OPNsense Forum
International Forums => German - Deutsch => Topic started by: MTA on December 09, 2018, 05:26:43 pm
-
Moin moin,
seit mehr als drei Jahren nutze ich nun zufrieden pfsense und habe auch OPNsense immer mal hier und da verfolgt, hatte aber nie wirklich die Motivation einen Wechsel zu vollführen. Nun stehe ich für dem Wunsch ein IPS/IDS einzurichten und habe mich noch einmal an OPNsense erinnert und auf den aktuellen Stand gebracht.
Was für mich nun als Frage im Raum steht: Kann OPNsense meine Wünsche und Anforderungen erfüllen, so dass ein Wechsel von pfsense möglich ist?
Wieso der Wechsel? Ich finde die Lizenz-Politik und OPNsense irgendwie ansprechender und will es auf der anderen Seite einfach mal ausprobieren. Gegenüber pfsense erwarte ich im groben und ganzen keinen großen Unterschied, eher im Detail.
Was mache ich derzeit mit meiner pfsense-Installation so?
- Betrieben mit 1x WAN, 1x LAN
- PPPoE mit Telekom VDSL über ein eigenes Modem
- DNS Resolver (kein Forwarder!)
- OpenVPN-Client, wo durch eine Regel (auf Basis von IPs) partiell Traffic durchgeleitet wird
- DHCP
- Telekom VoIP/SIP
- Munin-Node zur Aufzeichnung von System-Ressourcen
Alles in allem also nix kompliziertes und alles oben genannte sollte, so wie ich es im Netz lesen konnte, auch mit OPNsense problemlos funktionieren. Eine gestern kurz angetestete VM ließ mich auch ziemlich ähnliche Masken erblicken. Interessant wird es nun bei IDS/IPS. Da OPNsense suricata und kein snort verwendet und ich mit suricata keine Erfahrungen habe, bin ich etwas unsicher, ob es von der Mächtigkeit ebenbürtig ist.
Wichtig hierbei ist mir vor allem die Sicherheit durch die Regeln. Ob es nun Multithreaded ist oder nicht, ist für meinen Traffic nicht relevant. Kritischer sehe ich eher, dass ich die Snort-Regeln, welche man für 30 Dollar im Jahr erwerben kann, nicht vollständig in suricata überführen kann. Hier werden ja eher die ET-Regeln verwendet, wenn ich es richtig verstanden habe. Findet sich hier ggf. jmd. wer suricata verwendet und etwas über die Qualität der Regeln sagen kann? Im Internet habe ich bislang immer die Favorisierung von Snort wahrnehmen müssen.
Ein weiterer Punkt, welchen ich mir ansehen wollte, war pfblockerNG. Soweit ich das richtig gesehen habe, gibt es für OPNsense keine Alternative. Ist das korrekt?
Das sind eigentlich die beiden Punkte, welche mir derzeit auf dem Herzen liegen. Würde mich freuen, wenn sich jmd. dafür äußern könnte, sofern er Erfahrungen damit hat :)
-
https://www.routerperformance.net/opnsense/using-pfblocker-features-in-opnsense/
Wegen Suricata, was erwartest du dir? Also welchen Schutz vor was? Alle anderen Features sind kein Problem.
Munin gibt's kein Plugin, aber wenn du magst bau ich dir eins :)
-
Bezüglich pfblockerNG gibt es mit OPNsense zwei Möglichkeiten: Entweder per bind plugin adblock Listen laden oder dem Unbound eine eigene per custom Feld hinzufügen.
-
Wegen Suricata, was erwartest du dir? Also welchen Schutz vor was? Alle anderen Features sind kein Problem.
Also um es mal pauschal auszudrücken: Den identischen Schutz aka Erkennungsrate wie von Snort. Um es nun mal etwas präziser Auszudrücken: Ich erwarte, dass Suricata auf gleichen Niveau Angriffe erkennt und nach meinem Wunsch handelt. Vor allem wenn man in Richtung Exploits oder verdächtiges Verhalten von Clients in Richtung Internet (Infizierte Systeme etc.) schaut.
Grundsätzlich habe ich durch meine Firewall derzeit noch keine Dienste per WAN zugänglich gemacht. Dennoch wäre mein Anspruch ähnlich hoch, als wenn ich es schon hätte.
Woran ich nicht interessiert bin ist irgendeine Form von Content-Filterung aka "Youtube ist böse, keine Erotik etc.". Es geht mir hier primär um den Schutz des Netzwerkes.
