Routing, Firewallregeln, OpenVPN: Hardware und mit Debian?
Routing, Firewallregeln, OpenVPN: Hardware und mit Debian?
Hallo zusammen,
ich möchte gerne aus dem Internet per VPN auf mein Heimnetzwerk zugreifen.
Zudem möchte ich ein paar Firewallregeln anlegen (z.B. iptables). Zudem würde ich das VPN nur für Quell-Adressen aus Deutschland erlauben (GeoIP), um den Angriffsvektor etwas zu reduzieren.
Als Internetanschluss werde ich innerhalb der nächsten 2 Jahren 500 Mbit Down / 50 Mbit Up haben.
Somit wären die Anforderungen:
- 500-600 Mbit Firewall Throughput
- 50 Mbit OpenVPN Throughput
Wäre dazu vielleicht eine APU2C4 geeignet oder reicht hier die Leistung eher nicht aus?
Ist eine andere Hardware zu empfehlen, da die APU2 ja bereits etwas älter ist?
Würde sich als Betrieb Debian eignen?
Es gibt ja auch spezielle Firewall-Systeme wie beispielsweise OPNSense.
Ich frage mich ob diese grundsätzlich sicherer sind als Debian?
ich möchte gerne aus dem Internet per VPN auf mein Heimnetzwerk zugreifen.
Zudem möchte ich ein paar Firewallregeln anlegen (z.B. iptables). Zudem würde ich das VPN nur für Quell-Adressen aus Deutschland erlauben (GeoIP), um den Angriffsvektor etwas zu reduzieren.
Als Internetanschluss werde ich innerhalb der nächsten 2 Jahren 500 Mbit Down / 50 Mbit Up haben.
Somit wären die Anforderungen:
- 500-600 Mbit Firewall Throughput
- 50 Mbit OpenVPN Throughput
Wäre dazu vielleicht eine APU2C4 geeignet oder reicht hier die Leistung eher nicht aus?
Ist eine andere Hardware zu empfehlen, da die APU2 ja bereits etwas älter ist?
Würde sich als Betrieb Debian eignen?
Es gibt ja auch spezielle Firewall-Systeme wie beispielsweise OPNSense.
Ich frage mich ob diese grundsätzlich sicherer sind als Debian?
Re: Routing, Firewallregeln, OpenVPN: Hardware und mit Debian?
Das klingt für mich nach einem Unitymedia bzw. Vodafone Kabel Anschluss, bist du dir bewußt, das ein VPN Zugriff auf dein Netzwerk nur möglich ist, wenn du keinen DS-Lite Anschluß hast, achja und eine statische IPv4 Adresse wäre für einen VPN-Server auch ganz hilfreich, ansonsten bist du von irgendwelchen DynDNS Diensten abhängig.user18 hat geschrieben:03.06.2018 15:55:12Als Internetanschluss werde ich innerhalb der nächsten 2 Jahren 500 Mbit Down / 50 Mbit Up haben.
Die Hardware sollte für deinen Plan ausreichen.user18 hat geschrieben:03.06.2018 15:55:12Wäre dazu vielleicht eine APU2C4 geeignet oder reicht hier die Leistung eher nicht aus?
Ist eine andere Hardware zu empfehlen, da die APU2 ja bereits etwas älter ist?
Ja
Das kommt auf deine Kenntnisse im Bereich Firewall an, du kannst ein Debian gut oder auch schlecht absichern und ein schlecht konfiguriertes OPNSense ist natürlich auch unsicher.user18 hat geschrieben:03.06.2018 15:55:12Es gibt ja auch spezielle Firewall-Systeme wie beispielsweise OPNSense.
Ich frage mich ob diese grundsätzlich sicherer sind als Debian?
Re: Routing, Firewallregeln, OpenVPN: Hardware und mit Debian?
Mein OpenVPN-Server läuft ganz nebenbei auf einem Raspberry Pi, der ja wirklich am unteren Leistungsende anzusiedeln ist. Sowohl das Surfen über VPN als auch der Zugriff auf Geräte oder Ressourcen im LAN klappt damit völlig problemlos.user18 hat geschrieben:03.06.2018 15:55:12Wäre dazu vielleicht eine APU2C4 geeignet oder reicht hier die Leistung eher nicht aus?
