Nvfirewall, el cortafuegos de Nvidia

[Yenki]

Introducción
En los conjuntos de chips Nforce 4, (esto de hablar de conjuntos de chips no es muy preciso ya que el esta familia el chip es uno solo, no hay northbridge y southbridge como es tradicional), el cortafuegos es parte del chip y la gente de Nvidia lo llama Nvfirewall.

Es un cortafuegos incorporado al hardware, no es por software como los que todos conocemos ( Zone Alarm, Kerio/Sunbelt , Outpost etc).
En teoría esto hace que el cortafuegos consuma menos recursos de procesador.
El cortafuegos en sí se complementa con Active Armor que es un componente que es lo que la gente de Nvidia describen como un "motor de seguridad en redes" es un filtro incorporado en hardware que le quita trabajo al procesador al procesar los paquetes de datos de internet y evitar que pasen los maliciosos.

Tradicionalmente lo que pasa es esto

imagen.
El tráfico de red pasa por el kernel del sistema operativo luego es filtrado por el CPU, que deja pasar sólo los buenos, esto es una tarea que consume recursos y ciclos de trabajo del microprocesador.

En cambio con Active Armor funcionando esto se evita, es este componente de hardware el que filtra los paquetes y quita tarea al procesador.



Usando Active Armor, este hace un primer filtrado descartando los paquetes malos y mandando los buenos directamente a la aplicación

imagen.

Y según los verdes esto mejora el uso del procesador al liberarlo de trabajo , literalmente en este documento, de donde saqué las imágenes dicen : " La combinación del cortafuegos Nvidia y el motor de seguridad en red ActiveArmor (figura 1) mejora el rendimiento (a velocidades de gigabit ethernet full-duplex), baja la utilización del CPU, y realiza profunda inspección de paquetes, por lo tanto mejora la seguridad general de la red".
Y esta es la figura uno

imagen.


No sé si realmente será tan así, en mi Athlon 1 GHz conectado a internet con ADSL de 256 no veía caidas de rendimiento al activar o desactivar el cortafuegos.
Pero bueno al tener una placa madre con una función extra interesante me gusta aprovecharla.



Bueno ahora paso a describir mi experiencia con este cortafuegos.
Se maneja desde el navegador de web, y al instalar el software pone un icono en el escritorio llamado "Cortafuegos de Nvidia".

Inicialmente quienes me instalaron el gabinete me habían puesto una versión vieja que no andaba bien.
Actualizarla fue un problema pues en el sitio de Nvidia la documentación sobre este tema es MUY POBRE, y la ayuda del producto en sí, no me fue muy útil.




Averiguando la versión instalada (salteen este título si quieren hacerla corta)
Averiguar la versión que tenía instalada también fue un dolor de cabeza.
Los paquetes de controladores para el chipset tienen su propia versión, la última disponible es la 6,70, vean acá.

nForce4 AMD Edition (6.70) - Windows XP/2000 (32-Bit)
Versión: 6.70
Fecha de publicación: 26.10.2005
Certificación WHQL
...
Notas sobre la versión

Corrección de problemas generales de compatibilidad.
Versiones del controlador para Windows XP/2000

Controlador de audio 4.62 (WHQL)
Utilidades de audio 4.51
Controlador de Ethernet 4.82 (WHQL)
Network management tools 4.88
Controlador de SMBus 4.50 (WHQL)
Controlador de IDE PATARAID 5.52
Controlador de IDE SATARAID 5.52 (WHQL)
Controlador de IDE SATA_IDE 5.52 (WHQL)
RAIDTOOL Application 5.52
Instalador 4.93

Como pueden ver el paquete tiene una versión, pero incluye varios controladores que diferentes números de evolución...
¿Como averiguaría la versión de mi paquete instalado? Quería saber si era muy viejo y me convenía actualizarlo.
Quise preguntar en el sitio de nvidia, pero ellos dicen claramente

Asistencia técnica de nuestros partners
NVIDIA no vende sus productos directamente al usuario final y, por tanto, no puede proporcionar servicios de asistencia técnica al consumidor.

tomado de acá.


Eso me condenó a conocer y sufrir el calamitoso soporte técnico del fabricante de mi placa madre A8N-SLI , Asus; sí el más prestigioso vendedor de placas base tiene un servicio técnico lamentable.

Revisé sus Preguntas Frecuentes y no hallé nada.
Entonces me mandé al foro, mi decepción fue grande al ver que no tienen técnicos que den ayuda ahí, todo depende de la buena voluntad de otros usuarios. Hay muchas dudas que quedan sin respuesta ya que los registrados son usuarios de asus y no técnicos. Mal Asus.
Además el foro es feo y poco práctico, si uno ve una lista de temas no deja abrirlos en una nueva ventana , es peor que un phpbb como este.