Munin gibt's kein Plugin, aber wenn du magst bau ich dir eins :)
Also ich persönlich benötige keins. Ich hätte es hiermit gemacht: https://zedt.eu/tech/linux/installing-munin-node-on-opnsense/
In meinen Augen ein vertretbarer Aufwand. Wenn du dennoch eins bauen willst, dann hilft es vielleicht anderen Benutzern, welche nicht auf der Konsole rumspielen wollen.
-
Ich trigger das mal .. wäre nicht das erste Plugin im Bereich Monitoring :)
Gleichwertig sind public rules nicht. Die ET Pro sind kompatibel, aber doch einiges teurer.
Ich glaube mit ordentlichem Geo Blocking und FireHOL list, dazu DNSBL bist du safe, da würde ich IPS eher für virtual patching nehmen.
-
Ok, danke.
Ich werd mir OPNsense dann einfach zwischen den Feiertagen genauer ansehen. Der Vorteil einer virtualisierten Firewall ist ja, dass man sie jederzeit austauschen kann ohne was kaputt zu machen :)
-
Was mich einfach mal so interessieren würde, weil das immer wieder als Argument kommt: @MTA was gefällt dir denn an der "Lizenzpolitik" so viel anders/besser? Ich verstehe da den Anspruch als Endkunde von BSD License vs. Apache License nicht wirklich. Zumindest wenn ich nicht plane das Teil zu nehmen und es großartig zu modden/anzupassen. Beides sind durchaus gute, valide und sehr verbreitete OpenSource Lizenzen?
Ansonsten würde mich wie Dirk interessieren, was man sich von Surricata/Snort im Heimbetrieb mit WAN/LAN großartig erhofft. Verstehe es einfach nicht, was da "schützenswert" ist, wenn keine eingehenden Verbindungen erlaubt sind. Wenn ich selbst Dienste (Webserver o.ä.) anbiete, alles nachvollziehbar - auch wenn man selbst dann noch andere Karten ausspielen kann - aber im Heimbetrieb wo ich ggf. mal VPN offen habe und ansonsten outgoing traffic habe? Was will ich da mit IDS/IPS? Würde mich gerne über Feedback freuen.
Gruß
-
Ich verstehe da den Anspruch als Endkunde von BSD License vs. Apache License nicht wirklich.
Ich glaube die Leute stört der aggressive Banner nach jedem Update den man akzeptieren muss.
-
Was für mich nun nichts mit "Lizenzpolitik" zu tun hat
-
Sagen wir einfach man kann nach wie vor beides frei nutzen. :)
-
Was mich einfach mal so interessieren würde, weil das immer wieder als Argument kommt: @MTA was gefällt dir denn an der "Lizenzpolitik" so viel anders/besser?
Könnte sein, dass er sich daran stört, dass die letzten Jahre die Lizenz so oft gewechselt wurde.
-
Schade dass das nicht vom OT kommt, dass ihr alle dazu eure eigenen Ideen habt - wie ich selbst - kann ich mir vorstellen ;)
-
...
Ansonsten würde mich wie Dirk interessieren, was man sich von Surricata/Snort im Heimbetrieb mit WAN/LAN großartig erhofft. Verstehe es einfach nicht, was da "schützenswert" ist, wenn keine eingehenden Verbindungen erlaubt sind. Wenn ich selbst Dienste (Webserver o.ä.) anbiete, alles nachvollziehbar - auch wenn man selbst dann noch andere Karten ausspielen kann - aber im Heimbetrieb wo ich ggf. mal VPN offen habe und ansonsten outgoing traffic habe? Was will ich da mit IDS/IPS? Würde mich gerne über Feedback freuen.
Gruß
Bspw. werden bei mir so Sachen bemerkt/geblockt wie:
LAN outbound:
# Ein Windows 10 Rechner:
[Drop] [1:2025275:1] ET INFO Windows OS Submitting USB Metadata to Microsoft [Classification: Misc activity] [Priority: 3] {TCP}
# Mein Samsung Smart TV:
[1:2019416:3] ET POLICY SSLv3 outbound connection from client vulnerable to POODLE attack [Classification: Potential Corporate Privacy Violation] [Priority: 1] {TCP} 52.221.74.15:443 -> 192.168.30.100:37451
WAN inbound:
[Drop] [1:2023753:2] ET SCAN MS Terminal Server Traffic on Non-standard Port [Classification: Attempted Information Leak] [Priority: 2] {TCP}
# NTP-Reflection Attacks: https://www.symantec.com/connect/blogs/hackers-spend-christmas-break-launching-large-scale-ntp-reflection-attacks
[Drop] [1:2017919:2] ET DOS Possible NTP DDoS Inbound Frequent Un-Authed MON_LIST Requests IMPL 0x03 [Classification: Attempted Denial of Service] [Priority: 2] {UDP}
Also, da geht schon einiges!
