Technik News - Netzwerkmagazin G46392 Oktober 2002 D a s N 10 12. Jahrgang thema des monats NETWORKSECURITY Tunnelbau Teil 1: Interoperabilität mit IP-VPN TECHNOLOGIE UPDATE .NET Server Teil 2: DNS und Active Directory p r a x i s n a h e N e t z w e r k m a g a z i n AKTUELL • Compu-Shack Training mit eigenem Internet-Portal 3 Herausgeber: COMPU-SHACK NEWS • • • • • • • • • • • • • • • Computer Associates: Lösungen für Mainframes AVAYA: Media-Server/Media-Gateway S8300/G700 Check Point: VPN-1/FireWall-1 Software erweitert Cisco: Intelligente Dienste für Speichernetzwerke Cisco: Sicherheit für Catalyst 6500er Serie Cisco: 1721 Modular Access Router Compu-Shack Production: WAVEline Antennenserie KOBIL Systems: Vielseitige PKI-Lösung für Authentifizierung SonicWALL: Tele3 Smart Path und Tele3 TZ SonicWALL: SSL-RX Offloader für große Transaktionsvolumina Novell: ZENworks for Desktops 4 AVM: Neuer Bluetooth-Service online HP: Procurve Routing Switch 9315m BinTec: Modulare Gerätevariante X8500-S3 Newsticker 4 4 5 6 7 7 8 9 10 11 11 12 12 13 14 THEMA DES MONATS Tunnelbau Teil 1: Interoperabilität mit IP-VPN VPN ist gegenwärtig in aller Munde, wenn es darum geht, für kostengünstige Kommunikationsverbindungen gesicherte Tunnel aufzubauen, darüber vertrauliche Informationen auszutauschen oder über Internet Geschäfte abzuwickeln. Uns geht es dabei nicht allein um Technologien wie IPsec, sondern auch um die herstellerübergreifende Interoperabilität im IP-VPN. COMPU-SHACK.COM Redaktion: Heinz Bück Hotline und Patches: Jörg Marx Verantwortlich für den Inhalt: Heinz Bück Technische Leitung: Ulf Wolfsgruber Erscheinungsweise: monatlich 1 Heft COMPU-SHACK Electronic GmbH Jahres-Abonnement zuzüglichMWSt.: Inland: 60,84 € Ausland: 86,41 € 16 16 Layout und Titelbild: Marie-Luise Ringma Druck: Görres-Druckerei, Koblenz Lektorat: Andrea Briel Anja Dorscheid 29 20 Abo-Versand: Wolanski GmbH, Bonn Teil 2: DNS und Active Directory HOTLINE Empfohlene Novell und Microsoft Patches Empfohlene BinTec Patches Empfohlene ARCserve Patches Neue Patches in der Übersicht: ARCserve Neue Patches in der Übersicht: Microsoft, Bintec Neue Patches in der Übersicht: Novell Citrix: Druckertreiber-Mappings bei Metaframe XP BinTec: X-Router Software v6.22, Teil 2: Neue Features und Änderungen Cisco: Pix Software Version 6.2.2 mit PPPOE Novell: Netware Consolidation Utility Novell: Trouble-Shooting Novell NDPS Printing Novell: Interessante Tips der Deutschen Netware FAQ 36 37 38 40 41 42 43 44 47 48 50 52 PRAXIS • BinTec: Teil 1: Internet Protocol Security • Do IT Dot NET, Teil 7: Das Business Desk des Commerce Server 2000 • Nortel Networks: Alteon ACEdirector Web Switch 54 58 60 SOLUTIONS • Training, Support und Projekte 13,35 VORSCHAU 10 • Messen, Roadshows, Termine Telefon: 02631/983-0 Telefax: 02631/983-199 Electronic Mail: TECHNEWS @ Bezugsquelle: Bezug über .NET Server • • • • • • • • • • • • Electronic GmbH, Ringstraße 56-58, 56564 Neuwied 2 63 Reproduktionen aller Art (Fotokopien, Mikrofilm, Erfassung durch Schrifterkennungsprogramme) - auch auszugsweise - nur mit schriftlicher Genehmigung des Herausgebers. Wir möchten uns nachträglich bei all denen bedanken, die durch die freundliche Zusammenarbeit das Erscheinen dieser Zeitung ermöglicht haben. Als Informationsquelle dient uns auch das Internet. Wenn Sie speziell über Ihre Erfahrungen referieren möchten, bieten wir Ihnen dies unter der Rubrik “Hotline” an. www.technik-news.de Selbstverständlich kann COMPU-SHACK die einwandfreie Funktion der vorgestellten Patches und Tips nicht garantieren und übernimmt keinerlei Haftung für eventuell entstehende Schäden. Novell: Inhalt der Service 276794.exe 132 KB CD CDCONONE133SP1.exe 35734 KB 299913.exe 936 KB JVM131SP1.exe116 49125 BM35ADM7.exf KB KB NC332SP1.exe 21379 KB DSAUDIT.exe 130 KB TSA5UP10.exe 1680 KB Inhalt der Patch CD NC483SP1.exe 4654 KBKB EDIR862SP2.exe 12811 ZD32SCAN.exe B6202P01.x3B 342 1333KB KB NW6SP2.exe 257035 KB EDIR862SP2.tgz 7831 KB ZS3SCH.exe 91 KB BM35ADM7.exe 118 KB W2KSP3.exe 128540 GW62AOT.exe 208 KBKB BM37VPN2.exe 4997 KB W2KSP3E.exe 127909 GWCSRGEN2.exe 279 KB KB Microsoft: BW621.exe 8761 KB NFAP1SP2.exe 1584 KB IE6SETUPE.exe 480 KB CS1SP4.exe 12634 NMASPT2.exe 181 KB IE6SETUPG.exe DHCP311D.exe480 183KB KB NW6_ISS.txt 76 KB XPSP1_DE_X86.exe NFAP1SP2.exe 1622 KB NWSC1.exe 10865 KB 135082 KB NW51SP5.exe 374429 KB PWDSCH.exe 94 KB PXY031.exf 758 KB SIMPLE862UP.tgz 1188 KB BinTec: XC533.xcm 1154 KB Ausgabe 10/2002 TRUSTEE.exe 101 KB B6202.x8a 1630 KB XCONSS9F.exf 156 KB B B KB KB 9 KB B COMPU-SHACK TRAINING Frischer Wind im Web Compu-Shack Training mit eigenem Internet-Portal Von Michael Olbermann Wer sich auf den Compu-Shack Portalseiten umschaut, wird überrascht sein, welch vielfältiges Angebot sich ihm dort präsentiert. Auch der Web-Auftritt der Compu-Shack Training hat ein völlig neues Gesicht bekommen. Übersichtlicher und für Besucher noch informativer wurde der Web-Auftritt den individuellen Schulungsbedürfnissen rund um das Thema Netzwerktrainings angepaßt und erscheint nun im Look and Feel des Compu-Shack Fachhandelsportals. Warenkorb ist übersichtlich gestaltet, intuitiv und einfach auszufüllen. Er erlaubt jetzt auch, mehrere Teilnehmer gleichzeitig oder unabhängig auf verschiedene Trainingstermine anzumelden. Eine getätigte Buchung oder Anmeldung wird direkt an das Beraterteam der Compu-Shack Training geleitet und dort umgehend bearbeitet. Die Eingangsbestätigung und alle notwendigen Informationen kommen postwendend zurück. Wer unmittelbar Fragen zu einem Training hat, bekommt über den allgegenwärtigen Button “Call Me” schnelle und unkomplizierte Hilfe. Und das alles als Service, ohne jegliche zusätzlichen Gebühren. Specials und Highlights Unter der Vielfalt der Kurse und Zertifizierungsangebote gibt es immer wieder Specials und Preisaktionen wie die bekannten Sommer-Trainings-Camps oder die Twins-Angebote, bei denen ein Kollege als begleitender zweiter Teilnehmer zum halben Preis dabei ist. Auf dem Trainingsportal sind all diese Specials wie auch die preiswerten Komplett- oder Einzelangebote unter “Trainings Highlights” leicht zu erreichen. Der Button “mehr Info” leitet Interessierte sofort zu dem nächstmöglichen Kurstermin weiter und zeigt die genauen Inhalte des gewünschten Trainings in der Übersicht. A Auf dem Trainingsportal von Compu-Shack erhält der Besucher einen raschen Überblick über topaktuelle Seminare in den Trainings-Centern Neuwied, München und Potsdam. Hier finden Sie alle Termine und Preise zu den jeweiligen Schulungen in einer direkten Übersicht, sowie eine Fülle von zusätzlichen Kurs- und Zertifizierungsinformationen. Im Bereich Medienübersicht stehen Interessenten kursbegleitende Informationen, der Trainingskalender und die Trainingsbroschüre als PDF zum Download bereit. Und auch die Compu-Shack eigenen Zeitschriften und Broschüren zu Technologien und Trends sind online vorhanden. Sie können hier weiterhin kostenlose CDs abrufen oder per Post bestellen. Frühbucher-Rabatt Wer sich früh genug entscheiden kann und online bucht, spart Zeit und Geld. Denn rechtzeitiges Planen wird bei fast allen Terminen durch einen Frühbucher-Rabatt belohnt. Und wer sich bislang durch den ZertifizierungsDschungel hat kämpfen müssen, wird im Menü “Zertifizierung” schnelle Orientierung und verläßliche Hilfestellungen finden, wie und was in welcher Reihenfolge zu tun ist, um zur gewünschten Qualifikation zu gelangen. Mit dem Compu-Shack Trainingsportal ist eine umfassende Informationsplattform rund um Trainings im Network Channel entstanden. www.training.compu-shack.com. Online-Buchung Auf den ersten Blick wird deutlich, wie viele freie Plätze ein bestimmtes Seminar noch hat, und welche Schulung belegt ist. Alle Angaben sowie die Seminarinformationen und Inhalte werden dynamisch in Echtzeit dargestellt. Wer online buchen möchte, findet neben jeder Seminarbeschreibung den direkten Link dazu. Entweder als “One Click Order” zum direkten Buchen oder aber als Möglichkeit, die Seminare, Workshops oder Trainings mit Hilfe des Warenkorbes individuell zusammenzustellen. Der 10 Ausgabe 10/2002 3 AKTUELL B B KB B KB a AKTUELL n NEWS COMPUTER ASSOCIATES AVAYA Linux-Management Telefonie im Switch-Format Lösungen für Mainframes Media-Server/Media-Gateway S8300/G700 CA wird Ende Oktober auf der LinuxWorld ihre neuen Managementlösungen für die Verwaltung von Linux-Anwendungen in dezentralen und Mainframe-Umgebungen vorstellen. Mittlerweile hat CA über 50 Linux-Lösungen für Mainframe-Umgebungen im Portfolio. NEWS D Der Bedarf an Linux-Managementlösungen wächst stetig. Für Mainframe bietet CA neueVersionen von Unicenter Software Delivery und Unicenter Asset Management. Betaversionen von Unicenter ServicePlus Service Desk und BrightStor Enterprise Backup sind jetzt ebenfalls verfügbar. Für verteilte Linux-Umgebungen bringt CA eine neue Version von eTrust Admin sowie eine Reihe von BrightStor-Optionen und -Agenten auf den Markt. Mit diesen neuen Lösungen können Kunden Linux-Anwendungen in heterogenen Infrastrukturen verwalten, sichern, erhalten und integrieren. CA arbeitete eng mit Linux-Anbietern zusammen, um die Kompatibilität ihrer Lösungen mit gängigen Distributionen zu gewährleisten, darunter Caldera, Red Hat, SuSE und TurboLinux. Außerdem kooperiert CA mit der neuen UnitedLinux-Initiative, um in den neuen Versionen durchgängige Konformität sicherzustellen. Informationen zu den LinuxManagementlösungen unter http://www3.ca.com/Solu tions/SubSolution.asp? ID=3279. Im kompakten 19-Zoll-Format des neuen AVAYA Media-Server/Media-Gateway S8300/G700 verbirgt sich ein technologischer Wolf im Schafspelz mit umfangreichen Applikationen. Der S8300/G700 läßt die Verschmelzung von Daten und Sprache in kleinen und mittleren Unternehmensnetzwerken Wirklichkeit werden. M Mit einem modularen Media-Server/ Media-Gateway, dem S8300/G700, bietet AVAYA ein zukunftsweisendes Telefonie-System für traditionelle Infrastrukturen wie auch für IP-Netzwerke. Das Produkt im kompakten Format stammt aus der innovativen MultiVantage-Produktfamilie. Als Kommunikationssystem für kleine und mittlere Unternehmen vereint es die Anforderungen modernster Telefonie und Routerbzw. SwitchTechnologie in einer Plattform. Einfache Implementierung und Handhabung, ein modulares Systemkonzept, Zuverlässigkeit sowie umfangreiche Applikationen für Telefonie, LAN und WAN machen den S8300/G700 zu einer ausgereiften Systemlösung. Dadurch lassen sich einfache StackKonfigurationen mit der P330-Produktfamilie von AVAYA implementieren, ohne besondere Verbindungen herstellen oder gar Performance-Einbußen erleiden zu müssen. Vom Gateway zum Server Das S8300-Server-Modul macht aus dem G700 Media-Gateway einen leistungsfähigen Media-Server, der vielfältige Konfigurationen möglich macht, beispielsweise die Verknüpfung von Zweigstellen mit der Zentrale eines Unternehmens in einem Master-Slave-Systemkonzept und dabei die Beibehaltung entsprechender Fall-Back-Szenarien erlaubt. Das Systemkonzept des S8300/G700 vereinigt die Funktion eines kompletten Layer-2-Switches mit einem integrierten leistungsstarken VoIP-Prozessor. Optional kann das System mit AVAYA P330 LAN/WAN-Router-Mo- dulen und verschiedenen MediaModulen ausgestattet werden, die eine Verbindung zum PSTN über genormte Up-Link-Schnittstellen oder zu einem übergeordneten VoIP-Server herstellen. Das S8300-Server-Modul enthält neben Routing-Funktionalitäten und Komponenten zur Herstellung von Sprachsignalisierung die AVAYA-MultiVantage-ApplikationsSoftware. Optional sind umfangreiche Message- Applikationen für Sprache, E-Mail oder Fax. Das modulare System ermöglicht durch den Einsatz einfacher Schnittstellenmodule neben traditionellen Telefonie-Endgeräten ebenso IP-Endgeräte Seite an Seite zu betreiben und diesen ohne Einschränkung alle Applikationen der umfangreichen MutiVantage-Familie zur Verfügung zu stellen. 10 Ausgabe 10/2002 4 CHECK POINT Sicherheit für IPv6 VPN-1/FireWall-1 Software erweitert Check Point Software Technologies realisiert als einer der ersten Hersteller den Schutz der neuen Internet-Standards und -Anwendungen in ihrer VPN-1/FireWall-1Software. Das im Bereich Internetsicherheit international führende Unternehmen präsentiert eine Reihe technologischer Weiterentwicklungen in seinem seit September verfügbaren Feature Pack 3. C Check Point bietet Unterstützung für die nächste Generation der InternetApplikationen und -Standards, wie etwa das Internet Protokoll in der Version 6 (IPv6), Peer-to-Peer-Computing, Instant Messaging und Microsoft Printer and File Sharing Services (CIFS). Auf Basis der patentierten Stateful Inspection Technologie ermöglicht Check Point umfassenden Schutz für sicherheitsrelevante Anwendungsbereiche und hat dazu eine Reihe zukünftiger Schlüsseltechnologien in ihre Lösungen integriert. läre Instant Messaging-Anwendungen. VPN-1 / FireWall-1 verfügt über detaillierte Informationen zu einzelnen Anwendungen und sorgt in Verbindung mit Analysen des Traffic und Zugangskontrollen an der Firewall für einen nahtlosen Schutz und ein verbessertes Management der Netzwerkressourcen. Internet Protocol Version 6 IPv6 ist die nächste Entwicklungsstufe des heute allgemein verwendeten Internet-Protokolls. Es bietet eine Lösung für das Problem der zunehmend knapper werdenden Adressen, die von IPv4 bereitgestellt werden. Für Unternehmen hat IPv6 daher besondere Bedeutung, denn immer mehr Devices müssen mit dem Internet verbunden werden, um auch zukünftig eine reibungslose Kommunikation gewährleisten zu können. Peer-to-Peer Zugangskontrolle Bislang hatten Unternehmen keine Möglichkeit, den von Peer-to-PeerApplikationen verursachten Traffic an der Firewall zu identifizieren und zu kontrollieren. Check Points patentierte Stateful Inspection Technologie erkennt und kontrolliert HTTPbasierte Applikationen sowie popu- Common Internet File System Die Microsoft File Sharing und Printer Services, bekannt als Common Internet File System (CIFS), ermöglichen Anwendern den Zugriff auf File- und Print-Server im Netzwerk. Administratoren stehen dabei vor der Aufgabe, die Zugangsrechte der Anwender zu überwachen und zu verwalten, um gemeinsam verwendete Server vor Angriffen oder Mißbrauch zu schützen. Die CIFS Unterstützung durch Check Point gibt ihnen alle Werkzeuge für eine detaillierte Kontrolle der Netzwerkressourcen und Zugangsrechte jedes einzelnen Anwenders. VPN-1 / FireWall-1 Als mehrfach ausgezeichnete Lösung für eine umfassende Sicherheit in 10 Ausgabe 10/2002 5 Unternehmensnetzen vereint VPN-1 / FireWall-1 alle VPN-Komponenten für Zugangs- und Inhaltskontrolle, für Authentifizierung, Verschlüsselung und Network Address, mit Auditing und Verbindungskontrolle. Die offene OPSEC-Architektur ermöglicht anderen Herstellern die nahtlose Integration in die FirewallUmgebung, z.B. von Content Security-Lösungen. VPN-1 / FireWall-1 bietet als führende Firewall-Lösung mit zentralisiertem Management eine zuverlässige Grundlage für komplexe Sicherheitslösungen im Netzwerk. Mit Check Point können Unternehmen eine einzige, umfassende Security-Policy erstellen und implementieren, die alle Netzwerk-Ressourcen schützt. Weltweit führend Check Point Software Technologies ist das weltweit führende Unternehmen im Bereich Internetsicherheit. Die von Check Point entwickelte Secure Virtual Network (SVN)-Architektur bildet die Basis für vertrauliche und zuverlässige Kommunikation im Internet. SVN-Lösungen, wie sie von der Check Point Next Generation Produktfamilie geboten werden, gewährleisten sichere Businessto-Business-Verbindungen (B2B) in Intranets, Extranets und dem Internet sowie zwischen Netzen, Systemen, Applika tionen und Anw endern. Check Points Open Platform for Security (OPSEC)-Allianz garantiert zudem die nahtlose Integration und Kompatibilität der Check Point-Lösungen mit Produkten von mehr als 300 namhaften Industriepartnern. n NEWS CISCO Storage Networks Intelligente Dienste für Speichernetzwerke Cisco Systems kündigt mit MDS 9000 eine neue Multilayer Datacenter Switch-Familie für Storage-Netzwerke an. Die Intelligent Storage Switches ermöglichen eine Konsolidierung von Speichernetzwerken, erhöhen die Datenverfügbarkeit und machen die Verwaltung im Storage Area Networking effizienter. M Mit der Übernahme des Unternehmens Andiamo steigt Cisco Systems in den wachsenden SAN-Switching-Markt ein. Die neue Cisco MDS9000-Familie wurde von Andiamo entwickelt. Sie besteht aus der MDS 9500erMultilayer-Directors-Serie und dem Cisco MDS 9216 Multilayer Fabric Switch. Die Produkte haben folgende Multilayer-Intelligenz für Fibre Channel, iSCSI (Internet Small Computer Systems Interface) und Fibre Channel over IP. NEWS Intelligente Dienste Mit Traffic Management und integrierten Analysemöglichkeiten führt Cisco im Storage Networking eine Skalierbarkeit und Ausfallsicherheit ein, die dem IP Networking gleichwertig ist. Intelligente Speicherdienste schaffen eine offene Plattform für das Hosting von Fremdanwendungen wie Netzwerkbasierende Virtualisierungen, bei einer hohen Portdichte für das SAN mit bis zu 256 Ports pro Gerät. Das Unified Storage Management umfaßt das Fabric Management und bietet eine offene APISchnittstelle zur Integration führender SAN- und LAN-ManagementPlattformen. Virtual SANs Die modulare Cisco MDS-9500Multilayer-Director-Serie ist in 6-, 9und 13-Slot-Versionen verfügbar. Dies gilt jeweils auch für die Model- SAN-Strukturen le 9506, 9509 und 9513. Der Cisco MDS 9216 ist der erste modulare Fabric Switch mit einem festen Steckplatz und 16 Ports bei 1 Gbit/s oder 2 Gbit/s via Fibre-Channel-Übertragung. Er hat einen weiteren Steckplatz für zusätzliche Ports. Bei den MDS-9000-Modulen handelt es sich um Fibre-Channel-Module mit 16 beziehungsweise 32 Ports bei 1 Gbit/soder 2 Gbit/s-Übertragungen und ein IP-Storage-Modul mit acht Ports, das die Kombination der Protokolle iSCSI und FCIP unterstützt. Mit einer internen Systembandbreite von 1,44 Terabit/s bietet die Cisco MDS-9000-Familie sowohl bei Director als auch bei Fabric Storage Networking Switches eine hohe Leistung und SAN-Skalierbarkeit. Sie unterstützt bis zu 256 Ports pro Switch und bis zu 768 Ports pro Rack. Die 9000er-Familie unterstützt Virtual SANs (VSAN), die für isolierte Umgebungen mit eigenen Diensten in einer einzigen physischen Fabric sorgen, um ausfallsichere und skalierbare Storage-Netzwerke zu konsolidieren. Die MDS-9000-Familie bietet eine einheitliche Architektur und ist auf eine kontinuierliche Entwicklung mit Upgrades ausgelegt. Sie verfügt über Fibre-Channel-Sicherheits-Eigenschaften wie Hardware Enforced Zoning und LUN Masking. Darüber hinaus unterstützt sie RADIUS Server Authentication, SNMPv3, Role Based Access Control und Access Control Lists, Secure Shell, Secure File Transfer Protocol und VSANs. Jeder Switch der Cisco MDS-9000-Familie ist mit einem Cisco Fabric Manager ausgestattet. Dieses zentrale, auf Java basierende Tool unterstützt in der gesamten Fabric die Switch-Level-Management-Eigenschaften wie Topology Discovery, Fabric-Konfiguration, Verifizierung, Monitoring und Fehlerbehebung. Es beinhaltet eine dem Cisco IOS ähnliche Common Language Infrastructure und eine offene Schnittstelle, damit Kunden eine einheitliche Managementinfrastruktur aufbauen können. Verfügbarkeit Der MDS 9509 Multilayer Director, der MDS 9216 Multilayer Fabric Switch und die Fibre-Channel-Switching-Module mit 16 und 32 Ports sind voraussichtlich im vierten Quartal 2002 erhältlich. Der MDS 9506, der Cisco MDS 9513 und das Cisco MDS-9000-IP-Storage-Modul mit acht Ports sollen im ersten Halbjahr 2003 verfügbar sein. 10 Ausgabe 10/2002 6 CISCO CISCO Security-Services-Module Für höhere Performance Sicherheit für Catalyst 6500er Serie Cisco Systems stellt vier neue Module für die Catalyst 6500er Serie vor, um lokale, Metropolitan oder Wide Area Networks mit einer Ende-zu-EndeSicherheitslösung auszustatten. Die Module erweitern die eingesetzten IPDienste wie Voice over IP, WLAN-Integration, Quality of Service und Content Switching um Sicherheitsfunktionen im Etagenbereich, am Zugang zum WAN wie auch im Backbone. C Cisco Systems baut die Sicherheitslösungen für die Catalyst 6500er Serie in allen Netzabschnitten aus. Dafür sorgen neue Sicherheitsmodule mit hoher Performance. Das Catalyst 6500 Firewall Services Modul beispielsweise liefert einen Durchsatz von 5 Gbit/s mit bis zu 100.000 Verbindungen pro Sekunde und bietet Stateful-Inspection-Funktionalität bis Layer-7. In ein 6500er Chassis können bis zu vier Module eingebaut werden, so daß der maximale Durchsatz 20 Gbit/s bei 400.000Verbindungen pro Sekunde liegt. IPSec und SSL Das Catalyst 6500 IPSec VPN Service Modul liefert 3DES mit bis zu 1.9 Gbit/s bei 8.000 simultanen Tunneln. Damit steht eine hohe Verschlüsselung für die sichere IPSec-basierte An- bindung von Außenstellen, mobilen Mitarbeitern oder Abteilungsnetzen zur Verfügung. Daneben ermöglicht ein neues SSL Services Modul eine SSLVerschlüsselung mit 300 Mbit/ s bei bis zu 2.500 Verbindungen pro Sekunde. Web-basierende Anwendungen sowie ECommerce-Webseiten werden damit sicher verarbeitet. Die neuen Network Analysis Module NAM-1 und NAM-2 mit einer Kapazität von 1 Gbit/s bieten dazu für die Cisco Catalysts 6500 ein integriertes Traffic Monitoring, mit dem Applikationen, Hosts und Services wie VoIP und QoS transparent dargestellt werden. Ressourcen lassen sich besser nutzen, Anomalien früher erkennen und Netzwerkstörungen effektiver isolieren. Security-Module Die neuen Module basieren auf der Technologie der PIX Firewall und der VPN-Produkte von Cisco. Sie können in vorhandene 6500er Switches eingebaut werden. Jeder Switch der 6500er Serie mit den neuen Modulen kann nahtlos in eine vorhandene SAFE-Lösung integriert werden. SAFE ist eine Sammlung von Richtlinien zur Integration von Sicherheitslösungen innerhalb von Netzwerkinfrastrukturen. Alle Security-Module sind ab sofort in Deutschland erhältlich und mit Routern der Cisco 7600er Serie kompatibel. 10 Ausgabe 10/2002 7 1721 Modular Access Router Mit dem 1721 Modular Access Router erweitert Cisco ihr Produktportfolio für kleine und mittelständische Unternehmen sowie für Zweigniederlassungen. Der 1721 ist eine optimierte Version des Cisco 1720 Router, mit 40 Prozent höherer Performance, erweiterten Funktionen und größerer Speicherkapazität zum gleichen Preis. A Ausgestattet mit einem 10/100 Fast Ethernet Port und zwei Slots für WAN Interface-Cards (WICs) unterstützt der Cisco Modular Access Router 1721 den IEEE 802.1Q VLAN RoutingStandard (Virtual Local Area Network). Unternehmen können damit Verbindungen zwischen unterschiedlichen VLANs in einem internen Netzwerk realisieren. Als IOS-Router stellt der 1721 Sicherheitsmerkmale wie hardwarebasierte VPN-Verschlüsselung, Stateful Inspection Firewall und ein Intrusion Detection System (IDS) zur Verfügung. Die austauschbaren WAN-Karten ermöglichen eine einfache Erweiterung bei Änderung oder Technolo gie-Updates. Es stehen WIC-Karten für DSL-, SERIAL- und ISDN-Technologien zur Anbindung an das WAN zur Verfügung. Darüber hinaus läßt sich der neue Cisco Router in die NetzwerkmanagementLösung CiscoWorks integrieren sowie per Fernwartung verwalten, konfigurieren und überwachen. Er kann ab sofort bestellt werden. n NEWS COMPU-SHACKPRODUCTION In- und Outdoor WAVEline Antennenserie Mit der WAVEline Produktfamilie hat die Compu-Shack Production eine perfekt abgestimmte Produktlösung für den Aufbau von Wi-Fi-konformen IEEE 802.11b Wireless-Netzwerken entwickelt. Bei der Konzeption der ETSI-konformen Produkt für das 2,4 GHz ISM-Band. stand neben einfacher Installation, Interoperabilität und Qualität der verwendeten Komponenten ein abgestimmtes Antennenprogramm im Vordergrund. D Durch den Einsatz der WAVEline Antennentechnik werden Reichweite und Ausfallsicherheit einer WLANFunkstrecke erheblich gesteigert. Bei Einsatz von WAVEline Planar-Antennen wird eine Verfügbarkeit von etwa 99,7 Prozent angestrebt. Access Point und Teilnehmeradapter sollten deshalb mit besonders geeigneten Antenne betrieben werden. Die CompuShack Production bietet deshalb eine Auswahl an speziellen Antennen für den 2,4 GHz-Bereich an, dazu hochwer tiges Antennenkabel und verschiedene Antennenkonnektoren mit N- und SMA-Stecker. WAVEline Pico 8,5-70 Mit der WAVEline Pico 8,5-70 bietet die Compu-Shack Production eine hochwertige 8,5 dBi Antennenlösung die nicht nur für den Indoor-Bereich, sondern aufgrund ihrer Wetterfestigkeit auch bestens für den OutdoorBetrieb geeignet ist. Selbst unter Starkregen gewährleistet diese Antenne noch eine hohe Verfügbarkeit. Sie eignet sich für die gebäudeübergreifende Kommunikation, die Ausleuchtung größerer Hallen, kleinerer Plätze oder zum Aufbau von Hot Spots. NEWS WAVEline Panel 14-30 Die WAVEline Panel 14-30 besitzt eine exzellente Richtfunkcharakteristik und ist daher zum Aufbau von hochverfügbaren Interbuilding-Links geeignet. Sie zeichnet sich durch eine sehr gute Wetterfestigkeit aus und bietet auch bei schlechten Wetterbedingungen eine hohe Ausfallsi- cherheit. Die WAVEline Panel 14-30 erreicht bei einen Öffnungswinkel von 30° einen Antennengewinn von 14 dBi. Durch ihre ausgezeichnete Richtwirkung wird eine gegen Störeinflüsse unempfindliche Verbindung erreicht, während benachbarte Antennen nicht in der Leistung beeinflußt werden. WAVEline Omni 2,2-80 Die WAVEline Omni Antenne 2,2-80 ist die ideale Ergänzung für mobile Notebooks und bietet eine erhebliche Verbesserung der Sende-/ Empfangsleistung. Der Float-Mount Stecker ermöglicht einen direkten Anschluß an den WAVEline PCMCIA-Adapter oder an den praktischen WAVEline MiniUSB Adapter. Durch den Klettverschluß mit Klebehalterung läßt sich die Antenne einfach am Notebook anbringen und nach der Nutzung wieder entfernen. WAVEline Patch 6-80 Die WAVEline Patch-Antenne verfügt über einen Antennengewinn von 6 dBi, wodurch sich in Vorzugsrichtung eine theoretische Reichweitensteigerung von bis zu 100 Prozent ergibt. Sie ist mit einem aufklappbaren Standfuß versehen, der auch in abgewinkelter Form zur Wandmontage genutzt werden kann. Die WAVEline Patch-Antenne 6-80 ist als FloatMount Stecker und Reverse SMA Version erhältlich. Wireless LAN Fibel Mit ihrer produktbegleitenden Broschüre ”Was ist eigentlich ein Wireless LAN” hilft die Compu-Shack Production den Anwendern ihrer WAVEline Produkte beim Einstieg in die Technologien von Funknetzwerken. Die kleine Wireless LAN Fibel mit Glossar berät bei der drahtlosen Vernetzung von PCs und Notebooks und erklärt den Aufbau von Funknetzwerken. Sie kann kostenlos bestellt werden, per EMail an: [email protected] 10 Ausgabe 10/2002 8 KOBIL SYSTEMS KOBIL Smart Key Vielseitige PKI-Lösung für Authentifizierung und Datensicherheit Mit KOBIL Smart Key bietet die Wormser KOBIL Systems GmbH eine Smart Card- basierte PKI-Lösung an, die hohe Sicherheit bei der digitalen Kommunikation und Vielseitigkeit bei der Anwendung ideal vereint. Die nach “IT-SEC E4/hoch” evaluierten Chipkarten und Smart Card Terminals erlauben eine hochsichere Authentifizierung und Verschlüsselung von Dateien und E-Mails sowie Digitale Signatur. te Key bei KOBIL Smart Key auf einer nach “IT-SEC E4/hoch” evaluierten TCOS 2.0-Cipkarte gespeichert. PIN-Schutz Das KOBIL Smart Key Bundle aus Chipkarte, Smart Card Terminal und Software ermöglicht nicht nur die hochsichere Authentifizierung in VPNs und Citrix Metaframe-Umgebungen, sondern auch unter Windows 2000, XP und bei Webservern. Zusätzlich können mit KOBIL Smart Key auch Dateien oder E-Mails verschlüsselt und mit einer digitalen Signatur versehen werden. PKI Infrastrukturen Das Produkt-Bundle wird im Rahmen von Public Key Infrastrukturen (PKI) eingesetzt, deren Sicherheit auf Zertifikaten, den digitalen IDs, beruht. Der Server und alle Benutzer erhalten ein Zertifikat. Passend dazu bekommt jeder User außerdem einen geheimen Private Key, der als virtueller Ausweis dient. Damit der geheime Schlüssel tatsächlich auch nur vom jeweils autorisierten Nutzer eingesetzt werden kann, wird der Priva- Zusätzliche Sicherheit bringt ein PIN-Schutz für die Chipkarte. Als Lesegeräte können alle Smart Card-Terminals von KOBIL Systems eingesetzt werden, darunter auch ein USB Token oder ein kabelloser PCMCIA-B1-Leser für den mobilen Einsatz am Notebook. Sämtliche Verschlüsse-lungs- und Signierprozesse finden ausschließlich auf der Karte und nicht im Computer oder im Notebook statt. Damit nutzt KOBIL Smart Key das Prinzip der sogenannten Zwei-Faktor-Authentifizierung, die bei jedem Zugriff den Besitz der Karte voraussetzt sowie das Wissen der PIN. Selbst der Verlust der Smartcard ist damit allein noch kein Sicherheitsrisiko. Authentifizierung KOBIL Smart Key ist eine kosteneffiziente Lösung für die starke Authentifikation in verschiedensten Netzwerkumgebungen. So kann die PKI-Lösung über die CSP- und PKCS#11-Module zertifikatsbasiert in alle gängigen VPN-Lösungen integriert werden, darunter auch Windows 2000/XP. In Verbindung mit den kabellosen Chipkartenterminals eignet sich KOBIL Smart Key besonders für die zweifelsfreie Identifikation von Außendienstmitarbeitern, die sich von unterwegs aus in das Firmennetz einwählen. 