Pregunté cómo averiguar la versión de lo que tenía instalado y nadie me supo responder con algo que sirva.

No tenía respuesta y contacté al servicio técnico de asus, por correo, me respondieron, sin contestarme ninguna de mis 3 preguntas planteadas, y dándome un enlace a su sitio web , pero a los recursos de una placa madre ¡¡¡que no era la mía !!!!! (tienen la eficiencia de Teresónica... ).
Le volví a contestar ese mensaje pidiendo datos y nunca me lo han respondido.

Un dato interesante, navegando el foro de Asus y otros con temas de hardware, MUCHOS, aconsejaban no instalar el cortafuegos de nvidia, ya que a algunos les producía errores tan graves como corromper las descargas que no es algo menor. De todas formas yo quería poder usar el cortafuegos por hard.


Pasaron los días y hallé algo en los foros de anandtech.com.

Una forma trabajosa era ver programa por programa del paquete de controladores cual era su versión ( usando el Administrador de Dispositivos); para luego a partir de esto deducir la del paquete.
Bueno pude deducir que algunas versiones instaladas controladored del paquete podían hallarse:
- Nvidia NForce Networking Controller era el de Ethernet.
- Nvidia nForce4 Paralell ATA Controler daba el número de los controladores de los discos rígidos
- Network Management tools era NAM o Network Access Manager que se veía desde la interfaz web del cortafuegos en el tema Administración.
Pero de otros controladores del paquete no sé como hacerlo, por ejemplo para el audio o el instalador.

Con eso puede ver parcialmente que mis versiones eran más viejas que las del último paquete.


Continuará... (como en las historietas )

[Yenki]

Actualización de los controladores nforce (otro parto)

Quería saber cómo actualizarlo y no pude saber de donde se bajaba por más que busqué en el sitio de Nvidia, luego de bajar e instalar los controladores para el chipset me di cuenta que vienen allí . O sea el software de administración del cortafuegos se actualiza con el controlador del conjunto de chips.
Esto no es para nada evidente pues en el listado de componentes de los controladores nforce no hay nada que aluda claramente al cortafuegos. Mal Nvidia.


El tema de los controladores para el conjunto de chips Nforce 4 también está muy mal manejado.
Si uno va al sector de descargas de los verdes puede ver que para el conjunto de chips Nforce 4 , hay 4 paquetes disponibles,
- nForce 4 410/430
- nForce 4 AMD
- nForce 4 Intel
- nForce 4 AMD/intel X16
¿Cuál debería bajar?

Sospechaba que el primero no pues no tengo nada llamado 410/430 en el manual de mi placa madre, el tercero tampoco pues no uso Intel, por último tengo entendido que X16 está relacionado con los canales de datos que pueden usar las placas PCI-express (PCIe) cuando son 2 trabajando en el modo SLI.

Los dispositivos PCIe pueden tener entre 1 y 16 líneas de datos, más líneas permiten mayores capacidades de transferencia.
Miren este comparativo de las capacidades de transmisión de distintos formatos PCIe comparados con las del bus AGP:

Versión PCI-e__ AGP __________Ancho de banda
PCIe x1 _____AGP 1X _________ 264 Mbps

PCIe x4______AGP 4X__________ 1 Gbps

PCIe x8______AGP 8X__________ 2 Gbps

PCIe x16____ 2 x AGP 8X_______ 4 Gbps

Tomado del sitio de microsoft

Para el video en general se usan 16 líneas y esto se escribe x16, o sea cuando hay una placa de video PCIe, esta es x16, usa 16 canales de datos, y tiene un conector especial.
Cuando salieron las primeras placas madre con soporte SLI, (esto es, con capacidad para tener dos placas de video que trabajen simultáneamente usando la norma SLI), si había una sola placa esta trabajaba a x16, pero al poner dos ambas trabajaban a x8, pero las más nuevas dejan poner ambas placas con 16 canales de datos.
Pueden ver acá

tomado de el sitio de nvidia.
El conjunto de chips NForce 4 SLI x16 es el único que soporta dos placas de video andando a x16, es lógico que los controladores para el mismo se llamen x16. Pero no es lógico que el usuario deba saberlo para poder hacer una descarga.
Yo tengo el NForce 4 SLI pelado, que cuando usa dos placas de video las hace andar como si fuesen AGP 8X, a PCIe x16.
Con todo esto, y alguna consulta con Lole, que había instalado estos controladores en una PC no hace mucho, concluí que mis controladores para el chipset debían se los llamados "nForce 4 AMD".
Creo que estos también deberían ser bajados por quienes tengan los conjuntos de chips Nforce 4 Ultra y Nforce 4.

