Newbe Hardware Frage

micneu

@ags101 vom Strom Verbrauch geht die doch (meine nimmt unterlasst bis zu 45w, mit nur 2 nic‘s)

JeGr

@ags101 said in Newbe Hardware Frage:

Warum sagt jeder, den ich zum Virenscanner frage: „hmm, wers braucht…“ ? Sind Virenscanner in 2022 out ?

Nein die sind per se nicht "out" aber ganz oft out-of-scope. Warum? Weil sie nur da sinnvoll was bringen, wo sie auch taugen - auf dem Rechner selbst. Und SEHR sehr viel was sich heute Virenscanner schimpft ist übelstes Schlangenöl vom Feinsten geworden. Norton 360? Avira? Bringen jetzt selbst ihren eigenen Bitcoin Miner mit. Yay zum Stromverbrauch! Andere tolle Virenscanner oder "Security Suites" haben Huckepack Tools mit dabei, die die Verbindungen am Client aufbrechen und überall reinpieseln weil sie ihren eigenen BS nachladen oder unterbringen um toll zu schützen. Das Ende vom Lied? Siehe Schlagzeilen zum einen oder anderen Produkt, dass - da es ja sinnigerweise im Root/Admin Kontext laufen muss um überhaupt ordentlich Zugriff zu haben - das System unsicherer macht und/oder noch eigene Hintertüren hat über die Malware ins System kam. Hatten wir jetzt in den letzten 1-2 Jahren mehrfach, dass diverse "Virentools" plötzlich in den Schlagzeilen waren, weil sie durch schlampige Implementierung Schadcode überhaupt erst die Tür ins System geöffnet haben. Das ist Sicherheit ad-absurdum geführt.

Und da reden wir nur von Scannern die auf dem Rechner selbst laufen. Wenn du aber Virenscanning im Kontext der Firewall einwirfst, reden wir hier vom Scan auf dem Transportweg. Da gibts auch 2 große Kontras.

1. ClamAV. Es ist das einzige Tool, dass es überhaupt noch halbwegs gibt, was OSS bzw. unter Linux/Unix sinnvoll nutzbar ist. Gab früher mehr, die sind aber verschwunden, die Software für BSD als Plattform eingstampft, etc. Dass es ClamAV (überhaupt noch) gibt ist toll, don't get me wrong. Aber die Erkennungs- und Scanraten verglichen mit anderen Produkten (oder einfach dem Windows Defender) waren in der Vergangenheit alles andere als großartig. Wenn aber mein Scanner eh schon (überspitzt ausgedrückt) nur die Hälfte an Kram findet, bringt er dann überhaupt was?

2. Zusätzlich zur Frage ob der Scanner was findet ist die viel bessere Frage: Wie soll er überhaupt was finden? Dank Initiativen wie HTTPS everywhere haben wir heute viel mehr verschlüsselte Verbindungen als noch vor ca. 5 Jahren. Was großartig ist. Auch hier keine Beschwerde. ABER: Wie soll der Virenscanner "on the fly" Bedrohungen scannen und Signaturen erkennen, wenn er den Traffic gar nicht mehr mitlesen kann? Richtig, wird schwer. Natürlich kann man jetzt anfangen das mit Proxies alles aufzubrechen und die Verbindungsverschlüsselung mit Man-in-the-middle auszuhebeln, aber: will man das? Das ist genau das, wovor man eigentlich seine Klienten immer versucht zu schützen! Passt auf, wenn die Verbindung nicht sauber verschlüsselt ist, achtet darauf, wenn es beim Zertifikat Probleme gibt, ab und zu mal das Zertifikat auch checken, ob da einfach "quatsch" drinsteht statt Google (bspw. bei aufgebrochenem SSL und Wiederverschlüsselung bekommt man ein fremdes Zertifikat, das nicht von Google selbst stammt) usw. usf. etc. etc.
   Und jetzt will man zur Absicherung die gleiche Methode einsetzen, die Hacker/Malware nutzt um einem ihren Mist unterzuschieben? Das ist ziemlich kontraproduktiv. Nur: wenn ich den Datenstrom nicht aufbreche, dann sehe ich auch den Inhalt nicht und kann nicht sinnvoll scannen.

Tl;dr Ja, Virenscanning ist ziemlich out in 2022, genauso wie die meisten IDS/IPS Signaturen "out" sind, denn für die gilt genau das Selbe. Was ich nicht Klartext lesen kann, kann ich nicht analysieren. Und wenn ich intercepte, breche ich den Trust der Verbindung und schiebe meinen Usern ggf. was unter, was nicht korrekt ist, breche ihr Vertrauen in die Verbindung und setze sie ggf. ungewollt mehr Gefahren aus, als ich damit Probleme löse.

