Hallo zusammen,
ich habe in den letzten Monaten mit ein paar Hardwarekomponenten etwas Home-Server-Erfahrung gesammelt und mich dabei vor allem mit Themen wie Virtualisierung, Storage und Netzwerk beschäftigt.
Eigentlich wollte ich mein Setup nur etwas besser absichern – dabei bin ich allerdings ziemlich schnell in ein Rabbit Hole gefallen.
Im Zuge dessen bin ich über Intel ME (Management Engine) gestolpert. Soweit ich das verstanden habe, handelt es sich dabei um ein eigenes Subsystem mit quasi einem kleinen separaten Betriebssystem, das tief im Chipsatz sitzt und Zugriff auf verschiedene Hardwarekomponenten hat.
Das Problem aus meiner Sicht:
Intel ME ist nicht open source, und man weiß daher nicht wirklich im Detail, was dort alles läuft. Theoretisch hätte dieses System ja sehr weitreichende Möglichkeiten – bis hin zu Zugriff auf Hardware, Netzwerk und Daten.
Mir ist klar, dass das schnell etwas paranoid klingen kann. Andererseits denke ich mir: Wenn ich komplett darauf vertraue, dass so etwas niemals missbraucht werden könnte, könnte ich meine Daten im Zweifel auch direkt bei amerikanischen Cloud-Dienstleistern hosten und müsste keinen eigenen Home-Server betreiben.
Mir ist auch bewusst, dass ähnliche Management-Subsysteme inzwischen nicht nur bei Intel existieren, sondern in anderer Form auch bei AMD und teilweise sogar in ARM-Systemen vorkommen. Mir geht es also nicht darum, Intel speziell an den Pranger zu stellen. Ich erwähne Intel hier nur explizit, weil ich deren Plattformen von der Leistungsaufnahme und Effizienz her aktuell am attraktivsten finde und sie deshalb in meinem Setup verwende.
Daher stellt sich für mich die Frage:
Wenn man möglichst auf Nummer sicher gehen möchte – welche Ansätze gibt es überhaupt, um das Risiko zu minimieren?
Mein aktueller Gedankengang:
Netzwerktechnisch bin ich leider auch nicht tief genug drin, um beurteilen zu können, ob man so etwas z.B. über OPNsense / pfSense sinnvoll unterbinden könnte – ohne sich gleichzeitig die normale Internetnutzung komplett zu zerschießen (z.B. weil man plötzlich jede Verbindung manuell freigeben müsste).
Was ich bisher als mögliche Ansätze überlegt habe:
1. Realtek NIC in der Firewall statt Intel NIC
Beispielaufbau:
DSL-Modem → OpenWRT → dahinter Home-Server mit virtualisiertem OPNsense
Die Idee wäre, eine zusätzliche Netzwerk-Trennungsebene einzubauen.
3. OPNsense direkt auf dedizierter Hardware
Also klassisch:
DSL-Modem → OPNsense-Firewall → internes Netzwerk
Ohne zusätzliche OpenWRT-Schicht.
4. Coreboot / Libreboot / “gesäuberte” Hardware
Ich bin auch über Projekte wie Coreboot und Libreboot gestolpert, bei denen teilweise versucht wird, Firmware möglichst transparent zu machen oder Funktionen wie Intel ME zumindest stark einzuschränken.
Allerdings scheint kompatible Hardware dafür:
Ist das am Ende vielleicht tatsächlich der einzige wirklich saubere Ansatz, wenn man dieses Thema ernst nimmt?
Leider habe ich im Internet und auf YouTube hauptsächlich Diskussionen darüber gefunden, dass Intel ME theoretisch sehr viele Möglichkeiten hätte, aber kaum konkrete Strategien oder praktische Lösungen, wie man damit im Homelab-Kontext umgehen sollte.
Deshalb würde ich mich sehr über eure Einschätzungen freuen – besonders von Leuten, die sich mit OPNsense/, Netzwerk-Security oder Homelab-Architekturen intensiver beschäftigt haben.
Vielleicht gab es hier ja auch schon jemanden, der ähnliche Gedanken hatte und dafür eine pragmatische Lösung gefunden hat.
Vielen Dank schon mal
ich habe in den letzten Monaten mit ein paar Hardwarekomponenten etwas Home-Server-Erfahrung gesammelt und mich dabei vor allem mit Themen wie Virtualisierung, Storage und Netzwerk beschäftigt.
