AMDs Hammer im Detail. Keine Chance für Hacker. Windows XP optimieren

Größe: px
Ab Seite anzeigen:

Download "AMDs Hammer im Detail. Keine Chance für Hacker. Windows XP optimieren"

Transkript

1 NEU! Nur 4,90 Oktober/November/Dezember 2002 Last Minute Intels CPU-Trends für 2003 MAGAZIN FÜR COMPUTERTECHNIK UND BETRIEBSSYSTEME Team Elements CPU- und Plattform-Architektur Erste Benchmarks 64-Bit-Computing: AMD Opteron & Intel Itanium 2 Schon getestet: Die neuen CPUs von AMD und Intel Österreich, Benelux, Frankreich 5,80 Schweiz SFR 9,80 Deutschland 4,90 AMDs Hammer im Detail Keine Chance für Hacker Test: Personal Firewalls für Desktops die Besten sind kostenlos Know-How: Virenschutz im Firmennetz Windows XP optimieren Kritische Dienste abschalten Ressourcen-Fresser stoppen Unverzichtbare Services richtig konfigurieren /PROFI-PRAXIS Windows 2000 Bug-Report Neue Bugs und Probleme Das leistet das Service Pack 3 VPN-Server mit Linux Sicher ins Firmennetz via Internet Windows-Clients einfach einbinden Secure Shell Fernzugriff auf Home- und Office-PC /TEST Tintendrucker 9 Geräte mit Profi-Qualität Festplatten Über 130 SCSI- und IDE-Laufwerke /KNOW-HOW PCI Express / 3GIO Der offizielle PCI-Nachfolger im Detail HyperTransport High-Speed-Bus auf dem Mainboard SUPERCOMPUTING: Grundlagen, Technologien und Trends

2 EDITORIAL Nochmal wählen! Die Bundestagswahl ist entschieden, aber im PC-Bereich beginnt der Wahlkampf erst. Dabei geht es für die Kandidaten um das nackte Überleben. Erfüllt beispielsweise die 64-Bit-CPU Hammer die hochgesteckten Erwartungen nicht und wird ein Flop, sieht es für AMD in der nächsten Legislaturperiode düster aus. Wenn sich der Hammer-Hype andererseits in Verkaufszahlen niederschlägt, hat Intel ein erhebliches Problem mit einem möglichen Haushaltsdefizit. Weniger dramatisch fällt die Entscheidung zwischen HyperTransport und PCI Express aus. In vielen Medienberichten werden die beiden Bussysteme als Kontrahenten gehandelt, wohl weil AMD und Intel als Initiatoren dahinter stehen. Den Gang zur Wahlurne treten hier die Mainboard- beziehungsweise Chipsatz-Hersteller an. Sie als Käufer werden auf jeden Fall bald mit neuen PCI-Slots und -Karten konfrontiert. Das und die erforderlichen neuen Mainboards bringen der PC-Branche vielleicht langfristig den erhofften Investitionsschub wird das Schicksalsjahr für neue Technologien und für die Hersteller, die dahinter stehen. Beim Optimieren von Windows XP haben professionelle Anwender eigentlich keine Wahl. Die geheimen Tuning-Tipps der PC-Massenblätter sind in der Regel nichts für den ernsthaften Einsatz wenn sie überhaupt etwas verbessern. Sinnvoller ist es, kritische Windows-Dienste richtig zu konfigurieren und unnötige Services stillzulegen. Wie das ohne Abstriche bei der Stabilität geht, erfahren Sie ab Seite 72. Schon gewählt haben unsere Leser, denn die Erstausgabe von tecchannel-compact mit dem Thema Linux professionell einsetzen war so erfolgreich, dass wir uns entscheiden mussten: Sollen wir in Zukunft das tecchannel-magazin oder tecchannel- Compact produzieren? Beide Produktlinien gleichzeitig lassen sich bei der geforderten hohen Qualität nicht realisieren, zumal wir unser Online-Angebot mit einem exklusiven Premium-Bereich ausbauen (siehe Seite 8). In s und Leserbriefen äußern Sie oft den Wunsch nach noch tiefer gehenden Informationen. Wir haben uns daher für das themenorientierte tecchannel-compact entschieden. Das tecchannel-magazin erscheint künftig nur zu ausgewählten aktuellen Anlässen. Die Abonnenten des tecchannel-magazins finden mit dieser Ausgabe ein attraktives Umsteige-Angebot in der Post. Viel Spaß beim Lesen wünscht Ihr Michael Eckert Chefredakteur Wir freuen uns über Kritik und Anregungen. Sie haben die Wahl und können uns Ihre Meinung per , Fax oder Brief zukommen lassen. Mehr dazu im Impressum auf Seite 89. 3

3 INHALT Special Prozessoren Der Star unter den Prozessoren ist der AMD Hammer, obwohl er noch nicht zu kaufen ist. Wir haben alle Details zu AMDs neuer 64-Bit-CPU zusammengestellt, informieren über 64-Bit-Computing und testen die aktuellen Prozessoren von Intel und AMD Seite 14 Grundlagen Hammer Bit-Computing 23 Test: Prozessoren 26 Windows XP richtig optimieren Mit jeder neuen Version verbraucht Windows mehr Ressourcen vor allem für Gimmicks und Dienste, die nicht jeder braucht. Dreht man an den richtigen Schrauben, lässt sich der Speicherhunger eindämmen. Seite 72 Bussysteme HyperTransport & PCI Express adressieren trotz Überschneidungen verschiedene Anwendungsbereiche. Wir informieren detailliert über Hintergründe und Funktion der neuen Bussysteme. Seite 78 & 84 REPORT Intel Developer Forum Alles auf Anfang: Im Herbst 2002 ist das IDF nach San Jose zurückgekehrt. Die CPU-Stars heißen Banias und Madison, auf Prescott muss man warten. Windows 2000 Bugreport 10 Knapp acht Wochen haben sich die Microsoft-Entwickler in Klausur begeben, um Sicherheitslücken in Windows.net zu beheben. Damit sind auch eine ganze Reihe von Löchern in Windows 2000 gestopft. SPECIAL Prozessoren Überblick: Taktfrequenz und Marketing 14 Geht es nach den CPU-Herstellern, dann reichen 32 Bit und ein einfacher Prozessor schon bald nicht mehr. Alle Details zum AMD Hammer 16 AMDs achte Prozessorgeneration Hammer soll in der 32- und 64-Bit-Welt Maßstäbe setzen. Wir stellen die Interna der x86-64-architektur vor und präsentieren Ihnen erste Benchmarks vom ClawHammer. 64-Bit-Computing 23 Mit dem Wechsel zu 64-Bit-Prozessoren beginnt eine Revolution im IT-Zeitalter. Dabei geht es primär um eine Erweiterung des Adressraums auf 2048 Exabyte. Test: Prozessoren 26 Intel erhöht kontinuierlich die Taktfrequenz beim Pentium 4. Unser Test zeigt, ob AMD mithalten kann, nachdem der Athlon XP mit Thoroughbred-Core langsam wieder in Schwung kommt. SPECIAL Security Sichere Netze 32 Die zunehmende Vernetzung von Firmen-LANs mit dem und über das Internet erfordert ein Umdenken der IT-Abteilungen. Das Kernthema muss Sicherheit heißen, um Viren und Hacker außen vor zu halten. Test: Personal Firewalls 34 Ist der PC mit dem Internet verbunden, können Hacker die Kontrolle erlangen oder Daten ausspähen. Eine persönliche Firewall hilft, Angriffe zu erkennen und abzuwehren. Virenscanner 42 Ein von Viren lahm gelegtes Netzwerk kostet die betroffenen Firmen Unsummen. Mit der richtigen Strategie lässt sich dem Worst Case vorbeugen. VPN mit Linux 46 Virtual Private Networks bieten eine sichere und preiswerte Zugangsmöglichkeit von außen via Internet ins Firmen- LAN. Unser Workshop zeigt, wie sich ein VPN unter Linux mit Free S/WAN realisieren lässt. 4

4 tecchannel Special Security Die Vernetzung von Firmen-LANs und Privatrechnern mit dem und über das Internet erfordert ein Umdenken. Das Kernthema muss Sicherheit heißen. Ein sinnvolles Virenschutzkonzept und eine Firewall sind das Minimum im Unternehmen und zu Hause. Seite 32 Test: Personal Firewalls 34 Know-How: Virenscanner 42 Praxis: VPN mit Linux 46 Datenaustausch Um Daten sicher zwischen Zentrale und Außenstellen oder Firmennetz und Home-Office auszutauschen, ist nicht immer ein VPN erforderlich. Es geht auch einfacher mit frei verfügbaren Tools wie OpenSSH. Tests Wir haben neun Tintendrucker getestet, deren Qualität auch für den professionellen Einsatz genügt. Zudem im Test: 133 IDE- und SCSI- Festplatten inklusive der neuen Ultra320- SCSI-Laufwerke. Seite 54 & 62 Seite 68 TEST Professionelle Tintendrucker 54 Ob Präsentation, Foto oder Korrespondenz, hochwertige Tintendrucker sind vielseitig einsetzbar. Nicht alle eignen sich aber für alle Aufgaben gleichermaßen. Festplatten 62 Die neuen Profi-Platten mit Ultra320-SCSI beeindrucken mit Höchstleistungen. Auch bei den IDE-Drives kann von Stillstand keine Rede sein. Test: Athlon XP Kurz vor Redaktionsschluss erreichte uns ein Testmuster von AMDs neuem Prozessor, der jetzt mit 333 MHz FSB- Taktfrequenz arbeitet. PRAXIS Datenaustausch zwischen Büro- und Heim-PC 68 VPNs für externe Mitarbeiter liegen voll im Trend. Doch geht es nur um sicheren Datenaustausch, kommt man mit Tools wie OpenSSH schneller und günstiger ans Ziel. Windows XP Services 72 Ohne nachzufragen startet Windows XP jede Menge Dienste, die nicht jeder braucht. Durch die passende Konfiguration kann man jedoch den Ressourcen-Hunger eindämmen und Windows XP sicherer machen. KNOW-HOW PCI Express 78 Nach PCI und PCI-X soll PCI Express die Datenautobahn für zukünftige PC-Generationen sein. Wir erläutern ausführlich den neuen I/O-Standard und vergleichen die verschiedenen PCI-Technologien miteinander. HyperTransport 84 Die Speicher- und I/O-Anbindung wird für schnelle CPUs zum Flaschenhals. HyperTransport soll mit bis zu 12,8 GByte/s für genügend Luft nach oben sorgen und kommt bei AMDs Hammer als Systembus zum Einsatz. Supercomputing 90 Supercomputer simulieren technische Abläufe und schaffen virtuelle Abbilder der Natur. Die Architekturen der Cluster-, Meta- und Grid-Supercomputer sind so vielfältig wie deren Einsatzgebiete. SERVICE Editorial: Nochmal wählen! 3 Inhaltsverzeichnis 4 tecchannel Premium und IT-eBook 8 Online: Mehrwert fürs Heft 13 Impressum 89 Vorschau 98 5

5 REPORT / IDF Fall 2002 Intel Developer Forum 2002 Alles auf Anfang: Im Herbst 2002 ist das IDF nach San Jose zurückgekehrt. Die CPU-Stars hießen Banias und Madison, auf Prescott muss man warten. Von Nico Ernst Offiziell nannte sich die Veranstaltung in der zweiten Septemberwoche Intel Developer Forum Fall Der lange Name für Intels Entwicklerkonferenz mit angeflanschter Hausmesse und PR-Rundumschlag hat einen guten Grund. Neben den Monster-Events im Silicon Valley geht das IDF schon seit 2001 auf eine ausgedehnte Welttournee. Für 2003 liegen Intel von den lokalen Dependancen Anfragen für 15 Veranstaltungen vor, 11 werden es nach letzter Planung wohl werden. Diese IDFs heißen dann etwa IDF Europe, den vollen Titel wie IDF Fall dürfen nur die zentralen Veranstaltungen tragen, die im Frühling und Herbst stattfinden. Der Grund für den Erfolg des IDF liegt am Mehrfachnutzen. Für die Entwickler sind die Teilnehmergebühren ab 995 US- Dollar für vier Tage vergleichsweise günstig. Partnerfirmen, die als Gold oder Silver Sponsor auftreten, bekommen dafür Präsenz in den gut besuchten Keynote-Ansprachen und auf allen Konferenzunterlagen. Und Executive Summary / IDF Fall 2002 letztendlich bietet Intel auch stets ein attraktives Rahmenprogramm, bei dem man sich branchenintern austauschen kann. Den Event-Charakter des IDF betonte sein geistiger Vater, Intels Chief Technology Officer Pat Gelsinger, auch gleich zum Auftakt. Die Abkürzung IDF buchstabierte er als be Inspired, Develop your knowledge and skills, have Fun. Intel zeigte auf der Veranstaltung mit erklärtem Show-Charakter erneut großes Selbstbewusstsein als inmitten der IT- Krise profitables Unternehmen mit rund neun Milliarden US-Dollar Barmitteln kann man sich das auch leisten. Die einst so steife Paranoia-Company ist inzwischen sogar zur Selbstironie fähig, wie die obligatorische Demonstration der höchsten machbaren Taktfrequenz am Montag bewies. Do not try this at home war in der üblichen Video-Zuspielung zu lesen, und den Pentium 4 mit Northwood-Kern ließ man erstmals sogar vorsätzlich abstürzen bei 4,684 GHz war Schluss. Das Demosystem stand nicht auf der Bühne, Die Konvergenz der digitalen Medien hat sich Intel für dieses IDF auf die Fahnen geschrieben. Dafür setzt man weiterhin voll auf die IA-64 für große Server: Mitte 2003 wird der neue Itanium2 Madison erscheinen, der mit bis zu sechs MByte L3- Cache kommt. Bei Notebooks ist mit dem Chip Banias nicht nur ein neuer Prozessor, sondern eine vollständige Plattform mit umfassenden Stromsparfunktionen geplant. Für Desktop-CPUs hat Intel HyperThreading jetzt zur Pflicht erklärt, es wird noch 2002 zum Standard beim Pentium 4. sondern in einem mit Secret Room beschrifteten Kabuff, aus dem per Video übertragen wurde. Chief Operating Officer Paul Otellini gab in der anschließenden Fragerunde den wahren Grund für dieses Versteckspiel an. Noch auf der CeBIT 2002 meinte Intel, das dortige Demosystem mit flüssigem Stickstoff habe aus Sicherheitsgründen räumlich von den Zuschauern getrennt werden müssen. In San Jose antwortete Otellini auf die Frage von tecchannel wörtlich: Warum das nicht auf der Bühne stand? Weil nicht klar war, dass das verdammte Ding funktionieren würde. Außerdem wollten wir mit dem Geheimraum auch etwas Spaß haben. Banias kommt mit 1,3 GHz Etwas weniger Spaß hatte das Publikum am zweiten Tag, als man etwas über die kommende Mobil-CPU Banias in Erfahrung bringen konnte. Intel zeigte zwar serienreife Notebooks von Dell, Gateway, IBM, NEC, Panasonic und Samsung, aber neue Details zur Architektur gab es nicht. Da muss man wohl im Oktober zum Microprocessor Forum pilgern oder die Vor-Ort-Berichterstattung auf tecchannel.de lesen. Hinter dieser weiteren Nachrichtensperre für einige Wochen scheint ein Deal mit dem Veranstalter des MPF zu stecken. Dessen Mitbegründer Peter Glaskowsky wies in einer Fragerunde mit Intel-Vize Anand Chandrasekher durch einen Zwischenruf ganz unverblümt darauf hin, dass das MPF mehr Details zu Banias bringen würde. Chandrasekher bestätigte das auch prompt. Intel ist diese Konferenz, bei der alle CPU-Hersteller ihre Karten auf den Tisch legen, also mindestens so wichtig wie die eigene Veranstaltung. Einigen Journalisten gelang es aber schon auf dem IDF, zumindest die Taktfrequenz von Banias ausfindig zu machen. Das ausgestellte IBM-Notebook lief laut einem Aufkleber auf der Geräterückseite mit 1,2 GHz und einem A1-Stepping der CPU. Andere Banias-Notebooks zeigten im Control Panel von Windows XP 1,3 GHz. Einige Entwickler gaben hinter vorgehaltener Hand an, dass Banias mit 1,2 bis 1,6 GHz auf den Markt kommen würde man darf gespannt sein, wie der Taktfrequenz-Marktführer Intel das dann den Kunden erklärt. Bei Server-CPUs fragt glücklicherweise kaum jemand nach dem Takt, sondern nach Performance. Und die soll mit der neuen Ausgabe des Itanium2, Codename Madison vor allem dank 6 MByte großem L3-6

6 IDF Fall 2002 / REPORT Poly-si-TFT: Diese langzeitbelichtete Aufnahme zeigt den Helligkeitsvorteil des linken Notebooks überdeutlich. Cache um 40 Prozent über dem bisherigen Itanium2 liegen. Intel legte dazu einige nur auf relative Prozentangaben normierte Benchmarks, unter anderem mit SAP/R3 vor. Ein Bild des Madison findet sich auf Seite 25. Daneben stellte Intel noch neue Speed-Grades für den Xeon auf Northwood- Basis vor, er ist jetzt wie die Desktop-CPUs mit bis zu 2,8 GHz zu haben. Ein völlig neues Konzept ist Intels LaGrande Technology. Dabei handelt es sich um mehrere Verfahren zur Verschlüsselung und Identifizierung von Hardware auf Chipebene. LaGrande soll der Sicherheit dienen und im Zusammenspiel mit geeigneter Software das Ausführen von bösartigem Code verhindern aber nicht nur. LaGrande-Systeme erkennen unerlaubte Änderungen an der Hardware selbst, so dass Hacker-Angriffe auch bei physikalischem Zugriff auf den Rechner erschwert werden sollen. Intels Demonstrationen zu LaGrande waren noch vage, mit ersten Produkten ist nicht vor Mitte 2003 zu rechnen. Adapter für 10Gigabit-Ethernet dürften schon eher in den Servern stecken. Intel- Vize Sean Malloney zeigte auf dem IDF ein Transceiver-Modul in der Größe einer Zigarettenschachtel, das nun auf PCI-Karten passt was angesichts der Bandbreite nur auf PCI-Express-Karten Sinn macht. Beam me up, Pat: William Shatner plauderte beim Gast-Auftritt mit Pat Gelsinger über Technologiefolgen-Abschätzung. Dass in den USA der Einsatz von Wireless LANs längst zum Alltag gehört, wurde auf dem IDF deutlich. Sowohl Besucher als auch Presse konnten in einem offenen Netzwerk mit den eigenen Notebooks surfen, was rege genutzt wurde. Von dem Angebot, sich die nötigen PC-Cards bei Intel auszuleihen, machten nur wenige Gebrauch, die meisten Besucher hatten bereits ihren Funkadapter dabei. Intels WLANs arbeiteten nach a und b, was Vizepräsident Sean Malloney auch als Trend sieht. Seiner Meinung nach sollten Access Points wie Karten in Zukunft standardmäßig dualbandtauglich sein, dem Zwischenschritt g erteilte er eine Absage. War Intels Funknetz auf dem IDF kostenlos, so gilt das für die kommerziellen öffentlichen Hotspots nicht. Im Rahmen einer Intel-Keynote durfte Starbucks-CEO Orin Smith nicht nur den Kaffee servieren. Er kündigte an, alle rund 5000 Filialen der Kaffeehaus-Kette in den USA mit WLANs auszustatten. Diese werden von der Telekom- Tochter T-Mobile betrieben. Abgerechnet wird zeitbasiert per Kreditkarte, vorzugsweise mit der Starbucks-Card, einem VISA-Derivat. Mit solchen Business-Modellen könnten Public HotSpots wirklich funktionieren: Loggt sich ein User dort ein, verdienen Lokalbetreiber, Netzwerk-Anbieter und Kreditkartenunternehmen. Zu den Preisen äußerte sich Starbucks noch nicht. Das drahtlose Internet Anytime, Anywhere ist eine von Intels Visionen zur Konvergenz zwischen IT und Consumer- Elektronik. Dazu will der Halbleiterriese selbst vor Flugzeugen nicht Halt machen. Sean Malloney kündigte an, derzeit finanziere man Versuche mit Bluetooth-Netzen an Bord von Verkehrs-Jets. Serial ATA II für Server: Über diese Prototypen- Adapter hängen an jeder Festplatte zwei Server, die im Failover-Betrieb Ausfälle abfangen können. DDR statt Rambus Doch das ist noch Zukunftsmusik und für Rambus stimmte Intel auf dem IDF schon das Requiem an. In der Session zur Memory Roadmap spielte DDR333 klar die erste Geige, gefolgt von DDR-II und DDR-III. DDR400 erteilte Intel eine deutliche Absage: Die JEDEC würde es nicht mehr standardisieren, und die Ausbeute sei zu gering, war zu hören. Die Roadmap für DDR und DDR-II reichte im Vortrag bis 2009, Intels Rambus-Pläne enden im vierten Quartal 2002 mit der offiziellen Unterstützung von PC1066. Doch vor Überraschungen ist man bei Intels Speicherpolitik nie gefeit, die Firma Rambus trat immer noch tapfer als Gold Sponsor auf und bewarb erneut die PC1066-Module und Lösungen mit zwei Rambus-Kanälen auf einem Modul. Sobald Intels eigene DDR333-Chipsätze (Codenamen Granite Bay und Springdale ) jedoch schneller sind, darf man sich auch dort Sorgen machen. Granite Bay war auf dem IDF schon zu sehen. Völlig versteckt wurde der neue Desktop-Prozessor Prescott. Nicht zuletzt im tecchannel-interview (webcode a943) versprach Intel für diese CPU, die Mitte 2003 erscheinen soll, eine Überraschung. Pat Gelsinger deutete für den neuen 32-Bitter in San Jose other cool stuff an und schwieg ansonsten zu diesem Thema. Stattdessen war Gelsinger daran gelegen, HyperThreading als unverzichtbares Feature auch für Ein-Prozessor-Systeme in die Köpfe der Zuhörer zu zementieren. Die Emulation eines Dual-Systems wird auch mit dem bisherigen Pentium 4 mit Northwood-Kern noch 2002 mit 3,06 GHz zu haben sein. Für Prescott wird man also im Februar erneut nach San Jose pilgern müssen. Dann weiß wohl auch AMD Neues zum Hammer zu erzählen, denn entgegen der bisherigen Traditionen hat der Athlon-Hersteller das IDF Fall diesmal nicht zu einer offiziellen Gegenveranstaltung genutzt. Ob Intel sich wohl nach der Hammer-Vorstellung im Jahr 2001 beschwert hatte? (nie) Weitere Links zum Thema HyperThreading im Detail Test: PC1066 gegen DDR400 Webcode a840 a925 webcode: a968 7

7 SERVICE / Online Neu bei tecchannel Mit tecchannel-premium bieten wir seit Ende September ein kostenpflichtiges Zusatzangebot mit zahlreichen Vorteilen gegenüber dem weiterhin kostenlosen Online-Auftritt. Daneben haben wir unseren Internet-Auftritt um zusätzliche Neuerungen bereichert. Von Andreas Koschinsky Ab sofort steht Ihnen mit tecchan- NEL-Premium ein erweitertes Angebot zum freien Auftritt von tecchannel zur Verfügung. tecchannel-premium ist entweder über das weiterhin freie Angebot von tecchannel über die linke Navigationsleiste oder direkt über den Link premium.tecchannel.de erreichbar. Als Premium-User profitieren Sie insbesondere von unseren PDF-Downloads. So bieten wir im Rahmen des Angebots alle PDFs der Beiträge und Specials sowie unser neu eingeführtes IT-eBook kostenlos an. Speziell das neue IT-eBook kann sich sehen lassen. Mit der freien Auswahl von bis zu fünf Beiträgen und ebenso vielen Nachrichten erstellt unser Server für Sie auf Knopfdruck ein individuelles tecchan- NEL-IT-eBook im PDF-Format. IT steht für Individual tecchannel, denn Sie können sich Ihr PDF-Kompendium nach eigenen Interessen zusammenstellen. Neu ist dabei das Layout: Statt des bisherigen einspaltigen Layouts unserer PDF- Dokumente setzen wir beim IT-eBook auf einen zweispaltigen Satz. Dies erleichtert die Lesbarkeit, macht das IT-eBook wegen der verringerten Seitenzahlen kompakter und spart Papierkosten beim Ausdruck. Sie finden die Eingabemaske zum Herstellen der IT-eBooks in unserer linken Navigationsleiste und bei jedem Beitrag. Im freien Angebot von tecchannel steht Ihnen das IT-eBook ebenfalls zur Verfügung, allerdings nicht kostenlos. Hier kostet der erste Beitrag einen Euro, der zweite 50 Cent und jeder weitere 30 Cent. Die Nachrichten kosten pauschal 10 Cent. Dabei haben Sie die Wahl aus News der letzten sieben Tage. Damit wird Ihr ITeBook gegenüber dem Download der Einzelbeiträge umso billiger, je mehr Sie in das PDF-Dokument packen. Kompakt: Im zweispaltigen Layout fällt das Lesen leichter, und beim Ausdrucken sparen Sie Papier. Flexibel: Sie haben die freie Wahl aus allen tecchannel-beiträgen und den News der letzten sieben Tage. Die Vorauswahl legen Sie über einen Suchbegriff fest. Nach jedem Hinzufügen eines Beitrags oder einer Nachricht können Sie dem Eingabefenster den aktuellen Preis für das von Ihnen zusammengestellte PDF entnehmen. Sie können auch beliebig einzelne Artikel wieder löschen und neue hinzufügen. Der Maximalpreis für ein IT-eBook mit jeweils fünf Beiträgen und Nachrichten beträgt 2,90 Euro. Im Premium-Angebot hat sich für Sie die monatliche Abo-Gebühr bereits mit dem Download von zwei kompletten IT-eBooks amortisiert. 8

8 Online / SERVICE Individualisierung Jeder Premium-User wird beim Login persönlich begrüßt und hat viele Möglichkeiten, individuell konfigurierbare Dienste zu nutzen. So können Sie im Premium-Bereich beispielsweise den Newsticker individuell konfigurieren. Für Ihren persönlichen Newsticker wählen Sie einfach aus acht vorgegebenen Bereichen (Hardware, Software, Betriebssysteme et cetera) einen oder mehrere Themengebiete aus, und Sie erhalten lediglich Nachrichten aus den von Ihnen gewählten Bereichen auf der Homepage angezeigt. Im allgemeinen News- Bereich stehen Ihnen wie gewohnt sämtliche Nachrichten der tecchannel-redaktion zur Verfügung. Darüber hinaus können Sie sich Ihren individuellen, nach Themen aufgeteilten E- Mail-Newsletter zusammenstellen lassen. Auch hier wählen Sie die für Sie interessanten Nachrichten- und Themengebiete aus und erhalten jeweils montags Ihren persönlichen Wochenrückblick. Alle Angaben zu den von Ihnen gewählten Themen lassen sich selbstverständlich jederzeit ändern und anpassen. Persönliche E-Card Im Premium-Angebot können Sie mit der tecchannel-e-card eine persönliche digitale Business-Card nutzen. Sie haben damit die Möglichkeit, Ihre Kontaktdaten auf einfache Weise an Geschäftspartner, Freunde oder Bekannte weiterzugeben, indem Sie den Link der tecchannel-e-card beispielsweise per Mail verschicken oder in Ihre Homepage einbauen. Daneben lässt sich festlegen, ob die E-Card im Premium- Bereich öffentlich sichtbar ist oder nicht. Dieses Feature erlaubt Ihnen zum Beispiel, andere tecchannel-premium-user ausfindig zu machen, die ihre E-Card entsprechend frei gegeben haben. Alle Angaben für die Nutzung der E- Card sind freiwillig und frei wählbar. Sie können auch ein Bild (wird automatisch an die zur Verfügung stehende Größe angepasst) hochladen und persönliche Interessen angeben. Alle Angaben lassen sich selbstverständlich jederzeit ändern, erweitern und aktualisieren. Erweiterte tecdaten-tabellen Unsere tecdaten-tabellen haben wir für alle Premium-User um ein nützliches Feature erweitert. Neben den Sortier- und Auswahlfunktionen können Sie sich im Premium-Bereich nummerische Daten wie Messwerte, Preise und Benchmarks grafisch nahezu beliebig zusammenstellen. Mit dieser Erweiterung sind Sie beispielsweise in der Lage, nur die Produkte grafisch untereinander zu vergleichen, die Sie wirklich interessieren. Zudem lässt sich eine Darstellung von Spezialwerten erzeugen, die unsere im Test vorgefertigten Diagramme nicht behandeln. Sie können so beliebig viele Diagramme erzeugen und anpassen. Zum Ausdruck bieten wir auch eine ausgabefreundliche Druckversion an. Premium-Foren Unsere neue, seit Ende Juli im Einsatz befindliche Foren-Software kommt im Premium-Angebot ebenfalls zum Einsatz. Damit Sie sofort loslegen können, sind Sie automatisch mit Ihrem Benutzernamen und Ihrem Passwort für alle Foren von tecchannel registriert. Daneben haben wir im Premium-Bereich noch zusätzliche Foren für Sie eingerichtet und passen das Foren-Angebot in Zukunft gerne auf Ihre Anforderungen und Bedürfnisse an. Außer Spezial-Foren wie Job- und Projektbörsen für den IT-Markt haben Premium-User auch mehr Rechte in den Foren bezüglich Links und Bildern. Eine Freigaist ebenfalls möglich. So können Sie Ihre Postings wesentlich freier und attraktiver gestalten. Des Weiteren wird die Redaktion in Zukunft Anfragen in den Foren von Premium-Lesern bevorzugt behandeln. Abo-Optionen und Bezahlung Für das Premium-Angebot stehen Ihnen zwei Abo-Optionen zur Wahl. Wer sich bis zum anmeldet, profitiert von unserem Einführungsangebot. Bis dahin kostet das Monats-Abo 5,90 Euro und das Jahres-Abo 49,60 Euro (4,16 Euro/Monat). Als Zahlungssystem verwenden wir die bewährte und bei unseren Lesern akzeptierte Click-and-Buy-Lösung von Firstgate. Das Monats-Abo läuft 30 Tage, ist jeweils zum Monatsende kündbar und verlängert sich automatisch um je 30 weitere Tage. Die Abrechnung erfolgt jeweils zum Monatsende. Das Jahres-Abo lässt sich frühestens nach drei Monaten mit einer Kündigungsfrist zum jeweiligen Monatsende kündigen. Kündigen Sie das Abo nicht, verlängert es sich automatisch um drei weitere Monate. Hierbei rechnen wir die Gebühr entsprechend alle drei Monate ab. Personality: Mit der tecchannel-e-card können Sie Ihre Kontaktdaten auf einfache Weise weitergeben oder die E-Card in Ihre Homepage einbauen. Bezahlen können Sie bei Firstgate komfortabel über Kreditkarte, Bankeinzug oder Telefonrechnung via 0190-Telefonnummer. Nach der erfolgreichen Eingabe Ihrer Daten erhalten Sie binnen zehn Minuten Ihren Freischaltcode für das Premium-Angebot per zugesandt. Damit können Sie sich einloggen und loslegen. Wir wünschen Ihnen viel Spaß mit tecchannel-premium. (ako) Dynamik: Mit unseren dynamischen Grafiken generieren Sie aus unseren tecdaten-tabellen auf Knopfdruck individuelle Diagramme. webcode: a1023 9

9 REPORT / Windows 2000 Bugreport SP3 ist da, doch Lücken bleiben Knapp acht Wochen haben sich die Microsoft-Entwickler in Klausur begeben, um Sicherheitslücken in Windows.net zu beheben. Damit sind auch eine ganze Reihe von Löchern in Windows 2000 gestopft. Von Mike Hartmann Seit August ist das Servicepack 3 für Windows 2000 verfügbar. Das knapp 125 MByte große Archiv enthält alle Fixes aus den ersten beiden Servicepacks sowie aus dem Security Rollup Package und weitere 1000 Fehlerbereinigungen. Wie viele zusätzliche Bugs im Rahmen der Code-Überprüfung intern gefunden worden sind, von denen die Anwender gar nicht erst erfahren, steht in den Sternen. Aus diesem Grund dürfte das SP3 eines der wichtigsten überhaupt sein. Wie Sie der folgenden Liste entnehmen können, bleiben dennoch eine ganze Reihe von Bugs auch weiterhin unbehandelt. Für diese müssen sich die Anwender mit Workarounds und einzelnen Patches begnügen. Zumindest können Sie damit allen in diesem Artikel vorgestellten Fehlern zu Leibe rücken. Eine Kurzbeschreibung aller Bugs finden Sie am Ende des Beitrags. Kein Zugriff auf EFS Auf Daten, die per Systemdienst Protected Storage oder Encrypting Filesystem (EFS) geschützt werden, kann unter Umständen nicht mehr zugegriffen werden, nachdem das Domänen-Passwort geändert wurde. Der Grund dafür ist, dass die Verschlüsselung über einen Hash-Wert des Passwortes erfolgt. Bei einer Passwortänderung verschlüsselt Windows 2000 die Daten erst dann neu, wenn das erste Mal darauf zugegriffen wird. Ist nun genau zu diesem Zeitpunkt der Domänen-Controller nicht erreichbar, schlägt die Neuverschlüsselung und damit der Datenzugriff fehl. Ein Bugfix ist nur über den (kostenpflichtigen) Support erhältlich. Bis dahin sollten Benutzer, die häufiger nicht mit dem DC verbunden sind, nach einer Passwortänderung sofort auf alle geschützten Daten und Files zugreifen, damit die Verschlüsselung an das neue Passwort angepasst wird. Rechner hängt bei Aufwachen aus Standby Beim Aufwachen aus dem Standby-Modus (S3 Deep-Sleep) kann es passieren, dass der Rechner abstürzt, wenn zwei IDE-Laufwerke an einem Kabel hängen. Das liegt daran, dass der Treiber nicht das Busy-Signal des Laufwerks überprüft, bevor er das Reset-Kommando schickt. Dadurch werden die beiden Laufwerke beim Neustart zurückgesetzt, bevor die Synchronisierung abgeschlossen ist. Laut ATAPI-Spezifikation müsste das Laufwerk das Reset-Signal ignorieren, solange es noch beschäftigt ist, aber manche tun das nicht. Es gibt zwar einen Fix von Microsoft, der den Treiber veranlasst, das Busy-Signal zu respektieren, doch ist dieser nur über den (kostenpflichtigen) Support erhältlich. Ein Workaround für Betroffene ist das Verteilen der Laufwerke auf die beiden IDE-Kanäle. USB-2.0-Unterstützung Unterstützung für den 480 MBit/s schnellen Universal Serial Bus (USB) 2.0 ist nicht im aktuellen SP3 enthalten, kann jedoch über Windows Update geholt werden. Bis dato kennt Windows 2000 aber nur die folgenden EHCI-Controller: NEC PCI to USB Enhanced Host Controller B0 (PCI-ID: PCI\VEN_1033& DEV_00E0&REV_01) NEC PCI to USB Enhanced Host Controller B1 (PCI-ID: PCI\VEN_1033& DEV_00E0&REV_02) Intel PCI to USB Enhanced Host Controller (PCI-ID: PCI\VEN_8086&DEV_ 24CD) VIA PCI to USB Enhanced Host Controller (PCI-ID: PCI\VEN_1106&DEV_ 3104) Windows bemerkt leere CD-R nicht Tauscht man eine normale CD-ROM gegen eine unbeschriebene CD-R aus, zeigt der Windows-Explorer weiterhin den Inhalt der CD-ROM an. Erst wenn man versucht, ein Programm von der CD zu starten, kommt es zur Fehlermeldung. Ein Fix ist nur über den (kostenpflichtigen) Support erhältlich. Bluescreen bei NAT und VPN Ein Windows-2000-Server, der parallel zu Routing und Remote Access auch NAT (Network Address Translation) und VPN (Virtual Private Network) anbietet, bleibt mit einer STOP-Meldung stehen. Der Grund ist, dass ein IP-Paket durch NAT aktualisiert wird, aber nicht der Referenzzähler für die Routen. Darum kann die für das Aufräumen zuständige Routine nicht korrekt funktionieren, und das System bleibt stehen. Ein Fix ist nur über den (kostenpflichtigen) Support erhältlich. Bis zur Veröffentlichung des Fixes bleibt nur, den NAT-Dienst auf einen anderen Server zu verschieben, der keine VPN-Verbindungen annimmt. Neue AGP-Karte auf Board mit VIA-Chipsatz Der Einbau einer neuen AGP-Grafikkarte in einen Rechner mit VIA-Chipsatz kann dazu führen, dass das System beim nächsten Start hängen bleibt. Das liegt an Microsofts AGP-Treiber für Motherboards mit VIA- Chipsatz (Viaagp.sys), der mit der unvermittelten Hardware-Änderung nicht zurechtkommt. Benutzer, die VIA-Treiber ihres Motherboard-Herstellers verwenden, sind davon nicht betroffen. Ein aktualisierter VIA-Treiber von Microsoft ist über den (kostenpflichtigen) Support zu beziehen. Alternativ empfiehlt sich ein Wechsel auf den Treiber des Herstellers. 10

10 Windows 2000 Bugreport / REPORT Windows Update erzwingt Scandisk Wenn der Systemdienst Automatische Updates in der Version 3.0 ein kritisches Update auf einem FAT-Systemlaufwerk installiert, kommt es zu folgendem Effekt: Der Treiber Fastfat.sys setzt beim Neustart den Status des Dateisystems auf clean, da alle Daten ordnungsgemäß auf die Platte geschrieben wurden. Als Letztes wird allerdings das Programm Windows Update beendet, das den Status wieder auf dirty setzt. Damit meldet Windows beim nächsten Systemstart, dass der Rechner nicht ordnungsgemäß heruntergefahren wurde. Das könnte bei einem unerfahrenen Anwender zu Irritationen führen. Einen Patch gibt es derzeit nur beim (kostenpflichtigen) Support. Es reicht allerdings zu wissen, dass mit dem System trotz der Meldung alles in Ordnung ist. TURN killt SMPT-Server Mit einem einfachen TURN-Befehl (RFC 821) kann man per Telnet den SMTP-Dienst von Windows 2000 abschießen. Normalerweise dient TURN in einer SMTP-Session dazu, die Rollen der beiden beteiligten Server umzukehren der Sender wird zum Empfänger und umgekehrt. Ein böswilliger Nutzer kann den Bug zu einer DoS-Attacke nutzen, indem er sich einfach per Telnet mit dem SMTP-Dienst von Windows 2000 verbindet und das Kommando TURN schickt. Einen Patch gibt es nur über den (kostenpflichtigen) Support. Bis zur allgemeinen Verfügbarkeit empfiehlt sich die Verwendung eines anderen SMTP-Dienstes nach außen. Zugriffsverletzung im Drucker-Spooler Ein Fehler in der Tcpmib.dll führt dazu, dass ein mittels SNMP verwalteter Druckserver unter Windows 2000 eine Schutzverletzung im Programm Spoolsv.exe verursacht. Danach steht die Druckerwarteschlange auf diesem Server nicht mehr zur Verfügung, und es kann nicht mehr gedruckt werden. Eine aktualisierte Tcpmib.dll gibt es nur beim kostenpflichtigen Support. Rechteausweitung im Netzwerkverbindungs-Manager Der Netzwerkverbindungs-Manager ruft bei einer neuen Verbindung einen so genannten Handler auf. Das ist eine Routine, die normalerweise im Sicherheitskontext des Benutzers läuft. Der Bug ermöglicht es einem Angreifer, eigenen Code als Handler im Kontext LocalSystem auszuführen, also mit vollen Privilegien. Ein entsprechender Patch ist verfügbar und sollte so bald wie möglich eingespielt werden. Die Datei Netman.dll läuft nur unter Windows 2000 mit Servicepack 2 oder 3 und hat die Version Speichermedien verlieren Daten während Hibernation Besitzern von Digitalkameras könnte etwas Ähnliches schon passiert sein. Sie haben ein Speichermedium wie Compact Flash, Memory Stick oder Smart Media im Rechner eingelegt, Windows in den Ruhezustand versetzt und es dann aus dem Rechner entfernt, um neue Aufnahmen zu machen. Wenn Sie es wieder in den Rechner einlegen, findet sich nach dem Neustart von den neuen Daten keine Spur. Das liegt daran, dass Windows 2000 beim Wechsel in den Ruhezustand den Inhalt des Mediums cached und dann wieder einspielt. Ein Patch ist derzeit nur beim kostenpflichtigen Support verfügbar. In der Zwischenzeit empfiehlt es sich, das Medium erst nach dem Rechnerstart einzulegen. CPU-Auslastung 100% beim Laden des Notebooks Bei manchen Notebook-Herstellern ist das Netzteil so schwach ausgelegt, dass die Akkus während des Betriebs nur sehr langsam geladen werden. Das an sich ist schon ärgerlich genug, doch unter Windows 2000 kommt noch ein weiterer Effekt dazu. Ein Fehler in Cmbatt.sys sorgt dafür, dass die CPU-Last auf 100% steigt, während das Notebook geladen wird. Das Problem ist laut Microsoft der Algorithmus, der den Ladezustand in die Bildschirmanzeige im Systemtray umwandelt. Ein Patch ist derzeit nur beim kostenpflichtigen Support verfügbar. In der Zwischenzeit empfiehlt es sich, den Rechner während des Ladens nicht zu benutzen. Kritischer Fehler im Zertifikatmanager Ein Fehler bei der Validierung von Zertifikatsketten führt dazu, dass ein Angreifer eine falsche Identität vortäuschen kann, etwa bei SSL-Webseiten, unterschriebenen s, bei auf Zertifikaten basierenden Anmeldeverfahren oder im schlimmsten Fall bei zu installierenden Programmen. Falschmeldung: Der Treibermanager behauptet nach Installation des Zertifikat-Patches fälschlicherweise, dass der Treiber nicht getestet ist. Microsoft hat einen Patch bereitgestellt, den jeder Anwender sofort installieren sollte. Einen Nachteil hat er allerdings: Nach der Installation behauptet Windows von allen Hardware-Treibern, dass sie den Windows Logo Test nicht bestanden haben. Der Grund ist das für die Treiber verwendete Zertifikat, das nun nicht mehr anerkannt wird. Ist Windows so konfiguriert, dass nur zertifizierte Treiber installiert werden dürfen, lässt sich nun überhaupt kein neuer Treiber mehr einrichten. Dieses Verhalten können Sie in den Systemeigenschaften / Hardware / Treibersignierung umstellen. Löschung von Zertifikaten Ein spezielles ActiveX-Control ist in allen Windows-Versionen dafür zuständig, webbasierte Zertifikate in den lokalen Zertifikatsspeicher einzutragen. Ein Fehler in diesem Control ermöglicht es allerdings auch, Zertifikate vom lokalen System zu löschen. Das kann unangenehme Folgen haben, wenn etwa Root-Zertifikate oder für die EFS-Verschlüsselung zuständige Zertifikate plötzlich weg sind. Der Bugfix sollte sofort installiert werden. Unter Windows 2000 und XP behebt er auch einen Fehler bei der Registrierung von SmartCards. (mha) Weitere Links zum Thema Windows 2000 Bugreport Test: All-in-one Notebooks USB 2.0 Mobile Speichermedien So funktioniert Webcode a317 a719 a558 a303 a819 webcode: a317 11

11 REPORT / Windows 2000 Bugreport Info / Bugs & Lösungen im Überblick 1. Kein Zugriff auf EFS ( ) Betrifft Windows 2000 in Domäne Wirkung Kein Zugriff auf geschützte Daten nach einer Passwortänderung Patch Nur auf Anfrage bei Microsoft Abhilfe Nach Passwort-Änderung sofort auf geschützte Daten und EFS zugreifen Infos Knowledgebase-Artikel Q Rechner hängt bei Aufwachen aus Standby ( ) Betrifft Windows 2000 mit zwei IDE-Laufwerken an einem IDE-Kanal Wirkung Beim Aufwachen aus Standby (S3 Deep Sleep) stürzt Rechner ab Patch Nur auf Anfrage bei Microsoft Abhilfe Laufwerke auf IDE-Kanäle verteilen oder auf Nutzung des Standby-Modus verzichten Infos Knowledgebase-Artikel Q USB-2.0-Unterstützung ( ) Betrifft Windows 2000 Wirkung Keine USB-2.0-Unterstützung Patch Über windowsupdate.microsoft.com Abhilfe Patch installieren Infos Knowledgebase-Artikel Q Windows bemerkt leere CD-R nicht ( ) Betrifft Windows 2000 Wirkung Explorer zeigt nach Einlegen einer leeren CD-R weiterhin Inhalt der vorhergehenden CD an Patch Nur auf Anfrage bei Microsoft Abhilfe Keine Infos Knowledgebase-Artikel Q Bluescreen bei NAT und VPN ( ) Betrifft Windows 2000 mit installiertem und laufendem NAT- und VPN-Server Wirkung STOP-Meldung Patch Nur auf Anfrage bei Microsoft Abhilfe NAT-Dienste auf anderen Server verschieben Infos Knowledgebase-Artikel Q Neue AGP-Karte auf Board mit VIA-Chipsatz ( ) Betrifft Windows 2000 auf Rechner mit VIA-Board Wirkung Nach Installation neuer Grafikkarte hängt das System beim Booten Patch Nur auf Anfrage bei Microsoft Abhilfe VIA-Treiber des Motherboard-Herstellers installieren Infos Knowledgebase-Artikel Q Windows Update erzwingt Scandisk ( ) Betrifft Windows 2000 Wirkung Scandisk nach Update Patch Nur auf Anfrage bei Microsoft Abhilfe Ignorieren Infos Knowledgebase-Artikel Q TURN killt SMPT-Server ( ) Betrifft Windows 2000 mit SMTP-Serverdienst Wirkung SMTP-Dienst bleibt stehen Patch Nur auf Anfrage bei Microsoft Abhilfe Anderen SMTP-Dienst verwenden Infos Knowledgebase-Artikel Q Zugriffsverletzung im Drucker-Spooler ( ) Betrifft Windows 2000, SNMP Wirkung Schutzverletzung mit Absturz der Druckerwarteschlange Patch Nur auf Anfrage bei Microsoft Abhilfe Druckerwarteschlange nicht per SNMP verwalten Infos Knowledgebase-Artikel Q Rechteausweitung im Netzwerkverbindungs-Manager ( ) Betrifft Windows 2000 Wirkung Hacker kann sich Rechte als LocalSystem verschaffen Patch critical/q326886/ Abhilfe Patch installieren Infos Knowledgebase-Artikel Q Speichermedien verlieren Daten während Hibernation ( ) Betrifft Windows 2000 Wirkung Daten verschwinden von Speichermedien Patch Nur auf Anfrage bei Microsoft Abhilfe Erst Rechner starten, dann Medium einlegen Infos Knowledgebase-Artikel Q CPU Auslastung 100% beim Laden des Notebooks ( ) Betrifft Windows 2000 Wirkung CPU-Last steigt auf 100% Patch Nur auf Anfrage bei Microsoft Abhilfe Laden nur bei ausgeschaltetem Notebook Infos Knowledgebase-Artikel Q Kritischer Fehler im Zertifikatmanager ( ) Betrifft Alle Windows-Versionen Wirkung Angreifer kann falsche Identität vortäuschen Patch ReleaseID=42431 Abhilfe Patch installieren Infos Knowledgebase-Artikel Q Löschung von Zertifikaten ( ) Betrifft Alle Windows-Versionen Wirkung Zertifikate können ungewollt gelöscht werden und damit ganze Trust-Ketten ungültig machen Patch Release.asp?ReleaseID=41568 Abhilfe Patch installieren Infos Knowledgebase-Artikel Q Betrifft zeigt an, für welche Betriebssystemversionen der beschriebene Bug zutrifft. Tritt der Bug nur in Zusammenhang mit einer bestimmten Software oder Komponente auf, ist das ebenfalls verzeichnet. 12