Cheers

AGS101

Hallo zusammen,
Ich danke Euch für Eure Antworten und @JeGr für Deine Ausführungen.

Ich denke ich verstehe nun den Widerspruch mancher Appˋs in der heutigen Zeit, doch bin ich jetzt anderweitig verunsichert.

Nachdem ich weiß, dass Du@JeGr Dich mit Ubiquiti auskennst, bitte Ich Insbesondere Dich (aber gern auch alle anderen) noch um etwas Deiner Zeit, um mir Deine Gedanken/Meinung zu folgendem Szenario mitzuteilen:

Angenommen alle Clients in meinem Netzwerk hätten ordentliche Virussoftware (anderes Thema) und angenommen, ich könnte ein DNS/IP Tracking mit sagen wir pi hole erreichen. Nehmen wir weiter an, dass ich in einem Jahr mein Setup grundlegend ändere und bis dahin kein VPN brauche.

Wozu -bitte nicht steinigen- liegt für meinen usecase dann ein Vorteil in der Nutzung von pfsense gegenüber der Ubiquiti UDM Pro Kiste?

Addendum:
Ich habe gehört, dass das DNS/Ip-tracking bei pfsense über Squid realisiert wird und diese Software nicht gerade anwender-/anfängerfreundlich ist. Stimmt das?

Über eine Antwort würde ich mich in Bezug auf meine Entscheidung sehr freuen!

micneu

@ags101 ich persönlich sehe es so:
du kannst das einsetzen was du willst, es ist hier keiner der sagt "du musst eine sense einsetzen".

warum setze ich die sense ein:

• vpn
• mehr möglichkeiten als eine fritzbox
• mehr vpn durchsatz als eine fritzbox

sonst habe ich mein netzwerk recht einfach aufgebaut (will mich zuhause ja nicht tot administrieren)

ich habe mich lange im markt umgesehen bis ich für mich erst pfsense später für ca. 3 jahre opnsense und wieder zurück zur pfsense.

ich bin mit meiner wahl zufrieden und mal schauen was so die nächsten jahre bringt.

wenn deine usecase für dich mit einer ubnt firewall ausreicht, bleib da und spar dir die zeit (und warscheinlich auch geld).

NOCling

Man kann mit dem pfBlockerNG das was Pi Hole macht auch auf der Sense selber machen, nur das hier dann direkt mit dem DNS Resolver interagiert wird.
Man so schön Regelwerk und NAT Regeln anlegen kann, das DNS immer bei der eigenen Firewall landet und sauber auf böses Zeugs gefiltert werden kann.

Da du hier Cabel Inet ansprichst, ja das ist schon ein eigenes Buch für sich, mit ganz vielen Problemen. Vor allem mit der OFDMA Problematik hat es hier schwer gelitten was Zuverlässigkeit und vor allem die Antwortzeiten angeht.

Mein SG-3100 kann das locker durch die Firewall jagen, mein Segement gibt es aber nicht sauber her. Kann hier zwar auch 850-900MBit raus quetschen, dann habe ich aber in dem Moment Antwortzeiten von 100ms+.
So bleiben dann, mit Limiter der das erträglich hält so max 770MBit über, im Mittel fallen so aber nur sauber 500MBit aus der Leitung.

Hört sich jetzt scheiße an, aber das ist halt die Realität in Kabelnetzen die niemals für diese hohen Frequenzen aufgebaut wurden. Da sind einfach noch ganz ganz viele 400MHz Abzweiger vergraben, die müssten alle raus und dafür dann kleine Segmente mit Remote Phys rein.

Hohe Bandbreiten, mit guter Antwortzeit ist halt nur was für Glas, kannst auf Bandbreite verzichten kommst mit DSL halbwegs klar. Bei Kabel aber bekommt du Bandbreite im Down einfach massiv aus Kosten der Antwortzeiten.

Warum also jetzt ein SG-3100 hier steht, weil es das einige ARM Teil von Netgate war, was vor ein paar Jahren bei max 12W (Idel 8W) Praxisverbrauch GBit kann.

Was ist das für ein L2 Switch, managed? Dann kommst du auf der FW mit 2 Ports aus.
Ein Intel NUC, mit 2 * 2,5GBit Intel Nics und einem i3 ist schon völlig Überdimensioniert. Für alle CPUs darüber brauchst dann schon die Möglichkeit hier 10G nach zu stecken, denn sonst bekommst die Power nicht auf Leitung.

