Welche Firewall waehrend Flusieren verwenet Ihr?

[klausdonath]

Heise Security (Dieser Artikel erschien ursprünglich in c't 17/06 S.142 von Jürgen Schmidt)

Also so viel zum Thema Schwachsinn.

[Drelb]

Zitat:

Original geschrieben von klausdonath
Skype wendet hier einen Trick an. Schau mal hier:
http://forum.meinskype.de/ftopic3844.html

Da brauch ich nicht in irgendwelchen Foren nachschauen! Ich weis wovon ich schreibe! Und Du hast dir mit der Aussage eigentlich grade selbst die Antwort gegeben!

Unter welchem Alias schreibst eigentlich Du im Heise-Forum?

Gruß,
Thomas

[klausdonath]

Hallo Thomas.
Ich weiss gar nicht was Du hast, ich hab doch den Router nie als Firewall bezeichnet? Ich weiss genauso wie Du wie Skype das umgeht. Eine Softwarefirewall könnte eine ausgehende Kommunikation à la Skype (wenn Sie ein Wurm/ Virus wäre) wohl kaum verhindern (falls Du das meinst)... Was willst Du mir eigentlich sagen?

[SilverCircle]

Zitat:

Original geschrieben von thb
[b]Einmal muss ich doch noch was dazu sagen:

Ein Glück auch, denn ohne sie wüsste ich nicht, welche Programme alle nach Hause telefonieren wollen. Diese Funktion reicht mir schon völlig aus, die 19 MB auf meiner Festplatte für ein kostenloses Proggi zu opfern. Und 5% CPU-Leistung benötigt es definitiv nicht.

Ansichtssache. Es gab da z.b. mal eine bekannte software firewall, deren logging feature via MDAC/ADO realisiert war (d.h. sie loggte alles und jeden Kram in eine Access Datenbank). Nun weiß jeder, dass die mdb engine so ziemlich die mieseste (und langsamste) Datenbank ist, die man sich überhaupt vorstellen kann. Ergebnis waren bis zu 90% CPU Last bei einem Portscan auf einem 600 MHz Pentium 3 Toll, nicht? So eine software firewall ließe sich dann gleich auch noch als Angriffspunkt für eine herrliche DoS Attacke mißbrauchen und würde auch auf einer hochmodernen CPU immer noch spürbare CPU Last erzeugen. Wenn wir schon nicht reinkommen, legen wir die Kiste halt lahm. Der dumme DAU merkt eh nix und jammert dann in irgendwelchen Foren über miese game performance.

Ältere Versionen von ZoneAlarm waren noch schlimmer. Die verbrieten die CPU Leistung bei starkem traffic gleich im Kernelmode - wer sich da nicht zu helfen weiß, ist dann wirklich der ge*rschte, weil es da auch nicht mehr hilft, einfach mal einen Prozess via taskmanager "abzuschießen".

Mag sein, dass diese Programme heute ausgereifter sind - trotzdem - bei wirklich starkem traffic verbraten sie *zwangsläufig* CPU Zeit, denn schließlich müssen sie jedes Datenpaket analysieren (zumindest die IP und TCP header). Diese CPU Last sieht man nicht im taskmanager, weil das filtering auf Kernelebene passiert - packetfilter hängen sich i.a. direkt auf NDIS Ebene zwischen Netzwerkkarte (hardwareseitig) und protocol driver rein (müssen sie, anders gehts gar nicht).

Ob da auf einem modernen System jetzt 5% zusammenkommen können, ist schwer nachzuvollziehen, weil schwer meßbar. Man müsste die performance des Systems im "clean" Zustand genau kennen und dann mit aktiver firewall bei starkem traffic vergleichen. Übliche Methoden wie z.b. der taskmanager nutzen gar nix, weil jene Last, die von *unabhängig laufenden* Kerneltreibern erzeugt wird, dort nicht sichtbar ist. Das feature "show kernel times" im taskmanager zeigt nur den Anteil, den ein usermode Programm im Kernelmode verbringt, an.

Die Berechnung der CPU Zeit im Taskmanager richtet sich nach dem "System idle process". Dem steht im Normalfall die gesamte, verfügbar CPU Zeit zu, also 100%. Die CPU Zyklen die der Kernel samt allen Treibern und Nebenkram für sich beansprucht ist da bereits vorher abgezogen, also nicht mehr sichtbar.

Wenn die Treiber und Filter einigermaßen gut programmiert sind, dann sollten sie im Normalfall (netzwerk mehr oder weniger "idle") so gut wie gar keine CPU Zeit verbrauchen. Bei starkem traffic kann sich das aber ändern, je nachdem wie komplex die Filtermethoden sind.

[thb]

Ja Alex, da hast du wohl Recht.

Es hängt also auch etwas davon ab, was man mit seinem PC so alles im Internet tut.

Bei dem Traffic, den ich so habe, wenn der Flusi läuft, kann die Firewall nicht so viel zu tun haben. Und wenn ich dann doch mal viel Datenverkehr habe, läuft kein so CPU-hungriges Programm wie der FluSi gleichzeitig, dass es auffallen würde.