12 SERVICE / Online Mehrwert fürs Heft tecchannel bietet Zusatzinformationen, Tools, Listings und weiter führende PDFs zu allen Beiträgen dieses Hefts unter. Wir zeigen, wie Sie zu weiter führenden Informationen gelangen und stellen Ihnen Neuigkeiten bei tecchannel vor. Von Andreas Koschinsky Zu jedem Beitrag im Heft gibt es tecchannel-webcodes, mit denen Sie online schnell zu Zusatzinformationen kommen, ohne kryptische oder lange URLs eintippen zu müssen. Sie finden den Webcode zum Beitrag auf jeder Seite am unteren Seitenrand. Im Text wie auch im Kasten Links zum Thema bieten wir Ihnen Webcodes, die den Beitrag inhaltlich ergänzen. Das Eingabefeld für den Webcode befindet sich auf jeder Site von tecchannel.de im oberen Bereich, gleich neben dem Logo. Hier finden Sie zudem unsere Suchmaschine und die Anmeldung für unsere Newsletter. Die dynamisch sortierbaren Tabellen von getesteter Hard- und Software aus dem Online-Angebot von tecchannel können Sie durch die Eingabe eines Webcodes ebenfalls direkt anspringen. Links schnell geklickt Um Ihnen die Suche nach Download-Links zu vereinfachen, haben wir eine Übersicht (webcode: a1023) ins Netz gestellt, mit der Sie die von Ihnen gewünschten Downloads gezielt anwählen können. Zur aktuellen Ausgabe bietet die Übersicht folgende Tools: tecchannel Benchmark Suite mit unseren Benchmarks ermitteln Sie die Speicher-Performance Ihres Prozessors und Ihrer Massenspeicher. Damit haben Sie die Möglichkeit, Ihre Hardware direkt mit den von tecchannel in diesem Heft getesteten Komponenten zu vergleichen. OpenSSH ist eine freie Implementation der Secure Shell (SSH). Von Network Simplicity kommt die Windows-Portierung, die wir in unserem Workshop verwendet haben. Mit Linux und Free S/WAN erweitern Sie Ihr Netz zum Nulltarif um ein leistungsfähiges IPSec-Gateway samt Zertifikatsverwaltung. Links zu den Werkzeugen und zu einem Client-Tool für Windows 2000/XP haben wir für Sie zusammengestellt. Personal Firewalls verteidigen Ihren Rechner gegen unerwünschte Eindringlinge und schützen die Vertraulichkeit Ihrer Daten. Mit unserer Link-Übersicht gelangen Sie zum Download der getesteten Firewalls. Daneben bieten wir Ihnen auf der Übersichtsseite weiter führende Links zum Thema der im Heft veröffentlichten Beiträge. Sie finden dort zudem die Links zu unserem tecshop, über den Sie beispielsweise ältere Ausgaben des tecchannel-magazins sowie unsere Archiv-CD mit den Inhalten von zwei Jahren tecchannel bestellen können. Auch die Ausgaben von tecchan- NEL Compact sind online erhältlich zum Vorzugspreis (8,90 statt 9,90 Euro) und versandkostenfrei. Neu: Preisvergleich und Shop Ab sofort bietet Ihnen tecchannel ein groß angelegtes Online-Shopping-Portal mit über aktuellen Produkten. Sie finden dort gängige Hardware-Komponenten, PCs, Notebooks und Organizer. Daneben haben wir auch Consumer-Produkte wie Videound Digitalkameras, Sat-Anlagen, Handys, Spielekonsolen integriert. Das Angebot im Shop wird täglich von unserem Kooperationspartner Intertrade aktualisiert und stetig um neue Produkte und Händler erweitert. Zu jeder Komponente gibt es eine allgemeine Beschreibung, und Sie können die Produkte bezüglich ihrer technischen Daten vergleichen. Sofern die in unserem Shop eingetragenen Händler das Produkt führen, können Sie dieses über die angegebenen Händler gleich bestellen. Zum Online-Shop gelangen Sie entweder direkt über die URL nel.de oder unsere linke Navigationsleiste. Auch in Produktmeldungen, Testberichten und tecdaten-tabellen finden sich direkte Links in den Shop zu den beschriebenen Produkten oder den Produktkategorien. tecchannel-specials In unserer neuen Special-Rubrik stellen wir Ihnen in regelmäßigen Abständen Specials zu bestimmten Themen zusammen. Die Beiträge werden von uns thematisch sorgfältig ausgewählt und auf einer Übersichtsseite dargestellt. Ältere Beiträge von tecchannel aktualisieren wir für die Specials. In Summe hat tecchannel mittlerweile fünf Specials zu folgenden Themen veröffentlicht: Storage, Netzwerktechnik, CD-DVD-Technologie, Desktop-Security und CPU-/Halbleitertechnik. Daneben packen wir alle Beiträge eines Specials in ein PDF-File mit einer Übersichtsseite und einem mit den Beiträgen verlinkten Inhaltsverzeichnis. Die PDFs sind kostenpflichtig, im Bundle jedoch über 30 Prozent billiger als die Downloads der Einzelbeiträge. In unserem neuen Premium- Angebot (siehe auch Seite 8) stehen Ihnen alle PDFs der Specials wie auch die PDFs der Beiträge kostenlos zur Verfügung. (ako) Integrativ: Mit dem Webcode zu jedem Artikel im Heft gelangen Sie auf der Webseite von tecchannel.de einfach und schnell zu weiter führenden Beiträgen. Das Netzwerk-Starterkit FB105 von Netgear der Juli- Ausgabe hat gewonnen: Benno Hertling, Bergisch Gladbach. Herzlichen Glückwunsch! webcode: a

13 SPECIAL / Prozessoren Taktfrequenz und Marketing Dass die Leistungsfähigkeit eines Prozessors nicht nur von der Taktfrequenz abhängt, ist eine anerkannte und nachmessbare Tatsache. Jetzt sollen wir aber lernen, dass 32 Bit und eine einfache CPU für einen PC nicht mehr ausreichen. Von Michael Eckert Das kennt man schon: Wenn Intel die Taktfrequenz anhebt, zieht AMD nach anders herum funktioniert das Spiel ebenso. Das Wettrennen der beiden Firmen zeigt das fast monatlich. Das Gute daran für PC-Anwender: Mit jeder höher getakteten CPU werden in der Regel die langsameren Versionen billiger. Nur wenn einer der beiden Kontrahenten ins Hintertreffen gerät, erlaubt sich der vorne liegende, das Top-Modell zum Luxuspreis anzubieten. Bewegung kommt auch in dieses Spiel, wenn eine neue Prozessorarchitektur ansteht oder Meilensteine bei der Fertigungstechnologie erreicht werden. Letztere heizt das Spiel hauptsächlich um höhere Taktfrequenzen an, verschafft den Herstellern jedoch zudem die Möglichkeit, durch die kleineren Strukturbreiten beispielsweise mehr Cache auf dem Die unterzubringen. Eine neue Prozessorarchitektur mit einer grundlegend veränderten oder gar völlig neuen CPU ist dagegen immer ein echter Hammer. Das Jahr 2002 war in diesen Punkten sehr ergiebig. Den Anfang machte Intel mit dem Pentium 4 auf Basis des Northwood- Core. Eine kleinere Strukturbreite von 0,13 Micron brachte dem Pentium 4 höhere Taktfrequenzen bis zu aktuell 2,8 GHz und einen verdoppelten L2-Cache von 512 KByte gegenüber dem Willamette-Core. AMDs Antwort in 0,13 Micron ist der Athlon XP mit Thoroughbred-Core, der jedoch keine zusätzlichen Erweiterungen zum Vorgänger Palomino bietet. Auch in Sachen Taktfrequenz legte AMD anfangs nur um eine Stufe zu. Erst jetzt kommt die Fertigung so richtig auf Touren und spuckt den Athlon XP und aus. Noch im Oktober sollen der Athlon XP und folgen, die außerdem mit einem höheren FSB-Takt von 166 MHz (333 MHz per DDR-Verfahren) arbeiten. Ursprünglich ebenfalls noch in diesem Jahr sollte der Athlon XP mit Barton-Core kommen, der mit einem auf 512 KByte verdoppelten L2-Cache die Platzvorteile der 0,13-Micron-Fertigung ausreizt. Kurz vor Redaktionsschluss gab AMD allerdings bekannt, dass der Barton-Athlon XP auf Anfang 2003 verschoben ist. Marktanteile weltweit Der verschärfte Kampf zwischen AMD und Intel lässt sich auch in Zahlen fassen. Angaben von IDC zufolge ist bei den weltweit ausgelieferten x86-prozessoren für PCs im zweiten Quartal 2002 Intel mit einem Marktanteil von 81,9 Prozent weiterhin klarer Marktführer. AMD kommt laut IDC dagegen lediglich auf 16,8 Prozent. VIA und Transmeta sind mit 1,0 und 0,2 Prozent nur Zuschauer beim Zweikampf der Großen. Je mehr der Athlon XP im zweiten Quartal dieses Jahres gegenüber dem Pentium 4 ins Hintertreffen geriet, desto mehr Marktanteile konnte Intel wieder zurückgewinnen. In den ersten drei Monaten dieses Jahres stand es nur 79,3 zu 19,8 Prozent für Intel. Im letzten Quartal 2001 erreichte AMD sogar einen Anteil von 21,5 Prozent, während Intel auf 77,9 Prozent kam. Marktanteile in Europa Betrachtet man dagegen nur den westeuropäischen Markt, dann sieht man, wo AMD sein Geld verdient: Die Analyse von Gartner Dataquest bescheinigt AMD hier im Jahr 2001 einen Marktanteil von 42 Prozent. Laut AMD sind dabei England, Frankreich, Italien und insbesondere Deutschland die stärksten Absatzmärkte. Das bestätigt sich auch in zwei Online- Umfragen im Juli und August unter den Lesern von tecchannel.de, die sich an PC- Besitzer im deutschsprachigen Raum richteten. Sie bescheinigen AMD bei den Privat- PCs insgesamt einen Anteil von 66,5 Prozent, wobei der Athlon XP schon alleine auf 52,3 Prozent kommt. In ihren geschäftlich eingesetzten PCs vertrauen die tecchannel.de- 14

14 Prozessoren / SPECIAL Leser dagegen mit 54,2 Prozent mehrheitlich auf Intel-CPUs. Die vollständigen Daten unserer beiden Online-Umfragen finden Sie in den Diagrammen in dem Special- Beitrag Performance-Rating ab Seite Bit-Rennen Wirklich spannend wird das Jahr 2003 durch den AMD Hammer. Eigentlich ist der 64- Bit-Prozessor mit dem offiziellen Namen Opteron für High-End-Anwendungen im Server- und Workstation-Bereich prädestiniert. Die Unterstützung in Form von Betriebssystemen mit Linux und Windows XP für die x86-64-architektur hat sich AMD gesichert. Auch die ersten Applikationen wie db2 für Linux von IBM gibt es schon. Ob sich die Plattform als Alternative zu Intels IA-64 etablieren kann, steht in den Sternen. Das lange Siechtum der Itanium-CPUs wirft aber grundsätzlich die Frage auf, wer zurzeit überhaupt 64-Bit- Hardware braucht? Der Special-Beitrag 64 Bit viel hilft viel? ab Seite 23 analysiert, was vom Marketing-Hype übrig bleibt. Richtigen Wirbel wird der Hammer auf jeden Fall im Desktop-Umfeld als ganz normaler PC-Prozessor (Codename Clawhammer) für gängige 32-Bit-Software machen. AMD verspricht, dass der Clawhammer Inhalt / Prozessoren Details zum AMD Hammer Seite Bit-Computing Seite 23 Test: PC-Prozessoren Seite 26 beim Start auch der leistungsfähigste 32-Bit- Prozessor sein wird. Die ersten Benchmarks (webcode: a936) zeigen, dass dieses Ziel durchaus zu erreichen ist. Alles andere hätte für AMD auch dramatische Folgen, denn wenn der Hammer ein Flop wird, steht das Unternehmen lediglich mit dem aufgebohrten Athlon-Design auf Basis des Barton-Core da. Hammer-Hype Der durch geschicktes Marketing, die häppchenweise preisgegebenen Details und die langjährige Geheimhaltung erzeugte Hammer-Hype kann sich schnell ins Gegenteil verkehren, wenn die hohen Erwartungen der potenziellen Käufer nicht erfüllt werden und zwar bei der jetzigen 32-Bit-Software und im Desktop-Bereich. Die Stimmung bei den Kunden ist jedenfalls eindeutig: Eine Online-Umfrage unter den Lesern von tecchannel.de im August 2002 ergab, dass 38 Prozent den AMD Clawhammer für ihren nächsten PC in Betracht ziehen. Intels nächste Pentium-4-Generation mit Prescott-Core interessiert dagegen derzeit nur knapp 5 Prozent. Den aktuellen Pentium 4 sehen rund 18 Prozent im nächsten PC, ein gängiger Athlon XP soll es immerhin bei 26 Prozent sein. Keine Rolle spielen dagegen die Budget-CPUs Celeron und Duron sowie die Prozessoren von VIA. Erstaunlich ist der Hammer-Hype vor allem, weil es bis auf die tecchannel-ergebnisse der Prototypen-CPU weltweit keine unabhängig ermittelten Performance-Angaben zum Hammer gibt. Alle anderen Informationen zur CPU und zur Plattformarchitektur kommen ausschließlich von AMD. Intel scheint sich seiner misslichen Marketing-Situation durchaus bewusst zu sein. Der Hammer greift einerseits direkt den Pentium 4 an und positioniert sich andererseits auch gegen den Itanium. So ist zu erklären, warum Intel es noch 2002 auf mindestens 3 GHz Taktfrequenz beim Pentium 4 bringen will, obwohl frühere Roadmaps das erst für 2003 versprachen. Und Hyper-Threading wird auch früher im Desktop-Bereich Einzug halten, als das einmal geplant war schon der Pentium 4 mit 3 GHz soll damit aufwarten. Ursprünglich sollte erst der nächste Pentium 4 mit dem Codenamen Prescott 2003 damit starten. Intel-Insider kündigen für diese CPU nun eine weitere, noch streng geheim gehaltene Neuerung an, die unter dem Namen Yamhill gehandelt wird. Gerüchte besagen sogar, dass Intel im Fall eines Hammer-Erfolgs eine x kompatible CPU aus dem Hut zaubert und Yamhill der entsprechende Register- und Befehlssatz ist. Auf Grund eines bereits abgeschlossenen gegenseitigen Lizenzabkommens zwischen Intel und AMD wäre das zumindest theoretisch möglich. (mec) Info / Umfrage: PC-Prozessoren Welche CPU planen Sie für Ihren nächsten PC? tecchannel Marketing-Erfolg: Obwohl detaillierte Testergebnisse noch fehlen, denken 38 Prozent der tecchannel.de- Leser über einen PC mit AMD Clawhammer nach. 15

15 SPECIAL / Details zum AMD Hammer Weltenbummler AMDs achte Prozessorgeneration Hammer soll in der 32- und 64-Bit-Welt Maßstäbe setzen. Wir stellen die Interna der x86-64-architektur vor und präsentieren Ihnen erste Benchmarks vom ClawHammer. Von Christian Vilsbeck AMD beschreitet mit der x Technologie neue Wege, ohne alte Pfade zu verlassen. Die Hammer-Prozessoren basieren nicht auf einer komplett neuen Architektur wie Intels 64-Bit-CPUs der Itanium-Serie. Vereinfacht ausgedrückt erweitert AMD beim Hammer die vorhandenen Register auf eine Breite von 64 Bit. Damit geht das Unternehmen den Weg, den Intel beim Übergang vom 286er zum 386er vollzogen hat. Seit den Prozessoren steht für Berechnungen beispielsweise statt des 16-Bit-AX-Registers auch das 32-Bit-EAX- Register zur Verfügung. Durch die Erweiterung der vorhandenen IA-32-Technologie will AMD sicherstellen, dass die x86-64-cpus sowohl mit einem Executive Summary 32- als auch einem 64-Bit-Betriebssystem den aktuellen 16- und 32-Bit-Code ohne Performance-Verlust ausführen können. Die IA-64-Architektur von Intels Itanium-Serie kann alte Anwendungen dagegen nur mit einer aufwendigen Hardware-Emulation abarbeiten: Dabei werden x86-register auf die IA-64-Register abgebildet und über eine Kontrolllogik in einen IA-64-Datenstrom umgewandelt. Dieser Vorgang kostet Zeit und geht zu Lasten der Performance. Bei AMDs x86-64-architektur ist eine Emulation dagegen nicht erforderlich die 64-Bit-Erweiterung wird bei 32-Bit-Software einfach nicht genutzt. Laut AMD soll der Hammer deshalb beim Betrieb mit 32- Bit-Software der bis dato schnellste x86- / Details zum AMD Hammer AMD kann mit dem Hammer zum großen Schlag ausholen. Er verbindet 32- und 64- Bit-Anwendungen auf einfache Weise. Vorhandene Software lässt sich weiter nutzen, Investitionen bleiben erhalten. Der Schwenk auf 64-Bit-Software ist jederzeit möglich. Eine breite Unterstützung seitens der Industrie erleichtert AMDs erster x86-64-cpu den Start. Auch an Microsoft wird es nicht scheitern, 64-Bit-Windows-Versionen sind in Arbeit. AMDs Konzept, einen getunten Athlon-Core mit neuen Technologien wie HyperTransport und integriertem Speicher-Controller zu verknüpfen, scheint aufzugehen. Unsere ersten Benchmarks lassen viel erwarten. Prozessor werden. tecchannel konnte bereits erste exklusive Benchmarks mit einem Prototypen durchführen. Betriebsmodi des Hammer Um problemlos mit 32- und 64-Bit-Software agieren zu können, beherrschen die Hammer-Prozessoren verschiedene Betriebsmodi. Findet der Hammer aktuelle Betriebssysteme wie Windows XP mit 32-Bit-Kernel vor, so arbeitet die CPU im so genannten Legacy-Mode. Der Hammer verhält sich dabei wie ein normaler x86-prozessor und ist voll kompatibel zu vorhandenen 16- und 32-Bit-Betriebssystemen und -Anwendungen. Die 64-Bit-Features der x86-64-architektur liegen dann brach. Steht dem Hammer dagegen ein 64-Bit- Betriebssystem zur Seite, schaltet die CPU in den Long Mode getauften Betriebsmodus. Der Long Mode der x86-64-technologie beinhaltet zwei Untermodi: den 64-Bit- Mode und einen Compatibility Mode. 64-Bit- Anwendungen arbeiten im entsprechenden 64-Bit-Mode. Den Programmen steht somit auch der volle Adressraum mit einer Breite von 64 Bit zur Verfügung. Der Compatibility Mode der x86-64-architektur erlaubt unter 64-Bit-Betriebssystemen eine binäre Kompatibilität mit vorhandenen 16- und 16

16 Details zum AMD Hammer / SPECIAL 32-Bit-Anwendungen. Die Programme müssen nicht neu kompiliert werden. Den 64 Bit großen Adressraum des Betriebssystems können diese aber nicht nutzen, sie bleiben auf 4 GByte beschränkt. Globales Kontrollbit In welchem Betriebsmodus sich die Hammer- CPU befindet, wird über das globale Kontrollbit LMA (Long Mode Active) sowie über zwei weitere Flags angezeigt. Steht das LMA-Bit auf 0, verhält sich die Hammer- CPU wie ein normaler x86-prozessor. Arbeitet der Prozessor im 64-Bit-Long-Mode, ist das Read-only-Bit LMA auf 1 gesetzt. Um den Long Mode des Hammer zu aktivieren, muss das Betriebssystem das LME-Bit (Long Mode Enable) aus dem Extended Feature Enable Register EFER aktivieren. Hierzu sind von der Software folgende Schritte durchzuführen: Die Long-Mode-Aktivierung kann nur im Real Mode und im Protected Mode ohne segmentierte Adressierung (nonpaged) erfolgen. Einschalten der physikalischen Adresserweiterung durch Setzen des Controll- Register-Bits CR4.PAE auf 1. Aus dem Extended Feature Enable Register wird in Bit EFER.LME eine 1 geschrieben. Die CPU befindet sich nun im 64 Bit breiten Long Mode und kann je nach Applikation in seinen zwei Untermodi operieren. Die beiden CPU-Zustände 64-Bit- und Compatibility Mode werden über zwei weitere Flags gewählt: Der CS-Descriptor legt fest, ob Anwendungen in der 64-Bit-Umgebung im Compatibility Mode mit 16 oder 32 Bit laufen oder den 64-Bit-Mode nutzen. Neue Register Wenn der Hammer im 64-Bit-Mode arbeitet, stehen dem Prozessor im Vergleich zum Legacy Mode folgende zusätzliche Features zur Verfügung: 64-Bit-Adressraum Relative Datenadressierung mit 64-Bit- Offset Registererweiterung der acht GPRs auf 64 Bit durch das Präfix R Zusätzlich acht neue GPRs R8 bis R15 Acht neue 128-Bit-SSE-Register XMM8 bis XMM15 64-Bit-Befehlszeiger (RIP) Den 64 Bit breiten Adressraum sieht die x86-64-architektur nur über eine segmentierte Adressierung vor. Die physikalische Adressbreite ist auf 52 Bit beschränkt. In der ersten Generation der Hammer-Familie implementiert AMD aber nur einen 48 Bit breiten virtuellen Adressraum die physikalische Adressbreite ist auf 40 Bit beschränkt. Die ersten Hammer haben auf ein TByte Arbeitsspeicher Zugriff. Anwendungen, die im Legacy oder Compatibility Mode laufen, stehen beim Hammer weiterhin nur die acht allgemeinen 32 Bit breiten Register EAX, EBX, ECX, EDX, EBP, ESI, EDI und ESP zur Verfügung. Arbeitet der Prozessor dagegen im 64-Bit- Mode, erweitert die x86-64-architektur diese acht Register über den R-Präfix auf 64 Bit. Die verbreiterten Register erhalten die Bezeichnungen RAX bis RSP. Zusätzlich kann der Hammer im 64-Bit-Mode auf acht neue ebenfalls 64 Bit breite GPRs (General Purpose Register) R8 bis R15 zugreifen. Für Fließkomma-Berechnungen wurden außerdem die acht 128 Bit breiten SSE- Register mit XMM8 bis XMM15 verdoppelt. Davon profitiert allerdings nur der 64-Bit- Mode. Die Kompatibilität zu Intels SSE2- Befehlssatz erlauben aber alle Betriebsmodi. AMD setzt beim Hammer erstmals die Multimedia-Erweiterung des Pentium 4 ein, der nur über acht XMM-Register verfügt. Details zum Core Die Hammer-Prozessoren basieren auf einem Core der achten Generation. AMD führt damit seit dem K7-Core des Athlon (aktuell als Thoroughbred) erstmals wieder eine neue Architektur ein. Allerdings stecken die Neuerungen im Detail, das Grundgerüst sieht dem Athlon-Flurplan immer noch ähnlich. Die offensichtlichste Innovation ist der im Prozessor implementierte Speicher-Controller. Die komplette x86-64-architektur lässt sich in fünf Funktionsblöcke aufteilen: Prozessor-Core, L1-Daten- und Befehls-Cache, L2-Cache, DDR-SDRAM-Controller sowie das HyperTransport-Interface. AMDs Hammer ist je nach Ausführung multiprozessorfähig und verfügt über eine entsprechende Controller-Logik. So erlaubt die Serverversion des Hammer mit dem bereits veröffentlichten Namen Opteron 8-Wege- Systeme. Die Desktop-Variante mit dem Codenamen ClawHammer arbeitet dagegen nur im Single-Betrieb. Der Hammer-Core bietet neun Ausführungseinheiten für Integer- und Floating-Point-Operationen. Darin ist erstmals bei AMD-Prozessoren eine SSE2-kompatible tecchannel Registeranbau: Die x86-64-architektur der Hammer-CPUs erweitert die 32-Bit-Register der IA-32- Prozessoren auf 64 Bit. Einheit enthalten. Gefüttert werden die Ausführungseinheiten nach dem Out-of-Order- Prinzip über drei unabhängige Befehls- Decoder-Pipes, die in den Schedulern enden. Drei davon können je acht Einträge puffern und bedienen die sechs Integer-Units. Diese bestehen aus drei ALUs und den drei Address Generation Units (AGU), die für die Load-/Store-Vorgänge vom und zum Cache verantwortlich zeichnen. Die drei FPU-Einheiten versorgt schließlich ein 36 Einträge fassender vierter Scheduler. AMD hat somit beim Hammer die Anzahl der Ausführungseinheiten gegenüber dem K7-Core des Athlon nicht erhöht. Das Hauptproblem bei modernen CPU-Architekturen mit vielen Ausführungseinheiten ist, tecchannel H&M: AMDs erster 64-Bit-Prozessor kommt mit integriertem HyperTransport-Interface und Memory Controller für DDR333-SDRAM. webcode: a

17 SPECIAL / Details zum AMD Hammer tecchannel Futterzeit: Neun Ausführungseinheiten warten auf Befehle. Die Floating-Point-Units beherrschen bei der x86-64-architektur erstmals SSE2. tecchannel diese mit einer hohen Auslastung zu betreiben und mit genügend Daten zu füttern. Demnach ist selbst beim Athlon die Auslastung der Units längst nicht ausgereizt. Intels Idee, die Ausführungseinheiten zu beschäftigen, heißt Hyper-Threading. Hier wird eine CPU wie zwei Prozessoren behandelt, und entsprechend werden zwei Threads parallel abgearbeitet. Dadurch sind die Ausführungseinheiten besser ausgelastet eine angepasste Programmierung der Anwendungen vorausgesetzt. Cache- und Sprung-Tuning Da AMD beim Hammer aber auch von der schnellsten x86-kompatiblen Architektur spricht, muss die höhere Performance anderen Quellen als einer erhöhten Unit-Zahl Vorbild Athlon: Der Hammer weist eine frappierende Ähnlichkeit mit dem K7-Core des Athlon XP auf. Die Anzahl der Ausführungseinheiten ist gleich geblieben. entspringen. Eine Möglichkeit wäre die Vergrößerung der Caches. Diese nutzt AMD aber nicht. Für den L1-Cache gibt der Hersteller eine Größe von je 64 KByte für Befehle und Daten an unverändert zum Athlon. Der 16fach assoziative L2-Cache wird im ClawHammer 256 oder 512 KByte fassen. Der von uns bereits getestete Prototyp eines ClawHammer besaß 256 KByte L2- Cache. Die Athlon XPs setzen derzeit ebenfalls auf 256 KByte. In AMDs Roadmap findet sich bis Ende 2002 noch der Wechsel des Athlon zum Barton-Core mit dann 512 KByte L2-Cache. Einzig der Serverprozessor Opteron bekommt mit ein oder zwei MByte L2-Cache ein deutlich erhöhtes Fassungsvermögen. Eine ECC-Überwachung der ersten und zweiten Cache- Stufe bieten alle Hammer-Varianten. Weitaus tief schürfender sind beim Hammer die Änderungen, die schon im Vorfeld der Befehlsabarbeitung erfolgen. So hat AMD die TLBs einer Überarbeitung unterzogen. Der Translation Lookaside Buffer ist ein kleiner Zwischenspeicher für die Speicherverwaltung, der Informationen zum Konvertieren von logischen Adressen in physikalische enthält. Je mehr Einträge der TLB fassen kann, desto seltener muss bei der Berechnung der physikalischen Adresse die Translation-Tabelle aus dem Arbeitsspeicher geladen werden. Dies spart Zeit, und bestimmte Befehle erfordern somit weniger Taktzyklen. Der L1-Daten- und Befehls- TLB des Hammer fasst je 40 Einträge und ist voll assoziativ ausgelegt. Beim Athlon XP kann nur der L1-Daten-TLB gleich viele Einträge speichern, für Befehle stehen lediglich 25 Einträge bereit. Die 4fach-assoziativen L2-TLBs können mit je 512 Einträgen beim Hammer doppelt so viel aufnehmen wie noch beim Athlon XP. Außerdem weisen die TLBs beim Hammer geringere Latenzzeiten auf als im K7-Core. Zusätzlich zu den größeren TLBs verfügt die x86-64-architektur über einen 32 Einträge fassenden Flush-Filter. Dies erlaubt ein besseres Management der TLBs bei Task- Wechseln. Mehrere Threads können sich durch den Flush-Filter nun einen TLB teilen, ohne dass die Software dabei Einfluss nehmen muss. Normalerweise setzt der Prozessor bei Task-Wechseln jedes Mal die TLBs neu und stellt sie später wieder her das kostet Rechenzeit. Die Sprungvorhersage hat AMD beim Hammer ebenfalls verbessert. Besonders bei Anwendungen mit großem Speicherbe- 18

18 Details zum AMD Hammer / SPECIAL darf den so genannten Large Workloads soll der Prozessor höhere Performance bieten. Hierzu wurde der Global History Counter auf 16 K Einträge aufgestockt gegenüber dem K7-Core des Athlon eine Vervierfachung. Eine bessere Sprungvorhersage braucht der Hammer-Core auch, denn er hat an Pipeline-Stufen zugelegt. Die Gefahr langer Pipelines sind falsche Sprungvorhersagen. Im ungünstigsten Fall muss die komplette Pipeline, also alle Funktionseinheiten, neu geladen werden. Dies kostet viele Takte und reduziert die Performance. Effektive Branch Predictions zählen bei modernen CPUs zu zentralen Performance-Bringern. Gestreckte Pipeline Die Pipeline einer CPU zu verlängern, ist ein beliebtes Mittel zur Realisierung höherer Taktfrequenzen. Intel verdoppelte beim Schritt vom Pentium III zum Pentium 4 die Tiefe der Pipeline auf 20 Stufen. So extrem ging AMD nicht vor: Von vormals 10 Stufen beim Athlon kann der Hammer nun auf eine 12-stufige Pipeline bei Integer-Operationen zurückgreifen. Sind Fließkomma- Berechnungen in Arbeit, benötigt die x86-84-architektur 17 Stufen. Die 20 Prozent tiefere Pipeline des Hammer findet sich im Frontend wieder. AMD hat im Vergleich zum Athlon die Befehlsholund Dekodierphase überarbeitet. Ziel der optimierten Vorbereitungsphase ist es, die Scheduler und somit die Ausführungseinheiten mit schneller aufeinander folgenden dekodierten Befehlen zu versorgen. Das soll unnötige Waitstates sowie unausgelastete Ausführungseinheiten reduzieren. Die Optimierung beginnt beim Hammer bereits mit zwei statt nur einer Fetch-Stufe, die die x86-befehle aus dem L1-Cache holen. Die folgende Pick-Stufe bereitet die Befehle dann für die ersten beiden von insgesamt drei Dekodierstufen auf. Ähnlich der Align-Stufe beim Athlon versucht der Hammer beim Pick-Vorgang so viele unabhängige Befehle wie möglich zu finden und vorsortiert an die Ausführungseinheiten zu senden. In den Dekodierstufen 1 und 2 sammelt die CPU Informationen, die für den weiteren Dekodiervorgang benötigt werden beispielsweise direkter oder vektorbasierender Dekodierpfad. Für Letzteren ist zusätzlich Microcode aus dem Microcode-ROM (MROM) erforderlich. Die beiden Stufen sind mit der Early-Decode- Phase des Athlon vergleichbar. Vor dem dritten Dekodierschritt bereitet eine Pack-Stufe die vorberechneten Informationen nochmals auf. Dann erfolgt die Umwandlung in MacroOPs. Die Scheduler verteilen schließlich die MacroOPs auf die Ausführungseinheiten. Die Daten landen in den letzten beiden Stufen 11 und 12 der Basis-Pipeline im L1-Daten-Cache. Info / ClawHammer-Benchmarks Speicher-Interface integriert Zu den echten Neuerungen des Hammer zählt neben der Registererweiterung auf 64 Bit der integrierte Memory-Controller. Der Vorteil der Integration liegt in den deutlich reduzierten Latenzzeiten bei Zugriffen auf den Speicher. Den Umweg über eine klassische externe Northbridge umgeht der Prozessor. Eine geringe Latenzzeit ist vor allem dann wichtig, wenn der Speicherzugriff meist auf verteilt liegenden Stellen erfolgt. Hier ist die reine Speicherbandbreite oft gar nicht der entscheidende Faktor. Anders hingegen, wenn die Daten zusammenhängend im Speicher liegen und die CPU im Burst-Modus große Mengen ausliest hier zählt die Bandbreite. AMD berücksichtigt mit dem Hammer beide Fälle. Neben der geringen Latenzzeit unterstützt der integrierte Memory-Controller DDR-SDRAM in den Varianten PC200, PC266 und PC333. Der Desktop-Variante ClawHammer spendiert AMD ein 72 Bit breites Speicher-Interface. Damit lassen sich bis zu vier GByte DDR-SDRAM inklusive Chipkill-ECC-Prüfung verwalten. Im Serverprozessor Opteron sind zwei 72 Bit breite DDR-SDRAM-Kanäle realisiert. Mit insgesamt acht DIMMs (vier pro Kanal) lassen sich dann pro CPU acht GByte Speicher ansprechen. Die Speichermodule können dabei ungepuffert oder registered sein. Mit PC333-DDR-SDRAM erreicht der ClawHammer eine maximale Speicherbandbreite von 2,48 GByte/s. Der Opteron mit seinem Dual-Channel-Interface ermöglicht 4,96 GByte/s. Durch den integrierten Memory-Controller steigt in Multiprozessor- Systemen auch der maximale Speicherausbau, weil jede CPU einen eigenen lokalen Speicher ansteuert. Untereinander tauschen Bei dem von tecchannel getesteten ClawHammer handelt es sich um einen Prototypen. Die tatsächliche Performance der Serien-CPU ist infolge der beim Prototypen niedrigeren Taktfrequenz von 800 MHz lediglich zu erahnen. Außerdem konnten wir nur 32-Bit-Software verwenden. Der Test gibt daher keine Auskunft über die Performance mit 64-Bit-Software. Testvoraussetzung: Die Benchmarks erlauben lediglich Rückschlüsse darauf, was der ClawHammer im Vergleich zu einem Athlon MP (FSB 133) und Pentium 4 Willamette (FSB 400) mit 800 MHz sowie bei 32-Bit-Software mindestens leistet. Alle Tests wurden mit Windows XP Pro, einer GeForce3 und 256 MByte Arbeitsspeicher durchgeführt. Ergebnisse: Die Transferkurve von tecmem aus unserer tecchannel Benchmark Suite (webcode: a926) zeigt den Datendurchsatz des L1- und L2-Cache sowie des Arbeitsspeichers. Im 32- Bit-Fall kommen für Load, Store und Move die darauf optimierten Maschinenbefehle LODSD, STOSD und MOVSD zum Einsatz. Während beim L1-Cache der ClawHammer und der Athlon MP noch gleich schnell sind, zieht die x86-64-cpu bei Store-Befehlen im L2-Cache mit etwas über 2000 MByte/s deutlich davon (Athlon MP: 1700 MByte/s). Entscheidend ist aber der Durchsatz beim Arbeitsspeicher. Beide tecchannel ClawHammer 800 MHz: Die Transferkurven für den L1- und L2-Cache ähneln stark dem AthlonMP/XP. Prozessoren arbeiten mit PC333-DDR-SDRAM mit 2,5-3-3-Timing. Beim Lesen aus dem Speicher eilt der Hammer mit 850 MByte/s dem Athlon MP mit 500 MByte/s davon. Bei Storeund Move-Befehlen ist der Athlon MP um zirka 100 MByte/s langsamer. Auch der Pentium 4 mit PC muss sich mit 700 MByte/s bei 32-Bit-Load-Vorgängen dem Hammer beugen. Store- und Move-Operationen erledigt er dagegen ähnlich schnell. Überzeugend: Der integrierte Memory-Controller des ClawHammer kann bereits in diesem frühen Prototypen-Stadium punkten. Weitere Benchmarks zum ClawHammer haben wir unter dem (webcode: a936) veröffentlicht. webcode: a

19 SPECIAL / Details zum AMD Hammer Glossar AGU / Prozessoren Address Generation Unit. Integer-Ausführungseinheit, die für die Generierung von Speicheradressen verantwortlich zeichnet. ALU Arithmetical and Logical Unit. Funktionsblock des Prozessors, der arithmetische und logische Funktionen ausführt. Core Prozessorkern. Als Core bezeichnete man ursprünglich den eigentlichen CPU-Block ohne Caches. Nachdem der L1- und der L2-Cache auf das Die wandern, wird die Bezeichnung Core auch für die gesamte Technik auf dem Siliziumplättchen verwendet. ECC Error Correcting Code. Verfahren zum Erkennen und Korrigieren von Bitfehlern. FPU Floating Point Unit. Fließkommaeinheit. Funktionsblock im Prozessor, der auf die Bearbeitung von Fließkommazahlen optimiert ist. Die FPU beinhaltet auch die SSE/SSE2-Einheiten. MacroOps PC-Prozessoren zerlegen komplexe x86-befehle in einfach zu handhabende Kommandos fester Länge. AMD nennt diese RISC-ähnlichen Befehle MacroOps, bei Intel heißen sie Micro-Ops. Out-of-Order Organisation der Befehlsabarbeitung bei Prozessoren. Der Abschluss von Befehlen erfolgt in einer Reihenfolge, die nicht der programmierten Reihenfolge entspricht. Pipeline Mehrere Befehle sind über einzelnen aufeinander folgenden Funktionseinheiten des Prozessors gleichzeitig in Teilbearbeitung. Je tiefer die Pipeline, desto mehr Befehle können gleichzeitig bearbeitet werden. SSE/SSE2 Streaming SIMD Extensions. Intels Bezeichnung für einen erweiterten 3D- und Multimedia-Befehlssatz. SIMD steht für Single Instruction Multiple Data. SSE2 ist die zweite Version, die im Pentium 4 debütierte. TLB Translation Lookaside Buffer. Kleiner Zwischenspeicher, der Informationen zum Konvertieren von logischen in physikalische Adressen enthält. Der TLB ist meist ein Bestandteil der MMU. die CPUs Daten via HyperTransport aus. Dabei skaliert die Speicherbandbreite mit der Anzahl der Prozessoren. In einem 4-Wege- System stünde dann unter Verwendung von PC333-DIMMs eine Bandbreite von 19,8 GByte/s zur Verfügung, so AMD. Es gibt jedoch zusätzliche Latenzzeiten, wenn beispielsweise die CPU 1 via HyperTransport- Verbindung auf den Speicher der CPU 2 zugreift. Die Skalierung der Speicherbandbreite bleibt in der Praxis eher Theorie. Der in den Hammer-CPUs integrierte Memory-Controller kostet aber auch Flexibilität. Denn mit neuen Speichertechnologien wie DDR-II kann der Prozessor nichts anfangen. Allerdings soll eine neue Version des Hammer mit dem Nachfolger von DDR- SDRAM zurechtkommen. Das bestätigte auch AMD-Sprecher Jan Gütter gegenüber tecchannel: Wir rechnen damit, dass sich DDR-II 2004 im Mainstream etablieren wird. Für dann sei auch ein neuer Hammer geplant, meinte Gütter weiter. Eine weitere Alternative, anderen Speicher zu nutzen, wäre, den integrierten Memory-Controller des Hammer nicht zu verwenden. Stattdessen ließe sich auch ein klassischer Memory-Controller in einer Northbridge realisieren. Entsprechende Lösungen sind von taiwanischen Chipsatz- Herstellern schon angedacht. Besonders wenn in der Northbridge eine Grafik-Engine integriert ist, lässt sich beim Speicherzugriff der Umweg über die CPU vermeiden. Neues I/O-Konzept Neuland betritt AMD beim Prozessorbus. Statt des üblichen parallelen FSB kommuniziert die CPU über eine HyperTransport- Schnittstelle. Das serielle Interface mit variabler Bitbreite ermöglicht beim ClawHammer eine Datentransferrate von 2,98 GByte/s in jede Richtung gleichzeitig. Damit ergibt sich eine Gesamtbandbreite von 5,96 GByte/s. Zum Vergleich: Der Pentium 4 mit 533 MHz FSB erlaubt einen maximalen Datendurchsatz von 3,97 GByte/s aber nicht in beiden Richtungen gleichzeitig. Dem Serverprozessor Opteron spendiert AMD gleich drei HyperTransport-Schnittstellen. In Multiprozessorsystemen koppelt HyperTransport die CPUs direkt miteinander. Ohne zusätzlichen Chipsatz lassen sich damit bis zu acht Opterons zusammenschalten. AMD nennt dieses Verfahren Glueless Multiprocessing. Ausführliche Details über HyperTransport können Sie im Know-how- Artikel in diesem Heft nachlesen. Pin-up: Für den ClawHammer (oben) und Opteron (unten) gibt es die neuen Socket 754 und 940. Über das HyperTransport-Interface läuft der gesamte Datenverkehr der Hammer- Prozessoren und des integrierten Memory- Controller. Um zum Beispiel AGP-Grafikkarten oder einer benachbarten CPU einen direkten Zugriff auf den Arbeitsspeicher zu gewähren, hat der Hammer eine Schaltzentrale XBAR. Diese Cross-Bar-Architektur leitet Datenströme vom HyperTransport-Interface (oder deren drei beim Opteron) über 64 Bit breite interne Busse direkt an die System Request Queue des Hammer-Core oder an den Memory-Controller weiter. Für Befehle und Adressen stehen der XBAR zusätzlich 64 Bit breite Busse zur Verfügung. Eine Frage des Takts Revolutionäre Änderungen in der Befehlsabarbeitung kann die Hammer-Architektur im Vergleich zum Athlon nicht bieten. Sie wurde vielmehr mit Hinblick auf höhere Taktfrequenzen optimiert. Die zusätzlichen Fetch- und Decode-Stufen dienen also nicht nur der besseren Befehlsaufbereitung. Die längere Pipeline soll zusammen mit dem Fertigungsprozess der ersten Hammer in 0,13 µm mit SOI-Technik Raum für höhere Frequenzen schaffen. Mit Angaben zur Taktfrequenz der 64- Bit-CPU hält sich AMD noch bedeckt. Doch Informationen aus verschiedenen Quellen weisen deutlich auf eine Startfrequenz von 2 GHz hin. Klarere Aussagen gibt es von AMD 20

20 Details zum AMD Hammer / SPECIAL zur Model-Number des ClawHammer: Die Zahl 3400 ist im Gespräch. Allerdings wird AMD wohl sein System der Model-Number überarbeiten müssen. Im Internet tauchen vermehrt Roadmaps von AMD auf, in denen der ClawHammer als Athlon?? M3400 steht. Der Name Athlon bleibt erhalten, über die beiden Fragezeichen darf aber noch spekuliert werden: Athlon XL oder Athlon 64? Mit den realen Taktfrequenzen des Pentium 4 wird auch der Hammer nicht Schritt halten können. Ob AMDs Übergang auf 0,09-µm-SOI-Technik in der zweiten Jahreshälfte 2003 daran etwas ändert, bleibt zu bezweifeln. Schließlich schwenkt auch Intel beim nächsten Pentium 4 (Codename Prescott) in dieser Zeit auf 0,09 µm um. Und bis Ende 2002 soll der Pentium 4 bereits 3 GHz erreichen noch in 0,13-µm-Technik. Sockelwechsel Lange hat er nun gehalten, der 462 Pins zählende Socket A. Seit Anfang 2000 nehmen alle AMD-Prozessoren darin Platz. Doch mit Einführung der Hammer-Prozessoren Ende 2002 sind die Tage des Socket A gezählt. Zwar laufen die Athlons (mit Barton-Core) beim Hammer-Start parallel weiter, wie lange jedoch, steht noch nicht fest. Dem ClawHammer spendiert AMD den neuen Socket 754, der Serverversion Opteron einen Socket 940. Die Namen beider Sockel basieren auf der Anzahl der Pins der Hammer-Prozessoren. Die unterschiedliche Pinanzahl der beiden CPUs ist schnell erklärt: Der Opteron weist einen Speicherkanal sowie zwei Hyper- Transport-Schnittstellen zusätzlich auf, für die er 186 Pins benötigt. Die Fertigung in einem mpga-gehäuse ist allen Hammer- Prozessoren gemein. Die neuen Sockel für die Hammer-Familie sind auch technisch durch die höheren Frequenzen erforderlich. AMDs Socket A verkraftet FSB-Taktfrequenzen bis 400 MHz. Beim HyperTransport-Interface des Hammer treten aber Frequenzen von 1600 MHz auf, die ein neues Sockel-Design erfordern. Breite Unterstützung durch Chipsätze Die Frage nach dem besten Chipsatz für den Hammer könnte künftig zur Makulatur werden. Denn große Performance-Unterschiede durch verschiedene Chipsätze sind nicht zu erwarten. Bislang differierten Pentium-4- oder Athlon-Chipsätze überwiegend tecchannel Ballungsraum Süden: Der ALi K8-Chipsatz will sich durch eine mit vielen Features versehene Southbridge hervorheben. durch ihr Speicher-Interface in der Performance. Die klassische Northbridge reduziert sich beim Hammer nun zur simplen Schaltzentrale, da der Memory-Controller im Prozessor sitzt. Viel mehr als den parallelen AGP-Datenstrom auf das serielle Hyper- Transport-Protokoll umzusetzen, gibt es nicht zu tun. Ein I/O-Hub mit den üblichen Schnittstellen ist noch via HyperTransport angebunden. Durch die Flexibilität der HyperTransport-basierenden Hammer-Systeme ist eine AGP-Northbridge aber nicht zwingend erforderlich. Wer AGP-Grafikkarten nicht benötigt, kann an die Hammer- CPU auch direkt einen I/O-Hub anbinden. Dennoch gibt es vom Start weg eine breite Chipsatz-Unterstützung für AMDs 64- Bit-Prozessor. Die erste Ankündigung kam von AMD selbst mit dem AMD Der Chipsatz basiert auf drei verschiedenen und unabhängigen Bausteinen. AGP-8x-Unterstützung bietet der AGP 3.0 Graphics Tunnel mit der Bezeichnung AMD Der PCI-X Tunnel AMD-8131 erlaubt zwei PCI- X-Busse. Die üblichen Schnittstellen wie EIDE, USB oder PCI stellt schließlich der I/O-Hub AMD-8111 bereit. Alle Bausteine kommunizieren untereinander oder mit dem Prozessor via HyperTransport. Von ALi gibt es eine typische Zwei-Chip- Lösung: Die M1687-Northbridge mit AGP 8x sowie eine Southbridge M1563. Verbunden sind beide Bausteine über ein Hyper- Transport-Interface. Als Besonderheit bietet die ALi-Southbridge einen integrierten Controller für Memory Sticks sowie SD- Cards. Eine M1688-Northbridge mit integrierter Trident-Grafik soll folgen. webcode: a

21 SPECIAL / Details zum AMD Hammer tecchannel Roadmap: AMD platziert den Hammer in den Segmenten Mobile, Desktop, Server & Workstation. Der Athlon XP erhält bis Ende 2002 den Barton-Core. Die Grafikchipschmieden ATI und NVI- DIA wollen mit Produkten für den Hammer nicht zurückstehen. Zu ATIs Radeon IGP 380 gibt es bis auf die üblichen Features wie AGP 8x, USB 2.0 und Ultra-ATA/133 bislang kaum Informationen. Bei NVIDIA verhält es sich ähnlich. Neben der obligatorisch veröffentlichten Unterstützung für AMDs neue Prozessoren dringen nur wenige Details über die Crush-K8-Serie nach außen. Voraussichtlich wird es sich bei den Chipsätzen Crush K8 und Crush K8G um Single-Chip-Lösungen handeln. Die G-Version soll eine integrierte GPU auf GeForce4- Basis enthalten. SiS wird mit dem SiS755 und dem SiS760 ins Rennen der Hammer-Chipsätze gehen. Während die 755er Version nur AGP- 8x-Support bietet, kann der SiS760 mit der integrierten Grafik-Engine SiS301B aufwarten. Beide Northbridges kommunizieren über den proprietären MuTIOL-Bus mit der SiS963-Southbridge. Als Besonderheit verfügt diese über eine 1394A-Schnittstelle. VIAs K8-Serie setzt als Interconnect zwischen der North- und Southbridge weiterhin auf den eigenen V-Link-Bus allerdings mit verdoppelter Performance. Als Southbridge fungiert der bereits bekannte VT8235-Baustein. Den K8T400 wird es voraussichtlich zum Hammer-Launch geben. Ein K8M400 mit integrierter Zoetrope-Grafik soll ein Quartal später folgen. Software zieht nach Eine so umfassend angekündigte Hammer- Unterstützung wie von der Hardware gibt es von Seiten der Software noch nicht. Zwar läuft der Hammer mit allen bekannten 32- Bit-Betriebssystemen und -Software und das nach AMDs Aussagen gar schneller als vorhandene x86-prozessoren. Um aber die 64-Bit-Architektur der CPU zu nutzen, bedarf es angepasster Software. AMD gibt für x86-64-kompatible Software eine Erhöhung des Code-Umfangs von unter zehn Prozent an. Diese Angabe bezieht AMD auf die Codegenerierung des SPECint_base2000-Benchmarks. Der erhöhte Speicherbedarf der Software ist dabei hauptsächlich auf die Registerpräfixe und die mit 64 Bit doppelt so großen Pointer zurückzuführen. Die Anpassung von Compilern gestaltet sich nach Aussage von AMD aber sehr einfach. Ein entscheidender Faktor für den Erfolg von AMDs 64-Bit-Prozessor ist die Unterstützung von Microsoft. Und hier hat AMD gute Karten in der Hand. Aktuell arbeitet Microsoft an der Entwicklung entsprechender 64-Bit-Versionen von Windows XP sowie Windows.NET-Server. Ein Release- Datum für die Betriebssysteme gibt es aber noch nicht. Laut Dave Cutler, Senior Distinguished Engineer bei Microsoft, läuft die Hammer-Plattform jedenfalls schon sehr stabil mit den vorhandenen 32-Bit-Versionen von Windows XP und Windows 2000 Server Edition. Für Intels Itanium-Serie bietet Microsoft bereits 64-Bit-Versionen von Windows 2000 Advanced Server, Windows.NET Server sowie Windows XP an. Aus der Linux-Gemeinde wurde bereits von SuSE ein 64-Bit-Betriebssystem angekündigt. Die 64-Bit-Distribution soll mit den ersten Hammer-Systemen verfügbar sein. Red Hat unterstützt den Hammer mit Ankündigung des Linux-Advanced-Server- Betriebssystems. Der offizielle x Linux-Kernel befand sich zum Redaktionsschluss bereits bei der Versionsnummer rc1. Auf dem SuSE 64-Bit-Linux basiert die IBM DB2-Datenbank-Software, die laut IBM erfolgreich auf die 64-Bit- Umgebung portiert wurde. Als weitere 64- Bit-Anwendung gibt es von Zeus Technology bereits einen Webserver für Linux. Auf Unix basiert dagegen das freie NetBSD-Betriebssystem. Hersteller Wasabi Systems entwickelte die 64-Bit-Version auf der Simics- Software Virtuhammer von Virtutech. Das Entwicklungstool simuliert einen PC mit x86-64-cpu und wurde Anfang 2001 vorgestellt. Bei den Compilern für x Software ist GNU-C offiziell angekündigt. Fazit Der größte Vorteil der Hammer-Prozessoren für einen erfolgreichen Start gerade auch im Business-Umfeld ist die Kompatibilität zu vorhandener Software. So gehen Investitionen nicht verloren. Die Migration zu 64-Bit-Applikationen kann langsam und nach Bedarf erfolgen. Die x86-64-architektur läuft in beiden Welten und laut AMD selbst mit 32-Bit- Betriebssystemen schneller als die Konkurrenz. Unsere ersten exklusiven Benchmarks eines ClawHammer-Prototypen mit 800 MHz Taktfrequenz können diese Aussage zumindest nicht entkräften. Die hohe gemessene Speicher-Performance lässt für die ersten Hammer-Systeme zum Jahreswechsel einiges erwarten. Und das Neues nicht komplett neu sein muss, kann AMD ebenfalls zeigen. Der Core des Hammer unterscheidet sich von den Athlon-Prozessoren nur in Feinheiten abgesehen vom integrierten Memory-Controller und dem HyperTransport-Interface. AMD hat bei der x86-64-architektur an entscheidenden Stellen gefeilt, um die Performance zu steigern und den Weg für höhere Taktfrequenzen zu ebnen. Von einer radikal neuen Architektur wie Intels NetBurst beim Pentium 4 hat AMD abgesehen. Intel hatte dann auch mit Erklärungsnöten für die anfangs schwache Performance zu kämpfen. Die massive Unterstützung seitens der Hardware-Hersteller sollte den Hammer- Prozessoren beim Start helfen. Und mit der x86-64-architektur folgt AMD erstmals nicht der Intel-Linie im PC-Bereich wird ein spannendes Prozessorjahr. Auch weil Intel zur Jahresmitte den Pentium-4- Nachfolger Prescott ins Rennen schickt. Vielleicht mit der geheimnisumwitterten 64-Bit-Technologie Yamhill? Sie wird als Intels Alternative zur 64-Bit-Architektur der Itanium-CPUs gehandelt. (cvi) Weitere Links zum Thema Webcode Athlon XP, Pentium 4, Duron, Celeron a902 HyperTransport im Detail So funktioniert ein Prozessor tecchannel Benchmark Suite Pro a1000 a375 a926 22