Ist eine andere Hardware zu empfehlen, da die APU2 ja bereits etwas älter ist?
ja, natürlich... wobei auf meinem PI natürlich raspbian läuftWürde sich als Betrieb Debian eignen?
Das mit der Firewall hab ich noch nicht so recht verstanden. Dein DSL-Router hat wahrscheinlich bereits eine Firewall und der VPN-Zugang ist richtig konfiguriert eh nur über Keys und Zertifikate möglich. Alle illegalen Verbindungsversuche schmettert zunächst der Router ab, und für die VPN-Ports das VPN dann ebenfalls, wenn Cert und Key nicht passen.. Und wer's dann letztlich abschmettert kann Dir doch dabei egal sein, hauptsache das überhaupt... noch ne Firewall brauchts dabei imho nicht. Und mit der GeoIP schneidest Du dich zudem selber ab, wenn Du mal aus dem Urlaubs-Ausland eine sichere Verbindung zum Surfen brauchst. Imho schaffst Du Dir mit einer Firewalll auf dem VPN-Server-Rechner keine Verbesserung der Sicherheit, schlimmstenfalls durch eine schlecht eingestellte FW sogar eine Verschlechterung, bestenfalls nur eine Scheinsicherheit. Anders siehts auf dem Client aus, weil der sich an unbekannten Accesspoints verbindet, da würde ich auf jeden Fall eine Firewalll einrichten.Ich frage mich ob diese grundsätzlich sicherer sind als Debian?
Re: Routing, Firewallregeln, OpenVPN: Hardware und mit Debian?
vielen Dank für Eure Antwort.
Somit könnte ich auch zukünftig etwas restriktiver Firewall Regeln auf der APU2C4 anlegen.
Mein Plan ist:
Internet <--> Fritzbox <--> APU2C4 <--> LAN
Auf der Fritzbox würde ich eine Route anlegen für das LAN. Zudem ein Portforwarding für OpenVPN.
Die APU2C4 würde ein DHCP Server sowie OpenVPN Server beinhalten. Zudem würde ip-Forwarding aktiviert sein.
Daher ist nicht nur die OpenVPN Performance wichtig, sondern auch der Firewall-Durchsatz.
Wenn ich also relativ leicht vermeiden kann, dass Pakete bis zu Ebene von OpenVPN kommen kann, weil es vorher schon von der Firewall geblockt wird,
dann gehe ich davon aus, dass dies sicherer ist als wenn OpenVPN eine Authentifizierung prüft.
Bei einem Urlaub kann man ja auch einfach das entsprechend Land temporär hinzufügen.
Es wird auf DynDNS hinauslaufen.
Bei Firewallbetriebssysteme lese ich immer, dass diese "besonders" gehärtet sind (z.B. nur bestimmte Kernel Module).
Das würde ich selbst wohl nicht schaffen, sondern würde folgendes umsetzen:
- Debian installieren (bei der Installation so wenig wie möglich Komponenten auswählen)
- Aktivierung von ip-Forward
- OpenVPN und DHCP-Server installieren
- unattended-upgrade für Sicherheitsupdates aktivieren
Dabei würde ich die iptables Regeln ungefähr wie folgt nutzen:
Ich weiß halt nicht wie so eine Debian Lösung, die ich schaffen würde, im Vergleich zu fertigen Lösungen wie OPNsense, IPfire, etc. liegt.
Ich vermute halt, dass die Firewall-Distributionen etwas "durchdachter" sind, als das was ich da mit iptables umsetzen würde
.
Ich würde nicht nur OpenVPN darauf laufen lassen, sondern den gesamten Internetverkehr durch z.B. eine APU2C4 laufen lassen.TomL hat geschrieben:03.06.2018 17:24:50Mein OpenVPN-Server läuft ganz nebenbei auf einem Raspberry Pi, der ja wirklich am unteren Leistungsende anzusiedeln ist. Sowohl das Surfen über VPN als auch der Zugriff auf Geräte oder Ressourcen im LAN klappt damit völlig problemlos.
Somit könnte ich auch zukünftig etwas restriktiver Firewall Regeln auf der APU2C4 anlegen.
Mein Plan ist:
Internet <--> Fritzbox <--> APU2C4 <--> LAN
Auf der Fritzbox würde ich eine Route anlegen für das LAN. Zudem ein Portforwarding für OpenVPN.
Die APU2C4 würde ein DHCP Server sowie OpenVPN Server beinhalten. Zudem würde ip-Forwarding aktiviert sein.