Warum ich also dann die 1000/50er Leitung habe, weil ich für die ein paar € weniger bezahlen als für die alte 400/40er und die 10MBit mehr Upstream für mein VPN Backup brauchen kann.

AGS101

Hallo.

Dank Euch wird mein Bild immer klarer.

@micneu. Klar setzt mich keiner unter Druck oder zwingt mir was auf, doch seid Ihr -zumindest im Vergleich zu mir- absolute Experten und habt Dinge auf dem Schirm, an die ich nicht mal im Traum denke (willkommen in der Matrix ;)).

Deswegen bin ich sehr dankbar für Eure Meinung und - ja ich gebs zu- lass mich davon gern beeinflussen!

@NOCling
Super Argumentation bzgl. der HW. Jetzt habe ich einen Anhaltspunkt, dass eine Cpu >=i3 nur Sinn ab einer 2,5Gbit Verdrahtung macht.
Stimmt das so?
Heist das auf der anderen Seite, dass ein Intel Nuc das Routing und FW in ordentlicher Weise packen kann?

Ich habe gesehen, dass der SG 3100 EOL ist. Schade!
Der einzige, der wieder interessant wäre, ist der 6100 und da bin ich preislich mit meiner HW darunter, aber Leistungstechnisch (Cpu/Speicher/Ram) drüber (klar, auch vom Stromverbrauch)

Gruß und danke für Eure Zeit

P.S. Kennt ihr ein gutes und ausführliches deutsches pf sense Tutorial bzw. eine gute, umfangreiche und anfängerfreundliche pfsense Dokumentation (gerne auch kostenpflichtig)?

JeGr

@ags101 said in Newbe Hardware Frage:

P.S. Kennt ihr ein gutes und ausführliches deutsches pf sense Tutorial bzw. eine gute, umfangreiche und anfängerfreundliche pfsense Dokumentation (gerne auch kostenpflichtig)?

Ich könnte jetzt böse sein und das noch bösere "Workshop" Wort sagen, was wir anbieten, aber ich mutmaße mal, dass das kostenmäßig wahrscheinlich außerhalb dessen ist, was du mit "gern auch kostenpflichtig" meinst * SCNR *

micneu

@ags101 ich habe mein wissen einfach aus der englischen doku, forum, google. es hilf auf alle fälle wenn du schon die grundlagen von netzwerk beherscht (so das hier nicht die basics im forum gefragt werden wo man denk, das hätte man auch googlen können)

AGS101

@JeGr
Wenn Du so anfängst, dann denke ich schon, dass Deine Preise meine Budgetierung sprengen. Es sei denn, Du gewährst -sagen wir mal- 80% Neukundenrabatt ?! .

@micneu
Das werde ich dann wohl auch so machen müssen

Eine allerletzte Frage zu dem Thema HW, dann seid Ihr mich mit meinem Belang erstmal los, versprochen…

nachdem was ich jetzt von Euch erfahren habe und so wie die netgate Geräte ausgelegt sind schätze ich, dass ich bei meinem usecase (home/small office (wan/lan max 1Gbit) mit zwei ordentlichen nicˋs, 16 gb ram und einem intel atom (4kerne, ca 2,0ghz) absolut performant unterwegs sein werde, auch wenn (@JeGr bitte wegschauen) ich mal in die Verlegenheit mit snort/suricata und clamAV komme. Stimmt das?

Gruß

noplan

@ags101

Jo reicht
Schau halt das du Intel nics hast als tipp

Und bevor du dir ids/IPS Eintrittskarten löst
Mach ordentliches IP blocking ggf DNSBL mit Pfblocker

Aber halt auch nur wenn du services hinter der pfS laufen hast

Lg

NOCling

Na der Atom im SG-6100 schiebt mit einem Stream 2,5GBit und mit 4 Streams dann 10GBit durch die Firewall.

Da man privat doch eher in dem ersten Bereich unterwegs ist, reicht dann hier ne Kiste mit 2,5G NICs aus, wenn es denn gescheite sind.
Und ein Atom wie der C3558 braucht 10G NICs um alle Power auf die Kabel zu bekommen.

Das schicke am Atom ist halt in der + Version die Implementierung der Quick Assist Funktionen, dann geht der richtig ab und 1GBit reichen ihm dann nicht um VPN voll ausfahren zu können.
Das bedingt aber auch eine Glas Leitung mit 4ms Ping richtig Cloudflare (weil sich die IP jeder merken kann und die als Referenz ganz gut taugt).

