MFen: 1.99 -> 1.102
Obtained from: The FreeBSD German Documentation Project
This commit is contained in:
Udo Erdelhoff
parent
dab35cebb9
commit
2a0013e0b1
Notes:
svn2git
2020-12-08 03:00:23 +00:00
svn path=/head/; revision=12437
1 changed files with 84 additions and 4 deletions
|
|
@ -2,9 +2,9 @@
|
|||
The FreeBSD Documentation Project
|
||||
The FreeBSD German Documentation Project
|
||||
|
||||
Original version: 1.99
|
||||
Original version: 1.102
|
||||
$FreeBSD$
|
||||
$FreeBSDde: de-docproj/books/handbook/security/chapter.sgml,v 1.4 2001/12/14 17:48:38 mheinen Exp $
|
||||
$FreeBSDde: de-docproj/books/handbook/security/chapter.sgml,v 1.8 2002/03/02 14:01:42 mheinen Exp $
|
||||
-->
|
||||
|
||||
<chapter id="security">
|
||||
|
|
@ -2160,8 +2160,8 @@ FreeBSD BUILT-19950429 (GR386) #0: Sat Apr 29 17:50:09 SAT 1995</screen>
|
|||
Kernel, daher müssen Sie die Konfigurationsdatei des Kernels
|
||||
editieren und anschließend den Kernel neu übersetzen.
|
||||
Das Kapitel "Konfiguration des FreeBSD Kernels"
|
||||
<!-- (<xref linkend="kernelconfig">) -->
|
||||
beschreibt, wie Sie dazu vorzugehen haben.</para>
|
||||
(<xref linkend="kernelconfig">) beschreibt, wie Sie dazu
|
||||
vorzugehen haben.</para>
|
||||
|
||||
<para>Momentan gibt es drei Optionen in der Kernelkonfiguration, die
|
||||
IPFW betreffen:</para>
|
||||
|
|
@ -2798,6 +2798,86 @@ FreeBSD BUILT-19950429 (GR386) #0: Sat Apr 29 17:50:09 SAT 1995</screen>
|
|||
dafür, daß jemand in Ihr Netzwerk eindringt, auch wenn
|
||||
Sie die obigen Ratschläge befolgt haben.</para>
|
||||
</sect2>
|
||||
|
||||
<sect2 id="ipfw-overhead">
|
||||
<title>IPFW Overhead und Optimierungen</title>
|
||||
|
||||
<para>Viele Leute wollen wissen, wieviel zusätzliche Last IPFW
|
||||
auf einem System erzeugt. Hauptsächlich hängt dies von
|
||||
der Art der Regelkette und der Geschwindigkeit des Prozessors ab.
|
||||
Für die meisten Anwendungen mit einer kleinen Regelkette auf
|
||||
einem Ethernet ist der Aufwand vernachlässigbar klein. Wenn
|
||||
Sie genaue Zahlen brauchen, lesen Sie bitte weiter.</para>
|
||||
|
||||
<para>Die folgenden Messungen wurden auf einem 486-66 mit
|
||||
2.2.5-STABLE durchgeführt. Obwohl sich IPFW in
|
||||
späteren FreeBSD Versionen leicht geändert hat, läuft
|
||||
es doch mit vergleichbarer Geschwindigkeit. Zur Durchführung
|
||||
der Messungen wurde in IPFW die verbrauchte Zeit in der Routine
|
||||
<literal>ip_fw_chk</literal> gemessen. Die Ergebnisse wurden alle
|
||||
1000 Pakete auf der Konsole ausgegeben.</para>
|
||||
|
||||
<para>Zwei Regelsätze mit je 1000 Regeln wurden getestet. Der
|
||||
erste Regelsatz sollte den schlimmsten Fall durch wiederholte
|
||||
Anwendung der folgenden Regel demonstrieren:</para>
|
||||
|
||||
<screen>&prompt.root; <userinput>ipfw add deny tcp from any to any 55555</userinput></screen>
|
||||
|
||||
<para>Da ein Großteil der Routine, die die Pakete
|
||||
überprüft, durchlaufen werden muß, bevor
|
||||
entschieden werden kann, ob das Paket wegen der Portnummer nicht
|
||||
auf die Regel paßt, wird mit dieser Regel der schlimmste Fall gut
|
||||
simuliert. Nach 999 Wiederholungen dieser Regel folgte die Regel
|
||||
<literal>allow ip from any to any</literal>.</para>
|
||||
|
||||
<para>Der zweite Regelsatz wurde so entworfen, daß die
|
||||
Überprüfung der Regel schnell abgeschlossen werden
|
||||
kann:</para>
|
||||
|
||||
<screen>&prompt.root; <userinput>ipfw add deny ip from 1.2.3.4 to 1.2.3.4</userinput></screen>
|
||||
|
||||
<para>Die Regel kann aufgrund einer nicht passenden IP-Adresse sehr
|
||||
schnell verlassen werden. Nach 999 Wiederholungen dieser Regel
|
||||
folgte wie im ersten Fall die Regel <literal>allow ip from any to
|
||||
any</literal>.</para>
|
||||
|
||||
<para>Im ersten Fall betrug der zusätzliche Aufwand 2,703 ms pro
|
||||
Paket also ungefähr 2,7 µs pro Regel. Damit könnten
|
||||
maximal ungefähr 370 Pakete pro Sekunde verarbeitet werden.
|
||||
Mit einem 10 Mbps Ethernet und Paketen, die ungefähr 1500
|
||||
Bytes groß sind, entspricht dies einer Ausnutzung von 55% der zur
|
||||
Verfügung stehenden Bandbreite.</para>
|
||||
|
||||
<para>Im letzten Fall wurde jedes Paket in 1,172 ms abgearbeitet, was
|
||||
ungefähr 1,2 µs pro Regel entspricht. In diesem Fall
|
||||
könnten maximal 853 Pakete pro Sekunde verarbeitet werden, was
|
||||
die Bandbreite eines 10 Mbps Ethernet vollständig
|
||||
ausnutzt.</para>
|
||||
|
||||
<para>Die große Anzahl und die Beschaffenheit der Regeln in den
|
||||
Beispielen entsprechen nicht der Wirklichkeit. Die Regeln dienten
|
||||
nur der Messung der Geschwindigkeit. Wenn Sie eine effiziente
|
||||
Regelkette aufbauen wollen, sollten Sie die folgenden
|
||||
Ratschläge berücksichtigen:</para>
|
||||
|
||||
<itemizedlist>
|
||||
<listitem>
|
||||
<para>Setzen Sie eine <literal>established</literal> Regel so
|
||||
früh wie möglich in die Regelkette, um den
|
||||
Großteil des TCP Verkehrs abzudecken. Vor dieser Regel
|
||||
sollten Sie keine <literal>allow tcp</literal> stehen
|
||||
haben.</para>
|
||||
</listitem>
|
||||
|
||||
<listitem>
|
||||
<para>Plazieren Sie häufig benutzte Regeln vor selten
|
||||
benutzten Regeln, ohne dabei den Sinn der Regelkette zu
|
||||
ändern. Welche Regeln häufig durchlaufen werden,
|
||||
können Sie den Paketzählern mit <command>ipfw
|
||||
-a l</command> entnehmen.</para>
|
||||
</listitem>
|
||||
</itemizedlist>
|
||||
</sect2>
|
||||
</sect1>
|
||||
|
||||
<sect1 id="openssl">
|
||||
|
|
|
|||
Loading…
Reference in a new issue