Ich mache das dann so, dass ich mir eine Alias Network List erstellt habe, in der ich die auffälligen Netzwerke über die Firewall dann sperre (die bekomme ich über https://bgp.he.net/ (https://bgp.he.net/) raus). Und Ruhe ist :-).
-
Moin moin,
hatte etwas gedauert, da mir die Zeit fehlte.
Was mich einfach mal so interessieren würde, weil das immer wieder als Argument kommt: @MTA was gefällt dir denn an der "Lizenzpolitik" so viel anders/besser? Ich verstehe da den Anspruch als Endkunde von BSD License vs. Apache License nicht wirklich. Zumindest wenn ich nicht plane das Teil zu nehmen und es großartig zu modden/anzupassen. Beides sind durchaus gute, valide und sehr verbreitete OpenSource Lizenzen?
Ich bin nicht nur Endkunde sondern auch Entwickler und somit betrachte ich Lizenzen und deren Umgang immer etwas beruflich geprägt. Aber ich gebe dir recht, dass mich als Privatperson das nicht wirklich interessieren muss. Auch habe ich mit "Lizenzpolitik" leider sehr lapidar eine Gruppe an Problemen ausgedrückt, welche teilweise gar nichts mit Software-Lizenzen zutun haben. Mein Fehler.
Um es etwas präziser zu formulieren:
- Auch wenn es Vergangenheit ist, hat pfsense seit der Story mit opnsense.com einfach stark an Reputation verloren. Vielleicht nicht die Software aber das Management drum herum.
- Persönlich empfinde ich die BSD-Lizenz irgendwie "schöner", wobei die Apache-Lizenz nun kein "Böses" ist. Es ist rein subjektiv.
- Leider kriege ich keine Quelle zusammen aber es gab vor einiger Zeit auch mal den Aufschrei bzgl. Verwendung von pfSense und Netgate-Hardware und einer Finanzierungsfrage.
- Öfteres Lizenz-Hopping. Kein Drama, jedoch wirkt es irgendwie unentschlossen oder unkoordiniert.
Insgesamt gab es in der Vergangenheit immer mal wieder Punkte, welche mich gestört haben und ich daher initial mit dem Gedanken eines Wechsels gespielt habe. Damit möchte ich nicht sagen, dass es woanders besser ist. Ich möchte einzig die damaligen Auslöser für mein Gedankenspiel vorstellen.
Ansonsten würde mich wie Dirk interessieren, was man sich von Surricata/Snort im Heimbetrieb mit WAN/LAN großartig erhofft. Verstehe es einfach nicht, was da "schützenswert" ist, wenn keine eingehenden Verbindungen erlaubt sind.
Muss ich etwas schützenwertes haben um Schutz zu wollen? Muss ich meine Haustüre nicht abschließen, nur weil ich nichts von Wert habe? Ist nicht alleine das Gefühl schon Schutz erstrebenswert oder darf man das nur haben, wenn man die top secret Business-Informationen zu schützen hat? ;) Weswegen ich privat eine IPS/IDS haben möchte sind folgende Gründe:
- Erfahrung sammeln und neue Dinge ausprobieren
- Einen gewissen Vorteil im Bereich "Schutz"
Und selbst wenn der zweite Punkte nicht wirklich zum tragen kommt, dann ist alleine das Wissen, welches ich mir aneignen möchte, Grund genug für mich sein. Und ein IPS/IDS betrachtet ja nicht nur die eingehenden sondern auch die ausgehenden Verbindungen. Somit erhoffe ich mir, dass selbst wenn mal irgendwas ins Netzwerk kommt - kann ja auch durch ein infiziertes Gerät sein - das wenigstens ein Weg nach außen erschwert wird.
Ob dies dann letztendlich so ist, hier verweise ich auf Punkt 1: Lernen. Und selbst wenn nicht: Was schadet eine IPS/IDS? Sie tut nicht weh. Selbst wenn sie nichts nutzen sollte.
