Mehrere kleine Problemchen und bitte Hardwareberatung für 1gbit Internet

[opnsenseuser]

Zum Strom: Doch um einiges sparsamer als ich dachte. Der Server, der DG Router und ein 5 Port Gigabit Switch kommen zusammen auf ca 85 Watt laut Messuhr.  Kostet mich nun also keine 3€ im Monat :-)

ich weiß nicht was die kwh in Deutschland kostet, aber wenn ich von einem durchschnittlichen Preis in Österreich ausgehe und dieser beträgt ungefähr 0,19 Euro/kwh, dann zahlt man dafür bei 24 Stunden Betrieb im Jahr 140 Euro. Das wären dann ungefähr 12 Euro im Monat!

[tomekk228]

Ja dann hast du ein Grund nach Deutschland zu kommen. Weil hier kostet die kwh ja 0,0475€!

Nein Scherz beiseite.

Ich schrieb ja in einem Post in diesem Thread das der sowieso nur 4-5 Stunden am Tag läuft.

[opnsenseuser]

Na dann sollten sich die Kosten in Grenzen halten.

[monstermania]

@JeGr
Leider liefert Intel ja gerade den allerbesten Beweis ab, warum ich durchaus froh bin eine ältere CPU in der Firewall zu nutzen (z.B. Atom vor 2013 oder VIA CPU). Ja, es gibt keine AES-NI. Aber eben auch kein Spectre/Meltdown.  ;)
Das gesamte Patchmanagement zu Spectre/Meltdown ist ein absolutes Trauerspiel. Kaum ist man in der Firma mit allen Servern/Notebooks/Clients durch (Bios, OS-Updates, VMWare usw.) gibt es wieder ein neues Bios oder ein Bios wird zurückgezogen und eine Woche später kommt die nächste Version...  >:(
Und nun rollt Spectre-NG auf uns zu!

@tomekk228
Es geht ja nicht ausschließlich um die eigenen (Strom)Kosten. Man sollte auch etwas an die Umwelt denken.  ;) Wenn sich jeder so eine 85 Watt Schleuder hinstellen würde kämen da ganz schnell ein paar Megawatt zusammen!
Energieeffizienz war/ist für mich auf jedem Fall ein wichtiger Punkt bei der HW-Auswahl (neben den reinen HW-Kosten). Ich bin auch froh, dass ich meinen AP per PoE aus den Netzteil meiner Firewall versorgen kann. Das spart auch nochmal 1-2 Watt ein.  :)
Jedes Watt weniger spart über das Jahr gesehen wieder Geld, dass ich für andere Dinge ausgeben kann.

[JeGr]

@tomekk:

> Ja weil es auch richtig ist. AES-NI ist nur dafür da die ent- und verschlüsselung vom AES Algorithmus zu beschleunigen. Da der aber nichts mit Verschlüsselung zutun haben wird, brauch ich diesen Befehlsatz auch nicht.

Nein ist es nicht. Bitte informieren bevor man einfach Behauptungen aufstellt. AES-NI tut für den Prozessor mehr, also "nur" irgendwelche AES Cipher zu beschleunigen. Lies dich schlau. Ich bins leider leid immer wieder die gleiche Gebetsmühle rauszuholen.

@Dirk
> Das gesamte Patchmanagement zu Spectre/Meltdown ist ein absolutes Trauerspiel.

Andere Baustelle und hat primär damit nichts zu tun. Ist aber auch bei anderen "Familien" nicht wirklich besser. AMD machts ein wenig besser, zu ARM, deren Kram auch von mancher Schiene betroffen ist, ist es danach auch spontan still geworden. Das trifft einfach alle, weil man zu lange billige Abkürzungen in der Hardware geschludert hat, bei der Security zu kurz kam. Hat aber nichts damit zu tun, dass bspw. AES-NI schon mehrfach gegen Seitenstrang Attacken und Timing-based Angriffe abgeschirmt/geholfen hat, bei der gerade alte CPUs anfällig waren. Bspw. über Cache Angriffe die dann heute im extremen zu Spectre geworden sind. Aber andere Baustelle :)

Ich finde es nur schade, dass man einfach ohne Hintergrundwissen einfach mal Dinge als "gesetzt" in den Raum stellt. Sowas verbreitet sich dann dank Suchfunktion und Google Index als Schwarmwissen...


