben.

Somit wären die Anforderungen:
- 500-600 Mbit Firewall Throughput
- 50 Mbit OpenVPN Throughput

Wäre dazu vielleicht eine APU2C4 geeignet oder reicht hier die Leistung eher nicht aus?
Ist eine andere Hardware zu empfehlen, da die APU2 ja bereits etwas älter ist?

Würde sich als Betrieb Debian eignen?
Es gibt ja auch spezielle Firewall-Systeme wie beispielsweise OPNSense.
Ich frage mich ob diese grundsätzlich sicherer sind als Debian?

Benutzeravatar
bluestar
Beiträge: 646
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: Routing, Firewallregeln, OpenVPN: Hardware und mit Debian?

Beitrag von bluestar » 03.06.2018 17:11:48

user18 hat geschrieben: ↑ zum Beitrag ↑
03.06.2018 15:55:12
Als Internetanschluss werde ich innerhalb der nächsten 2 Jahren 500 Mbit Down / 50 Mbit Up haben.
Das klingt für mich nach einem Unitymedia bzw. Vodafone Kabel Anschluss, bist du dir bewußt, das ein VPN Zugriff auf dein Netzwerk nur möglich ist, wenn du keinen DS-Lite Anschluß hast, achja und eine statische IPv4 Adresse wäre für einen VPN-Server auch ganz hilfreich, ansonsten bist du von irgendwelchen DynDNS Diensten abhängig.
user18 hat geschrieben: ↑ zum Beitrag ↑
03.06.2018 15:55:12
Wäre dazu vielleicht eine APU2C4 geeignet oder reicht hier die Leistung eher nicht aus?
Ist eine andere Hardware zu empfehlen, da die APU2 ja bereits etwas älter ist?
Die Hardware sollte für deinen Plan ausreichen.
user18 hat geschrieben: ↑ zum Beitrag ↑
03.06.2018 15:55:12
Würde sich als Betrieb Debian eignen?
Ja
user18 hat geschrieben: ↑ zum Beitrag ↑
03.06.2018 15:55:12
Es gibt ja auch spezielle Firewall-Systeme wie beispielsweise OPNSense.
Ich frage mich ob diese grundsätzlich sicherer sind als Debian?
Das kommt auf deine Kenntnisse im Bereich Firewall an, du kannst ein Debian gut oder auch schlecht absichern und ein schlecht konfiguriertes OPNSense ist natürlich auch unsicher.

TomL
Beiträge: 3706
Registriert: 24.07.2014 10:56:59

Re: Routing, Firewallregeln, OpenVPN: Hardware und mit Debian?

Beitrag von TomL » 03.06.2018 17:24:50

user18 hat geschrieben: ↑ zum Beitrag ↑
03.06.2018 15:55:12
Wäre dazu vielleicht eine APU2C4 geeignet oder reicht hier die Leistung eher nicht aus?
Ist eine andere Hardware zu empfehlen, da die APU2 ja bereits etwas älter ist?
Mein OpenVPN-Server läuft ganz nebenbei auf einem Raspberry Pi, der ja wirklich am unteren Leistungsende anzusiedeln ist. Sowohl das Surfen über VPN als auch der Zugriff auf Geräte oder Ressourcen im LAN klappt damit völlig problemlos.
Würde sich als Betrieb Debian eignen?
ja, natürlich... wobei auf meinem PI natürlich raspbian läuft
Ich frage mich ob diese grundsätzlich sicherer sind als Debian?
Das mit der Firewall hab ich noch nicht so recht verstanden. Dein DSL-Router hat wahrscheinlich bereits eine Firewall und der VPN-Zugang ist richtig konfiguriert eh nur über Keys und Zertifikate möglich. Alle illegalen Verbindungsversuche schmettert zunächst der Router ab, und für die VPN-Ports das VPN dann ebenfalls, wenn Cert und Key nicht passen.. Und wer's dann letztlich abschmettert kann Dir doch dabei egal sein, hauptsache das überhaupt... noch ne Firewall brauchts dabei imho nicht. Und mit der GeoIP schneidest Du dich zudem selber ab, wenn Du mal aus dem Urlaubs-Ausland eine sichere Verbindung zum Surfen brauchst. Imho schaffst Du Dir mit einer Firewalll auf dem VPN-Server-Rechner keine Verbesserung der Sicherheit, schlimmstenfalls durch eine schlecht eingestellte FW sogar eine Verschlechterung, bestenfalls nur eine Scheinsicherheit. Anders siehts auf dem Client aus, weil der sich an unbekannten Accesspoints verbindet, da würde ich auf jeden Fall eine Firewalll einrichten.
vg, Thomas

user18
Beiträge: 20
Registriert: 21.05.2018 21:41:38

Re: Routing, Firewallregeln, OpenVPN: Hardware und mit Debian?