22 64-Bit-Computing / SPECIAL 64 Bit viel hilft viel? Mit dem Wechsel zu 64-Bit-Prozessoren beginnt eine Revolution im IT-Zeitalter. Dabei geht es primär um eine Erweiterung des Adressraums auf 2048 Exabyte doch wer braucht so viel Speicher? Von Nico Ernst Wie viel Hauptspeicher ein Prozessor verwalten kann, ist durch die Breite seines Adressbusses festgelegt. Seit der Vorstellung des i386dx von Intel hat sich diesbezüglich bei x86-prozessoren nichts mehr getan. Bereits der erste 32-Bit-Prozessor konnte maximal 4 GByte RAM ansprechen. Diese Speichermenge lässt sich schon heute ohne Spezialkonstruktionen mit 1-GByte- DIMMs in Ein-Prozessor-Systemen für den Desktop unterbringen. Der i386dx kam im Oktober 1985 auf den Markt und damit ist die 4-GByte- Grenze in der IT-Landschaft eine historische Limitierung. Seitdem hat sich der von Intel-Mitbegründer Gordon formulierten Moores Law folgend die Transistorzahl der CPUs alle 18 bis 24 Monate verdoppelt. Executive Summary / 64-Bit-Computing Die Taktfrequenzen haben sich von damals 16 MHz auf heute lieferbare 2,8 GHz um den Faktor 175 gesteigert. Die 4-GByte-Grenze blieb aber immer bestehen. Wie gefährlich es ist, solche Limits immer vor sich herzuschieben, zeigt die Adressierung von IDE-Festplatten. Wann immer die Kapazitäten die nächste 2er Potenz erreichten, also etwa 4, 8, 16 der 32 GByte, fand sich mindestens ein BIOS oder Betriebssystem, das damit nicht zurechtkam. Bei der Speichergrenze hat Intel mit einigen Behelfslösungen immerhin vorgesorgt. Schon der Pentium Pro bot im November 1995 einen Adressbus von 36 Bit Breite und konnte damit maximal 64 GByte ansprechen. Schon im Mai 1997 kam jedoch mit der Physical Address Extension (PAE) Erst der Wechsel zu einer vollständigen 64-Bit-Architektur steigert den Adressraum auf 2048 Exabyte. Derartige Speichermengen sind heutzutage noch ein Fall für Telekommunikations- und Datenbankserver, werden sich jedoch in spätestens fünf Jahren auch am Desktop finden. Die 64 Bit der ersten Generation von Desktop-Prozessoren sind derzeit eher noch Marketing-Gag. Am Desktop profitieren bereits Anwendungen von den 128 Bit breiten Registern der SIMD-Einheiten, nicht allerdings vom größeren Adressraum. des Pentium II ein anderes Konzept auf den Markt, bei dem sich der Speicher jenseits von 4 GByte über doppelt belegte Register einblenden ließ. Die Umschaltung der Register kostet allerdings Zeit und muss zudem vom Betriebssystem unterstützt werden. Windows kann das seit der Ausgabe 2000.Die Registerumschaltung ist ein Teil des Konzepts, mit dem AMD jetzt den Hammer - CPUs die 64 Bit beibringen will. Dabei gibt es aber von Haus aus verbreiterte Register und mehrere Betriebsmodi. Nähere Informationen dazu finden sich in dem Beitrag Details zum AMD Hammer. AMDs unter dem Codenamen Clawhammer entwickelter Prozessor ist der erste Versuch, 64-Bit-Computing auf den Desktop-PC zu bringen. Bisher gehören 64 Bit noch in den Bereich der Server und Number Cruncher, also spezialisierte Systeme für einen einzigen Einsatzzweck. Datenbanken und Telcos Die Digitalisierung der Kommunikation und der Erfolg des Internet auch für private Einsatzbereiche stellt die IT-Branche vor neue Herausforderungen. Die Telefonnetze der Welt werden derzeit digitalisiert, und in Schwellenländern werden neue Infrastrukturen gleich komplett digital aufgebaut. Die 23

23 SPECIAL / 64-Bit-Computing Server mit Itanium 2: In jedem Schrank stecken 16 Prozessoren, pro Modul sind vier Itaniums untergebracht. Das Kraftwerk stellt man am besten gleich daneben. Integration des IP-Protokolls erfordert dafür leistungsfähige zentrale Server mit großen Speichern. Die sind bei klassischen Internet- Anwendungen längst Standard. Wer eine Anfrage bei einer Suchmaschine wie Google startet, benutzt damit letztendlich auch nichts anderes als eine riesige Datenbank, die zu Redaktionsschluss über 2 Milliarden Webseiten indiziert hatte. Schon die erste erfolgreiche Suchmaschine, Altavista, wurde 1995 als Anwendungsbeispiel von Digital für den inzwischen von Intel gekauften 64-Bit-Prozessor Alpha vorgestellt. Die Maschinen wurden dafür schon mit der maximalen Speichermenge ausgerüstet, was damals noch eher ein thermisches Problem war. Gerade bei Datenbanken wie Google kommt es darauf an, in Sekundenbruchteilen aus Milliarden von Dokumenten die zur Anfrage passenden herauszusuchen. Würde man die Daten von Festplatten-Arrays lesen, könnte das Minuten dauern so viel Geduld hat im Web niemand. Daher gilt es, zumindest die am meisten abgefragten Daten ständig im Speicher zu halten. Geht man von einem Umfang einer einzelnen Webseite von rund 80 KByte aus, passen in den Speicher einer 4-GByte- Maschine idealerweise Seiten und damit gut ein Vierzigstel Promill des gesamten Index. Google setzt freilich Unter-Indizes und Rankings der Suchbegriffe ein, benötigt für die Speicherung des gesamten Index aber dennoch einen Linux-Cluster aus über Servern. Derartige Rechenzentren sind nur noch schwer zu handhaben. Aus diesem Grund setzen zahlreiche Unternehmen, die große Datenmengen zu verarbeiten haben, wieder vermehrt auf die Big Irons Großrechner, die lediglich für eine Aufgabe konzipiert wurden. Info / Aktuelle 64-Bit-CPUs Eine Nummer kleiner SAP/R3 Eine Anwendung zieht sich wie keine zweite durch sämtliche Großunternehmen und den Mittelstand: das integrierte Warenwirtschaftssystem R3 der Waldorfer Software-Schmiede SAP. Mit R3 werden eine Vielzahl von Daten aus Einkauf, Verkauf, Logistik und Lager in einem System gebündelt das erhöht das zentrale Datenaufkommen. Gleichzeitig steht die Maschine oder der Verbund, auf derartige Lösungen laufen unter Dauerbeschuss. Ein Beispiel ist der deutsche Hardware-Versender Alternate, der über eine Ampel auf der Webseite bekannt gibt, ob ein bestimmtes Produkt lieferbar ist. Diese Grafik ist an ein Warenwirtschaftssystem gekoppelt und springt auf Grün, sobald eine Lieferung beim Wareneingang aufgenommen wurde. Bei Alternate läuft die Datenbank noch auf 32-Bit-Prozessoren und heißt nicht R3 ein anderes deutsches Unternehmen macht das jedoch vor. Bei VTG-Lehnkering, der Logistik-Tochter der Hapag-Lloyd, ist ein Proliant-Server von Compaq mit Intels Itanium im Einsatz. Darauf laufen mysap und Microsofts SQL Server in 64-Bit-Versionen. Bei beiden Unternehmen kommt es darauf an, Daten schnell zur Verfügung zu stellen: Alternate ist auf einen hohen Durchsatz an Waren angewiesen, und VTG- Lehnkering muss Kapazitäten der Transportflotte und Lagerstätten jederzeit kontrollieren können. 64 Bit für den Desktop? Gilt die 64-Bit-Sache bei Großrechnern als ausgemacht, so scheiden sich beim Einsatz von 64-Bit-CPUs in Standard-PCs die Geister. Als der Itanium 1999 erstmals vorgestellt wurde, meinte Intel-Vize Pat Gelsinger im CPU Hersteller Typische Anwendung Markteinführung Itanium 2 Intel Datenbanken Juli 02 R14000A SGI Server, Grafik Feb. 02 Power4 IBM Datenbanken Okt. 01 UltraSPARC IIICu Sun Server, Grafik Juni 02 PA-8700 HP Datenbanken Sep. 01 Hammer AMD noch offen Dez. 02 Alpha 21264C Compaq Datenbanken Mai 02 Anmerkungen: Aufgeführt sind aktuell lieferbare oder kurz vor der Markteinführung stehende Prozessoren, nicht die Architekturen. HPs PA-RISC und das Alpha-Design werden in den kommenden Jahren in die Itanium-Entwicklung einfließen. Selbst SGI setzt inzwischen auch Itaniums ein. 24

24 64-Bit-Computing / SPECIAL Gespräch mit tecchannel noch, dass 64 Bit für den Desktop noch nicht auf Intels Roadmaps auftauchen würden. Diese Planungen erstrecken sich in der Regel auf die nächsten fünf Jahre, doch schon 2001 mehrten sich die Gerüchte, Intel habe mit dem Geheimprojekt Yamhill doch eine 64-Bit-Erweiterung für Desktop- CPUs in der Hinterhand. AMD hat sich mit den Hammer-CPUs ja schon klar zu 64 Bit bekannt, mit der Single-Prozessor-Variante Clawhammer auch für den Desktop. Zum Projekt Yamhill ist von Intel keine Stellungnahme gleich welcher Art zu erhalten. Intel-Vize Mike Fister (intern scherzhaft Mr. Itanium genannt) versprach jedoch im tecchannel-interview (webcode: a943) eine Überraschung für den im ersten Quartal erscheinenden neuen 32-Bit- Prozessor Prescott. Selbst auf der Herbstausgabe des Intel Developer Forums (siehe Seite 6) wollte Intel zu dieser Überraschung noch nichts verraten. Ganz gleich, wie diese aussehen wird: Allmählich wird es für die CPU-Hersteller Zeit, auch über einen größeren Adressraum für Desktop-Prozessoren nachzudenken. Die durchschnittliche Speicherausstattung eines PC verdoppelt sich nämlich jedes Jahr. Sind heute noch 256 MByte üblich, so können das in vier Jahren schon 4 GByte sein und damit ist dann die Grenze erreicht. Knackpunkt Software Diese Grenze gilt es auf Seiten der Hardware zu überwinden, noch bevor die Anwender nach mehr Speicher verlangen. Denn traditionell hinkt die Software-Entwicklung und Itanium 2: Dieser Prototyp des neuen Modells Madison besteht aus einer halben Milliarde Transistoren. Mehr als die Hälfte davon ist Cache. vor allem die der Betriebssysteme dem Fortschritt der Hardware hinterher. Intels Schritt mit dem Explicit Parallel Computing (EPIC) (webcode: a167) ist dabei radikal: Für optimalen Itanium-Code muss der Compiler einen Großteil der Optimierungsarbeit übernehmen. Und mit 465 Quadratmillimetern ist das Die des Itanium 2 so groß, dass auch eine abgespeckte Version für den Massenmarkt zu teuer werden dürfte. Der Umstieg auf neue Architekturen dauert selbst bei moderaten Änderungen wie neuen Befehlssätzen (MMX, 3DNow!, SSE, SSE2) auf Software-Seite ein bis zwei Jahre und bei 64-Bit-Computing wohl noch viel länger. Nach Aussage von Intel- Vize Mike Fister hat man in den vergangenen zwei Jahren nur rund 100 Anwendungen auf die IA-64 portiert. Das liegt bei solchen als mission critical angesehenen Programmen wie SAP/R3 vor allem an den langen Testzeiträumen, die zum Teil direkt beim Kunden stattfinden. In der Praxis treten viel mehr Probleme auf als im Labor. Andererseits halten sich die grundlegenden Architekturen wie die des P6 (Pentium bis Pentium III) schon bei Desktop-Prozessoren mindestens fünf Jahre. Gefragt sind also sinnvolle Erweiterungen der 32-Bit-Architekturen. Bis die Software mitzieht und mehr als 4 GByte erfordert, sind die 64 Bit in einer Desktop-CPU nichts anderes als Taktfrequenzen und Modellnummern: eine neue große Zahl, die sich gut fürs Marketing eignet. So steckte schon 1995 in der Spielekonsole Nintendo 64 eine 32-Bit-CPU, die lediglich einige wenige Datentypen mit 64 Bit Breite verarbeiten konnte. Mit diesem Ansatz ließen sich Athlon XP und Pentium 4 mit ihren 128 Bit breiten SIMD-Registern heute schon als 128-Bit-CPUs verkaufen. (nie) Clawhammer: AMDs 64-Bitter für Desktop-Rechner. Er kommt erst Anfang 2003 auf den Markt, danach folgt die Servervariante Opteron. Weitere Links zum Thema Itanium Insides: Mike Fister im Interview Prozessortrends 2002 Microprocessor Forum 1999 Webcode a943 a783 a167 webcode: a936 25

25 SPECIAL / Test: CPUs Performance Rating Intel erhöht kontinuierlich die Taktfrequenz des Pentium 4. Unser Test zeigt, ob AMD mithalten kann, nachdem der Athlon XP mit dem Thoroughbred-Core langsam wieder in Schwung kommt. Außerdem muss sich der neue Celeron beweisen. Von Christian Vilsbeck Noch ist AMDs neuer Hoffnungsträger Hammer nicht auf dem Markt. Der Gegner von Intels Pentium 4 heißt noch viele Monate Athlon XP. Letzterer wird es nicht leicht haben, denn Intel macht sein Vorhaben wahr: Bis zum Jahresende wird der Pentium 4 mit 3 GHz arbeiten 2,8 GHz sind schon jetzt erreicht. Bei einer so hohen Taktfrequenz kommt AMD immer mehr in Zugzwang Model Number hin oder her. Denn selbst bei der künstlichen Taktfrequenz kann der Athlon XP nicht Schritt halten. Das an die Model Number angehängte Plus deklariert aber, dass die CPU je nach Anwendung schneller sein kann als ein gleich getakteter Pentium 4. Oft interessanter als das Rennen um die Spitze gestaltet sich das Mittelfeld, denn Executive Summary / Test: CPUs diese CPUs sind zu vernünftigen Preisen erhältlich. Bei den Spitzenmodellen lassen sich die Hersteller das bisschen Mehr an Leistung durch übertriebene Aufpreise bezahlen. Aber auch bei den günstigen Prozessoren gilt es, mit Bedacht zu wählen, denn nicht jede CPU ist ihr Geld wert. Wir haben die aktuellen Pentium-4-CPUs mit verschiedenen Speichervarianten getestet und dem Athlon XP gegenübergestellt. Die neuen Celerons für den Socket 478 sowie AMDs Duron finden Sie ebenfalls im Leistungsvergleich. Wunschfrequenz Die Taktfrequenz eines Prozessors korreliert nicht zwingend mit der gebotenen Performance. Diese Tatsache hat sich in vielen Intel stellt mit dem Pentium 4 den schnellsten PC-Prozessor. Neben der hohen Taktfrequenz punktet die CPU besonders durch die SSE2-Erweiterung, denn die Software-Industrie schwenkt zunehmend auf Intels Multimedia-Befehlssatz. AMD treibt den Athlon XP dennoch zu erstaunlicher Performance. Bei konservativen Programmen kann die CPU den Pentium 4 trotz unterlegenem Model-Number-Takt oft überholen. Vorteile genießen AMD-Käufer auch beim Preis. Die Celerons mit Willamette-Core sowie AMDs Duron empfehlen wir trotz niedriger Preise nicht. tecchannel-tests bestätigt. So war der Athlon trotz unterlegener Taktfrequenz lange Zeit schneller als der Pentium 4. Da für viele Käufer die Megahertz-Zahl nach wie vor entscheidend ist, musste sich AMD etwas einfallen lassen. So wurde im September 2001 der Athlon XP mit einer Model Number eingeführt ein fast vergessenes Relikt aus Zeiten des K5 und Cyrix III. Damals nannte sich das Äquivalent Performance-Rating, und wie heute beim Athlon XP und Pentium 4 war der K5 bei gleicher Taktfrequenz schneller als Intels Pentium. Die gewählten Benchmark-Programme für das Performance-Rating waren allerdings einseitig zu Ungunsten von Intel ausgewählt und sehr Integer-lastig. Dies brachte das Performance-Rating schnell in Verruf, so dass es schließlich verschwand. Mit der Model Number ist das alles anders und viel besser verspricht AMD. Das aktuelle Statement von AMD zur Model Number lautet:...sie spiegelt die Leistungsfähigkeit des Athlon XP bei allen wichtigen Benchmarks wider.... Allerdings hatte der Athlon XP bei vergleichbarer Taktfrequenz/ Model Number in unserem Testparcours keine Chance gegen den Pentium 4, wenn eine Anwendung den Multimedia-Befehlssatz SSE2 nutzt. 26

26 Test: CPUs / SPECIAL Info Prozessor Athlon XP Athlon XP Athlon XP Athlon XP Athlon XP Athlon XP Athlon XP / AMD Model Number Taktfrequenz 1533 MHz 1600 MHz 1667 MHz 1733 MHz 1800 MHz 2000 MHz 2133 MHz Ein Athlon XP arbeitet keineswegs mit 2400 MHz, sondern nur mit 2000 MHz. Immerhin, erstmals hat AMD eine Taktfrequenz von 2 GHz erreicht und mit dem Athlon sogar überschritten. In der Tabelle sehen Sie die reale Taktfrequenz und die zugehörige Model Number der Athlon-XP-Serie. Ab der Version hat AMD die Model Number etwas nach unten korrigiert. Nach der bisherigen Rechenweise von 66 MHz pro 100 Model-Number-Punkten hätte dem Athlon XP ein realer Takt von 1933 MHz gereicht. Er arbeitet aber mit 2000 MHz. Details zum Athlon XP AMDs Athlon XP basiert ab der Version auf dem Thoroughbred-Core, niedriger getaktete XP-Modelle verwenden noch den Palomino-Core. Die Architektur der beiden Kerne ist identisch, nur wurde beim Thoroughbred die Strukturbreite von 0,18 auf 0,13 µm reduziert. Der Athlon XP wartet mit dem 3D-Now!- Professional-Befehlssatz auf. Das angehängte Professional offeriert 52 zusätzliche Multimedia-Befehle, die dem kompletten Info / Umfrage: Prozessoren Welche CPU nutzen Sie privat? AMD dominiert: In den Privatrechnern der tecchannel-leser arbeiten überwiegend Athlon-Prozessoren. tecchannel SSE-Befehlssatz des Pentium III entsprechen. Ein verbessertes Cache-Management soll gegenüber dem Vorgänger Thunderbird (bis Athlon 1400) für zusätzliche Performance sorgen. Unverändert blieben je 64 KByte L1-Cache für Daten und Befehle sowie ein 256 KByte großer L2-Cache. Den FSB-Takt der Athlon-XP-Prozessoren hat AMD auf 266 MHz festgelegt. Parallel zum Athlon XP führt AMD die Server-/Workstation-Prozessoren der Athlon- MP-Serie. Die CPUs verwenden die gleiche Core-Architektur, sind aber für Dualprocessing ausgelegt. Der Athlon MP besitzt ebenfalls die Model Number. Dem Socket A sind die Athlon-Varianten Thunderbird, Palomino und Thoroughbred treu geblieben. Die Core-Spannungen sind durch die Verkleinerung der Strukturen aber gesunken. Während die alten Thunderbirds und die Palominos noch 1,75 V verlangen, benötigen Thoroughbred-basierende Athlons je nach Takt 1,5 bis 1,65 V. Details zum Pentium 4 Ab 2000 MHz erhält man den Pentium 4 mit Northwood-Core. Damit es nicht zu Verwechslungen mit dem älteren Pentium 4 mit Willamette-Core kommt, trägt der 2- GHz-Northwood mit 400 MHz FSB den Zusatz A offiziell hört er also auf den Namen Pentium A. Beim Pentium 4 ab 2200 MHz entfällt das A wieder, denn den Willamette-Pentium-4 gibt es für diese Frequenzen nicht mehr. Der FSB-Takt von 533 MHz macht eine weitere Unterscheidung bei den Northwood- Prozessoren mit gleichem Core-Takt erforderlich. Hier hängt Intel einfach ein B an die Taktfrequenz an. Beispiel: Pentium B für die Variante mit 533 MHz und Pentium bei 400 MHz FSB-Takt. Technisch bieten die Pentium-4-CPUs mit 533 MHz FSB-Taktfrequenz nichts Neues. Die wichtigste Änderung beim Northwood gegenüber dem Willamette-Core ist der auf 512 KByte verdoppelte L2-Cache. Durch die Fertigung in 0,13-µm-Technologie verträgt das Design höhere Taktfrequenzen, und die CPU benötigt weniger Strom. Detaillierte Informationen über die NetBurst getaufte Architektur des Pentium 4 finden Sie hier (webcode: a606). Intel produziert die Pentium-4-Prozessoren für zwei Sockeltypen. Im neueren Socket 478 gibt es die CPU sowohl mit dem Northwood- als auch mit dem älteren Willamette-Core. Für den ursprünglichen Info SYSmark 2002, Office Productivity Pentium PC1066 Pentium PC1066 Pentium PC1066 Athlon XP PC333 Athlon XP PC333 Pentium PC800 Athlon XP PC266 Athlon XP PC266 Pentium A PC266 Celeron 1900* PC266 Duron 1300 PC266 tecchannel / System-Performance langsamer schneller Punkte AMD in Bedrängnis: Bei den Integer-lastigen Office- Programmen kann der Athlon XP seine Model Number nur rechtfertigen, wenn der Pentium 4 nicht auf RDRAM zurückgreift. Info SYSmark 2002, Internet Content Creation Pentium PC1066 Pentium PC1066 Pentium PC1066 Pentium PC800 Pentium A PC266 Athlon XP PC333 Athlon XP PC333 Athlon XP PC266 Athlon XP PC266 Celeron 1900* PC266 Duron 1300 PC266 tecchannel / System-Performance langsamer schneller Punkte Intel enteilt: Der Athlon XP fällt weit zurück, da Bapco in diesem Test überwiegend Software mit SSE2-Optimierung verwendet. webcode: a902 27

27 SPECIAL / Test: CPUs Info Lightwave 3D 7.5, Tracer-Radiosity Pentium PC1066 Pentium PC1066 Pentium PC1066 Athlon XP PC333 Pentium PC800 Pentium A PC266 Athlon XP PC333 Athlon XP PC266 Athlon XP PC266 Duron 1300 PC266 Celeron 1900* PC266 tecchannel / Raytracing-Performance schneller langsamer Sekunden Erster und letzter Platz: Der Pentium 4 profitiert von der SSE2-Optimierung des Raytracing-Programms. Zwar nutzt auch der Celeron SSE2, sein kleiner Cache wirkt aber bremsend. Info Cinebench 2000 Athlon XP PC333 Pentium PC1066 Pentium PC1066 Athlon XP PC333 Pentium PC1066 Athlon XP PC266 Athlon XP PC266 Pentium PC800 Pentium A PC266 Duron 1300 PC266 Celeron 1900* PC266 tecchannel / Raytracing-Performance 25,53 25,15 24,23 24,11 23,19 22,14 20,15 17,65 29,49 28,54 13, langsamer schneller Punkte Blatt gewendet: Mit dem Athlon XP rechnet es sich am schnellsten. Cinebench beansprucht besonders die FPU, nutzt aber kein SSE2. Pentium-4-Socket 423 gibt es die Willamette-basierenden Versionen. Das deutlich geschrumpfte Socket-478-Gehäuse nennt Intel FC-PGA2, den Socket 478 dagegen offiziell mpga478b oder µpga478b. Die Sockeltypen 423 und 478 sind elektrisch und mechanisch inkompatibel. Gnadenfrist für Duron Nach Aussage des ehemaligen CEO Jerry Sanders will AMD seine Duron-Prozessoren noch in diesem Jahr einstellen. Bis dahin sei der Athlon XP so günstig, dass die bisherige Lowcost-CPU überflüssig sei. AMD Deutschland widerspricht diesem Statement. Vielmehr soll der Duron auch 2003 noch im Angebot bleiben. Derzeit gibt es ihn mit den Taktfrequenzen 1,2 und 1,3 GHz. Allerdings ist es fraglich, ob es noch weitere Frequenzsteigerungen geben wird. Eine Model Number wie beim Athlon XP sieht AMD nicht mehr vor. Die aktuellen Duron-Prozessoren basieren auf dem Palomino-Core. Entsprechend können die Einsteiger-CPUs durch 3DNow! Professional mit SSE-Unterstützung wie beim Ahtlon XP aufwarten. Die L1-Caches für Daten und Befehle fassen wie beim Athlon je 64 KByte. Als Lowcost-Vertreter besitzt der Duron aber nur einen 64 KByte großen L2-Cache ein Viertel des Athlon. Wie gewohnt setzt der Duron auf den Socket-A-Steckplatz. Die Core-Spannung der 1,2- und 1,3-GHz-Prozessoren beträgt 1,75 V. Dies entspricht dem Wert der Palomino-basierenden Athlon-XP-Prozessoren. Unterschiede gibt es allerdings beim FSB: Die Durons arbeiten nur mit einer Taktfrequenz von 200 MHz. Celeron lebt Das Konzept des Celeron für den Socket 478 ist alt: Ein nicht mehr ganz taufrisches Design wird um die Hälfte seines L2-Cache beraubt und mit einem geringen Preis auf den Markt gebracht. Intel hat dieses Verfahren bereits beim Pentium II und III angewandt. Zum Zeitpunkt der Markteinführung war der Willamette-Core schon 18 Monate alt. Technisch hat der Willamette-Celeron also nichts zu bieten, was nicht schon beim ersten Pentium 4 realisiert war. Selbst das Gehäuse wurde inklusive der passiven Bauteile auf der Unterseite 1:1 übernommen. Der auf 128 KByte halbierte L2-Cache bleibt die einzige Innovation der Lowcost-CPU. Intel bietet den Celeron für den Socket 478 mit 1,7, 1,8 und 1,9* GHz Taktfrequenz an. Info / Umfrage: Prozessoren Welche CPU nutzen Sie beruflich? tecchannel Businesswahl: 27 Prozent unserer Leser nutzen Athlons in ihren Arbeitsrechnern. Viele arbeiten noch mit Socket-370-CPUs. Vorteil SSE2 AMDs Hammer-Prozessoren werden es haben, der Athlon XP hat es nicht. Die Rede ist von Intels SSE2-Befehlssatz, der im Pentium 4 integriert ist. Spätestens 2003 mit dem Launch des Hammer ist SSE2 Standard. Unterstützt die Software den Pentium 4 per SSE2 optimal, ist Intels CPU für Performance-Käufer derzeit die bessere Wahl. Besonders Software für Audio-, Video- und Bildbearbeitung setzt auf SSE2. Der Athlon XP kann hier seine Model Number gegenüber dem Pentium 4 nicht rechtfertigen. Bei überwiegend Integer-basierenden Programmen, wie der Office Productivity aus der Bapco SYSmark2002-Suite, hält der Athlon XP bei gleicher Taktfrequenz aber gut mit und ist oft schneller. Dass SSE2 alleine aber kein Garant für eine hohe Performance ist, beweist Intels Celeron für den Socket 478. Dessen kastrierter Willamette-Core macht mit seinem kleinen Cache das Leistungsplus der SSE2- Einheit wieder zunichte. Ein Athlon XP kann einem Celeron 1900* selbst bei SSE2-optimierten Programmen ohne Mühe enteilen. Gegen einen Pentium hat er jedoch keine Chance. Teamplayer Die Performance einer CPU hängt wesentlich von der verwendeten Plattform ab. Allen voran macht sich der Speicher bemerkbar. Ein Pentium 4 mit 533 MHz FSB erlaubt 3,98 GByte/s Datentransfer über den Prozessorbus. PC266-DDR-SDRAM mit 1,98 GByte/s Bandbreite reizt den FSB des Pentium 4 nicht aus. Stellt man dem Prozessor dagegen PC1066-RDRAM mit einer Spei- 28

28 Test: CPUs / SPECIAL cherbandbreite von 3,98 GByte/s (zwei Kanäle) zur Seite, so ist das System gut abgestimmt. Mit diesem Speicher rechnet der Pentium 4 im Vergleich zu PC266 durchschnittlich acht Prozent schneller. Besonders speicherintensive Fließkommaberechnungen erledigt der Pentium 4 sogar um bis zu 25 Prozent flinker. Die Werte basieren auf dem von der Industrie anerkannten Analysetool SPEC CPU2000. Auf typische Praxisanwendungen umgemünzt ergeben sich etwas niedrigere Prozentwerte. AMDs Athlon XP erlaubt mit seinem 266-MHz-FSB maximal 1,98 GByte/s Bandbreite. PC266-Speicher reizt bei gleichem Durchsatzmaximum den Prozessorbus aus theoretisch. In der Praxis beschleunigt schnellerer Speicher wie PC333 den Athlon XP trotzdem etwas. Die Datenpuffer in der Northbridge sind schneller gefüllt, eventuelle Waitstates reduzieren sich. AMD ist sich dieses Dilemmas bewusst und erhöht bei künftigen Athlon-XP-Versionen den FSB-Takt auf 333 MHz. Bereits in der Revision 8 des Athlon-XP-Datenblattes vom August 2002 ist der höhere Takt vermerkt. Über die beiden FSB_Sense[1:0]- Pins lässt er sich einstellen. Die Möglichkeit mancher Overclocker-Mainboards, den FSB schon jetzt mit 166 MHz (333 MHz per DDR) zu betreiben, macht aber wenig Sinn: Durch den festen Multiplier der Ahtlon- XP-CPUs mit 133-MHz-FSB würden diese extrem übertaktet arbeiten. Der Athlon XP liefe bei einem FSB-Takt von 166 MHz mit 2666 statt mit 2133 MHz. Neben dem Speichertyp beeinflusst auch der Chipsatz die Performance einer CPU. Dieser zeichnet für ein optimales Handling des Datenverkehrs zwischen Prozessor und Speicher verantwortlich. Bei gleichem Speichertyp beeinflussen Chipsätze verschiedener Hersteller die Rechenleistung der CPU im Durchschnitt um zirka zwei Prozent. Geplante Nachfolger Bevor AMD den Hammer Anfang 2003 an den Start schickt, erhält der Athlon XP eine letzte Core-Auffrischung. Zum Jahreswechsel gibt es den Athlon XP mit Barton- Core. Die wesentliche Änderung ist der auf 512 KByte verdoppelte L2-Cache. Den aktuellen Athlon XP wird AMD laut Insider- Informationen noch im Oktober mit 333- MHz-FSB anbieten. Während man beim Pentium 4 bislang nur von einer Taktfrequenzsteigerung auf 3 GHz bis Ende 2002 ausging, wurde Intel auf dem Herbst-IDF konkreter: Der 3-GHz- Pentium 4 wird mit Hyper-Threading (webcode: a986) ausgestattet. Bislang ließ Intel verlauten, Hyper-Threading werde erst im Pentium-4-Nachfolger Prescott Mitte 2003 in den Desktop-CPUs debütieren. Aber auch für diese neue CPU scheinen noch Überraschungen möglich. Die Rede ist von einer 64-Bit-Erweiterung, ähnlich AMDs x86-64-architektur. Fazit Unabhängig davon, wer nun mit welchen Benchmarks vorne liegt, zeigt sich deutlich, welche positiven Auswirkungen der Wettbewerb zwischen Intel und AMD für die Kunden hat. Fast bei jeder Vorstellung neuer Topmodelle purzeln die Preise der restlichen CPUs. Intel senkte beispielsweise mit der Einführung des Pentium 4 2,8 GHz den Preis für die 2,53er Version um 62 Prozent. Der Pentium 4 besitzt derzeit die schnellste PC-Plattform mit PC1066-RDRAM. Absurd daran ist, dass Intel diesen Speichertyp offiziell nicht unterstützt. Allerdings schließt der Athlon XP durch das neu angepasste Model Number Rating sichtbar auf und ist bei einigen Tests sogar schneller. Bei gleichem Speicher und gleicher Taktfrequenz darf man den Athlon XP grundsätzlich als Sieger betrachten. In der Performance kann der Athlon XP aber nur gegenhalten, solange die Software kein SSE2 nutzt. Am Beispiel des Celeron auf Willamette-Basis zeigt Intel jedoch auch, wie man den Vorteil von SSE2 verspielt. Der kleine Cache des Celeron wirkt sehr leistungshemmend. Auch die Durons fallen inzwischen zurück. Die Einstiegsmodelle der Athlon-XP-Serie bieten bei geringem Aufpreis deutlich mehr Performance. (cvi) * Kurz nach Redaktionsschluss teilte Intel mit, dass der Celeron 1900 wahrscheinlich nicht erscheint. Stattdessen kommt eine 2-GHz-Version. Weitere Links zum Thema Test: Athlon XP, Pentium 4, Duron, Celeron Test: PC1066-RDRAM vs. DDR400-SDRAM Hyper-Threading-Benchmarks Hyper-Threading im Detail So funktioniert ein Prozessor tecchannel Benchmark Suite Pro Webcode a902 a985 a986 a840 a375 a926 Info / Direct3D-Performance 3Mark2001 SE Pro 1024x768x32 Pentium PC1066 Pentium PC1066 Athlon XP PC333 Pentium PC1066 Athlon XP PC333 Athlon XP PC266 Pentium PC800 Athlon XP PC266 Pentium A PC266 Duron 1300 PC266 Celeron 1900* PC266 tecchannel langsamer schneller Punkte Ausgeglichen: Bei diesem Direct3D-Benchmark entspricht die Model Number des Athlon XP den Testergebnissen. Der 3DMark unterstützt die CPU- Erweiterungen 3DNow!, MMX, SSE und SSE2. Info / Plattform-Performance SPEC CPU2000 Integer, P PC1066 FSB533 Intel i850e PC400 FSB533 SiS648 PC800 FSB533 Intel i850e PC333 FSB533 VIA P4X333 PC333 FSB SiS648 PC266 FSB Intel i845g PC333 FSB VIA P4X333 PC800 FSB Intel i850e PC266 FSB VIA P4x266A PC333 FSB SiS645DX PC266 FSB Intel i845g langsamer schneller tecchannel Punkte Doping: Der richtige Speicher verhilft dem Prozessor zu einem deutlichen Leistungsplus. Pentium-4-CPUs mit 533-MHz-FSB profitieren optimal von PC1066. webcode: a902 29

29 SPECIAL / Test: CPUs Info / Testwerte CPUs Prozessor A XP A XP A XP A XP A XP A XP D 1300 C 1900 P P4 2000A Speicher PC333 PC266 PC266 PC266 PC333 PC333 PC266 PC266 PC266 PC266 System-Performance SYSmark2002 gesamt (Punkte) SYSmark2002 Office (Punkte) SYSmark2002 Internet (Punkte) OpenGL-Performance SPECviewperf DRV-07 (fps) 28,6 26,4 26,7 27,0 30,0 30,3 20,5 20,5 21,1 27,0 SPECviewperf DX-06 (fps) 44,8 42,3 42,6 42,4 47,1 47,8 37,0 27,6 28,0 28,3 GLmark 2001 (fps) 90,1 90,8 91,2 90,4 92,3 95,9 75,2 74,7 80,3 85,0 Quake III High Quality (fps) Direct3D-Performance 3DMark2001 SE (Punkte) DMark2001 SE Car Chase (fps) 52,4 54,1 56,4 57,6 60,4 67,9 36,5 30,6 40,4 46,1 3DMark2001 SE Lobby (fps) 67,5 66,4 67,2 68,2 74,4 77,1 47,3 47,0 54,2 59,7 A/V-Encoding DivX 5.01 MPEG-Encoding (sec) Magix mp3 maker (sec) GoGo 3.10 MP3-Encoding (sec) 44,7 39,4 37,9 36,4 36,4 30,8 55,5 40,3 37,5 34,9 Raytracing Lightwave 3D Tracer-Rad. (sec) Cinebench2000 Raytrac. (Punkte) 20,6 23,2 24,1 25,0 25,2 29,5 17,7 13,9 19,8 20,2 Prozessor P4 2000A P P P P P P P P P Speicher PC800 PC266 PC800 PC266 PC800 PC800 PC1066 PC800 PC1066 PC1066 System-Performance SYSmark2002 Gesamt (Punkte) SYSmark2002 Office (Punkte) SYSmark2002 Internet (Punkte) OpenGL-Performance SPECviewperf DRV-07 (fps) 34,0 27,8 34,8 28,5 35,3 35,9 41,9 36,2 42,1 43,2 SPECviewperf DX-06 (fps) 29,6 29,2 29,8 28,9 30,4 34,6 35,9 35,1 36,6 38,9 GLmark 2001 (fps) 87,5 86,2 88,9 87,9 90,6 91,1 92,5 91,7 93,3 94,2 Quake III High Quality (fps) Direct3D-Performance 3DMark2001 SE (Punkte) DMark2001 SE Car Chase (fps) 49,4 51,2 53,8 54,8 57,3 59,2 62,4 62,2 65,4 72,1 3DMark2001 SE Lobby (fps) 64,7 63,0 68,1 65,0 70,8 74,5 79,1 76,2 81,1 87,2 A/V-Encoding DivX 5.01 MPEG-Encoding (sec) Magix mp3 maker (sec) GoGo 3.10 MP3-Encoding (sec) 34,9 31,8 31,7 29,2 29,1 29,1 29,1 27,6 27,6 24,9 Raytracing Lightwave 3D Tracer-Rad. (sec) Cinebench2000 Raytrac. (Punkte) 20,2 22,1 22,1 24,1 24,2 24,2 24,2 25,4 25,5 28,5 Anmerkungen: Punkte und fps: Höhere Werte sind besser. Sekunden: Niedrigere Werte sind besser. Konfiguration Hardware: Alle Tests mit MSI G4Ti4600, 256 MByte Arbeitsspeicher, Adaptec AHA-2940UW Pro mit Seagate ST336705LW, Terratec XLerate Pro; Intel D850EMV2 und D845BG für Celeron und Pentium 4; Epox EP-8KTA3+ und EP-8K3A für Athlon XP und Duron; Konfiguration Software: Windows XP Pro, Auflösung 1024 x 768 x 32 Punkte, bei SPECviewperf und GLmark 1280 x 1024 x

30 SPECIAL / Security Sichere Netze Die zunehmende Vernetzung von Firmen-LANs mit dem und über das Internet erfordert ein Umdenken der IT-Abteilungen. Das Kernthema muss Sicherheit heißen, um Hacker und Viren außen vor zu halten und Authentizität sowie Vertraulichkeit zu gewährleisten. Von Mike Hartmann Seit dem ersten Ethernet-Netzwerk von Dr. Robert Metcalfe sind knapp 30 Jahre vergangen. In diesen 30 Jahren hat die Vernetzung innerhalb von Firmen rapide zugenommen. Inzwischen kommt kein Unternehmen mehr ohne ein lokales Netzwerk aus, um Daten zwischen Abteilungen auszutauschen und Dokumente für den Zugriff durch alle Mitarbeiter freizugeben. Ein solches rein lokales Netzwerk lässt sich auch relativ einfach gegen Angriffe absichern, denn der Zugriff auf die Daten im Netzwerk ist nur möglich, wenn der Hacker auch Zugang zum Gebäude hat. Das einzige Risiko für die Firmen waren die eigenen Mitarbeiter, die Daten ausspähen oder auf Disketten eigene Programme und damit unter Umständen Viren ins Netz einschleusen. Unsicherheitsfaktor Internet Seit dem großen Internet-Hype allerdings ist diese einfache Daumenregel nicht mehr zutreffend. In einer großen Welle haben sich Firmen Standleitungen ins Internet legen lassen, ohne auch nur die geringsten Sicherheitsmaßnahmen zu ergreifen. Inzwischen dürften die meisten Firmen, oft aus bitterer Erfahrung heraus, gelernt haben, dass mindestens eine Firewall als grundlegender Schutz zwingend notwendig ist. Doch mit einer Firewall allein schließt man lediglich eines der vielen Tore, über die heutzutage Hacker und Viren in das lokale Netzwerk gelangen. Über 90 Prozent aller Viren gelangen inzwischen via oder per Internet- Download ins Netz. Einfallstore für Hacker Neben der Standleitung, die lediglich den Datentransport ermöglicht, finden sich für einfallsreiche Hacker inzwischen viel bequemere Wege ins Firmen-LAN. Die reine Datenverbindung ist nämlich über Firewall und Proxy in der Regel gut abgesichert und nur unter großen Mühen zu durchdringen, viel zu viel Aufwand für die so genannten Script- Kiddies, die lediglich anhand von Anleitungen und mit vorgefertigten Programmen das Eindringen in fremde Netze bewerkstelligen können. Die Mühe, sich durch Proxies und Firewalls ins Netz zu schleichen, ist aber meist gar nicht mehr nötig, denn die Benutzer im LAN holen sich den Hacker und seinen Code quasi selbst ins Haus. Ein wichtiger Schwachpunkt sind dabei die -Server, die häufig gar nicht oder nur unzureichend abgeschirmt sind. Dabei kann hier gleich ein ganzes Code-Paket abgeliefert werden, dass dann im Worst Case auf der Maschine eines unbedarften Benutzers ausgeführt und über diesen Weg im gesamten Netzwerk verbreitet wird. Aber auch wenn der eingehende - Verkehr komplett abgesichert ist, gibt es weitere potenzielle Einfallstore. So ziemlich jeder Benutzer im LAN hat einen Zugang zum Internet, über den er mit seinem Arbeitsrechner surfen kann. Ohne einen entsprechenden Schutz auf den einzelnen Arbeitsplätzen darf man also nicht von Sicherheit reden Schutz, der einerseits über einen Virenscanner zu realisieren ist und andererseits durch eine Desktop-Firewall verstärkt werden kann. Welche Firewalls es gibt und welchen Schutz sie bieten, lesen Sie im ersten Beitrag unseres Specials. Hier geht es auch darum, wie eine solche Desktop-Firewall sinnvoll und nutzbringend zu konfigurieren ist. Überlässt man zuviel dem meistens unbedarften Anwender, macht auch der beste Schutz auf dem Arbeitsrechner keinen Sinn. Zentrale Administration Firewall und Virenschutz erhöhen allerdings nur dann effektiv die Sicherheit, wenn der Einsatz im Rahmen einer von der Firma eingesetzten und vor allem auch streng überwachten Sicherheits-Policy geschieht, die 32

31 Security / SPECIAL genau festlegt welche Verhaltensweisen akzeptabel sind und welche nicht. Es gilt dabei auch, entsprechende Maßnahmen festzulegen, die bei einer Zuwiderhandlung ergriffen werden. Ansonsten nehmen die Mitarbeiter das nicht ernst genug. Einfacher und übersichtlicher wird das Ganze für den Administrator, wenn Virenscanner und Desktop-Firewall zentral administriert sind. Das reicht von der Konfiguration der Scanner über die automatische Verteilung von Software-Updates bis hin zur zentralen Verwaltung und Distribution der neuesten Signaturen, denn nur dann kann der Schutz wirklich greifen. Wie ein unternehmensweiter Virenschutz aussehen kann und an welchen Stellen er überall einsetzen sollte, zeigt unser Beitrag über Virenscanner im Unternehmensnetz. Darin wird das gesamte Gebiet eines LAN vom Internet-Zugang via Proxy über das -Gateway und die einzelnen Fileserver bis hin zur den Arbeitsstationen der Mitarbeiter abgedeckt. Dass dieses Thema immer noch eine deutliche Brisanz aufweist, zeigen aktuelle Statistiken von FBI und ICSA: Etwa 15 Prozent aller - Gateways sind nicht durch einen Virenscanner geschützt. Und selbst dann bleibt immer noch ein Restrisiko: Der Benutzer am Inhalt / Grafikkarten Test: Personal Firewalls Seite 34 Virenscanner im Unternehmensnetz Seite 42 Linux als VPN-Server Seite 46 Rechner. Wenn automatische Mechanismen zur Verteilung von Viren, Backdoors oder Trojanern nicht greifen, weil der Arbeitsplatz zu gut geschützt ist, greifen die Programmierer auf einen bewährten Mechanismus zurück. Mittels ansprechender Texte, die grundlegende Bedürfnisse im Benutzer wecken sollen, sollen sie animiert werden, die entsprechenden Programme aus dem Internet zu laden und zu starten. Notebooks und Home Office Im Rahmen einer Sicherheits-Policy werden gerne Notebooks und Home Offices außer Acht gelassen. Dabei sind gerade Notebooks, die zum Teil offline und dann wieder online im LAN eingesetzt werden, ein gefahrenträchtiger Zugangspunkt. Benutzen beispielsweise Mitarbeiter ihre Geräte auch zu Hause oder bei Außenterminen in fremden Netzwerken, kann es leicht passieren, dass sie sich dort einen Virus oder eine Backdoor einfangen, die später das eigene Firmennetz gefährden. Auch hier sind also besondere Vorsichtsmaßnahmen zu treffen, um eine Gefährdung des eigenen Netzwerks zu vermeiden. Richtig gefährlich wird es dann, wenn Schlüssel oder Passwörter auf diesem Wege in falsche Hände gelangen und dem Hacker im wahrsten Sinne des Wortes Tür und Tor öffnen. Dasselbe gilt auch für verloren gegangene PDAs und Notebooks auf denen sich mitunter versteckt im Cache die entsprechenden Informationen befinden. Schwarze Server Technisch versierte Mitarbeiter kommen auch schon mal auf den verwegenen Gedanken, sich zu Testzwecken schnell einen eigenen Server ins Netz zu hängen oder noch schlimmer, einen WLAN-Access-Point, damit sie ihr Notebook nicht ständig anund abstöpseln müssen. Für Hacker sind die so genannten Rogue Access Points ein gefundenes Fressen, da diese meist nicht genügend abgesichert und schon gar nicht in die firmenweite Sicherheits-Policy eingebunden sind. Neben der nicht hundertprozentig sicheren WEP- Verschlüsselung bietet beispielsweise ein VPN eine Möglichkeit, die drahtlose Übertragung gegen unerwünschte Lauscher abzusichern. Übertragung sichern per VPN Neben dem reinen Schutz gegen Viren sollte man in Zeiten, in denen Wirtschaftsspionage eine immer größere Rolle spielt, auch die Verschlüsselung von Daten nicht aus dem Auge verlieren. Hierbei geht es nicht nur um die lokale Datenhaltung, sondern insbesondere um die möglicherweise geschäftskritischen Informationen, die zwangsweise auch über das Internet zu Außenstellen oder Geschäftspartnern gesendet werden schließlich soll der Mitbewerb nicht frühzeitig vorgewarnt werden, dass man eine besondere Marketing-Aktion plant oder Preise deutlich senken will. Ein virtuelles privates Netzwerk (VPN) kann in einem solchen Szenario unschätzbare Dienste leisten, indem es eine sichere und kostengünstige Vernetzung von Zweigstellen über das Internet ermöglicht. So ganz nebenbei verhindert es mittels diverser Verfahren, dass sich Unbefugte ins Netz einklinken und gefälschte Daten einbringen oder dass die Daten unterwegs unbemerkt verändert werden. Wie Sie ein solches virtuelles privates Netzwerk preiswert mit einem Linux-System als Security-Gateway und Windows als Arbeitsstationen einrichten, zeigt unser dritter Beitrag im Security-Special. Zudem erläutern wir die verschiedenen VPN-Lösungen und welche Verfahren dabei zum Einsatz kommen. (mha) 33