-
> Lizenz Hopping
Gab es in der Form nicht. Man hat damals von Chris aus und zu ESF Zeiten eben seine eigene angepasste Lizenz gestrickt - nicht so gut gewesen, daher später zur Standard Apache Lizenz gewechselt. Aus Gründen, die durchaus einfach nachvollziehbar sind, wenn man sich heute das gleiche Drama bei bspw. Kodi anschaut, die nun auch händeringend hinterher sind, ihren Namen/Copyright etc. zu claimen, damit die ganzen schlechten China/Fernost "Kodi-TV-FreeStreaming-Boxen" alle weggeklagt werden können, da die Leute das dann als offiziell wahrnehmen und dadurch Kodi=Hackersoftware gleichsetzen. Dass der ganze Namensschutz Kladeradatsch lästig ist - ohne Frage ;) Umgekehrt kann ichs aus Firmen- und Supportersicht aber absolut nachvollziehen, dass man klar offizielle Software/Hardware von irgendwelchen schlecht zusammengeschusterten Fernost Boxen mit modifizierter Software trennen möchte.
> Leider kriege ich keine Quelle zusammen aber es gab vor einiger Zeit auch mal den Aufschrei bzgl. Verwendung von pfSense und Netgate-Hardware und einer Finanzierungsfrage.
Da erinnere ich mich nur an schlecht recherchierte und relativ haltlose Geschichten. Dass man mit dem Verkauf der offiziellen Hardware das Projekt unterstützt und refinanzieren möchte - ist ja irgendwo logisch. Zudem durch den Verkauf von Support - auch altbekannt. Ich kann daran nichts "Aufschrei"-würdiges erkennen. Außer dass wieder Aluhutträger kamen, die partout meinten, jetzt gibts nur noch Software gebundelt auf Netgate Hardware. Dem ist/war aber nicht so. Ob man die offizielle Hardware gut findet - das ist ein anderes Thema ;)
> Muss ich etwas schützenwertes haben um Schutz zu wollen? Muss ich meine Haustüre nicht abschließen, nur weil ich nichts von Wert habe? Ist nicht alleine das Gefühl schon Schutz erstrebenswert oder darf man das nur haben, wenn man die top secret Business-Informationen zu schützen hat? ;) Weswegen ich privat eine IPS/IDS haben möchte sind folgende
Du stellst die falschen Fragen, weil du meinen Satz nicht zuende gelesen hast bzw. das damit einher geht. Wenn deine Türe abgeschlossen ist - um bei deinem Beispiel zu bleiben - warum muss ich dann ständig durch den Spion schauen um zu sehen ob wer davor steht und anklopft oder Log darüber führen wer draußen vorbeiläuft? -> Das wäre eher das Beispiel ;) Denn wenn ich keine Dienste anbiete und mein WAN eh zu ist, was will ich dann zum Geier mit dem IDS/IPS "schützen" bzw. protokollieren?`
Abgehend mag das eine andere Baustelle sein, wobei ich das da anders/kritisch sehe, weil es für abgehenden Traffic nochmal andere Möglichkeiten gibt. Da genügen mir persönlich IP Blacklisten von diversen Quellen die ich dann auch mitloggen kann. Damit hat man schon den einen oder anderen Trojaner/Cryptolocker aufgestöbert. Aber ja, abgehend mag das ein Punkt sein.
Natürlich ist Lernen völlig OK - darum habe ich ja nachgefragt oder hinterfragt. Aber ich bekomme eben auch im geschäftlichen Umfeld ständig Anfragen und Anforderungen, bei denen mir nur die Augen rollen. Darum hat es mich interessiert welchen konkreten Grund es geben kann.
Grüße :)
-
Da erinnere ich mich nur an schlecht recherchierte und relativ haltlose Geschichten. Dass man mit dem Verkauf der offiziellen Hardware das Projekt unterstützt und refinanzieren möchte - ist ja irgendwo logisch. Zudem durch den Verkauf von Support - auch altbekannt. Ich kann daran nichts "Aufschrei"-würdiges erkennen. Außer dass wieder Aluhutträger kamen, die partout meinten, jetzt gibts nur noch Software gebundelt auf Netgate Hardware. Dem ist/war aber nicht so. Ob man die offizielle Hardware gut findet - das ist ein anderes Thema ;)
Ganz deiner Meinung, wobei mich das mit dem Cryptochip was sie jetzt für ARM machen schon leicht verschreckt. Ich kann verstehen dass sie da viel Manpower reingesteckt haben das auf ARM zu bringen und jetzt sicherlich das so stricken dass es auch nur mit Netgate ARM läuft, die Leute finden dann wiederrum das Werben als open source eher befremdlich ..