Beitrag von user18 » 03.06.2018 21:45:09

vielen Dank für Eure Antwort.
TomL hat geschrieben: ↑ zum Beitrag ↑
03.06.2018 17:24:50
Mein OpenVPN-Server läuft ganz nebenbei auf einem Raspberry Pi, der ja wirklich am unteren Leistungsende anzusiedeln ist. Sowohl das Surfen über VPN als auch der Zugriff auf Geräte oder Ressourcen im LAN klappt damit völlig problemlos.
Ich würde nicht nur OpenVPN darauf laufen lassen, sondern den gesamten Internetverkehr durch z.B. eine APU2C4 laufen lassen.
Somit könnte ich auch zukünftig etwas restriktiver Firewall Regeln auf der APU2C4 anlegen.
Mein Plan ist:
Internet <--> Fritzbox <--> APU2C4 <--> LAN

Auf der Fritzbox würde ich eine Route anlegen für das LAN. Zudem ein Portforwarding für OpenVPN.
Die APU2C4 würde ein DHCP Server sowie OpenVPN Server beinhalten. Zudem würde ip-Forwarding aktiviert sein.
Daher ist nicht nur die OpenVPN Performance wichtig, sondern auch der Firewall-Durchsatz.
TomL hat geschrieben: ↑ zum Beitrag ↑
03.06.2018 17:24:50
Das mit der Firewall hab ich noch nicht so recht verstanden. Dein DSL-Router hat wahrscheinlich bereits eine Firewall und der VPN-Zugang ist richtig konfiguriert eh nur über Keys und Zertifikate möglich. Alle illegalen Verbindungsversuche schmettert zunächst der Router ab, und für die VPN-Ports das VPN dann ebenfalls, wenn Cert und Key nicht passen.. Und wer's dann letztlich abschmettert kann Dir doch dabei egal sein, hauptsache das überhaupt... noch ne Firewall brauchts dabei imho nicht. Und mit der GeoIP schneidest Du dich zudem selber ab, wenn Du mal aus dem Urlaubs-Ausland eine sichere Verbindung zum Surfen brauchst.
Ich habe die Hypothese, dass eine Einschränkung der Angriffsmöglichkeiten die Sicherheit geringfügig erhöhen sollte.
Wenn ich also relativ leicht vermeiden kann, dass Pakete bis zu Ebene von OpenVPN kommen kann, weil es vorher schon von der Firewall geblockt wird,
dann gehe ich davon aus, dass dies sicherer ist als wenn OpenVPN eine Authentifizierung prüft.
Bei einem Urlaub kann man ja auch einfach das entsprechend Land temporär hinzufügen.
bluestar hat geschrieben: ↑ zum Beitrag ↑
03.06.2018 17:11:48
[...] wenn du keinen DS-Lite Anschluß hast, achja und eine statische IPv4 Adresse wäre für einen VPN-Server auch ganz hilfreich, ansonsten bist du von irgendwelchen DynDNS Diensten abhängig.
Ich habe glücklicherweise kein DS-Lite Anschluss, sondern bekomme eine dynamische IP zugewießen.
Es wird auf DynDNS hinauslaufen.
bluestar hat geschrieben: ↑ zum Beitrag ↑
03.06.2018 17:11:48
Die Hardware sollte für deinen Plan ausreichen.
Ist die Hardware auch empfehlenswert oder wäre etwas anderes besser, da die Hardware ja schon etwas älter ist?
bluestar hat geschrieben: ↑ zum Beitrag ↑
03.06.2018 17:11:48
Das kommt auf deine Kenntnisse im Bereich Firewall an, du kannst ein Debian gut oder auch schlecht absichern und ein schlecht konfiguriertes OPNSense ist natürlich auch unsicher.
Meine Kentnisse würde ich eher nicht so gut einschätzen..
Bei Firewallbetriebssysteme lese ich immer, dass diese "besonders" gehärtet sind (z.B. nur bestimmte Kernel Module).
Das würde ich selbst wohl nicht schaffen, sondern würde folgendes umsetzen:
- Debian installieren (bei der Installation so wenig wie möglich Komponenten auswählen)
- Aktivierung von ip-Forward
- OpenVPN und DHCP-Server installieren
- unattended-upgrade für Sicherheitsupdates aktivieren

