Hardware / AES-NI / Beratung



  • Okay,

    zugegeben ich hab versucht vorher aus all diesen Infos schlau zu werden, nein hat nicht geklappt -.-

    Aber von Anfang an.

    Ich plane/baue gerade mein neues Heimnetz. Das ist zurzeit so Untergliedert:

    ->Zyxel VMG1312
    ->Cisco ASA5505
    ->->Fr!tzBox für Telefonie und Gast Wlan
    ->PfSense
    ->->Vlan 1 PC
    ->->Vlan 2 Media
    ->->Vlan 3 Werkstatt
    ->->Vlan 4 Wlan

    Momentan bin ich mit dem PfSense Teil beschäftigt und versuche mich einzulesen, klappt mehr oder minder gut  :-\

    1. Frage die ich mir nicht beantworten kann Gigabit Durchsatz
    Da ich Intervlan Routing und Firewalling machen möchte brauche ich realen Gigabit Durchsatz Richtung Wan erst einmal nicht da gibt es nur 16Mbit was für Hardware braucht man da ich werde nicht mehr schlau aus den ganzen Beiträgen.

    2. Frage was hat das mit dem AES-NI auf sich?
    Wenn ich das richtig verstanden habe läuft die nächste Version nur noch auf CPU's mit AES-NI Support O.o "Holy.."

    3. Installation auf einer CF Karte
    Ich würde gern auf einer 1GB CF Karte das OS Installieren geht das? Ist bei mir mit einem CF zu SATA adapter eingebaut (Hatte ich noch rum liegen ;D)

    Derzeit habe ich einen Optiplex 760 mit einem älteren Cor2Duo 4GB DDR2 mit einer Intel PRO/1000 PT QUAD PORT Karte auserkoren mein PF Sense zu stemmen.

    Allerdings habe ich wenig Ambitionen in einem Jahr wieder daran Hardware schrauben zu müssen.

    Alternativ hätte ich hier noch ein Core i7 2600 8GB DDR3 stehen ist eigentlich mein Media PC

    Daher würde es mich freuen wenn sich jemand Findet der mich hier beraten könnte.



  • Hallo Rocketwulf,

    1. Mag sein, allerdings ist GBit Heute ohnehin Standard, davon abzukommen könnte auch teurer werden. Zudem macht es aufgrund der Abwärtskompatibelität wenig Sinn, darauf zu verzichten.
    2. AES-NI beschleunigt das Entschlüsseln bzw Verschlüsseln von Daten. ..und Nein ich glaube nicht dass in der nächste Version von pfSense nur noch auf CPU's mit AES-NI Support erhalten. Allerdings wird es bald nur noch solche CPUs geben.
    3. Ja, ein Installation auf CF ist möglich.

    Noch was bezüglich deiner Hardware: Ein Media PC ist sicher eine Möglichkeit, doch wie die Namensgebung bereits verrät birg diese HW viele Stärken die nie zu Tragen kommen und dadurch Strom verschwenden bzw in Hitze verwandeln ohne sonst was zu bewirken. Ein Nachteil dieses ungenutzten Potential ist das Reserven für Graka, Controller für Anschlüsse usw reserviert werden -jedoch nie genutzt- fehlen sie an anderer stelle umso mehr. Daher ist es meist besser, die benötigte Hardware zielgerichteter zu kaufen bzw zu verwenden.
    ;)



  • Moin,
    zu 1: Die Frage ist, ob Deine HW das Gbit auch schafft, wenn Du zwischen den VLAN's Traffic hast und ein entsprechende Firewall-Regeln auf der sense
    Dazu muss man zunächst mal die Firewall selbst auch als den dahinterliegenden managed Switch betrachten. Bei vielen PC's ist die Anbindung der PCIX-Ports nicht unbedingt optimal, so dass im Endeffekt teilweise deutlich weniger als Gbit herauskommt.
    Zum Beispiel schaft ein APU2-Board real etwa 700 Mbit im reinen IP-Traffic. Op jetzt Dein Optiplex Gbit schafft!? Keine Ahnung.  ;)
    Im Endeffekt hilft wohl nur testen.

    zu 2:
    Ja, AES-NI ist sehr sinnvoll, wenn es um Verschlüsselung geht (VPN). Bei 16Mbit-Internetanbindung spielt das allerdings so gut wie keine Rolle. Und wenn Du kein VPN nutzen willst ist es eh egal. Und ja, Netgate hat angekündigt, dass pfsense ab der V2.5 nur noch auf  CPU's mit AES-NI läuft. Allerdings ist es bis zu V2.5 wohl mindestens noch 1 Jahr hin. Im Augenblick ist ja die 2.4 noch nicht mal released (Beta-Phase).
    Es sollte also mindestens noch 2 Jahre dauern, bis eine AES-NI CPU pflicht für den Einsatz unter pfsense ist.

    zu 3: Ja, ist möglich. Ich würde pfsense aber heute nicht mehr neu auf CF installieren! Eine kleine SSD rein und gut (32 GB reichen vollkommen aus). Nano-Images wird es ab der 2.4 nicht mehr geben, so dass ein Betrieb auf CF nicht mehr sinnvoll ist.


