Was ist mit dieser Hardware möglich ?

Started by zux, January 03, 2023, 12:09:43 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
January 03, 2023, 12:09:43 AM Last Edit: January 03, 2023, 12:21:36 AM by zux
Hallo zusammen,

wir haben endlich die Bestätigung bekommen das die Deutsche Glasfaser ausbaut, ein Traum da bisher maximal 10Mbit bei mir in der Straße ankommen.

Aktuell nutze ich noch einen Edgerouter den ich aus diversen Gründen loswerden möchte, das ist aber nicht das Thema.

Das Netzwerk sieht bis Ende des Jahres folgendermaßen aus:
1x Fritzbox  (entfällt mit der neuen Leitung)
1x Edgerouter (entfällt mit der neuen Leitung)
1x Zyxel GS1900 Switch welcher bereits in VLANS auftrennt
2x Unify APs
In Summe rund 10-15 Endgeräte
Getrennt in maximal 10 VLANs

Die neue Leitung wird eine 1Gbit DL, 500Mbit UP.
Kein VPN eingehend vorgesehen.

Es gibt nun ein paar Endgeräte die potentiell nicht vertrauenswürdig sind, sowie auch Endanwender welche auch hier und da Unterstützung benötigen was Sicherheit angeht. Primär geht es mir um unterstützende Maßnahmen wie IDS/IPS.

Ich habe aktuell die Option auf einen Shuttle DH110 mit i3-6100T
https://global.shuttle.com/main/productsDetail?productId=1992


Kann ich mit dieser Hardware opnsense mit surricata nutzen um das Netzwerk zu überwachen ? Würde die CPU hier bremsen ?


Würde es Sinn machen opnsense + surricata virtualisiert auf dieser Hardware zu betreiben ?

Hat vielleicht jemand ein vergleichbares Setup und kann Erfahrungswerte nennen ?

Als Alternative hätte ich noch ein Dell Vostro 270s mit Intel Core i5-3470s, da müsste jedoch eine externe Intel Karte dazu mit rein.

Vielen Dank
January 03, 2023, 04:15:12 AM #1 Last Edit: January 03, 2023, 04:17:12 AM by micneu
meine persönliche meinung, gerade wenn du IDS/IPS machen willst. nimm diese hardware da machst du nichts falsch:
https://shop.opnsense.com/product/dec840-opnsense-desktop-security-appliance/

und noch eine frage, warum willst du zuhause (ohne dienste die du anbietest) IDS/IPS nutzen.
ich bin jetzt seit einigen jahren mit der sense zugange und habe es bisher nicht gebraucht
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
January 03, 2023, 11:30:57 AM #2
Quote from: zux on January 03, 2023, 12:09:43 AM
Würde es Sinn machen opnsense + surricata virtualisiert auf dieser Hardware zu betreiben ?
Ich schliesse mich dem Vorschreiber an:

Willst du Systeme in deinem Netz betreiben, die vom Internet erreichbar sein sollen ?
Wenn nicht, kannst du dir IDS/IPS sparen, dann wird die Firewall vom Internet aus dicht gemacht und gut ist.

Bei der Hardware für den Hausgebrauch nutze ich einen Lüfterlosen Rechner von nrg-systems.de, der allerdings mit Coire-i5 und 32 GB für die OPNSense deutlich überdimensioniert ist.
VLAN's hab ich auch 10, Anzahl der Endgeräte ist aber deutlich höher, weil viel Smarthome-Zeugs noch im Netz hängt.
January 04, 2023, 10:49:46 PM #3
Die Frage ist berechtigt, aktuell sind keine Dienste freigegeben. Was die Zukunft bringt weiß man natürlich nicht, wenn überhaupt könnte ich mir aber ausser nem VPN um die internen Systeme zu erreichen nichts vorstellen.

Nach meinem Stand (der bisher noch recht mau ist, verzeiht meine noch geringen Kenntnisse) kann ich mit Surricata aber auch das Netzwerk intern überwachen wohin z.B. Verbindungen aufgemacht werden, wer mit wem kommuniziert und die IDS/IPS Regeln (wenn es brauchbare für die Interne Überwachung gibt) ebenfalls anwenden ? Korrigiert mich bitte wenn ich hier komplett auf dem Holzweg bin. Extern ist klar dichtmachen, ich will aber nach Möglichkeit auch von innen absichern/analysieren aufgrund so mancher dubioser Software / nicht sicherheits-affiner Endanwender.