Dabei würde ich die iptables Regeln ungefähr wie folgt nutzen:

Code: Alles auswählen

##ungetestet, da keine Hardware
##LAN: eth0;
##Internet: eth1

# Standard
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

## Lokal: DNS und apt-get update erlauben
iptables -A OUTPUT -i eth0 -p udp --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -i eth0 -p tcp -d ftp.de.debian.org --dport 80 -j ACCEPT

### sollte nicht vorkommen:
iptables -A FORWARD -p TCP ! --syn -m state --state NEW -j DROP
iptables -A FORWARD -i eth1 -s 10.0.0.0/8 -j DROP
iptables -A FORWARD -i eth1 -s 172.16.0.0/12 -j DROP
iptables -A FORWARD -i eth1 -s 192.168.0.0/24 -j DROP
iptables -A INPUT -m state --state INVALID -j DROP

##SSH aus LAN erlauben
iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -j ACCEPT

##OpenVPN: 1194 aus Deutschland erlauben (ggf. noch tcp 443)
iptables -A INPUT -i eth1 -p udp --dport 1194 -m state --state NEW -m geoip --source-country DE -j ACCEPT

##Zugriff auf Fritzbox erlauben
iptables -A FORWARD -i eth0 -o eth1 -p tcp -d 192.168.1.1 -j ACCEPT

## lan -> inet: Ping erlauben 
iptables -A FORWARD -i eth0 -o eth1 -p ICMP --icmp-type 8 -j ACCEPT

## lan -> inet: 80,443,22,20,21 erlauben
iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 80,443,22,20,21 -m state --state NEW -j ACCEPT

## lan -> inet: DNS erlauben
iptables -A FORWARD -i eth0 -o eth1 -p udp --dport 53 -m state --state NEW -j ACCEPT

##OpenVPN: Zugriff auf das Lan erlauben
iptables -A FORWARD -i tun0 -o eth0 -m state --state NEW -j ACCEPT

##Antwort bei bereits aufgebauten Verbindungen erlauben
iptables -I OUTPUT 1 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -I INPUT 1 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -I FORWARD 1 -m state --state RELATED,ESTABLISHED -j ACCEPT

Ich weiß halt nicht wie so eine Debian Lösung, die ich schaffen würde, im Vergleich zu fertigen Lösungen wie OPNsense, IPfire, etc. liegt.
Ich vermute halt, dass die Firewall-Distributionen etwas "durchdachter" sind, als das was ich da mit iptables umsetzen würde

.

Jana66
Beiträge: 3946
Registriert: 03.02.2016 12:41:11

Re: Routing, Firewallregeln, OpenVPN: Hardware und mit Debian?

Beitrag von Jana66 » 04.06.2018 08:34:36

user18 hat geschrieben: ↑ zum Beitrag ↑
03.06.2018 15:55:12
500-600 Mbit Firewall Throughput
Kommt auf Anzahl und Komplexität der Regeln sowie Traffic (insbesonder Paketgrößen) an.
Mal ein Beispiel schwacher Hardware (mit ordentlichen Features für etwa 65 Euro): https://mikrotik.com/product/RB750Gr3#fndtn-testresults
user18 hat geschrieben: ↑ zum Beitrag ↑
03.06.2018 15:55:12
Ich möchte gerne aus dem Internet per VPN auf mein Heimnetzwerk zugreifen.
...
50 Mbit OpenVPN Throughput
Das schafft die APU2C4, Routing und VPN-Durchsatz: https://wiki.ipfire.org/hardware/pcengines/apu2b4