Daher ist nicht nur die OpenVPN Performance wichtig, sondern auch der Firewall-Durchsatz.
Ich habe die Hypothese, dass eine Einschränkung der Angriffsmöglichkeiten die Sicherheit geringfügig erhöhen sollte.TomL hat geschrieben:03.06.2018 17:24:50Das mit der Firewall hab ich noch nicht so recht verstanden. Dein DSL-Router hat wahrscheinlich bereits eine Firewall und der VPN-Zugang ist richtig konfiguriert eh nur über Keys und Zertifikate möglich. Alle illegalen Verbindungsversuche schmettert zunächst der Router ab, und für die VPN-Ports das VPN dann ebenfalls, wenn Cert und Key nicht passen.. Und wer's dann letztlich abschmettert kann Dir doch dabei egal sein, hauptsache das überhaupt... noch ne Firewall brauchts dabei imho nicht. Und mit der GeoIP schneidest Du dich zudem selber ab, wenn Du mal aus dem Urlaubs-Ausland eine sichere Verbindung zum Surfen brauchst.
Wenn ich also relativ leicht vermeiden kann, dass Pakete bis zu Ebene von OpenVPN kommen kann, weil es vorher schon von der Firewall geblockt wird,
dann gehe ich davon aus, dass dies sicherer ist als wenn OpenVPN eine Authentifizierung prüft.
Bei einem Urlaub kann man ja auch einfach das entsprechend Land temporär hinzufügen.
Ich habe glücklicherweise kein DS-Lite Anschluss, sondern bekomme eine dynamische IP zugewießen.bluestar hat geschrieben:03.06.2018 17:11:48[...] wenn du keinen DS-Lite Anschluß hast, achja und eine statische IPv4 Adresse wäre für einen VPN-Server auch ganz hilfreich, ansonsten bist du von irgendwelchen DynDNS Diensten abhängig.
Es wird auf DynDNS hinauslaufen.
Ist die Hardware auch empfehlenswert oder wäre etwas anderes besser, da die Hardware ja schon etwas älter ist?
Meine Kentnisse würde ich eher nicht so gut einschätzen..bluestar hat geschrieben:03.06.2018 17:11:48Das kommt auf deine Kenntnisse im Bereich Firewall an, du kannst ein Debian gut oder auch schlecht absichern und ein schlecht konfiguriertes OPNSense ist natürlich auch unsicher.
Bei Firewallbetriebssysteme lese ich immer, dass diese "besonders" gehärtet sind (z.B. nur bestimmte Kernel Module).
Das würde ich selbst wohl nicht schaffen, sondern würde folgendes umsetzen:
- Debian installieren (bei der Installation so wenig wie möglich Komponenten auswählen)
- Aktivierung von ip-Forward
- OpenVPN und DHCP-Server installieren
- unattended-upgrade für Sicherheitsupdates aktivieren
Dabei würde ich die iptables Regeln ungefähr wie folgt nutzen:
Code: Alles auswählen
##ungetestet, da keine Hardware
##LAN: eth0;
##Internet: eth1
# Standard
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
## Lokal: DNS und apt-get update erlauben
iptables -A OUTPUT -i eth0 -p udp --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -i eth0 -p tcp -d ftp.de.debian.org --dport 80 -j ACCEPT
### sollte nicht vorkommen:
iptables -A FORWARD -p TCP ! --syn -m state --state NEW -j DROP
iptables -A FORWARD -i eth1 -s 10.0.0.0/8 -j DROP
iptables -A FORWARD -i eth1 -s 172.16.0.0/12 -j DROP
iptables -A FORWARD -i eth1 -s 192.168.0.0/24 -j DROP
iptables -A INPUT -m state --state INVALID -j DROP
##SSH aus LAN erlauben
iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -j ACCEPT
##OpenVPN: 1194 aus Deutschland erlauben (ggf. noch tcp 443)
iptables -A INPUT -i eth1 -p udp --dport 1194 -m state --state NEW -m geoip --source-country DE -j ACCEPT
##Zugriff auf Fritzbox erlauben
iptables -A FORWARD -i eth0 -o eth1 -p tcp -d 192.168.1.1 -j ACCEPT
## lan -> inet: Ping erlauben
iptables -A FORWARD -i eth0 -o eth1 -p ICMP --icmp-type 8 -j ACCEPT
## lan -> inet: 80,443,22,20,21 erlauben
iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 80,443,22,20,21 -m state --state NEW -j ACCEPT
## lan -> inet: DNS erlauben
iptables -A FORWARD -i eth0 -o eth1 -p udp --dport 53 -m state --state NEW -j ACCEPT
##OpenVPN: Zugriff auf das Lan erlauben
iptables -A FORWARD -i tun0 -o eth0 -m state --state NEW -j ACCEPT
##Antwort bei bereits aufgebauten Verbindungen erlauben
iptables -I OUTPUT 1 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -I INPUT 1 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -I FORWARD 1 -m state --state RELATED,ESTABLISHED -j ACCEPT
Ich vermute halt, dass die Firewall-Distributionen etwas "durchdachter" sind, als das was ich da mit iptables umsetzen würde
.