Eigentlich wollte ich mein Setup nur etwas besser absichern – dabei bin ich allerdings ziemlich schnell in ein Rabbit Hole gefallen.
Im Zuge dessen bin ich über Intel ME (Management Engine) gestolpert. Soweit ich das verstanden habe, handelt es sich dabei um ein eigenes Subsystem mit quasi einem kleinen separaten Betriebssystem, das tief im Chipsatz sitzt und Zugriff auf verschiedene Hardwarekomponenten hat.
Das Problem aus meiner Sicht:
Intel ME ist nicht open source, und man weiß daher nicht wirklich im Detail, was dort alles läuft. Theoretisch hätte dieses System ja sehr weitreichende Möglichkeiten – bis hin zu Zugriff auf Hardware, Netzwerk und Daten.
Mir ist klar, dass das schnell etwas paranoid klingen kann. Andererseits denke ich mir: Wenn ich komplett darauf vertraue, dass so etwas niemals missbraucht werden könnte, könnte ich meine Daten im Zweifel auch direkt bei amerikanischen Cloud-Dienstleistern hosten und müsste keinen eigenen Home-Server betreiben.
Mir ist auch bewusst, dass ähnliche Management-Subsysteme inzwischen nicht nur bei Intel existieren, sondern in anderer Form auch bei AMD und teilweise sogar in ARM-Systemen vorkommen. Mir geht es also nicht darum, Intel speziell an den Pranger zu stellen. Ich erwähne Intel hier nur explizit, weil ich deren Plattformen von der Leistungsaufnahme und Effizienz her aktuell am attraktivsten finde und sie deshalb in meinem Setup verwende.
Daher stellt sich für mich die Frage:
Wenn man möglichst auf Nummer sicher gehen möchte – welche Ansätze gibt es überhaupt, um das Risiko zu minimieren?
Mein aktueller Gedankengang:
- Intel ME ist auf moderner Intel-Hardware praktisch immer vorhanden.
- Die meisten guten NICs sind ebenfalls von Intel.
- Wenn Intel ME theoretisch Netzwerkzugriff hätte, wäre ein Zugriff über Intel-NICs zumindest denkbar.
Netzwerktechnisch bin ich leider auch nicht tief genug drin, um beurteilen zu können, ob man so etwas z.B. über OPNsense / pfSense sinnvoll unterbinden könnte – ohne sich gleichzeitig die normale Internetnutzung komplett zu zerschießen (z.B. weil man plötzlich jede Verbindung manuell freigeben müsste).
Was ich bisher als mögliche Ansätze überlegt habe:
1. Realtek NIC in der Firewall statt Intel NIC
- Idee: mögliche direkte Interaktion zwischen Intel-Hardware und Netzwerk minimieren
- Problem: teilweise schlechtere Treiber, Stabilität und Performance
Beispielaufbau:
DSL-Modem → OpenWRT → dahinter Home-Server mit virtualisiertem OPNsense
Die Idee wäre, eine zusätzliche Netzwerk-Trennungsebene einzubauen.
3. OPNsense direkt auf dedizierter Hardware
Also klassisch:
DSL-Modem → OPNsense-Firewall → internes Netzwerk
Ohne zusätzliche OpenWRT-Schicht.
4. Coreboot / Libreboot / “gesäuberte” Hardware
Ich bin auch über Projekte wie Coreboot und Libreboot gestolpert, bei denen teilweise versucht wird, Firmware möglichst transparent zu machen oder Funktionen wie Intel ME zumindest stark einzuschränken.
Allerdings scheint kompatible Hardware dafür:
- relativ selten
- teilweise sehr teuer
- und im Falle eines Hardwaredefekts auch entsprechend kostspielig zu ersetzen.
Ist das am Ende vielleicht tatsächlich der einzige wirklich saubere Ansatz, wenn man dieses Thema ernst nimmt?
Leider habe ich im Internet und auf YouTube hauptsächlich Diskussionen darüber gefunden, dass Intel ME theoretisch sehr viele Möglichkeiten hätte, aber kaum konkrete Strategien oder praktische Lösungen, wie man damit im Homelab-Kontext umgehen sollte.
Deshalb würde ich mich sehr über eure Einschätzungen freuen – besonders von Leuten, die sich mit OPNsense/, Netzwerk-Security oder Homelab-Architekturen intensiver beschäftigt haben.
Vielleicht gab es hier ja auch schon jemanden, der ähnliche Gedanken hatte und dafür eine pragmatische Lösung gefunden hat.
Vielen Dank schon mal