-
Ob die Geschichte ohne OPNsense anders ausgehen hätte können kann jeder selbst erörtern. Jedenfalls gab es vermehrte Aktionen die sich über die Jahre im Kreis drehten: Lizenzwechsel zu restriktiver zu offener, Quellcode mehrmals mal nicht auf GitHub dann wieder da. pfSense 3.0 und dann doch eher 2.4. DPDK und dann Netmap (verlassen in 2015[1]) und jetzt DPDK mit Linux auf "open source" Basis ohne "open source" Code. Geht alles, aber sieht halt etwas unstetig aus global betrachtet.
Hat übrigens jemand gemerkt dass seit 2018 beide Projekte ihre Dokumentation als Open Source veröffentlichen. ;)
[1] https://github.com/Netgate/netmap-fwd
-
Ganz deiner Meinung, wobei mich das mit dem Cryptochip was sie jetzt für ARM machen schon leicht verschreckt. Ich kann verstehen dass sie da viel Manpower reingesteckt haben das auf ARM zu bringen und jetzt sicherlich das so stricken dass es auch nur mit Netgate ARM läuft, die Leute finden dann wiederrum das Werben als open source eher befremdlich ..
Wie Du schon richtig geschrieben hast, hat Netgate einiges an Zeit/Geld investiert um pfsense auf ARM zum Laufen zu bekommen. Da kann man m.E. sehr wohl nachvollziehen, dass Sie das KnowHow schützen wollen/müssen! Das hat auch nicht unbedingt etwas mit Open Source zu tun, da es ja nicht um das eigentliche Produkt pfsense an sich geht!
Es wird ja niemand daran gehindert z.B. OPNsense auch für die espresso.bin Platform zu portieren. ;)
Ich finde die Netgate 1100 auf jedem Fall ein sehr interessantes Produkt.
-
Hallo zusammen,
@ JeGr
Ansonsten würde mich wie Dirk interessieren, was man sich von Surricata/Snort im Heimbetrieb mit WAN/LAN großartig erhofft. Verstehe es einfach nicht, was da "schützenswert" ist, wenn keine eingehenden Verbindungen erlaubt sind. Wenn ich selbst Dienste (Webserver o.ä.) anbiete, alles nachvollziehbar - auch wenn man selbst dann noch andere Karten ausspielen kann - aber im Heimbetrieb wo ich ggf. mal VPN offen habe und ansonsten outgoing traffic habe? Was will ich da mit IDS/IPS? Würde mich gerne über Feedback freuen.
Ein interessanter Ansatz...
Du bist also der Meinung, das es unter normalen Umständen im privaten Bereich kein IPS/IDS braucht.
Die Gründe für diese These interessieren mich und freue mich auf die Antwort.
Gruß
Mario
-
@mar_becker
Ich finde, dass JeGr im Fred schon sehr deutlich erklärt hat, warum er IDS/IPS im privaten Heimnetz nicht unbedingt als sinnvoll erachtet. Da stimme ich auch voll mit überein!
Von daher solltest Du eher erklären, warum IDS/IPS für Dein Heimnetz soo unverzichtbar ist. ;)
Gruß
Dirk
PS: Im Firmenumfeld sieht es dann schon wieder ganz anders aus.
-
Hallo Dirk,
ich habe in meinem Post nicht erwähnt, dass es für mich soo unverzichtbar ist... ;)
Ob man das Feature IDS/IPS im privaten Bereich verwendet, ist denke ich auch eine Glaubensfrage.
Im Endeffekt muss jeder selber entscheiden, ob man es haben will oder nicht. Schaden tut es mit Sicherheit nicht und es ist ja auch eine Frage der Performance. Denn IDS/IPS nimmt sich schon einen guten Schluck aus der Pulle..
Aber wie dem auch sei, es bleibt eine interessante Diskussion und ich finde das gut so.