Re: Routing, Firewallregeln, OpenVPN: Hardware und mit Debian?
Kommt auf Anzahl und Komplexität der Regeln sowie Traffic (insbesonder Paketgrößen) an.
Mal ein Beispiel schwacher Hardware (mit ordentlichen Features für etwa 65 Euro): https://mikrotik.com/product/RB750Gr3#fndtn-testresults
Das schafft die APU2C4, Routing und VPN-Durchsatz: https://wiki.ipfire.org/hardware/pcengines/apu2b4user18 hat geschrieben:03.06.2018 15:55:12Ich möchte gerne aus dem Internet per VPN auf mein Heimnetzwerk zugreifen.
...
50 Mbit OpenVPN Throughput
Wenn du allerdings Zusatzpakete insbesondere IDS/IPS, snort , squid etc. laufen lassen willst, ist die lahme APU2-CPU schnell überfordert. Die nächste Preisstufe wären Chinabüchsen (Quotom, Minisys) mit i5-5250U oder 8265u, i3-7100u, suche mal bei Amazon Deutschland nach Kettop und HSIPC. Support (BIOS-Updates), langlebige, betriebsstabile Hardware???
Du könntest auch Eigenbau in Erwägung ziehen, Boards von Supermicro mit Atom-C2000-Serie (4 oder 8 Kerne für Virtualisierung) und 4 x Intel-LAN + PCIe-Slot
Fertigsystem:
Zotac ZBox CI327 mit 2 x LAN + Switch (LANs sind wohl leider Realtek. Intel für Linux- und xBSD-Support empfehlenswerter.)
Gebrauchtsystem:
Ich habe von ebay einen gebrauchten Thin Client mit PCIe-Slot und 4-Port-Intel-Netzwerkkarte (2 Ports + Switch sollten auch reichen). Kannst ab und an mal nach Fujitsu Futro S920 mit AMD GX-415GA (15 Watt TDP) oder größer schauen oder HP T720 Plus mit GX-420GA (25 Watt TDP, leiser Lüfter). Warten, bis Preis etwa 100 Euro. Dazu eine gebrauchte High-End-Server-Netzwerkkarte mit wenig TDP, also Intel I340 oder I350 (T2 oder T4, 5 Watt TDP). 4-Port-Karten gibt es für 50 bzw. 100 Euro. I340 dürfte reichen. Ältere Intel Pro 1000 benötigen mehr Leistung.
Mein Anhaltspunkt dafür mit Durchsatz: https://www.applianceshop.eu/security-a ... -rack.html
GX-416 entspricht etwa GX-415. Erstere ohne GPU. Grafik ist ganz nett für gewohnte Installation mit Display und das Gerät kann damit auch mal als "Not-PC" mit Displayport-auf-HDMI-Kabel benutzt werden. Thin Clients oft nur mit SSD bis 128 GB möglich. Datenblatt lesen. Ein Performance-einschränkender Kaiser-/KPTI-Patch wegen Meltdown ist für AMD unnötig.
Gibt noch mehr zu bedenken:user18 hat geschrieben:03.06.2018 21:45:09Ich vermute halt, dass die Firewall-Distributionen etwas "durchdachter" sind, als das was ich da mit iptables umsetzen würde
https://calomel.org/pf_config.html
https://calomel.org/network_performance.html
https://calomel.org/freebsd_network_tuning.html
Nö. Nur notwendige Kenntnisse, Aufwand und Übersichtlichkeit (GUI, 1 XML-Konfig vs. mehreren ASCII-Konfigurationsdateien für jeden Dienst) unterschiedlich.Es gibt ja auch spezielle Firewall-Systeme wie beispielsweise OPNSense.