10 Ausgabe 10/2002 9 Zugangsschutz Auch unter Citrix Metaframe XP FR2Umgebungen bietet die PKI-Lösung des Wormser Herstellers einen sicheren Zugangsschutz, damit nur berechtigte Nutzer die Programme remote starten können. Ein derart gesicherter Zugang ist auch bei der Webserver-Authentifizierung (SSL) gegeben. Unter KOBIL Smart Key muß sich nicht nur der Webserver beim Client eindeutig identifizieren, sondern auch der Client gegenüber dem Server. Auf diese Weise wird nicht nur höchste Sicherheit innerhalb von Intranets erreicht. Auch Firmenkunden erhalten einen hochsicheren Zugriff auf Unternehmensdaten in einem Extranet. Beim Windows-Logon wird die Sicherheit ebenfalls deutlich erhöht, weil der Benutzer für den Zugriff anstatt des statischen Paßworts sowohl die PIN als auch die Smartcard benötigt. Digitale Signatur Zu den weiteren Sicherheits-Features von KOBIL Smart Key gehört die Möglichkeit, vertrauliche und verbindiche Dokumente und Dateien mit einer digitalen Signatur zu versehen. Zugleich können Dateien auch verschlüsselt werden, die selbst beim Diebstahl eines Notebooks für unbefugte Dritte unzugänglich bleiben. Auch E-Mails, die mit Outlook, Outlook Express oder Netscape Messenger verschickt und empfangen werden, lassen sich verschlüsseln und signieren. n NEWS SONICWALL VPN- und Firewall-Appliance TELE3 Smart Path und TELE3 TZ Mit TELE3 Smart Path verfügt SonicWALL über die erste am Markt erhältliche VPN- und Firewall-Appliance, die eine integrierte automatische Failover- und Fail-back-Funktionalität besitzt. Daneben erweitert SonicWALL mit dem Modell TELE3 Trusted Zone ihr Angebot an Internet Security Appliances um eine Lösung mit VPN- und Firewall Funktionalität für Telearbeitsplätze, die via Internet auf Firmen-Ressourcen zugreifen. S SonicWALL´s neue TELE3 TZ (Trusted Zone) bietet Schutz für den privaten Internet-Traffic. Um zu verhindern, daß durch Online-Verbindungen zum Firmennetzwerk und durch das gleichzeitige private Surfen im Web Sicherheitsrisiken entstehen, stellt das betriebssystem-unabhängige Gerät zwei physikalisch und logisch getrennte Zonen zur Verfügung. NEWS WorkPort - HomePort Während über den WorkPort via VPN-Tunnel der sichere Zugang ins Firmennetzwerk erfolgt, bietet der HomePort optimalen Schutz für die Nutzung des Internets. Ein Zugriff von der einen auf die andere Zone ist dabei völlig ausgeschlossen. Beide Zonen bieten Firewall-Funktionalität mit Stateful Packet Inspection, VirenScanner, Content Filtering und Attachment Blocking. Die WorkZone verfügt über VPN-Funktionalität mit TripleDES und IPSec. Als zusätzliche Sicherung dient die so genannte User Level Authentication (ULA), mit der sich jeder Benutzer im Firmennetzwerk identifizieren und einloggen muß. Um genügend Bandbreite zu sichern, bietet die TELE3 TZ Bandwith PriorizationFunktion nach Bedarf. TELE3 Smart Path Das kompakte, gerade einmal postkartengroße Gerät der TELE3 SP hingegen baut mit Hilfe eines inter- VPN- und Firewall nen Modems selbständig eine Ausweichverbindung auf, falls eine bestehende Standleitungen gestört ist. Sobald diese wieder verfügbar ist, schaltet das System automatisch darauf zurück. Über diese intelligente Alternativverbindung gewährleistet die TELE3 SP, daß Außenstellen einen kontinuierlichen, via VPN-Tunnel gesicherten Zugang zum Firmennetzwerk haben. Das Gerät empfiehlt sich insbesondere als Sicherheitslösung für Filialen bei Banken und Versicherungen, bei Verkaufsstellen von Firmen, aber auch für Verkaufsautomaten, die auf einen ständigen Zugriff auf Daten der Zentrale angewiesen sind. Als optionale Sicherheits-Features sind Viren-Scanner, Internet Content Filtering und Authentication Service nachrüstbar. Beide TELE3 Appliances bieten standar dmäßig VPNFunktionalität mit Triple DES-Verschlüsselung und IPSec-Unterstützung sowie Firewall-Funktionalität mit Stateful Packet Inspection. Darüber hinaus unterstützen die Geräte den Aufbau von bis zu zehn VPN-Tunneln gleichzeitig, Mit Hilfe von SonicWALL Global Management System (SGMS) lassen sich alle an Außenstellen installierten TELE3 Appliances von einer zentralen Management-Konsole aus komfortabel konfigurieren, administrieren und überwachen, ebenso wie alle anderen im Unternehmen eingesetzten Sonic WALL VPN-/ Firewall-Lösungen. RISC- und ASICProzessor Alle SonicWALL Firewall-Systeme und damit auch die TELE3 Modelle - arbeiten auf einer leistungsstarken Fast Ethernet-Plattform auf der Basis von 133 MHz Toshiba RISC-Prozessoren sowie mit einem zusätzlichen Security ASIC-Prozessor. Die Appliance verfügt über 16 MB Arbeitsspeicher und 4 MB Flash-Speicher. Die Einbindung in LAN und WAN erfolgt über je einen 10/100 Mbit/s EthernetPort, für die analoge Leitung steht ein V.90 Analog Modem Port zur Verfügung. Weitere F eatures aller SonicWALL Firewall-Systeme sind NAT, DHCP sowie PPPoE. 10 Ausgabe 10/2002 10 SONICWALL NOVELL Schneller Zugang zu sicheren Websites Administration der Mobilen SSL-RX Offloader für große Transaktionen Mit dem neuen Modell SSL-RX erweitert SonicWALL ihr SSL-Produktportfolio um eine High-End-Lösung für extrem große Transaktionsvolumina. Die Appliances, die Web-Server von sämtlichen rechenintensiven Verschlüsselungsaufgaben im SSL-Verkehr entlasten, ermöglichen den Nutzern einen schnellen Zugang zu sicheren Websites. D Die neuen SonicWALL SSL-RX Offloader können bis zu 4.400 Transaktionen pro Sekunde initialisieren und unterstützen dabei bis zu 30.000 parallele SSL-Sessions. Die Geräte bieten die Option zum Aufbau von Hochverfügbarkeits-Clustern, die einen unterbrechungsfreien Zugang zu SSL-gesicherten Daten gewährleisten. Der SSL-RX Offloader empfiehlt sich damit als SSL-Lösung für außerordentlich große Anwendungen in den Bereichen E-Commerce oder Online-Banking, aber auch für CRM, ERP- und andere Web-basierende unternehmenskritische Applikationen. Secure URL Rewrite Der SonicWALL SSL-RX Offloader unterstützt bis zu 4.400 RSA-Operationen pro Sekunde und bis zu 30.000 SSL-Sessions gleichzeitig. Das auf einem 600 MHz IBM 750 CXE-Prozessor basierende, mit 256 MB RAM ausgestattete Gerät verwaltet bis zu 4.095 Keys und Zertifikate direkt. Dadurch kann es völlig unabhängig von Web-Servern agieren und erspart den Anwendern aufwendige SSLKonfigurationen auf Web-Servern. Als einziger Offloader am Markt bietet der SSL-RX das so genannte Secure URL Rewrite, eine Lösung für das Problem, daß beim Offloading unter Umständen unverschlüsselt auf sensible Daten zugegriffen werden kann. Kostenträchtige Veränderungen von Anwendungen oder der Netzwerk-Konfiguration werden dadurch überflüssig. Darüber hinaus unterstützt das Gerät unter anderem Back-end-Verschlüsselung, SSL-Initiation oder SSL-Aggregation. Inline-Offloading Das für die Montage im 19-Zoll-Rack konzipierte Gerät, das nur eine Höheneinheit in Anspruch nimmt, verfügt über zwei 10/100 BaseTXPorts für die Anbindung an Server und Netzwerk. Als zusätzliches Feature bietet der SSL-RX Offloader die Möglichkeit zur Integration mit vorhandenen Layer 4 Load Balancern und Layer 5-7 Content Switches. Diese erlauben ein sogenanntes InlineOffloading, bei dem die Last der Switches auf mehrere SonicWALL SSLAppliances verteilt wird. Die Geräte, die vollständig ohne fehleranfällige bewegliche Teile auskommen, verfügen zusätzlich über redundante Stromversorgungen, die ein Höchstmaß an Verfügbarkeit gewährleisten. 10 Ausgabe 10/2002 11 ZENworks for Desktops 4 Novell hat ZENworks for Desktops in der Version 4 ausgeliefert. Die regelbasierte Desktopmanagement-Lösung automatisiert die wichtigen Aufgaben der Netzwerkadministration und sorgt für ein einfacheres Management von Usern, Desktops und mobilen Rechnern. D Durch den Verzicht auf den bisher obligatorischen Novell Client kann ZENworks for Desktops 4 sowohl über das Internet als auch in internen Netzwerken eingesetzt werden. Die neue Version arbeitet mit Windows, Linux, Solaris und NetWare zusammen. In reinen Windows-Umgebung integriert es sich in Microsoft Active Directory und NT Domänen. Der mitgelieferte Wise InstallTailor vereinfacht Software-Installationen durch automatisch erstellte Transformdateien für den Microsoft Installer. ZENworks for Desktops 4 umfaßt alle notwendigen Funktionen für den Betrieb in einer reinen WindowsUmgebung und arbeitet mit Microsoft Active Directory und NT Domänen zusammen. Regelbasiertes Management kann Routineaufgaben des Netzwerk-Managements automatisieren. Änderungen einer Regel werden sofort im gesamten Netzwerk wirksam.Anwender, Gruppen oder ganze Geschäftsbereiche lassen sich einheitlich managen, während die Administratoren gleichzeitig individuelle Arbeitsumgebungen für jeden einzelnen Mitarbeiter einrichten können. ZENworks for Desktops 4 ist im Novell Fachhandel erhältlich. n NEWS AVM HP Service-Portale mit Downloads Power im Backbone Neuer Bluetooth-Service online Procurve Routing Switch 9315m AVM baut mit neuen Portalen ihr Service-Angebot weiter aus und bietet auf einen Klick laufend aktuelle Neuigkeiten zu Produkten. Ab sofort sind für Kunden der Bluetooth-Produkte BlueFRITZ! Neuentwicklungen, Treiber und Informationen umfassend und übersichtlich auf einer eigenen Seite zusammengefaßt. 178 Millionen Datenpakete pro Sekunde liefert der neue HP Procur ve 9315m. Der für komplexe Netzwerkinfrastrukturen konzipierte modulare HP Procurve 9315m Switch verfügt über 15 freie Modulsteckplätze für bis zu 120 Gigabit-Ethernet-Anschlüsse oder aber bis zu 336 10/100-Base-TX-Anschlüsse mit Autosensing. D Der neue HP Procurve 9315m Switch kann wahlweise mit Gigabit- und 10/100-Ports bestückt werden, ab Oktober 2002 sogar mit 10-Gigabit-Ports. Neben IP, IPX und AppleTalk-Routing unterstützt er IP-Multicast-Routing über Internet Group Multicast Protocol (IGMP) und Distance Vector Multicast Routing Protocol (DVMRP) sowie Protocol-Independent Multicast (PIM). Auf der Basis von IP-Absender und -Adressat, Protokolltyp, PortNummer und MAC-Adresse bietet dieser HP Procurve optimierte Sicherheits-Features. NEWS A AVM stellt Ser vice-Portale für die Produkte BlueFRITZ! USB und BlueFRITZ! AP-X bereit, weitere Portale für ISDN- und DSL-Produkte werden folgen, beginnend mit FRITZ!Card PCI bzw. DSL. Sie bieten aktuelle Informationen zur Entwicklung, Praxistipps und einen umfassenden Downloadbereich. Die Seiten sind übersichtlich gestaltet und schnell ladbar. BlueFRITZ!-Anwender erhalten so schnell und einfach einen hohen Mehrwert. Erstmals bietet AVM auch die Möglichkeit, bei den innovativen Bluetooth-Produkten Beta-Downloads zu nutzen. So steht aktuell ein Bluetooth-Profil für die Kommunikation zwischen BlueFRITZ! USB und Mobiltelefonen mit Bluetooth-Schnittstelle bereit. Die neuen Portale sind direkt von der AVM Homepage aus zu erreichen oder dirket unter den Adressen www.avm.de/bluefritz-usb/service und www.avm.de/bluefritz-apx/service. Höchste Performance Der Aufbau von VLANs basiert auf Ports, Protokoll, einem Subnetz oder Tagging nach IEEE 802.1Q. Layer4Priorisierung und Port Trunking liefern die erforderliche Performance für geschäftskritische Applikationen. Redundante Stromversorgungen erhöhen die Verfügbarkeit zusätzlich. Neu ist der HP Procurve Gigabit-LH-LC MiniGBIC, ein Gigabit Interface Converter, der bei einer Wellenlänge von 1550 nm über Single-Mode-Glasfaserkabel Entfernungen bis zu 70 Kilometer überbrückt. Der neue Backbone-Switch wird zusammen mit einem kostenlosen Telefonsupport sowie kostenlosen Software-Updates ausgeliefert und zählt damit zu den High-end-Switches von HP mit dem besten Preis-Leistungs-Verhältnis. 10 Ausgabe 10/2002 12 BINTEC COMPU-SHACK SOLUTION Enterprise Router Baussteine Modulare Gerätevariante X8500-S3 Security-Solutions BinTec erweitert die High Performance Enterprise Routerfamilie X8500 um eine 3-Slot Version. Der neue modulare Router X8500-S3 verfügt über drei Steckplätze für Kommunikationsmodule, die im laufenden Betrieb ausgetauscht werden können. Mit einer Hardwarelizenz läßt sich das Gerät auf die 8-Slot Version aufrüsten. Die Compu-Shack Offensive im Bereich Network Security umfaßt neben einem ausgewählten Sicherheitsportfolio auch Dienstleistungen wie Consulting und Support. Das Dienstleistungsteam “Solution” versteht sich als Lösungspartner für alle Security-Anforderungen, die für ganzheitliche Sicherheitskonzepte notwendig sind, von der individuellen Planung, über deren Umsetzung bis zur Schulung des IT-Fachpersonals. D Die X8500 Routerfamilie für größere Unternehmen und Internet Service Provider bieten die Möglichkeit, von klassischen Dial-InVerbindungen auf die moderne VPN-Technologie zu migrieren. Optional erhältlich sind Erweiterungskarten mit Schnittstellen wie ISDN-S0, ISDN-S2M, G.703, X.21, V.35, V.36 und Fast Ethernet. Protokolle wie X.25, Frame Relay, PPP sowie Quality of Service oder H.323 Proxy werden ebenfalls unterstützt. Mit dem X8500-S3 bietet BinTec eine performante und ausbaufähige Routerlösung zu einem günstigen Einstiegspreis, die sich auf die 8-Slot Version X8500-S8 aufrüsten. läßt. Denn beide Varianten im 19-Zoll Gehäuse unterscheiden sich nur in der Anzahl der freigeschalteten Steckplätze für Kommunikationsmodule. Sie sind speziell für die Übertragung großer Datenmengen konzipiert und können als RemoteAccess Server, als CAPI-Applikations Server oder als leistungsfähiges VPN-Gateway genutzt werden. Durch IPSec und SAFERNET ist BinTecs neue High Performance Routerplattform mit einem umfassenden Sicherheitspaket ausgestattet. Optional erhältliche IPSec-Lizenzen mit DES-, 3DES-, CAST- und Blowfish-Verschlüsselung sowie die im Lieferumfang enthaltene SAFERNET-Technologie schützen vor unberechtigten Zugriffen auf sensible Unternehmensdaten. Security-Projekte Hohe Verfügbarkeit Für zusätzliche Erweiterungen stehen Steckplätze für verschiedene Resource-Karten mit Digitalmodems sowie für Datenverschlüsselungsund -kompressionskarten zur Verfügung. Die Systemkarte beider Geräteversionen ist austauschbar, so daß sich spätere Performance Upgrades problemlos durchführen lassen. Die X8500 Routerfamilie ist auf Hochverfügbarkeit ausgerichtet. Dies wird zum einen durch die redundante Stromversorgung über zwei Netzteile, zum anderen durch die hot-swap fähige Lüfterkassette gewährleistet. Darüber hinaus können auch die wichtigsten Kommunikationsmodule im laufenden Betrieb ausgetauscht werden. Des weiteren ist der Betrieb der beiden Netzteile im Load-SharingMode möglich. Die ständige Überwachung von Innentemperatur und Lüfterfunktion unterstützt die hohe Verfügbarkeit der Produkte.Die Enterprise Router der X8500 Familie lassen sich schnell und einfach warten, da alle Systemkomponenten bequem an der Frontseite zugänglich sind und sich somit ohne großen Aufwand austauschen lassen. 10 Ausgabe 10/2002 13 Die Planung von Security-Maßnahmen sowie die Bedarfsermittlung ist der erste Baustein innerhalb dieses Dienstleistungsportfolios. Das Projekt-Team berät Unternehmen in den existentiellen Fragen der Netzwerksicherheit, zeigt Strategien auf und unterstützt bei der Projektberatung, der Sicherheitsanalyse und der Entwicklung eines kompletten Securitykonzepts. Auf der Basis eines fundierten Regelwerks folgt das Projekt-Team den Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Security-Support Mit der Implementierung der Security-Produkte vor Ort kommt der zweite Baustein zum Tragen. Denn erst die professionelle Konfiguration und Installation von Firewalls und Sicherheitskomponenten macht das Netzwerk wirklichlich sicher. Nach der Vor-Ort-Installation bleibt das Spezialisten-Team weiterhin für den Kunden über die Support-Hotline erreichbar und betreut das Netzwerk weiterhin. Security-Training Spezielle Trainings und Workshops runden als dritten Baustein die Security-Services von CompuShack ab. In den hauseigenen Trainingszentren in Neuwied, München, Potsdam und Frankfurt können Security-Trainings namhafter Hersteller besucht werden, z.B zu Cisco, Novell, Microsoft oder Watchguard. Die Security-Bausteine können im Paket oder einzeln, abgerufen werden. Fragen klärt das Security-Solution Team unter 02631 / 983-499 oder auf E-Mail-Anfrage an [email protected]. Info unter www.portal.compu-shack.com. n NEWS ...Einstiegslösung für die Entwicklung und die verfügbaren APIs für den Einsatz mit Web Forms und NFuse Elite. Citrix bietet dazu vielfältige Content Delivery Agents. Diese CDAs sind individuell konfigurierbare Komponenten, die an bestehende Backend-Systeme angeschlossen werden. Sie liefern maßgeschneidertes Datenmaterial für die PortalOberfläche. Die derzeit verfügbaren CDAs bieten Funktionalitäten wie E-Mail, Terminkalender, Informationssuche, Teamkoordination, DokumentenManagement und Zugang zu Syndicated Content. Firewall, IDS und VPN:Die Cisco PIX 515-R mit der Restricted Software-Lizenz präsentiert sich als Einstiegslösung für Unternehmen, die eine hohe Sicherheit in Verbindung mit einer grundlegenden FirewallFunktionalität benötigen. Sie verfügt über ausreichend Reserven, um über 50.000 gleichzeitige Verbindungen und bis zu 170 Mbit/s Durchsatz zu ermöglichen. Sie überzeugt mit den intergrierten Alarmmechanismen und ihrer Intrusion-Detection-Funktion. Die Pix unterstützt den Aufbau von VPN-Tunneling-Verbindungen und den Remote-Zugriff für Teleworker, mittels VPN über das Internet. Zudem berichtet die Firewall ausgiebig über den aktuellen und zurückliegenden Traffic, protokolliert Angriffe und die Auslastung einzelner Ports. Besonders sicher sind die Stateful-Inspection-Routinen, bei gleichzeitig hohem Datendurchsatz. ...Clientlose VPNs SecureVPN-Technologie: Check Point Software Technologies hat ihre Secure VPN-Technologie erweitert und unterstützt jetzt “clientlose” VPN-Konnektivität auf Basis von Secure Socket Layer (SSL). Damit wird der sichere Datenzugriff auf Informationen und Applikationen im VPN flexiblerer. Verbindungen können damit auch über eine Vielzahl von mobilen Geräten und jeden normalen Web-Browser hergestellt werden. Darüber hinaus hat Check Point ihre SecureVPN-Lösungen auch in den Bereichen Client-Sicherheit, VPNMonitoring und VPN-Implementierung weiterentwikkelt. Die VPN-1/FireWall-1 Produktfamilie bietet ein umfassendes VPN-Lösungsspektrum für alle wichtigen Plattformen und Umgebungen. Ausgehend von der „Check Point Everywhere“-Strategie wurde die SecureVPN-Technologie so erweitert, daß die Anwender mit diversen Endgeräten und ohne spezielle ClientSoftware sicher auf Ressourcen im Unternehmensnetz zugreifen können. ...Im PCI-Slot 802.11b Wireless-Card:Netgear hat die Verfügbarkeit ihrer Wireless-PCI-Karte MA311 bekannt gegeben. Sie ermöglicht Einzel-PCs den schnellen und kabellosen Zugang zu Breitband-Kabel bzw. DSL-Netzwerken und zu Breitband-Internet-Zugängen mit bis zu 11 MBit/s. Im Vergleich zu PCI-Karten mit integrierter PCMCIA hat die MA311 dank der abnehmbaren und ausrichtbaren Antenne zusätzliche Vorteile, was die Reichweite der Wireless-Übertragung anbelangt. Mit 128-Bit-WEP-Verschlüsselung besteht ausreichende Sicherheit für die Netzwerk-Verbindung. Die MA311 arbeitet mit allen gängigen Betriebssystemen zusammen. Die Installation ist dank Plug and Play Funktionalität und der bewährten Netgear-Routinen auch für unerfahrene Anwender absolut problemlos. Die Wireless PCIKarte arbeitet mit allen gängigen Betriebssystemen zusammen. ...Einzelgenehmigung WLAN nach 802.11a im Testbetrieb: Cisco Systems hat das erste Wireless-LAN nach dem IEEEStandard 802.11a in Deutschland in Betrieb genommen. Gegenüber den bisher eingesetzten drahtlosen Netzen nach 802.11b mit 11 Mbit/s bietet der neue Standard eine Bandbreite von 54 Mbit/s. Eine Änderung des Modulationsverfahrens sowie der Betrieb im 5-GHzBand anstelle des 2,4-GHz-Bandes ermöglicht diese Erhöhung. Die Regulierungsbehörde für Post und Telekommunikation (RegTP) erteilte Cisco eine Einzelgenehmigung für den Betrieb eines 802.11a-Netzes im Bonner Labor des Unternehmens. Das Testnetz basiert auf den neuen Aironet 1200 Access Points von Cisco. Mit den Geräten können gleichzeitig drahtlose Netzwerke nach den untereinander nicht kompatiblen Standards 802.11b und 802.11a betrieben werden. Die Aironet 1200 Serie ermöglicht den Übergang zu den leistungsfähigeren Standards 802.11a und 802.11g. Der Standard 802.11a wartet in Europa noch auf die Zulas- NEWS ...Werkzeuge Entwicklung von Portal-Content:Citrix Systems hat das Software Development Kit (SDK) für Citrix NFuse Elite vorgestellt. Die Access Portal-Lösung gibt Anwendern einen sicheren Point-and-Click-Zugang zu ihren persönlichen Anwendungen und Informationen. Dazu ermöglicht das neue SDK den Web-Entwicklern, Microsoft Web Forms mit den neuesten Visual Studio .NET Werkzeugen zu erstellen, um den Portal-Zugriff auf maßgeschneiderte Geschäftsinhalte auszudehnen. SDK stellt Anwendungsprogrammierern ein umfassendes Set an Werkzeugen zur Verfügung, mit denen sich die Funktionalitäten von NFuse Elite weiterentwickeln lassen. Zu diesen Tools gehören Anleitungen Ticker 10 Ausgabe 10/2002 14 sung des European Telecommunications Standards Institute, weil die europäischen Anforderungen TX Power Control und Dynamic Frequency Selection nicht Bestandteil des Standards sind. Eine Entscheidung wird Ende des Jahres erwartet. ...Anbindung Mit zwei Fibre Ports: Cisco Systems erweitert das Portfolio der Catalyst 2950er Serie mit Standard Image Software. Ein neuer Catalyst mit zwei Fibre Ports, der 2950SX-24, verspricht eine kostengünstige GlasfaserAnbindung des Firmennetzwerks. Mit seinen beiden 1000BASE-SX Ports sorgt der Switch für Redundanz und hohe Verfügbarkeit von Daten-, Sprach- und Videodiensten am Netzwerkrand.Die Catalyst Switches der 2950er Serie sind für kleine und mittelständische Unternehmen sowie für die Etagenbereiche großer Unternehmen gedacht und bringen intelligente Dienste bis in den Anschlußbereich. Als Standalone-Switch mit Festkonfiguration, der auch über 24 10/100-Ports verfügt, ist der neue 2950er über die Cisco Cluster Management Suite einfach zu installieren. Die CMS-Software ist ein Web-Management-Tool zur Konfiguration und Fehlerbehebung von bis zu 16 Catalyst Switches unter Verwendung einer einzigen IP-Adresse Die Serie besteht aus Produkten mit Standard- und Enhanced Image-Software. ...Mit CAPI-Treibern Vor 0190-Dialern geschützt:Mit dem aktuell verfügbaren CAPI-Treibern in der Version 3.10.02 können sich nun auch Anwender von FRITZ!X USB v1.0 und v2.0 vor sogenannten 0190-Dialern schützen. Dazu benötigen sie die aktuelle Version des Tools AVM ISDN Watch v2.0. Es erfüllt mit dem Rufnummern-Filter ein wichtiges Anliegen vieler Kunden und bringt mehr Sicherheit und Kontrolle am PC. Mit der neuen Software lassen sich Anwahl und Rufannahme sowohl einzelner Rufnummern als auch ganzer Rufnummerngruppen verhindern. Denkbar sind hier beispielsweise Rufnummern ins Ausland, Ferngespräche und kostenpflichtige Service-Rufnummern. ISDN Watch v2.0 gibt es für die Betriebssysteme Windows XP, 2000, Me und Windows 98. Die Treiber für FRITZ!X USB stehen bei AVM zum Download bereit. ...Service Pack 2 Stabilität im Office: Das Service Pack 2 zu Office XP enthält alle aktuellen Updates in einem Paket. Es bringt Sicherheits-, Stabilitäts- und Leistungsverbesserungen. Einige im Service Pack enthaltenen Updates wurden bereits separat veröffentlicht. Zusätzlich ist eine Reihe von weiteren Updates enthalten, die die Verläßlichkeit und Leistungsfähigkeit der Office XPAnwendungen verbessern sollen. Anwender sollten SP2 jedoch nur installieren, wenn sie bereits das Service Pack 1 eingesetzt haben. Das Service Pack 2 für Office XP nebst Info steht bei Microsoft zum Download bereit, ebenso die Version des Service Packs 2 für Administratoren, auch in Deutsch und mit entsprechenden Informationen. Für Benutzer des Multilingual User Interfaces steht eine separate Version zur Verfügung. ...Preismodell Lizenz-Angebot nach Maß:Novell bietet ab sofort ein neues Preismodell speziell für Anwender von Internet-Services an. Es macht Online-Dienstleistungen erschwinglicher, indem sich die Preisgestaltung am Typ des Endanwenders orientiert. Das bisherige Lizenzmodell war auf Unternehmensmitarbeiter als Anwender zugeschnitten. Zusätzlich bietet Novell jetzt erheblich günstigere Lizenzpreise für externe Anwender an, die für die Bereiche „Business-to-Consumer“ und „Government-to-Citizen“ gültig sind. Standard bleibt nach wie vor die Anwenderlizenz für Mitarbeiter und IT-Hersteller. Die neue „Business-to-Consumer“ Anwenderlizenz kostet 25 Prozent des Preises der StandardAnwenderlizenz. Die „Government-to-Citizen“ Lizenz wird für zehn Prozent des Preises der Standard-Anwenderlizenz angeboten. Für alle drei Lizenz-Kategorien berechnet Novell den Preis auf Grundlage der Anzahl der Nutzer eines Software-Services, nicht nach der Anzahl der Rechner, die an das Netzwerk angeschlossen sind. Aktuell gilt das neue Preismodell für ZENworks OnDemand- und die Novell Portal-Services, für die Produkte DirXML, iChain und NetMail, für das Novell Account Management sowie iFolder. ...Zwei-Wege Für Server und Workstations: Auf ihrem Developer Forum in San Jose stellte Intel den Xeon Prozessor für Zwei-Wege-Server und -Workstations vor. Mit 2.8 und 2.6 GHz Taktfrequenz, verfügen sie über 512 KB Level Two Cache und sind mit der Intel 0.13-Mikron Prozesstechnologie hergestellt. Im WorkstationBereich erwiesen sich Dual-Prozessor-Systeme als besonders erfolgreich bei Applikationen zur Erstellung digitaler Inhalte, mechanischer und elektrischer Entwürfe, bei Finanzanalysen und der 3D-Modellierung. FrontEnd oder universell einsetzbare Internet Server finden Anwendung in den Bereichen Webhosting, Data Caching, Suchmaschinen, Sicherheits- und Streaming Media Applikationen. 