  • Moderator

    Hi,

    ein paar nicht ganz korrekte Aussagen gibts ja schon ;)

    Da ich Intervlan Routing und Firewalling machen möchte brauche ich realen Gigabit Durchsatz Richtung Wan erst einmal nicht da gibt es nur 16Mbit was für Hardware braucht man da ich werde nicht mehr schlau aus den ganzen Beiträgen.

    Inter-VLAN Routing und Gigabit beißen sich hier ja schon. Wenn du VLANs auf EINEM Interface hast, dann kannst du kein Gigabit erreichen wenn du von VLAN1 nach 2 redest, physikalisch liegt ja nur ein Gigabit an. Daher muss man da ein wenig differenzieren was man machen möchte.

    Wenn ich das richtig verstanden habe läuft die nächste Version nur noch auf CPU's mit AES-NI Support O.o "Holy.."

    Und sehr viele aktuelle Chipsätze und CPUs unterstützen diesen Befehlssatz. Das ist also kein "Holy…" sondern "joa schön". Das betrifft ähnlich der 32bit Abschaltung mit 2.4 nur sehr alte Hardware. Und es ist nicht die nächste Version (das wäre 2.4) sondern erst die übernächste - 2.5

    Ich würde gern auf einer 1GB CF Karte das OS Installieren geht das? Ist bei mir mit einem CF zu SATA adapter eingebaut (Hatte ich noch rum liegen ;D)

    Möglich vielleicht, mit 2.4 aber nicht mehr mit nanoBSD (da tot) und nicht empfohlen. Generell würde ich es einfach sein lassen, es bringt mehr Nach- als Vorteil und eine kleine SSD ist einmal gekauft auch nicht grandios teuer und genügt. 1GB ist zudem zu klein und knapp. Da klappt nix damit.

    Derzeit habe ich einen Optiplex 760 mit einem älteren Cor2Duo 4GB DDR2 mit einer Intel PRO/1000 PT QUAD PORT Karte auserkoren mein PF Sense zu stemmen.

    Kann man nicht konkret was dazu sagen, aber eine Quad-Port Karte braucht auch entsprechend angebundene PCI Lanes und passende Hardware drunter, um bspw. 4x Gigabit auch wirklich stemmen zu können. Nur weils draufsteht muss es der Bus bspw. nicht auch abliefern können. Noch gravierender ist das bspw. bei Dual-SFP+ Karten die 20/40Gbps wuppern müssen - da wird einfach oft vergessen, dass die Steckkarte das vielleicht kann, aber der Bus es auch liefern muss ;)

    Generell auch zu den anderen Antworten:

    1. AES-NI ist nicht nur für nackte Verschlüsselung von VPNs gut und benötigt. Generell wird pfSense 2.5 sehr wahrscheinlich AES-NI voraussetzen und bei ARM wohl auf entsprechende andere Lösungen ausweichen. Zitat:

    While we’re not revealing the extent of our plans, we do want to give early notice that, in order to support the increased cryptographic loads that we see as part of pfSense verison 2.5, pfSense Community Edition version 2.5 will include a requirement that the CPU supports AES-NI. On ARM-based systems, the additional load from AES operations will be offloaded to on-die cryptographic accelerators, such as the one found on our SG-1000. ARM v8 CPUs include instructions like AES-NI that can be used to increase performance of the AES algorithm on these platforms.

    -> https://www.netgate.com/blog/pfsense-2-5-and-aes-ni.html

    1. AES-NI  ist inzwischen auch ein "Tool", um andere Angriffe abzuwehren wie bspw. Cache Timing Attacken auf AES an sich. Siehe dazu auch den aktualisierten Artikel, der sich mit diesen Fragen beschäftigt: https://www.netgate.com/blog/more-on-aes-ni.html
      Dort wird ausgeführt, dass bspw. AES-NI aktiviert den Prozessor vor Cache Timing Attacken gegen AES schützt. Was nichts mit Verschlüsselung bei VPNs per se zu tun hat. Dazu kommt, dass pfSense in Richtung 3.0 in eine andere Richtung zielt: UI via YANG & RESTCONF um die schwergewichtige PHP Lösung endlich abzulösen. Auch hier ist es wichtig, die Zugriffe dann ordentlich abzusichern (wiederum nichts zu tun mit VPN) und dies wird ebenfalls über Nutzung von AES-NI erreicht.