Todo este lío se hubiera evitado de manera muy sencilla, si los de Nvidia aclararan con un párrafo qué es lo que hay que descargar cuando uno tiene un chipset de su familia Nforce 4.
Muy flojos los verdes acá, para una misma familia tienen 4 controladores distintos y no aclaran cual hay que bajar ...

Ahora, si uno ve el enlace sugerencias para la instalación, dicen que :

Antes de instalar los nuevos controladores, es preciso desinstalar todos los controladores de pantalla de NVIDIA utilizando el Panel de control de Windows. Abre el menú Inicio > Panel de control > Agregar o quitar programas, busca "NVIDIA Windows Display Drivers" o "NVIDIA Display Drivers" y selecciona quitar.

Para instalar los controladores de video, sabía que eso sí era necesario ¿pero para los del chipset también lo sería?
Yo desde Agregar o Quitar programas en el Panel de control no veía nada para remover.
Y al leer en algunos sitios que otros los instalaban encima lo hice así. Además si quisieran que uno los desinstale deberían poner una línea en Agregar o Quitar Programas.

Bueno, yo no desinstalé nada y le mandé el paquete 6,70 arriba y no tuve problemas.

(En el próximo tema termino este asunto que podría titularse tambien "Para Puni que lo lee por interné" ).

[Yenki]

Descripción y uso del cortafuegos
Tal como comenté, todo se configura desde una interfaz web que se ve en el navegador.
Ahora en la nueva versión de la misma (4,88 ) , el firewall tiene un ícono en la bandeja de sistema, antes no, y avisa cuando algo se quiere conectar a la red para que lo autorice o no con una ventanita que aparece encima del reloj, esta evolución del administrador también me dejó hacer una copia de respaldo de la configuración, cosa que con el viejo no podía. Esto último es muy útil para no tener que hacer todo el proceso de habilitación de aplicaciones, dar permisos etc, si uno llega a reinstalar Windows.
Como nabo que soy me instalé los controladores en inglés así que van a ver la interfaz en ese idioma, descargando los internacionales deberían verla en español.


Imagen.

La primera vez que me apareció la interfaz de control casi me descompongo, pero luego vi que lo clave es habilitar las aplicaciones que uno quiere que accedan a internet desde lo que resalté en azul, desde FIREWALL > ADVANCED CONFIGURATION > APPLICATION
Hay que:
- habilitar el Intelligent Application Manager (IAM), sería algo así como Administrador Inteligente de Aplicaciones
- ir a ADD RULE (Agregar Regla), examinar hasta hallar el ejecutable al que le queremos dar acceso,
- luego en RULE (Regla), poner ALLOW ( Permitir ) y apretar APPLY (Aplicar).

Muchas veces hice esto y veía que lo que quería no se conectaba, para lograrlo debía cerrar el programa en cuestión y volverlo a abrir.

Como es visible en la imagen a algunos programas les permití conectarse a internet, como Avant Browser; y a otros no, como Clipboard Recorder.
También se ve que cuando se muestra la interfaz desaparece la barra de tareas lo que es un error creo. Pasaba con la versión vieja y sigue con la nueva.
Hasta que me di cuenta de los 3 pasos en rojos perdí dos horas o más sin poder hacer andar nada.

Una vez que uno tenga todo configurado como quiere, con los navegadores, juegos, programas de correo, administrador de descargas, antivirus , etc, conviene ir a ADMINISTRATION > BACKUP / RESTORE , y hacer una copia de seguridad de la configuración, la cual se guarda como un archivo html, (que no hay que editar).

La ayuda me parece pobre, faltan ejemplos paso a paso de como hacer cosas sencillas. Tiene asistentes para hacer cosas muy avanzadas, para las cuales hay que ser un profesional de la informática, pero para las sencillas como habilitar un mensajero, navegador, cliente IRC, FTP , programa de pares, antivirus y cosas por el estilo, no hay nada.

La interfaz es demasiado compleja, todo parece orientado a estudiantes universitarios de temas informáticos como mínimo, y no a usuarios finales.
Tiene errores por solucionar, por ejemplo cuando alguna aplicación quiere acceder a la red, el iconito de la bandeja de sistema hace aparecer una ventana para que uno permita o no la conexión.
Siempre que elijo algo , el cortafuegos se cuelga, el cursor queda convertido en un reloj y no pasa nada.
La forma que he descubierto de terminar con esto es abrir el Administrador de Tareas de Windows, presionando Control+Alt+Supr.