10 Ausgabe 10/2002 15 thema des monats NETWORK SECURITY Tunnelbau Teil 1: Interoperabilität mit IP-VPN Von Detlev Reimann V VPN ist gegenwärtig in aller Munde, wenn es darum geht, für kostengünstige Kommunikationsverbindungen gesic herte Tunnel aufzubauen, darüber vertrauliche Informationen auszutauschen oder über Internet Geschäfte abzuwickeln. Uns geht es dabei nicht allein um Technologien wie IPsec, sondern auch um die herstellerübergreifende Interoperabilität im IP-VPN. 10 Ausgabe 10/2002 16 Die aktuellen wirtschaftlichen Entwicklungen zwingen dazu, die Produktivität und Rentabilität von Unternehmen einschließlich ihrer IT-Infrastrukturen zu verbessern. Althergebrachte Netzwerkstrukturen, welche einzig und allein auf die Verbindung fest definierter Partner bzw. Niederlassungen ausgerichtet sind, werden den neuen geschäftlichen Herausforderungen immer weniger gerecht. Wechselnde Partnerschaften, virtuelle Geschäftsvorgänge oder die Kommunikationsanforderungen von Anwendern von unterwegs kennzeichnen die veränderten Bedingungen einer modernen Geschäftskommunikation. Der dazu erforderliche Aufbau einer flexibleren Infrastruktur entsteht aber erst dann, wenn es gelingt, definierte geschäftliche Abläufe mit technisch durchdachten Lösungen in Einklang zu bringen, technologisch wie auch wirtschaftlich. VPN-Lösungen bieten dazu neben hoher Flexibilität - auch die gebotene Sicherheit für einen vertraulichen Informationsaustausch und für Geschäftstransaktionen. Denn IP-VPN läßt sich natürlich nicht auf die scheinbar günstigere Ablösung einer teueren Standleitung reduzieren. Uns geht es jedoch nicht allein um IPsec, sondern auch um die herstellerübergreifende Interoperabilität. Virtuelle Geschäftsvorgänge mit wechselnden, teils internationalen Partnerschaften oder die Anforderungen der mobilen Anwender von unterwegs schaffen laufend veränderte Bedingungen. Um die Flexibilität der VPNLösung zu wahren, muß daher aber auch auf die herstellerübergreifende Kompatibilität gesetzt werden können. Denn obwohl sich die Hersteller an die Standards halten, kann es immer einmal zu Verbindungsproblemen kommen, und unter Umständen können IPsec-Verbindungen nicht aufgebaut werden. Daher wurde im Compu-Shack-Labor die Interoperabilität zwischen Geräten der Hersteller BinTec, Cisco und SonicWALL getestet. In einem Anschlußbeitrag werden wir von unseren Ergebnissen berichten und IP-VPN auch praktisch umsetzen. Jetzt aber kümmern wir uns zunächst einmal um die Grundlagen. Ganz privat Ganz allgemein ist VPN ein privat genutztes Netzwerk, welches auf der Basis einer öffentlichen Infrastruktur bereitgestellt wird. Hier werden die Begriffe ”privat” und ”öffentlich” gegenübergestellt. Öffentlich ist in diesem Sinne alles, was auch durch andere genutzt werden kann. Die Infrastruktur wird in diesem Falle geteilt genutzt. Ein typisches Beispiel ist das Telefonnetz, ein X.25-Netz wie DatexP oder das Internet. Sobald der Nutzer einen entsprechenden Vertrag hat, kann er an der Kommunikation dieser Netze teilnehmen. Als ”privat” wird in diesem Zusammenhang jene Kommunikation bezeichnet, die vorher andere Nutzer des Netzwerkes aus dieser Kommunikation ausschließt. Die Teilnehmer einer solchen privaten Verbindung befinden sich auf einer gemeinsamen definierten Sicherheitsebene. Die Anwahl einer bestimmten Telefonnummer beispielsweise stellt eine solche private Kommunikation her, oder eine Closed User Group (CUG) im X.25-Netzwerk, und eben auch ein IP-VPN im Internet (vgl. Abb. 1). Schon beim Telefonnetz werden eher unbewußt - unterschiedliche Sicherheitsebenen ”genutzt”. Einer bekannten Stimme wird mehr Ver- Abb. 1: Grundprinzip öffentlicher Kommunikation IP-VPN Bei aufmerksamer Betrachtung reduziert sich der Begriff Virtual Private Networks (VPN) in der aktuellen Diskussion auf IP-basierende VPNs. Wir werden uns aus diesem Grund mit den Grundlagen eines IP-VPN beschäftigen, um Ihnen zu helfen, die Technologien besser zu beurteilen. Wir möchten zeigen, welche Parameter für eine sichere VPN-Verbindung wichtig und herstellerunabhängig realisierbar sind. Wir werden in bezug auf IPsec und seine Verschlüsselungstechnologien über Abwehrmechanismen gegen potentielle Bedrohungen sprechen, denn die Daten sind im netzwerkübergreifenden Austausch vielfältigen Risiken ausgesetzt. 10 Ausgabe 10/2002 17 thema des monats Security implementiert X1200 Router mit DynVPN und Firewall Der X1200 von BinTec Communications ist ein komplett ausgestatteter und flexibel einsetzbarer ISDN-Multiprotokoll-Router. Entwickelt für den High-Speed Internet-Zugang, kann er zudem für Remote Access in kleinen Unternehmen, Außenbüros oder Home Offices eingesetzt werden. Ab dem Release 6.2 können bei den BinTec Routern der X-Generation auch VPNs mit dynamischen IP-Adressen aufgebaut werden. Integriert in das unternehmensweite Netz Von unterwegs können sich Außendienstmitarbeiter über ISDN oder Handy (V.110) in ihr Büro einwählen, der Workflow von Daten, Fax und E-Mail ist rundum gewährleistet. Um Mißbrauch zu verhindern und Riskien auszuschließen, wurde im X1200 neben umfangreichen Firewall-Mechanismen auch VPN für den Remote Access implementiert. X1200 integriert die hohen Sicherheitsanforderungen an Außenbüros im Sicherheitkonzept des gesamten Unternehmens. DynVPN Ab Release 6.2 bauen die BinTec Router der X-Generation auch VPNs mit dynamischen IP-Adressen auf. Hierzu muß der Rechner seine aktuelle, dynamisch zugeteilte Adresse bei einem entsprechenden DynDNS-Anbieter hinterlegen. Soll nun ein VPN-Tunnel aufgebaut werden, fragt der anfordernde Partner bei diesem Anbieter die aktuelle IP-Adresse ab und startet die Verbindung. Ist die Gegenstation nicht erreichbar, kann sie mittels ISDN-Call aufgefordert werden, eine Verbindung ins Internet aufzubauen. Paketfilter Firewall Die Paketfilter Firewall betrachtet die IP-Absender-Adresse (Gerät) und den zugehörigen Port (Anwendung) sowie die IP-Ziel-Adresse und deren Port. Aufgrund dessen entscheidet sie, ob ein Paket an eine andere Schnittstelle weitergeleitet oder verworfen wird. Zulässige bzw. verbotene Adressen oder Anwendungen werden in den Filterregeln und der Zugriffsliste abgelegt, um sie ggf. ausschließen zu können. Dies ist vor allem für FTP-Server oder Mail-Server interessant. Stateful Inspection Firewall Die Stateful Inspection Firewall geht über die Paketfilter-Optionen hinaus. Sie überwacht den Status der Internet-Verbindungen und hinterlegt alle Verbindungsdaten in einer dynamischen Tabelle, mit Adresse und zugeordneten Ports. Prinzipiell werden nur solche Pakete in das interne Netz gelassen, für die bereits aus diesem Netz initiierte Verbindungen bestehen. Pakete von außen, die dem nicht zuzuordnen sind, werden verworfen und im Log-File protokolliert. Die dynamische Verbindungstabelle stellt den Kern der Stateful Inspection Firewall dar. Sie bietet hohe Sicherheit, verhindert das Eindringen in das interne Netz und kontrolliert den jeweiligen Status der Verbindung. Die Ausstattung von X1200 geht damit weit über seine Routing Funktionalitäten hinaus. Besonderen Wert legt BinTec neben der Sicherheit auf das Kostenmanagement und die Wartung. Hochwertige Tools erleichtern die Konfiguration und Fernwartung. Eine Kommunikationssoftware rundet das X1200-Komplett-Paket ab. trauen entgegengebracht als einem bisher unbekannten Gesprächspartner. Im Zweifelsfalle legt der angerufene Teilnehmer wieder auf. Die Authentifizierung der Kommunikationspartner spielt demzufolge eine wesentliche Rolle, um an einem privaten Netz in einer allgemein zugänglichen Infrastruktur teilzunehmen. Mehr nicht! Damit werden die Beschränkungen deutlich. Das Belauschen einer solchen Verbindung ist nicht ausgeschlossen. Die Verfügbarkeit einer solchen privaten Verbindung ist auch nicht gewährleistet. Beides sind bekannte Probleme aus dem Telefonnetz. Hohe Erwartungen Ein IP-VPN wird zunächst nicht grundsätzlich die WAN- oder LANInfrastrukturen verändern. Es ist eher als deren Ergänzung zu verstehen. Gerade unter den aktuellen Anforderungen sind Parameter wie Unterstützung verschiedenster Protokolle, gute Skalierbarkeit, hohe Verfügbarkeit und Bandbreite bei effektivem Kosten-Nutzen-Verhältnis gefragt. Die Infrastruktur muß das bereitstellen. Ein IP-VPN erschließt neue Möglichkeiten, Provider-Netzwerke besser zu nutzen. Essentiell für den Einsatz von IP-VPN ist das Verständnis, daß diese Technologie primär an den Grenzen der großen Netzwerke eingesetzt wird. Es ist eine Technologie zur Erschließung von Kunden für die Provider-Netze. Die Transport-Protokolle der Infrastrukturen bleiben davon weitgehend unberührt und sind für den Kunden meist transparent. Das ist vorteilhaft. Die IP-Lösungen werden oft mit einer großen Funktionsliste angeboten. Letztlich muß eine VPN-Plattform grundsätzlich die kritischen Firmendaten zuverlässig und in einer akzeptablen Zeit übertragen. Gefordert ist eine unternehmensweit beherrschbare Lösung, die vor unerwünschten 10 Ausgabe 10/2002 18 Manipulationen und Störungen schützt. An dieser scheinbar globalen Erfordernis der Kunden werden die von den Herstellern und Anbietern von IP-VPN-Netzwerken genannten Vorteile gemessen werden müssen. Vorteile von IP-VPN Eine Lösung ist immer konkret. Sie wird zeigen, ob die nachfolgenden Vorteile auch zum Tragen kommen: - Vereinfachung der Netzwerktopologien für den Kunden: SVCs und PVCs werden durch ihn nicht mehr benötigt. Bei Bedarf können sogar logisch vollvermaschte Strukturen definiert werden. Das geschieht unabhängig von den Anstrengungen des Providers, geeignete Strukturen zu betreiben. - Geringerer Aufwand zur Verwaltung des Netzwerkes: Der Kunde nimmt kaum Rücksicht auf die Provider-Infrastruktur. Der Betrieb ”eigener” WAN-Verbindungen entfällt. - Geringere bzw. kalkulierbarere Verbindungskosten: Bei der Reduzierung der Kostengrößen auf Parameter einer IP-basierenden Infrastruktur sind wohl die genauesten Betrachtungen zur Beurteilung einer Lösung erforderlich. - Auslagerung der Verwaltung der WAN-Infrastruktur auf einen Provider: Die Konzentration auf die Hauptaufgabe des IT-Betriebes und der eigenen Kompetenzen dient der Sicherstellung des Kerngeschäfts eines Unternehmens, mit all seinen spezifischen Anforderungen an die IT. - Erweiterung des Geschäftsfeldes auf ein IP-basierendes Business durch Nutzung der Infrastruktur: Die Anbindung von Partnern oder E-Commerce, die Bereitstellung von Service oder ein projektorientierter Aufbau von Niederlassungen (z.B. Baustellen) eröffnet neue Chancen. - Selfprovisioning beim Provider entsprechend den eigenen geschäftlichen Anforderungen: Kurzfristige Vertragsanpassungen und -umsetzungen sind dringend erwünscht. Bedrohungen Die Daten eines Kunden sind vielfältigen Bedrohungen ausgesetzt. Ein IP-VPN ermöglicht im Rahmen einer unternehmensweiten Sicherheitsstrategie, einen Teil dieser Bedrohungen einzuschränken. Grund für die Gefahren ist die Tatsache, daß die IPProtokollfamilie aufgrund ihrer Entwicklungsgeschichte vorrangig Transport und Connectivity sicherstellt. Die Risiken sind den Protokollen inhärent. Einige der Bedrohungen, die für die Einsatzentscheidung von IP-VPN relevant sind, seien hier kurz genannt. Schnüffler Besonders unerwünscht ist das „Mitlesen“ von Datenströmen. Das Belauschen oder Sniffen von Verbindungen stellt eine besondere Bedrohung für die Vertraulichkeit der Daten dar. Die eigentliche Gefahr des Schnüffelns ist die Tatsache, daß dieser Vorgang nahezu unbemerkt erfolgen kann und somit eine Reaktion fast immer zu spät erfolgt. Gaukler Spoofing ist ein Mechanismus, um einem Kommunikationspartner falsche Tatsachen vorzugaukeln. IP-Netze nutzen Quell- und Zieladressen, um die Kommunikation zu leiten. Diese Adressen in den Datenpaketen sind während der Übertragung manipulierbar. Das wird zum Teil bewußt durch Kunden genutzt, um etwa Bandbreite und Kosten in WAN-Verbindungen zu sparen. (Spoofen von Hello-Informationen, Keep-AlivePaketen usw.) Das Prinzip der Man-in-the-Middle Attack ist relativ einfach. In die Kommunikationsverbindung von zwei Hosts, A und B, hat sich C als Dritter 10 Ausgabe 10/2002 19 eingehängt.A tauscht Daten mit C aus und B mit C. Sowohl A und B sind der Meinung, miteinander Daten auszutauschen. Daß C in der Verbindung steht, ist für beide Hosts transparent. C ist somit in der Lage, die gesamte Kommunikation zwischen A und B zu protokollieren, zu manipulieren und auszunutzen. Der Leser kennt das gleiche Prinzip in einer nützlichen Variante: der Proxy. Eindringlinge Die Übernahme einer Arbeitssitzung durch das gefürchtete Session Hijacking nutzt im Gegensatz zu Spoofing eine bereits bestehendeVerbindung aus. Der Angreifer übernimmt dabei eine existierende Arbeitssitzung. Dabei versucht er durch Mitprotokollieren, die korrekten Sequenznummern der Kommunikationspartner zu ermitteln. Danach werden Daten versendet, die in das Kommunikationsmuster passen. Wirkungen sind entweder die komplette Steuerung des Zielrechners, eine Überlastung des Zielsystems, die Provozierung von Verbindungsabbrüchen oder auch ein Pufferüberlauf, der dem Angreifer unter Umständen die Nutzung erweiterter Rechte auf dem Ziel-Host erlaubt. Besonders kritisch an diesem Angriff ist, daß bereits die Sitzung authentifiziert wurde und das Zielsystem von einer vertrauenswürdigen Verbindung ausgeht. IPsec Im wesentlichen gibt es drei Protokollfamilien, um VPNs abzubilden: PPTP, L2TP und IPsec. Hier werden nur die Protokolle im Umfeld von IPsec für die Bereitstellung von IPVPNs diskutiert. Es ist sicherlich die komplexeste Möglichkeit, VPNs einzurichten. In diesem Zusammenhang existieren eine Reihe von Interoperabilitätsproblemen, auf die eingegangen werden soll. Außerdem sind die- thema des monats se Protokolle der Bezug für die Einrichtung neuer Sicherheitsmechanismen im Netzwerk. Die grundlegenden Mechanismen zur Authentifizierung und Verschlüsselung von Daten werden auch von anderen Protokollen genutzt. Konzentriert auf VPN Cisco VPN 3000 für Remote-VPNs Um die Kommunikationskosten über die lokalen Einwählinfrastrukturen von Service-Providern zu senken, muß ein Unternehmen eine robuste und hochverfügbare VPN-Lösung einsetzen. Dezidierte VPN-Geräte wie der Cisco VPN 3005-Konzentrator eignen sich hervorragend, um mobilen Arbeitern die volle Breitbandkonnektivität hochleistungsfähiger Remote-VPNs bereitzustellen. Cisco VPN 3005 Konzentrator Der Cisco VPN 3005-Konzentrator ist eine VPN-Plattform für kleine bis mittelgroße Organisationen mit Bandbreitenanforderungen bis zu 4 Mbit/s maximaler Leistung und bis zu 100 simultanen Sitzungen. Die Verschlüsselungsverarbeitung erfolgt über Software. Die Remote-VPN-Architektur umfaßt einen auf Standards basierenden, benutzerfreundlichen VPN-Client und skalierbare VPN-Geräte zur Tunnelterminierung. Ihre fortschrittlichen Hochverfügbarkeitsfähigkeiten gestatten den Aufbau hochleistender und robuster VPN-Infrastrukturen. Scalable Encryption Processing Als einzige skalierbare Plattform bietet sie Komponenten, die bei laufendem Betrieb vor Ort ausgetauscht und vom Anwender selbst aufgerüstet werden können. Diese Komponenten werden als SEP-Module (Scalable Encryption Processing) bezeichnet und erlauben es den Benutzern, auf einfache Weise Kapazität und Durchfluß hinzuzufügen. Der Cisco VPN 3000-Konzentrator unterstützt das größte Angebot von VPN-Client Software, einschließlich Cisco VPN 3000 Client, Microsoft Windows 2000 L2TP/IPsec Client und Microsoft PPTP für Windows 95, 98, NT 4.0 und 2000: Verschlüsselungsprotokolle DES, 3DES und AES. Cisco VPN 3000 Client Der Cisco VPN 3000 Client ist einfach zu installieren und zu bedienen und wird für den Aufbau von sicheren verschlüsselten Ende-zu-Ende-Tunneln zum Cisco VPN 3000-Konzentrator verwendet. Diese IPsec-konforme Implementierung mit kompaktem Design wird zusammen mit dem Konzentrator geliefert und ist für eine unbeschränkte Anzahl von Benutzern lizenziert. Der Client kann für Masseneinsätze vorkonfiguriert werden, so daß die ersten Anmeldungen ein minimales Eingreifen des Benutzers erfordern. VPN-Zugriffsrichtlinien werden zentral im Konzentrator erstellt, gespeichert und an den Client gestoßen, wenn eine Verbindung hergestellt ist. VPN 3000 Management Mit dem Cisco VPN 3000 Monitor als Managementsystem können Remote-VPNs einfach installiert, konfiguriert und überwacht werden, auf einem oder gar mehreren VPN 3000-Konzentratoren. Diese Java-basierte Anwendung ist mit Windows 9x, NT 4.0 und 2000 kompatibel. SNMP-Polling wird zur Erfassung von Statistiken von jedem Gerät verwendet. Die Enterprise View zeigt den Status höchster Ebene für jedes Gerät im Netzwerk an. Der Administrator kann auch zeitbasierte Daten zu jedem Gerät abrufen. Darüber hinaus speichert der VPN Monitor abgerufene Daten, Traps und Protokolldateien zur Verlaufsanalyse, Kapazitätsplanung und Fehlerbehebung. Die grundsätzlichen Festlegungen für das IPsec Protokoll wurden im August 1995 durch die IETF mit den RFCs 1825 (Security Architecture), 1826 (Authentication Header) und 1827 (Encapsulating Security Payload) von R. Atkinson formuliert. Damit wird der grobe Aufbau des Protokolls festgelegt. Die nachfolgenden RFCs 1828 (Authentication with MD5) und 1829 (DES Transform) waren dagegen schon konkretere Umsetzungsvorschläge. Dabei ist es nicht geblieben. Mit dem RFC 2401 (November 1998, R. Atkinson, S. Kent) wurde der RFC 1825 abgelöst und ergänzt. Weitere Dokumente beschreiben die Nutzung des Diffie-Hellman-Algorithmus, des Oakley-Protokolls (2407, 2408, 2409, 2412) usw. Sie bilden die Basis für die nachfolgenden Darstellungen . Architektur von IPsec Das IPsec-Protokoll wurde entwikkelt, um eine interoperable und auf Kryptographie basierende Sicherheit für die Protokollfamilien IPv4 und IPv6 zu bieten. Dem Thema der Interoperabilität widmen wir uns weiter unten. Festzuhalten bleibt, daß dieses Kriterium von Anfang an bei IPsec eine entscheidende Rolle spielt. IPsec adressiert die oben genannten Bedrohungen und bietet einen Schutzmechanismus ab der Ebene des IP-Protokolls durch Authentifizierung des Senders, Integrität der Daten auf verbindungslosen Kommunikationspfaden, Verschlüsselung der 10 Ausgabe 10/2002 20 Informationen, Schutz vor Wiederholungen von Kommunikationsabläufen, Zugriffskontrolle und das Verbergen von Datenströmen, zumindest in begrenztem Umfang durch Tunnelmechanismen. Das IPsec-Protokoll besteht aus mehreren Komponenten (vgl. Abb. 2). Sie wirken nur in ihrer Gesamtheit. Diese Erkenntnis ist insofern wichtig, als bei der Planung und Umsetzung von VPNs auf der Basis von IPsec jeder Komponente die gebührende Aufmerksamkeit zukommt. Das Protokoll definiert erstens zwei Traffic-Security-Protokolle, Authentication Header (AH) und Encapsulating Security Payload (ESP). Zweitens ist festgelegt, was eine Security Association ist und wie diese Vertrauensbeziehung zwischen zwei Knoten aufgebaut wird und funktioniert. Die dritte Komponente sind die Algorithmen zur Authentifizierung von Kommunikationspartnern und Verschlüsselung von Informationen. Einen vierten und gewichtigen Schwerpunkt bilden die Problemstellungen des Key Management. Die Schlüssel einer Verbindung können manuell und automatisch verteilt werden. Letzteres hat wieder eine Reihe von Protokolldefinitionen zur Folge.Insgesamt existiert mittels IPsec eine Plattform, die es erlaubt, geschützte Verbindungen zu betreiben. Erfahrungsgemäß kommen solche Verbindungen nicht zustande, wenn die Protokolle herstellerseitig nicht korrekt implementiert und auf der Anwenderseite fehlerhaft konfiguriert sind. Darin besteht auch ein Schutz: keine sichere Verbindung keine Datenübertragung. Die Authentifizierung erfüllt dabei eine besondere Aufgabe. Jeder Zugriff auf die Ressourcen eines Netzwerkes bedarf unter dem Sicherheitsaspekt der zuverlässigen Überprüfung des Benutzers, des zu vertrauenden Netzwerkes oder des anfordernden Dienstes. Erst mit der glaubhaften Identität sind weitere Schritte zulässig. Eine starke Authentifizierung besteht aus drei zusammengehörigen Dingen: etwas, was man besitzt (z.B. Schlüssel, Zertifikat), etwas, was man ist (Name, IP-Adresse, Stimme) und etwas, was man weiß (Paßwort). IPsec benutzt verschiedene Methoden für die Authentifizierung. Im Interesse der Interoperabilität in der Installation unterschiedlicher Systeme ist es notwendig, sich auf bestimmte Methoden zu einigen. Encryption Die Verschlüsselung der Informationen schützt diese vor unerwünschten Veränderungen und Einsichtnahme. Der Originaltext wird durch geeignete Verfahren so verändert, daß nur der Empfänger mit seinen Mitteln den Inhalt zurückgewinnen kann. Der Prozeß besteht aus zwei Komponenten. Der Algorithmus ist eine meist allgemein bekannte mathematische Funktion. In diese Funktion wird der Schlüssel eingebracht, mit dessen Hilfe die mathematische Funktion den Originaltext ”verwürfelt”. Nur der Empfänger der verschlüsselten Nachricht ist mit seinem geheimen Schlüssel in der Lage, die Ursprungsinformation zurückzugewinnen. Für einen Fremden existiert somit ein bekannter mathematischer Algorithmus, eine unbekannte Originalinformation und ein unbekannter Empfängerschlüssel. Ganz allgemein sollte immer davon ausgegangen werden, daß ein Schlüssel nur eine bestimmte Standzeit hat. Das ist jene Zeit, die vergeht, bis Fremde vom Schlüssel Kenntnis erhalten. Empfehlenswert ist es, davon auszugehen, daß jeder Schlüssel auch zu ermitteln ist. Das ist nur eine Frage der Zeit und des Geldes und somit der verfügbaren Rechenleistung. Als Administrator sollte man also schon eine chronische Skepsis entwickeln. IPsec unterstützt uns dabei insofern, als das Protokoll für die Schlüssel eine Lifetime vorschreibt. Abb. 2: Architektur von IPsec nach RFC 2401/2411 Authentifizierung IPsec benutzt moderne kryptographische Verfahren zur Gewährleistung von Authentifizierung und Verschlüsselung. Beides sind Grundfunktionen von IPsec. 10 Ausgabe 10/2002 21 thema des monats Symmetrisch Tunnel für High-Performance Contivity mit Secure Routing Technology Die Secure Routing Technology (SRT) auf der Contivity Plattform von Nortel Networks verbindet die Hauptfunktionen der Contivity Produkte wie Management, Access, Policies, dynamisches Routing und virtuelle private Vernetzungstechnologie mit hochintegrierten, äußerst flexiblen IP-Service-Lösungen für Unternehmenskunden aller Größen. Secure IP Services Gateways Nortel Networks hat dynamisches Routing und die Technologie zur virtuellen privaten Vernetzung (VPN) zu einem Produkt verschmolzen, das sichere IP-Services bietet und die Netzunterhaltskosten für Enterprise Kunden um bis zu 70 Prozent reduziert. Verfügbar auf fünf neuen Contivity Plattformen bietet Die Secure Routing Technology auf Contivity maximale Leistung bei geringeren Kosten für kontinuierliche IP-Service Installationen für Unternehmen. Es ist eine innovative Lösung, um die Lieferung sicherer IP-Services über das Internet zu skalieren. SRT ist ein architektonischer Rahmen, der die Contivity Secure IP Services Gateways befähigt, dynamische Routing Services über bis zu 128bit verschlüsselte VPN Tunnel zu liefern. Contivity 1000 Familie Die Secure IP Services Gateways der Contivity 1000 Familie sind preiswerte Sicherheitslösungen, die umfassende IP-Services bieten, mit Routing, VPN, Stateful Firewall und Bandbreiten-Management in einem einzigen integrierten Produkt. Die Contivity 1000 Familie mit SRT verringert für Unternehmenskunden oder Netzbetreiber, die diese bedienen, die Kosten zur Bereitstellung von QoS und Policy Services um ein Vielfaches. Mit seinen hochintegrierten Services liefert Contivity 1000 die Leistungen in einem Gerät, die üblicherweise zahlreiche Geräte bewerkstelligen. Das Contivity 1000 Portfolio basiert auf der Standard Contivity Betriebssoftware und bietet neben modernem Routing (OSPF/ RIP) umfassende Site-to-Site- und Fernzugangs-VPN Services. Mehr Tunnel für Performance Die wesentlichen Unterschiede zu den jeweiligen Vorgängern 1600 (2600) und 1700 (2700) sind eine schnellere CPU, ein schnellerer Bus und dadurch eine höhere Gesamt-Performance. Die einfache Installation erfolgt durch Quick Start Wizard und Plug and Play Funktion. Auch die maximale Anzahl der Tunnel hat sich deutlich nach oben verändert. Contivity 1700 bietet bis zu 500 Tunnel, vorher waren es 200 bei Contivity 1600. Bis zu 2000 Tunnel stellt Contivity 2700 zur Verfügung, ehedem waren es 1000 Tunnel bei Contivity 2600. Trotz dieser weitreichenden Verbesserungen konnte der Preis gehalten werden. Nähere Informationen erhalten Sie vom Nortel Networks Business Team bei Compu-Shack, telefonisch unter der Durchwahl 02631 / 983-451oder per E-Mail an [email protected]. In der Praxis werden zwei verschiedene Verschlüsselungsverfahren benutzt, symmetrische und asymmetrische. Bei der symmetrischen Verschlüsselung benutzen Sender und Empfänger den gleichen Schlüssel. DiesesVerfahren wird auch als SecretKey Cryptography bezeichnet. Der Hauptvorteil liegt darin, daß die Algorithmen sehr schnell sind und die Schlüssellängen relativ klein sind. Solche Verfahren sind Blowfish, Twofish, DES, 3DES, AES usw. Nachteilig ist, daß ein Schlüsseltausch erforderlich ist, der beiden Seiten gleichzeitig einen neuen Schlüssel zugänglich macht. Oder man vertraut der Standfestigkeit des eigenen Schlüssels. Ein Gefühl, welches sich aufgrund der erworbenen Paranoia nie richtig einstellen wird. Asymmetrisch Zur Kodierung einer Information wird ein anderer Schlüssel als zur Entschlüsselung benutzt. Ein Schlüssel ist öffentlich zugänglich, der Public Key. Der andere Schlüssel bleibt im Besitz und Wissen desjenigen, der das Schlüsselpaar ausgestellt hat, der Private Key. Das Verfahren wird deshalb auch Public Key Encryption genannt. RSA, Diffie-Hellman oder DSS (DSA) gehören dazu. DerVorteil dieses Verfahrens ist, daß prinzipiell keine Methode für den Schlüsseltausch erforderlich ist. Jedem wird der öffentliche Schlüssel zur Verfügung gestellt. Er ist kein Geheimnis, im Gegenteil. Dekodieren und Signieren kann nur der Besitzer des privaten Schlüssels (vgl. Abb. 3). Nachteilig ist die Verwendung sehr großer Schlüssel und der damit verbundene hohe Rechenaufwand. Große Informationsmengen lassen sich so in Echtzeit kaum verarbeiten. Unter den Bedingungen von IPsec können symmetrische und asymmetrische Verfahren zusammen in einer Kommunikationsverbindung genutzt wer- 10 Ausgabe 10/2002 22 den. Damit lassen sich die Vorteile beider miteinander kombinieren. Dazu jedoch weiter unten. Authentication IPsec legt mit dem Authentication Header, AH, einen speziellen IPHeader fest, RFC 2402 (vgl. Abb. 4). Dieser wurde speziell für die Authentifizierung von IP-Datenströmen entwickelt. Der AH dient der Authentifizierung des Absenders eines IP-Datenpaketes, der Überprüfung der Integrität einer übertragenen Information in einer ”verbindungslosen” Übertragung und dem Schutz gegen Reply-Attacken. Das IP-Protokoll wird deshalb als verbindungslos (connectionless) bezeichnet, weil der Sender zur Datenübertragung keine Verbindung zum Empfänger herstellt. Das IP-Paket wird einfach versendet, unabhängig davon, ob der Empfänger empfangsbereit ist oder ein Datenpaket in eine bestehende Kommunikation paßt. Mit IPsec ist zumindest letzteres durch den Empfänger überprüfbar. Der AH enthält eine verschlüsselte Checksumme, die sich aus dem Dateninhalt ergibt. Diese Checksumme wird mit einem Hash-based Message Authentication Code (HMAC) Algorithmus gebildet. Der HMAC-MD5, RFC 2403, generiert einen 128-Bit-langen Authenticator und HMAC-SHA1, RFC 2404, arbeitet mit einem 160-Bit-Ergebnis. Das