Beste Grüße
Mario
-
> ich habe in meinem Post nicht erwähnt, dass es für mich soo unverzichtbar ist... ;)
"Einfache" Antwort an Mario :)
Mein Heimnetz kontrolliere ich. Da sind keine Geräte die ich nicht kenne oder zumindest mal grob sicherheitstechnisch einschätzen kann. Mein Heimnetz ist in VLANs separiert und diese können je nach VLAN mehr oder weniger nach draußen sprechen. Zusätzlich ist mit pfBlockerNG und einigen guten Voreinstellungen und Listen einiges an grobem Unfug auf IP Ebene und mit DNSBL Listen (ebenfalls in pfBNG und in einem VLAN testweise über einen Raspi mit PiHole was ich für jemanden getestet habe) genug weggefiltert. Kritischere Geräte wie Streaming Boxen, TVs etc. haben ihr eigenes Media Netz, wichtigere Kisten wie "LAN/intern" und Co haben etwas freiere Entfaltung. Genauso die Spielkisten der Kids oder Konsolen.
Da brauche ich IMHO keine overpower Resourcen für IDS abstellen, das ich - wenn ich es _sinnvoll_ betreiben möchte auch ständig kontrollieren sollte (damit kein Quatsch gemacht wird) und das mir durch Layer7 Filter ordentlich auf die Performance Mütze haut. Ich biete nach draußen keine Dienste an die ich schützen müsste, ergo ist WAN ohnehin zu 99% dicht - mal von VPN und ein paar Spezialfällen mit restricted sources abgesehen.
Es geht m.M.n. um Verständnis was man tut und wo man es tut. Einfach alles mit IDS/IPS zu erschlagen, wie ich das vielfach bei KMUs oder im privaten Rahmen sehe, finde ich persönlich Unfug. Da wird vor 2 Jahren mal eine OPNsense installiert, beim IDS der Haken reingemacht, sogar der Protection Mode angemacht und dann schaut da keine Sau mehr in Logs oder sonstwas - oder jemand schaut rein und ist von der Masse oft völlig erschlagen. Resultat? "click pass" wie bei den guten alten Personal Firewalls. Erstmal ein super Gefühl "Hey ich bin jetzt total geschützt". Dann die Überforderung weil jede Anwendung und jeder Pups ein Popup produziert und am Ende die Resignation indem einfach bei den meisten Sachen auf "Ja und Amen" geklickt wird, damit es einfach funktioniert. Und nicht oft werden solche Systeme einfach "vergessen" bzw. an andere Kollegen/Leute übergeben, die von den Settings gar nichts wissen, sich aber wundern, dass einige Sachen einfach komischerweise nicht gehen. Jap, alles schon erlebt und direkt aus der Praxis.
Ich habe keinem abgesprochen, dass er sich nicht gern zu Hause vor das Log von Surricata oder Snort setzen und es auswerten darf. Oftmals genügen aber bereits die Dinge, die ich oben erwähnt habe schon massig, um das Gros an Krimskrams auszufiltern. Wenns dann in die Details geht oder man tatsächlich Verdacht hat, dass irgendwo Schmu im Gang ist, dann kann IDS wie auch tcpdump und Co ein gutes Werkzeug sein, da etwas zu finden. Nur sagt man nicht umsonst, dass man ein IDS gut und gern ein paar Monate laufen lassen und analysieren muss, bis man für sich die halbwegs funktionierende Konfig raus hat. Und selbst dann ist die davon abhängig, wie gut und aktuell und umfangreich meine Listen sind.
> Ganz deiner Meinung, wobei mich das mit dem Cryptochip was sie jetzt für ARM machen schon leicht verschreckt.
Ich glaube bei "Cryptochip" sollte man unterscheiden. Einerseits gibts nämlich einen Cryptobeschleuniger an dem gearbeitet wird und der m.W. noch nicht vollständig integriert ist. Der soll ganz einfach ähnlich wie AES-NI auf ARM die Crypto beschleunigen und den Chip sichern.
Was noch im Raum schwebt ist kein "Crypto", sondern - und ich sage das absichtlich - eine "Art" TPM in welchem bspw. Prüfsummen o.ä. hinterlegt sind, damit bspw. sichergestellt ist, dass die offiziellen Update(quellen) genutzt werden und die Hardware authentisch ist und man sich keine nachgeahmte Box eingetreten hat, bei der nicht kontrolliert werden kann, was genau da eigentlich installiert ist und ob da noch anderer Kram läuft den keiner sieht.
Wurde BTW auch im Forum, Reddit und Co. schon diskutiert, dass das a) kein Lockdown ggü. anderer Hardware oder der Community Edition ist und b) keine Hardware Lizenz damit da irgendwas kassiert wird. Auch da gehts wieder um das gleiche Thema "authenticity" sowohl der Software, Prüfsumme etc. damit klar ist, ja das ist genuine Version 2.4.4 und dass niemand in die Firmware gepinkelt hat.
Grüße