Edit:
For the sake of argument and documentation: http://sites.nyuad.nyu.edu/moma/pdfs/moma-project-cache-timing-attacks-on-aes.pdf

Zitat: "[...], it still proves that after we disabled the AES-NI, the processor became vulnerable to the cache-timing attack."

[opnsenseuser]

@tomekk:

> Ja weil es auch richtig ist. AES-NI ist nur dafür da die ent- und verschlüsselung vom AES Algorithmus zu beschleunigen. Da der aber nichts mit Verschlüsselung zutun haben wird, brauch ich diesen Befehlsatz auch nicht.

Nein ist es nicht. Bitte informieren bevor man einfach Behauptungen aufstellt. AES-NI tut für den Prozessor mehr, also "nur" irgendwelche AES Cipher zu beschleunigen. Lies dich schlau. Ich bins leider leid immer wieder die gleiche Gebetsmühle rauszuholen.

@Dirk
> Das gesamte Patchmanagement zu Spectre/Meltdown ist ein absolutes Trauerspiel.

Andere Baustelle und hat primär damit nichts zu tun. Ist aber auch bei anderen "Familien" nicht wirklich besser. AMD machts ein wenig besser, zu ARM, deren Kram auch von mancher Schiene betroffen ist, ist es danach auch spontan still geworden. Das trifft einfach alle, weil man zu lange billige Abkürzungen in der Hardware geschludert hat, bei der Security zu kurz kam. Hat aber nichts damit zu tun, dass bspw. AES-NI schon mehrfach gegen Seitenstrang Attacken und Timing-based Angriffe abgeschirmt/geholfen hat, bei der gerade alte CPUs anfällig waren. Bspw. über Cache Angriffe die dann heute im extremen zu Spectre geworden sind. Aber andere Baustelle :)

Ich finde es nur schade, dass man einfach ohne Hintergrundwissen einfach mal Dinge als "gesetzt" in den Raum stellt. Sowas verbreitet sich dann dank Suchfunktion und Google Index als Schwarmwissen...


Edit:
For the sake of argument and documentation: http://sites.nyuad.nyu.edu/moma/pdfs/moma-project-cache-timing-attacks-on-aes.pdf

Zitat: "[...], it still proves that after we disabled the AES-NI, the processor became vulnerable to the cache-timing attack."

Zuerst mal ein großes Danke für die geniale Erklärung und den Link.
Aber um beim Thema zu bleiben, was ist denn im Low Power Bereich überhaupt brauchbar?

Ich verwende derzeit einen N3700 von Supermicro. Bin eigentlich zufrieden aber etwas mehr Leistung wäre schon gut, da das Ding bei IDS/IPS schon an die Grenzen kommt.. Für den Homegebrauch ist alles was über 15/20 Watt geht und 24 Stunden laufen soll auf dauer zu teuer egal was es kann bzw leistet. Was würdest du Home-usern dann empfehlen?

Danke und LG

[tomekk228]

@JeGR

Wir leben in einem freien Land. Du hast deine Meinung. Akzeptiere ich. Ob es falsch ist oder nicht. Bin ich nicht in die Lage zu entscheiden.

Aber was ich kann, ist mich fortbilden. Und da es Unternehmen wie Intel existieren, Universitäten die Publikationen durchführen und "Freaks" die eine Spürnase haben (Bugs, Lücken, etc). Kann ich mich darauf berufen.

Und da wird nach gesunden Menschenverstand danach sortiert wie was vertrauenswürdig ist.

Und da bleibe ich bei (und glaube ich) der Aussage von Intel wofür der AES-NI Befehlsatz da ist: Verschlüsselung und Entschlüsselung per AES zu beschleunigen.

Und nicht das System durch einer magischen Feng-Shui Wand zu schützen. Das AES angreifbar ist, weißt man wahrscheinlich schon seit der Geburt von AES. Und wie mit allem im Leben ist es eine Katz und Maus jagd. Das sind auch viele tausende andere Ver/Entschlüsselungsverfahren.