No es fácil de usar, tiene la ventaja de ser por hardware y no consumir recursos de procesador, no sé cuanto me estoy ahorrando en realidad, pero por ahora anda. Voy a ver que pasa cuando emplee programas P2P, algunos mencionan problemas con eso.




Hay un manual para bajar desde acá busquen el de NVForceWareNetworkGuide_9thEd.pdf
Hay otros dos archivos pdf, muy básicos desde acá, decriben por arriba lo que hacen el cortafuegos y ActiveArmor.


Si tuviera que ponerle una nota sería 5 de 10 hasta donde lo he usado.
Le falta bastante desde mi punto de vista, pero hace poco lo estoy empleando.

[punisher]

Bue...Yen! Antes que nada, muchisimas gracias por este zarpadisimo laburo que te mandaste, por decirlo de alguna manera, a mi "salud"
Leí todo atentamente, y la verdad, como comentás vos, deja mucho que desear, y tal cual hacés referencia, es avanzado de cojones (insertar emoticon con boina, escarbadientes y una sola ceja por aquí )
Me parece que voy a seguir usando firewall por soft, y a la vez, espero...que el dia de mañana los Misters de Nvidia, que se mandaron zarpado bolazo con respecto a esto y que a los usuarios comunes nos dejaron en "bolas" (literalmente); saquen alguna re-vision de los mismos drivers sin tanta parnafernalia para los users avanzados y pongan a disposición de la gente normal, algo mas comunacho.
En síntesis, como siempre, Yen. Me saco el sombrero antes su poder de investigación.
Danke!

[Yenki]

De nada Puni,
Dependiendo de las ganas que tengas de investigar un poco,y tal vez renegar algo, podés tratar de usarlo y para ello, más allá de todos mis padecimientos, lo importante, es lo que puse en rojo, con esos pasitos habilitás las aplicaciones.

Si ves que te joroba siempre podés deshabilitarlo e instalar uno por soft.


Me había olvidado y lo pongo ahora, algo interesante , sitios web que testean cortafuegos (firewalls), para que podamos ver cuanto nos protegen.

Un clásico Shields Up:
https://www.grc.com/x/ne.dll?bh0bkyd2
tiene testeos de puertos comunes y otro más avanzado, este último en forma gráfica permite conocer el estado de los primeros 1056 puertos TCP. Los resultados son bien entendibles.


http://www.hackerwatch.org/probe/ acá revisan algunos puertos y dejan ver su estado de forma muy clara, con colores.

http://www.dslreports.com/scan/ este también es bien claro, no se cuan completo será pues lo hacen durar un máximo de un minuto para los puertos TCP y otro tanto para los UDP.

http://scan.sygatetech.com/ este es bien completo y tiene varios testeos, algunos bien largos como el de puertos TCP que puede durar 45 minutos para testear más de un millar de ellos, o del puertos UDP que puede durar 20 minutos.

Este también está muy bueno :
http://www.auditmypc.com/freescan/scanoptions.asp
deja elegir entre dos posibiliddes de sondeo , básica y avanzada, en esta última uno incluso puede elegir los puertos a testear.

[punisher]

Me imagino que esos enlaces que ponés, se deben usar cuando tenés un firewall instalado, no? O te "testea" los puertos only?

[Yenki]

El objeto de los testeos es ver cuan expuesta está una PC en internet, si tenés la protección de un cortafuegos vas a estar más seguro, pero no son requisito indispensable para que esos sitios analicen cuanto se expone de tu máquina.

La idea es ver si tu cortafuegos te anda bien y no deja puertos abiertos, o mejor aún si los oculta, pero podés usarlos sin el firewall y luego con el mismo instalado para ver la diferencia.

Creo que no usar cortafuegos hoy en día cuando hay estudios que dicen que las máquinas sin protección duran pocos minutos hasta ser infectadas es muy tonto, mucho más si se tiene banda ancha.

[Yenki]

En techreport.com publican algo que me sorprendió.

Primero una introduccioncita,
1- hasta donde mi ignorancia me deja conocer, el protocolo TCP que se usa en internet, es uno encargado de la transmisión de datos entre dos equipos y en su funcionamiento usa unas sumas de verificación (checksums) que le permiten ver si los datos enviados del emisor llegaron bien al receptor.
2- Los conjuntos de chips de Nvidia nForce4 Ultra y nForce 4 SLI son hoy en día, la elección más inteligente para los procesadores Athlon 64, son lo más nuevo que hay.
Entre sus ventajas anunciadas está algo llamado Motor de Seguridad en Red ActiveArmor y ellos lo describen como :

• ... Este motor mejora la experiencia de uso y el rendimiento global del PC porque libera a la CPU del trabajo de examinar los paquetes para que pueda dedicarse a otras tareas de procesamiento más importantes. Este motor de seguridad mejora la protección del sistema al tiempo que reduce la carga de trabajo de la CPU. Para conseguirlo, realiza un examen exhaustivo del tráfico de entrada y salida, y permite el paso únicamente de los paquetes autorizados a través del firewall.
  