bedeutet, daß das Ergebnis der HashFunktion nach 128 bzw. 160 Bit abgeschnitten wird, damit nicht das gesamte „gehashte“ Paket zur Authentifizierung übertragen werden muß. Die Wahrscheinlichkeit, daß in einer Datenkommunikation der gleiche Wert wieder auftritt, eine Eindeutigkeit des Ergebnisses also, ist relativ gering. Das dem nicht so ist, zeigt MD5, welches mit sogenannten Collision Attacks angreifbar ist und daher durch SHA1 abgelöst werden sollte. Header Der AH folgt im IP-Paket unmittelbar dem IP-Header, bevor die Header der darüberliegenden Protokolle folgen. Er besteht aus fünf Feldern, dem Next Header Field, Payload Length, Security Parameter Index, Sequence Number (!) und dem Authentication Field, und bezieht das gesamte IPPaket in die Authentifizierung ein. Ausnahmen sind jene Felder, die sich während der Übertragung laut IP-Definition ändern müssen, z.B. das TTL Feld. Die IP-Adressen sind Bestandteil der Authentifizierung. Das ist auch sinnvoll, wenn der Absender sicher identifiziert werden soll. Das ist der Vorteil von AH, daß wichtige Felder des IP-Header in den Schutz mit einbezogen werden. Dieser Vorteil ist jedoch zugleich der Haken des Protokolls. Sehr oft wird Network Address Translation im Netzwerk benutzt. Dann ist der AH für die Kommunikation mehr als hinderlich, da er diese unmöglich macht. Denn der AH verwirft veränderte IP-Adressen. Daß es in der Praxis dennoch Möglichkeiten gibt, AH über NAT und Firewall-Rechner hinweg zu benutzen, läßt sich außerhalb von IPsec lösen. Dazu sind ein geeignetes Design der Infrastruktur und ein paar Produktkenntnisse erforderlich. ESP-Protokoll Das Encapsulation Security Payload, ESP, ist gemäß der IPsec Architektur das zweite Security Protokoll nach RFC 2406. Es verschlüsselt den Payload im IP-Paket (vgl. Abb.5). Vergleichbar mit dem AH wird der ESPHeader zwischen IP-Header und dem nachfolgenden Protokoll-Header eingebracht. Der ESP-Header enthält ebenfalls einen Security Parameter Index (SPI), der darauf referenziert, zu welcher Security-Verbindung das Paket gerade gehört. Auch gibt es eine Sequence Number, welche Replay-Attacken verhindert. Abb. 3: Verwendung asymmetrischer Schlüssel im Public-Key-Verfahren Abb. 4: AH-IP-Paket im Transport Mode 10 Ausgabe 10/2002 23 thema des monats SonicWALL Hardware Appliances VPN Services für umfassende Internetsicherheit Sicherheit ist heute keine zentrale Funktion, sondern eine dezentrale Anforderung, welche zentral gesteuert werden sollte. Mit den skalierbaren SonicWALL Firewall- und VPN-Lösungen steht eine komplette Produktfamilie für kleine und mittlere Unternehmen sowie für Home Offices zur Verfügung. Sicherheits-Management Die in der nun dritten Generation angebotenen SonicWALL Produkte sind mit einem eigenen ASIC ausgestattet, der eine außerordentliche hohe VPN Performance von mehr als 20 Mbps bei 3DES-Verschlüsselung gewährleistet. Alle Firewalls können über das zusätzlich verfügbare SonicWALL Global Management System (SGMS) zentral gesteuert und verwaltet werden. Diese Console (SGMS) ist ebenfalls skalierbar. Global Management startet mit 5 Nodes und ist ohne Limitierung erweiterbar. Das integrierte Reportingtool erlaubt eine individuelle und übersichtliche Auswertung der Logfiles. IPSec-VPN mit SonicWALL Alle Systeme der SonicWALL sind mit VPN erhältlich. Entweder ist diese Funktionalität bereits integriert oder aber die Produkte können optional damit ausgerüstet werden. Das SonicWALL VPN ist ISCA zertifiziert und basiert auf dem Standard IPSec. Damit ist es interoperabel zu IPSec-basierenden VPN-Produkten anderer Hersteller. Die Hub-and-spoke Technologie dient zur Optimierung einer dezentralen Netzwerkstruktur. Mit der optional erhältlichen Managementkonsole SGMS können alle SonicWALL Appliances und damit auch die VPN Features zentral gemanagt werden. Hierdurch werden die Folgekosten weiter minimiert. Trusted Zones Die neue TELE3 TZ ermöglicht spezifische VPN-Anwendungen mit getrennten Netzen, sogenannten Trusted Zones. Deren WorkPort erlaubt via VPN-Tunnel den sicheren Zugang ins Firmennetzwerk, ein eigener HomePort bietet optimalen Schutz für die Nutzung des Internets. Ein Zugriff von der einen auf die andere Zone ist dabei völlig ausgeschlossen. Die ebenfalls neue TELE3 SP erlaubt hohe Verfügbarkeiten der VPN-Verbindungen mit integriertem Modem und besitzt automatische Fail-over und Fail-back Funktionalitäten. Alle SonicWALL Produkte sind in der Standardausführung schon mit einer High-Availability-Funktion ausgestattet, so daß eine Parallelschaltung zweier Produkte ohne weitere Lizenzkosten möglich ist. Durchsatzstarkes 3DES über ASICs Der in allen SonicWALL Appliances eingebaute ASIC-Baustein erlaubt einen 3 DES VPN Durchsatz von mindestens 20 Mbps bei den SOHO und TELE Appliances, bis 285 Mbps sind es bei den PRO- und GX-Produkten. Das in allen Produkten verfügbare Bandbreiten-Management basiert auf zu definierenden Diensten und erlaubt die Festlegung eines garantierten Datendurchsatzes für unternehmenskritische Anwendungen, etwa bei Warenwirtschaftssystemen oder CRM-Modulen. Zusätzlich zur Payload-Verschlüsselung kann noch eine Authentifizierung vorgenommen werden. Diese umfaßt den verschlüsselten Teil und den ESP-Header. Der IP Header ist nicht eingeschlossen. Vorgeschlagene Hash-Verfahren sind HMAC-MD5 und HMAC-SHA1. Grundsätzlich sichert ESP die Vertraulichkeit der Daten, das Geheimnis, die Authentifizierung der Herkunft der Daten, die ”verbindungslose” Richtigkeit der Daten und den Schutz vor Replay-Angriffen. In begrenzter Weise verbirgt ESP auch den Datenfluß, da höhere Protokolle, Sitzungsendpunkte und Anwendungen nicht sichtbar sind. Nachteilig ist, daß Attacken gegen die IP-Header nicht geprüft werden, was für dasVertrauen in die Herkunft der IP-Pakete wichtig ist. Die Fragmentierung von IP-Datenpaketen ist zu vermeiden. Aufgrund der Angriffsmöglichkeiten verwerfen Firewall-Systeme unter Umständen die fragmentierten Pakete entsprechend ihrer Regeln. Sollte dennoch fragmentiert werden, erfolgt dies nach dem ESP-Prozeß. Da die IP-Pakete durch IPsec größer werden, ist es nicht ausgeschlossen, daß es zu Fragmentierungen kommt. Temporär gestörte Verbindungen, insbesondere bei großen Filetransfers, sind dann die Folge. Hier sollte der Administrator die MTUSize optimieren. AH und ESP In Anbetracht der Tatsache, daß wir mit dem Standard über verschiedene Sicherheitsprotokolle verfügen, stellt sich die Frage, wie diese verwendet werden können. Über wichtige Vorund Nachteile wurde schon berichtet. Sowohl der AH also auch der ESP können jeweils allein genutzt wer- 10 Ausgabe 10/2002 24 Tabelle 1 AH ohne ESP AH mit ESP-Authentication ohne ESP-Encryption AH ohne ESP-Authentication mit ESP-Encryption ohne AH mit ESP ohne AH mit ESP-Authentication ohne ESP-Encryption ohne AH ohne ESP-Authentication mit ESP-Encryption AH mit ESP Tab. 1: Kombinationen beim kombinierten Einsatz von AH und ESP den. Auch der kombinierte Einsatz ist denkbar. Daraus ergeben sich diverse Grundkombinationen (vgl. Tab. 1). ”interne” IP-Adresse. Vorteil dieser IP-Adreßvergabe durch einen Tunnel ist, daß die weitere Kommunikation Abb. 5: ESP-IP-Paket im Transport Mode Transport Mode Zusätzlich erlaubt der IPsec-Standard die Verwendung der Protokolle in zwei verschiedenen Varianten, dem Transportmodus und dem Tunnelmodus. In der erstgenannten Variante werden die Original-IP-Header verwendet, sie ist für die direkte Verbindung von zwei IPsec-Hosts vorgesehen. Auf diese Weise kann ein Windows2000-Client direkt via IPsec mit einem Server kommunizieren. Dabei geht es besonders um den Schutz der höheren Protokolle. Die bereits im Zusammenhang mit dem AH und ESP gezeigten Abbildungen 4 und 5 stellen das Grundprinzip dar. Abb. 6: AH-IP-Paket im Tunnel Mode Tunnel Mode Mit der Tunnel-Methode wird das komplette IP-Paket in einem IPsecPaket verpackt. Die neuen IP-Adressen bezeichnen die Tunnelendpunkte (vgl. Abb. 6 und 7). Der Tunnel wird insbesondere von Gateways benutzt, um eigene logische Netzwerkstrukturen über fremde Infrastrukturen zu übertragen. Sollte ein Client eine über IPsec gesicherte Verbindung benötigen, beispielsweise zur Einwahl in das Firmennetz über Internet, so wird dafür ein Tunnel-Peer auf dem Client benötigt. Für die eigentliche Kommunikation erhält der Client durch den Tunnel seine dedizierte Abb. 7: ESP-IP-Paket im Tunnel Mode 10 Ausgabe 10/2002 25 der Clients in das Firmennetzwerk hinein über Paketfilter abgesichert und kontrolliert werden kann. Auch für ein Gateway kann statt des Tunnelmode der Transportmodus in Frage kommen. Ein typisches Beispiel ist der Aufbau von Managementverbindungen zum Gateway mit SN MP over IPsec, welches sich dann in dieser Funktion als Host verhält. Grundsätzlich gilt, daß ein IPsec-Knoten sowohl den Transport- als auch den Tunnelmodus unterstützen muß. Mit AH sichert IPsec im Tunnelmodus das komplette ursprüngliche IP-Pa- thema des monats ket, welches nun ”verschnürt” zum Payload des neuen IPsec-Datagramms wird. Der neue IP-Header wird mitAH ebenfalls in die Authentifizierung einbezogen. ESP verschlüsselt dagegen das gesamte Originalpaket und authentifiziert den damit gebildeten neuen Payload. Das Ganze erhält einen neuen IP-Header, welcher nicht Gegenstand der Authentifizierung ist. Ergebnis ist das, was oft unter IPsec verstanden wird, ein komplett für unerwünschte ”Zuhörer” unzugängliches Datenpaket. Es wird deutlich, daß IPsec eben mehr als nur Tunnelmodus und ESP ist. AH und ESP lassen sich auch im Tunnelmodus miteinander kombinieren. Für die Pakete der etablierten IPsec-Kommunikation gilt immer nur ein Modus für beide Security-Protokolle gemeinsam. Dieser Modus wird am Anfang einer IPsec-Session ausgehandelt. IPsec-Parameter Jede Verbindung unter IPsec hat noch einige zusätzlich Parameter. Bevor Daten übertragen werden, verhandelt IPsec sogenannte Security Associations, SA. Das sind die Vertrauensbeziehungen zwischen den IPsecPeers, den Endpunkten der IPsecKommunikation. Eine Association ist immer unidirektional. Die Konsequenz ist, daß zwischen den Peers immer wenigstens zwei Associations existieren, für jede Übertragungsrichtung eine. Ein Partnerknoten wird anhand der erreichbaren IP-Adresse fixiert. Sollten die Hosts den Namen der Partner verwenden, ist ein funktionierendes DNS erforderlich, oder es muß eine lokale Namensauflösung existieren. Security Association Eine SA ist nach RFC 2401 durch die Kombination der drei Parameter SPI, IP-Zieladresse und durch das genutz- te Sicherheitsprotokoll eindeutig gekennzeichnet. Die Zieladresse muß eine Unicast-Adresse, also eindeutig, sein. Insofern beschreibt eine IPsecSA eine Punkt-zu-Punkt-Verbindung. Sollten AH und ESP zugleich genutzt werden, so vereinbart der RFC, daß für jedes Sicherheitsprotokoll eine IPsec SA existiert. Die SAs können miteinander kombiniert werden. Zum einen in Form der gleichzeitigen Nutzung des Transportmodus für jedes Security Protocol für das gleiche IP-Paket. Diese Form erlaubt nur eine bestimmte Kombination der SAs. Zuerst werden die Paramenter der ESP-SA und dann die der AH-SA genutzt, um das Paket zu übertragen. Folgerichtig folgt der AH-Header dem IP-Header im Datenpaket bevor der ESP-Part beginnt (vgl. Abb. 8). Die andere Form wird als iteratives Tunneln bezeichnet. Dadurch sind verschiedene Ebenen der Sicherung möglich. Die einfachste Form ist der Aufbau von SAs von derselben Quelle zum selben Ziel. Beispielsweise werden für ein IP-Paket zuerst die Parameter der ESP-SA und dann die der AH-SA für den ”Tunnel im Tunnel” genutzt. Dabei sind Source und Destination identisch. Die Reihenfolge dieser ”Tunnelei” ist nicht vorgeschrieben und auch nicht relevant. Nur die Tunnelpartner sollten sich darüber einigen. Der RFC 2401 beschreibt aber auch die Verschachtelung von Tunneln mit verschiedenen Anfangs- und Endpunkten. Lifetime Ein wichtiger Parameter ist die Lifetime einer SA. Diese kann nach der zeitlichen Dauer der Existenz einer bestehenden SA oder mittels der übertragenen Datenmenge festgelegt werden. Bevor eine abgelaufene SA beendet wird, handeln die Peers eine neue SA mit einem neuen Schlüssel aus. Die Ursache dieser Maßnahme liegt in der begrenzten Sicherheit ei- nes Schlüssels. Insofern kann DES dadurch sicherer gemacht werden, daß der Schlüssel öfter gewechselt wird. Da ein Schlüsselwechsel und Aufbau neuer SAs zusätzliche Rechenleistung erfordert, sollte hierbei ein Optimum zwischen Prozessorlast und Sicherheit gefunden werden. Der Schlüsselwechsel kann manuell oder automatisch erfolgen. Die manuelle Vergabe von Schlüsseln ist keine sonderlich gute Sicherheitslösung, vom Streß des Changemanagements ganz zu schweigen. Security Databases Eine ganze Reihe von Informationen wird in Security Databases abgelegt. Es gibt die Security Policy Database und die Security Association Database. Der RFC beschreibt diese Datenbanken, um die Interoperabilität der verschiedenen IPsec-Implementationen zu gewährleisten. Die Security Policy Database enthält alle Regeln für den ein- und ausgehenden IP-Verkehr. Die andere Datenbank beinhaltet die Parameter der bestehenden aktiven IPsec-SAs. SPD und SAD Für jedes Interface, für das IPsec aktiviert wird, existieren diese zwei Datenbanken. Letztlich ist eine SA eine Einrichtung, um entsprechende Regeln für den Datentransfer bereitzustellen. Die Daten dafür werden in der Security Policy Database (SPD) vorgehalten. Der Datentransfer, ob eingehend oder ausgehend, wird mit der SPD gegengeprüft. Dazu sind entsprechende Einträge für beide Transferrichtungen vorhanden. Im Ergebnis der Datenprüfung ermittelt der Host, welcher Teil des Datentransfers von IPsec weiter bearbeitet wird, welcher für IPsec uninteressant ist oder sogar für die Kommunikation verworfen wird. Das Regelwerk kann sehr grob - mittels Wildcards erstellt werden, aber auch - mittels 10 Ausgabe 10/2002 26 sogenannter Selektoren - sehr fein bis auf die Ebene von Ports. Der Standard schreibt an dieser Stelle vor, daß eine administrative Schnittstelle vorhanden sein muß, die dem Anwender bzw. dem Administrator erlaubt, diese Parameter und deren Reihenfolge festzulegen. Die zweite Datenbank ist die Security Association Database. Die SAD verwaltet die aktiven SAs, die je einen Eintrag in der Datenbank haben. Sollte für einen ausgehenden Datentransfer, für den es in der SPD einen Eintrag gibt, keine SA existieren, so wird eine SA ausgehandelt und ein Eintrag in der SAD erzeugt. Für eingehenden Datenverkehr muß ein solcher Eintrag in der SA bereits vorhanden sein, ansonsten wird das Datenpaket verworfen. Die Einträge sind nach IP-Adresse, Security Protokoll, AH oder ESP, und SPI indiziert. Schlüsselaustausch Der Schlüsselaustausch, ob manuell oder automatisch, ist der Architektur gemäß ein zwingend notwendiger Bestandteil von IPsec. Es bietet sich IKE, ISAKMP und Oakley an. Für standardkonforme Implementationen von IPsec müssen diese die manuelle Schlüsselvergabe, manual keying, unterstützen. Anfänglich war das auch der einzige Weg, herstellerübergreifende Interoperabilität zu erreichen. Auch jetzt ist das noch eine sehr sinnvolle Möglichkeit, um auf niedrigem Niveau eine IPsec-Verbindung in Betrieb zu nehmen. Für erweiterbare Infrastrukturen oder Netzwerke mit mehreren Standorten, alle mit hohen Anforderungen an die Sicherheit, ist eine automatische Schlüsselverteilung bzw. aushandlung unbedingt erforderlich. Ein täglicher Schlüsselwechsel nur zwischen zwei IPsec-Knoten ist administrativ kaum zu verwirklichen. Für den automatischen Schlüsselaustausch wurde das Internet Key Ex- change Protocol, IKE nach RFC 2409, definiert. Dieses Protokoll kombiniert das Internet Security Association and Key Management Protocol, ISAKMP nach RFC 2407/ 2408, und das Oakley Protocol, nach RFC 2409. IKE, ISAKMP, Oakley Das ISAKMP bildet den Rahmen für das Management der SAs und der Aushandlung der Schlüssel. ISAKMP basiert auf IP und handelt die SAs für sichere IP-Verbindungen aus. ISAKMP selbst handelt eigene SAs aus, um über diese die Parameter für die IPsec-SAs zu vereinbaren. Ein Host, der automatische Schlüsselaushandlung nutzt, hat demzufolge zwei verschiedene SAs gleichzeitig, ISAKMP- und IPsec-SAs. Das Oakley Protocol beschreibt die verschiedenen Methoden des Schlüsselaustausches. Es definiert also einen Teilaspekt von ISAKMP näher. Allgemein wird IKE als Synonym für das ISAKMP/Oakley-Protocol verstanden. IKE stellt folgende Funktionen sicher: - Möglichkeiten für die IPsec-Peers, sich auf ein Protokoll, einen Algorithmus und den Schlüssel zu einigen - Verwaltung der Schlüssel nach vereinbarten Parametern - Sicherstellung des Schlüsselaustausches - Gewährleistung der Authentifizierung der Hosts untereinander, bevor ein Schlüsselaustausch stattfindet und eine IPsec-SA etabliert wird. ISAKMP funktioniert in zwei Phasen. In der ersten etablieren die Peers einen sicheren Kanal für die Übertragung der eigentlichen ISAKMP-Parameter, in der zweiten wird die ISAKMP-SA aufgebaut. Oakley Modes Das Oakley Protocol stellt für die ISAKMP Phase 1 zwei verschiedene Methoden bereit: Main und Aggressive Mode. Für die Phase 2 gibt es nur eine Methode, den Quick Mode. Die gesamte ISAKMP-Kommunikation erfolgt über UDP Port 500. Die Kenntnis über die Methoden ist insofern relevant, als daß man bei der Parametrisierung von IPsec/ISAKMP eine der Methoden für Phase 1 festlegen muß. Auch ist es nützlich, die Vorund Nachteile der Methoden für die eigenen Anforderungen zu kennen. Es existiert noch eine vierte Methode, der New Group Mode. Die Verwendung ist relativ einfach und wird für die Aushandlung des korrekten Diffie-Hellman-(DH) Algorithmus verwendet. DH Group 1 nutzt einen 768 Bit Key, DH Group 2 nutzt 1024 Bits und DH Group 7 nutzt die ellyptische Kurve. Letzteres ist besonders für die Implementierung von IPsec auf PDAs geeignet, da dieses Verfahren wesentlich weniger Prozessor-Ressourcen benötigt. Main Mode Im Mainmode wird zunächst eine temporäre ISAKMP-SA aufgebaut. Mit dem danach ablaufenden Quick Abb. 8: IPsec im Tunnelmode, Beispiel AH-ESP-Kombination 10 Ausgabe 10/2002 27 thema des monats Kleines Glossar Schlüssel für die Sicherheit 3DES Triple DES geht auf DES (s.u.) zurück. Ein Datenblock wird dreimal durch den Algorithmus mit zwei verschiedenen Schlüsseln verarbeitet. Aufgrund der Verschlüsselungstiefe gilt 3DES als sicherer und ist DES vorzuziehen. AES Der Advanced Encryption Standard gilt als DES/3DES Nachfolger ist wie diese NISTstandardisiert. Der mathematische Algorithmus ist schneller und offensichtlich leistungsfähiger. Grundlage ist die Rijndael Spezifikation. Blowfish Das ist ein Verfahren, welches 64-Bit-blockweise verschlüsselt (Block Chipher). Der Schlüssel kann dabei eine variable Länge haben. Blowfish eignet sich besonders für Systeme mit größerer Rechenleistung, die somit den Schlüssel nicht so oft wechseln müssen. DES Der Data Encryption Standard ist ein 64-Bit Block Chiper und verwendet einen 56-BitKey. Er ist technisch relativ einfach und schnell. Damit lassen sich große Datenströme zeitnah verarbeiten. Diffie-Hellman Zwei Partner sind damit in der Lage, den gleichen Schlüssel untereinander auszuhandeln, ohne daß der Schlüssel über die Leitung geht. Dabei übertragen beide Seiten über die öffentlich zugängliche Infrastruktur Daten, die dann lokal jeweils mit dem privaten Schlüssel berechnet werden. Im Ergebnis generiert jeder Partner damit den gleichen Schlüssel für eine symmetrische Verschlüsselung. DSS Der Digital Signature Standard ist ebenfalls von NIST festgelegt und dient der Authentifizierung. Dazu wird der Digital Signature Algorithm, ein Hash-Verfahren, verwendet. Hash Die Hash-Function ist mathematisch eine Einweg-Funktion. Es gibt mit außerordentlich großer Wahrscheinlichkeit bisher keine Rückfunktion dafür. Aus den Eingangsgrößen wird ein Ergebnis ermittelt. IDEA Der International Data Encryption Algorithm ist ein blockorientierter Verschlüsselungsalgorithmus, der einen 128-Bit Schlüssel für 64-Bit-Blocks verwendet. In jedem der acht Durchläufe wird jeder Eingabeblock in vier 16-Bit Blöcke zerlegt, dann werden jeweils 16-Bit-Ausgabeblöcken erzeugt, die wieder zu einem 64-Bit Block zusammengesetzt werden. Dabei in jeder Runde immer sechs der 16-Bit-langen Teilschlüssel verwendet. RC2 Von Ron Rivest (RSA Data Security Inc.) entwickelt, ist RC2 ein blockorientiertes Verfahren mit variablen Schlüssellängen. Der Algorithmus ist sehr schnell. Aufgrund der Möglichkeit, längere Schlüssel zu der verwenden, wird RC2 als sicherer als DES beurteilt. RC4 Wie RC2, jedoch ein streamorientiertes Verfahren. RSA Bezeichnet nach seinen Erfindern, Rivest, Shamir und Adleman, dient RSA sowohl zur Authentifizierung als auch zur Verschlüsselung. Es ist vorrangig ein Public-Key-Verfahren, kombiniert allerdings auch Secret Key für die Verschlüsselung und HashFunktion für die Signatur. Twofish Diese Weiterentwicklung von Blowfish ist ein 64-Bit-Block Cypher, das Schlüssel mit bis zu 256 Bit verwendet. Der Schlüssel wird in vierzig 32-Bit-Bitkombinationen (Subkeys) aufgeteilt, denen unterschiedliche Funktionen imAblauf zukommen. Insgesamt durchläuft der Block sechzehn Runden. Mode wird die eigentliche ISAKMPSA ausgehandelt. Diese hat wie IPsec ebenfalls eine bestimmte Lifetime. Insofern wiederholt sich der Quick Mode immer dann, wenn eine neue SA benötigt wird, weil die alte aufgelöst wird. Im ersten Schritt im Main Mode tauschen beide Partner der Kommunikation die Parameter für den Hash und die Verschlüsselung für die ISAKMPSA aus. Nachfolgend verschicken die Partner ihre Public Keys und eine nach bestimmten Regeln generierte Zufallszahl (Nonce) für den DiffieHellman-Prozeß. Alles weitere erfolgt verschlüsselt. Im dritten Schritt tauschen die beiden Peers ihre Identitäten aus. Dazu wird ein sogenannter Preshared Key oder ein von einer zentralen Certificate Authority beglaubigtes Zertifikat benutzt. Die Daten werden anhand der übertragenen Hashes auf ihre Korrektheit überprüft. Daneben wird ein erster Key für den Quick Mode generiert, um die eigentliche ISAKMP-SA aufzubauen. Die geschützte Übertragung der Identitäten der Partner ist ein wesentliches Merkmal des Main Mode. Aggressive Mode Wenn der Schutz der Identität nicht erforderlich ist, kann der schnellere Aggressive Mode genutzt werden. Die initiierende Seite generiert ein Diffie-Hellman-Zahlenpaar und übertragt den öffentlichen Teil (Key exchange Value) zusammen mit der eigenen ID und dem Nonce zum Partner. Dieser macht das gleiche und ergänzt sein Antwortpaket mit seinem Signaturdatum. Der Initiator prüft die Signatur und antwortet mit der eigenen Signatur. Danach ist eine ISAKMP etabliert und es beginnt der Quick Mode. Der gesamte Prozeß ist somit schneller. Allerdings besteht die Gefahr des Mithörens bei der Etablierung einer ISAKMP-Verbindung. Die eigentliche ISAKMP-SA ist davon nicht betroffen. 10 Ausgabe 10/2002 28 TECHNOLOGIE UPDATE Quick Mode Der auf den Main Mode bzw. Aggressive Mode nachfolgende Quick Mode erfüllt zwei Funktionen. Zum einen die Aushandlung einer IPsecSA, zum anderen die regelmäßige Generierung neuer symmetrischer Schlüssel. Der oben angesprochene Schlüsselaustausch findet im im wörtlichen Sinne nicht statt. Entweder wird auf jeder Seite ein neuer Schlüssel aus dem vorhergehenden ermittelt, oder es wird über den DiffieHellman-Prozeß ein frischer Schlüssel errechnet. Letzteres ist als Perfect Forward Secrecy (PFS) beschrieben. Generell gilt, daß ein Schlüssel nicht übertragen wird. Es findet sehr wohl ein Schlüsseltausch, jedoch kein austausch statt. Der Quick Mode überträgt die Daten ausschließlich verschlüsselt über die ISAKMP-SA. Für einige praktische Lösungsvarianten sind wir der Frage nach der Interoperabilität nachgegangen, um zu sehen, wie zwischen Komponenten verschiedener Hersteller IPsecVerbindungen aufgebaut werden. Im Compu-Shack Labor wurde die Zusammenarbeit zwischen Geräten von BinTec, Cisco und SonicWALL getestet. In der nächsten Ausgabe wollen wir IP-VPN daher praktisch umsetzen und Ihnen von unseren Ergebnissen berichten. .NET Server Teil 2: DNS und Active Directory Von Jeannette Saebisch Nachdem wir Ihnen die neuen Features und Verbesserungen der .NET-ServerFamily vorgestellt haben, wollen wird darangehen, uns mit den Neuerungen im Bereich DNS und vor allem mit dem Active Directory zu beschäftigen. D DNS ist nicht zuletzt wegen des direkten Zusammenhangs mit dem Active Directory in einem MicrosoftNetzwerk einer der wichtigsten Dienste. Unter Windows 2000 war DNS schon ein überaus stabiler und guter Dienst, der unter .NET nur wenige Verbesserungen benötigt. Die ”Basic Compliance mit DNS Security Extensions”, nach RFC 2535 ist eine solche. DNS verbessert .NET DNS kann KEY, SIG und NXT Records speichern und diese in Abfragen entsprechend der RFC 2535 integrieren. Er kann zwar nicht die spezifizierten kryptografischen Operationen durchführen, wie KEY/SIG Record-Erstellung, Nachrichtensignierung oder Signatur Verifikation, doch kann er diese speichern und nutzen. Ein Administrator kann einen .NET DNS-Server als sekundären Server für die signierte Zone nutzen, deren primäre Kopie auf einem Server liegt, der die DNS Security Extensions vollständig unterstützt. Fehlerlösungshilfen Ein weiteres Feature, das der Administrator bei einem gesunden, ordentlich konfiguriertem DNS vielleicht gar nicht sofort bemerkt, sind die 10 Ausgabe 10/2002 29 Domain Join Procedure Enhancements zum Feststellen inkorrekt konfigurierter DNS-Dienste (vgl Abb. 1). Ist DNS nicht korrekt konfiguriert und kann ein Computer der Domäne nicht beitreten, da er keinen Domänen-Controller findet oder dieser nicht erreichbar ist, wird ein Debugging der DNS-Infrastruktur angestoßen und die entsprechenden Ergebnisse, einschließlich der Fehlerlösungshilfen, in einem Report präsentiert. Abb. 1: Debug-Infos in DNS DNS-Traffic minimiert Im DNS gibt es jetzt sogenannte Stubzones und Conditional Forwarding, die beide helfen, das thema des monats geleitet als Abfragen nach .de-Namen, und alle übrigen Abfragen wiederum an dritte Server. Mit der Unterstützung des EDNS0Protokolls, definiert in RFC 2671, kann der DNS-Server jetzt UDP DNS Messages größer als 512 Oktette akzeptieren und übersetzen. Dies ist beispielsweise bei SRV-Abfragen nach lokalen DCs nützlich, da diese unter Windows 2000 oft in mehreren UDP Round Trips zum Erstellen von TCP-Sessions abgehandelt wurden. Abb. 2: Conditional Forwarding Routen von DNS-Traffic im Netzwerk zu minimieren. Stubzones bieten dem DNS-Server Namen undAdressen von DNS-Servern an, die autoritativ für die vollständige Kopie der Zone sind, die sie selbst nur unvollständig besitzen, ohne dabei auf den Root-Server zurückgreifen zu müssen. Damit können auch entsprechende Zonen auf DNS-Servern klein gehalten werden.Anders als unter W2K ermöglicht das Conditional Forwarding (vgl Abb. 2) ein Weiterleiten von Anfragen nicht allein an nur ein Set von DNS-Servern, sondern je nach Abfrage gleich an unterschiedliche Server. Beispielsweise werden Abfragen nach .com-Namen an andere Server weiter- Active Directory Bei der Betrachtung des Active Directory lernen wir gleich zwei weitere neue Features kennen, nämlich die Speicherung von Active Directory Integrated Zones in den neuen Application Partitions (vgl Abb. 3) und die Verwaltung von DNS Clients über Gruppenrichtlinien. Application Partition Beginnen wir mit den Replikationserweiterungen. Denn die erste wesentliche Neuerung im Active Directory ist eben die Application Partition. Wir kennen aus Windows 2000 Active Directory drei Partitionen, die ein DC vorhält, die SchemaPartition, die Konfigurations-Partition und die Domänen-Partition. Abb. 3: Anlegen der Partitionen unter DNS Unter .NET können wir nun zusätzliche Applikations-Partitionen erstellen, auf denen wir dynamische Daten ablegen können. Da wir genau bestimmen können, welche DC im gesamten Forest (!) Replikas dieser Partition enthalten, haben wir somit die Möglichkeit, den Replikationsverkehr zu kontrollieren und einzugrenzen. Einzige Einschränkung ist, daß wir alle Arten von Objekten auf dieser Partition ablegen können außer Security Principals, d.h. Benutzer, Gruppen und Computer. Sinn macht es aber bei dynamischen Daten von Netzwerkdiensten wie RAS, RADIUS oder DHCP. Wie oben erwähnt, können wir auch Active Directory integrierte DNS-Zonen auf einer solchen Partition ablegen und somit Forestweit unsere DNS-Zonen replizieren. Außerdem haben wir dadurch weniger Objekte, die im Global Catalog abgelegt sind. Installation vereinfacht Erstellen können Sie ApplikationsPartitionen während der DNS Installation, zu der übrigens nicht mehr das i386 benötigt, oder aber zu jeder beliebigen Zeit mit dem ntdsutil, welches wir schon aus W2K kennen. Ebenso wie die Installation von AD, ist auch die von DNS differenzierter geworden, aber auch fehlerfreier und vereinfacht implementiert. Wir erinnern uns an das Anmelden im einheitlichen Domänenmodus unter W2K, wo ein Global Catalog Server erreichbar sein mußte, um UniversalGruppenmitgliedschaften und User Principal Names zu verifizieren. Dadurch war unter Umständen die Konfiguration von GCs auch in Remote Sites oder Zweigstellen nötig. Das fällt unter .NET nun weg, da ein Domänen Controller in einer Site, der nicht die GC-Funktion beinhaltet, so konfiguriert werden kann, daß er Universal-Gruppenmitgliedschaftsabfragen cachen kann, wenn er Benutzeranmeldungen verarbeitet. Er fragt periodisch konfiguriert seinen GC nach Aktualisierungen ab und arbeitet so lange mit seinen gecachten Informationen. Konfigurierbar ist das ganze unter Sites und Services mit der Einstellung Global Catalogless logon. 