AGS101

Hallo und danke für Eure posts.

Ich glaube ich verstehe Euch jetzt und merke, dass für meinen usecase fast schon ein raspi 4 reichen würde (sofern man intel nics daran schrauben könnte/würde).

@NOCling
Bei meinem setting ist das sogar noch langsamer, denn ich habe auf Wan UND Lan Seite nur 1Gbit und könnte das höchstens mit Link Aggregation auf 2Gbit erhöhen (wobei ich glaube gelesen zu haben, dass das so nicht funktioniert)

Aber:
Ich habe vor, unser Netzwerk in naher Zukunft zu verbessern (schnellerer Switch, APˋs, etc.) und auch die Kabelsache steht zur Debatte (wegen doppeltem NAT, Nur das TC4400 als Modem, response time, etc.)

allerdings verabschiedet sich mein Ubiquiti usg (router)JETZT. Ich bin sozusagen in Zugzwang und die Wahl fällt zwischen Unifi Dreammachine Pro (Günstig, tausch über Backup schnell) und pf- bzw. opn-sense

Dank Eurem netten Input will ich es mit pfsense versuchen und habe mir für die HW überlegt, etwas mit Reserven zu bauen.

Vom preispunkt gefällt mir das Supermicro board mit Atom C3558 für um die 350€ recht gut. Dazu noch 16GB ECC und eine 128GB M2 und ich habe mehr Leistung als die 6100, liege preislich aber drunter.
Das Board ist mit 2 intel Nicˋs (1GBit) ausgestattet, was zu meinem aktuellen Setup passt. Sofern ich mein Netzwerk umbaue, erweitere ich das board mit 2/4 intel 10Gbit Nicˋs und kann so die Leistung der CPU ausschöpfen.

@NOCling
Ist das korrekt oder träume ich da gerade den Newbie-Traum ? 🤪

Gruß

noplan

@ags101

Da kann sich jemand gleich das nächste User group meeting dick im Kalender einschreiben und über seine Fortschritte berichten....

NOCling

Ja Micneus NUC ist bei GBit nicht im Ansatz ausgelastet, ist aber auch klar, denn meine kleine ARM Kiste schafft das auch und hat weniger Rohleistung.

Netgate wollte auch schon einen Nachfolger für das SG-3100er vorstellen, aber auch hier schlägt mal wieder die Chipkriese durch, es verzögert sich. Hätte da auch ein Auge drauf, so was mit ARM und 2,5GBit wäre doch nett und würde die SG-6100er nach unten abrunden.

AGS101

@noplan Ohh interessant. Das schau ich mir mal an. Danke für den Tip .
@NOCling Schade. Eine etwas schwächere Netgate HW hätte ich wahrscheinlich auch in Hinblick auf Projektunterstützung und support (pfsense +) bevorzugt.

Btw. Nachdem meine Fragen beantwortet wurden, muss ich diesen thread schließen oder irgendwie markieren?

Gruß

JeGr

@ags101 said in Newbe Hardware Frage:

Ich glaube ich verstehe Euch jetzt und merke, dass für meinen usecase fast schon ein raspi 4 reichen würde (sofern man intel nics daran schrauben könnte/würde).

Nö, weil ARM wieder ne ganz andere Plattform ist. Vielleicht ja, aber das kann man nicht einfach transferieren und deshalb nicht so einfach abstrahierbar.
Aber ja für den normalen Hausgebrauch mit Gigabit ist sicher ein Atom C3k mehr als genug. Da würde wahrscheinlich sogar noch ein alter C2k Atom reichen. Wobei man da wiederum nicht wieder Atom mit Atom verwechseln sollte. Die C-Atoms sind für Netzwerk gebaut. Kann man wiederum nicht einfach mit E- oder anderen Atom CPUs vergleichen :)

@ags101 said in Newbe Hardware Frage:

Vom preispunkt gefällt mir das Supermicro board mit Atom C3558 für um die 350€ recht gut. Dazu noch 16GB ECC und eine 128GB M2 und ich habe mehr Leistung als die 6100, liege preislich aber drunter.

Der C3558 ist ein extrem guter SOC für den Zweck. Du hast zwar nicht mehr Leistung als eine 6100 aber vergleichbar.

@ags101 said in Newbe Hardware Frage:

Btw. Nachdem meine Fragen beantwortet wurden, muss ich diesen thread schließen oder irgendwie markieren?

Nö schon OK, aber du kannst dein Anfangs-Post nochmal editieren und da den Topic ändern mit [Gelöst] oder [Solved] vor dem Rest, aber das ist optional. :)