  Asimismo, incorpora un administrador de aplicaciones inteligente que avisa si alguna aplicación desconocida está intentando acceder a la red. Por último, es compatible con la nueva arquitectura de red de Microsoft para proporcionar comunicaciones más rápidas y seguras.

Tomado del sitio oficial de nVidia.

Tal vez simplificando un poco, uno podría considerar a ActiveArmor como un cortafuegos (firewall) puesto en el conjunto de chips, que evitaría que el procesador tenga que gastar recursos en uno que corra enteramente por software como ZoneAlarm por ejemplo.




En la noticia que me sorprendió, Geoff Gasior cuenta que desde que lanzaron el conjunto de chips nForce4, este ha estado luchando para alcanzar el potencial prometido al reducir el uso de la CPU manejando él las sumas de verificación TCP en lugar de que sean procesadas por el microprocesador.
Comenta que en sus análisis han visto que el uso de la CPU de ActiveArmor ha oscilado entre impresionantemente bajo, a alarmantemente alto.
Esto es traducción lo más literal posible:

• "Cada nuevo lanzamiento de controladores pareció cambiar el uso de la CPU de ActiveArmor, y para hacer las cosas peor, muchos encontraron que usar ActiveArmor podía llevar a la corrupción de datos o inestabilidad.
  
  NVidia dice que que las últimos controladores ForceWare - 6.70 para el nForce4 y 6.85 para el nForce SLI X16- han resuelto para bien los problemas de currupción de datos de ActiveArmor al costo de uso de CPU. Nvidia ha confirmado hoy a TechReport que ha sido a forzado a limitar el motor de transferencia TCP de ActiveArmor para evitar la corrupción de datos. [En el original: "to scale back ActiveArmor's TCP offload engine in order to avoid data corruption"].
  Hemos hechos algunos testeos preliminares con los últimos controladores ForceWare de Nvidia, y podemos confirmar eso, a pesar de que el impacto de ActiveArmor no ha sido marginado completamete, es menos efectivo que lo que hemos visto con algunas revisiones previas de controladores. El motor de transferencia limitado ofrece más bajo uso de CPU que con el mismo deshabilitado por completo (24 % contra 42 %).
  ...
  Estos problemas han persistido demasiado en la vida de la línea nForce4, y el arreglo aparente puede ser decepcionante para todos los que compraron la promoción exagerada sobre ActiveArmor. Nvidia dice que los problemas de ActiveArmor serán completamente resueltos en la próxima generación de productos. ...

La nota original para que puedan verla y decirme si le erré al traducir algo por acá:
http://techreport.com/ja.zz?comments=9483




Mi interpretación
La idea era con ActiveArmor liberar de trabajo al procesador ya que en los conjuntos de chips nForce4 Ultra y nforce4 SLI iban a poner un cortafuegos por hardware, lo hicieron tan mal que ese cortafuegos corrompía las descargas, (es como nombrar gente en la aduana que te revisa los bolsos pero muchas veces te rompe todo lo que querés pasar); y para que deje de apestar tanto, y no corrompa los datos elevaron el uso del procesador, lo cual va en contra de la idea básica de ActiveArmor que fue pensado para quitarle trabajo a la CPU.

La frase mortífera es la que dice que el problema va a ser solucionado en próximas generaciones de productos, lo que implica que no piensan mejorar más los rendimientos para todos los que compraron placas madres con esos conjuntos de chips.
Es un claro ejemplo de garketing, ofrecer algo que a la hora de los bifes termina siendo otra cosa no tan atractiva como la anunciada.


¿Adivinen quien tiene una placa madre con uno de los conjuntos de chips que nunca van a andar como deben ?

Yo antes de comprar vi revisiones de placas madre con estos chips y me llama la atención lo incompletas; (si uno supone buena fé); o abiertamente tendenciosas, (si uno supone coimas), que son.
Los problemas de corrupción de datos no aparecían mencionados en ellas, sí en cambio los ví al recorrer foros con usuarios reales que una y otra vez aconsejaban de deshabilitar la función mal implementada e instalar un cortafuego por sofware de los tradicionales.





Como siempre correcciones, aclaraciones, y demás aportes serán agradecidos.