Ich denke mal, dass es bei Otto Normaluser ähnlich ist wie bei mir. Und ich betonte ja schon, dass es hier nicht unbedingt um die Theorie geht. Theoretisch kann ich natürlich auch meine volle Bandbreite nutzen und gleichzeitig fliegen. Nur kommt das eben in der Praxis nie vor.

[klausdonath]

Zitat:

Original geschrieben von thb
Ja Alex, da hast du wohl Recht.

Es hängt also auch etwas davon ab, was man mit seinem PC so alles im Internet tut.

Bei dem Traffic, den ich so habe, wenn der Flusi läuft, kann die Firewall nicht so viel zu tun haben. Und wenn ich dann doch mal viel Datenverkehr habe, läuft kein so CPU-hungriges Programm gleichzeitig, dass es auffallen würde.

Ich denke mal, dass es bei Otto Normaluser ähnlich ist wie bei mir. Und ich betonte ja schon, dass es ja hier nicht um die Theorie geht. Theoretisch kann ich natürlich auch meine volle Bandbreite nutzen und gleichzeitig fliegen. Nur kommt das eben in der Praxis nie vor.

Naja, Du brauchst dafür gar nichts zu machen im Internet. Die meißten von uns haben eine dynamische IP. Es kann durchaus vorkommen, dass wir noch Pakete bekommen vom Vorgänger unserer IP. Wenn wir diese Ports via Softwarefirewall blockiert haben, dann hast Du automatisch CPU Last. Bei einem eventuellen Angriff sowieso. Voraussetzung: Du bist nicht hinter einem Router, denn der würde die Pakete sowieso verwerfen...

[thb]

Hättest du alle meine Beiträge gelesen, wüsstest du auch, dass ich hinter einem Router sitze.

Und selbst wenn nicht, nimmt der "alte" Verkehr des Vorgängers auch relativ schnell ab und verstummt mit der Zeit, da ja von meinem PC nichts mehr kommt.

[klausdonath]

Naja, ich wollte nur verhindern, dass die Meinung entsteht: Ich surfe nicht, also braucht meine Softwarefirewall keine Ressourcen. Und bei so vielen Beiträgen musst Du mir einfach verzeihen, wenn ich da mal was vergessen habe

[Drelb]

Zitat:

Original geschrieben von klausdonath
Hallo Thomas.
Ich weiss gar nicht was Du hast, ich hab doch den Router nie als Firewall bezeichnet? Ich weiss genauso wie Du wie Skype das umgeht. Eine Softwarefirewall könnte eine ausgehende Kommunikation à la Skype (wenn Sie ein Wurm/ Virus wäre) wohl kaum verhindern (falls Du das meinst)... Was willst Du mir eigentlich sagen?

Ich will damit sagen, das es absolut sinnvoll ist sich mit möglichst vielen Mitteln zu schützen!
Damit hat auch eine Softwarefirewall durchaus einen Sinn!
Selbst wenn der Benutzer nicht sehr viel Ahnung hat, ist es besser als ohne.
Ich gebe Dir Recht, das es Sinnvoll ist auch einen Router zu benutzen.
Und dann, im privaten Bereich, möglichst einen mit intregierter Firewall zum sperren nicht benötigter Ports. Setzt natürlich vorraus, das man damit umgehen kann.
Und ebenfalls ist es, wie Du schon sagst, sinnvoll nicht benötigte Dienst zu deaktivieren.
Aber dennoch ist es besser eine Softwarefirewall zu benutzen, da diese einen auch noch zusätzlich vor evtl. ungewollten Aktivitäten warnt.
Wenn man dann noch beherzigt, nicht immer mit Administratorenrechten unterwegs zu sein und eine Virenscanner hat, ist selbst ein DAU bestens gerüstet.
Aber wenn der dann bei der nächstbesten Phishing-Website seine Kontodaten und TANs eingibt, ist ihm halt auch nicht zu helfen. Ein bischen den Kopf einschalten gehört halt immer dazu.

Gruß,
Thomas

[klausdonath]

Zitat:

Original geschrieben von Drelb
Sinnvoll ist auch einen Router zu benutzen.
Und dann, im privaten Bereich, möglichst einen mit intregierter Firewall zum sperren nicht benötigter Ports.

Warum sollte man denn nicht benötigte Ports sperren? Wo kein Empfänger horcht, da auch nix passieren kann!

Und möchte ein DAU wirklich informiert werden, wenn er auf eine Telefonnummer angerufen wird, an der niemand dran geht? Telekomtechniker bekommen auch keine Fehlermeldung, wenn ich eine nicht existierende Nummer anrufe. Sowas verwirrt den DAU eher. Er kann solche Fragen nicht beantworten wie darf 23.243.34.34 auf Port lala bei mir zugreifen... Wenn er immer verneint, dann wundert er sich irgendwann mal, wenn was nicht funktioniert!