10 Ausgabe 10/2002 30 Replikationen Eine tolle Verbesserung gibt es bei der Gruppenmitgliedschafts-Replikation. Unter W2K wurde eine Gruppe als Einheit repliziert und verursachte bei entsprechender Größe und Häufigkeit der Änderungen viel Replikationsverkehr. Des weiteren konnten bei gleichzeitiger Änderung der Mitgliedschaft einer Gruppe auf mehreren DC Aktualisierungen der Mitgliedschaften verlorengehen. Diese Probleme gibt es im Forest Native Mode (s.u.) unter .NET nicht mehr, da hier die Änderungen selbst repliziert werden und nicht mehr die gesamte Gruppe. Beim Erstellen zusätzlicher DCs in einer Domäne muß die gesamte ADDatenbank repliziert werden. Hierbei ist es jetzt möglich, die erste Replikation anhand von Backup-Dateien, die auf Tape, CD oder DVD gespeichert sind, zu starten. Dafür nutzen wir dcpromo/adv, den Advanced Installationsmodus. Für die Replikation zwischen Sites kann unter .NET die Komprimierung des Replikationsverkehrs ausgeschaltet werden. Der Intersite Topology Generator (ISTG) arbeitete bei großen Strukturen unter W2K unzuverlässig. Verbesserte Algorithmen sorgen inzwischen dafür, daß auch der ISTG besser arbeitet, allerdings erst im Active Directory Forest Functionality Level. Application Support Im Bereich Application Support sind zwei Neuerungen hervorzuheben. Im Schema können Attribute und Klassen deaktiviert werden. Man kann jetzt eine neue Klasse mit dem Namen einer deaktivierten Klasse anlegen. Neu angelegte Objekte im Schema können, im Gegensatz zu vordefinierten, auch wieder ganz aus dem Schema gelöscht werden. Gut ist die Funktion des Deaktivierens auch für fehlerhafte Klassen, die erst nach der Aufnahme ins Schema entdeckt werden. Nach Deaktivierung können die Einstellungen dann korrigiert werden und das Objekt neu aktiviert werden. Der zweite Punkt ist die simple Tatsache, daß im AD nun alle Objekte Mitglieder von Gruppen sein können. Restrukturieren Kommen wir zum großen Thema Planen und Restrukturieren von Active Directory. Die bekannteste Entwicklung ist wohl das Umbenennen von DC. Dies ist theoretisch gesehen ein einfacher Vorgang, der lediglich voraussetzt, daß die Domäne, wo der DC hingehört, im .NET FunktionalitätsLevel arbeitet und abschließend einen Neustart des DC erforderlich ist. DNS-Einträge und Active Directory werden automatisch aktualisiert, so denn DNS im Vorfeld ordentlich konfiguriert ist. Praktisch gesehen sind solche Umbenennungen natürlich mit Vorsicht zu genießen und nur, wenn zwingend erforderlich, zu tätigen. Auch die Domäne selbst kann umbenannt werden, was ein ganz großes Thema unter .NET ist und ähnlich zu betrachten ist. Hierbei wird weder die SID noch die GUID der Domäne geändert, sondern nur der und NetBIOSName. Einschränkungen gibt es dabei auch. So kann man zwar eine Forest-Root-Domäne umbenennen, jedoch nicht eine andere über diese stellen. Jeder DC muß nach der Umbenennung neu gebootet werden und jeder Mitgliedscomputer gleich zweimal, was unter Microsoft jedoch nichts Ungewöhnliches ist, wenngleich wir gerne darauf verzichten würden. Die Domänen-Umbenennung sollte aber aufgrund der Komplexitität und der Folgen für den gesamten Forest nur nach sorgfältiger Abwägung der Risiken genutzt werden. Cross Forest Eine sehr gute Neuerung sind die Forest Trusts. Alle Domänen eines 10 Ausgabe 10/2002 31 Forests können dadurch transitiv allen Domänen in einem weiteren Forest vertrauen, und zwar über einen einzigen Link. Diese Transitivität wird logischerweise aber nicht weitergegeben, wenn ein Forest beispielsweise zwei Forest Trusts zu verschiedenen Forests vorweist. Es kann überdies bestimmt werden, ob der Trust One-Way oder Two-Way sein soll. Dazu gibt es auch einen neuen Assistenten und Tools, die es erleichtern; die Vertrauensstellungen inklusive der vertrauten Namensbereiche zu verwalten und zu konfigurieren. Bei der dazugehörigen ”Cross-Forest Authentifizierung” kann sich ein Benutzer aus dem einen Forest sicher an einem Computer im anderen Forest anmelden, um auf dortige Ressourcen zuzugreifen. Das ganze funktioniert über Kerberos oder NTLM; Single-sign-on bleibt weiter gewährleistet. Integriert sind dabei Namensauflösungsfunktionen, die mit Routing Hints und mit dem KDC arbeiten. Und UPN-Credentials werden ebenfalls vollständig unterstützt. Die auch damit einhergehende ”Cross-Forest-Autorisierung” ermöglicht dem Administrator Benutzer aus anderen Forests problemlos in eigene ACLs oder lokale Gruppen einzubinden. Hierbei sind auch SID-NameÜbersetzungen und SID-Filtering mit eingeschlossen. Integration Beschäftigen wir uns nun mit der Verzeichnisdienst Migration und Integration. Die schon erwähnten Forest- und Domänen-Funktionalitäts-Level kennen wir schon in vereinfachter Form als gemischten und einheitlichen Modus unter Windows 2000. Sie beschreiben, welche Funktionen im Forest oder in der Domäne verfügbar sind. Wenn alle DC im Forest .NET Server sind und das Functionality Level .NET ist, sind alle Features erst verfügbar. Gibt es thema des monats Tabelle 1 Domain Feature Domain Controller Rename Update Logon Timestamp Kerberos KDC Key Versionsnummern Benutzer-Paßwörter auf InetOrgPerson Objekt Universal Groups Group Nesting Converting Groups zwischen Distribution und Security SID History Win 2000 mixed deaktiviert deaktiviert deaktiviert Win 2000 native deaktiviert deaktiviert deaktiviert Windows .NET aktiviert aktiviert aktiviert deaktiviert deaktiviert aktiviert deaktiviert von Security Groups, erlaubt von Verteilergruppen. nur für Distribution Groups vollständig möglich. deaktiviert aktiviert aktiviert aktiviert aktiviert aktiviert aktiviert aktiviert aktiviert Security Groups erlaubt Universal Groups für Verteilergruppen Tabelle 1: Features der Domain Functionality Level noch Windows 2000 DC oder gar NT4, sind die Features eingeschränkt. Wir unterscheiden zwischen Domänen- und Forest-Funktionalität (vgl Abb. 4). Domänenfunktionalitäten gibt es deren drei und diese betreffen ausschließlich die Domäne an sich. Als Default gibt es den Windows 2000 mixed Modus, darin können sich DC unter .NET, W2K und NT4 befinden. Der Windows. 2000 native Modus kann .NET und W2K DC beinhalten Abb. 4: Forest-Funktionalität und im .NET Modus haben wir nur noch .NET DC (siehe Tabelle 3). ie Forestfunktionalität betrifft den gesamten Forest und hat zwei Level: per Default den Windows 2000 ModusDC zu NT4, 2000 und .NET sowie den .NET Modus- DC nur zu .NET (siehe Tabelle 4). Migration Für ein Forest und Domain Upgrade gibt es ein Tool, was uns an die Installation von Exchange erinnert: adprep. Es wird vor dem Upgrade des ersten DC einer Windows 2000 Domäne benötigt, bei der Aktualisierung einer Domäne von NT4 oder d c promo auf einem .NET Server ist es nicht notwendig. Wir brauchen dieses Tool, um vor einem Upgrade das System auf die neuen Fähigkeiten vorzubereiten. F o r e s t p r e p wird mit adprep/forestprep auf dem Schema Master ausgeführt, D o m a i n p r e p mit a d p r e p / domainprep auf dem Infrastructure Master jeder Domäne. Im Vorfeld ist es aber zwingend w i n n t 3 2 / checkupgradeonly auszuführen. Das Active Directory Migration Tool (ADMT) ist um mehrere Funktionen erweitert worden, um Password Migration, um ein neues Scripting Interface einschließlich Befehlszeilenunterstützung und um Verbesserungen im Umfeld der Security Translation. Gruppenrichtlinien Viele Neuerungen finden wir auch bei den Gruppenrichtlinien. Ein Group Policy Management Tool (GPMT) wird zur Zeit von Microsoft vorbereitet und wird eine Oberfläche zum einfachen Konfigurieren, Testen und Erstellen von GPOs anbieten. Dieses Tool soll nach dem Veröffentlichen des .NET Servers zur Verfügung stehen und auch auf Windows 2000 ausführbar sein. Jetzt schon gibt es aber den Resultant Set of Policies Assistenten (RSoP). 10 Ausgabe 10/2002 32 Dieses Tool erlaubt dem Admin, sich die Auswirkungen von Gruppenrichtlinien-Einstellungen auf einen Benutzer oder einen Computer aktuell oder in einer ”Was-wäre-wenn”Konstellation anzuschauen. Dafür gibt es den Logging und Planning Modus. Doch auch WMI-Filtering ist nutzbar, um zu testen, welche Auswirkungen Gruppenrichtlinien haben können, dess es ermöglicht die Abfrage von Bedingungen, bevor Gruppenrichtlinien ausgeführt werden. So im Bereich der Software-Verteilung, wo zuvor überprüft wird, ob auch genügend Ressourcen vorhanden sind. Bei den Administrativen Templates gibt es außer der Online-Hilfe-Unterstützung die Möglichkeit, sich anzusehen, für welche Clients eine Einstellung greift. Eine Web-Ansicht gibt es zudem auch. Da wir Trusts zwischen verschiedenen Forests haben können, ist auch die Unterstützung der Gruppenrichtlinien dafür ausgelegt. Leider fehlt noch das grafische Tool unter Beta 3Beim interaktiven Anmelden eines Benutzers aus dem einen Forest auf einem Computer in einem anderen Forest kann beispielsweise auch Loopback Processing genutzt werden. Logon Scripts, die sich auf einer Freigabe in einem vertrauten Forest befinden, werden genauso abgearbeitet. Auch kann ein Softw areVerteilungspunkt genutzt werden, der sich in einem anderen Forest befindet. Das Gleiche gilt für Roaming User-Profiles und Redirected Folders. Als Befehlszeilenoption kennen wir schon g p r e s u l t . Neu ist g p u p d a t e , das s e c e d i t / refreshpolicy ersetzt. Es gibt nicht weniger als über 220 neue Gruppenrichtlinien-Einstellungen. Diese reichen von Software Restriction Policies, neuen Einstellungen in Network and Dial-up Connections, dem Deaktivieren des Credential Managers über Terminal Server und Authorization Manager Einstellungen bis hin zu neuen Computer Policies bei den Roaming User Profiles. Doch Achtung, wenn Sie eine englische Beta3 Version nutzen, denn hierin sind die Software Restriction Policies noch fehlerhaft! Eine Neuerung ist das Verwalten von DNS Clients, deren Einstellungen jetzt an .NET-Clients über Gruppenrichtlinien verteilt werden können. Die adm.-Dateien von .NET lassen sich importieren und auf einem W2K-Server einspielen! Administration Auch bei der Administration ist einiges verbessert worden. Im Rahmen der Access Control Lists zum Beispiel Tabelle 2 Forest Feature Global Catalog Replication Tuning Forest trust Linked value replication Domain rename Replikations-Algorithmen Dynamische Auxiliary Klassen InetOrgPerson objectClass change Defunct Schema Objekte Windows 2000 deaktiviert deaktiviert deaktiviert deaktiviert deaktiviert deaktiviert deaktiviert deaktiviert Windows .NET aktiviert aktiviert aktiviert aktiviert aktiviert aktiviert aktiviert aktiviert Tabelle 2: Features der Forest Functionality Level 10 Ausgabe 10/2002 33 können Berechtigungen jetzt auf einen Default-Wert zurückgesetzt werden oder die effektiven Berechtigungen für ein ausgewähltes Security Principal angezeigt werden. Sie können sich anschauen, wer der übergeordnete Container im Falle von Vererbung ist, und eine Checkbox zum Hinweisen auf zusätzliche Berechtigungen gibt es auch. Object Picker UI-Verbesserungen erlauben das gleichzeitige Auswählen mehrerer Benutzer, Gruppen, Computer oder Kontakte im AD. Sie werden von vielen UIs genutzt. Dazu gehören auch die Saved Queries, mit deren Hilfe der Administrator Abfragen sichern, wiederöffnen, aktualisieren und per E-Mail versenden kann. Sinnvoll, um zum Beispiel die Ergebnisse einer Attributsabfrage zum Dokumentieren oder Analysieren zu exportieren. Auch ist die Herabstufung eines DC verbessert worden, so daß der DC auch dann herabgestuft werden kann, wenn er die letzte Replica einer Application Partition vorhält Das Lingering Object Removal ist ein Mechanismus, der über repadmin zu erreichen ist. Stellen wir uns vor, ein DC geht offline. Zum Zeitpunkt der Wiederaufnahme des Betriebs ist die Tombstone Lifetime von markierten Objekten schon abgelaufen. Dadurch bleiben diese Einträge auf dem DC, da sie beim Replizieren nicht mehr beachtet werden. Der Mechanismus entfernt dann solche Objekte. Auch dem Tool Active Directory Domains and Trusts entdecken wir Neues, so wird ein Trust für beide Seiten an einer Stelle integriert, wenn die Credentials sauber eingegeben werden. Protokolle Die Protokollunterstützung von Active Directory bietet Erweiterungen bei LDAP. Dynamische Einträge basierend auf RFC 2589 werden unterstützt, LDAP-Verbindungen laut thema des monats RFC 2830 durch TLS geschützt. DIGEST-MD5 SASL Authentifizierungsmechanismen, spezifiziert in RFC 2829, wurden integriert. Eine Unterstützung für Dynamic Auxiliary Classes wird geboten und auch konkurrente LDAP-Bindungen sind möglich, um nur einige Erweiterungen zu nennen. Tools und Monitoring Abschließend bleibt uns noch der Blick auf die Active Directory Tools und Monitoring. WMI Classes können erfolgreiche Replikation auf DC selber und durch Überprüfen der Trusts kontrollieren. Den Ordner Support\Tools gibt es auch weiterhin, mit den altbekannten Werkzeuge M o v e T r e e , S I D w a l k , DSACLS, RepAdmin, ReplMon und wie sie alle heißen. ge auf Sie (vgl Abb. 5). Schon beim simplen Herunterfahren des DC müssen Sie einen Grund angegeben, warum Sie das gerade tun möchte! Um dieses ist lästige Fragerei auszuschalten, muß man bei dem folgenden Key in der Registrierung den Wert auf 0 setzen:HKEYLOKALMACHINE\soft ware\microsoft\windows\C urrentVersion\reliability\Shut DownReasonUI. Fazit Eine Beta ist halt immer etwas wakkelig, doch wie dem auch sei, auf .NET werden wir uns gewiß freuen dürfen. Das Betriebssystem beinhaltet viele wertvolle Neuerungen und sinnvolle Änderungen von Features, die wir unter Windows 2000 vermißt oder bemängelt haben. Schon jetzt lohnt es sich auf jeden Fall, einen Blick auf die neuen Eigenschaften von .NET zu werfen und deren Integration in der Praxis auszutesten. Wer neuen Produkten anfangs skeptisch gegenübersteht, sollte vielleicht zunächst auf Windows 2000 umstellen, da eine Migration auf .NET ziemlich problemlos und vergleichsweise einfach sein wird. Haben Sie bereits ein Windows-2000-Netzwerk, ist anfangs ein Komplettumstieg sicher nicht zwingend. Doch lohnt es, einen .NET Server in Betrieb zu nehmen, um die neuen Funktionen im Windows2000-Netz zu nutzen. Ein kompletter Umstieg auf Windows .NET ist ja jederzeit möglich. Haben Sie noch eine gemischte Umgebung oder ein reines NT 4 und wollen möglichst schnell auf Active Directory aktualisieren, ist ein Upgrade auf Windows 2000 erst einmal der schnellere und sicherere Weg. Auch hier gilt, daß eine Aktualisierung jederzeit einfach auf .NET durchzuführen ist. Shutdown Es ist zwar unter .NET sehr angenehm und bequem, daß nahezu jede Installation von Diensten, Applikationen und Hardware fast völlig automatisiert und mit zahlreichen Assistenten versehen abläuft, doch wenn Sie den .NET-Server herunterfahren, wartet eine überraschende System-NachfraAbb. 5: Shutdown Windows 9x: Autostart von Programmen Wenn Sie beim Systemstart von Windows 9x ein Programm, welches sich nicht im Ordner Autostart befindet und dennoch automatisch gestartet wird, gar nicht ausführen lassen möchten, so kann Ihnen vielleicht ein Utility namens MSConfig.exe weiterhelfen. Es ist im Lieferumfang der Microsoft Betriebssysteme enthalten. Zwar können damit viele automatisch startenden Anwendungen lokalisiert werden, aber leider nicht alle. Nach dem Start der MSConfig.exe wählen Sie den Reiter Autostart, woraufhin eine Liste mit Programmen erscheint, welche auf verschiedene Art und Weise automatisch beim Start des PCs ausgeführt werden. Wenn Sie die entsprechende Applikation damit nicht gefunden haben sollten, so suchen Sie die Programme mit Hilfe von Regedit bei den Registry-Keys HKEY_LOCAL_MACHINE/Software/ Microsoft/Windows/CurrentVersion... unter .../Run, .../ RunOnce, .../RunServices und .../RunServicesOnce. Sollte auch die Suche unter den vier genannten Registry-Keys nicht erfolgreich sein, so haben Sie noch die Möglichkeit, weitere Einträge der Registry-Keys HKEY_CURRENT_USER/Software/Microsoft/Windows/ CurrentVersion... unter .../Run, .../RunOnce, .../ RunServices und .../RunServicesOnce zu analysieren. Unter Windows NT ist es HKEY_CURRENT_USER/Software/Microsoft/ Windows NT/CurrentVersion/Windows, denn bei den hier vorgestellten Registry-Keys handelt es sich um eine Zusammenfassung aller Windows-Versionen. Je nachdem welches Betriebssystem Verwendung findet, taucht der ein oder andere Key nicht auf. 10 Ausgabe 10/2002 34 Technik News Sonderheft Wireless LAN - Drahtlose Technik im Detail Wireless LAN bringt Bewegung ins Netzwerk. Mit der bevorstehenden Frequenzband-Freigabe wird in Europa endlich auch die Nutzung des 5GHz-Bandes für den lizenzfreien Betrieb freigegeben. Die 802.11h Arbeitsgruppe ist derzeit dabei, den 802.11a-Standard soweit anzupassen, daß die europäischen Anforderungen erfüllt sein werden. Damit wird - erwartungsgemäß gegen Ende 2002 - der Verbreitung von Produkten mit 54 Mbps nach IEEE 802.11 a/h nichts mehr im Wege stehen. OFDM bis 54 Mbps Als erfahrener Buchautor und Fachmann für das Wireless Networking zeigt Jörg Rech in einem neuen Technik News Sonderheft die drahtlose Technik im Detail. Er erklärt die Neuerungen, die sich aus dem Standard 802.11a/h ergeben werden, der die Datenraten bis 54 Mbps im 5GHzBand definiert. Anstelle der FHSS- oder DSSS-Technologie wird hierbei mit der OFDM-Technologie das Ortogonal Frequency Division Multiplexing angewendet, mit dem hohe Datenraten von 6 bis 54 Mbps erzielt werden. 802.11a/h und g Interessant dürften zukünftig die Entwicklungen des Standards 802.11g sein. Hierbei handelt es sich um eine Lösung im 2,4-GHz-Band, bei der über das OFDM-Verfahren ebenfalls eine Datenrate bis 54 Mbps erzielt werden kann, wobei sich bereits vorhandene frequenzabhängige Infrastrukturen wie Antennen weiterhin nutzen lassen. Zudem ist die erzielbare Reichweite gegenüber dem 5-GHz-Band höher, da die Dämpfung von Hindernissen, wie beispielsweise Mauerstein, wesentlich von der genutzten Frequenz abhängig ist. Erste Prognosen deuten darauf hin, daß sich die 802.11g-Lösungen für die Indoor-Anwendungen und die 802.11a/h-Lösungen im OutdoorBereich für die Richtfunkstrecken durchsetzen werden. Wireless LAN Topologien Das Tec hnik News Sonderheft Wir eless LAN stellt die diversen Topologien vor und erklär t die Sicherheitsproblematik und nennt die Einzelheiten der WEP-Verschlüsselung und Authentifizierung. Die Antennentechnik wird ebenfalls behandelt, und wer ganz hoch hinaus will, wird sich für Yagi-Antennen in gebäudeübergreifenden Installationen interessieren. Das Technik News Sonderheft Wireless LAN - gesponsert von der Compu-Shack Production - ist mit 36 Seiten technisch anspruchsvoller Information für nur 5,- € zu haben. Sie können es unter w w w . t e c h n i k - n e w s . d e zuzüglich Verpackung, Porto und Versand bestellen. Auch im Compu-Shack FachhandelsPortal unter http://portal.compushack.de finden Sie ein Bestellformular. Netzwerkseminare: Highlights im Oktober/ November 2002 Kursbezeichnung Deploying and Managing Microsoft ISA Server 2000 Deploying and Managing MS Application Center 2000 Designing a Windows .NET DS Infrastructure ZENworks for Desktops 4 ZENworks Update Cisco Unity System Engineer Deploying DQos for the Enterprise Networks Enterprise Voice over Data Design Cisco Secure PIX Firewall Adanced Cisco Secure Virtual Private Network Alle genannten Preise gelten zuzüglich der gesetzlichen Mehrwertsteuer. Kurs-Nr. MS 2159 Termin 16.10.-18.10.2002 26.11.-28.11.2002 MS 2203 07.10.-08.10.2002 14.11.-15.11.2002 MS 2281 07.10.-09.10.02 NV 3006 04.11.-08.11.02 11.11.-15.11.02 25.11.-29.11.02 NV 781a 29.10.-31.10.02 20.11.-22.11.02 Cis CUSE 04.11.-08.11.02 Cis DQOS 07.10.-10.10.02 12.11.-15.11.02 Cis EVodd 3.1 19.11.21.11.02 Cis PFA 19.11.-22.11.02 Cis VPN 28.10.-31.10.02 Veranstaltungsort Neuwied München München München Neuwied Potsdam München Neuwied Neuwied München Neuwied Neuwied Neuwied Neuwied Neuwied München Preis in € 1.190,790,1.190,1.850,1.190,2.550,1.850,1.380,2.040,2.040,- Das aktuelle Trainings-Programm finden Sie unter www.training.compu-shack.com, persönliche Beratung unter: 02631-983-317 oder per e-Mail an [email protected]. 10 Ausgabe 10/2002 35 h HOTLINE Stand: 13. September 2002 Technik-News Patch-CD Oktober 2002 NetWare NW 6.0 299913.exe CONONE133SP1.exe DHCP311D.exe DSAUDIT.exe ES7000.exe FLSYSFT7.exe HTTPSTK1.exe NAT600D.exf NFAP1SP2.exe NICI_U0.exe NSSCHECK.exe NW56UP1.exe NW6_ISS.txt NW6NSS1A.exe NW6SMS1A.exe NW6SP2.exe NWFTPD6.exe SNMPFIX.exe TCP604S.exe TRUSTEE.exe XCONSS9F.exe Windows Clients NW 5.1 299913.exe 4PENT.exe AFNWCGI1.exe COMX218.exe CONONE133SP1.exe DLTTAPE.exe DS760A.exe DS880D_a.exe DSAUDIT.exe DSBROWSE.exe FLSYSFT7.exe FP3023A.exe FP3023S.exe HDIR501C.exe IDEATA5A.exe JVM133SP1.exe NAT600D.exe NDP21P4.exe NESN51.exe NFAP1SP2.exe NICi_U0.exe Win 95/98 dt. NC332SP1.exe NPTR95B.exe W98332E.exe Win NT/2000/XP dt. 276794.exe NC483SP1.exe WNT483G.exe Win 95/98 engl. NC332SP1.exe NPTR95B.exe W98332E.exe Win NT/2000XP engl. 276794.exe NC483SP1.exe WNT483E.exe Miscellaneous Updates NW SAA 4.0 NW4SAA.exe SAA40020.exe SAA4PT1.exe iChain 2.0 IC20SP1.exe HOTLINE Windows NT 4.0 DEUQ300972I.exe SP6I386G.exe Englische Updates rot grün eDirectory 8.x AM210PT2.exe AM210SNP.exe AMW2KP2A.exe AMW2KSP1.exe C1UNX85A.exe DSRMENU5.tgz DSX86UPG.tgz EDIR8527.exe EDIR8527.tgz EDIR862.exe EDIR862.tgz EDIR862SP2.exe EDIR862SP2.tgz EDIRW32.exe NDSUNIX4.tgz PWDSCH.exe SIMPLE862UP.tgz UNIXINF1.tgz UNIXINS2.tgz ZENworks GroupWise 6.6 GW62AOT.exe GWIA6SP1.exe GW6SP1.exe GWPDLOCK.exe GW6TOMCAT_NT.exeGWPORT32.exf GW6WASF.exe WAVIEW71.exf GWCSRGEN2.exe Deutsche Updates Windows NT 4.0 MPRI386.exe PPTPFIXI.exe RRASFIXI.exe SP6I386.exf NW 4.2 DECRENFX.exe DS616.exe GROUPFIX.exe IPG4201.exe IPGSN10A.exe LONGNAM.exe NAT600D.exe NLSLSP6.exe NW4SP9.exe NW4WSOCK.exe NWIPADM.nlm ODI33G.exe SNMPFIX.exe TRUSTEE.exe XCONSS9F.exe NMASPT2.exe NW51FS1.exe NW51SP5.exe NW56UP1.exe NWFTPD6.exe PSRVR112.exe SBCON1.exe SLP107G.exe SNMPFIX.exe STRMFT1.exe TCP590S.exe TRUSTEE.exe TSA5UP10.exe XCONSS9F.exe Tools / DOCs ADMN519F.exe CFGRD6B.exe CRON5.exe DBGLOG1.zip DSDIAG1.exe ETBOX7.exe HIGHUTIL1.exe LOADDLL1.exe MIGRTWZD.exe NCCUTIL5.exe NLSDLL.exe NWSC1.exe ONSITB8.exe STUFKEY5.exe TBACK3.exe TCOPY2.exe ZENworks for Desktops 3.0 ZD322K2.exe ZD3WSMG.exe ZD32DUPW.exe ZD3XWSREG.exe ZD32NOTF.exe ZD3XWUOL.exe 278415.exe ZD3XZISW.exe ZD32NW.exe ZENINTG.exe ZD32SCAN.exe ZFD3SP1A.exe ZD32ZIDS.exe ZENworks 3.0 ZS3SCH.exe Bordermanager 3.5/3.6 ADMATTRS.exe BMAS3X01.exe BM35ADM7.exf PXY031.exe BM36C02.exe PXYAUTH.exe BM36SP1A.exf RADATR3A.exe BM37FLT.exe SETUPEX.exe BM37VPN2.exe Cluster Services CS1SP4.exe CVSBIND.exe Windows 2000 ENPACK_WIN2000ADMIN_GER.exe Q299956_W2K_SP3_X86_DE.exe Q311967_W2K_SP3_X86_DE.exe Q318593_W2K_SP3_X86_DE.exe W2KSP2SRP1D.exe W2KSP3.exe Microsoft .NET NDP10SP357.exe Windows 2000 ENPACK_WIN2000ADMIN_EN.exe Q299956_W2K_SP3_X86_EN.exe Q311967_W2K_SP3_X86_TWE.exe Q316094_W2K_SPLl_X86_EN.exe Q318593_W2K_SP3_X86_EN.exe W2KSP2SRP1.exe W2KSP3E.exe Microsoft .NET NDP10SP317396.exe Windows XP xpsp1_de_x86.exe Internet Explorer 6.0 IE6SETUPG.exe Q313675.exe Q316059D.exe Exchange 5.5 SP4_550G.exe Exchange 2000 EX2KSP2_SERVER.exe Q320436ENUI386.exe Internet Explorer 6.0 IE6SETUPE.exe Q316059D.exe Windows XP Q315000_WXP_SP1_x86_NEU.exe Exchange 2000 WM320920_8.exe Q278523ENGI.exe xpsp1_en_x86.exe Exchange 5.5 SP4_550E.exe seit unserer letzten Veröffentlichung neu hinzugekommen Technik News Service-CD blau gelb Patches aus Platzgründen nicht mehr auf der Monats-CD auf der letzten Service CD 10 Ausgabe 10/2002 36 Bintec Router Software Bingo! Brick XS/Office Brick X.21 X8500 BGO521.bg BRK512.xs BRK495.x21 B6202.x8a Brick XL/XL2 X4000 BRK521P1.xl B6202.x4a Netracer X3200 NR494P1.zip B6202P01.x3b BRK521P2.xs2 Bingo! Plus/Professional BGO494.bgp Brick XMP BRK521P1.XP BrickWare u. Configuration Wizard BW621.exe Brick XM NLMDISK.zip BRK511.xm BRK521P1.xm2 XCentric X1000 / 1200 X2300 XC533.xcm B6202.x1x B6202.x2c MODULE14.xcm Monitoring des Postman-Service Beim DvISE-Server übernimmt der Postman-Service die Schnittstelle zum SMTP-Protokoll, wobei die Verwaltung beliebig vieler SMTP-Ports möglich ist. In den meisten Fällen verläuft die Kommunikation zu anderen Mail-Servern fehlerfrei. Was aber ist zu tun, wenn es zu Problemen kommen sollte? Für einen Problemfall stellt der Postman-Dienst wertvolle Informationen zur Verfügung, nach deren Analyse der Fehler meist lokalisiert werden kann. Wenn Sie sich im Fehlerfall die Kommunikation zwischen dem DvISE- und weiteren Mail-Servern anschauen möchten, so müssen Sie in die folgenden Programme wechseln. Unter Windows 2000 starten Sie den DvISE Administrator und wechseln zur Option Monitor / Ports / DvISE Postman / Communication. Unter Novell Netware finden Sie die entsprechende Option im PostmanNLM unter Monitor / Kommunikation. In beiden Fällen sind Sie in der Lage, den Level und damit die Vielfalt der Informationen zu konfigurieren. Dies geschieht in einem anderen Menüpunkt, und zwar unter Monitor Information, den Sie unter Postman / System / Erweitert finden. Zur Diagnose von Problemfällen sollte hier die Option Vollständig auswählt werden, um ausführliche Daten im Communication-Monitor zu sehen. SMTP-Kommunikation Sehen wir uns an, wie die SMTP-Kommunikation zwischen dem DvISE Postman-Service und weiteren beteiligten Mail-Servern abläuft. Im Standleitungsbetrieb prüft der Postman-Dienst bei einer zu versendenden E-Mail erst einmal, ob User und Host überhaupt vorhanden sind. Dies führt zum Laden der Zonendatei, die wiederum die Host IP-Adresse beinhaltet, damit der entsprechende Mail-Server, der als MX-Eintrag vorhanden ist, herausgefunden werden kann. Ist der Mail-Server nicht eingetragen, so meldet der PostmanService den Fehler could not find <domain.com>. Ist die Ermittlung des zuständigen Mail-Servers für den Host erfolgreich, so erfolgt die Kontaktaufnahme. Der erste Schritt ist also eine Anfrage an den Mail-Server, ob der in der E-Mail-Adresse des Empfängers angegebene User überhaupt existiert. Sollte dies nicht der Fall sein, so sendet der angesprochene MailServer die Message mit Statuscode 550 No such user here. Anschließend baut er die Verbindung ab, woraufhin der Postman-Service die Meldung in den Status der Mail einträgt (Versandauftrag). Wenn der User aber wie gefordert existiert, wird der angesprochene Mail-Server mit dem Statuscode 250 sein OK geben, was wiederum den Postman-Dienst veranlaßt, den Befehl SMTP DATA abzusetzen, der den Datentransfer ankündigt. Ist der Mail-Server auf der Empfängerseite bereit, sendet er den Statuscode 354, woraufhin der Mail-Server des Absenders mit der Übertragung der Daten beginnt. Sobald der PostmanService die Zeichenfolge DATA_END_SIGN sendet, gilt die Übertragung der E-Mails als beendet. Zum Abschluß bestätigt der Mail-Server des Empfängers das Beenden des Datentransfers mit einem weiteren Statuscode 250 als OK. Die empfangene E-Mail wird abgespeichert und steht nun für den Abruf durch den Empfänger zur Verfügung. 