pfsense Hardware (CPU für IPsec)

Prinzipiell benötigt pfsense sehr wenig Hardware-Ressourcen, um die Funktion als reiner Internetgateway wahrzunehmen.

Leider sollte man sich jedoch genau überlegen, was man der Box sonst noch abverlangen will (zB snort, IPsec)

Vorallem ipsec stellt mit der momentan von mir verwendeten Hardware ein richtiges Problem dar:

Intel(R) Atom(TM) CPU C2358 @ 1.74GHz Max: 2100 MHz Turbo, 2 CPU Cores

Obwohl die Hardware durchaus ausreicht, um ein Büro mit 50 Clients mit Internet-Access zu versorgen, kann sie trotz Hardwarebescheunigung (AES-NI) nicht mehr als 20Mbit IPsec-Traffic liefern – ohne, dass ihr die Luft ausgeht.

Für Deployments dieser Art kann ich die Netgate SG-2440  und Varianten (bzw den Atom C2358) also nicht empfehlen, da sollte man auf deutlich mehr single-core Performance setzen – welche diese Reihe von Atoms mmn. nicht liefern kann.

Kurzmitteilung

Der Bösewicht in aller Munde: Krypto-Trojaner Locky

Mitte Februar hat sich der Verschlüsselungs-Trojaner Locky zu einem regelrechten Albtraum entwickelt. Zu tausenden werden komplette Rechner, Netzwerke und sogar die dazugehörigen Cloud-Backups verschlüsselt und sonst hilfreiche Volumensschattenkopien am Rechner gelöscht.

Im Austausch gegen ein Lösegeld, das in Bitcoins bezahlt wird, gibt es normalerweise den privaten Schlüssel für die Entschlüsselung, die leider nicht auf selbst gestrickter Technolgie basiert, sondern anerkannte Mathematische Funktionen nutzt.

Alternative zu Erpressung: Bitcoin mining im großen Stil

Alternative zu Erpressung: Bitcoin Mining im großen Stil

Mit Ausnahme einiger früherer Versionen der Randsomware-Trojaner, deren Verschlüsselung knackbar war, scheinen aktuelle Versionen momentan keine bekannte Lücken zu bieten, um die Daten ohne die Lösegeldzahlung entschlüsseln zu können.

Da vor Allem Windows Rechner vom Trojaner befallen sind, werden montentan die Verfächter „alternativer“ Betriebssysteme laut – und Kommentare, wie der von Fabian A. Scherschel bei heise bieten genügend Potetial für mehr oder weniger amüsante Reaktionen in den Foren.

Als Sicherheitsverantwortlicher finde ich dies jedoch weniger amüsant, da es im Unternehmen um mehr, als “nur” die Urlaubsfotos geht. Sofern nach einem Befall des Firmennetzes Daten verloren gehen, weil Backups entweder auch entfernt werden, oder Dateiversionen auch mitgelöscht werden, helfen nur noch Offline-Backups.

Leider werden Rechner durch unachtsame Nutzer infiziert, die verdächtige Mails mit Office-Dokumenten arglos öffnen, oder mit veraltetet Browsern und -Plugins “unterwegs” sind.

Hier also ein paar vorsorgliche Tipps gegen Locky:

  • patchen, updaten, aktualisieren (Betriebbsystem, Browser, Plugins, Virenscanner)
  • verdächtige Mails und deren Attachments nicht öffnen (vA. Rechnungen)
  • MS Office Makros deaktivieren oder erst nach Nachfrage ausführen
  • Backupmedien dürfen nur zur Zeit der Sicherung mit dem Rechner verbunden sein (getrennte Netzwerkfreigaben sind nicht ausreichend)

Good Luck.