Wenn du allerdings Zusatzpakete insbesondere IDS/IPS, Debiansnort , Debiansquid etc. laufen lassen willst, ist die lahme APU2-CPU schnell überfordert. Die nächste Preisstufe wären Chinabüchsen (Quotom, Minisys) mit i5-5250U oder 8265u, i3-7100u, suche mal bei Amazon Deutschland nach Kettop und HSIPC. Support (BIOS-Updates), langlebige, betriebsstabile Hardware???
Du könntest auch Eigenbau in Erwägung ziehen, Boards von Supermicro mit Atom-C2000-Serie (4 oder 8 Kerne für Virtualisierung) und 4 x Intel-LAN + PCIe-Slot
Fertigsystem:
Zotac ZBox CI327 mit 2 x LAN + Switch (LANs sind wohl leider Realtek. Intel für Linux- und xBSD-Support empfehlenswerter.)
Gebrauchtsystem:
Ich habe von ebay einen gebrauchten Thin Client mit PCIe-Slot und 4-Port-Intel-Netzwerkkarte (2 Ports + Switch sollten auch reichen). Kannst ab und an mal nach Fujitsu Futro S920 mit AMD GX-415GA (15 Watt TDP) oder größer schauen oder HP T720 Plus mit GX-420GA (25 Watt TDP, leiser Lüfter). Warten, bis Preis etwa 100 Euro. Dazu eine gebrauchte High-End-Server-Netzwerkkarte mit wenig TDP, also Intel I340 oder I350 (T2 oder T4, 5 Watt TDP). 4-Port-Karten gibt es für 50 bzw. 100 Euro. I340 dürfte reichen. Ältere Intel Pro 1000 benötigen mehr Leistung.
Mein Anhaltspunkt dafür mit Durchsatz: https://www.applianceshop.eu/security-a ... -rack.html
GX-416 entspricht etwa GX-415. Erstere ohne GPU. Grafik ist ganz nett für gewohnte Installation mit Display und das Gerät kann damit auch mal als "Not-PC" mit Displayport-auf-HDMI-Kabel benutzt werden. Thin Clients oft nur mit SSD bis 128 GB möglich. Datenblatt lesen. Ein Performance-einschränkender Kaiser-/KPTI-Patch wegen Meltdown ist für AMD unnötig. :wink:
user18 hat geschrieben: ↑ zum Beitrag ↑
03.06.2018 21:45:09
Ich vermute halt, dass die Firewall-Distributionen etwas "durchdachter" sind, als das was ich da mit iptables umsetzen würde
Gibt noch mehr zu bedenken:
https://calomel.org/pf_config.html
https://calomel.org/network_performance.html
https://calomel.org/freebsd_network_tuning.html
Es gibt ja auch spezielle Firewall-Systeme wie beispielsweise OPNSense.
Ich frage mich ob diese grundsätzlich sicherer sind als Debian?
Nö. Nur notwendige Kenntnisse, Aufwand und Übersichtlichkeit (GUI, 1 XML-Konfig vs. mehreren ASCII-Konfigurationsdateien für jeden Dienst) unterschiedlich. :mrgreen:
Zuletzt geändert von Jana66 am 04.06.2018 10:24:22, insgesamt 4-mal geändert.
Wenn keiner was sagt, wird sich nichts ändern. Wenn alle nur reden ebenfalls nicht.

MSfree
Beiträge: 3554
Registriert: 25.09.2007 19:59:30

Re: Routing, Firewallregeln, OpenVPN: Hardware und mit Debian?

Beitrag von MSfree » 04.06.2018 08:44:31

user18 hat geschrieben: ↑ zum Beitrag ↑
03.06.2018 15:55:12
- 500-600 Mbit Firewall Throughput
Mit kleiner Hardware wird das schwierig, damit bekommst du kaum 600MBit von einer zur anderen GBit Netzwerkkarte geroutet. MIt einem APU2C4 halte ich das für völlig aussichtslos.