Zum Vorschlag der DEC840, danke aber für daheim wird das etwas overkill :)

January 05, 2023, 09:33:20 AM #4
Wie billig ist das System denn?

Der I3-6100 ist uralt und entsprechend stromhungrig (14nm). Da das Device 24/7 laufen wird, spielt der Stromverbrauch eine ziemliche Rolle für die Kosten. 10 Watt mehr oder weniger sind bei 0,40€ / kWh schon 35€ im Jahr.

Ein etwa gleich schneller N5105 kostet bei Aliexpress ca. 200€.
Intel N100, 4* I226-V, 2* 82559, 16 GByte, 500 GByte NVME, ZTE F6005

1100 down / 800 up, Bufferbloat A+
January 05, 2023, 04:15:35 PM #5
Quote from: zux on January 04, 2023, 10:49:46 PM

Zum Vorschlag der DEC840, danke aber für daheim wird das etwas overkill :)
sehe ich anders, ich habe den grundsatz (in dem fall) lieber die leistung haben und nicht brauchen, als brauchen und nicht haben. zu dem vorschlag mit der intell 6xxx cpu. mir persönlich währe die zu alt und ja ich habe auch eine hardware stehen von ali express nur bin ich vom kopf her weg desktop/notebook hardware für 24/7 systeme zu nutzen:
- in dem aliexpress system ist eine grafikkarte, wozu brauchst du die?
- in einer exten firewall appliance hast du nur das was gebraucht wird (und dadurch kannst du auch strom sparen)
- wenn du meinst das du die leistung der 840er nicht brauchst, schau dich bei den mal im schop um, die haben auch systeme die warscheinlich besser passen.
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
January 05, 2023, 04:24:31 PM #6
Ich verwende ja auch eine DEC850, die Aliexpress Boxen sind aber sowohl im Verbrauch als auch in der Leistung vergleichbar (modulo, dass erst die neuesten, aktiv gekühlten SFP+-Anschlüsse haben).

Die Grafik ist ja keine Karte, sondern in der CPU. Außerdem bietet das das Potential, ggf. auch mit Software eingesetzt zu werden, die eine Grafik braucht (z.B. Proxmox).
Intel N100, 4* I226-V, 2* 82559, 16 GByte, 500 GByte NVME, ZTE F6005

1100 down / 800 up, Bufferbloat A+
January 06, 2023, 11:03:39 AM #7
Quote from: meyergru on January 05, 2023, 04:24:31 PM
Die Grafik ist ja keine Karte, sondern in der CPU. Außerdem bietet das das Potential, ggf. auch mit Software eingesetzt zu werden, die eine Grafik braucht (z.B. Proxmox).
Für die Installation ist mir auch eine interne Grafikkarte weit aus lieber als z.b. ein Konsolenport.
Die braucht ja nicht viel Power haben, CPU-Onboard reicht für die Installation von Proxmox, OPNSense und Co. da locker aus, daher würde ich so einen MiniPC nie ohne HDMI-Ausgang kaufen.
Den Rest macht man dann eh remote per Web-Browser
January 07, 2023, 01:16:12 PM #8
Moin,

mit dem Shuttle DH110  kannst ruhig mal anfangen. Sofern der schon da ist.

Ich habe ein ähnliches System als i5 (sogar noch älter). Siehe Vergleich.jpeg.

Ich schaffe damit ohne Surricata  über 900 Mbps im Download.
Mit allerdings nicht mehr. Siehe Screenshots. Ich habe das ganze virtualisiert mit Proxmox.

Für Surricata und volle Bandbreite brauchts eine deutlich stärker CPU.
January 11, 2023, 05:01:00 PM #9
Moin zusammen.

Just my 2 Cents die dem Ersteller ggf. helfen:
Ich hatte auch eine GBit Leitung von VF. Egal ob mit oder ohne suricata, die Bandbreite lag ohne Einschränkungen an. Ich hatte sogar zeitweise Zenarmor auf dem LAN und suricata auf dem WAN interface zu laufen.
Meine OPNsense läuft dabei auf einem ausrangierten i5-4690K mit 16Gb RAM, das System ist auf einer M.2 drauf gebügelt. Ich habe mich bei der Anschaffung an die recuirements der OPNsense docs seite gerichtet, was wird bei wie viel Geräten und Bandbreite empfohlen.

regards
Print
Go Up Pages1
User actions