32 SPECIAL / Personal Firewalls Great Walls of Fire Ist der Rechner mit dem Internet verbunden, können Hacker die Kontrolle erlangen oder Daten ausspähen. Eine persönliche Firewall hilft, solche Angriffe zu erkennen und abzuwehren. Von Jörg Luther Der Internet-Benutzer ist den Begehrlichkeiten von Hackern und Unternehmen ausgesetzt. Erstere machen sich einen Spaß daraus, fremde Computer auszuspähen, zu verändern oder auch nur zum Absturz zu bringen. Letztere wollen vor allem Informationen über Kunden oder Mitbewerber erlangen, um ihr Marketing effizienter zu gestalten. Mit welchen Tricks Firmen und Hacker versuchen, ihre Gier zu stillen, zeigt unser Grundlagenbeitrag über sicheres Surfen (webcode: a395). Dort erfahren Sie, wie weit Sie sich mit Hausmitteln gegen solche Ausspähung schützen können. Allerdings gestaltet sich die Echtzeitbeobachtung mit Werkzeugen wie NetMon oder Port Magic aufwendig, zur Abwehr sind diese Tools eigentlich nicht gedacht. Executive Summary / Personal Firewalls Hier kommen Personal Firewalls ins Spiel, die Teilfunktionen einer Firmen-Firewall auf den Desktop übertragen. Spielzeug oder Werkzeug? In einschlägigen Newsgroups wie etwa de.comp. security.firewalls finden sich regelmäßig hämische Kommentare selbst ernannter Sicherheitsexperten, die den Personal Firewalls jegliche Daseinsberechtigung absprechen. Allzu leicht seien solche Desktoptools zu umgehen, da sie mit statischen Filterfunktionen arbeiten. So könnten sich problemlos Trojaner bei der Verbindungsaufnahme nach außen als Nutzprogramme ausgeben oder ihren Datenverkehr über erlaubte Verbindungen tunneln. Sind Personal Firewalls also überflüssig? Zwar bieten die meist als Personal Firewall apostrophierten Filtertools für Desktop-PCs notgedrungen nicht alle Features und denselben Schutz wie ihre großen, am Eingang des lokalen Netzes residierenden Brüder. Dennoch bringen viele von ihnen hinreichend mächtige Funktionen mit, um potenziellen Eindringlingen den unerlaubten Zutritt zum Rechner deutlich zu erschweren. Zudem enthalten die Personal Firewalls meist auch Werkzeuge, mit denen sich die vom Rechner nach außen übermittelten Daten auf das unbedingt notwendige und erwünschte Maß beschränken lassen. Mitnichten selbst wenn die Kritiker (siehe etwa usenet/firewall.html) nicht ganz Unrecht haben. Einerseits besitzen nicht alle Angreifer tiefschürfende Protokollkenntnisse und ausgefeilte Tools Stichwort: Script Kiddies. Zum anderen bieten heute auch Desktopbasierte Schutzprogramme ein beachtliches Repertoire an Abwehrmöglichkeiten. So finden sich im Test sowohl Applikationen, die Angriffe portunabhängig durch ständige Verkehrsanalyse entlarven, als auch zwei Tools, die über MD5-Prüfsummen die Authentizität zugreifender Programme abklären. Desktop Firewalls machen also durchaus Sinn. Und die Entscheidung zum Einsatz der Software-Wächter fällt umso leichter, als inzwischen eine ganze Reihe dieser nützlichen Werkzeuge kostenlos zu bekommen ist: Drei der im Testfeld vertretenen Produkte offerieren die Anbieter für den Privateinsatz zum Nulltarif. Für die drei anderen dagegen fallen Lizenzgebühren an. Aladdin esafe Desktop Aladdin Knowledge Systems begann seine Laufbahn ursprünglich mit der Entwicklung von Dongles zum Software-Schutz. Seit 1998 gehört auch esafe Technologies mit zur Aladdin-Firmengruppe. Aus deren Port- 34

33 Personal Firewalls / SPECIAL folio stammt esafe Desktop. Das früher kostenlose Tool offeriert Aladdin nur noch als 30-Tage-Testversion zum Download. Wer esafe Desktop länger nutzen will, muss 82 Euro investieren. Die Firewall bildet nur eine Komponente des esafe Desktop: Der Hauptzweck des Produkts ist die Eindämmung gefährlicher Script- und Programmcodes in einer Sandbox. edesktop bringt auch einen halbwegs brauchbaren AV-Scanner mit. Zusammen mit Verwaltungs- und Konfigurationskomponenten residieren diese Bestandteile in einem übersichtlichen Benutzer-Interface. Firewall Die Firewall des esafe Desktop operiert nach dem Motto, dass erlaubt ist, was der Benutzer nicht explizit verbietet. Einige vorkonfigurierte Ausschlusslisten darunter eine mit den gängigsten Backdoor-Ports bringt esafe Desktop in der Grundkonfiguration mit. Um weitere Ports vom Zugriff auszunehmen, gilt es, eigene Filterregeln zu erstellen. Einzelne Dienste lassen sich generell untersagen oder erlauben, wobei der Benutzer für jeden Port frei definierbare URLs oder IP-Adressen als Ausnahmen von der Regel definieren kann. Daneben packt esafe Desktop auch noch einen Wortlisten-Filter mit in die Firewall. Diese fungiert also sowohl als Port- wie auch als Contentfilter. Eine Option zur Zeitbeschränkung der Filterung sowie zur Blockierung der Weitergabe sensitiver Daten über die erfassten Ports rundet den Funktionsumfang ab. Zudem verfügt esafe Desktop unter der Bezeichnung Application Firewall über eine Querverbindung zur Sandbox. Nur Programme, die auf die Internet-Application-Sandbox beschränkt sind, erhalten freien Zugang zu den IP-Ports. Die über die diversen Filter konfigurierten Regelsätze im esafe-jargon: Firewalls lassen sich nun den auf dem Rechner angelegten Usern individuell zuordnen. Dabei wirken die einzelnen Filter additiv. Zugriffe auf gesperrte Ports und den Datenversand ihm unbekannter Anwendungen wehrt esafe Desktop je nach Konfiguration ab: Entweder stillschweigend mit Protokollierung oder mit Nachfrage beim Benutzer. Weitere Funktionen Die in esafe Desktop integrierte Antiviren- Software beherrscht sowohl On-Demand- als auch On-Access-Scans des Platteninhalts. Sie arbeitet zwar schnell, jedoch zu Lasten der Erkennungsrate: In unserem AV-Test (webcode: a214) konnte sie nicht überzeugen. Eine Desinfektion der befallenen Files beherrscht das Modul nur im Einzelfall, meist bietet es lediglich das Löschen an. Das Kernstück von esafe Desktop stellt die Sandbox dar. Hier kann der Anwender für jede Applikation einen Regelsatz erstellen, der die Zugriffsrechte des Programms auf bestimmte Dateien und Verzeichnisse einschränkt. So entsteht ein Sandkasten für die Applikation, innerhalb dessen sie spielen darf, ohne Schaden anzurichten. Wie bei der Firewall-Konfiguration lassen sich mehrere vor- und selbst definierte Sandboxen zu einem Regelwerk kombinieren und automatisch Benutzerprofilen zuordnen. Die einzelnen Filter entwickeln dabei kumulative Wirkung. Je nach Konfiguration erlernt das Sandbox-Modul durch Benutzung auch die Zugriffsrechte bislang unbekannter Applikationen. Ergänzend zum Sandboxing überwacht eine System-Protection-Funktion wichtige Ressourcen wie Boot- und Systemfiles, die Registry und diverse Sicherheits-Settings. Verändern Programme diese Einstellungen, erfolgt ein Alarm. Optional kann esafe Desktop die Modifikationen auch unterbinden. Fazit Als Firewall liefert Aladdin esafe Desktop keine besonders überzeugende Vorstellung. Um unerwünschte Zugriffe zuverlässig zu unterbinden, müsste man auf Grund der Eigenheiten des Tools schon vorher präzise wissen, über welche Ports die Attacke erfolgt. Zwar erkennt esafe Desktop 3.1 als Application Firewall das eingesetzte BackOrifice Portscanner hebelt es jedoch nicht zuverlässig aus. So erkennt etwa nmap stets die SMB-Ports 137, 138 und 139. Auch als Virenscanner bekleckert sich das Tool nicht mit Ruhm, lediglich als Sandbox kann es richtig punkten. Müssen Sie also gelegentlich Code zweifelhafter Provenienz auf Ihren Rechner loslassen, liegen Sie mit esafe Desktop richtig. Suchen Sie dagegen eine zuverlässige Firewall, sollten Sie sich nach Alternativen umsehen. Lockdown Millenium Pro Als Standardschutz gegen Hackerangriffe positioniert die Lockdown Corp. ihr Produkt Lockdown Millenium Pro. Vor allem gegen Trojaner soll das Programm mittels der Firewall-Funktion sowie eines signaturbasierten Scanners schützen. Zudem zählt Lockdown Alles im Blick: Mit einer übersichtlichen und informativen Benutzeroberfläche wartet der esafe Desktop von Aladdin auf. die Überwachung der lokalen Freigaben und der darauf zugreifenden entfernten Rechner zu seinen Fähigkeiten. So lässt sich jederzeit feststellen, wer gerade lokale Shares nutzt. Per Ausschlussliste lassen sich einzelne Rechner vom Zugriff aussperren, unliebsame Benutzer entfernt der Administrator bei Bedarf per Mausklick direkt. Auch eine automatische Trennung bei Benutzung bestimmter Programme oder nach definierbarer Idle Time der Connection beherrscht das Tool. Zudem überwacht Lockdown wichtige Systemdateien und Registry-Einstellungen auf Änderungen und lässt diese nur nach Bestätigung durch den Benutzer zu. Ein Connection Monitor überwacht und protokolliert den Status der IP-Ports. Darüber hinaus bietet Lockdown ein grafisches Frontend für Echo-, Finger-, Nslookup-, Traceroute- und Whois-Abfragen. Firewall-/Anti-Trojan-Funktionen In frei definierbaren Zeitabständen oder auf direkte Aufforderung scannt Lockdown Millenium Pro den Rechner nach Trojanern. Dazu nutzt es Signaturen, die es via Internet regelmäßig aktualisiert. Der Scanner arbeitet jedoch langsam die Überprüfung einer halbvollen 2-GByte-Partition dauerte im Test knapp 30 Minuten. Daher macht in der Praxis nur die Abtastung einzelner, potenziell gefährdeter Verzeichnisse Sinn. Einen regulären Firewall-Betrieb auf Basis von Port- oder Protokollfilterung bietet Lockdown Millenium Pro nicht. Lediglich bestimmte Gegenstellen lassen sich über die IP-Adresse ganz aus der Kommunikation aussperren. Dagegen offeriert das Tool eine ganze Reihe von Funktionen zur Überwachung der Ports. Anhand von Posi- webcode: a405 35

34 SPECIAL / Personal Firewalls tiv- oder Negativlisten beobachtet das Tool definierte Anschlüsse. Treffen auf den überwachten Ports zu viele Anfragen ein, schließt Lockdown sie vorübergehend. Die entsprechenden Schwellwerte und die Sperrdauer kann der Anwender frei definieren. Zudem speichert Lockdown Log-Informationen zu den Angriffen und versucht, den Weg der Attacke bis zum Verursacher zurückzuverfolgen. Zusätzliche Informationen über den Angreifer lassen sich über ein auf der Lockdown-Website bereitgestelltes Abfragetool namens Hacker Tracker gewinnen. Dessen Nutzung schlägt aber mit einer monatlichen Abo-Gebühr von 8,95 US- Dollar zusätzlich zum Kaufpreis zu Buche. Schließlich erfasst ein Application Level Gateway alle Anwendungen, die auf lokalen Ports nach Verbindungsanforderungen lauschen. Der Anwender hat die Möglichkeit, diese Aktivität einmalig oder dauerhaft zu genehmigen respektive zu verbieten. Weitere Funktionen Daneben stellt Lockdown Millenium Pro noch eine Reihe weiterer, gesondert aufzurufender Module zur Verfügung. So erfasst der Program Auditor bei der Installation alle auf dem Rechner installierten Anwendungen. Das Einrichten neuer Verzeichnisse oder Applikationen auf dem Rechner meldet er per an definierbare Adressaten. Der Network Monitor prüft über regelmäßige Pings den Status beliebig definierbarer IP-Gegenstellen. Eventuelle Ausfälle meldet er auf Wunsch per . Eine verwandte Aufgabe übernimmt der Web Monitor für Webpages: Sobald sich ihre Größe um eine frei definierbare Byte-Anzahl ändert, alarmiert das Tool den Anwender per blinkendem Tray-Icon oder Pop-up-Fenster. Übersichtlich: Die Bedienoberfläche von Lockdown Millenium Pro bleibt dank Reitern trotz zahlreicher Funktionen beherrschbar. Alle über den Internet Explorer oder den Netscape-Browser eingehenden Cookies protokolliert der Cookie Monitor. Er zeigt bei Bedarf jeweils ein Warnfenster mit den Daten des entsprechenden Päckchens an, das sich dann gegebenenfalls sofort entsorgen lässt. Alternativ kann man einzelne Cookies jederzeit löschen oder beim Beenden der Sitzung verwerfen. Der VBS Interceptor schließlich warnt den Anwender, wenn ein Visual-Basic-Script zur Ausführung ansteht und erlaubt dessen Abbruch. Wirksamkeit In der Praxis hält Lockdown Millenium Pro nicht einmal annähernd, was der Hersteller verspricht. Portscans auf den geschützten Rechner bemerkt das Tool generell nur in der höchsten Sicherheitsstufe zuverlässig. Zwar identifiziert Lockdown den Angreifer richtig, falls es seine Aktivitäten überhaupt registriert. Dauerhaft vom weiteren Zugriff ausschließen lässt er sich aber nicht es sei denn, er benutzt eine feste IP-Adresse. Eine Filterung einzelner Ports beherrscht das Tool nicht. Nur beim Trojaner-Test versagt Lockdown Millenium Pro nicht: Es erkennt unseren BO2K-Server spätestens bei Kontaktversuchen nach außen. Fazit Während Lockdown Millenium Pro als Internet- und Windows-Networking-Utility einige nützliche Tools mitbringt, tendiert seine Schutzwirkung als Firewall deutlich gegen Null. Portscans erkennt Lockdown nicht zuverlässig, die Möglichkeit zur Definition von port- oder protokollbasierten Filterregeln bleibt gänzlich außen vor. Für ein so eingeschränktes Tool über 70 Euro (1-Jahres-Lizenz) einzufordern, zeugt von einem gesunden Selbstbewusstsein des Herstellers. Für Benutzer, die sich auf die vermeintliche Schutzwirkung von Lockdown 2000 verlassen, folgt allzu leicht ein böses Erwachen. Daher ist in diesem Fall nur eine Empfehlung angebracht: Finger weg! Norman Personal Firewall Als preiswerte Lösung für kleine Unternehmen und Privatanwender positioniert Norman sein Produkt. Die Norman Personal Firewall alias NPF lässt sich auf PCs unter allen Windows-Varianten einsetzen. Neben der eigentlichen Firewall umfasst das Produkt auch weborientierte Privacykomponenten zur Kontrolle von Cookies und Scripts sowie einen Ad-Blocker. Aufgeräumt: Das Hauptfenster der Norman Personal Firewall beschränkt sich auf das Wesentliche. Schon bei der Installation der Firewall fordert ein Assistent grundlegende Konfigurationsangaben ein. Dazu zählen neben dem gewünschten Sicherheitslevel von hoch bis niedrig auch Browser, -Client und andere Internet-Anwendungen, für die der Zugriff gleich freigeschaltet wird. Firewall Zur Grobeinstellung offeriert NPF die drei Sicherheitsstufen hoch, mittel und niedrig. Bei hoher Sicherheit sperrt das Tool ICMP sowie das gesamte Windows-File/Print-Sharing, die Modi mittel und niedrig erlauben dagegen beides. Sie unterscheiden sich durch die Behandlung von Applets, Scripts und Cookies. In allen Sicherheitsebenen lässt sich die Konfiguration zusätzlich durch eigene Einstellungen zur Behandlung der wichtigsten Netzwerkprotokolle ergänzen. Zur einfachen Konfiguration individueller Filterregeln dient in allen Stufen der so genannte Firewall-Assistent. Treten Zugriffe auf, für die keine expliziten Filterregeln vorliegen, meldet er sich zu Wort. Der Benutzer kann dann die anstehende Aktion entweder generell erlauben respektive verbieten oder einen einmaligen Zugriff gestatten. Dabei offeriert der Assistent die Option, die getroffene Einstellung für künftige Zugriffe als Filterregel zu übernehmen. Auf diesem Weg baut sich innerhalb kurzer Zeit automatisch ein umfassendes Regelwerk auf. Da sich NPF auch als Application Level Firewall betätigt, entsteht ein fein abgestuftes Netz von Berechtigungen. Zur Modifikation der Filter und der Definition eigener Regeln offeriert NPF einen in drei Teile gegliederten Editor. Im Bereich System, der nur von Benutzern mit tiefer gehenden Kenntnissen modifiziert werden sollte, finden sich Einstellungen für Loopback sowie grundlegende Dienste wie 36

35 Personal Firewalls / SPECIAL BOOTP und DNS. Unter NetBIOS/ICMP lassen sich die zulässigen Kommunikationspartner für die entsprechenden Protokolle definieren. Hier erlaubt das Tool aber nur die Angabe einzelner Gegenstellen oder die Generalisierung für alle IP-Adressen. Die Möglichkeit zur Definition von Adressbereichen oder Trusted IPs fehlt. In der Hauptsektion des Filtereditors lassen sich für TCP und UDP-Pakete nahezu beliebig nach Kommunikationsrichtung, Portnummer und Gegenstelle definierbare Regeln aufsetzen. Auch hier können zwar keine Adressbereiche, immerhin aber Adresslisten angegeben werden. Außerdem erlaubt das Tool, die Gültigkeit der Filter auf einzelne Applikationen einzuschränken. Als Aktionsoptionen stellt NPF für jede Regel Blockieren, Zulassen, Ignorieren sowie die Nachfrage beim Anwender zur Verfügung. Weitere Funktionen Die Sicherheitsstufe beeinflusst neben der Arbeitsweise der Firewall auch die Behandlung von Cookies, ActiveX, Javascript und Java-Applets. Nur im niedrigsten Level werden die entsprechenden Funktionen ohne Nachfrage zugelassen. In den Stufen mittel und hoch tritt der Assistent in Aktion. Er offeriert als Optionen Zulassen, Verwerfen und Nur für die Session zulassen sowie die Speicherung der getroffenen Einstellung. Der Basismodus lässt sich über das Kontextmenü des NPF-Logos im Systemtray modifizieren. Dabei stehen für Javascript, ActiveX, Applets und Cookies getrennt die Optionen Zulassen, Verwerfen und Nachfragen zur Wahl. Zudem erlaubt NPF, für alle vier Komponenten auch manuelle Regeln zu definieren. Sie gelten wahlweise nur für einzelne Domänen oder das gesamte Web. Zudem unterscheidet NPF nach ein- und ausgehenden Codeblöcken und kann die Gültigkeit sogar auf namentlich angegebene Cookies beschränken. Ein Werbeblocker ergänzt die Privacy- Funktionen. Er durchforstet zu ladende URLs nach Sperr-Strings. Wird er fündig, blockiert er den Download des entsprechenden Elements. Die von Norman mitgelieferte Ausschlussliste funktioniert auch auf deutschen Sites recht zuverlässig. Zudem kann der Anwender sie manuell ergänzen. Fazit Alle Portscans weist die Norman Personal Firewall im Test zuverlässig ab. Entgegen der Werbeaussage von Norman realisiert NPF abert in keiner Einstellung einen kompletten Stealth-Modus. Stets auch bei geblocktem Windows-Sharing erkennen einschlägige Programme wie Nmap die NetBIOS-Ports (137 bis 139, 445). Zugriffsversuche auf den manuell konfigurierten BO2K-Server registriert und unterbindet NPF. Als Schwachpunkt der Firewall erweisen sich Alarmierung und Protokollierung. Zugriffe, für die keine explizite Filterregel existiert, blockt das Tool zwar ab, kann sie jedoch nicht protokollieren. So unterbleibt auch die Alarmierung des Benutzers. Dieses Manko sollte Norman bereinigen und zudem für eine übersichtlichere Protokollierung samt Filterunterstützung sorgen. Sieht man von dieser Einschränkung ab, eignet sich Norman Personal Firewall mit seiner übersichtlichen Bedienung und weit gehend automatischen Funktion für Firewalleinsteiger recht gut. Zudem bieten die Privacy-Funktionen einen Zusatznutzen für Surfer. Unter diesem Aspekt erscheint der Preis von rund 40 Euro als angemessen. Sygate Personal Firewall Als Sygate Personal Firewall (SPF) offeriert Sygate Technologies seit geraumer Zeit ein für den privaten Einsatz kostenloses Sicherheitstool. Mit Version 4.0 löste ein völlig neues Produkt den auf reinem Portfiltering basierenden und knifflig zu konfigurierenden Vorgänger ab. Die neue SPF operiert als Application Level Firewall, wobei sich zu jeder Anwendung adress- und portbasierte Filterregeln aufstellen lassen. Die Version 5.0 bringt in dieser Hinsicht nichts Neues, wartet jedoch mit einer überarbeiteten Oberfläche und Detailverbesserungen auf. Default-Konfiguration In der Grundkonfiguration fungiert SPF als Port Listener und Application Level Gateway. Die Standardeinstellung schottet alle Ports ab, lediglich ausgehende LAN-Verbindungen bleiben zugelassen. Diagramme im Hauptfenster signalisieren den ein- und ausgehenden Verkehr sowie geblockte Pakete. Gleichzeitig überwacht die Firewall, welche Applikationen und Systemdienste auf das Netz zugreifen wollen. Beim ersten Zugriffsversuch präsentiert sie ein Meldungsfenster, über das der Anwender die Verbindung erlauben oder verbieten kann. Die getroffene Einstellung gilt auch für alle künftigen Netzzugriffe der Anwendung, lässt sich aber über das Menü Applications nachträglich modifizieren. In jedem Fall Geradliniges Interface: Die Benutzerschnittstelle der Sygate Personal Firewall bietet jetzt direkten Einblick in den Datenfluss. erfasst SPF das fragliche Programm samt seiner Prüfsumme zur künftigen Identifizierung. Parallel notiert die Firewall im Hauptfenster die momentan mit Netzzugriff arbeitenden Applikationen. Eine optional darstellbare Nachrichtenkonsole informiert über alle sicherheitsrelevanten Ereignisse. SPF protokolliert alle Vorgänge in drei Logdateien. Im System Log finden sich Daten zu Start und Stop sowie Rekonfigurationen der Firewall. Im Traffic Log notiert das Tool alle ein- und ausgehenden Verbindungen. Das Security Log enthält Daten über alle verworfenen Pakete, den Grund der Ablehnung sowie eine Wertung der Sicherheitsrelevanz des jeweiligen Ereignisses. Minimalistisch: Die wesentlichen Einstellungen der Tiny Personal Firewall verbergen sich hinter dem Advanced-Button. webcode: a405 37

36 SPECIAL / Personal Firewalls Aufgeräumt und informativ: Das Hauptfenster von ZoneAlarm signalisiert auf einen Blick die wesentlichen Einstellungen und Funktionen. Mutmaßliche Attacken signalisiert SPF per Default lediglich über das Blinken des Anwendungslogos im Systemtray. Eine handgreiflichere Alarmierung des Benutzers etwa per Sound oder über ein Meldungsfenster beherrscht das Tool nicht. Dagegen benachrichtigt die Firewall optional einen definierbaren Adressaten per über sicherheitsrelevante Ereignisse. Feintuning Über das Optionsmenü lässt sich das Verhalten der Sygate Personal Firewall in einigen Punkten modifizieren. Hier legt der Anwender beispielsweise fest, ob die Firewall automatisch startet oder zum Zugriff auf SPF ein Passwort nötig ist. Daneben kann er für jedes Netz-Interface angeben, ob über die jeweilige Schnittstelle Windows-Netzwerkverbindungen erfolgen dürfen. Ausführliche Settings für die Logfiles legen deren maximale Größe und Vorhaltezeit fest. Neben den bereits erwähnten Protokolldateien (System, Traffic, Security) lässt sich hier eine weitere aktivieren: Im Packet Log sammelt die Firewall den Inhalt aller ein- und ausgehenden Pakete. Zu deren Analyse dient ein einfacher Protokolldecoder. Er erlaubt auch ein Backtrace der Pakete sowie das Einholen von DNS-Informationen über den fraglichen Rechner. Wer genauere Zugriffsregeln für die Netzanwendungen festlegen möchte, findet im Applikationsmenü einen Advanced- Button. Dieser ruft ein Fenster auf, in dem man zu jeder Anwendung Trusted-IP-Adressen sowie die zulässigen lokalen und Remote-Portnummern für TCP und UDP angeben kann. SPF erleichtert dabei die Arbeit, indem es sowohl für Adressen als auch Ports die Angabe von kompletten Bereichen erlaubt. Zusätzlich lässt sich die Gültigkeit der getroffenen Einstellungen auf bestimmte Zeitspannen einschränken. Fazit Schon in der Basiskonfiguration direkt nach der Installation erweist sich Sygate Personal Firewall als probates Mittel, um unautorisierte Zugriffe auf den Rechner zu unterbinden. Zu Kontaktversuchen zwischen einem zum Test installierten BO2K-Server und dessen Client lässt es das Tool nicht kommen: Es erkennt und terminiert schon beim Systemstart den korrekt erkannten Back Orifice. Dank ihrer geradlinigen Konzeption und weit gehend automatisierten Arbeitsweise eignet sich die Sygate Personal Firewall 5.0 auch für Firewall-Neulinge. Gerade Einsteiger können auf Grund der ausführlichen und gut kommentierten Protokollierung durch den Betrieb von SPF einiges über die Arbeitsweise ihres Rechners im Netz lernen. Alte TCP/IP-Hasen und erfahrene Netzwerker werden dagegen die detaillierten, portbasierten Konfigurationsmöglichkeiten der Version 2.1 vermissen. Auch sie dürften jedoch die exzellenten Protokollierungsoptionen der SPF 5 schätzen. Tiny Personal Firewall Viele Netzwerker kennen die Tiny Software Inc. bereits: Die Firma stellt Winroute Pro her, eine Router/Firewall-Software für kleine und mittlere Unternehmen. Auch eine Security-Lösung namens CDMS (Centrally Managed Desktop Security) findet sich im Tiny-Portfolio. Sie besteht aus einer zentralen Managementkonsole sowie auf Clients und Servern verteilten Firewall-Agenten. Letztere offeriert Tiny unter der Bezeichnung Tiny Personal Firewall (TinyPF) auch als Einzelplatzlösung. Anwender im kommerziellen Bereich müssen 39 US-Dollar Lizenzgebühren berappen, Privatpersonen dürfen die Firewall kostenlos nutzen. Grundfunktionen Schon bei der Installation konfiguriert Tiny- PF alle NetBIOS-Verbindungen ins lokale Subnetz als vertrauenswürdig. Die entsprechende Trusted-Adressgruppe kann alternativ aus einzelnen IPs oder als Bereich beziehungsweise per Netzmaske angegebenen IP-Gruppen zusammengesetzt werden. Daneben lässt sich parallel eine Custom Address Group aus IPs, IP-Bereichen und Netzen bilden. Diese dient bei Bedarf als Trusted-Gruppe für reine IP-Verbindungen. Für den gesamten nicht über diese Regeln abgedeckten Netzwerkverkehr offeriert Tiny PF drei Sicherheitsstufen: In der Einstellung Minimal lässt die Firewall jeglichen nicht explizit durch manuell erstellte Filterregeln untersagten Datenverkehr passieren. In der Stufe Medium überwacht TinyPF die gesamte IP-Kommunikation auf Konformität zu den Filterregeln. Fehlt für eine Verbindung eine Regel, fragt die Firewall beim Anwender nach. Der hat nun die Möglichkeit, die Daten einmalig passieren zu lassen oder alternativ eine dauerhafte Filterregel für die Verbindung aufzustellen. Dabei kann er über einen Wizard die erlaubten lokalen und entfernten Ports sowie die möglichen Verbindungspartner einschränken. In der Einstellung Maximal Security schließlich blockiert TinyPF jeglichen nicht explizit freigegebenen Datenverkehr. Feintuning Die im Selbstlernmodus der Firewall getroffenen Einstellungen können über einen Editor verfeinert und ergänzt werden. Hier stellt TinyPF eine beachtliche Bandbreite möglicher Parameter zur Verfügung. So kann man im Einzelnen: die Protokolle TCP, UDP (einzeln oder kombiniert) sowie ICMP Echo ansteuern. die Verbindungsrichtung auf eingehend und/oder ausgehend festlegen. Ports, Portbereiche oder Portlisten für den lokalen und entfernten Host festlegen. die Verbindungsaufnahme auf bestimmte Applikationen begrenzen. die Gegenstelle auf einzelne Hosts, IP- Adressbereiche oder per Netzwerkmaske definierte Gruppen einschränken. die Gültigkeitsdauer der Regel auf bestimmte Zeiträume eingrenzen. Daneben protokolliert TinyPF optional die Anwendung der Regel in einem eigenen Logfile oder dem Systemlog. Auch eine Alarmierung des Anwenders über eine Popup-Box kann konfiguriert werden. Zudem sorgt TinyPF durch die Generierung und Überwachung einer MD5- Prüfsumme dafür, dass sich kein Trojaner unter dem Namen einer freigegebenen Anwendung in die Verbindung mogelt. Fazit Trotz seiner mächtigen Filterfunktionen gibt sich TinyPF im Test stellenweise noch unausgegoren. So blockt es zwar sämtliche Portscans, alarmiert den Anwender jedoch nicht über FIN-Scans. Auch im Logfile fin- 38

37 Personal Firewalls / SPECIAL den sich anschließend keinerlei Hinweise auf den Angreifer. Ähnlich gestaltet sich die Reaktion auf den Einsatz von BO2K: Die Firewall unterrichtet den Anwender zwar von den Aktionen der Backdoor auf Applikations- und Portebene, erkennt den Trojaner allerdings nicht als solchen. Der Anwender muss also über genug Hintergrundwissen verfügen, um Schadprogramme an ihrem Verhalten auch als solche erkennen zu können. Im Großen und Ganzen erfüllt die Tiny Personal Firewall ihre Aufgabe jedoch zufriedenstellend. Schon in der auch für Anfänger problemlos zu bewältigenden Basiskonfiguration wehrt sie eine Vielzahl unberechtigter Zugriffe verlässlich ab. Ihr voller Leistungsumfang allerdings erschließt sich erst jenen Anwendern, die mit den umfangreichen Möglichkeiten zur individuellen Filtererstellung umzugehen wissen. Zone Labs ZoneAlarm Für private Nutzer bietet Zone Labs seine Personal Firewall ZoneAlarm zum kostenlosen Download an. Das in Minutenschnelle installierte Tool überwacht sämtliche Zugriffe auf IP-Ports. Dabei erlaubt oder verbietet es den Zugriff nach Filterregeln, die sich für Rechner in LAN und Internet getrennt konfigurieren lassen. Zudem überwacht ZoneAlarm auch die Netzwerkaktivität aller Applikationen. Nach Maßgabe des Benutzers lässt sich deren Kommunikation gezielt einschränken. Eine MailSafe- Funktion isoliert potenziell gefährlichen VB-Script-Code aus -Attachments. In der Version 3 hat ZoneLabs der Firewall insbesondere kosmetische Updates angedeihen lassen. So gewichtet ZoneAlarm Verletzungen der Filterregeln und gibt entsprechend farbkodierte und mit Erläuterungen versehene Warnungsfenster aus. Daneben bringt das Tool ein sehr nützliches Quickstart-Tutorial sowie eine starke erweiterte Hilfefunktion ( Alert Advisor ) mit. Schutzstufen Für die beiden Netzwerkzonen Trusted und Internet stehen die drei vorkonfigurierten Sicherheitslevel Low, Medium und High zur Auswahl. Die Stufe High blockiert jeden nicht explizit vom Anwender erlaubten LAN- und WAN-Verkehr. Auf diese Weise macht ZoneAlarm den geschützten Rechner nach außen praktisch unsichtbar. Der mittlere Schutzlevel dagegen lässt lokalen Datenverkehr ungehindert passieren, so dass Zugriffe via LAN weiter möglich bleiben. Welche Rechner oder Subnetze als lokal gelten, definiert der Anwender über die Zoneneinstellungen des Firewall-Dialogs. Im niedrigsten Schutzlevel überwacht ZoneAlarm für beide Sicherheitszonen nur die Programme, die nach außen Verbindung aufnehmen wollen. In allen Modi steht zusätzlich die Möglichkeit zur Verfügung, nach einer definierten Zeit ohne Netzaktivität oder manuell über einen Not-Ausschalter Zugriffe ins oder aus dem Internet komplett abzuriegeln (Internet Lock). Application Firewall ZoneAlarm betätigt sich nicht nur als Port Listener und Blocker, sondern stellt auch eine Application Level Firewall zur Verfügung. Programme erhalten lediglich dann Zugriff auf LAN und Internet, wenn der Benutzer dies vorher ausdrücklich erlaubt. Dazu registriert ZoneAlarm jede Applikation bei deren erstem Versuch, auf das Netzwerk zuzugreifen. Der User kann nun über ein Meldungsfenster den aktuellen Zugriff erlauben oder verbieten und optional diese Einstellung für künftige Zugriffe generalisieren. Zudem findet sich im Abschnitt Programs von ZoneAlarm eine Liste der registrierten Anwendungen, die ein Feintuning der Rechte erlaubt. Für jede Applikation kann nach lokaler und Internet-Zone getrennt festgelegt werden, ob und wie sie mit dem Netz kommunizieren darf. Hier ist etwa zu definieren, ob Programme auch als Server Daten nach außen weitergeben dürfen. Fazit Im Test lässt sich ZoneAlarm weder durch Portscanner noch durch Trojaner aus der Ruhe bringen. Zuverlässig unterbindet es unerwünschte Netzzugriffe und blockiert Backdoor-Clients. FIN-Scans über nmap führen zwar zu keinem verwertbaren Ergebnis, werden von der Firewall allerdings nicht registriert. Ansonsten protokolliert ZoneAlarm alle Vorfälle und unterstützt dadurch den Nachweis möglicher Attacken und das manuelle Feintuning der Firewall. Mit seiner Kombination aus intuitiver Bedienbarkeit und detaillierten Konfigurationsmöglichkeiten eignet sich ZoneAlarm gut als Firewall-Basisschutz für Desktop- PCs. Auch Einsteiger kommen problemlos mit dem Tool klar, wozu nicht zuletzt die quasi selbst lernende Application Level Firewall beiträgt. Einen Virenschutz bringt ZoneAlarm nicht mit. Auch die MailSafe- Funktion der kostenlosen Variante ist eher als rudimentär zu betrachten. Sie soll wohl den Umstieg auf das kostenpflichtige ZoneAlarm Plus schmackhaft machen. Fazit Zwar gestaltet sich der Einsatz moderner Desktop-Firewalls wesentlich benutzerfreundlicher als der ihrer Vorgänger oder der Hardware-basierten Vettern im Profi- Bereich. Ohne intime Kenntnisse der TCP/ IP-Protokoll-Suite allerdings lässt sich ein Rechner auch mit diesen Werkzeugen kaum wasserdicht gegen unerwünschte Besucher aus dem Netz abschotten. Eine rühmliche Ausnahme stellen da die obendrein für den Privatgebrauch kostenlosen Tools Sygate Personal Firewall und ZoneAlarm dar. In LAN und Internet gleichermaßen zu Hause, konfigurieren sich diese Firewalls durch den bloßen Gebrauch nahezu von alleine. Eine übersichtliche Oberfläche und intuitive Bedienung bieten beide. Durch ihre erstklassigen Protokollierungsfunktionen und die umfangreichen Möglichkeiten zur individuellen Konfiguration sticht die Sygate Personal Firewall jedoch die ZoneLabs- Konkurrenz letztlich klar aus. Nicht ganz so übersichtlich wie SPF und ZA, aber ebenso selbstkonfigurierend und zum Nulltarif präsentiert sich die Tiny Personal Firewall. Sie eignet sich mit ihren umfassenden Möglichkeiten zur Definition eigener Filterregeln speziell für erfahrene Anwender. Ein Tipp zum Schluss: Vernachlässigen Sie bei der Konfiguration Ihrer Firewall die ausgehenden Ports nicht. Jeder im LAN oder WAN eingebundene Rechner unterliegt aus den verschiedensten Gründen die im Regelfall nichts mit Attacken zu tun haben häufigen Scans seiner IP- Ports. Viel interessanter ist es für den User inzwischen, genau zu kontrollieren, welche Daten über die Ports seines PCs nach außen wandern. (jlu) Weitere Links zum Thema tecdaten alle Daten im Überblick Firewall-Grundlagen Linux als Firewall Safer surfen Dem Surfer auf der Spur Virenscanner im Test Die Technologie von TCP/IP Webcode d405 a682 a695 a395 a284 a214 a209 webcode: a405 39

38 tecdaten / Personal Firewalls Anbieter Aladdin Lockdown Corp. Norman Sygate Technologies Tiny Software Zone Labs Produkt esafe Desktop Lockdown Millenium Norman Personal Sygate Personal Tiny Personal ZoneAlarm Pro v1.1.0 Firewall 1.20 Firewall 5.0 Firewall A Internet Preis (Euro) 82,00 72,00 41,00 20,50 30,00 31,00 Preis private Nutzung (Euro) 82,00 72,00 41,00 kostenlos kostenlos kostenlos Systemvoraussetzungen Betriebssysteme Windows 95 bis XP Windows 95 bis XP Windows 95 bis XP Windows 95 bis XP Windows 95 bis XP Windows 95 bis XP Hauptspeicher (MByte) 32 keine Angabe keine Angabe Festplatte (MByte) 15 keine Angabe Komponenten Firewall ja rudimentär ja ja ja ja Anti-Virus ja Anti-Trojan-Scan nein nein nein nein Sandbox ja nein nein nein nein nein Privacy ja Cookie-Filter ja nein nein nein Kindersicherung indirekt über Firewall nein nein nein nein nein Ad-Blocker nein nein ja nein nein nein Firewall-Features Ports positiv / negativ nein positiv / negativ positiv / negativ positiv / negativ nein IP-Adressen positiv / negativ negativ positiv / negativ positiv / negativ positiv / negativ positiv Adressbereiche positiv / negativ nein nein positiv / negativ positiv / negativ positiv Applikation ja ja ja positiv / negativ positiv / negativ ja Protokoll ja ja ja ja ja nein Basis-Modus Negativliste Negativliste Positivliste Positivliste Negativliste Positivliste Selbstlern-Modus ja ja ja ja ja ja Sicherheits-Zonen / Stufen nein / ja nein / ja ja / nein nein / nein ja / ja ja /ja Schutzwirkung Alarmierung lokal nein lokal lokal Portscan Registrierung teilweise teilweise ja ja teilweise teilweise Portscan Alarmierung nein teilweise nein ja teilweise teilweise BO2K-Server-Block ja nein ja ja ja ja BO2K-Port-Block nein ja ja ja ja ja Wertung Bedienung (20%) 4,8 3,0 6,6 7,2 4,8 9,0 Flexibilität (30%) 8,4 4,8 7,2 7,2 9,6 7,2 Schutzwirkung (50%) 3,6 5,2 6,8 9,6 6,4 6,4 Gesamtwertung 5,3 4,6 6,9 8,4 7,0 7,2 Testverfahren Firewalls Personal Firewalls müssen unerlaubte Zugriffe auf den geschützten Rechner zuverlässig abblocken. Wir testen diese Fähigkeit mit typischen Angriffstools. Als Testsystem dient ein Pentium III/650 mit 128 MByte Hauptspeicher und 20,5-GByte-EIDE-Festplatte. Als Betriebssystem kommt Microsoft Windows XP Professional (v ) zum Einsatz. Auf der Festplatte des PCs befindet sich eine manuell konfigurierte Kopie der BackOrifice-2000-Backdoor (BO2K, die im Stealth- Mode auf einem manuell eingestellten Port (20961) operiert. Nach der Installation erfolgt eine je nach den Fähigkeiten der untersuchten Firewall möglichst restriktive Konfiguration, die jedoch den Parallelbetrieb von Internet-Zugriff und Microsoft-Windows-Netzwerk ermöglichen muss. Anschließend nehmen wir die Firewall-Konfiguration näher unter die Lupe. Dazu nutzen wir den Portscanner nmap-3.00 (http://www.insec ure.org/nmap/), den wir auf einer unter Red Hat Linux 7.2 laufenden Workstation installiert haben. Mittels Scans der Typen TCP connect(), UDP, SYN Stealth und FIN suchen wir nach offenen Ports sowie nach Informationen über das Betriebssystem des Angriffsziels. Die durch das Tool ausgelösten, zahlreichen Portscans sollte die Personal Firewall idealerweise blocken, auf jeden Fall aber protokollieren und den Anwender alarmieren. Des Weiteren sollte der Scanner keine verwertbaren Informationen über offene Ports und das eingesetzte Betriebssystem erlangen können. Ein solches Stealth-Verhalten verbirgt den Rechner vor potenziellen Angreifern. Zu guter Letzt versuchen wir, den Testrechner über BO2K zu manipulieren. Auch hier sollte die Firewall den unautorisierten Zugriff auf den Port vermerken und blockieren sowie den Anwender unverzüglich alarmieren. 40 webcode: a405

39 SPECIAL / Virenscanner Konzertierte Aktion Ein von Viren lahm gelegtes Netzwerk kostet die betroffenen Firmen Unsummen. Den Arbeitsausfall mit eingerechnet, kommen schnell hunderttausend Euro zusammen. Mit der richtigen Strategie lässt sich dem Worst Case vorbeugen. Von Thomas Rieske Executive Summary / Virenscanner Wie verwundbar viele Unternehmensnetze sind, hat die letzte Massenepidemie mit den Plagegeistern aus der Klez-Familie wieder einmal nachhaltig bewiesen. Offenbar haben Administratoren den Virenschutz weltweit jahrelang sträflich vernachlässigt, als hätte es ILOVEYOU und seine diversen Nachfolger nie gegeben. So konnte der Klez-Wurm als Mailanhang ungebremst über das Internet-Gateway bis zum Mailserver vordringen, wo er schlussendlich in den Postfächern der User landete. Diese wiederum starteten unbedacht die Attachments der Nachrichten, was nicht nur ihre Rechner, sondern über verbundene Netzwerkfreigaben auch die entsprechenden Fileserver infizierte. Teilweise reichte schon die Anzeige über die Vorschaufunktion von Outlook aus, um die Verbreitungsroutine in Gang zu setzen. Diese holte sich die Namen weiterer Opfer aus dem Windows-Adressbuch und verschickte sich selbstständig an sie. In Windeseile verbreitete sich der Schädling und legte ganze Netzwerke lahm. Am Ende wussten sich viele Administratoren der Plage nicht mehr anders zu erwehren, als die betroffenen Server abzuschalten und die Clients rigoros vom LAN abzuklemmen, indem sie die physikalische Verbindung unterbrachen. Nach Einschätzungen von Experten liegt der verursachte Schaden weltweit bei 1,5 Milliarden US-Dollar bislang, denn noch immer führt Klez die Infektionsstatistiken an, da es weiterhin Administratoren gibt, die die Lücke nicht schließen. Um ein Firmennetz zuverlässig gegen Viren abzusichern, ist eine Doppelstrategie notwendig. Einerseits ist der Client-Schutz weiter unverzichtbar. Andererseits muss man diesen Ansatz durch eine zentrale Lösung ergänzen, die Gateway, Mail- und Fileserver einbezieht. Pflege und Administration der eingesetzten Antivirenprogramme erfolgen über ein zentrales Management-Tool. Es besteht jedoch auch die Möglichkeit, externen Dienstleistern diese Aufgabe zu überlassen. Social-Engineering-Attacken hingegen lassen sich nur durch organisatorische Maßnahmen eindämmen. Der Wurm vereint sämtliche Charakteristika, die moderne Malware so gefährlich machen: Er verbreitet sich per , nutzt Sicherheitslöcher gängiger Software aus und bringt Netzwerkfunktionalität mit. Diese Wirkungsweise gibt gleichzeitig die Verteidigungsstrategie vor. Man muss alle Einfallschneisen von oben nach unten abriegeln: Gateway, Mail- und Fileserver sowie Clients. Nicht zu vergessen ist dabei der menschliche Faktor, der jede noch so raffinierte technische Maßnahme außer Kraft setzen kann. Torwächter Paradox: Obwohl 90 Prozent der Unternehmen Antivirensoftware in der einen oder anderen Form einsetzen, klagen 85 Prozent von ihnen regelmäßig über Vorfälle mit digitalen Parasiten. Das zahlenmäßige Missverhältnis, nachzulesen in der von CSI und FBI durchgeführten Studie Computer Crime and Security Survey 2002, weist auf eine insgesamt wenig durchdachte Strategie der Firmen hin. Offenbar verlassen sich zu viele Administratoren hauptsächlich auf den Virenschutz an den Arbeitsplätzen und sichern die Außengrenzen ihres Netzwerks zum Internet nur unvollständig, Mail- und Webserver sind also ungeschützt. 42

40 Virenscanner / SPECIAL Der Schutzgrad an diesen Nahtstellen hat zwar seit 1997 kontinuierlich zugenommen nicht zuletzt weil eine erstmal betroffene Firma dann letztlich doch auf eine konsequente Schutzstrategie setzt. Allerdings verzichten noch immer gut 15 Prozent der Administratoren in Firmen auf den Einsatz eines Scanners am -Gateway. Hierbei vergessen sie jedoch, dass sich mittlerweile mehr als 90 Prozent aller aktuellen Viren und Würmer über das Web verbreiten, eine überwältigende Mehrheit davon kommt als Anhang per . Sinnvollerweise muss eine vernünftige Sicherheitsstrategie also genau dort ihren ersten Schutzwall aufbauen, wo die moderne Malware auch zuerst eintrifft: auf den Gateway-Rechnern, dem Eintrittspunkt unmittelbar vor dem Firmennetz. Damit fällt auch der Schutz späterer Instanzen im LAN leichter, weil viele Schädlinge hier enden. Die Produkte der Anbieter von Sicherheits-Software erlauben nicht nur das Scannen des -Verkehrs über SMTP und POP3. Auch aus dem Traffic, der über HTTP und FTP läuft, filtern sie schädlichen Code aus. Wie ihre bekannteren Vertreter auf dem Desktop benötigen diese Programme ebenfalls regelmäßige Updates der Virensignaturen, um exakte Ergebnisse zu liefern. Welche Dateitypen durchsucht werden, lässt sich dabei individuell festlegen. Zu den üblichen Verdächtigen gehören ausführbare Dateien sowie Dokumente von Microsoft Office. Wer die Suche zusätzlich auf Archive ausdehnt, besonders wenn diese rekursiv geschachtelt sind, muss häufig deutliche Performance-Einbußen in Kauf nehmen. Schließlich erfolgt die Kontrolle in Echtzeit. Module wie der InterScan emanager von Trend Micro sorgen sogar dafür, dass Spam-Mails bereits an der Schwelle zum LAN scheitern. Leichtsinnig: Nach wie vor verzichten 15 Prozent der Firmen auf einen Virenscanner am Internet-Gateway, die Hälfte kommt ohne Schutz auf Firewall und Proxy aus. Einfallschneise Internet: Die meisten digitalen Schädlinge stammen aus dem Web, die überwältigende Mehrzahl kommt per . tecchannel tecchannel Mail- und Fileserver Als zweite Verteidigungslinie bietet sich der Mailserver an. Ein darauf installierter Schutz fängt das ab, was sich am Gateway vorbeigemogelt hat bevor es in den Postfächern der Anwender landet. Eine gute Software bietet die Möglichkeit, die Anhänge, auch gepackte, aller ein- und ausgehenden s auf bösartige Programme hin zu filtern. Die Prüfung muss sich jedoch gleichfalls auf den Textbody erstrecken, ansonsten rutschen darin eingebettete Script- Befehle durch, wie sie in HTML-kodierten Mails ja möglich sind. Wird eine infizierte Mail entdeckt, empfiehlt es sich, diese samt Attachment in ein Quarantäneverzeichnis zu leiten. Würde man sie sofort löschen, wäre damit auch gleichzeitig das Beweismittel für die spätere Spurensuche verloren. Einen Hinweis auf den eingetretenen Sachverhalt muss auf jeden Fall der Systemverwalter erhalten. Ein flexibles Benachrichtigungssystem erlaubt außerdem, Absender und Empfänger vom Virenfund in Kenntnis zu setzen und geeignete Maßnahmen einzuleiten. Wer als Mailserver die gängigen Produkte Microsoft Exchange und Lotus Notes einsetzt, wird bei allen Anbietern von Antiviren-Software fündig. Abseits dieser Mainstream-Programme, etwa für den Mercury- Mailserver, sieht es allerdings schlecht aus. Wenn Anwender Dateien gemeinsam nutzen, ist ein auf dem Fileserver installierter Virenschutz ebenfalls sinnvoll. Dazu gehört ein Virenwächter, der permanent im Hintergrund läuft. Er verhindert in Echt- webcode: a214 43

41 SPECIAL / Virenscanner zeit, dass verseuchte Dateien geschrieben oder gelesen werden können. Der Nachteil liegt in einer verminderten Performance, wenn viele User gleichzeitig auf Datenbestände zugreifen. Mindestens einmal pro Woche sollte man zusätzlich einen expliziten Suchlauf einplanen, am besten in der Traffic-armen Zeit. Back to the Roots Die neuralgischen Punkte Internet-Gateway und Mailserver sind gegen Malware gesichert, sogar auf dem Fileserver hat der Admin einen Virenscanner installiert. Lohnt sich da überhaupt noch ein Virenschutz auf den Clients? Schließlich ist es ungleich aufwendiger, mehrere hundert PCs zu verwalten als einige wenige zentrale Systeme. Wer so denkt, übersieht allerdings zwei Dinge: erstens die Gefahr, die von mobilen Rechnern ausgeht. Ein typisches Beispiel ist der Außendienstmitarbeiter, der sich bei einer Kundenpräsentation vor Ort mit seinem Notebook ins fremde LAN einloggt und sich dabei im schlimmsten Fall einen Virus einfängt. Zurück in der Firma, meldet er sich wieder im dortigen Netzwerk an und infiziert andere, ebenfalls schutzlose Clients. Ein Schädling wie Klez deaktiviert überdies etwaige vorhandene Antiviren- Software, so dass der Schutz auf Gateway und Servern von innen ausgehebelt wird. Zweitens schafft der zunehmende Einsatz von Verschlüsselung Probleme. Denn Virenscanner, die direkt am Gateway oder am Mailserver nach digitalen Parasiten fahnden, tappen im verschlüsselten Datenstrom im Dunkeln. Die denkbar unsicherste Lösung ist es, am Server einen Generalschlüssel zu hinterlegen. Das Risiko, dass dieser Passepartout Unbefugten in die Hände fällt, ist einfach zu groß. Darüber hinaus lassen sich damit im Fall der Fälle nicht nur sämtliche Mails entschlüsseln, sondern auch noch digitale Signaturen kompromittieren und so gefälschte s unter dem Siegel der Firma verschicken, was Schaden in erheblichem Maß nach sich ziehen kann. Somit ist ein dedizierter Schutz für den Client also weiterhin unabdingbar. Erst auf dieser Ebene werden die Nachrichten dechiffriert inklusive eventuell verseuchter Attachments. Für Gerald Maronde, Technical Account Manager für Firmenkunden bei Symantec, gilt ohnehin: Optimaler Virenschutz muss auf allen Ebenen ansetzen. Desktops und Notebooks gehören ebenso dazu wie Internet-Gateways und Server. Welche Virenscanner für den Desktop vor aktuellen Gefahren schützen, erfahren Sie in unserem Test (webcode a214). Doch erst mit den richtigen Managementwerkzeugen lässt sich der Verwaltungsaufwand auch in größeren und komplexeren Umgebungen in einem vertretbaren Rahmen halten. Diesem Aspekt wollen wir uns im Folgenden widmen. Management Für einen effektiven Schutz muss auf Gateways, Servern und Clients eine Antivirenlösung installiert sein, die stets auf dem aktuellen Stand ist. Angesichts von zirka Alles unter Kontrolle: Das Management-Tool epolicy Orchestrator von Network Associates verwaltet die Antiviren-Software von zwei Herstellern. Tücke eines zentralen Dienstes: Während anfallender Wartungsarbeiten des externen Dienstleisters müssen Kunden auf ihren Webreport verzichten. 200 neuen Viren und Würmern pro Woche ist mittlerweile ein tägliches Update der Signaturdateien unbedingt erforderlich. Schon ein einziger Rechner ohne ausreichenden Schutz genügt, um das ganze System auszuhebeln. Darum rückt seit einiger Zeit das Management der eingesetzten Antiviren-Software in den Vordergrund. Das Herzstück einer solchen Lösung besteht aus einer zentralen Konsole, von der aus sich die Virenscanner auf allen Rechnern verwalten lassen. So kann der Administrator etwa verhindern, dass Benutzer Einstellungen verändern oder gar den Schutz vollständig deaktivieren. Eine Funktion zur Software-Verteilung verschickt nicht nur automatische und manuelle Updates, sondern lässt sich auch für Neuinstallationen verwenden. Außerdem treffen an der Konsole Rückmeldungen der Arbeitsplätze über die verwendete Version des Scanners sowie über gefundene Schädlinge ein. Daraus lassen sich Statistiken erstellen, die zeigen, wo im Unternehmen Virenvorfälle auftreten. Der Administrator kann so die Umsetzung der Sicherheitsrichtlinien kontrollieren. Kein Hersteller von Antiviren-Software kann es sich heute leisten, Enterprise-Pakete ohne solche Managementfunktionen anzubieten. Der Nachteil: Meist lassen sich nur Produkte aus dem eigenen Haus managen. Eine Ausnahme bildet epolicy Orchestrator, das Tool von Network Associates: Es verwaltet sowohl die Software von McAfee als auch die von Symantec. Als Bindeglied zwischen der installierten Antiviren-Software und der Managementlösung dient der Agent. Diese Software nimmt einerseits über die Konsole verteilte Anweisungen entgegen und sorgt für deren Umsetzung. Andererseits reicht sie 44