iptables ist nebenbei gesagt, nicht so CPU-hungrig, daß es groß auffallen würde. Wenn man nicht völlig hirnkranke Regelkonstrukte entwirft, reduziert sich der Durchsatz nur um 1-2%.
- 50 Mbit OpenVPN Throughput
Jede CPU mit AES-Extension packt das problemlos.
Ich frage mich ob diese grundsätzlich sicherer sind als Debian?
Nein, spezielle Firewall-Distributionen sind nicht grundsätzlich sicherer. Die basieren alle auf dem gleichen Quellcode und werden praktisch gleich kompiliert, so daß in allen Distris die selben Sicherheitslücken stecken.
Zudem würde ich das VPN nur für Quell-Adressen aus Deutschland erlauben (GeoIP), um den Angriffsvektor etwas zu reduzieren.
Das ist meiner Meinung nach kalter Kaffee. Ob der Angriffsvektor 200 Millionen potenzielle deutsche IPs umfaßt oder 4 Milliarden internationale, macht den Kohl nun auch nicht fett. Die Reduktion des Angriffsvektors ist eher homöopathischer Natur. Da sind Maßnahmen gegen brute Force Attacken wie fail2ban deutlich sinnvoller.

Zudem könntest du auch über Portknocking nachdenken.

Benutzeravatar
bluestar
Beiträge: 646
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: Routing, Firewallregeln, OpenVPN: Hardware und mit Debian?

Beitrag von bluestar » 05.06.2018 15:40:13

MSfree hat geschrieben: ↑ zum Beitrag ↑
04.06.2018 08:44:31
user18 hat geschrieben: ↑ zum Beitrag ↑
03.06.2018 15:55:12
- 500-600 Mbit Firewall Throughput
Mit kleiner Hardware wird das schwierig, damit bekommst du kaum 600MBit von einer zur anderen GBit Netzwerkkarte geroutet. MIt einem APU2C4 halte ich das für völlig aussichtslos.
So rund 850mbit Throughput schafft das System auf Dauer und 960mbit im Peak mit einfacher Firewall ohne Connection Tracking.

user18
Beiträge: 20
Registriert: 21.05.2018 21:41:38

Re: Routing, Firewallregeln, OpenVPN: Hardware und mit Debian?

Beitrag von user18 » 06.06.2018 13:51:52

vielen Dank für die Infos.
Jana66 hat geschrieben: ↑ zum Beitrag ↑
04.06.2018 08:34:36
Du könntest auch Eigenbau in Erwägung ziehen [...]
Zotac ZBox CI327 mit 2 x LAN + Switch (LANs sind wohl leider Realtek. Intel für Linux- und xBSD-Support empfehlenswerter.)
Eigenbau möchte ich vermeiden.
Das System hatte ich mir Ende letztes Jahr für einen anderen Einsatzzweck gekauft und wieder zurückgegegeben, da das Gerät einen Pfeifton hatte.
Jana66 hat geschrieben: ↑ zum Beitrag ↑
04.06.2018 08:34:36
Mein Anhaltspunkt dafür mit Durchsatz: https://www.applianceshop.eu/security-a ... -rack.html
Für zuhause finde ich dies zu groß und 800 Euro sind auch etwas viel.
bluestar hat geschrieben: ↑ zum Beitrag ↑
05.06.2018 15:40:13
[APU2C4:] So rund 850mbit Throughput schafft das System auf Dauer und 960mbit im Peak mit einfacher Firewall ohne Connection Tracking.
Ich schwanke aktuell zwischen der APU2C4 vormontiert und Shuttle DS77U, Shuttle DS77U3.
Würde bei allen drei Systemen Spectre und Meltdown durch Debian behandelt werden? Bei der APU gibt es anscheinend kein Bios Update.

Jana66
Beiträge: 3946
Registriert: 03.02.2016 12:41:11

Re: Routing, Firewallregeln, OpenVPN: Hardware und mit Debian?