    Daher - und da es 2017 auch kaum mehr CPUs gibt, die kein AES-NI oder vergleichbar beherrschen - wird das ein Requirement für 2.5 und später 3.0 sein, was auch sehr zu begrüßen ist (die Ablösung von PHP sowie den generellen Wunsch der Absicherung)

    Grüße



  • Erst einmal danke für die Antworten.

    ->Inter-VLAN Routing und Gigabit beißen sich hier ja schon
    Ist mir bewusst, und ich beabsichtige jedem Vlan einen Eigenen Port zu verpassen deswegen auch die Quad karte. PCI Lanes sollten ausreichend sein werde ich dann aber wie vorgeschlagen testen. Ich dachte es gibt evtl Erfahrungswerte.

    -> CF Card nicht empfohlen und 1G zu klein.

    Aknowledged. Würde eine 16G SSD ausreichen die hätte ich auch noch am Start.

    ->AES-NI Das ist also kein "Holy…" sondern "joa schön"

    Ehm für mich ist das definitiv ein "KO" gegen PF-Sense. Ich begrüße das die Sicherheit im Vordergrund steht daher bitte auch nicht falsch verstehen.

    Ich denke aber einige lassen ihr PF-Sense auf "älterer" Hardware laufen wie es auch mein plan gewesen ist. Durch diese Entwicklung muss ich mir tatsächlich ansehen ob sich der Einsatz eines PF Sense für mich noch lohnt. Wenn ich neue Hardware anschaffen und konfigurieren muss liege ich da bei "Gigabit" Wunsch auch in einem Preisrahmen wo ich eine fertige Appliance nehmen kann. Also werde ich nochmal drüber nachdenken müssen.



  • @Rocketwulf:

    ->AES-NI Das ist also kein "Holy…" sondern "joa schön"

    Ehm für mich ist das definitiv ein "KO" gegen PF-Sense. Ich begrüße das die Sicherheit im Vordergrund steht daher bitte auch nicht falsch verstehen.

    Na ja,
    realistisch wird die 2.5 frühestens 2018 oder gar erst 2019 erscheinen. Und selbst nach dem Veröffentlichen von 2.5 wird 2.4 mindestens 1 Jahr weiter gepflegt. Bis dahin ist noch ein ganze Zeit hin…
    Das wäre jetzt kein KO Kriterium für mich.
    Gruß
    Dirk


  • Moderator

    Zum Einen, das was Dirk schreibt.

    Ich denke aber einige lassen ihr PF-Sense auf "älterer" Hardware laufen wie es auch mein plan gewesen ist. Durch diese Entwicklung muss ich mir tatsächlich ansehen ob sich der Einsatz eines PF Sense für mich noch lohnt. Wenn ich neue Hardware anschaffen und konfigurieren muss liege ich da bei "Gigabit" Wunsch auch in einem Preisrahmen wo ich eine fertige Appliance nehmen kann. Also werde ich nochmal drüber nachdenken müssen.

    Zum Anderen und diesem Absatz: zeige mir bitte die "ältere" Hardware, die kein AES-NI Befehlssatz hat und deren Vorteil. Das mag ja alles im kleinsten Kleinbetrieb im Heimischen LAN so sein, aber sorry, wenn es um zu Hause geht ist meist auch Power Usage ein Thema - und dann würde sich eher mal die Neuinvestition in neuere sparsamere Hardware lohnen, als ewig alte Wattschleudern einzusetzen. Der Befehlssatz stammt aus März 2008(!), wenn man dann 10 Jahre später mal ansagt, dass man nur noch CPUs unterstützt, die diesen implementiert haben - und das nicht nur wegen VPN oder anderer Spielereien, sondern wegen generellem Sicherheitsgewinn, dann finde ich das kein KO Kriterium, sondern ggf. eher ein Punkt an dem ich meine Kriterien ggf. mal überdenken muss. Und das heißt dann eben auch mal steinalte Hardware alt sein zu lassen und sich was anderes zu schnappen - es beißt sich einfach, wenn man einerseits Performance Ansprüche hat (multi Gigabit Routing) und gleichzeitig aber zu Hause (verständlich) sparen möchte und Hardware Recycling spielt.

    Und wie Dirk schon sagte, das wird 2.5 wohl mit 2018 oder 2019 betreffen. Dann sind 10+ Jahre rum für betroffene Hardware. Irgendwann muss man auch mal nen Schnitt machen dürfen, sonst kann man alte Zöpfe nie abschneiden. :)

    Grüße