42 Virenscanner / SPECIAL sicherheitsrelevante Meldungen wie beispielsweise fehlgeschlagene oder erfolgreiche Updates an die Konsole weiter. Es gibt mehrere Möglichkeiten, den Agent auf den Zielmaschinen zu installieren. Wer nicht auf die in der Software integrierte Verteilfunktion vertraut, kann das Setup über das Login-Script eines Windows- oder Netware-Servers aufrufen vorausgesetzt, die User besitzen die dazu erforderlichen Rechte. Größere Firmen setzen aber meist schon System-Management-Produkte wie Microsoft SMS oder Tivoli ein und werden mit deren Hilfe ein komplettes Installationspaket schnüren. Hilfe von außen Wer Pflege und Administration von Antivirenprogrammen scheut, kann auf den Service externer Dienstleister zurückgreifen. Nicht aktualisierte oder falsch konfigurierte Sicherheits-Software gehört damit der Vergangenheit an, versprechen die Anbieter. Die Palette reicht vom reinen Schutz vor infizierten s bis hin zum kompletten Management des Security-Bereichs. Gerade kleine und mittlere Unternehmen mit wenig IT-Personal verzichten häufig auf einen eigenen Mailserver. Stattdessen nutzen sie die Ressourcen ihres Providers oder Hosters. Einige von ihnen bieten an, s vor der Zustellung auf Viren zu prüfen. 1&1 Puretec beispielsweise setzt den Scanner von Symantec ein. Dieser Service kostet jedoch extra: Kunden zahlen je Monat und Postfach 1,99 Euro. Bei der 1&1-Tochter Schlund + Partner hingegen ist der Virenschutz bereits in allen Web-Hosting- Paketen enthalten. Eher an Großkunden richten sich hingegen Offerten wie die Managed Antivirus Services von McAfee. Unter verschiedenen Modulen lässt sich die jeweils geeignete Lösung auswählen. VirusScreen ASaP etwa untersucht alle ein- und ausgehenden elektronischen Nachrichten auf Schädlingsbefall. Dazu muss allerdings der Mail-Exchange- Eintrag an die IP-Adresse des McAfee-Servers umgeleitet werden. VirusScreen ASaP kostet 0,05 US-Dollar pro Tag und Mailbox. Noch einen Schritt weiter geht VirusScan ASaP. Der Anwender installiert diese Applikation einmalig vom McAfee-Webserver auf seinem PC. Alles andere wie Aktualisierung und Berichterstattung geschieht von da an automatisch über eine gesicherte Internet-Verbindung. Da VirusScan ASaP als On-Access-Scanner konzipiert ist, empfiehlt der Hersteller, den Dienst nicht auf Servern mit einem höheren Datenaufkommen einzusetzen. Restrisiko Mensch Auf nichts ist so sehr Verlass wie auf menschliche Schwächen. Bequemlichkeit und ungezügelte Neugier ermöglichen es Virenprogrammierern, ihre digitalen Schädlinge in Umlauf zu bringen. Nimda und Code Red beispielsweise verdanken ihren Siegeszug ungestopften Sicherheitslöchern in Microsofts Internet Information Server. Hier hatten zahlreiche Administratoren schlichtweg geschlafen und den seit geraumer Zeit verfügbaren Patch des Herstellers nicht eingespielt. Häufiger nehmen Virenprogrammierer jedoch den Anwender als schwächstes Glied in der Abwehrkette aufs Korn in der Regel erfolgreich. Das Mittel zum Zweck heißt . Eingängig gewählte Betreffzeilen verleiten eine Vielzahl von Usern dazu, verseuchte Attachments zu starten. Im Falle von ILOVEYOU reichten Liebesgrüße eines unbekannten Absenders, der Script-Wurm Anna Kournikova versprach ein Bild des Tennis-Starlets. Solch leichtsinniges Verhalten lässt sich am ehesten durch eine Security Policy in den Griff bekommen. Diese Richtlinien enthalten die Sicherheitsziele, berücksichtigen gesetzliche Vorgaben und fördern die Eigenverantwortung der Mitarbeiter, etwa durch regelmäßige Schulungen. Vor allen Dingen aber ist es notwendig, die formulierten Ziele regelmäßig zu prüfen IT-Sicherheit ist keine einmalige Aufgabe, sondern ein fortwährender Prozess. Allerdings setzt gerade mal ein Viertel der europäischen Unternehmen auf ein verbindliches Regelwerk, das ständig angepasst wird. Noch weniger leisten sich einen Chief Security Officer, der die Strategien umsetzt notfalls auch gegen internen Widerstand. Entsprechend hoch muss die Security-Abteilung aufgehängt sein, bei der Münchener Rück beispielsweise als Stabsstelle direkt unter dem CIO. Firewall menschlich: Human Firewall plädiert dafür, die menschliche Komponente einzubeziehen. Fazit Schutz vor Malware beginnt vor den Toren des Firmennetzwerks: am Internet-Gateway. Aus dem Web stammen immerhin über 90 Prozent der Schädlinge, die ein Virenscanner bereits an dieser Stelle aufhalten kann. Ein solches Tool sollten Sie auch auf Mail- und Fileservern einsetzen den nächsten potenziellen Angriffszielen von Viren, Würmern und Trojanern. Der zentrale Ansatz stößt aber dort an seine Grenzen, wo etwa mobile Rechner und Verschlüsselung ins Spiel kommen. Ein Virenschutz auf den Clients ist also nach wie vor notwendig. Zur Administration und Pflege der eingesetzten Sicherheitslösung gibt es Management-Tools. Die Hersteller von Antiviren-Software bieten diese in der Regel in ihren Business-Paketen an. Trotz dieser Utilities bleibt der damit verbundene Aufwand relativ hoch. Daher bietet eine Reihe von Dienstleistern den Firmen an, diese Aufgabe zu übernehmen. Die Angebote reichen vom Scannen der ein- und ausgehenden E- Mails bis zum kompletten Desktop-Schutz. Den Vorteil stets aktueller Antiviren-Software erkauft man sich jedoch mit der Abhängigkeit von einem Anbieter. So sehr technische Maßnahmen das Risiko eines Virenbefalls auch minimieren, der Mensch ist und bleibt das schwächste Glied in der Verteidigungskette. Social-Engineering-Techniken nutzen diese Tatsache aus wie etwa ILOVEYOU gezeigt hat. Egal ob leichtsinniges oder vorsätzliches Verhalten: Diese Gefahrenquelle lässt sich nur durch organisatorische Maßnahmen, wie verbindliche Sicherheitsrichtlinien und Schulungen, eindämmen. (tri) Weitere Links zum Thema Virenscanner im Test Computerviren: Grundlagen Viren unter Linux Sicher im Web unterwegs Webcode a214 a213 a681 a931 Quelle: webcode: a214 45

43 SPECIAL / VPN mit Linux Privateingang ins Firmennetz Virtual Private Networks bieten eine sichere und preiswerte Zugangsmöglichkeit von außen via Internet ins Firmen-LAN. Unser Workshop zeigt, wie sich ein VPN unter Linux mit Free S/WAN realisieren lässt. Von Jörg Luther Seinen Mitarbeitern den Zugriff auf das Firmennetz von unterwegs oder zu Hause anzubieten, war bislang eine kostspielige Angelegenheit. Der Remote Access per Direkteinwahl ins Netzwerk setzt zum einen erhebliche Investitionen in Hardware und Telekommunikationsinfrastruktur voraus. Zum anderen laufen im Betrieb schnell stattliche Verbindungskosten auf, da die Connections zu Telefontarifen abgerechnet werden müssen. Schon bei einem mittelständischen Betrieb mit mehr als nur einer Hand voll mobiler oder von zu Hause agierender Mitarbeiter kommen schnell mehrere zehntausend Euro für Verbindungsentgelte zusammen. Außerdem müssen ausreichend viele Einwahlleitungen zur Verfügung stehen, die Fixkosten verursachen. Executive Summary / VPN mit Linux Als vielversprechende, deutlich preisgünstigere Alternative bietet sich der Ersatz der Dial-in-Connections durch eine Anbindung via Internet an. Das Netz der Netze ist nahezu überall zugänglich und lässt sich zu minimalen Kosten nutzen. Für die Anbindung von Home Offices oder Zweigstellen ans Unternehmensnetz eignet sich eine DSL- Flatrate-Verbindung ideal als Standleitungsersatz. Als Haar in der Suppe erweist sich dabei allerdings die Sicherheit: Via Internet transportierte Daten kann jedermann mitlesen oder noch schlimmer unterwegs modifizieren. Die Einrichtung eines virtuellen privaten Netzes (VPN) über das Internet löst das Problem. Authentizität und Integrität der transportierten Daten schützt die Security Die kostengünstige Einbindung externer Mitarbeiter via Internet in das Firmennetz löst die bisher üblichen, in Anschaffung und Betrieb teuren Einwahlsysteme per ISDN oder Modem zunehmend ab. Der vorliegende Workshop demonstriert, wie sich das zu einer solchen VPN-Lösung notwendige Security Gateway einfach und kosteneffektiv unter Linux einrichten lässt. Für den sicheren Betrieb sorgen dabei die IPsec-Implementation Free S/WAN sowie die Abwicklung von Authentifizierung und Schlüsseltausch mittels X.509-Zertifikaten. Architecture for the Internet Protocol (RFC 2401), besser bekannt unter dem prägnanten Kürzel IPsec. Eine ebenso preiswerte wie leistungsfähige Plattform für die Implementation gibt dabei das Duo Linux und Free S/WAN ab. Linux eignet sich ideal als Grundlage für einen IPsec-basierten Security Gateway, da es sich im Laufe der Zeit zu einer stabilen und gut abzusichernden Betriebssystemplattform entwickelt hat. Darüber hinaus helfen seine umfassenden Firewalling-Fähigkeiten bei der Abschottung gegen Angriffe aus dem Internet. Allerdings bringt Linux von Haus aus noch keine Implementation der IPsec-Architektur mit. Sie lässt sich jedoch mit dem Paket Linux Free S/WAN (http://www.freeswan.org/) nachrüsten, einem Gemeinschaftsprojekt eines guten Dutzends ambitionierter Programmierer und Kontributoren. Free S/WAN besteht aus zwei Hauptkomponenten: KLIPS (kernel IPsec) implementiert die notwendigen Protokolle und das zugehörige Handling im Kernel. Der Daemon Pluto kümmert sich um den Verbindungsaufbau und Schlüsselaustausch. Eine ganze Reihe von Scripts schließlich ergänzt den Free-S/WAN-Kern um ein Administrations-Interface. 46

44 VPN mit Linux / SPECIAL Bevor wir allerdings zur Konfiguration von Kernel, Free S/WAN und Windows-Clients schreiten, sehen wir uns den Aufbau und die Funktionsweise von IPsec näher an. tecchannel. tecchannel IPsec im Überblick Das gerne als Secure Internet Protocol apostrophierte IPsec stellt eigentlich eine Suite aus Protokollen und Techniken dar, mit deren Hilfe sich sichere Verbindungen via Internet aufbauen lassen. Den allgemeinen Aufbau dieser offiziell als Internet Protocol Security bezeichneten Architektur beschreiben die RFCs 2401 bis 2410, Ergänzungen für spezielle Einsatzzwecke finden sich in den RFCs 2207, 2709, 3104 und Zur Realisierung einer sicheren Verbindung stellt IPsec die Integrität und Vertraulichkeit der transportierten Daten durch Authentifikation und Verschlüsselung sicher und ermöglicht parallel dazu eine Zugriffskontrolle auf Benutzerebene. Zu diesem Zweck implementiert es auf der Netzwerkebene zwei Transportmodi (Transport und Tunnel Mode) sowie zwei zugehörige Sicherheitsfunktionen (AH und ESP). Im Transport Mode kommunizieren zwei Hosts direkt via Internet miteinander. In diesem Szenario lässt sich IPsec dazu nutzen, die Authentizität und Integrität der Daten zu gewährleisten. Man weiß also genau, mit welchem Partner man gerade kommuniziert, und man kann sich zusätzlich darauf verlassen, dass die Pakete unterwegs nicht verändert wurden. Per optionaler Verschlüsselung lässt sich verhindern, dass Unbefugte die Inhalte mitlesen. Da hier zwei Stationen direkt über ein frei zugängliches Netz miteinander Daten austauschen, ist es jedoch nicht möglich, Ursprung und Ziel des Datenstroms zu verschleiern. Der Tunnel Mode kommt stets dann zum Einsatz, wenn mindestens einer der beteiligten Rechner nicht direkt angesprochen werden kann, sondern nur über ein Security Gateway erreichbar ist. In diesem Fall bleibt einer der Kommunikationspartner der hinter dem Gateway vor potenziellen Lauschern verborgen. Tauschen gar zwei Netze über ihre Security Gateways Daten aus, dann lässt sich von außen gar nicht mehr bestimmen, welche Rechner hier tatsächlich miteinander kommunizieren. Auch im Tunnel Mode besteht natürlich die Möglichkeit, Authentifizierung, Integritätskontrolle und Verschlüsselung einzusetzen. Der IP Authentication Header (AH, RFC 2402) sorgt dafür, dass sich Herkunftsangabe und Inhalt der transportierten Daten nicht unbemerkt durch Dritte verändern lassen. Dazu wird ein Hash-Wert über alle statischen IP-Header-Daten sowie die gesamten Nutzdaten errechnet und zusammen mit weiteren Kontrollfeldern hinter dem ursprünglichen IP-Header eingefügt. Durch die Überprüfung dieses Werts kann der Empfänger nachträgliche Manipulationen an Kopf- oder Nutzdaten erkennen. Variable IP-Header-Daten, die sich im Verlauf der Übertragung verändern können, bleiben von diesem Schutz notgedrungen ausgenommen. Via Security Gateway: Im Tunnel Mode wird das Paket komplett in einen neuen Umschlag gepackt und verschlüsselt. Von Host zu Host: Im Transport Mode bleibt der originäre IP-Header bestehen, nur TCP und Daten werden verschlüsselt. Authentifizierung bei IPsec Der Authentication Header kommt sowohl im Transport als auch im Tunnel Mode zum Einsatz. In der Transport-Variante residiert er zwischen dem ursprünglichen IP-Header des Pakets und den Nutzdaten. Beim Tunneling dagegen verpackt der Gateway das komplette Datenpaket samt Header- Daten in ein neues IP-Paket. Hier findet sich der AH zwischen den neuen Kopfdaten und dem ursprünglichen Paket. In beiden Modi stellt er jedoch nur Authentizität und Integrität der Daten sicher, nicht aber deren Vertraulichkeit: Er implementiert keinerlei Verschlüsselung. Für die Vertraulichkeit der Daten sorgt durch Verschlüsselung die IP Encapsulated Security Payload (ESP, RFC 2406). Mittels eines Headers und eines Trailers umschließt das Protokoll die verschlüsselten Nutzdaten. Ein optionales ESP-Auth-Feld am Paketende kann ähnlich wie der Authentication Header Informationen zur Integrität der verschlüsselten Daten aufnehmen. Im Transport-Modus schließen ESP Header und Trailer lediglich die reinen IP-Nutzdaten ein, der Paket-Header bleibt völlig ungeschützt. Im Tunneling Mode allerdings umfassen die Nutzdaten das gesamte Ursprungspaket des Absenders, das der Security Gateway in ein neues Datenpaket eingebunden hat. Damit lassen sich für Dritte nur noch die Transportdaten des Gateways einsehen. Das gesamte ursprüngliche IP- Paket samt Sender- und Empfängerdaten dagegen liegt verschlüsselt vor. In diesem Fall gewährleistet ESP also nicht nur die Vertraulichkeit der Daten, sondern auch die der Verbindung. Security Association via IKE Um für eine Verbindung ESP/AH einsetzen zu können, müssen sich die Kommunikationspartner zunächst über die Mechanismen und Algorithmen für das Hashing sowie die Authentifizierung und Verschlüsselung einigen. Des Weiteren müssen beide Seiten die notwendigen Schlüssel sowie deren Gültigkeitsdauer kennen. Diese Parameter handeln die beiden Endpunkte einer IPsec- webcode: a897 47

45 SPECIAL / VPN mit Linux Glossar MMC / VPN mit Linux Die Microsoft Management Console zentralisiert alle Verwaltungsaufgaben von Windows 2000/XP unter einer Oberfläche. Zusätzliche Dienste lassen sich einfach über Snap-Ins einrichten. RSA RSA (nach den Entwicklern Rivest, Shamir, Adelman): Verschlüsselungsverfahren, bei dem jeder Partner einen allgemein bekannten (public) und einen geheimen (private) Schlüssel besitzt. Unterschiedliche Implementierungen nutzen verschiedene Schlüssellängen. Als unsicher gelten derzeit Schlüssellängen von unter 900 Bit. VPN Virtual Private Network. Beim VPN lassen sich über ein öffentliches Datennetz, wie etwa das Internet, sichere private Verbindungen beispielsweise in das Firmennetz aufbauen. Kurz und schmerzlos: Unsere Free-S/WAN-Konfigurationsdatei für den Roadwarrior- Einsatz. Die Kommunikationspartner sollen sich per Zertifikat ausweisen. Connection bei jedem Verbindungsaufbau aus. Es kommt quasi ein Vertrag die so genannte Security Association (SA, RFC 2408/2409) zwischen den Partnern zu Stande. Um die Sicherheit der Verbindung zu erhöhen, können über die SA die Schlüssel auch bei laufender Verbindung neu vereinbart werden. Dies erfolgt wahlweise in bestimmten Zeitabständen oder nach bestimmten Übertragungsmengen. Außerdem sorgt die Security Association durch die Möglichkeit zur individuellen Parametrisierung jeder Verbindung für die Zugriffskontrolle auf Benutzerebene. So lassen sich jedem Verbindungspartner eigene Schlüsselund Authentifizierungsverfahren und Kennungen zuordnen. Das Internet Key Exchange Protocol (IKE, RFC 2409) definiert den Ablauf beim Aushandeln einer IPsec SA inklusive der notwendigen Mechanismen. Das Verfahren wird auch als Internet Security Association and Key Management Protocol (ISAKMP) bezeichnet. Es löst das Problem des vertraulichen Verbindungsaufbaus zwischen zwei Gegenstellen, die keinerlei Informationen und ergo auch keine Schlüssel vom jeweiligen Kommunikationspartner haben. In IKE Phase 1 ( Main Mode ) vereinbaren die Verbindungspartner zunächst im Wechselspiel eine mögliche SA-Konfiguration samt der Algorithmen für Hashing, Authentifizierung und Verschlüsselung. Der Initiator der Verbindung unterbreitet der Gegenstelle (dem Responder ) einen entsprechenden Vorschlag, der mehrere Varianten umfassen kann. Der Responder sucht sich etwas Passendes heraus und quittiert den Vorschlag. Anschließend handeln die beiden Gegenstellen im Wechselspiel über den Diffie-Hellman-Algorithmus einen Secret Key aus, auf dessen Grundlage sich dann alle weiteren Daten verschlüsseln lassen. Dies gilt insbesondere für den nun fälligen Austausch der Identifikationsparameter (ID), die der Absender jeweils mit seinem Public Key signiert. Optional kann auch ein Zertifikat mitübertragen werden. In diesem Fall ermittelt der Empfänger daraus den Public Key des Absenders und ist damit in der Lage, die Signatur und die Identität des Senders eindeutig zu ermitteln. Fehlt das Zertifikat, braucht der Empfänger eine lokale Liste von IDs und zugehörigen Schlüsseln, aus denen er den Public Key entnimmt. Damit sind nun die Authentizität der Gegenstellen und die Vertraulichkeit der Verbindung gewährleistet. Damit kann IKE Phase 2 starten, der so genannte Quick Mode. Er baut die eigentliche IPsec SA durch die Vereinbarung der Parameter und Mechanismen für ESP und AH auf. Während einer IPsec-Session lässt sich der Quick Mode beliebig oft neu anstoßen, um neue Schlüssel für beide Seiten zu generieren. X.509-Zertifikate Wie bereits erwähnt, ist der Austausch der Public Keys am besten über X.509-Zertifikate (RFC 2459) zu bewerkstelligen. Ein solches Zertifikat ordnet einen Public Key eindeutig seinem Inhaber zu. Für die Glaubwürdigkeit des Zertifikats steht dessen Aussteller gerade, die so genannte Certification Authority (CA). Das Zertifikat beinhaltet Daten über den verwendeten Signaturalgorithmus, den Aussteller, den Inhaber und die Gültigkeitsdauer. Als wichtigste Information enthält es den Public Key des Inhabers. Die CA unterzeichnet das Zertifikat, indem sie einen Hash über die gesamten Daten bildet und diesen mit ihrem eigenen Public Key signiert. Um die Gültigkeit eines vorliegenden Zertifikats zu prüfen, muss der Empfänger also lediglich die Signatur mit dem Public Key der CA entschlüsseln und anschließend mit dem Hash-Wert vergleichen. Den Knackpunkt an diesem Verfahren bildet offensichtlich die Glaubwürdigkeit der CA. Diese ist zu erhöhen, indem sie ihr Zertifikat von einer weiteren Certification Authority signieren lässt und so weiter. Damit kann eine Kette des Vertrauens aufgebaut werden, an deren Spitze die so genannte Root CA steht. Sie unterschreibt ihr Zertifikat selbst. Die gesamte Zertifikatskette ist also letztlich nur so glaubwürdig wie ihre Root CA. Beim Einsatz von Zertifikaten für VPN- Verbindungen stellt das allerdings kein größeres Problem dar: Der Administrator des zu kontaktierenden Netzes ernennt sich einfach selbst zur Root CA und zertifiziert als solcher sowohl den Security Gateway selbst als auch alle in Frage kommenden Verbindungspartner. 48

46 VPN mit Linux / SPECIAL IPsec mit Free S/WAN Wie eingangs bereits beschrieben, liegt mit Free S/WAN eine komplette IPsec-Implementation für Linux mehr oder weniger gebrauchsfertig vor. Zwar bringen die meisten Distributionen das Paket schon mit. Erfahrungsgemäß empfiehlt es sich aber, bei der Einrichtung sowohl mit der neuesten Kernel- als auch der aktuellsten Free- S/WAN-Variante zu arbeiten. Für unser Beispiel haben wir ein Red Hat Linux 7.2 mit aktualisiertem Kernel sowie Free S/WAN 1.97 benutzt. Im Bedarfsfall lässt sich Free S/WAN jedoch auch mit Kerneln der 2.2er Serie zusammen nutzen. Hier benötigen Sie jedoch wenigstens Linux Außerdem gilt es zu bedenken, dass für den praktischen Einsatz meist die Kombination VPN-Gateway / Firewall zum Zug kommt. Hier bietet Kernel 2.4 durch die integrierte netfilter-architektur Vorteile. Zur Installation entpacken Sie die Kernel-Sourcen an die übliche Stelle ins Verzeichnis /usr/scr/linux und den Free-S/WAN- Tarball nach /usr/src/<freeswan-versionsnummer>. Anschließend nehmen Sie mit make menu config respektive make xconfig die Konfiguration des Kernels vor. Neben den für Ihr System gewünschten Einstellungen konfigurieren Sie dabei unter Networking Options / IPsec Options (Free S/WAN) die Einstellungen für Free S/WAN. Hier sind als Voreinstellung sämtliche vorhandenen Features ausgewählt. Dabei sollten Sie es auch belassen. Eine kleine Lücke lässt Free S/WAN in seinem Funktionsumfang jedoch bislang offen: Es unterstützt die Verwendung von X.509-Zertifikaten nicht. Dem ist aber mit einem an der Schweizer Universität Winterthur entwickelten Patch (http://www. strongsec.com/de/) leicht abzuhelfen. Um diesen einzuspielen, entpacken Sie den entsprechenden Tarball und kopieren die Datei freeswan.diff in das Quellverzeichnis von Free S/WAN. Das Kommando patch -p1 < freeswan.diff nimmt anschließend die erforderlichen Modifikationen vor. Zu guter Letzt kompilieren Sie den modifizierten Kernel, was sich am komfortabelsten durch die Eingabe von make kinstall im Free-S/WAN-Quellverzeichnis anstoßen lässt. Nach dem Eintrag des neuen Kernels beim Bootmanager und dem Neustart des Rechners können Sie die Wirksamkeit Ihrer Modifikationen in Augenschein nehmen: Ein dmesg an der Kommandozeile sollte Initialisierungsmeldungen von KLIPS und Fragen über Fragen: So läuft die Erstellung des Root-CA-Zertifikats ab. Damit das Zertifikat auch richtig zugeordnet werden kann, werden viele Informationen abgefragt. Pluto zu Tage fördern. Darüber hinaus lassen sich bei funktionierendem Free S/WAN mit ipsec version die Versionsnummer und mit ipsec whack status ein Statusreport von Pluto abfragen. Eventuell ist im Anschluss daran noch etwas Nacharbeit an den Runleveln notwendig. Da Free S/WAN den bestehenden Ethernet-Interfaces eth0 und eth1 noch ein ipsec0 hinzufügt, sollte das System zuerst das Networking, danach Free S/WAN und schließlich iptables starten. Unser Red Hat 7.2 initialisierte dagegen die Firewall vor Free S/WAN und ließ sich erst durch entsprechende Modifikationen in /etc/rc.d eines Besseren belehren. Konfiguration Unser Security Gateway soll gleichzeitig als Firewall agieren und externe Rechner mit beliebiger IP-Adresse bei Authentifizierung über ein X.509-Zertifikat an das interne Netz ( /16) anbinden. Er verfügt dazu über die zwei Interfaces eth0 (intern, /16) und eth1 (extern). Zwischen den beiden Interfaces muss das IP-Forwarding aktiviert sein. Zunächst einmal gilt es, die Firewall des Security Gateway dazu zu bewegen, die entsprechenden AH- und ESP- Pakete zu akzeptieren. Wir lassen also auf dem externen Interface in unserem Fall eth1 UDP-Pakete zu Port 500 (ESP) sowie den IP-Protokolltyp 50 (AH) passieren. Die Konfiguration von Free S/WAN selbst erfolgt über die Datei /etc/ipsec.conf. Hier benötigen wir drei Gruppen von Parametern: config setup umfasst die grundlegenden Settings, conn %default enthält die Basiseinstellungen für alle Verbindungen. Ein dritter Abschnitt, der ebenfalls mit dem Schlüsselwort conn sowie einem beliebigen Namen gekennzeichnet ist, regelt die Parameter für eine gleichnamige Verbindung. In unserem Beispiel nennen wir ihn nach der gängigen neuhochdeutschen Bezeichnung für mobile externe Mitarbeiter conn Roadwarrior. Unter config setup ist zunächst das Interface anzugeben, über das die IPsec-Verbindungsanfragen eingehen. Hier genügt in der Regel ein interfaces=%defaultroute, alternativ ist die IP-Adresse der Schnittstelle anzugeben. Das Debugging schalten wir durch Angabe von none für klipsdebug und plutodebug aus. plutoload und plu tostart setzen wir auf %search, damit Verbindungen erst auf konkrete Anfrage einer Gegenstelle hergestellt werden. uniqueids setzen wir auf no, so dass uns eine einzige Connection-Beschreibung für alle Roadwarriors genügt. Andernfalls müssten wir für jeden mobilen Mitarbeiter eine separate Verbindungsdefinition erstellen. Bei conn %default weisen wir mit key ingtries=0 den Gateway an, bei der Neuverhandlung von Schlüsseln möglichst viel Geduld walten zu lassen. Als Authentifizierungsmethode nutzen wir authby=rsasig, wobei sich beide Verbindungsseiten über ein Zertifikat ausweisen sollen: leftrsasig key=%cert und rightrsasigkey=%cert. Als left geben wir wiederum %defaultroute an, als leftsubnet unser internes Netz (hier: /16). Später werden wir hier noch den Parameter leftid ergänzen, den Bezeichner unseres Zertifikats für den Gateway. Für unsere Verbindung conn Roadwar rior lassen wir alle Kommunikationspartner zu, die sich mit einem Zertifikat ausweisen können: right=%any. Als Verbindungsmodus wählen wir type=tunnel, der Schlüsselaustausch soll via IKE (keyexchange=ike) mit Perfect Forwarding Secrecy (pfs=yes) erfolgen. Über auto=add weisen wir Free S/WAN an, die Verbindung erst auf Anfrage des Roadwarrior auszuhandeln. webcode: a897 49

47 SPECIAL / VPN mit Linux Zertifikate Jetzt ist Free S/WAN für eine Verbindung mit starker Verschlüsselung und Authentifizierung per Zertifikatsaustausch konfiguriert. Die erforderlichen Zertifikate für den Gateway und die Roadwarriors stellen wir uns selber aus, immerhin wissen wir ja, woher die Zertifikate kommen. Dazu nutzen wir die eingebauten Fähigkeiten von OpenSSL. Zunächst richten wir eine Verzeichnisstruktur zur Generierung und Speicherung der einzelnen Zertifikate ein. In unserem Beispiel residiert sie unterhalb des Verzeichnisses /etc/fenrisca in Anlehnung an den Host- Namen (fenris) unseres Gateways. Hier erstellen wir die Verzeichnisse certs und newcerts (für die Ablage von Zertifikaten), crl (für unsere Certification Revocation List) und private (für private Keys). Das Directory private darf logischerweise ebenso wie die enthaltenen Keys ausschließlich für root zugänglich sein. In /etc/fenrisca benötigen wir noch die beiden Dateien index.txt und serial. Mit dem Befehl touch legen wir index.txt als leere Datei an. Hierin verwaltet OpenSSL später eine Liste aller ausgestellten Zertifikate. Welche Seriennummer OpenSSL dem nächsten Zertifikat zuweisen soll, entnimmt es dem File serial. Wir belegen es der Einfachheit halber mit dem Wert 00 vor. Nun tragen wir noch in der Konfigurationsdatei openssl.cnf (je nach Distribution meist in /usr/ssl oder /usr/share/ssl) den Pfad zu unserem CA-Verzeichnis in den Parameter dir ein. Optional können wir dort auch die Bestandteile des Identifier-Strings, wie etwa coun try, state und organizationname mit Default- Werten vorbelegen. Das spart später bei der Zertifikatsausstellung eine Menge Tipparbeit. Für alle nun folgenden Aufgaben mit dem Kommandozeilentool openssl muss das CA- Stammverzeichnis (bei uns /etc/fenrisca) stets unser aktuelles Arbeitsverzeichnis sein. Jetzt schwingen wir uns zunächst einmal zur Root CA auf. Dazu generieren wir als Erstes einen RSA Private Key mit 2048 Bit Schlüssellänge: openssl genrsa -des -out private/cakey.pem 2048 Die Option des3 verschlüsselt unseren Key per TripleDES unter Angabe einer Passphrase, so dass Unbefugte damit keine Zertifikate signieren können. Wir selbst allerdings auch nicht mehr, falls wir die Passphrase vergessen sollten. Nochmal: Diesmal erstellen wir ein Zertifikat für unseren Security Gateway und unterschreiben es mit der eigenen Root CA. Dann generieren wir unser Root-CA-Zertifikat und limitieren es durch die Angabe einer Gültigkeitsdauer auf einen nicht zu knapp bemessenen Zeitraum: openssl req -new -x509 -days=1825 -key private/cakey.pem -out cacert.pem Bei der von OpenSSL abgefragten Passphrase ist diejenige unseres eben generierten Private Keys einzugeben. Anschließend fragt OpenSSL die diversen Elemente des Subject-Eintrags ab, welcher der genauen Identifikation des Zertifikatsinhabers dient. Die einzelnen Bestandteile sind praktisch selbsterklärend, bis auf den Common Name. Für diesen können Sie einen beliebigen Bezeichner vergeben, der jedoch tunlichst eine griffige Beschreibung des Subject liefern sollte. Das dazugehörige -Element beschreibt, wie der Zertifikatsinhaber erreichbar ist. Ob alles geklappt hat, können wir überprüfen, indem wir das neue Zertifikat im Klartext ausgeben lassen: openssl x509 -in cacert.pem -noout -text Zu guter Letzt kopieren wir unser Root- CA-Zertifikat nach /etc/ipsec.d/cacerts/, wo es von Free S/WAN erwartet wird. Gateway-Zertifikat Ganz ähnlich wie die Generierung des Root- CA-Zertifikats läuft die Erstellung des Zertifikats für unser Gateway ab. Mit diesem beweisen wir später unseren Roadwarriors, dass sie auch mit dem richtigen Security Gateway kommunizieren. Zunächst benötigen wir wieder einen Private Key, diesmal mit 1024 Bit Länge: openssl genrsa -des3 -out private/gwkey.pem 1024 Dabei vergeben wir eine eigene Passphrase für den Gateway. Nun erstellen wir einen Zertifikatsantrag für die Root CA: openssl req -new -key private/gwkey.pem -out gwreq.pem Wir bestätigen dabei den Antrag mit unserer Gateway-Passphrase und ignorieren die Anfragen nach den extra attributes. Dann akzeptieren wir die Anfrage als Root CA: openssl ca -notext -in gwreq.pem -out gwcert.pem Wir geben auf Anfrage die Root-CA-Passphrase an. Unser eben erstelltes Zertifikat müssen wir noch als /etc/x509cert.der in binärer Form für den Gateway ablegen. Dazu konvertieren wir es mit dem Befehl: openssl x509 -in gwcwert.pem -outform der -out /etc/x509cert.der Den Private Key gwkey.pem kopieren wir für Free S/WAN nach /etc/ipsec.d/private. Außerdem muss die zugehörige Passphrase in der Datei /etc/ipsec.secrets im Klartext vorgehalten werden. Lautet unsere Passphrase beispielsweise einfallslosepassphrase, tragen wir dort folgende Zeile ein: : RSA gwkey.pem einfallslosepassphrase Es versteht sich, dass ipsec.secrets nur für root zugänglich sein darf. Mit dem Bezeichner für den Inhaber des Gateway-Zertifikats stopfen wir nun noch die letzte Lücke in unserer /etc/ipsec.conf. Dort tragen wir den kompletten Bezeichner als leftid im Abschnitt conn %default ein. In unserem Beispiel lautet die Zeile: leftid= C=DE, ST=Bavaria, L=Munich, O=IDG Interactive GmbH, OU=tecCHANNEL, CN=fen risgw, 50

48 VPN mit Linux / SPECIAL Benutzerzertifikate Dieses nicht gerade spannende Zertifizierungsspiel ist für jeden einzelnen Benutzer noch einmal zu wiederholen. Dafür ist es weniger fehlerträchtig als die Variante, bei der jeder Benutzer seinen eigenen Key erzeugt und damit ein Zertifikat beantragt. Bei der Erstellung des Private Key für einen User mit: openssl genrsa -des3 -out private/userkey.pem 1024 vergeben Sie für jeden Benutzer eine eigene Passphrase. Mit dieser beantragen Sie anschließend ein Zertifikat: openssl req -new -key private/userkey.pem -out userreq.pem Es soll gemäß der Voreinstellung in der openssl.cnf für 365 Tage gültig bleiben. Nun erzeugen Sie das Zertifikat, das Sie als Root CA signieren. Dabei beschränken Sie die Gültigkeitsdauer praktischerweise mit -enddate auf das laufende Quartal: openssl ca -notext -enddate Z -in userreq.pem -out usercert.pem So sparen Sie sich ein Zurückrufen von Zertifikaten bei der üblichen Personalfluktuation zum Quartalsende. Außerdem erhöht eine regelmäßige Neuvergabe die Sicherheit. Von diesem Zertifikat erzeugen Sie eine binäre Déja vu : Die ipsec.conf des 2K/XP-VPN-Tools ähnelt stark jener des Free-S/WAN- Gegenstücks. Dementsprechend ist die Einrichtung nicht sonderlich aufwendig. Version im PKCS#12-Format, die wir für die Windows-2K/XP-Clients benötigen: openssl pkcs12 -export -in usercert.pem -inkey private/userkey.pem -certfile cacert.pem -out user.p12 Certificate Revocation List Auch bei einer Laufzeitbeschränkung der Zertifikate lässt es sich gelegentlich nicht umgehen, ein bereits ausgegebenes Zertifikat manuell wieder zu sperren. Dafür benötigen wir eine CRL, die wir in regelmäßigen Zeitabständen erneuern müssen. Das entsprechende Intervall geben wir in der open ssl.cnf mit dem Eintrag default_crl_days an, der als Vorgabe auf 30 Tage gesetzt ist. Die CRL generieren wir als Root CA mit: openssl ca -gencrl -out crl/crl.pem wobei wir die Gültigkeitsdauer über die optionalen Parameter -crldays und -crlhours manuell auf wenige Tage oder gar Stunden beschränken können. Anschließend kopieren wir die crl.pem nach /etc/ipsec.d/crls. Die Sperrung eines einzelnen Zertifikats erledigt der Aufruf: openssl ca -revoke usercert.pem Er markiert in der index.txt das entsprechende Zertifikat als ungültig, was allerdings erst bei der nächsten Aktualisierung der CRL zum Tragen kommt. Soll die CRL auf einem Server öffentlich zugänglich gemacht werden, muss sie noch ins binäre DER-Format konvertiert werden: Präparation: Über die Managementkonsole von Windows wird das Hinzufügen von Zertifikaten für das Computerkonto vorbereitet. openssl -crl -in crl/crl.pem -outform der -out crl/cert.crl webcode: a897 51

49 SPECIAL / VPN mit Linux Einrichten der Clients 1 Damit haben wir die Konfiguration des Security Gateways erfolgreich hinter uns gebracht. Nun gilt es noch, die Funktionalität unserer Lösung zu überprüfen sowie auf den Clients die notwendigen Einstellungen zum Zugriff via Virtual Private Network zu treffen. Als Betriebssysteme für unsere Roadwarriors kommen Windows 2000 und XP in Frage: Neben einem entsprechenden Service ( IPSEC-Dienste ) bringen beide OS auch die Möglichkeit zur Verwaltung von IP-Sicherheitsrichtlinien und Zertifikaten mit. Um eine getunnelte VPN-Connection aufzubauen, muss der User lediglich die IPsec-Dienste starten und eine passende Richtlinie für die Verbindung zuweisen. Das setzt jedoch voraus, dass eine entsprechende Sicherheitsrichtlinie erst einmal existiert. Eine solche zu erstellen, hat Microsoft dem Anwender allerdings nicht leicht gemacht: In gewohnter Redmond- Manier verteilen sich die entsprechenden Settings über drei unübersichtliche und wenig aussagekräftige Fenster sowie zwei zusätzliche Assistenten. Zum Glück offeriert die Open-Source- Gemeinde eine Lösung, mit der auch weniger IPsec-erfahrene User innerhalb von Minuten eine Verbindung via VPN erstellen können. Mit den VPN-Tools für Windows 2000/XP (http://vpn.ebootis.de/) stellt Marcus Müller ein ebenso probates wie einfach zu implementierendes Werkzeug für die Verbindungskonfiguration zur Verfügung. Ein gerade einmal 39 KByte großes ZIP-Archiv enthält das eigentliche Setup- Werkzeug (ipsec.exe), eine exemplarische Konfigurationsdatei sowie ein Plug-in für Microsofts Managementkonsole MMC. Na also: Der Aufruf von ipsec.exe startet die VPN-Connection. Deren Funktion überprüft ein schlichter Ping Einlesen: Im zweiten Schritt importiert der Benutzer das vorbereitete Zertifikat über das Management Snap-in für Zertifikate. Zur Distribution der Verbindungsparameter an den User können Sie dieses Archiv als Grundlage nutzen und um die notwendigen Zusatzdateien ergänzen. Da wäre zum Ersten das digitale Benutzerzertifikat (user.p12), das wir im ersten Teil des Workshops schon vorbereitet haben. Zum Zweiten braucht der User eine Textdatei mit jenem Kennwort, das Sie beim Generieren des PKCS#12-Zertifikats als Export Key vergeben haben. Für Windows-2000-Rechner packen Sie das Tool IPsecPol (http://agent.microsoft. com/windows2000/techinfo/reskit/tools/exis ting/ipsecpol-o.asp) aus dem Windows 2000 Resource Kit dazu. Für XP benötigen Sie stattdessen IPsecCmd. Um an dieses Programm zu kommen, müssen Sie eine vollständige Installation der Support Tools von der Windows-XP-CD (Verzeichnis\SUP PORT\TOOLS) vornehmen. Jetzt gilt es, die bereits vorhandene ips ec.conf aus dem Archiv für Ihre Zwecke anzupassen. Deren Syntax ähnelt stark jener der gleichnamigen Free-S/WAN-Steuerdatei. Im ersten Abschnitt geben Sie unter conn %default eine Dial-up-Verbindung an, die bei der Verbindungsaufnahme zum Security Gateway automatisch zu starten ist. Es folgt ein benannter conn-abschnitt mit den Parametern für die VPN-Verbindung. Die zu verwendende lokale Adresse definieren Sie als left=%any für die automati- 52

50 VPN mit Linux / SPECIAL sche Übernahme der Client-Adresse. Unter right tragen Sie die IP-Adresse des VPN- Gateway ein, der Parameter rightsubnet enthält IP-Adresse und Netzmaske des zu kontaktierenden LAN. Hier können Sie die implizite ( /16) oder explizite ( / ) Notation nutzen. Die rightca ist jene Certification Authority, die das Benutzerzertifikat unterzeichnet hat. Der Parameter network gibt an, ob die Verbindungsaufnahme via Einwahl (net work=ras), LAN (network=lan) oder je nach Verfügbarkeit über beides (net work=both) erfolgen soll. Dabei initiiert in unserem Fall der Client die Verbindung (auto=start) und operiert mit Perfect Forwarding Secrecy (pfs=yes). Optional kann die ipsec.conf auch noch Parameter für die (weniger sichere) Verbindungsaufnahme über Preshared Keys enthalten. Diese finden Sie bei Bedarf in der Erläuterung zu dieser Konfigurationsdatei. Einspielen der Zertifikate Das um Benutzerzertifikat, Kennwort, MS- IPsec-Tools und modifizierte ipsec.conf ergänzte ZIP-Archiv transferieren Sie nun auf sicherem Weg, etwa mit Hilfe einer verschlüsselten Mail, auf den Client-Rechner. Dort entpackt der Benutzer es komplett in ein prinzipiell beliebiges Verzeichnis. Falls allerdings der enthaltene Link (e.boo tis VPN.lnk) unmodifiziert benutzt werden soll, müssen die Files zwingend im Verzeichnis C:\Programme\IPsec\ landen. Nun startet der Benutzer die Microsoft Management Konsole und fügt ihr über Datei / Snap-In hinzufügen / entfernen ein neues Plug-in des Typs Zertifikat zu. Es soll ein Computerkonto für den Lokalen Computer verwalten. Nach Anwahl von Fertigstellen / Schließen / OK erscheint das neue Plug-in im MMC-Fenster. Dort rufen Sie im Kontextmenü für die Eigenen Zertifikate die Option Alle Tasks / Importieren auf. Es erscheint das Begrüßungsfenster des Import-Assistenten. Nach dem Klicken auf Weiter kann die Zertifikatsdatei aus dem gerade angelegten VPN- Verzeichnis importiert werden. Anschließend ist das Kennwort anzugeben, das Sie beim Generieren des PKCS#12-Zertifikats als Export Key vergeben und dem Archiv in einem Text-File beigelegt haben. Im nächsten Schritt wählen Sie die Option Zertifikatspeicher automatisch auswählen und importieren zu guter Letzt das gewünschte Zertifikat mit Fertigstellen. Alternative: Statt ipsec.exe zu starten, kann der Anwender das VPN auch über die Richtlinie (de-)aktivieren. Funktionalität prüfen Die frisch erstellte Managementkonsole sollte beim Beenden gespeichert werden, damit Sie sie später bei Bedarf wieder zur Verfügung haben. Anschließend rufen Sie entweder über die Verknüpfung e.bootis VPN.lnk oder direkt auf der Kommandozeile das Tool ipsec.exe auf. Es aktiviert die in der Datei ipsec.conf definierte Policy und baut eine Verbindung zum VPN-Gateway auf. Deren Funktion lässt sich unmittelbar durch einen Ping überprüfen, wie die Abbildung auf der linken Seite zeigt. Zur zusätzlichen Kontrolle besteht darüber hinaus die Möglichkeit, über Programme / Verwaltung / Lokale Sicherheitsrichtlinie die Managementkonsole für die Sicherheitseinstellungen aufzurufen. Hier findet sich jetzt unter IP-Sicherheitsrichtlinien auf Lokaler Computer eine neue Richtlinie namens FreeSwan. Ein Doppelklick darauf fördert deren genaue Einstellungen zu Tage: Hier hat ipsec.exe über die Windows-Policy-Tools (IPsecPol respektive IPsecCmd) automatisch die passenden Filterregeln für die VPN-Connection eingetragen. Um künftig VPN-Verbindungen aufzubauen, existieren zwei Wege. Zum einen lässt sich die Connection durch erneuten Aufruf von ipsec.exe starten. Das kann wahlweise direkt oder über den mitgelieferten Link erfolgen. Alternativ kann die VPN-Session allerdings auch durch das Aufrufen der Managementkonsole und eine entsprechende Anweisung im Kontextmenü der FreeSwan- Richtlinie initiiert oder beendet werden. Die IPSEC-Dienste von Windows starten dabei automatisch, falls sie nicht ohnehin bereits beim Systemstart geladen wurden. Fazit Das Duo Linux und Free S/WAN stellt eine kostengünstige und einfach zu implementierende Open-Source-Alternative zu den gängigen, oft auf proprietärer Hardware und Methodik aufsetzenden kommerziellen VPN-Lösungen dar. Auch die Anbindung von Windows-2000/XP-Clients lässt sich mit frei verfügbaren Werkzeugen im Handumdrehen erledigen. Einer sicheren Kommunikation externer Mitarbeiter mit dem Unternehmensnetz via Internet steht also nichts im Wege. Beim Aufsetzen eines VPN darf man jedoch eines nicht vergessen: Zwar sichert ein virtuelles privates Netz die Datenkommunikation aber nur so lange alle via IPsec angebundenen Rechner nicht kompromittiert werden. Ein einzelner ungeschützter VPN-Client bietet sich Viren, Würmern sowie Trojanern und deren böswilligen Nutzern als weit offenes Einfallstor ins Firmennetz geradezu an. Eine Absicherung der Roadwarrior-Rechner durch Antiviren- Software und eine Desktop-Firewall sind also obligatorisch. (jlu) Weitere Links zum Thema Workshop: VPN mit Linux (Teil 1) Workshop: VPN mit Linux (Teil 2) VPN in der Praxis VPN: Daten sicher übers Internet Firewall-Grundlagen Linux als Firewall Linux Firewall mit ipchains Test: Personal Firewalls Virenscanner im Test Webcode a897 a969 a412 a306 a682 a695 a704 a405 a214 webcode: a897 53