Beitrag von Jana66 » 06.06.2018 16:38:17

user18 hat geschrieben: ↑ zum Beitrag ↑
06.06.2018 13:51:52
Für zuhause finde ich dies zu groß und 800 Euro sind auch etwas viel.
Mir ging es nur darum, von Profis eingesetzte Hardware zum Vergleich (an Haaren) "herbeizuzitieren". Du hast ja nach "Durchsatz" gefragt. Ein billiger AMD GX-415/416 (Link) scheint für 4 x GBE-Ports schon zu reichen. Laut Firewall-Profis (?) wie Deciso.
AMD G-SERIES SOC GX-416RA 1.6Ghz Quad Core
Memory 4GB
Storage 128Gb Solid State Drive
für:
Ethernet ports 4x GbE [Intel® 82574L]
Remote Management port No
Total Firewall Throughput ~2500Mbps
Maximum packets per second ~210.000 PPS
Maximum Port to Port Throughput ~940Mbps
Maximum VPN Throughput IPsec: ~200Mbps (AES256) OpenVPN: ~200Mbps (AES256) / ~233Mbps (AES256+LZO)
Maximum Statetable 3.000.000
Maximum Concurrent Sessions 1.500.000
Maximum VLANS 4093 [above 50: GUI restrictions may apply]
https://www.applianceshop.eu/security-a ... -rack.html

Die Quotoms mit i5-5250u, die Minisys mit i3-6100u und schneller ... M. E. ist Hardware mit langfristigem Support/BIOS-Updates und aktiven Server-Netzwerkadaptern wichtig.

Shuttle vs APU, vergleiche einfach selber. Meltdown/Spectre? Entweder abwarten oder AMD. Letztere wohl nicht ganz so betroffen von Patches, die Performance beeinträchtigen. Stichworte Kaiser-Patch, KPTI, Meldown.

Ich persönlich würde einen Shuttle nehmen, die APUs haben eine mehr als langweilige CPU (bezüglich eventuell notwendigen Zusatzpaketen, Zukunft eingebaut?).
AMD ist von performance-einschraenkenden Patches weniger betroffen als Intel: 10 ... 20 Pozent Verschlechterung versus derzeitiger Benchmarks? Bedenkenswert jedoch: Bootloader (uboot, quelloffen) der APUs - vs UEFI, NSA etc. aller unfreien CPUs.

DS77U3 mit Intel i3-6100U ist m. E. für eine Firewall übertrieben, zu teuer, CPU-Design-Fehler (Meltdown/Spectre) und für deine Anforderungen unnötig (Zitat oben mit professioneller Vergleichshardware):
Somit wären die Anforderungen:
- 500-600 Mbit Firewall Throughput
- 50 Mbit OpenVPN Throughput
Persönlicher Meinung:
Ich würde derzeit möglichst billig/gebracht kaufen und künftig auf Schnäppchen spekulieren, die Profis/Firmen wegen aktueller Designfehler billig verkaufen oder entsorgen müssen.
DSxxU (ohne rausgeschmissenes Geld für "Intel-Cores") + Switch ("smart", semi-pofessionell, ab etwa 30 Euro für 4 Ports, evtl. teurer mit PoE für WLAN-APs)
xx ... 67, 68, 77 mit etwa Celeron 3855U (möglichst preiswert, gebraucht)
Lanner/Landitec setzt für seine Firewall einen Atom C2558 ein. Und nun vergleichen wir:
https://www.cpubenchmark.net/compare/AM ... 2735vs2557
Single Core Leistung wesentlich: https://wiki.ipfire.org/hardware/mythbu ... erformance

Vermutlich haben Board- (UEFI-) Hersteller für Billig-CPUs keine Intel-Management-Engine (nicht vollständig dokumentiert, closed sources, angreifbar, eigentlich nur für NSA abschaltbar) umfassend implementiert/bedient. Vermutung, nicht recherchiert.
Würde bei allen drei Systemen Spectre und Meltdown durch Debian behandelt werden?
Jein, nicht umfassend möglich: Software/Anwendungsprogramme Dritter müssen entsprechend programmiert und kompiliert sein, unbehandelte Reste wird es absehbar noch ewig geben, gibt auch einen langen Thread im Forum zu Meltdown/Spectre und mittlerweile gibt es deren "Next Generation" laut heise.de

Hardware-Design-Fehler können per Software nur bezüglich Angreifbarkeit abgemildert werden - oder wie ein sarkastischer Musiker mal sagte: Genetische Fehler lassen sich durch Prügel allein nicht korrigieren. :mrgreen:
Wenn keiner was sagt, wird sich nichts ändern. Wenn alle nur reden ebenfalls nicht.

Antworten