Ich frage mich ob diese grundsätzlich sicherer sind als Debian?
Zuletzt geändert von BenutzerGa4gooPh am 04.06.2018 10:24:22, insgesamt 4-mal geändert.
Re: Routing, Firewallregeln, OpenVPN: Hardware und mit Debian?
Mit kleiner Hardware wird das schwierig, damit bekommst du kaum 600MBit von einer zur anderen GBit Netzwerkkarte geroutet. MIt einem APU2C4 halte ich das für völlig aussichtslos.
iptables ist nebenbei gesagt, nicht so CPU-hungrig, daß es groß auffallen würde. Wenn man nicht völlig hirnkranke Regelkonstrukte entwirft, reduziert sich der Durchsatz nur um 1-2%.
Jede CPU mit AES-Extension packt das problemlos.- 50 Mbit OpenVPN Throughput
Nein, spezielle Firewall-Distributionen sind nicht grundsätzlich sicherer. Die basieren alle auf dem gleichen Quellcode und werden praktisch gleich kompiliert, so daß in allen Distris die selben Sicherheitslücken stecken.Ich frage mich ob diese grundsätzlich sicherer sind als Debian?
Das ist meiner Meinung nach kalter Kaffee. Ob der Angriffsvektor 200 Millionen potenzielle deutsche IPs umfaßt oder 4 Milliarden internationale, macht den Kohl nun auch nicht fett. Die Reduktion des Angriffsvektors ist eher homöopathischer Natur. Da sind Maßnahmen gegen brute Force Attacken wie fail2ban deutlich sinnvoller.Zudem würde ich das VPN nur für Quell-Adressen aus Deutschland erlauben (GeoIP), um den Angriffsvektor etwas zu reduzieren.
Zudem könntest du auch über Portknocking nachdenken.
Re: Routing, Firewallregeln, OpenVPN: Hardware und mit Debian?
So rund 850mbit Throughput schafft das System auf Dauer und 960mbit im Peak mit einfacher Firewall ohne Connection Tracking.MSfree hat geschrieben:04.06.2018 08:44:31Mit kleiner Hardware wird das schwierig, damit bekommst du kaum 600MBit von einer zur anderen GBit Netzwerkkarte geroutet. MIt einem APU2C4 halte ich das für völlig aussichtslos.
Re: Routing, Firewallregeln, OpenVPN: Hardware und mit Debian?
vielen Dank für die Infos.
Das System hatte ich mir Ende letztes Jahr für einen anderen Einsatzzweck gekauft und wieder zurückgegegeben, da das Gerät einen Pfeifton hatte.
Würde bei allen drei Systemen Spectre und Meltdown durch Debian behandelt werden? Bei der APU gibt es anscheinend kein Bios Update.
Eigenbau möchte ich vermeiden.Jana66 hat geschrieben:04.06.2018 08:34:36Du könntest auch Eigenbau in Erwägung ziehen [...]
Zotac ZBox CI327 mit 2 x LAN + Switch (LANs sind wohl leider Realtek. Intel für Linux- und xBSD-Support empfehlenswerter.)
Das System hatte ich mir Ende letztes Jahr für einen anderen Einsatzzweck gekauft und wieder zurückgegegeben, da das Gerät einen Pfeifton hatte.
Für zuhause finde ich dies zu groß und 800 Euro sind auch etwas viel.Jana66 hat geschrieben:04.06.2018 08:34:36Mein Anhaltspunkt dafür mit Durchsatz: https://www.applianceshop.eu/security-a ... -rack.html
Ich schwanke aktuell zwischen der APU2C4 vormontiert und Shuttle DS77U, Shuttle DS77U3.bluestar hat geschrieben:05.06.2018 15:40:13[APU2C4:] So rund 850mbit Throughput schafft das System auf Dauer und 960mbit im Peak mit einfacher Firewall ohne Connection Tracking.
Würde bei allen drei Systemen Spectre und Meltdown durch Debian behandelt werden? Bei der APU gibt es anscheinend kein Bios Update.
Re: Routing, Firewallregeln, OpenVPN: Hardware und mit Debian?