10 Ausgabe 10/2002 37 h HOTLINE ARCserve 2000 Name Basis Produkt QO23827.CAZ QO23524.CAZ QO22113.CAZ QO20824.CAZ QO20710.CAZ QO20404.CAZ QO19741.CAZ Edition Updates AE/WG Alle Alle Alle Alle AE/WG Alle QO19666.CAZ AE/WG QO19668.CAZ AE/WG QO19251.EXE AE/WG AS2000SP4.EXE AE/WG QO19353.CAZ Alle QO19352.CAZ Alle QO19351.CAZ Alle QO15556.CAZ QO15169.CAZ QO15991.CAZ QO15579.CAZ QO15331.CAZ QO15176.CAZ QO15571.CAZ QO15178.CAZ QO11058.CAZ QO09494.CAZ QO08105.CAZ QO05692.CAZ LO98929.CAZ QO04949.CAZ QO00944.CAZ QO00943.CAZ LO85115.EXE Beschreibung 09.09.02 03.09.02 05.08.02 17.07.02 16.07.02 11.07.02 02.07.02 Lokale Sicherungsaufträge hängen (engl.) Fehler beim Sichern Oracle 8.1.6 mit RMAN (dt./engl.) Tape Library quick init Setting wird gelöscht (dt. / engl.) Nach Absturz bleiben Aufträge als aktive stehen (dt. / engl.) Im SAN-Umfeld keine Daten auf Band nach Backup (dt. / engl.) Disaster Recovery Service Pack 4 (engl.) Registry Dateien werden nicht alle gesichert (dt./engl.) 01.07.02 01.07.02 28.06.02 28.06.02 24.06.02 24.06.02 24.06.02 AE/WG 12.04.02 AE/WG 05.04.02 AE/WG 23.04.02 AE/WG/ASO 12.04.02 AE/WG/ASO 09.04.02 AE/WG 05.04.02 ASO 12.04.02 ASO 05.04.02 AE/WG 05.02.02 AE/WG 01.11.02 ASO 18.12.01 AE/WG 19.11.01 ASO 01.08.01 AE/WG 05.11.01 Alle 14.09.01 AE/ASO 14.09.01 AE/WG 12.12.00 Client Agenten QO19337.CAZ AE QO19339.CAZ ASO QO15557.CAZ AE LO86966.CAZ AE/WG HOTLINE Datum 24.06.02 24.06.02 12.04.02 22.01.02 Voraussetzung SP4 engl. SP4 engl. / SP3 dt. SP4 engl./ SP3 dt. SP4 engl./ SP3 dt. SP4 engl./ SP3 dt. SP4 engl. Qo15176 dt./SP4 engl. / ASO Qo15178 Fix für Registry Key Handle Leak bei langen Backups (engl.) SP4 engl. Fix für Registry Key Handle Leak bei langen Backups (dt.) SP3 dt. Service Pack 4 selbstextrahierend ohne DR (engl.) Keine Service Pack 4 selbstextrahierend ohne DR (engl.) Keine korrupte Dateien nach Wiederherstellen (Agent) (engl.) SP4 engl. / ASO=Keine korrupte Dateien nach Wiederherstellen (Server) (engl.) SP4 engl. / ASO=QO15178 Rotation Job kein Exchange (dt./engl.) SP4engl./Qo15176=dt./ ASO=Qo15178 Job überschreibt Medium in Save Set (engl.) QO15169 Incrementeller Fix, behebt 20 Probleme (engl.) QO05692+Device Fix Dr. Watson bei Dbasvr und RPC Dienst crashed (dt./engl.) SP3 dt. / SP3 engl. Fehler bei Image File E3406 (dt./engl.) QO15176 dt/Qo15178 engl Dr. Watson NLO unter ARCserve 2000 u. AS400 eing. (dt./engl.) Device Fix Job überschreibt Medium in Save Set (dt.) SP3 de Client Agent, behebt leere Zeilen und Zeichen im Log File (engl.) Keine Job überschreibt Medium in Save Set (engl.) Keine Backup auf Platte (anstelle Bandlaufwerk) durchführen (engl.) SP3 ARCserve 2000 Service Pack 3 in Deutsch Keine Job läuft nicht, wenn von Terminal Server gestartet (engl.) SP3 ARCserve 2000 Service Pack 3 in Englisch Keine Backup Job hängt beim Sichern von System State Keine DR. Watson beim Modifizieren von GFS Jobs (dt.) SP3 dt. Remote Server nicht im Server Tree bei erster Verbindung (dt./engl.) SP3 dt. Dr. Watson b. Öffnen des Job Status SP3 dt./engl. Exchange 2000/Lotus Notes LOG BKUP Unterstützung (dt./engl.) SP3 dt./engl. Universeller NetWare Agent für AE Produkte Build 260 Universeller NetWare Agent für AE Produkte Build 260 NT Agent Registry Details übersprungen (engl.) NWAgent behebt Lizenzfehler (englisch) Keine Keine QO05692 Keine Bandlaufwerke und Changer QO20711.CAZ Alle 16.07.02 Fix und Unterstützung zusätzl.Geräter (dt. / engl.) SP4 engl./ SP3 dt. Exchange Agent QO22840.CAZ AE/WG QO22831.CAZ AE/WG QO13758.CAZ AE/WG QO13760.CAZ Alle LO94975.CAZ AE/WG QO06202.CAZ AE/WG 21.08.02 21.08.02 18.03.02 18.03.02 04.06.01 28.11.01 Kumulatives Brick Level Update (engl.) Kumulatives Brick Level Update (dt.) verschiedene Brick Level Fixes (dt.) verschiedene Brick Level Backup Fixes (engl.) Error in Multi Byte Exchange Agent (engl.) Exchange, verschiedene Brick Level Backup Fixes (dt.) SP4 engl. SP3 dt. SP3 dt. SP3 engl. Keine SP3 dt. Open File Agent QO22616.CAZ Alle QO22619.CAZ Alle QO14476.CAZ Alle QO1917.CAZ Alle QO10908.CAZ AE/WG LO90527.CAZ ASO 15.08.02 15.08.02 17.04.02 24.09.01 04.02.02 14.03.01 Dr. Watson, Hängen, Crash, wenn Open File Agent inst. (engl.) Dr. Watson, Hängen, Crash, wenn Open File Agent inst. (dt.) Kumulativer Patch für Open File Agent (dt./engl.) NT/2000 OFA Blue Screen bei OFA mit MSMQ (dt./engl.) NT/2000 OFA Blue Screen, wenn Eroom installiert ist. (dt.) Invalid License Error, wenn Open File Option installiert ist. (engl.) Keine Keine Keine Keine Keine Keine Lotus Notes Agent QO22886.CAZ AE/WG QO21794.CAZ AE/WG QO15790.CAZ AE/WG 22.08.02 Langsames Rebooten, wenn Notes (BAOF Ver.) installiert ist (engl.) 29.07.02 kein Inc./Diff. Backup mit Notes Agent (BAOF) (engl.) 17.04.02 Kumulativer Patch für OFA Ver. Notes Agent (dt.) Patches QO22616 SP4 engl. Keine 10 Ausgabe 10/2002 38 8 gl QO10195.CAZ QO10201.CAZ LO89345.CAZ QO10199.CAZ AE/WG ASO AE/WG AE/WG 22.01.02 Notes Agent Installation Patch (engl.) 22.01.02 Notes Agent Installation Patch (engl.) 05.03.01 NT Lotus Notes LOG BKUP Unterstützung (dt./engl.) 22.01.02 Notes Agent Installation Patch (dt.) Keine Keine LO85115 / SP3 engl. Keine Serverless Backup Option QO20992.CAZ Alle 19.07.02 Emulex Port Treiber Unterstützung für Serverless Backup (dt./ engl.) SP4 engl. / SP3 dt. SQL Agent LO91562.CAZ LO82876.EXE LO95010.EXE AE/WG AE/WG AE/WG 30.03.01 17.10.00 05.06.01 Unbeaufsichtigte Installation, SQL 2000 Agent hängt (engl.) SQL Agent, Sichern von MS-SQL Server 2000 (engl.) NT ARCserve 2000 Agent für SQL2000 (dt.) Keine LO82875 SP3 dt. Image Option QO17318.CAZ AE/WG QO10618.CAZ Alle 17.05.02 30.01.02 Behebt Image Option Backup Fehler (engl.) HBM Treiber verursacht Blue Screen ASO engl., AE/WG dt. Keine Keine Oracle Agent QO12765.CAZ 02.03.02 Unterstützung für Oracle 9I (engl.) Keine ASO ARCserve 7.x für NetWare Basis Produkt QO24478.CAZ QO24373.CAZ QO24239.CAZ QO23731.CAZ QO20942.CAZ Updates EE EE EE EE EE QO20907.CAZ QO19341.CAZ QO17320.CAZ QO16630.CAZ QO16426.CAZ QO15463.CAZ QO12831.CAZ QO11943.CAZ QO11242.CAZ QO08364.CAZ QO06599.CAZ QO05996.CAZ EE EE EE EE EE EE EE EE EE EE EE EE 12.09.02 AS-DB reparieren bringt Server Abend mit NW6SP1a 12.09.02 Browsing in DB bei Session Wiederherstellungen langsam 12.09.02 verschiedene Probleme beim Auftragmodifizieren, Mirror copy etc. 05.09.02 Unterstützung für Compaq 5i SCSI Array Controller 18.07.02 Timeout im Manager beim Browsen großer NDS Bäume Sofern nicht ausdrücklich ein Hinweis auf Deutsch gegeben wird, sind diese Patches für die englische Spracheversion der Software. Die Dateien mit der Endung CAZ müssen mit dem Programm und der Syntax Cazipxp.exe – u < D a t e i n a m e mit Endung caz> entpackt werden. QO12831 QO20942 QO16426 QO05996 QO05996, Q012831, QO16426 18.07.02 Behebt Abends, die während Rücksicherung auftreten QO05996 24.06.02 Server-Komponente für Universal NetWare Agent Qo12831,QO05996 17.05.02 Modifizierter Job ändert nicht neue Zeit QO05996 02.05.02 behebt Problem mit Disaster Recovery auf NW 5.1 mit SP4 Keine 30.04.02 Sicherheitserweiterung, Password wird u.U. im Klartext übertragen QO05996, QO12831 11.04.02 8.3- und lange Verzeichnisnamen werden zurückgesichert QO05996 04.03.02 Nicht alle Benutzer / Dateien in großen NDS Bäumen zu sehen QO05996 14.02.02 GroupWise Agent Installation schlägt fehl bei mehr als 8 Buchstaben Keine 06.02.02 Behebt Import/Export Problem im Device Manager QO05996 21.12.01 Security Erweiterung für ARCserve QO05996 04.12.01 Behebt Live Trial Produkt Lizenz Problem QO05996 11.01.01 Kumulativer Patch (Service Pack) mit NetWare 6 Unterstützung Keine Client Agent für NetWare QO19337.CAZ AE 24.06.02 Universeller NetWare Agent für AE Produkte Build 260 Keine Bandlaufwerke und Changer QO24710.CAZ E E 13.09.02 QO22222.CAZ E E 07.08.02 Unterstützung zusätzlicher Bandlaufwerke und Changer Unterstützung zusätzlicher Bandlaufwerke und Changer (PTF) QO05996 QO05996 Tape Library Option LO98883.ZIP EE TLO Setup und Device Konfiguration Update (SAN) QO05996 31.07.01 Storage Area Network Option QO14907.CAZ E E 01.04.02 Unterstützung Qlogic SANBlade 2300 Fibre Channel Adapter LO98879.CAZ E E 31.07.01 SAN Option Timeout mit Remote Kommunikation Keine Keine ARCserveIT 6.6 für NetWare Enterprise Edition QO20943.CAZ EE 18.07.02 Nach dem Packen der Datenbank steht das System. Keine ARCserveIT 6.6x für Windows NT QO17113.CAZ QO17111.CAZ AE/WG AE/WG 13.05.02 13.05.02 Open File Agent bringt System zum Hängen, Handle Leak (dt.) Open File Agent bringt System zum Hängen, Handle Leak (engl.) Keine Keine EE = Enterprise Edition; AE = Advanced Edition; WG = Workgroup / Single Server / Small Business Edition; ASO = Advanced Storage Option; W2K = Windows 2000 Edition; ELO = Enterprise Library Option; VLO = Virtual Library Option; NLO = Network Library Option 10 Ausgabe 10/2002 39 h HOTLINE Neue Patches in der Übersicht ARCserve 2000 QO23827.CAZ AE/WG (engl.) Hinweis: Listen unter: http://esupport.ca.com Sicherungsaufträge hingen, wenn man mehrere gleichzeitig zeitgesteuert ablaufen lassen wollte, und der lokale Fileserver zum Sichern ausgewählt ist. Voraussetzung: SP4. QO23524.CAZ QO22616.CAZ Alle (engl.) QO22619.CAZ Alle (dt.) Patches für den Open File Agent in der jeweiligen Sprache. Es gab Probleme, daß ein System hängt, crasht oder ein Dr. Watson P auftaucht, wenn Open File Agent und Mcafee auf einer Maschinen laufen. Alle (dt./ engl.) Beim Sichern einer Oracle 8.1.6 Datenbank über RMAN wurden willkürliche Zeihen eingetragen, wenn diese keinen Domainennamen enthielt. Voraussetzung: SP4 englisch bzw. SP3 deutsch, für ASO keine. QO22113.CAZ QO22886.CAZ Alle (dt./ engl.) Nach Vollsicherung war die Option Quick Initialization nicht mehr in der Tape Library Configuration verfügbar. Voraussetzung: SP4 englisch bzw. SP3 deutsch, für ASO keine. QO20824.CAZ QO21794.CAZ Alle (dt./ engl.) QO20992.CAZ Alle (dt./ engl.) ARCserve 7 für NetWare QO24478.CAZ HOTLINE EE Ein Reparieren der ARCserve Datenbank kann einen Abend bei einem NetWare 6 Server mit NW6SP1a verursachen. Eventuell kann auch ein Fehler E4209 auftreten. Dieser Patches behebt das Problem, Voraussetzung ist die Datei QO12831.caz. AE/WG (engl.) Das Service Pack 4 für die Disaster Recovery Option behebt etwa 20 verschiedene Fehler beim DR, das nun auch die Windows 2000 Service Packs 1 und 2 unterstützt. Voraussetzung: SP4 englisch QO24373.CAZ QO20711.CAZ Alle (dt.engl.) Kumulativer Patch mit Emulex Port-Treiber für Serverless Backup sowie Unterstützung für ATTO FC HBA mit Mini.Port-Treiber. E2002 Unable to load Library (EC=Mod not found ist behoben. Voraussetzung 4 englisch bzw. SP3 deutsch Version, für ASO keine. Im SAN-Umfeld wurden beim Backup keine Daten auf Band geschrieben, wenn ein IBM Fibre native LTO Laufwerk oder eine Qlogic Karte verwendet wird. Dennoch wurde der Job als erfolgreich angezeigt. Voraussetzung SP4 englisch bzw. SP3 deutsch, für ASO keine. QO20404.CAZ AE/WG (engl.) Die Open File Agent Version des Lotus Notes Agent kann nun wieder inkrementelle und differentielle Sicherungen durchführen. Das Problem trat nach Einspilen des SP für den BAOF Agent auf, es wurde fälschlicherweise die NA-Version installiert. Voraussetzung: bei Lotus Notes Agent BAOF Version und SP4. Aufträge im Status Manager blieben weiterhin als aktive stehen bleiben, was durch einen Absturz während einer Sicherung auftreten kann. Der Patch erspart das Löschen der xxx.job Datei im Verzeichnis 00000001.osd nach so einem Vorfall. Voraussetzung SP4 englisch bzw. SP3 deutsch, für ASO keine. QO20710.CAZ AE/WG (engl.) Systeme, auf denen der Lotus NotesAgent (BAOF Version) installiert ist, wurden sehr langsam beim Rebooten da die Cafcr Datenbank anwuchs. Voraussetzung: Patches Qo22616.caz. Alle (dt. / engl.) EE Aktuelle Unterstützung für Bandlaufwerke und Changer. Zur Installation die DeviceSP.exe ausführen. Extrem lange Wartezeiten gab es beim Browsing in der ARCserve Datenbank haben nun ein Ende. Voraussetzung ist der Patch QO20942.caz. QO22840.CAZ (engl.) QO22831.CAZ (dt.) QO24239.CAZ Kummulativer Patch für den Exchange Agent, der ca. 20 Fehler beim Sichern und Wiederherstellen von Exchange behebt. Voraussetzung: SP4 englisch bzw. SP3 deutsch Version, für ASO keine. Dieser Patch behebt verschiedene Probleme beim Auftragmodifizieren auftreten. Es werden u.a. einige Einträge bei den Globalen Optionen auf die Standardwerte zurückgesetzt wie File Sharing, File Conflict Resoluti- Patches EE 10 Ausgabe 10/2002 40 on und Virus Optionen.. Voraussetzung ist die Datei QO16426.caz. ARCserveIT 6.6 für NetWare Enterprise Edition QO20943.CAZ QO23731.CAZ EE Unterstützung für Compaq 5i SCSI Array Controller ( CPQRAID.ham). Voraussetzung : QO05996.caz. QO20942.CAZ EE Timeout im ARCserve der beim Browsen großer NDS Bäume behoben. Voraussetzung sind die Dateien QO05996.caz, Q012831.caz und QO16426.caz. QO20907.CAZ EE EE Nach dem Packen der ARCserve Datenbank blieb bislang das Fenster offen stehen oder das System hing. ARCserveIT 6.6x für Windows NT QO17113.CAZ QO17111.CAZ AE/WG (deutsch.) AE/WG (englisch) Dieser Patch in der jeweiligen Sprache behebt ein Problem mit dem Open File Agent, der das System zum Hängen brachte (Handle Leak Fehler). Um Abends während der Rücksicherung aus zu vermeiden, setzt dieser Patch die Datei QO05996.caz voraus. QO22222.CAZ QO24710.CAZ Sofern nicht ausdrücklich ein Hinweis auf Deutsch gegeben wird sind diese Patches für die englische Spracheversion der Software.Die Dateien mit der Endung CAZ müssen mit dem Programm und der Syntax Cazipxp.exe –u <Dateiname mit Endungcaz> entpackt werden. EE EE Unterstützung zusätzlicher Bandlaufwerke und Changer. Voraussetzung ist QO05996.caz. Für die Unterstützung des Applypdf Utility muß das neuste PTF verwendet werden welches beim CA Support zu bekommen ist. IE6SETUPG.exe 480 KB XPSP1_DE_X86.exe 135082 KB Service Pack 1 für Internet Explorer 6.0 in der deutschen Version Service Pack 1 für Windows XP in der deutschen 32 Bit Verson IE6SETUPE.exe 480 KB XPSP1_EN_X86.exe 137149 KB wie zuvor in der englischen Version wie zuvor in der englischen Version B6202.x8a 1630 KB Router Verbindungen aufbauen darf. Erstmals ab Release 6.2.2 können BinTec Router als DHCP Clients fungieren. Die Einwahl vom Handy wurde dank HSCSD Unterstützung (V.120) mit einer Bandbreite von bis zu 57600 kbit/s möglich. Das Software Image Release 6.2.2 erweitert die Funktionalität der Bintec Router X8500. Als besondere Highlights unterstützt es den Aufbau von IPSec oder PPTP gesicherten Verbindungen, auch wenn beide Router lediglich dynamische IP Adressen haben. Der Umfang der IPSec Implementierung wurde erweitert (z.B. um AES), die Bedienung weiter vereinfacht. Mit Hilfe des H.323 Proxys und Gatekeepers ist nun sichere VoIP Telefonie z.B. mit NetMeeting möglich. Der H.323 Proxy schützt durch seine Firewall Funktionalität das interne Netzwerk. Die Funktion MultiNAT erlaubt das einfache Mappen von kompletten Netzwerkadressen. Dank des Features Scheduling können nun für jeden Wochentag bis zu vier Zeitschlitze definiert werden, in denen der BinTec hat seit dem Software Release 6.1 den Funktionsumfang erheblich erweitert. Die Einzelheiten nennt Ihnen unsere aktuelle Artikel-Serie zu den BinTec XRoutern. 10 Ausgabe 10/2002 41 h HOTLINE 276794.exe 132 KB NW6_ISS.txt 76 KB Mit diesem Patch werden verschidene Druckprobleme des Novell Clients 4.8.3 für Windows NT/2000 und XP behoben, nachzulesen in den TIDs 10068250, 10059622 und 10067367. Das Service Pack 2 der Netware 6 bringt nicht zur Bug Fixing mit sich, sondern hat auch einge Probleme, die Sie vor der Installation wissen sollten und in diesem Textfile aufgelistet finden. 299913.exe 936 KB NWSC1.exe 10865 KB Dieser Patch für die ConsoleOne Version 1.3.3 behebt Probleme beim Anzeigen von Objekten und Öffnen mit Volume-Namen, die das @ Zeichen enthalten. In diesem Update finden Sie das neue Netware Consolidation Utility, mit dem Sie Dateien, Volumes und sogar Directories komfortabel verschieden bzw. kopieren können. Durch das Kopierem bzw. Verschieben gehen keinerlei eDirectory Rechte oder andere Attribute verloren. Es werden die Netware Versionen 4.x, 5.x und 6.x mit traditionellem bzw. NSS-Dateisystem unterstützt. BM35ADM7.exf 116 KB Dieses Update für die aktuelle Version des ADM.nlm der Bordermanager Versionen 3.5, 3.6 und 3.7 setzt das SP 3 des Bordermanager 3.5 und die Datei BM35ADM6.exe voraus. DSAUDIT.exe 130 KB Ein neues NDSAUDIT.nlm für die Netware Versionen 5.1 und 6.0 in Multiprozessor-Umgebung verhindert aufgetretene Abends. Diesen Patch nur auf einem 5.1 System installieren, auf dem bereits das SP 3 oder höher installiert ist. Bei der NW6 wird kein SP vorausgesetzt. EDIR862SP2.exe 12811 KB Service Pack 2 für die eDirectory Services der Version 8.6.2 für alle Plattformen in der internatonalen Version. Nur auf einer eDirectory Version 8.6.2 installieren, nicht auf Netware 4.x oder 5.0 einer NDS 6.x, 7.x, 8.x, 8.5.x oder 8.7.x. Es enthält die Modul-Versionen DS 10320.29, DSREPAIR 10210.29, NLDAP 10320.03, DSMERGE 10210.19 und LDAP.jar. EDIR862SP2.tgz 7831 KB Das Service Pack 2 der internationalen eDirectory Version 8.6.2 für Solaris und Linux beinhaltet NDSD 10320.29 und NDSREPAIR 10210.30. GW62AOT.exe 208 KB In diesem Update finden Sie das erforderliche englische AOT-File, um das Groupwise Client Service Pack 2 mittels ZenWorks zu installieren. HOTLINE GWCSRGEN2.exe 279 KB Dieses Update bereinigt ein Problem des CSR-Generator mit Zertifikaten von Drittanbietern. NFAP1SP2.exe 1584 KB SP 2 für NW File Access Protocol der Netware 5.1 NMASPT2.exe 181 KB Mit diesem Patch für Netware 5.1 wird ein Speicherproblem des NMAS.nlm in Verbindung mit den Modulen CIFS und AFP behoben. PWDSCH.exe 94 KB Patch für das Novell Account Management zur Paßwort Synchronisation in einer Multi-Tree-Umgebung. In der Standard Version können Sie die Paßworter von Activ Directory oder einer NT-Domäne nur mit einem NDSTree synchronisieren. Hiermit geht das auch mit mehreren NDS-Trees. SIMPLE862UP.tgz 1188 KB Um unter Solaris bzw. auf einem Linux System die eDirectory Version 8.6.1 aufspielen zu können, muß man zuvor ein Update der NICI-Files einspielen. Mit dieser Datei wird ein solches Update auf die NICI-Version 2.4 erheblich vereinfacht. TRUSTEE.exe 101 KB Neue Version des TRUSTEE.nlm für die Netware Versionen 4.x, 5.x und 6.x TSA5UP10.exe 1680 KB Dieses Update ersetzt den Patch TSA5UP9.exe . Es enthält die folgenden Module: T S A 6 0 0 . n l m , TSA500.nlm, SMDR.nlm, TSANDS.nlm, SBCON, SME.nlm, TSACORE.dll , NWTAPE.cdm, SMSDI.nlm. ZD32SCAN.exe 342 KB Die neuen Workstation Scanner Module für ZENWorks for Desktops 3.2 behebt die Probleme, daß der Pentium 4 Prozessor wie auch die Novell ClientVersion 3.32 falsch erkannt wurde. Bei einer Workstation ohne Floppy Drive hängte sich der Scan auf. Auch gab es Probleme beim Auslesen der Videoinformationen. ZS3SCH.exe 91 KB Mit diesem Patch für ZenWorks for Server 3.0 wird der NDS-Fehler -652 Schema, ein Synchronisations-Problem zu den NDS-Versionen 6.x und 7.x behoben. Patches 10 Ausgabe 10/2002 42 TIPS & CITRIX Printer Management Druckertreiber-Mappings bei Metaframe XP Metaframe XP intrgriert zentralisierte Drucker-Management-Features innerhalb der Citrix-Management-Console. Der Data Store beinhaltet die Druckertreiber, die auf jedem Server einer Serverfarm installiert sind, somit erfolgen dort auch die Updates erfolgen. I Informationen zu den jeweiligen Treibern erhält der Data Store, indem er während der Installation von Metaframe XP eine Liste für die entsprechenden Server aufzeichnet. Der sogenannte IMA Service sorgt für ein Update der Treiberliste im Data Store, sobald ein weiterer Druckertreiber auf dem Server hinzugefügt wird. Sollte der IMA-Service während einer solchen Treiberinstallation nicht laufen, so werden die lokalen Informationen mit dem Data-Store synchronisiert, sobald der IMA-Service wieder startet. Hierzu verwendet der IMA-Service sogenannte Subkeys, um zu entscheiden, welche Druckertreiber auf dem lokalen System installiert sind. Die Subkeys unter dem Registrykey HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Control \Print \Environments \WindowsNTx86 \Dri vers heißen \Version-2 bei der Terminal Server Edition bzw. \Version-3 bei Windows 2000. Data Store Während der Synchronisation werden alle entsprechenden Einträge dem Data Store hinzugefügt, und zwar für jeden neu gefundenen Druckertreiber auf dem Member-Server. Umgekehrt werden alle Einträge der Druckertreiber gelöscht, sobald sich Druckertreiber nicht mehr auf dem Member-Server befinden. Das Löschen entfernt aber nicht die Druckertreiber-Informationen aus der Registry, sondern das Betriebssystem benutzt diese Informationen als zukünftige Referenzen. Der Druckertreiber muß manuell aus der Registry entfernt werden, bevor der Eintrag im Data Store für diesen Drucker bei der nächsten Synchronisation beseitigt werden kann. Das Entfernen eines Druckertreibereintrags in der Registry erfordert ein Reboot des Servers, da Windows die Informationen des Registrykey beim Systemstart cached. Um Treiber-Informationen für einen Member-Server manuell upzudaten, wählen Sie Update Printer and Driver Information aus dem Printer Management der Citrix Management Console. Diese dient dazu, die Druckertreiber-Mappings einer Serverfarm zu verwalten. Treiber Während der Installation importiert der Data Store die DruckertreiberMappings aus den Dateien Wtsu prn.txt oder Wtsprnt.inf des Servers. Sollten doppelte Mappings gefunden werden, so werden diese nicht in den Data-Store geschrieben. Während der Startphase des IMA-Service wird die Datei Wtsprnt.inf für alle Server in einer Farm aus den im Data-Store gespeicherten Mapping-Informationen publiziert. Sollte die Datei nicht vorhanden sein, so wird sie vom IMA-Service angelegt, existiert sie bereits, so wird sie mit den Mapping-Informationen des Data-Store überschrieben. Manuelle Imports von existierenden Dateien Wtsuprn.txt oder Wtsprnt.inf können über das Kommando qprin t e r durchgeführt werden. Die Replikation der Druckertreiber dient der Verteilung der DruckertreiberDateien und Registry-Einstellungen über eine komplette Serverfarm. Sie 10 Ausgabe 10/2002 43 können alle benötigten Druckertreiber auf einem einzelnen Metafra-me Server installieren, und anschließend die Printerfiles und Registry-Settings auf alle weiteren Servern in einer Farm replizieren. Wichtig zu wissen ist jedoch, daß die Replikation der Drukkertreiber keine Druckereigenschaften wie Paper Size, Print Quality und dergleichen repliziert. Replication Die Replikation der Druckertreiber kann von einem Source-Server auf weitere Server nur dann vorgenommen werden, wenn diese über das gleiche Betriebssystem verfügen, also Windows 2000 oder Terminal Server Familie hier wie da. Wenn Druckertreiber auf einem Source-Server installiert werden, so selektieren Sie jeden verfügbaren Druckerport dieses Servers. Installieren Sie alle benötigten Druckertreiber auf einem Metaframe XP Server. Für die Replikation besteht kein Zwang zum Printershare oder zum Setzen eines Defaultprinters. Wählen Sie keine Destination-Server aus, die nicht oder in den nächsten 24 Stunden online sind. Wenn die 24 Stunden abgelaufen sind, so markiert die Replication-Queue den Job als incomplete und wird nicht weiter versuchen, den Job abzuschließen. Wenn die Replikation abgeschlossen wurde, können Sie die auf dem Source-Server für die DruckertreiberReplikation installierten Drucker nun wieder entfernen und auch die entsprechenden Registry-Keys zu löschen. Der Data Store zeichnet die Daten für die Druckertreiber AutoReplikation auf. h HOTLINE BINTEC X-Router Software v6.22 Teil 2: Neue Features und Änderungen im System Von Hardy Schlink Wir haben Ihnen letzthin mit Dynamic DNS und Dynamic VPN die neuen Sicherheits-Features der X-Router vorgestellt. Diesmal geht es um die weiteren Neuerungen der System-Software, denn BinTec hat die Version 6.22 gründlich überarbeitet und um wertvolle Features ergänzt. Zudem wurden einige Änderungen vorgenommen, deren wichtigste wir Ihnen nennen möchten. M Mit dem Erscheinen der System-Software Version 6.22 kann ein BinTec-Router nicht nur wie bisher gewohnt als DHCP-Server IP-Adressen an seine angeschlossenen Clients vergeben, sondern auch seine eigene IP-Konfiguration von einem DHCP-Server beziehen. Ermöglicht wird dies durch die neue Funktion DHCP Client. Hierzu finden Sie in den Einstellungsmöglichkeiten der Ethernet-Interfaces neue Optionen, die erscheinen, sobald der Wert D H C P im Feld I P Configuration ausgewählt wird. H.323 HOTLINE Erstmalig wurde das sogenannte H.323 Protokoll implementiert, mit dessen Hilfe zahlreiche Anwendungen aus dem Gebiet Voice over IP (VoIP) ermöglicht werden. Die momentane Realisierung unterteilt sich in einen H.323 Proxy und einen Patches Gatekeeper (siehe Abb. 1). Als Resultat hieraus ergibt sich die Unterstützung von IP-Telefonen oderVoIP- Anlagen. Die komplette Beschreibung der H.323 Funktionen können Sie im Manual “Software-Reference” unter Kapitel “H.323” nachlesen, welches wie gewohnt unter www.bintec. de zum Download bereitsteht. X.25 via TCP/IP (XoT) Die neue Funktion XoT ermöglicht es den größeren X-Routern, X.25 Daten in TCP-Pakete zu verpacken, um diese dann anschließend in einem IPNetzwerk versenden zu können. Die Router X1000, X1200 und X3200 unterstützen XoT Abb. 1: Einstellungsmöglichkeiten des VoIP Gatekeeper nicht. Die Konfiguration erfordert zunächst die Bestimmung des zu verwendenden Ports, per Default ist dieser 1998. Natürlich läßt sich die Portnummer beliebig ändern, um an die gegebenen Anforderungen angepaßt werden zu können. Im Menü X.25/Static Settings wird im Feld XOT TCP Port der Port definiert, der die hier ankommenden Daten an den XoTDienst weiterleitet. Dort angekommen, werden die Pakete gemäß der Konfiguration