51 TEST / Tintendrucker Canon S750 Canon adressiert mit dem S750 den Business-Bereich. Preislich reiht er sich zwischen den Modellen S600 und S630 ein. Einige Aufgaben erledigt er schneller als die beiden, andere langsamer. In einer Minu- Allround- Talente Ob Präsentation, Foto oder schnöde Korrespondenz, hochwertige Tintendrucker sind vielseitig einsetzbar. Geräte für den professionellen Einsatz gibt es ab rund 150 Euro. Nicht alle eignen sich aber für alle Aufgaben gleichermaßen. Von Malte Jeschke und Nico Hartmann Bei den Herstellern von Tintendruckern ist der Markt überschaubar. Vier große Namen teilen sich den Kuchen, dem Rest bleiben die Krümel. Hewlett-Packard, Epson, Canon und Lexmark dominieren den Markt. Trotz begrenzter Anbieterzahl herrscht eine riesige Modellvielfalt. Mittlerweile gehen die Hersteller dazu über, ihre Produktfamilien bis zur Unübersichtlichkeit auszuweiten. Meist beträgt der Preisunterschied von einem Schwestermodell zum nächsten 50 Euro. Der richtige Mix aus Performance und Qualität für den professionellen Einsatz beginnt bei rund 150 Euro. Die Hersteller überbieten sich mit werbewirksamen dpi-angaben, in der Praxis sind diese Werte jedoch häufig von geringer Bedeutung.Wir haben neun Geräte getestet. Executive Summary / Tintendrucker Canon S600 Für 179 Euro bietet Canon seinen S600 an. Damit grenzt er sich preislich um rund 60 Euro vom größeren S630 ab. Dieser bietet allerdings wie unser Test (webcode: d179) belegt weder in Sachen Geschwindigkeit noch in puncto Qualität signifikant mehr. Der Canon S600 druckt mit vier Farben. Die Single-Inks lassen sich separat wechseln. Die vorinstallierte Schwarzpatrone reichte im Test für 356 Seiten. Die Farbpatronen (CMY) überstehen 98 Seiten bei 75 Prozent Deckung. Beim Drucken stehen fünf Qualitätsstufen zur Auswahl, wobei die höchste Qualität dem Fotopapier vorbehalten ist. Hierbei bringt der S600 die Tinte mit maximal 2400 x 1200 dpi zu Papier. In Sachen Fotodruck Professionelle Tintendrucker sind die preiswerte Einstiegslösung, wenn es darum geht, vielfältige Druckaufgaben mit einem Gerät zu erledigen. Hochwertiger Korrespondenzdruck, Grafik- und Fotoausgabe gehören zu den Standardtugenden dieser Produkte. Im Detail unterscheiden sich die Geräte in einzelnen Disziplinen hinsichtlich Performance und Qualität deutlich. Wer sich für einen Tintendrucker interessiert, sollte sich im Vorfeld über die Druckvolumina im Klaren sein. Bei den Druckkosten differieren die getesteten Produkte erheblich. überzeugt der Drucker durch eine natürliche Farbwiedergabe und sanfte Farbübergänge. Im Kontrast zu den kräftigen Hauttönen stehen die blassen Blautöne bei den Testausdrucken. Für unser Testfoto in der besten Qualität benötigt der Drucker sieben Minuten. Eine Qualitätsstufe darunter liegt der Ausdruck fünf Sekunden früher auf der Ablage; eine sichtbare Qualitätsminderung ist nicht zu erkennen. Beim Textdruck in normaler Qualität kommt der Canon S600 unter Windows 98 auf sieben Seiten pro Minute. Wer sich auf die höchste Qualitätsstufe bei Normalpapier wagt, wird immerhin noch mit mehr als zwei Seiten pro Minute belohnt. Die Zeichendarstellung in der Standardqualität genügt aber bereits durchaus Korrespondenzansprüchen. Fazit: Bis auf den Fotodruck meistert der Canon S600 viele Aufgaben gut bis sehr gut. Ein ausgesprochener Fotospezialist ist er mit seinem Vierfarbdruck nicht. 54

52 Tintendrucker / TEST te legt er gut sieben Seiten Text auf die Ablage, unter Windows 2000 etwas schneller als unter Windows 98. Beim Grafikdruck genehmigt er sich etwa 20 Prozent mehr Zeit als die 600er Modelle. Dies gilt jedoch nur für den Druck in bester Qualität auf Normalpapier. Mit anderen Einstellungen oder Fotopapier ergben sich klare Vorteile für den S750. Unser Testfoto druckt der S750 in vier Minuten und bringt es in sehr ansehnlicher Qualität zu Papier. Im Treiber bietet Canon an, Bilder randlos auf Papier zu drucken. Dies funktioniert zwar nicht auf allen Papiersorten, aber bei den wichtigsten: Fotopapier und Normalpapier. Die maximale Auflösung des S750 beträgt 2400 x 1200 dpi. Sie steht aber nur zur Auswahl, wenn auf Fotopapier gedruckt wird. Text bringt der Drucker auf Normalpapier mit bestenfalls 1200 x 1200 dpi. Damit lassen sich gute bis sehr gute Ergebnisse erzielen. Hohe Qualität kostet aber Zeit. Für unser zehnseitiges Textdokument benötigt der Drucker knapp fünf Minuten und somit drei Mal mehr Zeit als in der Standardqualität. Letztere ist völlig ausreichend für die Geschäftskorrespondenz. Der zehnseitige Brief lag in anderthalb Minuten vor. Der S750 druckt mit vier Farben aus Single-Ink-Tanks, die sich einzeln tauschen lassen. Die Schwarzpatrone ist bei fünf Prozent Deckung für 409 Seiten gut. Die drei Farbtanks (CMY) überstehen 91 Seiten. Daraus ergeben sich verhältnismäßig geringe Druckkosten von 3 Cent für die SW-Seite und 36 Cent für die Farbseite. Fazit: Für den Business-Bereich eignet sich der S750 sehr gut. Die Text- und Grafikdrucke erledigt er sauber und schnell. Aber auch Fotos druckt er flink und in guter Qualität. Canon S800 Der S800 arbeitet mit bis zu sechs Farben. Canons Single-Ink-Technologie ermöglicht das Wechseln der einzelnen Farbtanks. Diese sind nicht sehr ausdauernd: Die vorinstallierte Schwarzpatrone reicht für 317 Seiten, die Farbpatronen (CMY) überstehen 59 Seiten bei 75 Prozent Deckung. Einen weitaus besseren Eindruck hinterlässt die Druckqualität des S800. Farbübergänge und Hauttöne zeichnet er gefühlvoll und natürlich. Dafür genügt sogar die Auflösung von 1200 x 1200 dpi. Beim Fotodruck geht er leise und zaghaft zu Werke: Unser Testfoto in hoher Qualität lag in sieben Minuten vor, in der höchsten Auflösung benötigte er noch etwa zwei Minuten mehr. Gemütlich ist er auch beim Grafikdruck. Für unsere Testseite nimmt sich das Gerät bei hohen Qualitätseinstellungen mehr als vier Minuten Zeit. Auch beim Drucken von Text kommt keine Hektik auf: 2,6 Seiten sind es im Standardmodus. Das Schriftbild überzeugt in den Standardeinstellungen nicht. Die Qualität der Zeichendarstellung lässt sich zwar per Treiber optimieren, die Druckzeit steigt dann jedoch auf das Dreifache. Für alltägliche Textaufgaben ist er damit zu langsam. Fazit: Insbesondere in den Fotodisziplinen kann der S800 punkten. Aber für einen Drucker dieser Preisklasse ist er zu langsam und damit kein echter Allrounder. Epson Stylus C82: Er druckt maximal mit bis zu 5760 dpi auf geeigneten Medien und verfügt über vier getrennte Tintentanks. Canon S900 Canon verspricht für den S900 Expresstempo und hohe Qualität beim Fotodruck. Das Ergebnis überzeugt. Exakte Farbwiedergabe, sanfte Farbverläufe und Tonabstufungen sowie natürliche Hauttöne bringt er mit sechs Farben und bis zu 2400 x 1200 dpi zu Papier. Und das in einer fabelhaften Zeit: In weniger als zwei Minuten befördert er den Ausdruck unseres Testfotos auf die Ablage. Nur das Schreiben bereitet ihm Probleme. Weder Schriftbild noch Druckgeschwindigkeit können überzeugen. Unseren zehnseitigen Geschäftsbrief druckt der S900 mit nur knapp vier Seiten pro Minute. Das Schriftbild wirkt zudem blass und unscharf. Wer die höchste Qualitätsstufe beim Text wählt, muss fünf Mal mehr Zeit mitbringen. Damit eignet sich das Gerät schwerlich für die tägliche Geschäftskorrespondenz. Fotos sind seine Stärke. Und die gibt der S900 nicht billig her. Mit 75 Prozent Deckung (CMY) kostet eine Farbseite 65 Cent. Für 6 Cent druckt der S900 die SW-Seite. Das ist guter Durchschnitt. Per Treiberoption passt der Drucker die Motive seitenfüllend ohne Ränder auf Normalpapier und Fotopapier an. Neu ist die Treiberoption Geräuschloser Modus. Der Sinn dieser Funktion bleibt uns jedoch verborgen, da der S900 während des Drucks subjektiv genauso laut arbeitet. Ebenfalls neu ist die Option Vivid. Diese bewirkt, dass Farben leuchtender dargestellt werden. Dies funktioniert insbesondere bei Blau gut und sorgt bei der Darstellung von Wasser oder Himmel für sehr schöne Effekte. Fazit: Für den Fotodruck ist der Canon S900 die erste Wahl. So viel Spezialisierung hat den negativen Effekt, dass Textdokumente mit nur befriedigendem Schriftbild aus dem Drucker kleckern. Epson Stylus C82 Der C82 druckt maximal mit 5760 dpi, während es beim Vorgänger C80 nur 2880 waren. Diese Auflösung ist jedoch nur auf bestimmten Medien verfügbar. Mehr als sechs Seiten Text produziert er pro Minute in ansehnlicher Standardqualität. Der Versuch, die stolze Werksangabe von 22 Seiten pro Minute zu erreichen, scheiterte. Im einfachsten Qualitätsmodus entlocken wir dem Gerät immerhin nahezu elf Seiten pro Minute ein sehr guter Wert. Für die Grafik- Info Windows 2000, Standardqualität Canon S750 Canon S600 Lexmark Z65 Epson Stylus C82 HP Color Inkjet CP 1160 HP DeskJet 5550 Canon S900 Canon S800 Epson Stylus Photo 890 tecchannel / Text-Performance 2,0 2,6 3,9 4,8 6,3 6,1 5,9 7,2 7, langsamer schneller Seiten/Minute Alltagstauglich: Rund sechs Seiten pro Minute sind keine Seltenheit, die Textqualität der Standardeinstellungen genügt häufig Korrespondenzansprüchen. webcode: a179 55

53 TEST / Tintendrucker Info Windows 2000, Standardqualität Canon S750 Epson Stylus C82 Lexmark Z65 HP Color Inkjet CP 1160 HP DeskJet 5550 Canon S600 Canon S900 Canon S800 Epson Stylus Photo 890 tecchannel Info Canon S900 HP DeskJet 5550 HP Color Inkjet CP 1160 Canon S750 Lexmark Z65 Epson Stylus C82 Canon S600 Canon S800 Epson Stylus Photo 890 testseite genehmigt sich der C82 bei Standardeinstellungen exakt eine Minute zur höchsten Qualität gezwungen vervierfacht sich die Zeit nahezu. In Sachen Druckqualität agiert der C82 über viele Disziplinen hinweg auf hohem Niveau. Für unser Testfoto in bester Qualität / Foto-Performance Windows 98, höchste Qualität tecchannel / Text-Performance 2,5 2,1 0,17 0,16 0,14 0,14 0,13 3,5 3, langsamer schneller Seiten/Minute 0,29 0,25 3,7 0,30 4,3 5,3 5,8 0,53 7,8 Systembedingt: Unter Windows 2000 bricht die Textleistung einiger Produkte dramatisch ein, der Canon S750 legt hingegen sogar noch zu. 0 0,5 1 langsamer schneller Foto/Minute Schnell und schön: Canon S900 produziert Fotos nicht nur in hoher Qualität, sondern auch mit großer Geschwindigkeit. nimmt sich der Drucker deutlich über sechs Minuten Zeit, belohnt das Warten aber mit sehr guter Qualität. Per Treiber lässt sich der nicht bedruckbare Bereich minimieren, bei unserer A4-Testgrafik schrumpfte der untere Rand damit von zwölf auf zwei Millimeter. Der Hinweis des Treibers, dass für diesen Zugewinn keine Qualitätsgarantie übernommen wird, scheint eine reine Vorsichtsmaßnahme zu sein. Im Test waren keine Qualitätsverluste im unteren Bereich zu erkennen. Der C82 arbeitet mit vier getrennten Tanks, die durch Marathonqualitäten überzeugen. Erst nach 1056 Textseiten vermeldet die Schwarzpatrone Tröpfchenstillstand. Die drei Farbpatronen schaffen in Teamwork 107 Farbseiten ein guter Wert. Das schont nicht nur das Budget, sondern senkt auch die Beschaffungsfrequenz. Fazit: Ein schneller Allrounder mit guter Druckqualität und lobenswert großer Reichweite. Epson Stylus Photo 890 Für 229 Euro schickt Epson den Stylus Photo 890 als Fotospezialisten ins Rennen. Der Drucker arbeitet mit sechs Farben und einer maximalen Auflösung von 2880 dpi. USB-und parallele Schnittstelle gehören zur Standardausstattung. Im Lieferumfang ist wie beim Vorgänger ein Rollenpapierhalter enthalten, mit dem sich Fotos in Serie ausgeben lassen. Wer den Stylus Photo 890 mit schnödem Textdruck beschäftigt, bekommt bei normaler Qualitätseinstellung zwei Seiten pro Minute geliefert. Mit unserem Testfoto ist der Drucker bei einer Auflösung von 1440 dpi rund acht Minuten beschäftigt. Wer sich für die 2880 dpi entscheidet, muss rund doppelt so viel Zeit mitbringen, wird aber durch exzellente Fotoqualität belohnt. Der 890er kann Medien randlos bedrucken, was insbesondere bei der Fotoausgabe einen echten Mehrwert darstellt. Dabei druckt das Gerät geringfügig über die Ränder hinaus, die überflüssige Tinte wird durch zwei Schwämmchen aufgesogen. Erfreulicherweise bleibt der Epson trotz der hohen Qualität auch bei den Druckkosten im Rahmen. Die Farbpatrone überdauert 40 Seiten (75 Prozent Deckung, CMY), die Schwarzpatrone erlaubt knapp über 400 Seiten Text. Fazit: Wer beabsichtigt, digitale Fotos selbst auszugeben, findet hier den idealen Partner. In den anderen Disziplinen ist der Drucker zu langsam. HP Color Inkjet CP 1160 Der Color Inkjet CP 1160 arbeitet mit maximal 2400 x 1200 dpi und vier Farben. Die farbige Tinte bietet der Hersteller als Dreikammer-Farbpatrone (CMY) und als einzelne Druckköpfe an. Bei unseren Tests verwendeten wir die Dreikammer-Farbpatrone. Sie kostet 35 Euro und war im Test für 95 Seiten gut (75 Prozent Deckung). Die Schwarzpatrone übersteht satte 614 Seiten. Damit bleiben die Druckkosten überschaubar. Die Farbseite fertigt der CP 1160 für 37 Cent, die SW-Seite für 5 Cent. An der Vorderseite des CP 1160 informiert eine LCD- Anzeige über Störungen und Tintenfüllstände. Die Rückseite des Druckers hält zwei Besonderheiten parat. Zum einen lässt sich ein Teil der Rückwand entfernen und ein Modul für den Duplexdruck anschließen. Zum anderen befindet sich unterhalb des USB-Anschlusses ein Steckplatz für Adapter, um das Gerät über die parallele Schnittstelle zu betreiben oder über einen Ethernet- Adapter (nicht im Lieferumfang) in ein LAN einzubinden. In einer Minute druckt der CP 1160 sechs Seiten Text in normaler Qualität und knapp vier Seiten in der höchsten Auflösung. Beim Grafikdruck stellt er alle getesteten Tintenstrahler in den Schatten und liefert fast eine Seite pro Minute. Schwarze Finger verursacht jedoch die Schwarztinte. Sie verschmiert noch nach einer Minute Trocknungszeit auf Fotopapier. Leichte Schmiereffekte sind auch beim Textdruck auf Normalpapier zu erkennen. Wären die Schmierereien nicht, hätte es eine sehr gute Qualitätsnote für Schrift und Grafik gegeben. Unser Testfoto bringt der CP 1160 in einer guten Geschwindigkeit von 3 Minuten 25 zu Papier. Die Schärfe der Ausdrucke überzeugt sowohl mit 2400 x 1200 dpi als auch mit PhotoREt 3. Allerdings kommen die HP DeskJet 5550: Er erkennt Papiersorten auf Wunsch automatisch und ist mit einer USB-2.0- Schnittstelle ausgerüstet. 56

54 Tintendrucker / TEST Testergebnisse Tintendrucker Canon S600: Das Schriftbild überzeugt durch scharfe Darstellung. Der Fotodruck ist gut. Für den Sonnentest (unten rechts) gibt es ein Befriedigend. Canon S750: Die Zeichendarstellung ist gut, Gleiches gilt für die Fotodrucke. Nach dem ausgiebigen Sonnenbad verblassen die Farben etwas (unten rechts). Canon S800: Die Schriftdarstellung verbessert sich durch eine höhere Qualitätsstufe. Nach 30 Tagen Sonnentest (rechts unten) verblassen die Farben. Canon S900: Die Zeichendarstellung ist in der Standardqualität blass und unscharf. Die Sonne nimmt den Farben Kraft, schadet insgesamt aber nicht. Epson Stylus C82: Es mangelt den Zeichen etwas an Konturenschärfe, die Darstellung selbst ist sauber. Epsons Tinte trotzt dem Sonnentest. Epson Stylus Photo 890: Beim Fotodruck entfaltet der Drucker sein Können und zeigt ein hervorragendes Ergebnis. Auch nach dem Sonnentest lässt es kaum nach. HP Color Inkjet CP 1160: Die Zeichendarstellung ist sauber. Er liefert kontrastreiche Fotoausdrucke, die durch den Sonnentest Natürlichkeit gewinnen. HP DeskJet 5550: Er liefert ein ordentliches Schriftbild. Nach dem Sonnentest verblassen die Farben etwas. Dem guten Gesamteindruck schadet dies kaum. Lexmark Z65: Schrift bringt er in der Standardqualität zittrig zu Papier, Fotos befriedigend. Die Lichtechtheit liegt deutlich unter dem Mitbewerbsniveau. webcode: a179 57

55 TEST / Tintendrucker Info Windows 2000, höchste Qualität HP Color Inkjet CP 1160 Canon S600 Canon S750 Canon S900 HP DeskJet 5550 Canon S800 Lexmark Z65 Epson Stylus C82 Epson Stylus Photo 890 tecchannel / Grafik-Performance 0,23 0,21 0,17 0,17 0,16 0,43 0,55 0,53 0,98 0 0,5 1 langsamer schneller Seiten/Minute Klassenkampf: Der HP 1160 düpiert den Rest und druckt eine Seite pro Minute in hoher Qualität. Eine halbe Seite pro Minute ist immer noch gut. Fotos in beiden Fällen zu dunkel aus dem Druckwerk. Manuelle Korrekturen in den Treibereinstellungen sind unerlässlich. Fazit: Größtes Manko des HP CP 1160 ist die extrem lange Trocknungszeit der Tinte. Ansonsten überzeugt er durch Qualität und Geschwindigkeit. HP DeskJet 5550 Der DeskJet 5550 druckt Fotos mit maximal 4800 x 1200 dpi. Schwarzweiß-Dokumente kann er mit einer Auflösung bis zu 1200 x 1200 Bildpunkten ausgeben. Für den Fotodruck bietet HP optional eine Photopatrone für 27,99 Euro an. Mit ihr lassen sich Bilder auch in der verbesserten Photoret-IV- Technologie drucken. So liefert das Modell Fotos in guter Qualität in einem Drittel der Zeit gegenüber der maximalen Auflösung. Letztere ist dann notwendig, wenn man auf nahezu perfekte Fotos Wert legt. Sie gelingen aber nur mit der Photopatrone. Mit der mitgelieferten Dreikammer-Farbpatrone (44,99 Euro) kann der DeskJet 5550 nicht mehr so fein abstufen; die Qualität der Fotos ist dennoch gut bis sehr gut. Nicht schnell, aber gut druckt der HP Grafiken. Für unsere Testseite brauchte er knapp sechs Minuten mit den besten Qualitätseinstellungen. Beim Textdruck liefert er bereits in der Standardqualität ordentliche Ergebnisse. Die Geschwindigkeit ist dabei lediglich Durchschnitt. Etwa fünf Seiten legt er in einer Minute auf die Ablage. Bei den Druckkosten setzt er keine neuen Maßstäbe: 9 Cent kostet die SW-Seite, 40 Cent die Farbseite. Probleme hat das Gerät beim Einzug von Fotopapier, dies funktioniert nur ordnungsgemäß, wenn das Fotopapier auf das Normalpapier im Papierfach gelegt wird. Zusätzlich zur üblichen parallelen Schnittstelle bietet das Modell auch einen USB-2.0-Anschluss. Beim Betrieb des DeskJet 5550 an einem entsprechenden Controller ließen sich jedoch keine Geschwindigkeitsvorteile feststellen. Fazit: Der HP DeskJet 5550 zählt nicht zu den schnellsten Druckern, im Durchschnitt ist er sogar langsamer als seine Vorgängermodelle. Er liefert aber gute Qualität. Besonders schöne Fotos gelingen ihm mit der optionalen Fotopatrone und der 4800er Auflösung. Lexmark Z65 Für 179 Euro bietet Lexmark den Z65 an. Er arbeitet mit zwei Druckköpfen und bringt bis zu 4800 x 1200 Bildpunkte zu Papier. Anschluss findet das Modell ausschließlich per USB-Schnittstelle. Papier kann es über zwei Fächer aufnehmen: Das erste Fach bietet Platz für 150 Blatt, das zweite für 100 Blatt. Das Papier zieht er laut und bisweilen etwas schief ein. Liegt Fotopapier im Fach, reicht dem Z65 oft nicht die Kraft, um es einzuziehen. Man muss das Blatt etwas anschieben. Textdokumente in der Standardqualität druckt der Lexmark Z65 zügig. Er legt durchschnittlich etwas mehr als sechs Seiten auf die Ablage. Die Qualität überzeugt nicht hundertprozentig. Wer ein besseres Schriftbild verlangt, muss eine bis zwei Qualitätsstufen höher einstellen. Der Druck verlangsamt sich dadurch um das Drei- bis Sechsfache. Das Drucken von Grafiken gehört nicht zu seinen Stärken. Bei normaler Qualitätsstufe ist er zwar flink, das Ergebnis jedoch wenig ansehnlich. Mit den besten Einstellungen kann er weit gehend überzeugen, benötigt aber viel Zeit. Unsere Grafik-Testseite lag nach knapp sechs Minuten vor. Fotos bringt der Lexmark Z65 scharf, aber etwas blass zu Papier. Das Testfoto in bester Qualität druckt er in knapp sechs Minuten. Gegenüber dem Vorgängermodell Z53 hat sich die Druckqualität besonders Hauttöne, Farbgenauigkeit und Lichtechtheit verbessert. Letztere ist aber immer noch deutlich geringer als beim Mitbewerb. Die Druckkosten sind kein Ruhmesblatt: Die Schwarzweiß-Seite kostet mehr als zehn Cent. Unsere Farbtestseite liefert er für satte 70 Cent. Die 43 Euro teure Schwarzpatrone reicht für knapp 400 Seiten, die Dreikammer-Farbpatrone schafft 67 Seiten bei 75 Prozent Deckung. Fazit: Fotos und Textdokumente druckt der Lexmark Z65 in annehmbarer Zeit und Qualität. Für Grafiken braucht er viel Zeit. Die Druckkosten liegen weit über dem Durchschnitt. Fazit Ab einem Preis von etwa150 Euro beginnt der Einstieg in die Klasse der Business- Drucker. Bei preiswerteren Modellen sind meist Abstriche in der Qualität, zumindest aber bei der Ausstattung und Geschwindigkeit zu machen. Bezüglich der Herstellerangaben in Sachen Geschwindigkeit ist gesundes Misstrauen angebracht, nicht selten liegen die Praxiswerte bis um die Hälfte darunter. Am oberen Ende bleibt kaum noch Platz für Verbesserungen, insbesondere wenn es um Auflösung und Schärfe geht, was vor allem der Epson Stylus C82 und der HP DeskJet 5550 unter Beweis stellen. Sie eignen sich gleichermaßen für schnöde Büroarbeiten wie für den Fotodruck. Dem dpi-imponiergehabe der Hersteller sollte man aber nicht zu viel Beachtung schenken. Oft sind die angegebenen Maximalwerte nur unter bestimmten Bedingungen zu erreichen und bedeuten nicht zwangsläufig eine sichtbar höhere Qualität. Der Canon S600 und S750 spielen zwar im selben Stück, besetzen aber andere Rollen. Ihre Farbwiedergabe eignet sich besser für den Büroeinsatz als für die Fotowiedergabe. Spielt Letzteres die Hauptrolle, können der Epson Stylus Photo 890 und der Canon S900 punkten. Die Druckkosten sind nach wie vor ein heikles Thema, häufig bezahlt man den günstigen Kaufpreis durch hohe Verbrauchskosten. (mje) Weitere Links zum Thema Webcode tecdaten alle Daten im Überblick d179 teclab-report Testverfahren a175 Drucker: Schnäppchen und Auslaufmodelle a734 Test: Laserdrucker a436 Grundlagen Tintendrucker a321 58

56 Tintendrucker / TEST Testverfahren Tintendrucker Beim Test von Tintendruckern ist die Druckqualität immer noch das Hauptkriterium. Danach folgen Faktoren wie Druckgeschwindigkeit und Druckkosten. Dabei differieren Herstellerangaben und Realität deutlich. Jeder Drucker findet im tecchannel-labor die gleichen Testbedingungen vor. Die Drucker sind an einer exakt definierten Testkonfiguration angeschlossen. Für jeden einzelnen Drucker wird jeweils ein neues Windows 98 SE beziehungsweise Windows 2000 aufgespielt. Gedruckt wird aus folgenden Applikationen: Office 2000, CorelDraw 9 sowie Adobe Photoshop 5.5. Unser Testsystem basiert auf einem Tyan-Mainboard mit Intels BX-Chipsatz, auf dem ein Celeron 500A seinen Dienst versieht. Das System ist mit 128 MByte (PC100) Arbeitsspeicher bestückt, als Festplatte kommt eine IBM Deskstar DJNA zum Einsatz. Diese Testumgebung ist leistungsmäßig an vielen Arbeitsplätzen Realität und genügt für Druckertests vollauf. Druckqualität Grafik und Foto Wir ermitteln die Druckqualität mit einer standardisierten Testseite. Darauf befinden sich Testmuster, anhand derer wir die Leistungsfähigkeit des Druckers ermitteln. Eine Anzahl horizontaler und vertikaler Linien mit einem Abstand, der sich auf bis zu 0,25 mm verringert, gibt Aufschluss darüber, wie gut der Drucker mit entsprechenden Liniengrafiken zurechtkommt. Trotz aller Weiterentwicklungen ist eine alte Crux bei Tintendruckern nach wie vor aktuell: Bei der Darstellung von Schrift auf farbigem Grund kommt es häufig zu unschönen Kapillareffekten. Die Farbverläufe geben über die Farbwiedergabe Auskunft. An ihnen lässt sich zudem ablesen, ob der Drucker auch auf Normalpapier großflächige Objekte ausgibt, ohne dass zu viel Tinte auf das Medium gerät. Die Fotoqualität überprüfen wir anhand von zwei Fotos auf dem vom Hersteller empfohlenen Papier. Mit Hilfe des Personenporträts testen wir, wie gut die Geräte in der Darstellung der schwierigen Hauttöne sind. Außerdem lässt sich an diesem Foto die Schärfe verifizieren. Unser Landschaftsbild entlarvt Probleme bei Farbübergängen und ist ein Indikator für die Natürlichkeit der Farben. Darüber hinaus beurteilen wir die Konturenschärfe sowie die Rasterfeinheit. Druckqualität Schrift Während bei den Ausdrucken von Fotos in der Regel viel Wert auf das Medium gelegt wird, kommt beim Korrespondenzdruck häufig einfaches Kopierpapier zum Einsatz. Daher ist ein entscheidendes Kriterium, wie gut die Drucker mit so genanntem Normalpapier auskommen. Im tecchannel-labor kommt für alle Druckertests ein Papier (SCA Special Copy, 80 g/m 2 ) aus einer Charge zum Einsatz, um für alle Geräte die gleichen Bedingungen zu schaffen. Mit unserem speziell für tecchannel angefertigten Kamerasystem mit Zoomobjektiv nehmen wir das Schriftbild der Drucker genau unter die Lupe. Bei den angegebenen Ausschnitten handelt es sich um eine Vergrößerung eines Ausdrucks in 5-Punkt-Schriftgröße mit der Truetype- Schrift Arial. Der Treiber ist dabei auf Standardqualität eingestellt. Druckgeschwindigkeit Zum Ermitteln der Druckgeschwindigkeit bei Texten verwenden wir einen standardisierten Geschäftsbrief, den so genannten Dr.-Grauert- Brief. Wir messen die Zeit vom Abschicken des Druckauftrages, bis das letzte Blatt im Ausgabefach liegt. Die Druckerhersteller bewerben ihre Geräte oft mit sehr hohen Druckgeschwindigkeiten. Die Werksangaben beziehen sich oft nur auf den wenig praxisgerechten Entwurfsmodus. Zum Ermitteln praxisnaher Geschwindigkeitswerte haben wir die Textgeschwindigkeit in drei Qualitätsstufen gemessen. Die Druckgeschwindigkeit in Sachen Grafik ermitteln wir mit unserer tecchannel-testseite aus CorelDraw 9. Die Qualitätseinstellungen sind auf hoch eingestellt, als Medium findet Normalpapier Verwendung. Zum Überprüfen der Fotogeschwindigkeit drucken wir ein Foto aus Adobe Photoshop 5.5 mit den für Fotodruck optimalen Einstellungen auf ein entsprechendes Medium des jeweiligen Herstellers. Lichtbeständigkeit Wer seine digitalen Fotos auf Tintendruckern ausdruckt, muss sich darüber bewusst sein, dass kurzwellige UV-Strahlen dem Druckergebnis über die Zeit zusetzen. Im Klartext heißt das, die Ausdrucke verlieren unter dem Einfluss des normalen Tageslichts an Qualität. Zum Test der Lichtbeständigkeit simuliert unser Suntest CPS+ von Atlas 30 mitteleuropäische Sonnentage im Schnelldurchlauf. Druckkosten Um die Lebensdauer der Patronen zu ermitteln, drucken wir mit jedem Gerät einen frischen Patronensatz leer. Bei Textseiten rechnet man üblicherweise mit einer Deckung von fünf Prozent. Zum Ermitteln des Inhalts der Farbpatrone drucken wir eine Seite mit 75-prozentiger Farbdeckung. Die Anschaffungskosten des Druckers sowie die Preise des Papiers sind nicht berücksichtigt. (mje) Die Sonne bringt es an den Tag: Wie lichtbeständig die Ausdrucke sind, ermitteln wir mit dem Atlas Suntest CPS+. webcode: a175 59

57 tecdaten / Tintendrucker Anbieter Canon Canon Canon Canon Produkt S600 S750 S800 S900 Info Preis 229 Euro 259 Euro 379 Euro 399 Euro Internet Hotline / / / / Garantie 12 Monate 12 Monate 12 Monate 12 Monate Hardware Drucktechnik Bubble Jet Bubble Jet Bubble Jet Bubble Jet Max. Auflösung, dpi 2400 x x x x 1200 Schnittstellen parallel, USB parallel, USB parallel, USB USB Anzahl der Farben (6 mit Fotopatrone) 6 Abmessungen 430 x 177 x x 177 x x 343 x x 319 x 185 Ausstattung Treiber Windows 95/98/ME/NT 4.0/ 2000, Windows 95/98/ME/NT 4.0/ Windows 95/98/ME/NT 4.0/ Windows 98/2000/ME/XP, Mac-OS ab /XP, Mac-OS ab , Mac-OS ab 8.1 Mac-OS ab 8.6 Bedienelemente Netzschalter, Papiervorschub, Netzschalter, Papiervorschub, Netzschalter, Papiervorschub, Netzschalter, Papiervorschub, Papierstärkehebel Papierstärkehebel Papierstärkehebel Papierstärkehebel Anzeigen Bereitschaft/Fehler, Bereitschaft/Fehler, Bereitschaft/Fehler, Bereitschaft/Fehler, Wartungsaufruf Wartungsaufruf Wartungsaufruf Wartungsaufruf Druckkosten Schwarzpatrone (Euro) 13,50 13,50 12,50 12,50 Seitenleistung Schwarz (5 % Deckung) Kosten S/W-Seite (Euro) 0,04 0,03 0,04 0,06 Farbpatrone (Euro) 33,00 33,00 37,50 37,50 Seitenleistung Farbpatrone (75 % Deckung) Kosten Farbseite (Euro) 0,34 0,36 0,64 0,65 Druckmedien Papiervorrat 100 Blatt 100 Blatt 100 Blatt 100 Blatt Papierablage keine Angaben keine Angaben keine Angaben keine Angaben Medienformate A4, A5, B5, Letter, Legal, A4, A5, B5, Letter, Legal, A4, A5, B5, Letter, Legal A4, A5, B5, Letter, Legal, Karten 10 x 15 cm Max. Papiergewicht (Standard/Einzelblatt) 64 g/qm / 245 g/qm 105 g/qm / 245 g/qm 105 g/qm / 550 g/qm 105 g/qm / 245 g/qm Testwerte Geschwindigkeit Text, draft 8,2 Seiten / Minute 10,7 Seiten / Minute 3,3 Seiten / Minute 5,0 Seiten / Minute Text, normale Qualität 7,0 Seiten / Minute 7,2 Seiten / Minute 2,6 Seiten / Minute 3,9 Seiten / Minute Text, normale Qualität, Windows ,1 Seiten / Minute 7,8 Seiten / Minute 2,5 Seiten / Minute 3,5 Seiten / Minute Text, beste Qualität 2,2 Seiten / Minute 2,1 Seiten / Minute 0,8 Seiten / Minute 0,8 Seiten / Minute Grafik, beste Qualität 0,44 Seiten / Minute 0,36 Seiten / Minute 0,23 Seiten / Minute 0,43 Seiten / Minute Grafik, beste Qualität, Windows ,55 Seiten / Minute 0,53 Seiten / Minute 0,21 Seiten / Minute 0,43 Seiten / Minute Foto 0,14 Seiten / Minute 0,25 Seiten / Minute 0,14 Seiten / Minute 0,53 Seiten / Minute Messwerte Nicht bedruckbarer Bereich (o/u/l/r), mm 3,5/4/3,5/3,5 0/0/0/0 2,9/5,1/2,8/3,8 0/0/0/0 Leistungsaufnahme, Watt 0/1,7/4,7/15,8 0/3,9/3,9/13,8 1,9/4,8/4,8/9,5 0/5,3/5,3/12,8 Wertung Qualität Text (15 %) 7,5 7,5 7,5 7,5 Qualität Grafik (15 %) 8,4 8,3 8,3 8,5 Qualität Foto (15 %) 8,8 9,0 9,5 9,5 Geschwindigkeit Text (15 %) 8,8 9,4 5,5 6,4 Geschwindigkeit Grafik/Foto (10 %) 4,8 5,6 3,4 9,3 Druckkosten (15 %) 8,9 8,9 8,2 8,0 Handhabung/Ausstattung (15 %) 8,0 8,0 7,5 8,0 Gesamtwertung 8,0 8,2 7,3 8,1 Anmerkungen: Die Wertung reicht von 0 (ungenügend) bis 10 (sehr gut). Wenn nicht anders angegeben, haben wir die Messungen unter Windows 98 SE durchgeführt. Die Leistungsaufnahme wurde (webcode: d179). Dort können Sie die Gewichtung der Wertung nach Ihren Anforderungen anpassen. 60

58 Epson Epson Hewlett-Packard Hewlett-Packard Lexmark Stylus C82 Stylus Photo 890 Color InkJet CP1160 DeskJet 5550 Z Euro 229 Euro 359 Euro 179 Euro 179 Euro / / / / / Monate 12 Monate 12 Monate 12 Monate 12 Monate Piezo Piezo Thermischer Tintendruck Thermischer Tintendruck Thermischer Tintendruck 5760 x x x 1200 (SW: 1200 x 600) 4800 x 1200 (SW: 1200x1200) 4800 x 1200 parallel, USB parallel, USB parallel (mit Modul), USB, IrDA, parallel, USB USB LIO-Steckplatz (6 mit Fotopatrone) x 539 x x 779 x x 380 x x 385 x x 440 x 527 Windows 95/98/ME/NT 4.0/ 2000, Windows 95/98/ME/NT 4.0/ Windows 95/98/ME/NT 4.0/2000, Windows 95/98/ME/NT 4.0/ Windows 98/ME/2000/XP, Mac-OS ab , Mac-OS Mac-OS ab , Mac-OS ab 8.6 Mac-OS ab 8.6 Netzschalter, Reinigungs/ Netzschalter, Reinigungs-/ Netzschalter, Papiervorschub, Netzschalter, Papiervorschub, Netzschalter, Papiervorschub, Patronenwechsel-Taste, Patronenwechsel-Taste, Wiederaufnahmeschalter Abbruchtaste Abbruchtaste, Taste für Papiervorschub, Abbruchtaste Papiervorschub Papierfachwechsel Tintenpatronen, Bereitschaft, Tintenpatronen, Bereitschaft, LCD für Druck-/Bereitschafts-/ Tintenpatronen, Bereitschaft, Bereitschaft/Fehler, kein Papier/Papierstau kein Papier/Papierstau Fehleranzeige, Wartungsaufruf kein Papier/Papierstau Papiereinzug aus Fach 1 oder 2 40,54 26,10 29,99 33,99 42, ,04 0,06 0,05 0,09 0,11 50,73 20,50 34,99 44,99 46, ,47 0,51 0,37 0,40 0, Blatt 100 Blatt 150 Blatt 100 Blatt 100/150 Blatt keine Angaben keine Angaben 50 Blatt 50 Blatt 50 Blatt A4, A5, A6, Letter, Half Letter, B5, A4, A5, Letter, B5, Legal, A4, A5, B5, DL, C6, A6 A4, A5, A6, B5-JIS, C6, DL Papierformate bis 279 mm x 558 mm Legal, Executive Panoramic, 4x 6", 5x 8", 10x 8", 90 g/qm / 255 g/qm 194 g/qm 90 g/qm / Karten 200 g/qm 90 g/qm / Fotos 240 g/qm 272 g/qm/ 500 g/qm 10,7 Seiten / Minute 2,0 Seiten / Minute 10,2 Seiten / Minute 8,1 Seiten / Minute 8,8 Seiten / Minute 6,1 Seiten / Minute 2,0 Seiten / Minute 5,9 Seiten / Minute 4,8 Seiten / Minute 6,3 Seiten / Minute 5,8 Seiten / Minute 2,1 Seiten / Minute 4,3 Seiten / Minute 3,7 Seiten / Minute 5,3 Seiten / Minute 3,0 Seiten / Minute 0,5 Seiten / Minute 3,8 Seiten / Minute 0,9 Seiten / Minute 1,1 Seiten / Minute 0,26 Seiten / Minute 0,24 Seiten / Minute 0,58 Seiten / Minute 0,17 Seiten / Minute 0,17 Seiten / Minute 0,17 Seiten / Minute 0,16 Seiten / Minute 0,98 Seiten / Minute 0,23 Seiten / Minute 0,10 Seiten / Minute 0,16 Seiten / Minute 0,13 Seiten / Minute 0,29 Seiten / Minute 0,30 Seiten / Minute 0,17 Seiten / Minute 3/2/2/3,5 0/0/0/0 1,5/12/3/3,5 1/12/3/4 1,1/13/3,8/3 0/3,1/3,3/13,8 0/3/7,7/13,6 1,4/4/9,6/17 0/2,5/2,5/12,9 5/5,3/5,3/9,5 8,0 7,5 7,5 8,0 7,5 8,9 9,5 8,3 8,9 8,4 9,1 9,5 8,2 8,6 7,7 9,3 4,9 9,4 7,4 8,2 5,3 4,6 8,0 5,2 5,2 8,6 8,2 8,7 8,1 7,2 8,0 9,0 9,5 8,0 8,0 8,3 7,8 8,5 7,9 7,6 in den Zuständen aus/standby/online und während des Drucks ermittelt. Weitere Ergebnisse und Informationen zu den getesteten Produkten finden Sie unter. webcode: d179 61

59 TEST / Festplatten Performance- Überflieger Die neuen Profi-Platten mit Ultra320-SCSI beeindrucken mit Höchstleistungen. Auch bei den IDE-Drives kann von Stillstand keine Rede sein, obwohl Serial-ATA noch auf sich warten lässt. Wir haben 133 Laufwerke aller Klassen getestet. Von Christian Vilsbeck Festplatten mit Serial-ATA-Schnittstelle könnten Sie seit über einem Jahr kaufen wären die Vorhersagen der IT- Auguren aus dem Jahr 2000 eingetroffen. An jedem IDE-Laufwerk findet sich nach wie vor aber der 5,8 cm breite 40-polige Parallelstecker. Bei Festplatten kommt es jedoch bekanntlich mehr auf die inneren Werte an. Und die überzeugen durch Speicherkapazität sowie durch Leistung. Denn die Hersteller packen kaum überraschend mal wieder mehr GByte auf eine Magnetscheibe. 60 GByte pro Platter avancieren zum Standard. Und wer die Größte will, muss im Moment zu Western Digitals Caviar mit 200 GByte Kapazität greifen. Darin rotieren gleich drei 66 GByte große Scheiben. Pannen bei der Performance blieben diesmal bei den Neuzugängen aus. So waren noch beim letzten tecchannel-test im März 2002 die Laufwerke des Newcomers ExcelStor dermaßen langsam, dass sie besser im Museum als in einem PC aufgehoben gewesen wären. Mit frischer IBM-Technik drippelt sich ExcelStor diesmal nach vorne. Die neue Generation der Profi-Festplatten gibt es nun mit Ultra320-SCSI-Schnittstelle zu kaufen. Das 320 MByte/s (1000er Basis) schnelle Interface verspätete sich um über ein Jahr. Und damit die Schnittstelle genügend zu tun hat, transferieren die neuen er und er Laufwerke ihre Daten im Expresstempo. Allerdings werden die Performance-Überflieger schnell ausgebremst, wenn man sie falsch einsetzt. Denn nicht jeder Controller und jedes Mainboard kann die Datenmenge bewältigen. In unserer tecdaten-tabelle am Ende dieses Artikels finden Sie eine Übersicht über 133 getestete IDE- und SCSI-Laufwerke. Unser Leistungsindex, der ein Maßstab für die Gesamt-Performance des Drives ist, soll Sie vor Fehlkäufen bewahren. In der Tabelle finden Sie auch einige Festplatten, die bereits seit einiger Zeit auf dem Markt sind. Wir haben sie in den Vergleich aufgenommen, da sich dahinter oft wahre Schnäppchen verbergen. Drivezilla Als Monster-Drives propagiert Western Digital seine neuesten IDE-Festplatten. Der Spitzname bezieht sich auf die neue Rekordkapazität von 200 GByte. Maxtor überspringt den Schritt von 40 auf 60 GByte große Magnetscheiben. Die DiamondMax 16 und Plus 9 beherbergt 80-GByte-Scheiben. Allerdings fertigt Maxtor zum Start nur Zwei-Scheiben-Modelle mit maximal 160 GByte. Western Digital Rekord wird dennoch nicht lange halten, denn Maxtor hat bereits die MaXLine-Drives angekündigt. Diese bieten bis zu 320 GByte und kommen noch dieses Jahr in den Handel. Schon bei den 200 GByte von Western Digitals Caviar müssen nun auch die SCSI- Drives zurückstecken. Der lange verteidigte Rekord der Seagate Barracuda 180 mit 180 GByte Kapazität ist eingestellt, überdies hat die Platte das Rentenalter erreicht. Und während Seagates Relikt noch zwölf mit 7200 U/min rotierende Plattern enthält, bietet die neue SCSI-Generation 146 GByte bei nur noch vier Scheiben. Zu den mit U/min arbeitenden Drives zählen die Fujitsu Allegro 8 MAP, die IBM Ultrastar 146Z10 und die Seagate Cheetah 10K.6. Eine Kapazitätsverdoppelung gibt es bei den er Drives sowohl Seagates Cheetah 15K.3 als auch Fujitsus Allegro 8 MAS warten nun mit 73 GByte auf. Und die Cheetah 15K.3 setzt mit 74,5 MByte/s gleich noch eine neue Rekordmarke in der maximalen sequenziellen Datentransferrate. Ultra320 fordert PCI-X Die neuen Ultra320-SCSI-Festplatten haben ein Problem: Sie sind inzwischen so schnell, dass es schwierig werden kann, die Daten 62

60 Festplatten / TEST ungehindert zu transferieren. Über 70 MByte/s sequenzielle Datentransferrate überfordern bereits Ultra2-SCSI-Controller. Die bieten zwar eine Bandbreite von 80 MByte/s (1000 Basis), durch den Befehls- Overhead sind effektiv aber nur gut 60 MByte/s möglich. Steht der neuen Ultra320- Plattengarde ein Ultra160-Controller zur Seite, reicht dessen Bandbreite von 160 MByte/s (1000er Basis) für ein einzelnes Drive aus. Aber bereits ein RAID aus zwei Platten kann inklusive Befehls-Overhead dem Controller die Grenzen aufzeigen. Mit dem Ultra320-SCSI-Gespann aus Seagates Cheetah 15K.3 und dem LSI Controller von LSI Logic haben wir Burst- Transferraten von über 230 MByte/s gemessen. Allerdings steckte der Controller in einem PCI-X-Steckplatz. Sowohl Adaptecs 39320D als auch der LSI-Logic-Controller sind nur noch als 64 Bit breite PCI-X-Variante lieferbar. Der PCI-X-Bus erlaubt bei einer Frequenz von 133 MHz Datentransferraten von 1017 MByte/s (1024er Basis) und bewältigt die Bandbreite von Ultra320- SCSI problemlos. Anders die Standard-PCI- Steckplätze, in denen sich die PCI-X-Karten ebenfalls betreiben lassen. Hier sind maximal 127 MByte/s (1024er Basis) über den Bus möglich. Im Burst-Modus messen wir hier nur noch 100 MByte/s, die restliche Bandbreite belegt der Befehls-Overhead. Bei sequenziellen Datentransferraten von 75 MByte/s wird der Rekordhalter Cheetah 15K.3 immerhin noch nicht ausgebremst. Der SCSI-Controller steckte dabei in einem Mainboard mit Intel-Chipsatz. Planen Sie den Einsatz in Boards mit VIA-Chipsatz, dann wird die volle Leistung des Seagate-Drives nicht mehr genutzt. Die bisherigen VIA-Chipsätze ermöglichen durch ihre schwache PCI-Performance durchschnittlich nur 70 bis 90 MByte/s über den Bus. Viel zu wenig für eine Festplatte, die bereits 75 MByte/s sequenzielle Datentransferrate liefert. Denn auf die 75 sind noch mindestens 20 MByte/s Bandbreite für den Overhead zu addieren. Ausführliche Informationen zu VIAs PCI-Problem können Sie hier nachlesen (webcode: a813). Serial-ATA ohne Festplatten Schenkt man den aktuellen Aussagen der Festplattenhersteller Glauben, so gibt es erste Serial-ATA-Laufwerke Ende 2002 zu kaufen. Zumindest Maxtors neue DiamondMax-Serien und Seagates Barracuda ATA V sind bereits offiziell zum Jahresende mit serieller Schnittstelle angekündigt. Bis dato war es auch ein Henne-Ei-Problem mit Serial-ATA: Die Plattenhersteller produzieren noch keine Serial-ATA-Versionen, weil es noch keine Controller gibt. Die Controller-Hersteller argumentierten umgekehrt. HighPoint und Promise haben nun zumindest das Controller-Ei gelegt. Serial- ATA-PCI-Steckkarten sollen dem neuen Standard über Startschwierigkeiten hinweghelfen. Nur hat diese Lösung eine Crux: Die Controller nutzen Serial-ATA-to-Parallel-ATA-Bridge-Bausteine, die den seriellen Datenstrom wieder in einen parallelen umwandeln. Von den ursprünglichen 150 MByte/s Bandbreite von Serial-ATA bleiben also wieder nur 100 MByte/s übrig (Werte 1000er Basis) wie beim parallelen Ultra- ATA/100. Die Konvertierung kostet zusätzlich Bandbreite, so dass im Endeffekt sogar weniger zur Verfügung steht. Erste in den USA veröffentlichte Tests von diesen Controllern mit einer Serial-ATA-Prototypenplatte weisen leider nicht auf den offensichtlichen Nachteil hin. En vogue sind momentan Mainboards, die eine Serial-ATA-Schnittstelle bieten. Die auf dem Board integrierten Controller gleichen aber denen der Steckkarten und konvertieren ebenfalls den Datenstrom. Von diesen Übergangslösungen ohne Performance-Gewinn raten wir ab, zudem es künftige IDE-Festplatten bis mindestens 2004 mit parallelem Interface geben soll. Serial-ATA macht also nur bei im Chipsatz integrierter Schnittstelle ohne Bridge- Bausteine Sinn. Hier steht dann die volle Serial-ATA-Bandbreite bereit. Erste Lösungen von Intel und VIA wird es voraussichtlich im zweiten Quartal 2003 geben. Ultra-ATA/133 unbeliebt Maxtor hat im August 2001 die Ultra-ATA/ 133-Schnittstelle vorgestellt. Das Interface gibt es aber nur bei Maxtor-Drives, die Konkurrenz schwenkt direkt auf Serial-ATA um. Die geringe Akzeptanz wundert nicht: Der Performance-Gewinn ist minimal (webcode: a849), und selbst Maxtor sieht Ultra-ATA/133 nur als Zwischenschritt zu Serial-ATA. Mehr Erfolg kann Ultra-ATA/133 bei den Chipsätzen vorweisen. ALi, NVIDIA, SiS und VIA haben ihre Produkte mit dem schnellen IDE-Interface ausgestattet wohl hauptsächlich aus Marketing-Gründen. Intel bleibt bei Ultra-ATA/100 und will dem nächsten I/O-Hub ICH5 Serial-ATA spendieren. Info Maximale sequenzielle Leserate Seagate Cheetah15K.3 Fujitsu AL8 MAP Seagate Cheetah 10K.6 IBM Ultrastar 146Z10 Fujitsu AL7 MAM IBM Ultrastar 73LZX Fujitsu AL7 MAN Seagate Cheeta 73LP Maxtor Atlas 10K III IBM Ultrastar 36Z15 tecchannel / SCSI: Datentransfer Sprinter: Seagates Cheetah 15K.3 dominiert die Festplattenszene. Im Ultra320-SCSI-Drive rotieren die Magnetscheiben mit U/min. Fazit Festplatten Die Phalanx der schnellsten Festplatten bildet die neue Ultra320-SCSI-Generation: IBM Ultrastar 146Z10, Fujitsu Allegro 8 und Seagates Cheetah 10K.6 sowie die Cheetah 15K.3. Die Laufwerke beeindrucken durch hohe Performance und bieten bis zu 146 GByte Kapazität. Seagates Cheetah 15K.3 erreicht dabei mit U/min Rekordwerte in der sequenziellen Datentransferrate sowie in der Zugriffszeit. Allerdings muss bei den schnellen Profiplatten die Umgebung stimmen, sonst werden sie ausgebremst. Diese Sorge gibt es bei den IDE-Festplatten nicht. Knapp 50 MByte/s sequenzielle Datentransferrate zeugen bei den Desktop-Drives von ordentlicher Performance. Und Mangel an Kapazität herrscht hier auch nicht. Von den ersten Serial-ATA- Controllern raten wir dagegen ab. (cvi) Weitere Links zum Thema 46,8 54,4 53,8 53,4 53,3 51, langsamer schneller MByte/s Tabelle siehe nächste Seite 67,9 65,0 Test: SCSI-Festplatten Test: Ultra-ATA-Festplatten Test: Ultra-ATA/133 Gefahr: IDE-Festplatten im Dauereinsatz VIA-Chipsätze bremsen PCI-Steckkarten aus 74,5 69,4 Webcode a318 a498 a849 a964 a813 webcode: a318 / a498 63