Mir ging es nur darum, von Profis eingesetzte Hardware zum Vergleich (an Haaren) "herbeizuzitieren". Du hast ja nach "Durchsatz" gefragt. Ein billiger AMD GX-415/416 (Link) scheint für 4 x GBE-Ports schon zu reichen. Laut Firewall-Profis (?) wie Deciso.user18 hat geschrieben:06.06.2018 13:51:52Für zuhause finde ich dies zu groß und 800 Euro sind auch etwas viel.
https://www.applianceshop.eu/security-a ... -rack.htmlAMD G-SERIES SOC GX-416RA 1.6Ghz Quad Core
Memory 4GB
Storage 128Gb Solid State Drive
für:
Ethernet ports 4x GbE [Intel® 82574L]
Remote Management port No
Total Firewall Throughput ~2500Mbps
Maximum packets per second ~210.000 PPS
Maximum Port to Port Throughput ~940Mbps
Maximum VPN Throughput IPsec: ~200Mbps (AES256) OpenVPN: ~200Mbps (AES256) / ~233Mbps (AES256+LZO)
Maximum Statetable 3.000.000
Maximum Concurrent Sessions 1.500.000
Maximum VLANS 4093 [above 50: GUI restrictions may apply]
Die Quotoms mit i5-5250u, die Minisys mit i3-6100u und schneller ... M. E. ist Hardware mit langfristigem Support/BIOS-Updates und aktiven Server-Netzwerkadaptern wichtig.
Shuttle vs APU, vergleiche einfach selber. Meltdown/Spectre? Entweder abwarten oder AMD. Letztere wohl nicht ganz so betroffen von Patches, die Performance beeinträchtigen. Stichworte Kaiser-Patch, KPTI, Meldown.
Ich persönlich würde einen Shuttle nehmen, die APUs haben eine mehr als langweilige CPU (bezüglich eventuell notwendigen Zusatzpaketen, Zukunft eingebaut?).
AMD ist von performance-einschraenkenden Patches weniger betroffen als Intel: 10 ... 20 Pozent Verschlechterung versus derzeitiger Benchmarks? Bedenkenswert jedoch: Bootloader (uboot, quelloffen) der APUs - vs UEFI, NSA etc. aller unfreien CPUs.
DS77U3 mit Intel i3-6100U ist m. E. für eine Firewall übertrieben, zu teuer, CPU-Design-Fehler (Meltdown/Spectre) und für deine Anforderungen unnötig (Zitat oben mit professioneller Vergleichshardware):
Persönlicher Meinung:Somit wären die Anforderungen:
- 500-600 Mbit Firewall Throughput
- 50 Mbit OpenVPN Throughput
Ich würde derzeit möglichst billig/gebracht kaufen und künftig auf Schnäppchen spekulieren, die Profis/Firmen wegen aktueller Designfehler billig verkaufen oder entsorgen müssen.
DSxxU (ohne rausgeschmissenes Geld für "Intel-Cores") + Switch ("smart", semi-pofessionell, ab etwa 30 Euro für 4 Ports, evtl. teurer mit PoE für WLAN-APs)
xx ... 67, 68, 77 mit etwa Celeron 3855U (möglichst preiswert, gebraucht)
Lanner/Landitec setzt für seine Firewall einen Atom C2558 ein. Und nun vergleichen wir:
https://www.cpubenchmark.net/compare/AM ... 2735vs2557
Single Core Leistung wesentlich: https://wiki.ipfire.org/hardware/mythbu ... erformance
Vermutlich haben Board- (UEFI-) Hersteller für Billig-CPUs keine Intel-Management-Engine (nicht vollständig dokumentiert, closed sources, angreifbar, eigentlich nur für NSA abschaltbar) umfassend implementiert/bedient. Vermutung, nicht recherchiert.
Jein, nicht umfassend möglich: Software/Anwendungsprogramme Dritter müssen entsprechend programmiert und kompiliert sein, unbehandelte Reste wird es absehbar noch ewig geben, gibt auch einen langen Thread im Forum zu Meltdown/Spectre und mittlerweile gibt es deren "Next Generation" laut heise.deWürde bei allen drei Systemen Spectre und Meltdown durch Debian behandelt werden?
Hardware-Design-Fehler können per Software nur bezüglich Angreifbarkeit abgemildert werden - oder wie ein sarkastischer Musiker mal sagte: Genetische Fehler lassen sich durch Prügel allein nicht korrigieren.