Aus genau diesem Grund sprießen jedes Jahr auch neue und dafür verschwinden andere. AES hat nur das Glück noch dabei und relativ weit verbreitet zu sein. 

Und wenn man nun Wert darauf legt seine Daten sicher zu verschlüsseln, nutzt man lieber direkt andere Verfahren....

Kommen wir aber zurück zum Thema. Ja AES-NI beschleunigt NICHT NUR (wie du sagst) das Ver- und Entschlüsseln beliebiger Datastreams (openssl, Wlan, etc pp). Sondern schützt auch genau diesen Verkehr so gut wie nur möglich davor das ein Kobold mal eben dazwischen greift und den Schlüssel/Daten/etc klaut. (Alles Informationen von deinem Link der Publikation und Intel Whitepaper: https://www.intel.de/content/www/de/de/enterprise-security/enterprise-security-aes-ni-white-paper.html)

Aber (und hier sind wir am Ausgangspunkt) AES-Ni schützt mich nicht davor das irgendein Skriptkiddy ins Netzwerk eindringt. AES-Ni schützt mich nicht davor das meine nicht verschlüsselten Daten aus dem RAM geklaut werden. AES-Ni schützt mich nicht davor das generell Daten geklaut werden. AES-Ni schützt mich nicht davor das irgendeine beliebige Anwendung errät was in anderen RAM-Bereichen für lustige Datenbits liegen (siehe Spectre/Meltdown). Und AES-Ni tut noch so vieles nichts. Sondern nur das wofür sein Name auch steht: Sich um AES kümmern.

Und weißt du was der beste Schutz dagegen ist wovor von dir verlinkte Publikation "Cache-timing Attacks on AES" warnt?

Das zutun was ich paar Post schon sagte: AES einfach nicht nutzen! OpenVPN wird nicht genutzt. SSH wird nicht genutzt. TLS wird nicht genutzt usw usf...

Also Fazit: Ich brauche kein AES(-ni). Werde es auch nie brauchen. Und die Hardware ist genau passend für mich.

Aber um dein Seelenfrieden zu gewährleisten:

An alle anderen Mitleser. Ja JeGr hat tatsächlich ein wenig recht. Solltet Ihr OpenVPN unbedingt nutzen wollen. Solltet ihr SSH brauchen und alles andere was großteils auf AES basiert bzw nutzt: Schaut nach Möglichkeit nach Hardware mit AES-Ni unterstützung.

Ist es zwingend notwendig? Ist es das All-heil-mittel? Meiner Meinung nach: Nein. In OpenSSL stecken wahrscheinlich noch viele andere lustige kleine Löcher die gefühlt tausendmal einfacher und praktikabler auszunutzen sind.

Jeder muss schlussendlich eigene Entscheidungen treffen und abwägen was notwendig ist oder nicht. Wie wahrscheinlich es ist das man durch eine Lücke XYZ angreifbar ist oder nicht. Und wie wahrscheinlich es ist das es schlussendlich auch jemand tut.

Also in meinem persönlichen Fall habe ich z.B mehr Angst davor das jemand mir die hart erarbeitete Karre klaut, als mich Otto-normal-verbraucher mit einer CPU-Architektur bedingte Lücke anzugreifen um Daten abzugreifen die mit AES verschlüsselt sein könnten (und sollte dadurch freier Zugriff auf jegliche Daten möglich sein: Auf Daten in meinem Netzwerk die aus 99% nur aus Bilder von mir im Urlaub bestehen in den aller lustigsten Posen. PS: Mädels! Ich reise gerne! Bin auch Single! Da ich mich leider ein großteil meiner Zeit im bösen Internet aufhalte um mich rechtzufertigen oder auf der Arbeit. Also meldet euch ruhig!  ;D)

JeGr: Sei mir nicht böse ok?  ;) Aber Hintergrundwissen ist Jobbedingt schon da. Es wird halt nur nicht alles so heiß gegessen, wie es gekocht wird.

Ich würde gerne eigentlich mal zum Topic wieder kommen. Aber das wird hier wohl nicht mehr stattfinden  ;D

Die anderen Baustellen brennen aber auch nicht so. Sollte es soweit sein das ich mich darum kümmern möchte, melde ich mich schon.

Trotzdem nochmal danke für eure Zeit und der paar Tipps.