der XoT Interfaces weiterverarbeitet. Hardwarekompression Durch die Installation der aktuellen System-Software v6.22 wird nun auf allen Ressourcenmodulen, welche wie XTR-Enc und XTR-VPN über den HiFn-Chip verfügen, die Datenkompression nach MPPC, MS-STAC und STAC Standard unterstützt. Kanalbündelung Auch kann ein ISP nun das Feature der Kanalbündelung bei Sammelrufnummern mit dem BAP/BACP Protokoll anbieten, wenn der entsprechende Provider die ankommenden Rufe auf mehrere Router verteilt. Hierzu wird dem einwählenden Client, der einen weiteren B-Kanal benötigt, eine bestimmte ISDN-Nummer mitgeteilt, die wiederum für jeden Router der Zentralstelle individuell vergeben wird. Dies bewirkt, daß die Rufe mehrere Kanäle über diese Nummer auch tatsächlich auf demselben Router 10 Ausgabe 10/2002 44 men. Durch die beiden neuen VaipIcmpSourceQuench( rw): enabled riablen wird es ipIcmpTimeExceededTrans( rw): enabled möglich, IPipIcmpTimeExceededFrag( rw): enabled Adressen eines ipIcmpDestUnreachFrag( rw): enabled externen IPipIcmpDestUnreachHost( rw): enabled ipIcmpDestUnreachHostTcp( rw): tcp_rst Adreß-Pools auf ipIcmpDestUnreachProto( rw): enabled IP-Adressen des ipIcmpEchoReply( rw): enabled LAN zu übersetipIcmpMaskReply( rw): enabled zen. Es muß siMyRouter:ipIcmp> chergestellt werden, daß sich die Tabelle 1: Einstellbare ICMP-Messages der ipICMPTable vom Router anhand der Netzmaske errechneten IP-Adressen auch wirklich im terminiert werden. Die Bereitstellung des zusätzlichen B-Kanals wird durch Adr eßbereich des Lokal Ar ea eine spezielle Form des Callback rea- Network befinden. lisiert. Wenn der Client einen weite- Konfiguriert wird das neue Feature ren B-Kanal benötigt, fordert ihn die wie gewohnt mit Add / Edit im Zentralstelle auf, einen Anruf auf die Setup Tool unter den Menüpunkten individuelle Rufnummer des Routers IP / Network Address Trans durchzuführen, und zwar mit dem lation / Edit / Requested Router, mit dem der Client bereits from Outside und IP / Net work Address Translation schon eine Verbindung unterhält. In dem oben geschilderten Fall nimmt / Edit / Requested from der Client die Rolle des aktiven Teil- Inside. nehmers wahr, was bedeutet, daß die Kontrolle und die Verantwortung bei diesem liegen (Kosten der Kanalbündelung). Von der zentralen Stelle Haben Sie bei der System-Softher gesehen werden alle Anfragen des ware v6.22 BETA bereits KonfiguClients angenommen, solange die rationen in der ipICMPTable vorWAN-Partner Konfiguration in Übergenommen, so gehen diese beim einstimmung mit dem Router stehen. Update auf die Finalversion verlo- Tabelle 1 MultiNAT Als Erweiterung der NAT-Implementierung hielt MultiNAT Einzug in die System-Software, wodurch für Netzwerke, die über mehr als eine externe IP-Adresse verfügen, die NAT-Konfiguration vereinfacht wurde. Bis jetzt war es nur möglich, NAT auf einzelne IP-Adressen anzuwenden. Sollten mehrere IP-Adressen via NAT umgesetzt werden, so war dies bisher mit einem höheren Konfigurationsaufwand verbunden. Auch wurden zwei neue Variablen eingeführt. Mit ExtMask – ipNAT Out Table und IntMask – IPNatPresetTable können nun ganze IP-Netze umgesetzt werden. Benötigt wird diese Funktion, wenn Sie z.B. von Ihrem Provider mehr als eine IP-Adresse zugewiesen bekom- ren. Sichern Sie aus diesem Grund vor dem Update Ihre Konfiguration, um sie nach dem Update wieder zurückzuspielen. ICMP-Messages Releases nicht, Änderungen sollten nur bei Problemen im Zusammenhang mit dem ICMP-Protokoll durchgeführt werden. Die folgende Tabelle 1 zeigt uns die konfigurierbaren ICMP-Messages, deren Default Einstellungen Sie sich in der ipIcmpTable anschauen können. Weekly Schedule Ein besonders nützliches Feature wurde mit dem sogenannten Weekly Schedule entwickelt. Hierüber erhalten Sie die Option, für jeden Dialup WAN-Partner zu definieren, wann und für wie lange Connections über das entsprechende Dialup-Interface stattfinden können. Sie erhalten durch die Konfiguration des Menüpunktes WAN Partner / Add / Weekly Schedule einen sogenannten Zugangsplan, in dem Sie auch das Monitoring aktivieren oder deaktivieren können (siehe Abb. 2). Über die Definition von bis zu vier Zeitfenstern für jeden Wochentag erhalten Sie die Möglichkeit, festzulegen, wann eine Verbindung zum Kommunikationspartner aufgebaut werden kann. Sollte der Schwellenwert eines Zeitraumes erreicht werden, so wird die bestehende Connection terminiert. Ein erneuter Aufbau der Verbindung kann erst wieder bei Erreichen des nächsten Zeitfenster stattfinden. Sollten mehr als vier Zeitfenster erforderlich werden, so ist dies über die entsprechende Konfiguration der isdnScheduleTable zu erreichen. Hierbei gilt es aber unbedingt zu beachten, daß im Setup Tool nach wie vor nur die ersten vier Zeitintervalle angezeigt werden, auch Die System-Software v6.22 ermöglicht es uns, die vom Router verse n d e t e n Abb. 2: Das Weekly Schedule Menü ICMP Me ssages vorher zu konfigurieren. Per Default unterscheidet sich das Verhalten gegenüber früheren 10 Ausgabe 10/2002 45 h HOTLINE wenn in der MIB-Tabelle mehr als vier Intervalle definiert worden sind. Sie werden hierauf durch eine entsprechende Warnmeldung hingewiesen. Sollten Sie den Menüpunkt im Setup-Tool nun mit Save verlassen, so werden alle Einträge bis auf die ersten vier Zeitfenster aus der MIB-Ta belle gelöscht. Änderungen Die neue IP-SecVariante der SystemSoftware v6.22 enthält einen erheblich erweiterten Funktionsumfang. Hierdurch bedingt wurde es bei den Routern der X1000, X1200 und X3200 Serie erforderlich, Änderungen bei den sonstigen Funktionen vorzunehmen. Die nun folgenden Funktionen können Sie im IP-Sec Image der System-Software v6.22 nicht mehr nutzen: verschlüsselter ISDN-Login dhkeyd, icrypt, dhkey Routing Information Protocol RIP daemon routed Web Based Monitoring httpd Bridging bridged, bridgemux Zusätzlich ist die Unterstützung des Command-Line-Interface cli.cmd, die Debug Funktion profile und die ISDN-Approval-Funktion nicht mehr gegeben. SNMP-Management Die Variable biboAdmSnmpVersion wurde um drei neue Werte erweitert version1p1, version 1 p 1 _ c o m p a t und v e r s i o n 1p1_auto. Durch die Werte Version 1p1 wurde erreicht, daß die Kompatibilität zwischen BinTec´s SNMP-Realisierung und SNMP-Managern wie HP OpenView wesentlich verbessert wurden. Beachten Sie, daß ab der v6.22 version1p1_auto die DefaultEinstellung ist. Dies bedeutet, daß diese, wann immer möglich, verwendet wird, ansonsten findet ein Umschalten auf v e r s i o n 1 p 1 im Kompatibilitätsmodus version 1p1_compat statt. Setzen Sie SNMP-Manager wie HP OpenView ein, so sollten Sie in der Tabelle biboAdmSnmp Version den Wert auf version1p1_auto konfigurieren. Dies gilt bei schon bestehenden Installationen. ADSL Modem Bedingt durch Alcatels Implementierung von PPTP/GRE (Point to Point Tunneling Protocol / Generic Routing Encapsulation) kann es zu blockierenden PPTP-Interfaces kommen. Sie werden verursacht durch fehlerhafte Acknowledgement Numbers. Aus diesem Grund wurde von BinTec der folgende Workaround geschaffen. In der MIB-Variablen pptpPro fileMaxBlockTime gibt es nun einen einstellbaren Timer, der Werte bis zu 100.000 Millisekunden annehmen kann. Nach Ablauf dieses Timers wird eine blockierte PPTP-Connection und die dazugehörige Kontrollverbindung über TCP-Port 1723 beendet. Würde diese Aktion nicht stattfinden, so könnte es zu Problemen beim Wiederaufnehmen der Verbindung zu Alcatel-Gegenstellen kommen. Nach dieser Beschreibung des erheblich gesteigerten Funktionsumfangs wollen wir beim nächsten Mal noch auf die Bugfixes eingehen. Wir werden sehen, welche Fehler mit der aktuellen Software behoben wurden, und erwähnen, welche Probleme noch existieren. Microsoft Outlook & SMS HOTLINE Wichtige Nachrichten erwarten meist eine umgehende Antwort. Um eine schnelle Reaktion zu implementieren, stellt das Automatische Weiterleiten eine sichere Lösung dar, um Nachrichten via SMS zum Handy des Adressaten zu schicken. So gehen für Mitarbeiter, die auf hohe Mobilität angewiesen sind, wichtige Messages nicht verloren und können direkt beantwortet werden. Das automatische Weiterleiten empfangener Messages in Form einer SMS kann auch in Umgebungen mit Microsoft Exchange implementiert werden. Voraussetzung ist der Einsatz von David MX oder der Microsoft Exchange Connector for DvISE. Bei der Installation muß das DvISE Produktes lediglich für den Versand von SMS-Messages konfiguriert werden. Dann läßt sich über eine Regel im MS Outlook die erwähnte Weiterleitung wie folgt verwirklichen Weiterleitung Zuerst wird ein neuer Kontakt anlegt, der als Ziel der Weiterleitung dient. In diesem wird die Telefon-Nummer als E-Mail Adresse eingetragen werden. Verwenden Sie das Muster [SMS: +49 171 1234567]. Weiterhin sollte in diesem Kontakt die Option E-Mail als Nur-Text senden selektiert werden, damit der Text einer HTML-Mail auf dem Handy angezeigt werden kann, nachdem sie weitergeleitet wurde. Zweitens wird über MS Outlook für den gewünschten Eingangsordner eine Regel angelegt, die für das Weiterleiten der SMS-Messages sorgt. Nach der Konfiguration der Bedingungen gilt es die Aktion Weiterleiten an eine Person/Verteilerliste auszuwählen. Das Ziel entspricht dem vorher erstellten Kontakt. Nachdem zum Abschluß die gewünschten Ausnahmen definiert wurden, ist die Einrichtung bereits abgeschloßen. 10 Ausgabe 10/2002 46 CISCO T-DSL-Anschluß Cisco Pix Software Version 6.2.2 mit PPPOE Von Jörg Marx Seit es die Cisco Pix Software Version 6.2.2 (oder 6.2.1) gibt, hat man die Möglichkeit, sich direkt mit dem Outside Interface an einen T-DSL-Anschluß zu verbinden. Denn die Pix ist in der Lage, dort das PPPOE Protokoll zu fahren. Die folgenden Zeilen definieren die Network Address Translation (NAT). Die beiden Kommandos haben zur Folge, daß alle Outbound-Verbindungen auf die IP-Adresse des Outside-Interface übersetzt werden. global (outside) 1 interface nat (inside) 1 0.0.0.0 0.0.0.0 0 0 Mit der folgenden Befehlszeile legen Sie den T-Online Username für die PPPOE-Verbindung fest. Der Username besteht bei einem T-Online Anschluß aus der Anschlußkennung, der T-Online Nummer und der Mitbenutzernummer, die Endung @t-online.de ist hier zusätzlich zwingend erforderlich. U Um mit der Cisco Pix T-DSL zu nutzen, sind für die PPPOE Konfiguration mit der Software-Version 6.2.2 einige Eingriffe vonnöten. Wichtig zu wissen ist, daß bei der aktuellen Software Version zur Zeit nur die T-DSL-Flatrate unterstützt wird. Denn zur Zeit ist kein Mechanismus vorhanden, der in der Lage ist, die Leitung herunterzufahren, wenn kein Verkehr auf der Leitung ist. vpdn group T-Online localname [email protected] PIX# show run Die Authentifizierung läuft auch hier über PAP ab. In der folg enden Zeile sollten Sie somit Ihren T-Online Username und das zugehörige Paßwort eintragen. PIX Version 6.2(2) nameif ethernet0 outside security0 nameif ethernet1 inside security100 nameif ethernet2 intf2 security10 enable password 2KFQnbNIdI.2KYOU encrypted passwd 2KFQnbNIdI.2KYOU encrypted vpdn group T-Online ppp authentication pap Dann wird die Verknüpfung zwischen Username und Zugangspaßwort hergestellt. interface ethernet0 10baset interface ethernet1 10baset interface ethernet2 10baset vpdn username [email protected] password ********* Damit die PIX überhaupt mit PPPOE arbeiten kann, muß zuerst eine VPDN-Gruppe erzeugt werden. Diese muß für DIAL-OUT über PPPOE konfiguriert sein. Der Name der Gruppe ist beliebig zu wählen. Die folgenden Zeilen aktivieren auf dem Inside-Interface einen DHCP-Server zur Adreßverteilung. dhcpd dhcpd dhcpd dhcpd vpdn group T-Online request dialout pppoe Mit dem nächsten Kommando wird das PPPOE-Protokoll auf dem OUTSIDE Interface aktiviert. Das Interface beginnt sofort mit der PPPOE Kommunikation zum Provider hin. address 172.16.1.2-172.16.1.254 inside lease 3600 ping_timeout 750 enable inside Mit dem abschließenden Kommando wird erreicht, daß die über PPP des Outside-Interface empfangenen Parameter wie z.B. DNS-Server über den DHCP-Server an die internen Clients weitergereicht werden. ip address outside pppoe setroute ip address inside 192.10.10.1 255.255.255.0 ip address intf2 193.11.11.1 255.255.255.0 dhcpd auto_config outside : end 10 Ausgabe 10/2002 47 h HOTLINE NOVELL Vorteilhaft bedient Netware Consolidation Utility Von Jörg Marx Mit dem Netware Consolidation Utility stellt Novell jetzt ein Tool zur Verfügung, mit dem Sie in der Lage sind, auf einfache Art und Weise Dateien, Volumes und sogar Directories verschieben bzw. kopieren zu können. Das Schöne an diesem Tool ist jedoch, daß durch das Kopieren bzw. Verschieben keinerlei eDirectory Rechte oder andere Attribute verloren gehen. Schauen wir es uns einmal gemeinsam an. D HOTLINE Das Netware Consolidation Utility unterstützt die Netware Versionen 4.x, 5.x und 6.x mit traditionellem und mit dem aktuellen NSS-Dateisystem. Wichtig zu wissen ist, daß auch komprimierte Dateien kopiert werden können, ja es ist sogar möglich, komprimierte Dateien auf ein anderes Volume zu schieben, auf dem keine Dateikompression aktiviert ist. Somit können Sie in Ihrem Netzwerk einfach mittels Drag and Drop Dateien auf ein SAN-System verschieben, ohne die Rechte zu verlieren oder ein Server Upgrade von Netware 4.x auf 5.x oder 6.x durchführen zu müssen. Der Vorteil beim Upgrade liegt in der Performance, denn das Consolidation Utility ist wesentlich schneller beim Kopieren der Daten als der Migration Wizard. Ein weiterer Vorteil liegt in der Möglichkeit, Printer Agents von einem Printer Manager zum anderen zu verschieben, ohne denAgenten auf der einen Seite löschen und auf dem neuen Manager wieder neu anlegen zu müssen. Im Consolidation Utility geben Sie einfach den Zielserver an, auf dem der Printer Agent zukünftig laufen soll, und der Rest geschieht automatisch. Das Consolidation Utility benötigt eine Windows NT/2000 oder XP Plattform, einen Novell Client 32 sowie IP oder IPX als Transport Protokoll. Bedienung Nach dem Aufruf des Novell Netware Consolidation Utility, zu finden unter START / PROGRAMME / NOVELL, haben Sie die Möglichkeit, sich über das Feld VIEW SETUP TASKS auf die Online Dokumentation des NoAbb. 1: Eingangsbildschirm des Novell Netware vell Supports verConsolidation Utility binden zu lassen, vorausgesetzt Ihr Rechner hat einen Internetzugang. Anschließend müssen Sie einen neuen Project Filenamen eingeben, um eine neue Aktion in Gang zu setzen. Jetzt wird der Tree ausgewählt, in dem jene Server stehen, auf denen Sie eine Kopierjob plazie- ren möchten. Hier angekommen finden Sie ein Fenster für die SourceNDS und eines für die DestinationNDS. Projekte Wie gehen Sie nun am besten vor, um sich in dem Fenster ein entsprechendes Projekt zu erzeugen, das genau die Kopieraktion auslöst, die Sie bestimmt haben (vgl. Abb. 2)? In der rechten Fensterseite können Sie einen neuen Ordner erzeugen, indem Sie mit der rechten Maustaste auf das Volume oder einen Ordner gehen und anschließend das Feld NEW FOLDER anwählen. Diesen Ordner können Sie einfach mittels Delete-Taste löschen, oder Sie können mit der rechten Maustaste den Ordner umbenennen. Wenn Sie eine Aktion wieder rückgängig machen wollen, gehen Sie auf das entsprechende Objekt, es ist immer mit einem blauen Pfeil markiert. Über die rechten Maustaste können Sie den Punkt BACK OUT anwählen, der diese Aktion zurücksetzt. Sollten Sie einmal die Übersicht in dem Fenster verloren haben und nicht mehr wissen, welche Datei bzw. welches Verzeichnis Sie wohin kopiert haben, so gibt es leicht Abhilfe. Gehen Sie mit der rechten Maustaste im linken Fenster auf das Objekt und springen durch Anwählen des Feldes Where Did it go direkt in das rechte Fenster an die Stelle, wohin es verschoben wurde. Das gleiche geht natürlich auch umgekehrt im rechten Fenster. 10 Ausgabe 10/2002 48 Auch eine Gesamtübersicht ist verfügbar. Gehen Sie mit der rechten Maustaste auf ein Container-Objekt, so erhalten Sie die Optionen SHOW DROPPED FOLDERS und SHOW DROPPED PRINTERS. Verify Project Das neu angelegte Projekt können Sie auch durch das Novell Netware Consolidation Utility auf einen fehlerfreien Lauf überprüfen lassen. Hierzu finden Sie in der oberen Menüleiste unter PROJECT den Punkt VERIFY PROJECT. (vgl. Abb. 2). Wenn diese Option ohne Fehler durchläuft, können Sie sicher sein, daß auch das eigentliche Verschieben ohne Probleme durchgeführt werden kann. Speichern Sie dann die Projekteinstellungen mittels FILE / SAVE AS abschließend ab. Beim Ausführen des Punktes VERIFY PROJECT könnten möglicherweise Probleme auftreten. Wenn ein roter Kreis mit einem weißen Kreuz erscheint, dann handelt es sich um einen Fehler, den Sie zwingend vor dem Kopiervorgang beheben müssen, da sonst ein fehlerfreier Ablauf nicht sichergestellt ist. Bei einem gelben Dreieck mit schwarzem Fragezeichen handelt es sich um Fehler, die zwar behoben werden sollten, die jedoch den Ablauf des Kopierprozesses nicht gefährden. Eine weiße Sprechblase mit einem blauen I ist nur rein informativ gedacht. Dateien und Drucker Nachdem das Verify durchgelaufen ist, kann das eigentliche Kopieren beginnen. Angestoßen wird dieser Prozeß über den Punkt PROJECT aus der oberen Menüleiste und zwar über den Punkt VERIFY AND COPY DATA. Nachdem alle Dateien, Verzeichnisse und Drucker kopiert wurden, können Sie über die Punkte ERROR LOG und SUCCESS LOG aus dem Punkt VIEW der oberen Menüleiste den Erfolg kontrollieren. Was zur Zeit alles vom Novell Netware Consolidation Utility kopiert werden kann und was nicht, sind z.B. Printer Agents, Print Queues je- doch nicht. Printer Agents, die kopiert wurden, nutzen weiterhin den gleichen Broker. Offene Dateien können nicht kopiert werden. Die Module TSA600 oder TSA500 müssen Sie jedenfalls manuell laden. Übrigens muß auch ein funktionierender Print Service Manager vorhanden sein. Cluster enabled Volume te Volume-Objekt auch über das Consolidation Utility sehen und bearbeiten. Nachdem Sie Ihr Projekt beendet haben, sollten Sie jedoch die neu angelegten Objekte wieder löschen, damit keine Verwirrung entsteht. Fehlerbehebung Beim Fehler SMDR not Wenn Sie in Ihrer NDS die Novell Clu- Communicating ist entweder das ster Services einsetzen, dann haben SMDR.NLM auf dem Source- oder DeSie Volume-Namen, die so aussehen, stination-Server nicht geladen, oder daß dem Namen des Clusters ein Un- SLP wurde nicht ordnungsgemäß terstrich und dann der Volume-Name konfiguriert. Geben Sie an der Serverfolgt, z.B. Cluster1_vol1. Mit konsole des Destination Servers foldieser Namengebung kann jedoch gendes Kommando ein: display das Consolidation Utility nicht viel slp services. Sollten Sie hier anfangen, denn es benötigt den keinen SMDR-Service finden - z.B. Servernamen gefolgt von einem Un- smdr.novell//(svcnameterstrich und dem Volume-Namen, ws==source_server_name), so z.B. Server1_ vol1. Das können ist das SMDR-Modul nicht geladen. Sie sicherstellen, wenn Sie die fol- Abb. 2: Project Fenster des Novell Netware Consolidation genden Punkte Utility beachten. Starten Sie die ConsoleIOne und browsen zu dem Container, in dem das NCPServer Objekt liegt. Mit der rechten Maustaste können Sie NEW / VOLUME auswählen und hier den neuen Namen eingeben. Das sollte der genannte Servername, gefolgt Abb. 3: Durchführung eines Projektes von einem Unterstrich und dem Volume-Namen sein. In dem zweiten Feld dieses Fensters browsen Sie auf den entsprechenden Server, im dr itten Feld auf das entsprechende Volume und sagen abschließend O K. Jetzt können Sie das neu angeleg- 10 Ausgabe 10/2002 49 h HOTLINE Sie sollten es dann manuell nachladen. Wenn Sie den Service jedoch finden, so haben Sie ein Problem im SLP und sollten diese Konfiguration einmal überprüfen (s. TechnikNews 7 und 8/2002). NDPS Printer Agents Wenn nach einer Migration die verschobenen Printer nicht in der NDS an der entsprechenden Stelle auftauchen, kann das zwei Ursachen haben. Die NDS ist noch nicht synchron, was bedeutet, daß Sie hier noch etwas Geduld haben müssen. Warten Sie je nach NDS-Größe ca. 5 bis 10 Minuten, dann tauchen die Druckerobjekte früher oder später auf. Soll- ten sie nach dieser Zeit immer noch nicht auftauchen, so prüfen Sie, ob der Novell Distributed Print Services Manager NDPSM.NLM auf dem Destination Server geladen ist. NUWAGENT Won’t Load gibt es nur bei NetWare 4.2. In diesem Fall ist das CLIBAUX.NLM nicht geladen. Sie brauchen es einfach nur auf dem Server manuell nachzuladen. können Probleme in einem geswitchten Netzwerk mit der Autonegotiation bestehen bzw. falsche Porteinstellungen bei Duplex zu Half Duplex. Drittens könnte es sein, daß sehr viele kleine Dateien übertragen werden müssen. In den Novell Labs konnte man in einem 100Mbit Netzwerk eine durchschnittliche Performance von 6 bis 8 Gbyte pro Stunde feststellen. Performance Es gibt normalerweise drei Ursachen dafür, daß die Server Consolidation Performance zu gering ausfallen könnte. Erstens mag unabhängig von dem Project-Kopiervorgang sehr viel Netzwerkverkehr herrschen. Zweitens Volume Contents Wenn ein Volume Objekt im Novell Netware Consolidation Utility nicht angezeigt wird, kann das den Grund haben, daß es nicht gemounted ist oder keine Daten darauf liegen. NOVELL Mit Nachdruck Trouble-Shooting Novell NDPS Printing Von Jörg Marx Die Novell Distribution Print Services machen das Drucken in Netware Netzwerken wesentlich einfacher. Doch wie überall kann es auch hier vorkommen, daß das ein oder andere Problem auftaucht und nach einer Lösung sucht. Die häufigsten Fehler und deren Lösung möchten wir Ihnen in diesem Bericht aufzeigen. Denn oft hilft ein bißchen Nachdruck, und es läuft wieder. HOTLINE P Probleme der NDPS können möglicherweise beim Einspielen der Netware Service Packs entstehen. Wenn die NDPS-Printservices nicht auf einem Server installiert sind, und ein Netware Service Pack installiert wird, werden die NDPS-Updates nicht mit aufgespielt. In diesem Fall müssen Sie die aktuellen NDPS-Patches -eventuell manuell nachinstallieren (siehe TID 10017746). Um dieses Problem generell zu lösen, sollten Sie ein temporäres Verzeichnis erzeugen und darunter ein DummyInstallationsscript in der Datei NDPS.ips anlegen. Dies können Sie z.B. einfach mit Notepad tun. Die Datei sollte nur die folgenden zwei Zeilen enthalten: ProductRecord NDPS, 0, „2.0.0“ ProductRecord NDPS, 1, „Novell Distributed Print Services (NDPS)“ 10 Ausgabe 10/2002 50 Stellen Sie sicher, daß in dem temporären Verzeichnis keine andere .ips-Datei existiert. An der Serverkonsole laden Sie NWCONFIG, wählen den Punkt PRODUKT OPTIONS und anschließend INSTALL A PRODUCT NOT LISTED aus. Mittels der Taste [F3] können Sie hier den Source-Pfad der Installation überschreiben bzw. ändern. Wechseln Sie hierzu auf das neu erzeugte File SYS:\TEMP\NDPS.ips. Dadurch, daß die .ips-Datei nur die angegebenen zwei Zeilen enthält, wird nicht die komplette NDPS-Installation angeworfen, sondern es erscheinen jetzt die NDPS-Printservices im NWCONFIG unter PRODUCT OPTION und VIEW / CONFIGURE / REMOVE INSTALLED PRODUCTS, und zwar wie folgt: NDPS 2.0.0 Novell Distributed Print Services (NDPS). Beim Lexmark Gateway sollten Sie die folgende Zeile in die LEXGATE.ini im Verzeichnis SYS:\SYSTEM hinzufügen: TRUEENDOFJOB=OFF. Novell Client Manche Applikationen nutzen zum Drucken den UNCPfad zum Drucker selbst. Das kann unter Umständen an einem Novell Client in der Default-Konfiguration bis zu 30 Sekunden dauern. In diesem Fall möchte der Client den UNC-Pfad über eine nicht konfigurierte Suchmethode auflösen wie z.B. Host-File, DNS oder SLP. Entfernen Sie alle nicht konfigurierten Suchmethoden aus dem Novell Client und ändern Sie den Wert NAME RESOLUTION TIMEOUT auf den Client von 10 auf 1 ab. HPGATE.nlm Das mitgelieferte HPGATE.nlm hat einige bekannte Fehler. Sie sollten daher die aktuelle Version einspielen. Diese finden Sie unter: http://www.hp.com/cposup port/swindexes/hpipipxpri9501_swen.html Die Standardkonfiguration des HPGATE.nlm läuft in kleineren Netzwerken mit einer guten Performance, doch je mehr Drucker hinzugenommen werden, um so eher werden Sie feststellen, daß die Performance mehr und mehr einbricht (vgl. Abb. 1). Wenn Sie also sehr viele Drucker darüber laufen haben, sollten Sie die Default-Werte anpassen. Ab welcher Anzahl von Druckern das HPGATE Probleme bekommt, finden Sie im HPGATE-Monitor auf dem Server unter dem Punkt HP GATEWAY STATISTICS und zwar beim Wert PROCESSES WAIT TO RUN. Sollten hier öfter Werte um die 100 erscheinen, ist das HPGATE.nlm überlastet. Man sollte entweder einige Drucker auf ein anderes HP Gateway legen oder die Einstellungen optimieren (vgl. Abb. 2). Der wichtigste Parameter hierunter ist der Wert unter MAXIMUM SERVICE THREADS. Er steht per Default auf 10 und sollte auf 40 erhöht werden. Das kostet jedoch Hauptspeicher im Server. Sie sollten generell nur die aktuellen NDPS-Module verwenden, wobei immer der neueste NDPS-Patch installiert sein sollte. Doch wenn Sie das Novell Gateway nutzen, wird es geradezu zur Pflicht, da hier sehr viele bekannte Fehler behoben wurden. Der allerneueste NDPS-Patch hat den Namen NDP21P4.exe und ist auf der Technik-News CD zu finden. Abb. 1: HP Gateway Statistiken Alte Software Wenn Sie auf einem NDPS-Jetdirect Drucker I/O Error oder Needs Attention Error erhalten, dann handelt es sich meist um eine alte Firmware des Jetdirect Drukkers. Eine neue Version finden Sie unter: http:// www.hp.com/cposupport/prodhome/ hpjetdirec19284.html. Auch beim Lexmark bzw. Xerox Gateway gibt es in der ausgelieferten Version einige Fehler. Aus diesem Grund sollten Sie auch hier die aktuelle Version einspielen. Diese finden Sie unter: http://www.xerox.com/go/xrx/template/ 012.jsp?prodID=NDPS&Xcntry=USA&Xlang=en_ US&Xseg=corp http://partnersource.lexmark.com/US/ solutions/ndps.html Abb. 2: Änderungen der HP Gateway Parameter 10 Ausgabe 10/2002 51 h HOTLINE NOVELL FAQs und Facts Interessante Tips der Deutschen Netware FAQ Von Stefan Braunstein Wer die Anwender im Netzwerk mit aktuellen Infos versorgen möchte oder Bitmaps im Login-Fenster der Clients anzeigen will, kann auf Utilities zurückgreifen, die ihm dabei recht praktische Dienste leisten. Stefan Braunstein, der Verwalter der Deutschen Netware FAQ und der Utility-Sammlung NetwareFiles liefert TN-Lesern diesmal wieder aktuelle Tips und Tools. I In der letzten Ausgabe hatte ich Ihnen gezeigt, wie Sie sich in den Produkt Optionen eines NetWare Servers verewigen können. Am Client ist dies allerdings weitaus wirkungsvoller (vgl. Abb. 1). Sie können das neue Bild über einen Registry Eintrag aktivieren, erheblich einfacher geht es jedoch mit dem “Login Screen Bitmap Selector”, den ein Novell Mitarbeiter als Freeware geschrieben hat. Die hier beschriebenen Tools finden Sie bei den Free Tools der ”Novell Cool Solutions” unter http://www.novell.com/ coolsolutions/freetools. html , natürlich auch bei Net wareFiles.de und auf der TNMonats-CD unter \NWFAQ. Festplatte ablegen. Die Bedienung des Programms ist simpel. Sie wählen Ihr gewünschtes Bitmap aus oder löschen ein vorher definiertes, und nach dem nächsten Neustart wird das Bild im Login Fenster angezeigt. Was gibt’s Neues? Wenn Sie Ihre Benutzer öfter mit aktuellen Infos versorgen möchten, ist ein Web-Server im Intranet ganz praktisch, teilweise aber etwas übertrieben. Wenn Sie dabei auch noch sicherstellen möchten, daß die Nachrichten auch bestimmt gelesen werden, bietet sich ein System Abb. 1: Modifizierter Anmeldungsdialog an, das solche