61 tecdaten / IDE-Festplatten TECHNISCHE Kapazität Drehzahl Interface Cache Lesen min/mittel/max Zugriffszeit Leistungsindex Preis ANGABEN GByte U/min Typ KByte MByte/s ms Punkte Euro CONNER / EXCELSTOR CT210 10, ATA/ ,18 / 17,4 / 21,76 12,06 2,7 Auslaufmodell ES , ATA/ ,8 / 21,23 / 26,53 14,56 3,0 74 Jupiter ESJ ATA/ ,15 / 36,34 / 45,52 6,5 9,3 84 FUJITSU Picobird 14 MPE3064AT 6, ATA/ ,63 / 15,99 / 18,89 10,68 2,9 Auslaufmodell Picobird 14 MPE3136AT 13, ATA/ ,87 / 15,9 / 19,16 9,93 2,9 Auslaufmodell Picobird 14H MPE3102AH 10, ATA/ ,27 / 20,69 / 22,69 8,73 4,5 Auslaufmodell Picobird 14H MPE3136AH 13, ATA/ ,35 / 20,79 / 22,77 8,81 4,4 Auslaufmodell Picobird 15 MPF3102AT-T 10, ATA/ ,86 / 19,21 / 22,97 10,45 3,2 Auslaufmodell Picobird 15H MPF3204AH-F 20, ATA/ ,84 / 24,44 / 27,97 8,23 5,5 Auslaufmodell Picobird 16 MPG3409AT-EF 40, ATA/ ,95 / 24,26 / 29,01 9,78 5,3 130 Picobird 16H MPG3409AH-EF 40, ATA/ ,72 / 33,35 / 36,84 7,85 7,9 149 IBM Deskstar 120GXP IC35L040AVVN ATA/ ,7 / 36,55 / 45,14 6,41 8,9 89 Deskstar 120GXP IC35L120AVVA ATA/ ,03 / 37,18 / 46,14 6,04 9,6 179 Deskstar 22 GXP DJNA ATA/ ,08 / 14,69 / 17,2 7,86 3,2 Auslaufmodell Deskstar 34GXP DPTA , ATA/ ,27 / 19,22 / 22,16 9,03 4,1 Auslaufmodell Deskstar 34GXP DPTA , ATA/ ,36 / 19,33 / 22,25 8,54 4,2 Auslaufmodell Deskstar 34GXP DPTA , ATA/ ,41 / 19,45 / 22,4 7,27 4,4 Auslaufmodell Deskstar 37GP DPTA , ATA/ ,41 / 15,92 / 19,43 8,94 3,3 Auslaufmodell Deskstar 40GV DTLA , ATA/ ,66 / 19,89 / 26,51 8,57 4,4 Auslaufmodell Deskstar 60GXP IC35L040AVER ATA/ ,38 / 30,54 / 37,58 6,64 7,8 89 Deskstar 60GXP IC35L060AVER ATA/ ,52 / 31,4 / 38,69 6,27 8,0 105 Deskstar 75GXP DTLA , ATA/ ,44 / 28,47 / 35,85 7,15 6,7 Auslaufmodell Deskstar 75GXP DTLA , ATA/ ,53 / 28,49 / 35,95 6,81 7,1 Auslaufmodell MAXTOR DiamondMax U8 40, ATA/ ,89 / 20,06 / 24,41 9,46 4,6 Auslaufmodell DiamondMax 536DX 4W060H ATA/ ,35 / 23,14 / 27,8 9,39 5,4 100 DiamondMax 536DX 4W100H ATA/ ,56 / 25,07 / 30,03 9,12 5,9 160 DiamondMax 541DX 2B020H ATA/ ,6 / 32,51 / 37,48 10,72 6,8 74 DiamondMax H8 61, ATA/ ,7 / 22,17 / 26,6 8,87 4,5 Auslaufmodell DiamondMax H8 81, ATA/ ,58 / 23,7 / 28,51 8,94 5,6 Auslaufmodell DiamondMax D540X 4D080H ATA/ ,73 / 28,48 / 35,12 9,47 6,3 109 DiamondMax D540X 4G120J ATA/ ,89 / 28,54 / 35,26 8,21 6,7 189 DiamondMax D540X 4G160J ATA/ ,79 / 28,56 / 35,27 8,11 6,8 250 DiamondMax D740X 6L40J ATA/ ,36 / 34,27 / 40,26 7,32 8,2 94 DiamondMax D740X 6L80J ATA/ ,29 / 34,07 / 39,9 6,99 8,2 139 DiamondMax Plus H4 20, ATA/ ,56 / 24,15 / 28,93 7,91 6,0 Auslaufmodell DiamondMax Plus H8 40, ATA/ ,7 / 24,06 / 28,82 7,31 6,1 Auslaufmodell DiamondMax Plus H2 15, ATA/ ,49 / 27,27 / 31,87 8,62 6,5 Auslaufmodell DiamondMax Plus H4 30, ATA/ ,5 / 27,28 / 31,87 7,90 6,7 Auslaufmodell DiamondMax Plus H6 46, ATA/ ,5 / 27,26 / 31,87 7,60 6,6 Auslaufmodell DiamondMax Plus 60 5T060H6 60, ATA/ ,3 / 30,42 / 36,69 7,59 7,5 128 DiamondMax VL U4 20, ATA/ ,29 / 20,52 / 24,7 10,14 3,9 Auslaufmodell DiamondMax VL H4 30, ATA/ ,68 / 22,23 / 26,51 10,13 4,5 Auslaufmodell DiamondMax VL H2 20, ATA/ ,67 / 23,65 / 28,51 10,57 5,3 Auslaufmodell MAXTOR / QUANTUM Fireball CX , ATA/ ,15 / 15,67 / 18,61 9,60 3,0 Auslaufmodell Fireball CX ATA/ ,15 / 15,9 / 18,59 9,29 3,2 Auslaufmodell Fireball CX , ATA/ ,18 / 15,75 / 18,66 9,15 3,1 Auslaufmodell Fireball CX 6.4 6, ATA/ ,15 / 15,95 / 18,6 9,71 3,2 Auslaufmodell Fireball lct , ATA/ ,25 / 16,77 / 19,64 9,11 3,4 Auslaufmodell Fireball lct ATA/ ,18 / 16,7 / 19,52 8,81 3,4 Auslaufmodell Fireball lct , ATA/ ,4 / 17 / 19,85 9,74 3,3 Auslaufmodell Fireball lct , ATA/ ,33 / 17 / 19,71 9,47 3,4 Auslaufmodell Anmerkungen: Kapazität unformatiert laut Hersteller. Leistungsindex von 0 (ungenügend) bis 10 (sehr gut) Punkte. Bei den Preisangaben handelt es sich um durchschnittliche Straßenpreise. 64

62 tecdaten / IDE-Festplatten TECHNISCHE Kapazität Drehzahl Interface Cache Lesen min/mittel/max Zugriffszeit Leistungsindex Preis ANGABEN GByte U/min Typ KByte MByte/s ms Punkte Euro MAXTOR / QUANTUM Fireball lct , ATA/ ,24 / 18,32 / 21,62 9,40 3,7 Auslaufmodell Fireball lct ATA/ ,14 / 18,33 / 21,41 8,84 3,7 Auslaufmodell Fireball lct , ATA/ ,29 / 16,74 / 19,22 10,96 2,8 Auslaufmodell Fireball lct ATA/ ,75 / 17,2 / 20,14 10,79 2,7 95 Fireball Plus AS , ATA/ ,06 / 30,3 / 35,45 8,45 6,4 85 Fireball Plus AS ATA/ ,34 / 29,12 / 34,01 7,55 6,4 99 Fireball Plus KA , ATA/ ,16 / 16,2 / 19,49 7,49 3,9 Auslaufmodell Fireball Plus KA 9.1 9, ATA/ ,21 / 16,26 / 19,56 8,22 3,9 Auslaufmodell Fireball Plus KX , ATA/ ,26 / 19,25 / 22,07 7,37 4,5 Auslaufmodell Fireball Plus KX , ATA/ ,22 / 19,22 / 22,02 7,09 4,5 Auslaufmodell Fireball Plus KX , ATA/ ,27 / 19,28 / 22,11 6,68 4,5 Auslaufmodell Fireball Plus LM , ATA/ ,99 / 23,41 / 25,56 8,23 5,5 Auslaufmodell Fireball Plus LM , ATA/ ,01 / 23,42 / 25,65 7,73 5,6 Auslaufmodell SAMSUNG SpinPoint P40 SP8004H ATA/ ,38 / 35,67 / 41,39 6,96 7,7 129 SpinPoint V10200 SV2044D 20, ATA/ ,73 / 19,39 / 23,47 8,54 3,9 Auslaufmodell SpinPoint V15300 SV3064D 30, ATA/ ,08 / 22,37 / 27 8,47 4,5 Auslaufmodell SpinPoint V20400 SV3063D 30, ATA/ ,17 / 23,24 / 28,36 8,25 4,7 95 SpinPoint V20400 SV4084H 40, ATA/ ,99 / 21,47 / 27,9 8,12 4,5 100 SpinPoint V30 SV6004H ATA/ ,64 / 24,52 / 29,46 7,80 4,9 130 SpinPoint V60 SV1204H ATA/ ,33 / 31,38 / 37,91 9,11 7,2 159 SEAGATE Barracuda ATA II 100 ST330631A 30, ATA/ ,37 / 24,61 / 28,45 6,84 5,9 Auslaufmodell Barracuda ATA II ST310210A 10, ATA/ ,37 / 24,59 / 28,34 7,51 5,8 Auslaufmodell Barracuda ATA III ST320414A 20, ATA/ ,55 / 33,35 / 38,94 8,61 7,4 100 Barracuda ATA III ST340824A 40, ATA/ ,78 / 33,35 / 38,87 8,00 7,5 120 Barracuda ATA IV ST380021A ATA/ ,38 / 35,62 / 40,55 6,92 8,6 139 Barracuda ATA ST320430A 20, ATA/ ,74 / 23,71 / 26,84 7,15 5,5 Auslaufmodell Barracuda ATA ST328040A 28, ATA/ ,56 / 23,44 / 26,86 7,02 5,4 Auslaufmodell Medalist ST317242A 17, ATA/ ,94 / 12,76 / 15,42 9,85 2,4 Auslaufmodell U Series 5 ST330621A 30, ATA/ ,22 / 26,28 / 30,09 8,86 4,7 Auslaufmodell U Series 5 ST340823A 40, ATA/ ,14 / 26,28 / 30,21 8,33 4,8 Auslaufmodell U Series 6 ST380020A ATA/ ,93 / 23,91 / 28,69 9,37 4,7 105 U10 ST320423A 20, ATA/ ,55 / 19,1 / 22,87 9,65 3,5 Auslaufmodell U4 ST38421A 8, ATA/ ,89 / 13,23 / 15,9 10,05 2,2 Auslaufmodell U8 ST317221A 17, ATA/ ,6 / 18,66 / 21,87 9,25 3,5 Auslaufmodell WESTERN DIGITAL Caviar WD1000BB ATA/ ,38 / 36,37 / 41,55 6,60 9,0 225 Caviar WD1000JB ATA/ ,35 / 36,36 / 41,58 6,75 9,1 229 Caviar WD1200AB ATA/ ,02 / 33,32 / 39,87 7,14 8,1 179 Caviar WD1200BB ATA/ ,75 / 38,29 / 46,28 6,33 9,3 199 Caviar WD1200JB ATA/ ,89 / 38,17 / 46,63 6,31 9,7 235 Caviar WD153BA 15, ATA/ ,02 / 20,7 / 23,74 8,18 5,2 Auslaufmodell Caviar WD205AA 20, ATA/ ,53 / 16,35 / 19,45 8,84 3,7 Auslaufmodell Caviar WD205BA 20, ATA/ ,03 / 20,73 / 23,83 8,36 5,1 Auslaufmodell Caviar WD272AA 27, ATA/ ,38 / 16,86 / 19,7 8,76 3,8 Auslaufmodell Caviar WD307AA 30, ATA/ ,79 / 20,99 / 24,24 9,57 4,7 Auslaufmodell Caviar WD400BB ATA/ ,25 / 29,19 / 31,97 8,83 7,3 89 Caviar WD450AA ATA/ ,17 / 21,15 / 24,26 9,04 4,7 Auslaufmodell Caviar WD600AB ATA/ ,79 / 28,7 / 33,2 8,02 6,6 109 Caviar WD800BB ATA/ ,82 / 30,02 / 33,02 7,19 7,4 119 Caviar WD800JB ATA/ ,94 / 39,05 / 46,72 6,49 9,7 129 Expert WD205BA 20, ATA/ ,33 / 19,32 / 22,33 8,47 4,2 Auslaufmodell Expert WD273BA 27, ATA/ ,15 / 19,25 / 22,26 7,73 4,2 Auslaufmodell Protege WD200EB ATA/ ,89 / 22 / 24,36 9,47 4,8 74 Anmerkungen: Kapazität unformatiert laut Hersteller. Leistungsindex von 0 (ungenügend) bis 10 (sehr gut) Punkte. Bei den Preisangaben handelt es sich um durchschnittliche Straßenpreise. webcode: d498 65

63 tecdaten / SCSI-Festplatten TECHNISCHE Kapazität Drehzahl Interface Cache Lesen min/mittel/max Zugriffszeit Leistungsindex Preis ANGABEN GByte U/min Typ KByte MByte/s ms Punkte Euro FUJITSU Allegro 6L MAH3182MP 18, Ultra ,43 / 27,07 / 33,49 7,13 3,2 Auslaufmodell Allegro 6LE MAJ3182MP 18, Ultra ,01 / 34,98 / 40,73 4,99 5,4 Auslaufmodell Allegro 7LX MAM3184MP 18, Ultra ,14 / 50,72 / 54,35 3,51 8,3 289 Allegro 7LX MAN3735MP 73, Ultra ,64 / 44,62 / 53,4 4,40 6,6 679 Allegro 8 MAP3735NC 73, Ultra ,16 / 56,59 / 69,43 4,25 8,6 729 Allegro 8 MAP3147NC Ultra ,17 / 56,57 / 69,47 4,10 8, IBM Ultrastar 146Z10 IC35L146UCD Ultra / 50,72 / 64,99 3,89 7, Ultrastar 36LP DPSS , Ultra ,54 / 24,93 / 30,05 6,51 3,0 Auslaufmodell Ultrastar 36LZX DDYS-T , Ultra ,01 / 27,96 / 34,7 4,88 4,3 Auslaufmodell Ultrastar 36LZX DDYS-T , Ultra ,09 / 27,96 / 34,71 4,78 4,2 Auslaufmodell Ultrastar 36Z15 ICL35L036UWPR15 36, Ultra ,34 / 41,89 / 46,78 3,30 7,2 429 Ultrastar 73LZX IC35L073UCD210 73, Ultra ,81 / 42,5 / 53,79 4,24 6,4 729 MAXTOR / QUANTUM Atlas 10K , Ultra ,76 / 22,08 / 24,71 4,91 4,3 Auslaufmodell Atlas 10K , Ultra ,7 / 22,06 / 24,71 4,91 4,1 Auslaufmodell Atlas 10K II , Ultra ,56 / 31,87 / 40 4,65 5,9 Auslaufmodell Atlas 10K II 9.2 9, Ultra ,4 / 33,39 / 40,26 4,96 6,2 Auslaufmodell Atlas 10K III , Ultra ,11 / 44,84 / 51,76 4,45 7,5 779 Atlas IV , Ultra ,05 / 17,69 / 20,7 7,44 2,2 Auslaufmodell Atlas V , Ultra ,09 / 23,8 / 28,38 6,50 3,3 240 Atlas V , Ultra ,02 / 23,67 / 28,14 6,56 3,7 450 SEAGATE Barracuda 180 ST LCV Ultra ,95 / 32,92 / 40,62 6,32 4, Barracuda 36ES ST336737LW 36, Ultra ,46 / 33,43 / 40,68 6,89 3,7 265 Cheetah 10K.6 ST LW Ultra ,25 / 55,10 / 67,87 4,04 7, Cheetah 15K.3 ST373453LC 73, Ultra ,67 / 65,17 / 74,52 2,98 9,8 940 Cheetah 18XL ST318404LW 18, Ultra ,78 / 30,89 / 34,25 5,34 4,5 Auslaufmodell Cheetah 36XL ST336705LW 36, Ultra ,87 / 33,89 / 38,24 4,91 5,3 565 Cheetah 73 ST173404LW 73, Ultra ,05 / 30,36 / 34,21 5,13 4,4 Auslaufmodell Cheetah 73LP ST373405LW 73, Ultra ,92 / 44,57 / 53,31 4,47 6,8 749 Cheetah X15 36LP ST336752LW 36, Ultra ,52 / 51,53 / 57,4 3,25 8,6 499 Cheetah X15 ST318451LW 18, Ultra ,46 / 35,64 / 39,5 4,31 6,4 Auslaufmodell Anmerkungen: Kapazität unformatiert laut Hersteller. Leistungsindex von 0 (ungenügend) bis 10 (sehr gut) Punkte. Bei den Preisangaben handelt es sich um durchschnittliche Straßenpreise. Testverfahren Festplatten Bei einer Festplatte kommt es vorrangig auf die Performance an. tecchannel testet sie mit eigenen Benchmarks. Jede Festplatte findet im Labor von tecchannel die gleichen Testbedingungen vor. Die Laufwerke sind an einer exakt definierten Testkonfiguration angeschlossen und werden nach einem genau festgelegten Verfahren geprüft. Alle Benchmarks laufen unter Windows NT 4.0. Die Leistungsfähigkeit einer Festplatte bewerten wir anhand von verschiedenen Tests. Dabei unterscheiden wir zwei Kategorien: Der Lowlevel- Benchmark tecbench (webcode: a926) lotet die maximale Leistungsfähigkeit der Festplatten mit möglichst wenig Betriebssystem-Overhead ohne Windows-Cache aus. tecbench ermittelt die sequenziellen Datentransferraten beim Lesen und Schreiben der Zonen, die Burst-Transferrate und die Zugriffszeiten der Laufwerke. Um die Performance der Laufwerke in der Praxis zu untersuchen, führen wir mit unserem Applikations-Benchmark tecmark Schreib-, Lese- und Kopiertests unter realen Bedingungen durch. tecmark verwendet die Funktionen ReadFile(), WriteFile() und CopyFile(). Für den Test mit tecmark unterteilen wir die Festplatte in zwei Partitionen. Die eine umfasst 500 MByte und liegt in den inneren langsamen Zonen der Festplatte. Auf der Restpartition laufen die Tests auf den äußeren Spuren, also im schnellen Bereich der Platte. Die Formatierung erfolgt mit dem NTFS-Dateisystem. Die Schreib-, Lese- und Kopiertests mit tecmark führen wir in beiden Partitionen durch. So erhalten wir Aussagen über die Praxisleistung der Festplatten im Außen- und Innenbereich. (cvi) 66

64 TEST / Athlon XP Aufholjagd Kurz vor Redaktionsschluss erreichte uns noch ein Muster des neuen Athlon XP 2800+, den wir ausführlich getestet haben. Mit dieser CPU erhöht AMD den FSB-Takt auf 333 MHz, um mit Intels Pentium 4 gleichzuziehen. Von Michael Eckert Die CPU erreichte uns so knapp, dass wir sie nicht mehr in unser Prozessoren-Special ab Seite 14 einbinden konnten. Wie eilig es AMD mit der CPU hatte, lässt sich auch schon daran erkennen, dass bei den Testmustern die Thermal Diode noch nicht korrekt funktionierte, was auf die Performance-Tests aber keinen Einfluss hat. Für die Serienversion verspricht AMD die volle Funktionalität. Die einzige Neuerung des Athlon XP ist die von 133 auf 166 MHz (266 / 333 MHz per DDR-Verfahren) erhöhte FSB-Taktfrequenz. Die CPU hat dabei eine Core-Frequenz von 2250 MHz. Gleichzeitig bringt AMD auch noch den Athlon XP 2700+, der mit 2,17 GHz und 333 MHz FSB arbeitet. Das von AMD mitgelieferte Asus-Mainboard A7NBX mit nforce2-chipsatz ist ebenso neu wie der Prozessor. Und so ganz serienreif war es zum Testzeitpunkt auch noch nicht: Insbesondere beim Test mit Viewperf kam es mit den von AMD vorgenommenen Aggressive -BIOS-Voreinstellungen zum Absturz. Erst mit den Optimal -Settings für FSB und Speicher lief die Testplattform einwandfrei. Der Gewinn an Stabilität geht aber auf Kosten der maximal möglichen Performance: Mit unseren sicheren Einstellungen erreichte der Athlon XP beispielsweise bei GLmark 96,8 fps, während im gelieferten Zustand immerhin 98,2 fps möglich waren. Die Plattform lässt also noch etwas Spielraum für mehr Geschwindigkeit. Der Athlon XP muss sich aber dennoch nicht verstecken. Bei den Tests ist der Prozessor um bis zu 21 Prozent schneller als der Athlon XP Die Core-Taktfrequenz ist aber nur um rund fünf Prozent gestiegen. Der Vorteil geht in diesem Info / Testergebnisse Extremfall also auf das Konto des höheren FSB-Takts und wohl auch des Mainboards. In den meisten Fällen ist der Athlon XP etwa fünf bis sieben Prozent schneller als das kleinere Modell. Im Vergleich zum Pentium 4 zieht der Athlon bei SSE2-Software immer noch den Kürzeren, selbst wenn die Testkonfiguration mit PC333-DDR-SDRAM identisch ist. Das trifft auf SYSmark2002, Lightwave 3D und die A/V-Encoder zu. Die geringen Unterschiede zwischen RDRAM und PC333-Speicher zeigen auch, dass RDRAM nicht alleine dafür verantwortlich ist. Lediglich der DivX-Encoder sowie der DRV-07- Test von Viewperf profitieren deutlich von RDRAM, weil sie die höhere Speicherbandbreite mit großen (sequenziellen) Datenblöcken wirklich nutzen. Fazit Viel hat sich eigentlich nicht geändert: Solange SSE2 außen vor bleibt, ist der Athlon XP bei vergleichbarer Konfiguration schneller. Unterstützt die Software jedoch den Pentium 4 per SSE2 optimal, dann zieht Intels CPU davon. Der Abstand ist hier aber wieder kleiner geworden. (mec) CPU P P P P A XP A XP Speicher PC800 PC1066 PC333 PC1066 PC333 PC333 SYSmark 2002 Gesamtergebnis (Punkte) Internet (Punkte) Office (Punkte) OpenGL-Performance Viewperf DRV-07 (fps) 36,23 42,10 24,60 43,19 30,33 35,16 Viewperf DX-06 (fps) 35,05 36,59 38,07 38,85 47,80 57,70 GLmark (fps) 91,7 93,3 92,1 94,2 95,9 96,8 Quake III High Quality (fps) 224,8 235,7 244,4 255,1 220,2 236,4 DirectX-Performance 3DMark Gesamt (Punkte) DMark Car Chase (fps) 62,2 65,4 66,8 72,1 67,9 71,2 3DMark Lobby (fps) 76,2 81,1 79,9 87,2 77,1 79,7 Raytracing Lightwave 3D 7.5 (sec) Cinebench2000 (Punkte) 25,44 25,53 28,60 28,54 29,49 31,24 A/V-Encoding DivX 5.01 (sec) Magix mp3 Maker (sec) GoGo 3.10 (sec) 27,6 27,6 24,8 24,9 30,8 29,1 Anmerkungen: Punkte und fps: höhere Werte sind besser; Sekunden (sec): niedrigere Werte sind besser; Konfiguration siehe Seite 30, aber Athlon XP 2800+: Asus A7NBX und Pentium PC333: EpoX EP-4SDA5 webcode: a902 67

65 PRAXIS / Sicherer Datenaustausch Zentrale ruft Home-Office Um Daten sicher zwischen Zentrale und Außenstellen oder Firmennetz und Home-Office auszutauschen, ist nicht immer ein VPN erforderlich. Mit frei verfügbaren Tools wie OpenSSH lässt sich schon eine ganze Menge erreichen. Von Mike Hartmann Immer häufiger sehen sich Administratoren mit der Aufgabe konfrontiert, Daten zwischen mehreren Standorten auszutauschen. Sei es nun die Versicherung, die allen Mitarbeitern die neuesten Konditionen zukommen lassen will, oder der Verlag, der von seinen Korrespondenten Manuskripte erhält. Immer beliebter ist aber auch das Konzept des Homeworkers, der seine Aufgaben zu Hause erledigt und nur noch die Ergebnisse in die Firma übermittelt. Allen Aufgaben gemeinsam ist die Notwendigkeit, die Daten vertraulich, unverändert und vor allem authentifiziert zu erhalten. Man will sich ja nicht von Hackern oder Konkurrenten gefälschte Daten unterschieben lassen. Bisher hat man dieses Problem mit Remote-Access-Systemen gelöst Executive Summary und zusätzliche Sicherheit mittels Callback erzielt. Die Hardware-Investitionen an der Hauptstelle und die laufenden Kosten für Verbindungen sind jedoch immens. Eine günstige Alternative bietet das Internet: Viele Firmen haben ohnehin eine Standleitung, und beinahe überall sind Internet- Verbindungen verfügbar, die zudem nach günstigeren Tarifen abgerechnet werden als Einwählverbindungen. Insbesondere die Verbreitung von DSL-Flatrates lässt dieses Szenario für Homeworker ideal erscheinen. Das Internet gilt jedoch bei Administratoren zu Recht als böse und gefährlich. Ein Großteil der LANs ist durch eine Firewall abgeschottet. Ein direkter Datenaustausch ist also nicht möglich. Zudem könnten die Daten abgehört oder verändert werden. / Sicherer Datenaustausch VPN-Lösungen über IPsec erfordern einen erheblichen Konfigurations- und Administrationsaufwand, wenn es um die Anbindung von vielen Außenstellen oder Heimarbeitern geht. Für einfache Aufgaben eignet sich eine Installation via OpenSSH, die beispielsweise den sicheren Datenaustausch per scp erlaubt. Auch komplexere Szenarien, etwa für Remote Control oder die Datenbankadministration von MySQL, sind mit OpenSSH realisierbar. Dabei lässt auch diese Lösung nicht an Verschlüsselung und Authentifizierung mangeln. Um dennoch das kostengünstige Internet ohne Kompromisse als Übertragungsmedium zu nutzen, setzen viele Administratoren auf VPN-Technologie und richten ein Security-Gateway (webcode: a897) ein (siehe Artikel VPN mit Linux ). Doch dieser Aufwand ist nicht immer unbedingt notwendig. Wenn es beispielsweise nur um das Überspielen von neuen Daten geht oder der Hauptrechner in der Filiale ab und zu per Remote Desktop ferngewartet werden soll, lässt sich schon mit SSH einiges erreichen. Der große Vorteil: Die Filialen oder Heimarbeitsplätze können über handelsübliche DSL-Router mit eingebauter NAT-Firewall abgesichert werden. Eine gesondert einzurichtende und zu verwaltende Firewall in jeder Filiale ist hier nicht mehr notwendig. Bei einer VPN-Lösung über IPsec müsste man entweder eine Firewall mit dem Security Gateway aufsetzen oder spezielle und deutlich teurere Router verwenden, da IPsec über NAT nicht funktioniert. SSH für sichere Datenübertragung Die Secure Shell SSH hat zunächst im Unix-/Linux-Umfeld erhebliche Bedeutung erlangt, weil die Standardverfahren zur Fernwartung sich als nicht sicher genug erwie- 68

66 Sicherer Datenaustausch / PRAXIS sen haben. Insbesondere Telnet, bei dem alle Daten inklusive der Anmeldung im Klartext übertragen werden, ist sicherheitsbewussten Administratoren ein Dorn im Auge. Aber SSH hat mehr zu bieten als nur eine sichere Kommandozeile. Das Programm sftp (secure FTP) realisiert einen abgesicherten FTP-Transfer, und mit scp (secure Copy) kopieren Sie Dateien, falls auf dem Server kein sftp läuft. Das mächtigste Feature von SSH ist allerdings die Möglichkeit, mittels Port-Umleitung jedes beliebige Protokoll abzusichern beispielsweise POP3 oder SMTP. Dabei arbeitet SSH wie ein Proxy: Auf der einen Seite der gesicherten Verbindung nimmt es die Daten entgegen, und auf der anderen Seite leitet der Server die Daten an die richtige Applikation weiter. Mittlerweile sind auch für Windows verschiedene Implementationen von SSH verfügbar, unter anderem die von Mark Bradshaw (http://www.networksimplicity.com). Dabei handelt es sich um ein Paket aus den Kommandozeilen-Utilities für die Clients und einen Serverdienst für Windows. Installation von OpenSSH Installation und Konfiguration der SSH- Implementation von Mark Bradshaw sind schnell erledigt. Die Setup-Routine bietet lediglich die Möglichkeit, das Zielverzeichnis zu ändern, und die Auswahl, welche Komponenten (Client, Server) eingerichtet werden sollen. Auf dem späteren SSH-Server in der Außenstelle installieren wir beide Komponenten, auf dem Rechner im Firmen-LAN nur die Client-Komponente des Pakets. An der Default-Konfiguration des Servers sind keine weiteren Arbeiten erforderlich, er ist schon als automatisch startender Dienst in Windows eingerichtet. Sollten Sie einzelne Optionen ändern wollen, finden Sie die Konfigurationsdatei sshd_config im Ordner ssh unterhalb des Installationsverzeichnisses. Um eigene Schlüssel für den Host zu erstellen, öffnen Sie eine Kommandozeile und erzeugen ihn mittels Dienstemanager: Der OpenSSH-Server lässt sich komfortabel über die MMC von Windows 2000/XP starten und stoppen. Mit dem Programm mkpasswd richten Sie die Benutzer für den SSH-Zugang ein: mkpasswd -l -u lokalerbenutzer >>..\etc\passwd Dabei ersetzen Sie lokalerbenutzer durch den jeweiligen Benutzernamen auf dem Rechner. Das wiederholen Sie für jeden Benutzer, der via SSH Zugriff haben soll. Bei Bedarf können Sie nun die Home-Verzeichnisse der User anpassen. Per Default sind nämlich alle Benutzer auf das Installationsverzeichnis von OpenSSH eingestellt. Die verschiedenen Optionen in passwd sind durch Doppelpunkte getrennt. Ändern Sie einfach den vorletzten Wert beim Benutzer von /ssh auf das Benutzerverzeichnis unterhalb des Ordners Dokumente und Einstellungen. Also beispielsweise /Dokumente und Einstellungen/ lokalerbenutzer Achten Sie dabei auf die Verwendung von / anstatt \. Kopieren Sie in dieses Benutzerverzeichnis den Ordner \Programme\NetworkSimplicity\ssh\.ssh. Dort können Sie mittels der Datei rc anpassen, welche Befehle beim Login des Benutzers auszuführen sind. In dieses Verzeichnis kommen dann auch die öffentlichen Schlüssel des Users, wenn Sie statt der Passwort-Authentifizierung eine per Public/Private Key durchführen wollen. Im nächsten Schritt erstellen Sie die group-datei mit: mkgroup -l >>..\etc\group Auf dem Router in der Außenstelle ist lediglich der Port 22 per Virtual Server auf den Rechner mit dem OpenSSH-Server umzuleiten. Damit ist der Server konfiguriert. Auf den Clients können Sie dann bereits mit dem Befehl ssh zielrechner.de eine Verbindung aufbauen und auf der Kommandozeile des Servers arbeiten. Port-Forwarding Das nützlichste Feature von SSH ist allerdings das Port-Forwarding. Dabei leitet SSH Verbindungen, die auf Ports am Client geöff- ssh-keygen -b t rsa -f ssh_host_ rsa_key -C Host-Key für Host abc Geben Sie bei der Frage nach der Passphrase nichts ein, ansonsten kann OpenSSH den Schlüssel nicht verwenden. Danach ist der OpenSSH-Dienst über den Dienstemanager von Windows neu zu starten, damit der Schlüssel aktiviert wird. Die eigene Heimat: Mit einem Texteditor passen Sie die Home-Verzeichnisse der Benutzer an. webcode: a

67 PRAXIS / Sicherer Datenaustausch Glossar / Sicherer Datenaustausch IPsec Security Architecture for IP (RFC 2401). Architektur für die sichere Datenübertragung via IPv4 und IPv6. Umfasst Protokolle, Algorithmen und Verfahren für die Schlüsselverwaltung (RFC ). MAC Media Access Control. Unterste Ebene der Sicherungsschicht (Data Link Layer) im OSI-Referenzmodell. Die MAC-Ebene steuert Vorgänge, die für bestimmte LAN-Typen spezifisch sind. Darunter fallen beispielsweise die Algorithmen zur Kanalverwaltung, sowie zu Frame-Aufbau oder Kollisionsund Fehlererkennung. NAT Network Address Translation. NAT ist ein Verfahren zur Abschottung des LAN gegenüber dem Internet. Dabei wird zum Internet hin immer nur eine Adresse gemeldet, unabhängig von der tatsächlichen IP- Adresse im LAN. Der NAT-Router übernimmt dabei die Verteilung der IP-Pakete zu den richtigen Empfängern. Port Ein TCP-Port dient als Kommunikationskanal für den Zugriff auf einen Internet-Rechner über das TCP/IP-Protokoll, ähnlich den Nebenstellen eines Telefonanschlusses. Jedes TCP/IP-Programm verwendet einen TCP-Port für die Kommunikation mit anderen Rechnern. Router Router vermitteln die Daten zwischen zwei oder mehreren Subnetzen, die beispielsweise durch Weitverkehrsleitungen wie ISDN verbunden sind. Auch ein Einsatz im LAN ist möglich, um die Datensicherheit zu erhöhen. SSH Secure Shell. Ein von der Firma SSH Communications Security entwickeltes Programm, das eine sichere Kommunikation und Authentifizierung ermöglicht. Dazu verschlüsselt SSH den kompletten Login-Prozess einschließlich der Passwortübermittlung. SSH steht unter anderem für Windows und Unix zur Verfügung. SSL Secure Sockets Layer. Von Netscape eingeführtes Protokoll zum Übermitteln von privaten Informationen. Verwendet ein Public-Key-Verfahren für die Verschlüsselung. URL Uniform Resource Locator. Eindeutiger Bezeichner für den Zugriff auf webbasierte Inhalte wie beispielsweise HTML-Dokumente. Beispiel: Sicheres POP3: Mit einem SSH-Tunnel lässt sich selbst das unsichere POP3 verschlüsselt über das Internet übertragen. net werden, verschlüsselt an den SSH-Server weiter, der den Datenstrom entschlüsselt und dann weiter auf den spezifizierten Port am Server vermittelt. Das grundsätzliche Kommando dafür lautet ssh -L lokaler_ port:sshrechner:entfernter_port Soll also beispielsweise der POP3-Mailserver auf dem entfernten Rechner mittels verschlüsselter Übertragung erreicht werden, reicht folgender Befehl: ssh -L 20110: sshrechner:110 Nun muss nur noch der Mail-Client auf den Host localhost und den Port umkonfiguriert werden, und schon kann die Mail verschlüsselt übertragen werden, ohne dass der Mailserver POP3 über SSL unterstützt. Das Port-Forwarding funktioniert nicht nur auf Ports am SSH-Server, sondern auch auf beliebige Rechner. Dazu ist einfach die Adresse des endgültigen Zielservers anzugeben: ssh -L lokaler_ port:zielrechner:entfernter_port Damit lässt sich beispielsweise ein Intranet- Webserver erreichen, der nicht unbedingt auf dem SSH-Server laufen muss. Über das Kommando ssh -L 20080: intranetserver:80 und den Aufruf der URL werden die Daten aus dem Intranet verschlüsselt übertragen. Dabei ist zu beachten, dass nur der Weg zwischen SSH-Client und -Server gesichert ist, die Strecke vom SSH-Server zum Intranet-Server jedoch nicht mehr. Mittels Port-Forwarding lassen sich fast alle TCP-basierten Dienste tunneln, wie zum Beispiel HTTP, SMTP, POP3, IMAP oder NNTP. FTP funktioniert dagegen nicht, dafür dient der bei OpenSSH mitgelieferte SFTP-Server. Das Remote Forwarding funktioniert analog zum lokalen Weiterleiten, aber genau anders herum. Eine Verbindung kommt auf einem Port am SSH-Server an und wird von dort durch den Tunnel zum Client geschickt. Das Kommando dafür lautet: ssh -R entfernter_ port:sshclient:lokaler_port Umweg ins Intranet: Mit SSH lässt sich auch eine Verbindung zu Diensten aufbauen, die nicht direkt auf dem SSH-Server laufen. tecchannel tecchannel 70

68 Sicherer Datenaustausch / PRAXIS Ist der Tunnel erst aufgebaut, können Sie mit scp (secure copy) und sftp (secure ftp) Dateien zwischen den beiden Rechnern hin und her schieben. Wem die Kommandozeile zu aufwendig ist, der kann mit Shareware- Tools wie Secure ixplorer Pro von i-tree (http://www.i-tree.org/secixpro/index.htm) komfortabel per Drag-and-Drop arbeiten. Remote Control via VNC oder Remote Desktop Fernwartung ist gerade für Administratoren und Helpdesk-Mitarbeiter in der Firmenzentrale ein hilfreiches Mittel, um entfernte Benutzer bei Problemen zu unterstützen, ohne sich erst auf den Weg machen zu müssen. Und das ist ohnehin nicht immer möglich, weil der Nutzer unter Umständen zu weit entfernt ist. Programme wie VNC oder PC Anywhere bieten die entsprechenden Funktionen. VNC ist zwar Freeware, dafür bietet es allerdings keine Verschlüsselung. Mit OpenSSH lässt sich dieses Manko beheben. Der VNC-Server erwartet im Allgemeinen auf Port 5900 eingehende Verbindungen. Es müsste also eigentlich reichen, irgendeinen lokalen Port auf diesen Port am entfernten Rechner umzuleiten. Die Client- Anwendung VNCviewer nimmt allerdings keine Port-Nummer als Parameter an, sondern erlaubt lediglich eine so genannte Display-Nummer, zum Beispiel: zielrechner:0 Nummern größer 0 verweisen auf die Ports nach 5900, also Display 2 auf Port Der Trick ist also, den lokalen Port 5902 auf den entfernten Port 5900 umzuleiten: ssh -L 5902: sshrechner:5900 und dann den VNCviewer mit localhost:2 zu starten. Dieser versucht nun, über den Port 5902 eine Verbindung zu einem lokalen Server aufzubauen, der allerdings von SSH auf den entfernten Rechner umgeleitet wird. Wer das Remote Desktop Protocol (RDP) von Windows XP über SSH verwenden will, muss auch einen Trick anwenden. Zunächst ist ein lokaler Port auf den Port 3389 des Rechners mit XP umzuleiten: ssh -L 23390:xprech ner:3389 XP erlaubt jedoch keine Verbindung mit localhost: Kopieren Sie also die Files mstsc.exe und mstscax.dll aus System32 in ein anderes Verzeichnis und bearbeiten die Eigenschaften der Datei mstsc.exe. Dort stellen Sie unter Kompatibilität Windows 95 ein, und die Verbindung funktioniert. Doppeltunnel mit SSH Mit den bisherigen Verfahren haben wir erreicht, dass aus der Firmenzentrale eine Verbindung zu einem Rechner in der Außenstelle hergestellt werden kann, etwa um Daten vom Arbeitsplatz ins Home Office zu übertragen. Der andere Weg Sie sitzen zu Hause und brauchen dringend Daten von Ihrem Arbeitsplatz ist damit noch nicht offen. Wenn in der Firma kein SSH-Server steht oder die Firewall keine SSH-Verbindungen von außen ins LAN zulässt, haben Sie zunächst schlechte Karten. Mit einem kleinen Trick können Sie allerdings dennoch eine sichere Verbindung zu Ihrem Arbeitsplatz aufbauen. Hier kommt das Remote Port Forwarding ins Spiel. Zunächst muss der Rechner im Home Office ins Internet eingewählt sein und SSH-Verbindungen annehmen, aber das ist ja bereits konfiguriert. Auf dem Arbeitsrechner in der Firma muss ebenfalls der SSH-Server installiert sein. Dort öffnen Sie im ersten Schritt einen sicheren Tunnel ins Home Office: ssh -R 2022:heimrechner:22 Dazu müssen Sie lediglich die IP-Adresse des Rechners zu Hause wissen. Mit Diensten wie MyJack oder DynDNS (webcode: a868) ist das jedoch kein Problem. Diesen Tunnel ins Home Office lassen Sie einfach geöffnet und öffnen durch diesen Tunnel einen weiteren zu Ihrem Arbeitsrechner in der Firma: ssh -p 2022 Sollte Ihr Administrator aus irgendeinem Grund an der Firewall SSH-Verbindungen nach außen unterbinden, können Sie den SSH-Server zu Hause auch auf einen anderen Port hören lassen, beispielsweise den Port 80 von HTTP. Ihren Administrator werden Sie mit dieser Konfiguration allerdings nicht glücklich machen: Immerhin schießen Sie ein Loch durch die Firewall, und das Firmennetz ist nur noch so gut geschützt, wie Ihr Rechner zu Hause. Am besten reden Sie also vorher mit dem Administrator und klären das ab immerhin drohen im schlimmsten Fall auch arbeitsrechtliche Konsequenzen. Ausgetrickst: Mit einem kleinen Kniff zwingen Sie dem Terminal Client von XP doch die richtigen Funktionen auf. Fazit Es muss nicht immer eine teure oder konfigurationsintensive Firewall-Lösung mit IPsec-VPN sein, wenn es um einfache Datentransferaufgaben geht. Selbst Aktualisierungen oder Replikationen von Datenbankservern in der Außenstelle sind mit SSH ohne Probleme möglich. Die Sicherheit ist dabei gewährleistet, sofern immer die aktuellsten SSH-Versionen eingesetzt werden. Authentifizierung und Verschlüsselung laufen nach standardisierten Verfahren, so dass Sie auch fremde Tools verwenden können. Ganz wichtig ist allerdings die Sicherheit auf den Rechnern in Home Offices. Wenn ein Mitarbeiter diese Möglichkeit nutzen will, muss er auf seinem Heimarbeitsrechner die Sicherheits-Policies der Firma unbedingt einhalten, sonst wird der sichere Tunnel zu einem Einfallstor für Hacker und Viren. (mha) Weitere Links zum Thema Netzwerk-Utilities für Windows TCP/IP-Ports im Überblick Grundlagen TCP/IP VPN mit Linux Zusatznutzen mit DSL Webcode a215 a901 a209 a897 a868 webcode: a

69 PRAXIS / Windows-XP-Dienste Ordnung im System Mit jeder neuen Version verbraucht Windows mehr Ressourcen vor allem für Gimmicks und Dienste, die nicht jeder braucht. Dreht man an den richtigen Schrauben, lässt sich der Speicherhunger eindämmen. Von Mike Hartmann Der Dienste-Manager von XP gibt zwar grundlegend Auskunft über den Dienst und darüber, was er tut. Er bietet jedoch kaum Hilfestellung bei der Frage, ob ein Dienst notwendig ist oder nicht. Oft verwirrt er sogar durch den lapidaren, nichts sagenden Hinweis: Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden. Unverzichtbare Dienste So sehr man das Angebot zusammenstreichen kann, eine Handvoll der Dienste sind tatsächlich unverzichtbar für einen reibungslosen Betrieb. Dazu gehört beispielsweise der RPC-Dienst, von dem so ziemlich alle weiteren Systemkomponenten abhängen. Wer Executive Summary auf Sound nicht verzichten kann, sollte den Service Windows Audio nicht abschalten und darf infolgedessen auch Plug&Play nicht deaktivieren. Zum Drucken ist die Druckerwarteschlange unabdingbar, und in Windows-Netzwerken kommt man nicht ohne den Arbeitsstationsdienst aus. Das Ereignisprotokoll und die Windows Verwaltungsinstrumentation sollten Sie ebenfalls unangetastet lassen. Letztere ist dafür zuständig, dass der Dienstemanager einwandfrei funktioniert. Auch bei der Sicherheitskontenverwaltung können Sie keine Ressourcen sparen. Sie ist integraler Bestandteil des Sicherheitsmodells. Alle übrigen Dienste sind in der einen oder anderen Umgebung nicht erforderlich und können dementsprechend ohne großes / Windows-XP-Dienste Um es auch dem ungeübten Benutzer leicht zu machen, installiert und startet Windows XP eine Unzahl von Diensten, selbst wenn sie nicht benötigt werden. Zwar zeigt das System eine gewisse Grundintelligenz, indem es beispielsweise die Infrarot-Überwachung nur auf Geräten mit Infrarot-Adapter einrichtet. Sie ist jedoch bei weitem nicht so ausgefeilt, wie man es sich wünschen würde. Fraglich ist zum Beispiel, warum die Konfigurationsfreie drahtlose Verbindung auf jedem Rechner installiert und gestartet wird, auch wenn dieser keinen entsprechenden Adapter hat. Risiko abgeschaltet werden. Um welche Dienste es sich dabei handelt und unter welchen Bedingungen man auf sie verzichten kann, haben wir für Sie zusammengefasst. Benutzerverwaltung und Anmeldung Die Unterstützung der Durchsatzauthentifizierung von Kontoanmeldungsereignissen für Computer in einer Domäne übernimmt der Anmeldedienst (Netlogon). Er wird nur in einer Windows-Domäne für die Anmeldung benötigt. Der manuelle Default- Starttyp erfordert keine Änderung. Eine der Neuerungen von Windows XP ist die so genannte Schnelle Benutzerumschaltung (FastUserSwitchingCompatibility). Dabei kann sich ein Benutzer auf dem Rechner anmelden, ohne einen eventuell eingeloggten Anwender abzumelden. Dessen Programme laufen weiterhin im Hintergrund. Diese Lösung verbraucht jedoch eine Menge Speicher und wird nur selten benötigt. Auf Rechnern mit weniger als 128 MByte Speicher ist sie standardmäßig deaktiviert. Systemdienste Die Möglichkeit, Informationen in der Ablagemappe zu speichern und mit anderen Computern im Netzwerk auszutauschen, 72

70 Windows-XP-Dienste / PRAXIS bietet der Ablagemappendienst (ClipSrv). Da der Starttyp dieses Services Defaultmäßig auf manuell steht, gibt es hier keinen Handlungsbedarf. Das Ereignissystem COM+ (EventSystem) unterstützt den Systemereignis-Benachrichtigungsdienst (SENS, System Event Notification Service), der die automatische Verteilung von Ereignissen an abonnierende COM-Komponenten zur Verfügung stellt. Ist der Dienst deaktiviert, wird SENS beendet und ist nicht in der Lage, Anmelde- und Abmeldebenachrichtigungen zu liefern. Hierbei können Systemkomponenten sich automatisch benachrichtigen lassen, wenn ein bestimmtes Systemereignis auftritt. Für die Luna-Oberfläche (webcode: a666) ist der Service Designs (Themes) zuständig. Er wird allerdings nicht automatisch abgeschaltet, auch wenn Sie auf die klassische Windows-Oberfläche umschalten. Um Speicher und Ressourcen zu sparen, können Sie ihn gefahrlos deaktivieren. Mit Hilfe der Fehlerberichterstattung (ERSvc) will sich Microsoft bei Programmabstürzen informieren lassen, um das Problem einzugrenzen. Für Microsoft und die Fehlerbehebung mag das vielleicht hilfreich sein, aber der sicherheitsbewusste Anwender macht sich dabei eventuell Sorgen um seine Privatsphäre. Aus diesem Grund sollten Sie den Dienst deaktivieren. Das erfolgt entweder über den Dienstemanager oder über die Eigenschaften des Arbeitsplatzes im Reiter Erweitert. Der Beschreibung im Dienstemanager zufolge ist das Hilfe- und Support-Center von Windows nicht verfügbar, wenn der entsprechende Dienst (helpsvc) beendet wird. Das stimmt allerdings nicht: Ruft man über das Startmenü Hilfe und Support auf, startet Windows XP den Dienst. Unabhängig davon dürfte es auf keinen Fall passieren, dass ein deaktivierter Dienst vom System gestartet wird. Darüber hinaus setzt Windows ihn ungefragt wieder auf den Starttyp automatisch. Der Dienst Geschützter Speicherplatz (ProtectedStorage) bietet einen sicheren Speicherplatz für Ihre privaten Daten, wie zum Beispiel private Schlüssel, um den Zugriff durch unautorisierte Dienste, Prozesse oder Benutzer zu unterbinden. Wird dieser Dienst deaktiviert, speichert beispielsweise der Mail-Client Outlook keine Kennwörter mehr. Sie müssten also für jeden Anmeldevorgang das -Passwort neu eingeben. Wenig hilfreich: Die Beschreibung eines Dienstes hilft nicht gerade bei der Entscheidung, ob ein Service notwendig ist oder nicht. Die Systemereignisbenachrichtigung (SENS) verfolgt Systemereignisse wie Windows- Anmeldungen sowie Netzwerk- und Stromversorgungsereignisse. Sie informiert Ereignissystembezieher von COM+ über diese Ereignisse. Für Notebook-Besitzer ist dieser Dienst erforderlich, da er unter anderem dafür sorgt, dass bei niedrigem Batteriestand konfigurierte Aktionen ausgeführt werden. In einer Desktop-Umgebung ist uns kein Umfeld bekannt, in dem man die Systemereignisbenachrichtigung benötigt. Ein weiterer Dienst, dem in vielen Foren Spionagefunktionen nachgesagt werden, ist der Windows-Zeitgeber (W32Time). Er verbindet sich mit einem entsprechenden Dienst auf einem Rechner, der mit einer Atomuhr synchronisiert ist, und errechnet über verschiedene Algorithmen die Abweichung der lokalen Rechneruhr von der richtigen Zeit. Da es sich um ein standardisiertes Protokoll handelt, kann Windows so gut wie keine sensitiven Informationen weitergeben. DFÜ-Netzwerk und Konsorten Der Arbeitsstationsdienst (lanmanworkstation) erstellt und wartet Client-Netzwerkverbindungen mit entfernten Servern. In einer Netzwerkumgebung sollte man ihn nicht beenden, da sonst keine Verbindungen mehr zu Rechnern aufgebaut werden. Eine aktuelle Liste aller Computer im Windows-Netzwerk führt der Service Computerbrowser (Browser). Die Liste wird nicht aktualisiert oder gewartet, falls Sie den Dienst beenden. Er ist nur in einem Netzwerk sinnvoll, lässt sich aber auch da auf Arbeitsrechnern deaktivieren, solange ein Server im Netz diesen Dienst anbietet. Eine ganze Reihe von Diensten ist erforderlich, wenn per Wählverbindung ein Internet-Zugang aufgebaut wird. Das ist nicht nur bei Modem oder ISDN der Fall, sondern auch bei direkter DSL-Anwahl per PPPoE. Hier werden dann die Dienste AS-Verbindungsverwaltung (RasMan), Telefonie (TapiSrv), Verwaltung für automatische RAS-Verbindung (RasAuto) sowie gegebenenfalls Internetverbindungsfirewall/ Gemeinsame Nutzung der Internetverbindung (SharedAccess) und Gatewaydienst auf Anwendungsebene (ALG) benötigt. Bauen Sie dagegen die Internet-Verbindung über ein LAN und einen Router auf, können Sie getrost auf diese Dienste verzichten und sie komplett abschalten. Der DHCP-Client (Dhcp) ist nur notwendig, wenn Sie einen DHCP-Server (webcode: a206) in Ihrem Netzwerk einsetzen. Ansonsten müssen Sie die TCP/IP-Einstellungen für die Netzwerkkarte ohnehin fest einstellen. Dennoch installiert und aktiviert Windows XP diesen Dienst. Auch hier können Sie den Dienst gefahrlos und ohne Nachteile abschalten. Anfragen an einen DNS-Server (webcode: a205) speichert der DNS-Client (Dnscache), so dass die IP-Adresse (webcode: a209) Verteilzentrum: Über die Ablagemappe können Sie Inhalte der Zwischenablage für andere Nutzer im Netz freigeben. webcode: a944 73

71 PRAXIS / Windows-XP-Dienste Eigenmächtig: Ruft man die Windows-Hilfe auf, startet XP den Dienst Hilfe und Support auch wenn dieser Service gar nicht aktiviert ist. bei späteren Anfragen schneller gefunden wird. In schnellen Netzwerken oder bei DSL-Verbindungen ist das nicht erforderlich, mitunter sogar nachteilig: Da nicht einstellbar ist, wie lange ein Domain-Name im Cache verbleibt, gibt der Client eventuell eine falsche IP-Adresse zurück, wenn ein Server plötzlich eine andere Adresse hat. Über die Internet Protocol Security Suite (PolicyAgent) sichert und kontrolliert Windows XP die Übertragung von IP-Paketen. IPsec ist zuständig für die Überprüfung, die Authentifizierung und gegebenenfalls die Verschlüsselung der Daten. Allerdings braucht nicht jeder die Dienste, dennoch werden sie automatisch gestartet. Dass sie auf Client-Rechnern nicht unbedingt von Microsoft vorgesehen sind, zeigt die Tatsache, dass die Konfiguration gut versteckt ist. Im normalen Verwaltungsmenü tauchen sie gar nicht erst auf. Sie müssen sie erst aufrufen, indem Sie die Managementkonsole (mmc.exe) starten und dann das IPsec-Snapin manuell hinzufügen. Der Nachrichtendienst (Messenger) überträgt Nachrichten, die mit dem Befehl net send oder über eine entsprechende API verschickt werden. In den meisten Fällen wird der Dienst jedoch nicht mehr benötigt, so dass Sie ihn getrost abschalten können. Der Service hat nichts mit dem Microsoft Messenger zu tun, auch wenn sein Kurzname anderes vermuten lässt. Der Serverdienst (lanmanserver) ist für Datei- und Druckerfreigaben zuständig. Auch wenn Sie auf Ihrem Rechner keine Freigaben eingerichtet haben, startet Windows XP diesen Dienst. Um ihn abschalten zu können, müssen Sie zudem den Dienst Computerbrowser beenden und deaktivieren. Im Dienstemanager findet sich folgende Beschreibung des Upload-Managers (uploadmgr): Verwaltet synchrone und asynchrone Dateiübertragungen zwischen Clients und Servern im Netzwerk. Synchrone und asynchrone Dateiübertragungen werden nicht ausgeführt, wenn dieser Dienst beendet wird. Diese vermittelt den Eindruck, dass ohne diesen Dienst kein einziges Datenpaket übers Netzwerk fließt. Im Test läuft der Netzwerkverkehr aber auch nach dem Abschalten des Upload-Managers ohne offensichtliche Beeinträchtigung von Funktionen normal weiter. Der Service WebClient (WebClient) ermöglicht es Programmen, Internet-basierte Dateien zu erstellen, darauf zuzugreifen und sie zu verändern. Wenn Sie den Dienst beenden, stehen Ihnen diese Funktionen nicht mehr zur Verfügung. Solange Sie keine WebDAV-Funktionen verwenden, etwa mit Frontpage, können Sie den Dienst jedoch getrost ausschalten. Drahtlose Verbindung Auf Rechnern mit einer Infrarot-Schnittstelle ist die Infrarot-Überwachung (Irmon) per Default aktiv. Sie stellt die Unterstützung für die installierte Infrarot-Schnittstelle bereit und sucht nach anderen Geräten in Reichweite, um automatisch eine Verbindung aufzubauen. Da die IrDA-Schnittstelle jedoch selten tatsächlich benötigt wird, reicht es auch, den Dienst auf manuell zu stellen und bei Bedarf über den Dienstemanager zu starten. Bei drahtlosen Netzwerken nach b (webcode: a620) müssen Sie die SSID des Access Point konfigurieren, über den Sie ins Netzwerk möchten. Windows XP will es dem Anwender leichter machen und startet den Dienst für eine Konfigurationsfreie drahtlose Verbindung (WZCSVC). Er konfiguriert die WLAN-Karte auf die SSID any und listet dann sämtliche verfügbaren Netzwerke auf. Aus der Liste kann der Anwender auswählen, in welches Netz er sich einbuchen will. Dieser Dienst ist zwar nützlich, aber wenn man nicht in wechselnden WLANs unterwegs ist, benötigt man ihn nicht unbedingt. Beim Deaktivieren ist allerdings zu beachten, dass die XP-Treiber für WLAN-Karten häufig nicht mehr die Option bieten, eine SSID zu konfigurieren. Mitunter hilft es, die Windows-2000-Treiber oder zumindest ein entsprechendes Control-Applet für die WLAN-Karte zu verwenden. Funktioniert beides nicht, können Sie den Dienst nicht abschalten. Wenn Sie ohnehin keine WLAN-Karte im Rechner haben, lässt sich der Dienst ohne Nachteile deaktivieren. Software und Updates Installationsdienste wie Zuweisung, Veröffentlichung und Deinstallation bietet die Anwendungsverwaltung (AppMgmt). Der Dienst wird nur gestartet, wenn eine Systemkomponente Zugriff auf die in Windows eingebauten Installationsfunktionen benötigt, etwa um eine Software einzurichten. Der Default-Starttyp erfordert keine Änderungen. Den Download und die Installation für wichtige Updates von Windows Update übernimmt der Dienst Automatische Updates (wuauserv). Wer Angst hat, dass Microsoft dabei persönliche Daten ausspionieren könnte, sollte diesen Dienst sicherheitshalber deaktivieren. Aktuelle Patches und Bugfixes finden sich auch auf Dort wird allerdings ein ActiveX-Control installiert, das den Rechner inspiziert und entsprechende Patches zum Download anbietet. Wer ganz sicher gehen will, sollte sich Updates nur von der Update-Seite für Firmenkunden holen (http://v4.windowsupda te.microsoft.com/catalog/de/), denn hier wird die lokale Software nicht untersucht. Dienste im Überblick In der Tabelle auf der nächsten Seite finden Sie alle von Microsoft installierten Windows-Dienste im Überblick. Die Angabe Kurzname enthält den Namen, den Sie verwenden müssen, um einen Dienst per Kommandozeilenbefehl net start, net pause oder net stop zu verwalten. Dienste mit dem Starttyp automatisch werden beim Systemstart hochgefahren. manuell gibt an, dass ein Dienst per net start, über den Dienstemanager oder auf Grund einer Abhängigkeit beim Laden eines anderen Dienstes startet. Ein deaktivierter Dienst läuft abgesehen vom Dienst Hilfe und Support niemals. Weitere Links zum Thema (mha/kpf) Tabelle siehe nächste Seite XP-Dienste aufräumen Windows XP Bugreport Test: Windows XP Windows XP Benchmarks Profi-Know-how: Windows boot.ini Windows XP auf Notebooks Webcode a944 a818 a602 a772 a802 a773 74

Acer WLAN 11b USB Dongle. Kurzanleitung

Acer WLAN 11b USB Dongle. Kurzanleitung Acer WLAN 11b USB Dongle Kurzanleitung 1 Acer WLAN 11b USB Dongle Kurzanleitung Lesen Sie diese Kurzanleitung vor der Installation des Acer WLAN 11b USB Dongles. Für ausführliche Informationen über Sicherheitsmaßnahmen

Mehr

Systemanforderungen und Installationsanleitung für Internet Security. Inhalt

Systemanforderungen und Installationsanleitung für Internet Security. Inhalt Systemanforderungen und Installationsanleitung für Internet Security Inhalt 1 Systemanforderungen für Internet Security...2 2 Installationsanleitung: Internet Security für einen Test auf einem Computer

Mehr

Windows 7-Installation leicht gemacht

Windows 7-Installation leicht gemacht Windows 7-Installation leicht gemacht Wenn Sie Windows 7 haben wollen, und bisher nicht Windows Vista hatten, kommen Sie nicht um eine Komplettinstallation herum. Diese dauert etwa 45 Minuten. COMPUTER

Mehr

Creatix 802.11g Adapter CTX405 V.1/V.2 Handbuch

Creatix 802.11g Adapter CTX405 V.1/V.2 Handbuch Creatix 802.11g Adapter CTX405 V.1/V.2 Handbuch 1 Sicherheitshinweise für Creatix 802.11g Adapter Dieses Gerät wurde nach den Richtlinien des Standards EN60950 entwickelt und getestet Auszüge aus dem Standard

Mehr

Installationsanleitung

Installationsanleitung Installationsanleitung http:// www.pcinspector.de Verzichtserklärung Wir haben unser Bestes getan um sicherzustellen, dass die aufgeführten Installationsanweisungen in korrekter Weise wiedergegeben wurden

Mehr

High-Speed Internet Access.

High-Speed Internet Access. High-Speed Internet Access. Your mobile workspace at this Hotspot. 1 Kabellos am Hotspot surfen einfach und schnell. 2 Sie haben ein WLAN-fähiges Gerät. Mit einem WLAN-fähigen Notebook verschicken Sie

Mehr

3. Was müssen Sie tun, um von einem Windows 7 Client die Benutzereinstellungen und die Einstellungen einer bestimmten Anwendung zu exportieren?

3. Was müssen Sie tun, um von einem Windows 7 Client die Benutzereinstellungen und die Einstellungen einer bestimmten Anwendung zu exportieren? Arbeitsblätter Der Windows 7 MCTS Trainer Vorbereitung zur MCTS Prüfung 70 680 Aufgaben Kapitel 1 1. Sie möchten auf einem Computer, auf dem Windows Vista installiert ist, Windows 7 zusätzlich installieren,

Mehr

Aufbau einer Testumgebung mit VMware Server

Aufbau einer Testumgebung mit VMware Server Aufbau einer Testumgebung mit VMware Server 1. Download des kostenlosen VMware Servers / Registrierung... 2 2. Installation der Software... 2 2.1 VMware Server Windows client package... 3 3. Einrichten

Mehr

Handbuch PCI Treiber-Installation

Handbuch PCI Treiber-Installation Handbuch PCI Treiber-Installation W&T Release 1.0, September 2003 09/2003 by Wiesemann & Theis GmbH Microsoft und Windows sind eingetragene Warenzeichen der Microsoft Corporation Irrtum und Änderung vorbehalten:

Mehr

DC-FW800 PCI. IEEE 1394b FireWire800 PCI Card

DC-FW800 PCI. IEEE 1394b FireWire800 PCI Card DC-FW800 PCI IEEE 1394b FireWire800 PCI Card Wichtige Information zur Datensicherheit Vor der Installation und bei Änderungen der Konfiguration des DC-FW800 PCI sollte unbedingt eine Datensicherung durchgeführt

Mehr

Tapps mit XP-Mode unter Windows 7 64 bit (V2.0)

Tapps mit XP-Mode unter Windows 7 64 bit (V2.0) Tapps mit XP-Mode unter Windows 7 64 bit (V2.0) 1 Einleitung... 2 2 Download und Installation... 3 2.1 Installation von WindowsXPMode_de-de.exe... 4 2.2 Installation von Windows6.1-KB958559-x64.msu...

Mehr

Hyper-V Grundlagen der Virtualisierung

Hyper-V Grundlagen der Virtualisierung Grundlagen der Virtualisierung Was ist Virtualisierung? Eine Software-Technik, die mehrere Betriebssysteme gleichzeitig auf dem Rechner unabhängig voneinander betreibt. Eine Software-Technik, die Software

Mehr

WINDOWS 95 FÜR VIRTUAL BOX

WINDOWS 95 FÜR VIRTUAL BOX WINDOWS 95 FÜR VIRTUAL BOX Um Windows 95 auf Virtual Box vollständig zum Laufen zu bringen, werden folgende Daten benötigt: Windows 95 Image Windows 95 Bootdiskette Gültiger Windows 95 Schlüssel Universeller

Mehr

Wenn XP-Programme in Windows 7 nicht laufen, muss man eine XP-Umgebung bereit stellen. Wie das geht, zeigt dieser Artikel.

Wenn XP-Programme in Windows 7 nicht laufen, muss man eine XP-Umgebung bereit stellen. Wie das geht, zeigt dieser Artikel. XP-Programme in Windows 7 mittels VirtualBox Wenn XP-Programme in Windows 7 nicht laufen, muss man eine XP-Umgebung bereit stellen. Wie das geht, zeigt dieser Artikel. Inhalt Was ist eine virtuelle Maschine

Mehr

Die Spezialisten. Meister auf Ihrem Gebiet. Windows 10. Michael Kramer / Presales. IT Matinee 27.11.2014

Die Spezialisten. Meister auf Ihrem Gebiet. Windows 10. Michael Kramer / Presales. IT Matinee 27.11.2014 Die Spezialisten. Meister auf Ihrem Gebiet. Windows 10 Michael Kramer / Presales IT Matinee 27.11.2014 Agenda Namensgebung Microsoft Vision(en) Verfügbarkeit Installationsvarianten Neuerungen / Aktuelles

Mehr

Cluster Quick Start Guide

Cluster Quick Start Guide Cluster Quick Start Guide Cluster SR2500 Anleitung zur Konfi guration KURZÜBERBLICK CLUSTER SEITE 2 FUNKTIONSWEISE DES THOMAS KRENN CLUSTERS (SCHAUBILD) SEITE 3 CLUSTER AUFBAUEN UND KONFIGURIEREN SEITE

Mehr

Systemanforderungen Verlage & Akzidenzdruck

Systemanforderungen Verlage & Akzidenzdruck OneVision Software AG Inhalt Asura 9.5, Asura Pro 9.5, Garda 5.0...2 PlugBALANCEin 6.5, PlugCROPin 6.5, PlugFITin 6.5, PlugRECOMPOSEin 6.5, PlugSPOTin 6.5,...2 PlugTEXTin 6.5, PlugINKSAVEin 6.5, PlugWEBin

Mehr

High-Speed Internet Access.

High-Speed Internet Access. High-Speed Internet Access. Your mobile workspace at this Hotspot. 1 Kabellos am Hotspot surfen einfach und schnell. 2 Sie haben ein WLAN-fähiges Gerät. Mit einem WLAN-fähigen Notebook verschicken Sie

Mehr

Tipps & Tricks zu Windows XP

Tipps & Tricks zu Windows XP Tipps & Tricks zu Windows XP Automatisches Ausschalten des Computers beim Herunterfahren Auf älteren Computern kommt es unter Windows XP vor, dass der Computer sich beim Herunterfahren nicht selbst ausschaltet,

Mehr

Systemanforderungen Verlage & Akzidenzdruck

Systemanforderungen Verlage & Akzidenzdruck OneVision Software AG Inhalt Asura 9.6, Asura Pro 9.6, Garda 5.6...2 PlugBALANCEin 6.6, PlugCROPin 6.6, PlugFITin 6.6, PlugRECOMPOSEin 6.6, PlugSPOTin 6.6,...2 PlugTEXTin 6.6, PlugINKSAVEin 6.6, PlugWEBin

Mehr

Handbuch Version 1.02 (August 2010)

Handbuch Version 1.02 (August 2010) Handbuch Version 1.02 (August 2010) Seite 1/27 Inhaltsverzeichnis 1. Einleitung 1.1. Begrüßung 03 1.2. Was ist PixelX Backup FREE / PRO 03 1.3. Warum sollten Backups mittels einer Software erstellt werden?

Mehr

Microsoft System Center Data Protection Manager 2010 installieren & konfigurieren

Microsoft System Center Data Protection Manager 2010 installieren & konfigurieren Microsoft System Center Data Protection Manager 2010 installieren & konfigurieren Inhalt Data Protection Manager 2010 Installieren... 2 Große Festplatte für Backup s hinzufügen... 7 Client Agent installieren...

Mehr

Smart. network. Solutions. myutn-80

Smart. network. Solutions. myutn-80 Smart network Solutions myutn-80 Version 2.0 DE, April 2013 Smart Network Solutions Was ist ein Dongleserver? Der Dongleserver myutn-80 stellt bis zu acht USB-Dongles über das Netzwerk zur Verfügung. Sie

Mehr

ONE Technologies AluDISC 3.0

ONE Technologies AluDISC 3.0 ONE Technologies AluDISC 3.0 SuperSpeed Desktop Kit USB 3.0 Externe 3.5 Festplatte mit PCIe Controller Karte Benutzerhandbuch Inhaltsverzeichnis: I. Packungsinhalt II. Eigenschaften III. Technische Spezifikationen

Mehr

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt. Arbeitsblätter Der Windows Small Business Server 2011 MCTS Trainer Vorbereitung zur MCTS Prüfung 70 169 Aufgaben Kapitel 1 1. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

Mehr

Anleitung zum HD-Streaming

Anleitung zum HD-Streaming Anleitung zum HD-Streaming Seite 1 von 12 Inhaltsverzeichnis 1.Vorwort...3 2.Systemvoraussetzungen... 3 2.1Flash Media Live Encoder...3 2.2Wirecast 4... 4 3.Download und Installation...4 3.1Flash Media

Mehr

EDV-Service-Germany. Handy schützen

EDV-Service-Germany. Handy schützen Handy schützen Um sein Handy zu schützen muß man nicht unbedingt viel Geld investieren. Vieles geht schon mit den mitgelieferten Bordmitteln des Betriebssystems. Da viele Menschen, gerade die jüngeren,

Mehr

WICHTIGE INSTALLATIONSHINWEISE!!! ArCon ELECO +2008. Sehr geehrte Kunden,

WICHTIGE INSTALLATIONSHINWEISE!!! ArCon ELECO +2008. Sehr geehrte Kunden, WICHTIGE INSTALLATIONSHINWEISE!!! ArCon ELECO +2008 Sehr geehrte Kunden, vielen Dank, dass Sie sich für Arcon Eleco entschieden haben. Wir möchten Ihnen im Folgenden einige Informationen zur Installation

Mehr

Benutzeranleitung ebanking Login-Stick

Benutzeranleitung ebanking Login-Stick Benutzeranleitung ebanking Login-Stick www.valiant.ch/ebanking Nähe, die Sie weiterbringt. 2 Benutzeranleitung ebanking Login-Stick Ihr ebanking Login-Stick Der Schlüssel zum VALIANTnet. Der Einsatz Ihres

Mehr

Erich Liegl Dezember 2014

Erich Liegl Dezember 2014 Erich Liegl Dezember 2014 Die PC Betriebssysteme Informationen zu den Betriebssystemen Windows XP Windows Vista o Windows 7 Windows 8.1 Windows 10 Windows XP Kein weiterer Support von Microsoft für Windows

Mehr

FAQ: G DATA EU Ransomware Cleaner

FAQ: G DATA EU Ransomware Cleaner FAQ: G DATA EU Ransomware Cleaner Der G DATA EU Ransomware Cleaner kann Ihren Computer auf Screenlocking Schadsoftware überprüfen, auch wenn Sie nicht mehr in der Lage sind sich in Ihren PC einloggen können.

Mehr

64 Bit erhöhen die nutzbare Größe für den Arbeitsspeicher.

64 Bit erhöhen die nutzbare Größe für den Arbeitsspeicher. EasyProfil 2.x unter Windows 7-64-Bit Es wird in Ihrer Programmsammlung außer EasyProfil auch noch einige andere wichtige Programme geben, die derzeit noch unter 16 Bit laufen. So macht untenstehende Erweiterung

Mehr

Gateway für netzwerkfähige Komponenten ewon kann als Gateway für alle netzwerkfähigen Komponenten dienen

Gateway für netzwerkfähige Komponenten ewon kann als Gateway für alle netzwerkfähigen Komponenten dienen ewon - Technical Note Nr. 005 Version 1.3 Gateway für netzwerkfähige Komponenten ewon kann als Gateway für alle netzwerkfähigen Komponenten dienen 08.08.2006/SI Übersicht: 1. Thema 2. Benötigte Komponenten

Mehr

Wireless 150N Adapter

Wireless 150N Adapter Wireless 150N USB Adapter kurzanleitung Modell 524438 INT-524438-QIG-0908-04 Einleitung Vielen Dank für den Kauf des Wireless 150N USB Adapters (Modell 524438) von INTELLINET NETWORK SOLUTIONS. Diese

Mehr

Vorbereitende Maßnahmen und Checkliste zur MZ2-Schulung

Vorbereitende Maßnahmen und Checkliste zur MZ2-Schulung Vorbereitende Maßnahmen und Checkliste zur MZ2-Schulung Sehr geehrte Damen und Herren, Sie haben sich für eine Schulung zum RWA-Modulzentralensystem Typ MZ2 angemeldet. Bei diesem System handelt es sich

Mehr

Windows 7 vernetzen. Windows 7 nutzt für die Freigabe von Ordnern über die Heimnetzgruppe sogenannte Bibliotheken. Dabei handelt.

Windows 7 vernetzen. Windows 7 nutzt für die Freigabe von Ordnern über die Heimnetzgruppe sogenannte Bibliotheken. Dabei handelt. Windows 7 verfügt über die neue Funktion Heimnetzgruppe. Damit lassen sich Dateien und Ordner zwischen Rechnern austauschen. Auf den Rechnern kann Windows XP, Vista und 7 installiert sein. Die mit Windows

Mehr

Talk2M Konfiguration für ewon DSL/LAN - Modelle

Talk2M Konfiguration für ewon DSL/LAN - Modelle Talk2M Konfiguration für ewon DSL/LAN - Modelle Seite 1 von 17 ewon - Technical Note Nr. 016 Version 1.0 Talk2M Konfiguration für ewon DSL/LAN - Modelle Einrichtung des Talk2M Services für die Verbindung

Mehr

All-in-one Lösung für OCZ SandForce SSDs (Firmware Update, Secure Erase)

All-in-one Lösung für OCZ SandForce SSDs (Firmware Update, Secure Erase) All-in-one Lösung für OCZ SandForce SSDs (Firmware Update, Secure Erase) Wir haben für euch eine "All-in-one" Lösung zwecks Firmware Update und Secure Erase bei OCZ SandForce SSDs erstellt. Mit dieser

Mehr

Cablecom hispeed Online Storage DOKUMENTATION

Cablecom hispeed Online Storage DOKUMENTATION Cablecom hispeed Online Storage DOKUMENTATION Inhalt 1. Online Storage - Allgemeines... 3 1.1 Was ist cablecom hispeed Online Storage?...3 1.2 Was kann Online Storage leisten?... 3 1.2.1 Digitale Daten

Mehr

DocuWare unter Windows 7

DocuWare unter Windows 7 DocuWare unter Windows 7 DocuWare läuft unter dem neuesten Microsoft-Betriebssystem Windows 7 problemlos. Es gibt jedoch einige Besonderheiten bei der Installation und Verwendung von DocuWare, die Sie

Mehr

Entgeltbestimmungen und Leistungsbeschreibung Internet Security für DSL

Entgeltbestimmungen und Leistungsbeschreibung Internet Security für DSL Entgeltbestimmungen und Leistungsbeschreibung Internet Security für DSL Stand: 02. 02. 2009 UPC Austria GmbH Wolfganggasse 58-60, 1120 Wien 1 INHALTSVERZEICHNIS Entgeltbestimmungen:... 3 Leistungsbeschreibung:...

Mehr

Information. SeiboldSoft Wir informieren!

Information. SeiboldSoft Wir informieren! Information SeiboldSoft Wir informieren! Wir freuen uns sehr, dass Sie sich für SeiboldSoft interessieren. In diesem kleinen Informationsblatt geben wir Ihnen einen kurzen Umriss über unser Geschäftsfeld

Mehr

Installationsanleitung OpenVPN

Installationsanleitung OpenVPN Installationsanleitung OpenVPN Einleitung: Über dieses Dokument: Diese Bedienungsanleitung soll Ihnen helfen, OpenVPN als sicheren VPN-Zugang zu benutzen. Beachten Sie bitte, dass diese Anleitung von tops.net

Mehr

Installationsanleitung BizTalk Server 2006

Installationsanleitung BizTalk Server 2006 Installationsanleitung BizTalk Server 2006 Inhaltsverzeichnis How To: Wie installiere ich den Microsoft BizTalk Server 2006 richtig?... 1 Installationsvorraussetzungen... 2 Hardwarevorraussetzung... 2

Mehr

Installationsanleitung für das Touch Display: S170E1-01 LCD A170E1-T3 ChiMei - egalaxy

Installationsanleitung für das Touch Display: S170E1-01 LCD A170E1-T3 ChiMei - egalaxy Installationsanleitung für das Touch Display: S170E1-01 LCD A170E1-T3 ChiMei - egalaxy 1. Schnellanleitung - Seite 2 2. Ausführlichere Anleitung - Seite 3 a) Monitor anschließen - Seite 3 Alternativer

Mehr

Warum also mit einem 32-Bit-System arbeiten, wenn es Systeme für 64 Bit gibt?

Warum also mit einem 32-Bit-System arbeiten, wenn es Systeme für 64 Bit gibt? Mehr als 4GB RAM mit 32-Bit Windows XP nutzen ( Mit freundlicher Erlaubnis: https://grafvondiepelrath.wordpress.com/2015/01/10/windowsxp-mit-8-gb-ram-betreiben/) Das Windows XP -32-Bit-System wird auch

Mehr

2010 PROVISIO GmbH - http://www.provisio.com/ MyPublicHotSpot

2010 PROVISIO GmbH - http://www.provisio.com/ MyPublicHotSpot 2010 PROVISIO GmbH - http://www.provisio.com/ MyPublicHotSpot Wofür steht MyPublicHotSpot? Mit der Software MyPublicHotSpot können Sie Kunden gegen Entgelt oder aber auch unentgeltlich die sichere Nutzung

Mehr

Public Wireless LAN. Quick User Guide. www.swisscom-mobile.ch/pwlan

Public Wireless LAN. Quick User Guide. www.swisscom-mobile.ch/pwlan 77735 dt/fr/it/en 05.04 100 000 MC-CEB-MCO Public Wireless LAN. Quick User Guide. www.swisscom-mobile.ch/pwlan Das kabellose high-speed Büro am Hotspot. Voraussetzungen. Public Wireless LAN von Swisscom

Mehr

Bin ich fit für myconvento?

Bin ich fit für myconvento? Bin ich fit für myconvento? Sie planen den Einsatz unserer innovativen Kommunikationslösung myconvento und fragen sich gerade, ob Ihr Rechner die Anforderungen erfüllt? Hier erfahren Sie mehr. Inhalt Was

Mehr

High-speed Internet Access. Your mobile workspace at this Hotspot

High-speed Internet Access. Your mobile workspace at this Hotspot High-speed Internet Access Your mobile workspace at this Hotspot Kabellos am Hotspot surfen so oder so Sie haben ein Notebook mit Mobile Unlimited von Swisscom Mobile. Dann surfen Sie in der ganzen Schweiz

Mehr

Das T-Home Support Center benötigt zur Installation folgende Systemvoraussetzungen:

Das T-Home Support Center benötigt zur Installation folgende Systemvoraussetzungen: T-Home Support Center Version 1.99.4 Willkommen! Vielen Dank, dass Sie sich für das T-Home Support Center der Deutschen Telekom interessieren. Diese Software hilft Ihnen bei der Fehleranalyse und -behebung

Mehr

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7 Einrichtung des Cisco VPN Clients (IPSEC) in Windows7 Diese Verbindung muss einmalig eingerichtet werden und wird benötigt, um den Zugriff vom privaten Rechner oder der Workstation im Home Office über

Mehr

Kinderschutzsoftware fragfinn-kss

Kinderschutzsoftware fragfinn-kss Kinderschutzsoftware fragfinn-kss bereitgestellt von Cybits AG Inhalt 1 Was ist zu beachten?...2 1.1 Eigenes Nutzerprofil für Ihr Kind...2 2 Installation der Software...3 2.1 Hinweise bei bereits installierter

Mehr

Leica icon Series. Installations und Lizenzaktivierungs Handbuch. Version 1.0 Deutsch

Leica icon Series. Installations und Lizenzaktivierungs Handbuch. Version 1.0 Deutsch Leica icon Series Installations und Lizenzaktivierungs Handbuch Version 1.0 Deutsch Inhaltsverzeichnis Inhalt Kapitel Seite 1 icon robot 50 3 1.1 Aktualisieren der Firmware auf dem icon robot 50 3 1.2

Mehr

Installationsanleitung Router

Installationsanleitung Router Installationsanleitung Router AOL Deutschland GmbH + Co. KG Inhalt 1 2 3 4 5 6 7 8 9 10 11 AOL Namen einrichten 2 Tarif wechseln 3 Geräte anschliessen 5 Einbau Netzkarten (falls noch nicht vorhanden) 5

Mehr

Systemanforderungen Verlage & Akzidenzdruck

Systemanforderungen Verlage & Akzidenzdruck OneVision Software AG Inhalt Asura 10, Asura Pro 10, Garda 10...2 PlugBALANCEin 10, PlugCROPin 10, PlugFITin 10, PlugRECOMPOSEin10, PlugSPOTin 10,...2 PlugTEXTin 10, PlugINKSAVEin 10, PlugWEBin 10...2

Mehr

DC-1394 PCIe. IEEE 1394 FireWire TM PCIe Card. Windows 2000 / 2003 / 2008 Windows XP / Vista / 7

DC-1394 PCIe. IEEE 1394 FireWire TM PCIe Card. Windows 2000 / 2003 / 2008 Windows XP / Vista / 7 DC-1394 PCIe IEEE 1394 FireWire TM PCIe Card Wichtige Information zur Datensicherheit Vor der Installation und bei Änderungen der Konfiguration des DC-1394 PCIe sollte unbedingt eine Datensicherung durchgeführt

Mehr

Klein Computer System AG. Portrait

Klein Computer System AG. Portrait Klein Computer System AG Portrait Die Klein Computer System AG wurde 1986 durch Wolfgang Klein mit Sitz in Dübendorf gegründet. Die Geschäftstätigkeiten haben sich über die Jahre stark verändert und wurden

Mehr

Hardware-Troubleshooting

Hardware-Troubleshooting Fachverlag für Computerwissen Themenübersicht Pannen sicher beheben und richtig vorbeugen mit professionellen Tipps und effektiven Soforthilfe-Lösungen In der Ausgabe 4, April 2007 lesen Sie So retten

Mehr

Fragestellung: Wie viele CPU Kerne sollte eine VM unter Virtualbox zugewiesen bekommen?

Fragestellung: Wie viele CPU Kerne sollte eine VM unter Virtualbox zugewiesen bekommen? Fragestellung: Wie viele CPU Kerne sollte eine VM unter Virtualbox zugewiesen bekommen? Umgebung Getestet wurde auf einem Linux-System mit voller invis-server Installation, auf dem eine virtuelle Maschine

Mehr

eytron VMS Webanwendung Fehlersuche und -Behebung

eytron VMS Webanwendung Fehlersuche und -Behebung eytron VMS Webanwendung Fehlersuche und -Behebung 2009 ABUS Security-Center GmbH & Co. KG, Alle Rechte vorbehalten Diese Anleitung soll Ihnen Unterstützung für den Fall geben, dass die Webanwendung nach

Mehr

Installation und Aktivierung von Norton 360

Installation und Aktivierung von Norton 360 Installation und Aktivierung von Norton 360 Sie haben sich für die Software N360 PC entschieden. So installieren und aktivieren Sie Norton 360: Systemvoraussetzungen Bevor Sie die Installation und Aktivierung

Mehr

Laufwerk-Verschlüsselung mit BitLocker

Laufwerk-Verschlüsselung mit BitLocker Laufwerk-Verschlüsselung mit Microsoft BitLocker 1 Allgemeine Informationen... 3 1.1 Informationen zu diesem Dokument... Fehler! Textmarke nicht definiert. 1.1.1. Version und Änderungen... Fehler! Textmarke

Mehr

Amadeus Selling Platform

Amadeus Selling Platform Amadeus Selling Platform Installationsanleitung Version 1.07 Inhaltsverzeichnis 1 Hinweise zur Installation... 3 2 Vor der Installation... 4 2.1 Besondere Vorausetzungen für Windows Vista... 4 2.2 Hinweise

Mehr

4 Planung von Anwendungsund

4 Planung von Anwendungsund Einführung 4 Planung von Anwendungsund Datenbereitstellung Prüfungsanforderungen von Microsoft: Planning Application and Data Provisioning o Provision applications o Provision data Lernziele: Anwendungen

Mehr

Arbeitsblätter. Der Windows 7 MCITP-Trainer - Vorbereitung zur MCITP-Prüfung 70-685. Aufgaben Kapitel 1

Arbeitsblätter. Der Windows 7 MCITP-Trainer - Vorbereitung zur MCITP-Prüfung 70-685. Aufgaben Kapitel 1 Arbeitsblätter Der Windows 7 MCITP-Trainer - Vorbereitung zur MCITP-Prüfung 70-685 Aufgaben Kapitel 1 1. Sie betreuen die Clients in Ihrer Firma. Es handelt sich um Windows 7 Rechner in einer Active Momentan

Mehr

DATA BECKERs Praxishandbuch zu SUSE Linux 10

DATA BECKERs Praxishandbuch zu SUSE Linux 10 DATA BECKERs Praxishandbuch zu SUSE Linux 10 Daniel Koch DATA BECKER Hardware vor dem Kauf prüfen 4. So läuft jede Hardware Längst wird Linux von vielen Hardwareherstellern unterstützt. Ganz reibungslos

Mehr

NetVoip Installationsanleitung für SNOM 320

NetVoip Installationsanleitung für SNOM 320 NetVoip Installationsanleitung für SNOM 320 Einrichten eines SNOM 320 für NETVOIP 1 Erste Inbetriebnahme...3 1.1 Auspacken und Einrichten, Einstecken der Kabel...3 1.2 IP-Adresse des SNOMs herausfinden...3

Mehr

1. Kurzanleitungen 1.1 zu Mozilla Firefox:

1. Kurzanleitungen 1.1 zu Mozilla Firefox: 1. Kurzanleitungen... 1 1.1 zu Mozilla Firefox:... 1 1.2 Office Dokumente in pdf Dateien konvertieren... 1 2. ausführliche Anleitungen zu einzelnen Programmen:... 2 2.1 Microsoft Word:... 2 Inhaltsverzeichnisse

Mehr

Anleitung Windows 7 XP Mode

Anleitung Windows 7 XP Mode Anleitung Windows 7 XP Mode Wieso Anleitung? Wieso eine Anleitung für den Windows 7 XP Mode? Ganz einfach, weil man den Windows 7 XP Mode erst installieren und noch dazu ein paar Dinge wissen muss!! Der

Mehr

Visual VEGA Netzwerkinstallation

Visual VEGA Netzwerkinstallation Allgemeines Visual VEGA 5.30 gibt es in den Varianten "Visual VEGA LT" und "Visual VEGA Pro". Die LT-Version kann maximal 16 Messstellen anzeigen, Visual VEGA Pro kann eine unbegrenzte Anzahl von Messstellen

Mehr

Die angegebenen Versionsnummern beziehen sich jeweils auf die Datei DbbLxGui.exe.

Die angegebenen Versionsnummern beziehen sich jeweils auf die Datei DbbLxGui.exe. Change Log: DBB/LX Die angegebenen Versionsnummern beziehen sich jeweils auf die Datei DbbLxGui.exe. 1. Version 4.5.0.1243 1. AF: Das Tool Datenbank neu aufbauen wurde ergänzt. Damit können Datenbanken,

Mehr

Online-Banking. 45 Tipps für das sichere Online-Banking

Online-Banking. 45 Tipps für das sichere Online-Banking Online-Banking 45 Tipps für das sichere Online-Banking Notwendige Sicherheitsvorkehrungen am PC Versuchen Sie, möglichst wenige Personen an 1 dem PC arbeiten zu lassen, an dem Sie auch das Online-Banking

Mehr

chello/fiber Power Rein ins Breitband Internet-Vergnügen Installationsanleitung

chello/fiber Power Rein ins Breitband Internet-Vergnügen Installationsanleitung chello/fiber Power Rein ins Breitband Internet-Vergnügen Installationsanleitung Willkommen bei chello/fiber Power! Herzlichen Glückwunsch, dass Sie sich für chello/fiber Power entschieden haben. UPC bietet

Mehr

Intel Macs. Meine Erfahrungen mit dem MacBook Pro. Vortrag von Matthias Stucki

Intel Macs. Meine Erfahrungen mit dem MacBook Pro. Vortrag von Matthias Stucki Intel Macs Meine Erfahrungen mit dem MacBook Pro Vortrag von Matthias Stucki 13. August 2006 1 Übersicht Intel-Macs Software (PPC / Universal Binary) Windows auf Mac (Boot Camp vs. Parallels) Intel-Mac-Modelle

Mehr

Allgemeine Hinweise zur Systemumgebung

Allgemeine Hinweise zur Systemumgebung Allgemeine Hinweise zur Systemumgebung Die nachfolgenden Betriebssysteme sind für WinCan8- Installationen auf Fahrzeug- oder Bürocomputer empfohlen: Windows XP Pro (32/64 bit) Windows 7 Pro (32/64 bit)

Mehr

Kurzanleitung. MEYTON Migrationstool. 1 Von 16

Kurzanleitung. MEYTON Migrationstool. 1 Von 16 Kurzanleitung MEYTON Migrationstool 1 Von 16 Inhaltsverzeichnis Sinn und Zweck des Migrationsprogramms...3 Die LIVE C D...3 START...3 Erste Schritte...4 Login...4 Einleitung...5 Die Bedienung...5 Das Hauptmenü...6

Mehr

Aufsetzen Ihres HIN Abos

Aufsetzen Ihres HIN Abos Aufsetzen Ihres HIN Abos HIN Health Info Net AG Pflanzschulstrasse 3 8400 Winterthur Support 0848 830 740 Fax 052 235 02 72 support@hin.ch www.hin.ch HIN Health Info Net AG Grand-Rue 38 2034 Peseux Support

Mehr

VPN-System Benutzerhandbuch

VPN-System Benutzerhandbuch VPN-System Benutzerhandbuch Inhalt Einleitung Antiviren-Software 5 Einsatzgebiete 6 Web Connect Navigationsleiste 8 Sitzungsdauer 9 Weblesezeichen 9 Junos Pulse VPN-Client Download Bereich 9 Navigationshilfe

Mehr

Zentraler Speicherplatz

Zentraler Speicherplatz Anleitung für das Netzlaufwerk ZfN 1/18 Zentraler Speicherplatz Jeder Mitarbeiter und Student besitzt einen Uni Account. Mit dem Uni Account können das WLAN, der E Mail Server und viele andere IT Dienste

Mehr

Revolver Server Handbuch

Revolver Server Handbuch Revolver Server Handbuch 2011 Revolver Software GmbH 1 Schneller Start 1.1 Einführung 4 1.2 Installation 5 1.3 Server hinzufügen 9 1.4 Freischalt-Code eingeben 13 1.5 Server starten 16 1.6 Mit dem Client

Mehr

1. Schritt: Benutzerkontensteuerung aktivieren

1. Schritt: Benutzerkontensteuerung aktivieren Inhalt: 1. Schritt: Benutzerkontensteuerung aktivieren 2. Schritt: Firewall aktivieren 3. Schritt: Virenscanner einsetzen 4. Schritt: Automatische Updates aktivieren 5. Schritt: Sicherungskopien anlegen

Mehr

USB Anschluss Microsoft Windows, Linux, Mac OS X mindestens 380MB freien Speicher Unterstützte Clients: PC, Mac, Android und ios basierende Geräte

USB Anschluss Microsoft Windows, Linux, Mac OS X mindestens 380MB freien Speicher Unterstützte Clients: PC, Mac, Android und ios basierende Geräte Inhalt: Installation für das Smarx OS Protection Kit Überblick zu den Funktionen des Smarx OS Control Centers Testen der Lizenzierungsoptionen ohne angeschlossene CRYPTO-BOX - Feature Enabled Simulated

Mehr

Installationsanleitung für Internet Security. Inhalt

Installationsanleitung für Internet Security. Inhalt Installationsanleitung für Internet Security Inhalt 1 Systemanforderungen für Internet Security...2 2 Installationsanleitung: Internet Security für einen Test auf einem Computer installieren...3 3 Installationsanleitung

Mehr

Dateisysteme mit Plugin-Funktion

Dateisysteme mit Plugin-Funktion Dateisysteme mit Plugin-Funktion Basierend auf Reiser 4 unter Linux http://llugb.amsee.de/logo.gif Ausgearbeitet und vorgetragen von Michael Berger 1/23 Agenda Die Idee Dateisysteme mit Plugin-Funktion

Mehr

Warum muss ich mich registrieren?

Warum muss ich mich registrieren? - Warum muss ich mich registrieren? - Ich habe mein Passwort oder meinen Benutzernamen vergessen - Wo ist meine Aktivierungs-Mail? - Wie kann ich mein Benutzerkonto löschen? - Wie kann ich mein Newsletter-Abonnement

Mehr

E-Book. Transfer Tool

E-Book. Transfer Tool E-Book Transfer Tool 1. Installationsanleitung E-Book Transfer Tool 1. Schritt Verbinden Sie den SD-Card-Reader mit dem USB-Anschluss Ihres PCs. 2. Schritt Stecken Sie die MicroSD-Karte (sie enthält die

Mehr

Peppercon eric express. Herzlich Willkommen zur Online-Schulung von Thomas-Krenn Serverversand. Unser Thema heute:

Peppercon eric express. Herzlich Willkommen zur Online-Schulung von Thomas-Krenn Serverversand. Unser Thema heute: Herzlich Willkommen zur Online-Schulung von Thomas-Krenn Serverversand Unser Thema heute: Peppercon - Remote Management PCI Karte - Ihr Referent: Michael Hänel (technical purchase and seller) Ihr technischer

Mehr

SSL VPN Zugang Anleitung Version 1.3

SSL VPN Zugang Anleitung Version 1.3 Anleitung Version 1.3 Inhalt: 1. Allgemeine Informationen 2. Voraussetzungen für die Nutzung 3. Aufbau einer SSL Verbindung mit dem Microsoft Internet Explorer 4. Nutzung von Network Connect 5. Anwendungshinweise

Mehr

Anleitung: Installation von WISO Mein Büro auf einem Mac

Anleitung: Installation von WISO Mein Büro auf einem Mac Anleitung: Installation von WISO Mein Büro auf einem Mac Lieber WISO Mein Büro Anwender, WISO Mein Büro ist bisher eine reine Windows-Anwendung und lässt sich somit leider nicht direkt auf einem Macintosh

Mehr

Hinweise zu A-Plan 2009 SQL

Hinweise zu A-Plan 2009 SQL Hinweise zu A-Plan 2009 SQL Für Microsoft Windows Copyright Copyright 2008 BRainTool Software GmbH Inhalt INHALT 2 EINLEITUNG 3 WAS IST A-PLAN 2009 SQL? 3 WANN SOLLTE A-PLAN 2009 SQL EINGESETZT WERDEN?

Mehr

Serverumzug mit Win-CASA

Serverumzug mit Win-CASA Serverumzug mit Win-CASA Wenn Sie in Ihrem Netzwerk einen Umzug der Server-Version durchführen müssen, sollten Sie ein paar Punkte beachten, damit dies ohne Probleme abläuft. 1. Nachweis-Ordner In der

Mehr

Allgemeine Hinweise zur Systemumgebung

Allgemeine Hinweise zur Systemumgebung Allgemeine Hinweise zur Systemumgebung Die nachfolgenden Betriebssysteme sind für WinCan8- Installationen auf Fahrzeug- oder Bürocomputer empfohlen: Windows XP Professional Windows 7 Professional (32bit)

Mehr

Marketing Update. Enabler / ENABLER aqua / Maestro II

Marketing Update. Enabler / ENABLER aqua / Maestro II Marketing Update Enabler / ENABLER aqua / Maestro II Quartal 01/2013 1 Kommentar des Herausgebers Liebe Kunden und Partner, dieser Marketing Update gibt Ihnen einen kurzen Überblick über die aktuell verfügbaren

Mehr

Hotspot & VPN Server, Router, Firewall, QoS

Hotspot & VPN Server, Router, Firewall, QoS Seite 1/6 Internetzugang in Hotels, Restaurants, Bars, Biergärten, Betrieben, Wohn /Camping Anlagen, Kongresszentren, Messen, Tagungen ist etwas gutes. Ist es aber sicher? Nicht immer. Wir bieten Ihnen

Mehr

onboard, optimale Darstellung bei: 1.024 x 768, 32 Bit, bei 75 Hz Veröffentlichte Anwendung / Veröffentlichter Desktop ausgestattet mit min.

onboard, optimale Darstellung bei: 1.024 x 768, 32 Bit, bei 75 Hz Veröffentlichte Anwendung / Veröffentlichter Desktop ausgestattet mit min. Terminal Server Anforderungen Betriebssystem: Windows Server 2003 / 2008 / 2008 R2 / 2012 Grafik/ Videospeicher: Netzwerkkarte: Technologien Veröffentlichungs- Methoden: 2-fach Dual Core Prozessoren min.

Mehr

Sichere PCs und Laptops

Sichere PCs und Laptops Sichere PCs und Laptops Sicherheitstools mit der Bürgerkarte A-SIT Zentrum für Sichere Informationstechnologie Dipl.-Ing. Martin Centner SFG, 9. Februar 2006 A-SIT Zentrum für Sichere Informationstechnologie

Mehr

PC BASTELSTUNDE MIT DEM HOLZHAMMER

PC BASTELSTUNDE MIT DEM HOLZHAMMER PC BASTELSTUNDE MIT DEM HOLZHAMMER PC AUSFALLRISIKO:SEHR HOCH EINE MÖGLICHE VORGEHENSWEISE LEXMARK DRUCKERTREIBER MANUELL ZU ENTFERNEN EINE PRINZIPIELLE ANLEITUNG FÜR RISIKOBEREITE BASTLER, DIE SICH BEWUSST

Mehr

Installation. Der Eindruck, die Software wäre gefährlich und ließe sich gar nicht installieren ist eine Täuschung!

Installation. Der Eindruck, die Software wäre gefährlich und ließe sich gar nicht installieren ist eine Täuschung! Installation TaxiLogbuch ist eine sogenannte Client-Server-Anwendung. Das Installationsprogramm fragt alle wichtigen Dinge ab und installiert entsprechend Client- und Server-Komponenten. Bei Client-Server-Anwendungen

Mehr

Allgemeine Fragen zum Digitalabo

Allgemeine Fragen zum Digitalabo Allgemeine Fragen zum Digitalabo 1. Was ist das Digitalabo? Das Digitalabo vereint auf verschiedenen digitalen Wegen die Schwäbische Zeitung. Es unterteilt sich in 3 verschiedene Angebote, die wir speziell

Mehr