Infos beim Login anzeigt und eine Lesebestätigung verlangt. Mit dem kleinen Freeware Programm Broadcast können Sie Text- oder HTML-Nachrichten mit wenig Aufwand an den Arbeitsplatz bringen. Wie Sie in der Beispielnachricht (vgl. Abb. 2) erken- HOTLINE Erstellen Sie ein Bitmap im BMPFormat in einer Größe von 452 * 113 mit 16 Mio. Farben. Da auf dieses Originalbild bei jedem Aufruf des Login-Fensters zugegriffen wird, müssen Sie es daher auf der lokalen nen können, ist das Programm frei konfigurierbar. Alle GIF-Gr afikobjekte können nach Belieben ausgetauscht werden, sollten allerdings die gleiche Größe wie das Original haben. Alle aktuellen ungelesenen Nachrichten werden bei jedem Login nacheinander angezeigt, bis sie mit der Checkbox Gelesen rechts unten bestätigt werden. Jede Info liegt als HTML-Datei inklusive Grafiken in einem Verzeichnis auf dem Server und wird mit der Engine des auf dem Arbeitsplatz installierten Internet Explorers angezeigt. Neue Mitteilungen werden einfach in das gemeinsame Verzeichnis hineinkopiert, wobei die Schreibberechtigungen über die normale Rechteverwaltung der NetWare abgewickelt werden. Die Installation beschränkt sich auf die Konfiguration einer kleinen INI-Datei und den Eintrag in das Login Script. Abb. 2: Firmeninfos beim Login anzeigen 10 Ausgabe 10/2002 52 ßert, direkt vom Server aus per FTP Dateien zu empfangen. Mit Hilfe von NSN (ehemals Netbasic) konnte dieser Wunsc h recht einfach verwirklicht werden. Mittlerweile gibt es zwei Clients, wobei getftp. zip von Martin Strobl öfter akAbb 3: AutoLogon for Windows 1.4 nimmt die Arbeit ab tualisiert wird und auch als Freeware angeboten wird. Obwohl das Tool kompiliert wurde und als NLM Zum Thema Auto-Login gibt es un- vorliegt, werden weiterhin Kompozählige TIDs und Tips bei Novell. nenten von Netbasic benötigt. Unter Jede Client32-Version benutzt ande- Umständen müssen Sie das Programm re Registry-Einträge dafür, und die erneut kompilieren, was anhand der Clients für Win9x und NT/2000/XP beiliegenden Hilfe aber ganz einfach unterscheiden sich hierbei sowieso vonstatten geht. Oder Sie starten die gravierend. Diesem Umstand hat sich Interpreter-Variante des Clients. Auch der Däne Tommy Mikkelsen ange- dies wird im beiliegenden englischnommen und ein Freeware Windows sprachigen Readme genau erklärt. Tool programmiert, das Ihnen die notwendigen Schritte abnimmt und ohne Installation sofort einsatzbereit ist (vgl. Abb. 3). Sie müssen nur die gewünschten Benutzernamen und Paßder APC wörter in die Maske eintragen und Die Version 4.33 AutoLogon aktivieren. Beachten Sie PowerChute Plus Software für dabei, daß standardmäßig die Ausfüh- NetWare ist mittlerweile zwar recht rung von Login Scripts nicht ausge- betagt, sie läuft aber auch auf älteren wählt ist. Setzen Sie einfach das pas- NetWare Versionen und ist für einen sende Häkchen, und Ihr Rechner star- einzelnen Server ausreichend. Allertet nun ohne weiteren Eingriff durch. dings funktioniert die Installation Daß die hinterlegten Paßwörter ein über den Client nur mit installiertem Sicherheitsrisiko darstellen, sollte Novell Client32, aber nicht mit dem Ihnen natürlich klar sein. Andererseits Client 4.8 unter Windows 2000. APC gibt es viele Bereiche, in denen die- empfiehlt, den Client 4.7 einzusetzen. Da dieser jedoch ansonsten für ser Automatismus erforderlich ist. Windows 2000 nicht zu empfehlen ist, versuchen Sie, die Installation von einem Win9x Client aus durchzuführen. APC empfiehlt für Server unter NetWare 5.x und 6 aber drinVor einigen Jahren gab es von der Fir- gend die aktuelle APC PowerChute ma Wonloo, die auch NetWare-basier- Business Edition v6.x für Netware te FTP- und Webserver anbietet, ei- 5.1/6.0. Diese wurde mit Java pronen FTP-Client für NetWare Server. grammiert und erfordert deshalb etDieser war jedoch zeitbeschränkt und was Vorarbeit. So wird bei der Instalwurde nicht weiterentwickelt. In lation mindestens Java 1.3.1 auf dem Newsgroups und anderen Foren wur- Server vorausgesetzt. Mit den aktude immer wieder der Wunsch geäu- ellen NW 5.1 Support Packs wird die- AutoLogon APC PowerChute Plus NetWare Server als FTP-Client 10 Ausgabe 10/2002 53 se Version nicht automatisch installiert. Verwenden Sie deshalb den Novell Patch jvm131sp1.exe. Von APC erhalten Sie unter http://www.apc.com/tools/ download/ die aktuelle Power Chute Version, die Sie auf dem Server in einem Installationsverzeichnis auspacken. Gestartet wird die Installation direkt an der Server Konsole mit <insta llationsverzeichnis>/in stall. Dabei wird die X-WindowOberfläche gestartet, weswegen Sie keine Remote Konsole einsetzen können. Nach Eingabe der erforderlichen Parameter starten Sie den Agent mitSYS:\PowerChuteBusin essEdition\Agent\bin\pbe agent, wobei der Befehl vom Programm automatisch in der AUTO EXEC.NCF eingetragen wird. Nun können Sie per Web-Browser auf den Server zugreifen: http://ser ver:3052. Diese neue PowerChute Version hat den Vorteil, daß auch andere Serversysteme damit administriert werden können. Es gibt verschiedene Ausbaustufen der Software, wobei die Business Edition mit bis zu fünf Servern kostenlos erhältlich ist. Stefan Braunstein, der Verwalter der Deutschen Netware FAQ (netwarefaq.de) und der Netzwerk-Utility-Sammlung (www.net warefiles.de), liefert TechnikNews-Lesern allmonatlich eine Serie mit Tips, Tricks und Tools rund um Novell NetWare. Sie erreichen den Autor über: www.braunstein.de. Die angesprochenen TIDs und englischsprachigen Informationen der Novell Knowledge Base sind nun unter: http://support.no vell.com/search/kb_index. jsp zu finden. Einen direkten Link zur NetWare FAQ haben Sie auch über Technik News online: www.technik-news.de. p PRAXIS BINTEC IPsec-Implementierung Teil 1: Internet Protocol Security Von Hardy Schlink Die BinTec-Router bieten mit Internet Protocol Security allerhöchste Netzwerksicherheit. Wir haben im aktuellen Schwerpunkt die Hintergründe und Details von IPsec ausführlich dargelegt. Deshalb wollen wir die dort gewonnenen Informationen nutzen, wenn wir in diesem ersten Teil unserer neuen Praxisserie die IPsec-Implementierung in den BinTec-Routern vorstellen, um sie am praktischen Beispiel umsetzen zu lernen. Z Zunächst wollen wir im Rückgriff auf das aktuelle Thema des Monats veranschaulichen, welch vielfältige Facetten uns das IPsec- Protokoll bei den BinTec Geräten faktisch bietet. Wir werden die im Schwerpunktthema dargelegten Hintergrundinformationen zusammenfassen und auf die praktische Implementierung bei den BinTec-Routern übertragen. Entsprechende Querverweise finden Sie im Text. Wir werden sehen, welche Möglichkeiten uns BinTec mit IPsec zur Verfügung stellt, und werden die dabei verwendeten Protokolle, Algorithmen und die verschiedenen Modi des IPsec-Protokolls zusammenfassend vorstellen. Denn die hier beschriebenen Arbeitsweisen des IPsec-Protokolls werden uns helfen, die konkreten Einstellungen der IPsec-Parameter im BinTec-Router zu verstehen und praktisch anwenden zu können. In der nächsten Ausgabe der Technik News werden wir dann anhand dieser Informationen an die Konfiguration von IPsec gehen, indem wir den sogenannten IPsec-Wizzard verwenden. Internet Protocol Security Die oben genannten Punkte führten unter anderem zur Definition des IPsec-Standards (Internet Protocol Security), da sichergestellt werden sollte, daß wie vom IP-Protokoll her gewohnt, Geräte unterschiedlicher Hersteller miteinander kommunizieren können. IPsec bildet hierbei das Framework der offenen Standards und stellt transparente Security-Services durch die Nutzung moderner Kryptografie zur Verfügung, die unabhängig von der eingesetzten Applikation sind. Ein zusätzlicher Nutzen entsteht aus der Tatsache, daß die Security-Dienste vom Benutzer nicht bemerkt werden, und keine Umstellung in der Arbeitsweise erforderlich ist. Protokolleigenschaften Die IPsec-Protokoll-Suite stellt die Security-Services auf der Netzwerkebene (Packet Level) zur Verfügung. Hieraus resultiert, daß die Sicherheit des Netzwerkes im allgemeinen gewährleistet ist, und nicht nur für die Sicherheit der Applikationen und deren versendeten Daten gesorgt wird. Die Vorteile sind, daß IPsec momentan der einzige akzeptierte Security-Standard für IP-Encryption ist und die Interoperabilität mit Geräten vom mehreren Herstellern gewährleistet ist. Es werden Security-Services bereitgestellt, die für die Sicherheit der Netzwerkumgebung unentbehrlich sind, wie Authentication, Confidentiality, Integrity, Non-Repudiation, Anti-Replay. Das Design von IPsec erlaubt die Zusammenarbeit mit den IP-Protokollen Ipv4 und Ipv6. PRAXIS Sicherheitanforderung Heutzutage findet fast die gesamte Kommunikation über das Internet mit Hilfe des Protokolls IP v4 statt. Durch die große Flexibilität der TCP/IP-Protokoll-Suite wurde dafür gesorgt, daß nahezu alle Computer dieser Welt miteinander kommunizieren können. IP hat sich zum Standardprotokoll im Internet wie auch im Intranet durchgesetzt. Leider weist IP v4 in Sachen Sicherheit einige Lücken auf, die eine sichere Übertragung der Daten über das Internet ohne zusätzliche Protokolle wie eben IPsec nicht ermöglichen. An die Netzwerksicherheit werden Grundanforderungen gestellt. Da wäre zunächst die ”Authenticity” zu nennen, die dafür sorgen soll, daß die Person oder eine Maschine, mit der Sie zu kommunizieren glauben, auch wirklich diejenige ist, für die sie sich ausgibt. Der zweite Punkt ist die ”Confidentiality”, die dafür sorgt, daß niemand die gesendeten Daten im Klartext sehen kann. Zu guter letzt stellt die ”Integrity” sicher, daß die Daten auf ihrem Weg durch das Internet nicht verändert werden können. Anwendungsgebiete IPsec wird im Zusammenhang mit VPN implementiert, wobei es hier zwischen verschiedenen Einsatzgebieten zu unterscheiden gilt: Intranets, Extranets und Remote Access. Größere Unternehmen mit mehreren Außenstellen nutzen das Internet, um den Mitarbeitern in den einzelnen Lokationen die Möglichkeit zu geben, ihre Daten verschlüsselt über ein ungesichertes Medium wie das 10 Ausgabe 10/2002 54 Internet zu übertragen. Firmen können mit Hilfe der IPsecTechnologie in Extranets sichere Verbindungen mit Lieferanten und Geschäftspartnern implementieren. Und Mitarbeiter eines Unternehmens können durch die Tunnel-Technologie unabhängig vom Einsatzort eine gesicherte Remote-Verbindung zur Zentrale aufnehmen, um geschäftskritische Daten zu übersenden. In Host-to-HostVerbindungen ist IPsec ebenfalls in der Lage, eine gesicherte Ende-zu-Ende-Connectivity bereitzustellen, die zwischen zwei Hosts über das Netzwerk realisiert wird. Die IPsec-Protokoll-Suite ermöglicht es, gesicherte Verbindungen zwischen zwei sogenannten Security Gateways aufzubauen, wobei eine transparente Sicherheit für alle Hosts der beteiligten IP-Subnetze gegeben ist. In diesem Fall sind der Connection Endpoint und der Endpoint des IPsec-Tunnel nicht identisch. Auf der anderen Seite kann eine direkte Host-to-Host-Verbindung ermöglicht werden, wobei allerdings nur die Daten der beteiligten Hosts verschlüsselt werden, die Endpoints des Tunnels sind hier identisch. Public-Key-Verfahren Der Public Key kann frei auf einem sogenannten Key Server verteilt werden, so daß alle an der Kommunikation beteiligten Partner sich diesen Schlüssel downloaden können. Weiterhin braucht der Sender keine Kopie des Schlüssels an seine Mitstreiter versenden. Es existieren keine geheime Informationen, die über einen unsicheren Kanal übertragen werden müßten. Die Vertraulichkeit ist gewährleistet, da der Sender den Public Key des Empfängers benutzt, um die Daten zu verschlüsseln. Auch für die Authentizität wird gesorgt, indem der Sender eine Nachricht mit seinem Private Key signiert, der nur ihm bekannt ist. Non-Repudiation wird bereitgestellt, da der Sender einer Message diese mit seinem Private Key signiert, und der Empfänger in der Lage ist, die Signatur mit Hilfe des Public Key des Senders zu verifizieren. Methoden der Verschlüsselung Wenn der zu benutzende Algorithmus ausgewählt wird, gilt es zuerst zu entscheiden, wie sensitiv die Daten sind, und wie lange diese zu schützen sind. Ist die Entscheidung getroffen, so wird der entsprechende Algorithmus und die Key-Länge ausgewählt, wobei diese Kombination dafür sorgen sollte, daß ein Hacking der Informationen länger dauert, als die Zeitspanne, in der die Daten abgesichert werden müssen. BinTec´s Implementierung der IPsec-Protokoll-Suite unterstützt verschiedene symmetrische Verschlüsselungsalgorithmen, wodurch die Interoperabilität mit Geräten unterschiedlicher Hersteller gewährleistet wird. Dies sind: DES und Triple DES, Blowfish und Twofish, CAST und Rijndael AES (Advanced Encryption Standard). Kryptographie Das IPsec-Protokoll stellt seine Funktionen auf Basis der Kryptografie zur Verfügung, wobei diese sich aus einer Anzahl von Algorithmen zusammensetzt, die sich wiederum für die Verschlüsselung, Authentifizierung, KeyErzeugung und Entschlüsselung verantwortlich zeigen (zu Details siehe Thema des Monats). Damit dieVerschlüsselung ordnungsgemäß funktionieren kann, ist es erforderlich, daß Sender und Empfänger gewisse Regeln beachten, um die Originaldaten in die kodierte Form zu verwandeln. Hierzu wird eine Kombination von Algorithmen und Keys benutzt, um die Informationen abzusichern. Um die Keys zwischen den beteiligten Kommunikationspartner auszutauschen, existieren zwei Verfahren, der Symmetrische und der Asymmetrische ”Key Exchange”. IPsec-Protokolle Wie oben erläutert, arbeitet IPsec auf der IP-Ebene (Network Layer). Die IP-Pakete und deren Informationen zu Source, Destination und Datentyp sind von äußerster Wichtigkeit für IPsec. Für das Handling derAuthentication und Encryption von IP-Paketen wurden innerhalb von IPsec zwei Protokolle definiert, das EncapsulatingSecurity-Payload (ESP) und das Authentica tion Header(AH)-Protokoll. ESP sorgt für die Verschlüsselung und/oder Authentifizierung der Daten, wohingegen AH nur für Zwecke der Authentifizierung Verwendung findet (vgl. Abb. 1 und 2). Key-Exchange Beim symmetrischen Schlüsselaustausch wird der gleiche Key für die Ver- und Entschlüsselung der Daten verwendet. Es wird ein gewisser Grad an ”Authentication” bereitgestellt, da Daten, die erfolgreich entschlüsselt werden konnten, auch mit dem gleichen Key verschlüsselt wurden. Auf diese Weise können sich alle Beteiligten sicher sein, daß Sie mit dem richtigen, dem berechtigten Partner Daten austauschen, vorausgesetzt, die verwendeten Schlüssel geraten nicht in die Hände von Außenstehenden. Ein Nachteil entsteht noch durch die Verwaltung der Shared Secret Keys, da der Aufwand bei einer wachsenden Zahl von Teilnehmern schnell anwachsen und die Übersicht verloren gehen kann. Der Asymmetrische Schlüsselaustausch basiert auf dem Konzept eines Schlüsselpaars, dem Private- und Public Key. Der Public Key und ein entsprechender Algorithmus sorgt für die Verschlüsselung der Daten, entschlüsselt werden diese durch den Private Key und dem dazugehörigen Algorithmus. Security Association Damit die Kommunikation in geregelten Bahnen verläuft, verwendet der BinTec-Router über das IPsec-Protokoll die sogenannten Security Associations (SA), in denen die Bedingungen und Regeln des Datenaustauschs festgehalten werden. Eine SA faßt alle benötigten Informationen zusammen, die für eine sichere Kommunikation mit einem IPsec-Peer notwendig sind. Tabelle 1 zeigt Ihnen 10 Ausgabe 10/2002 55 p PRAXIS den Inhalt einer Security Association. Der Security Parameter Index (SPI) identifiziert dabei eine SA eindeutig gegenüber anderen SAs zwischen dem gleichen Peer. Tabelle 1 - Verwendetes Security-Protokoll - IP-Adresse des Peers - Benutzter Algorithmus - Security Parameter Index - Selector spezifiziert Paket Class (z.B. e-Mail) - Keys und Parameter (z.B. Schlüssellänge) - Lifetime der Security Associations Abb. 1: Aussehen eines ESP-geschützten IP-Pakets Tabelle 1: Inhalt einer Security Association Tunnel- und Transport-Mode Die Spezifikation von IPsec erlaubt die Anwendung des ESP- und AH-Protokoll auf die IP-Pakete auf zwei unterschiedliche Arten (vgl. S. 25). Im sogenannten Tunnel Mode wird das gesamte IP-Paket authentifiziert oder verschlüsselt. Der ESP-Tunnel-Mode nimmt das gesamte originale Paket und encapsuliert es innerhalb des neuen Payload. Anschließend wird dem Paket ein neuer IPHeader hinzugefügt, der die Adresse eines Gateways beinhaltet, um ein Routing zwischen den Tunnel-Endpunkte zu ermöglichen (siehe Abb. 3). Im AH-Tunnel-Mode wird das gesamte IP-Paket für die Integrity authentifiziert, einschließlich des neuen Tunnel-Header. Encryption wird vom AH-Protokoll hingegen nicht zur Verfügung gestellt (siehe Abb. 4). Der Transport-Mode hingegen bearbeitet nur den ”Transport Layer” eines IP-Datagramms (authentifiziert und/oder verschlüsselt). Im ESP-Transport-Mode werden nur die Payload-Daten des Original-IP-Paketes abgesichert. Der Payload wird zwischen ESP Header- und Trailer encapsuliert. Der Original IP-Header wird nicht angepackt und ist durch IPsec nicht geschützt (siehe Abb. 5). Im AH Transport-Mode wird der Authentication-Header nach dem IP-Header und vor dem ”Upper Layer Protocol” (z.B. TCP, UDP oder ICMP) oder vor anderen IPsec-Header, die bereits vorhanden sind, eingefügt. Wie bereits erwähnt, wird keine Verschlüsselung unterstützt (siehe Abb. 6). PRAXIS Security Databases Alle Parameter, die während der Konfiguration von IPsec eingestellt wurden, werden anschließend im BinTecRouter abgespeichert. Die Informationen befinden sich entweder in der Security Policy Database (SPD) oder der Security Association Database (vgl. Seite 26) Diese SAD spezifiziert die Security-Services, die auf den IP-Traffic angewendet werden. Diese Dienste sind abhängig von den Parametern, wie etwa der Source und Destination des Paketes. Die Security Association Database beinhaltet Informationen über jede SA, die wiederum angibt, wel- Abb. 2: IP-Paket mit AH-Protokoll gesichert Abb. 3: IP-Paket im ESP-Tunnelmodus cher AH- oder ESP-Algorithmus verwendet wird, und welche Länge der Schlüssel hat. Zusätzlich stehen in der SA die Sequenznummern, der Protokollmodus, und die SA Lifetime. Eine SA ist demnach als eine Art Instanz eines SPD-Eintrags zu sehen. IKE-Management Zum jetzigen Zeitpunkt existieren zwei Wege, um den Austausch der Schlüssel und das Key-Managment innerhalb der BinTec IPsec-Implementierung durchzuführen, manuell und automatisiert über Internet Key Exchange (vgl. S. 27). Beide Methoden werden vom IPsec-Standard vorgeschrieben, wobei das manuelle Key-Handling einige Nachteile aufweist. Denn bei der Benutzung der manuellen SA müssen beide IPsec-Peers in der Konfiguration bei beiden Router übereinstimmen, es findet keine Negotiation der Security Associations statt. Weiterhin bieten die manuellen SAs keinen Schutz vor Replay-Attacken. Es ist daher in der Praxis sehr wichtig, die verwendeten Keys sorgfältig auszuwählen und sicher aufzubewahren. IKE stellt eine Infrastruktur zur Verfügung, um eine automatisierte Key-Verteilung und Protokollaushandlung zwischen den Kommunikationspartnern zu ermöglichen. Es existieren drei Modi zum Austausch der Schlüsselinformationen und für das Setup der SAs, zwei für IKE Phase-1 als Main und Aggressive Mode und einer für IKE Phase-2, der Quick Mode. Durch IKE wird ein 10 Ausgabe 10/2002 56 Tabelle 2 IKE-Phase 1: komplette Liste der Algorithmen Blowfish/MD5 (Default) Blowfish/Tiger 192 DES3/MD5 Blowfish Ripemd160 CAST/MD5 CAST/Tiger 192 DES/MD5 CAST/Ripemd160 Blowfish/SHA1 Rijndae1/Tiger 192 DES3/SHA1 Rijndae1/Ripemd160 CAST/SHA1 Rijndae1/MD5 DES/SHA1 Rijndae1/SHA1 DES/Tiger 192 Twofish/MD5 DES/Ripemd160 Twofish/SHA1 DES3/Tiger 192 Twofish/Tiger192 DES3/Ripemd160 Twofish/Ripemd160 Abb. 4: IP-Paket im AH-Tunnelmodus IKE Phase 2: die gebräuchlichsten Algorithmen ESP Blowfish/MD5 no Comp (Default) ESP DES3/MD5 no Comp ESP CAST/MD5 no Comp ESP DES/MD5 no Comp ESP NULL/MD5 no Comp ESP Blowfish/SHA1 no Comp ESP DES3/SHA1 no Comp ESP CAST/SHA1 no Comp ESP DES/SHA1 no Comp ESP NULL/SHA1 no Comp ESP Blowfish/NULL no Comp ESP DES3/NULL no Comp ESP CAST/NULL no Comp ESP DES/NULL no Comp AH none/SHA1 no Comp AH none/MD5 no Comp ESP All (No Des)/All ESP All/All ESP All (No Des)/All no Comp ESP All/All no Comp ESP All (No Des)/All force Comp ESP All/All force Comp ESP Rijndae1/MD5 ESP Rijndae1/SHA1 ESP Rijndae1/NULL ESP Twofish/MD5 ESP Twofish/SHA1 ESP Twofish/NULL ESP Blowfish/MD5 ESP Blowfish/SHA1 ESP Blowfish/NULL ESP CAST/MD5 ESP CAST/SHA1 ESP CAST/NULL ESP DES3/MD5 ESP DES3/SHA1 ESP DES3/NULL ESP DES/MD5 ESP DES/SHA1 ESP DES/NULL ESP NULL MD5 ESP NULL SHA1 ESP Rijndael/MD5 no Comp ESP Rijndael/SHA1 no Comp ESP Rijndael/NULL no Comp ESP Twofish/MD5 no Comp ESP Twofish/SHA1 no Comp ESP Twofish/NULL no Comp ESP Rijndael/MD5 force Comp ESP Rijndael/SHA1 force Comp ESP Rijndael/NULL force Comp ESP DES/Tiger 192 Abb. 5: IP-Paket im ESP-Transportmodus Abb. 6: IP-Paket im AH-Transportmodus Weg zur Verfügung gestellt, um verwendete Protokolle, Algorithmen und Schlüssel auszuhandeln und den KeyExchange sicher abzuwickeln, um Authentication Services von Anfang an sicherzustellen, und um das Management der beteiligten Schlüssel bereitzustellen Die von BinTec unterstützten Protokolle für IKE-Phase 1 und 2 entnehmen Sie bitte der Tabelle 2. Der Austausch der Schlüssel über IKE wird zusätzlich gesichert durch das Verhindern von Denial-of-ServiceAttacks, das Anbieten von Perfect Forward Secrecy (PFS) und durch Unempfindlichkeit gegen Replay-Attacken. Zertifikate Ein Zertifikat kann verschiedene Objekte identifizieren, z.B. Personen, Firmen oder Applikationen. Es wird außerdem durch sogenannte Certification Authorities verifiziert. Hierbei kann es sich um externe Certification Authorities handeln, wie Verisign oder Unternehmen, die ihre eigene CA aufbauen. Die Zertifikate basieren auf dem Standard X.509, der das Format und die Bedingungen, unter denen ein Zertifikat angelegt und benutzt wird, spezifiziert. Verwendung finden Zertifikate, um unter anderem den Public Key abzusichern. In der nächsten Ausgabe werden wir uns mit der Konfiguration der IPsec-Implementierung bei den BinTecRoutern praktisch auseinandersetzen Tabelle 2: BinTec´s IKE Protokoll-Support 10 Ausgabe 10/2002 57 p PRAXIS MICROSOFT Do IT Dot NET Teil 7: Das Business Desk des Commerce Server 2000 Von Patrick Fell Wir haben die Commerce Server-Architektur und die fünf Hauptsysteme kennengelernt, die es erlauben, eCommerceAnwendungen zu implementieren, zu administrieren und zu optimieren. Diesmal geht es um das Business Desk, das zum Konfigurieren, Verwalten und Analysieren von Sites einsetzt wird. Es dient Businessmanagern, um Inhalte zielgerichtet an Kunden und Partner zu liefern, um Benutzer- und Organisationsprofile zu erstellen, oder um die SiteVerwendung zu optimieren. D Das Business Desk ist das Web-basier te Site-Verwaltungstool des Microsoft Commerce Server 2000 (s. Abb. 1). Es dient als Host für die Business-Desk-Module, die Sie zum Konfigurieren, Verwalten und Analysieren Ihrer Sites einsetzen. Damit lassen sich beispielsweise Preisinformationen in Katalogen aktualisieren und bestimmten Benutzern neue Anzeigen zielgruppengerichtet präsentieren. Sie können Berichte anfertigen lassen, die den Einfluß dieser Änderungen auf die Produktivität der Site messen. PRAXIS Architektur Das Business Desk besteht aus zwei Teilen, der reinen Anwendung und dem Client. Die Business Desk-Anwendung ist das oben genannte Managementtool. Nach der Installation von Commerce Server können Sie eine Lösungssite entpacken, mit deren Hilfe sich eine Business DeskAnwendung installieren läßt, auf die von einem beliebigen Computer mit Microsoft Internet Explorer 5.5 zugegriffen werden kann. Sie erhalten einen sicheren Remote-Zugriff. Der Business Desk Client ist auf einem lokalen Computer zu installieren. Er Client stellt die Oberfläche für den Zugriff auf die Business DeskAnwendung bereit. Beim ersten Zugriff auf eine Business Desk-Anwendung über einen URL wird der Client heruntergeladen und installiert. Komponenten Sie werden verschiedene Module einsetzen, um die vielfältigen Aspekte ihrer Web-Site zu verwalten, zu gestalten und zu analysieren. Als die Hauptkomponenten des Business Desk sind die Module nach ihren besonderen Aufgabenstellungen in fünf Kategorien geordnet, in Analyse, Kampagnen, Kataloge, Aufträge und Benutzer (vgl. Tabelle 1). Die Daten aus einer Web-Site müssen zusammengestellt und in Datawarehouse importiert werden, bevor Sie z.B. Analyseberichte ausführen können. Sie verwenden die Kampagnenmodule, um Werbe-, Preis- und Promotionaktionen zu erstellen und zu veröffentlichen. Mithilfe der Katalogmodule lassen sich Informationen aktualisieren. Die Auftragsmodule verwenden Sie, um Benutzeraufträge zu verfolgen. Schließlich verwenden Sie die Benutzermodule, um Kennwörter zurückzusetzen, Benutzerprofile zu ändern oder die Sammlung von Profildaten zu definieren. Module sperren Das Business Desk bietet rollenbasierte Sicherheit, d.h. daß Benutzer nur solche Module anzeigen und verwalten können, für die sie autorisiert sind. Wenn eine Benutzergruppe z.B. das Katalog-Designer-Modul nicht verwenden soll, können Sie es unterbinden, daß dieses Modul im Navigationsbereich angezeigt wird, wenn die Gruppenmitglieder auf das Business Desk zugreifen. Wenn ein Site-Entwickler den Zugriff auf ein Modul beschränkt hat, wird es ohne Zugriffsberechtigung auch nicht angezeigt.Beachten Sie, daß solche Zugriffsbeschränkungen nicht das Ziel haben, böswilligen Sicherheitsverletzungen vorzubeugen. Es soll vielmehr verhindert werden, daß Benutzern Module angezeigt werden, die überhaupt nicht in ihren Verantwortungsbereich gehören. Für die Implementierung der Site-Sicherheit sind Systemadministratoren zuständig. Zur Sicherung eines Business Desk Moduls muß die WindowsZugriffssteuerungsliste (ACL) in den ASP-Dateien (Active Server Page) eingerichtet werden. Module sichern Es werden standardmäßig alle Module gesichert, wenn Sie die Profil-, Kampagnen- und Transaktionsveröffentlichung sichern. Durch diese Funktion wird der Zugriff auf bestimmte Daten im Business Desk nicht eingeschränkt. Wenn Sie den Zugriff auf Daten beschränken möchten, die dem Benutzer in Business Desk angezeigt werden, wenden Sie sich an Ihren Systemadministrator oder Site-Entwickler, um Sicherheit auf Datenbankebene zu implementieren. Falls ein Business Desk-Benutzer z.B. nur einen bestimmten Katalog bearbeiten soll, kann der Site- 10 Ausgabe 10/2002 58 Entwickler diese Sicherheitsmaßnahme implementieren.Wenn ein Benutzer mittels einer nicht authentifizierten Sitzung eine Verbindung mit Business Desk über das Internet herstellt, wird er vom Internet Explorer zur Eingabe seines Benutzernamens, Kennworts und Domänennamens aufgefordert. Dies dient seiner Authentifizierung für die Business Desk-Anwendung. Anpassungen Site-Entwickler und Systemadministratoren können das Commerce Server Business Desk an die Geschäftsbedürfnisse anpassen. Ein Site-Entwickler kann z. B. Funktionen hinzufügen oder entfernen, das Business Desk in eine vorhandene Anwendung integrieren oder bestimmte Funktionen verändern. Er kann neue Berichte erstellen. Der Systemadministrator wiederum ist dafür verantwortlich, in regelmäßigen Abständen Daten in Datawarehouse zu importieren. Daraufhin können Berichte ausgeführt, mit den Daten verglichen und analy- Tabelle 1 Kategorie Analyse Kampagnen Kataloge Aufträge Benutzer Module Berichte Abgeschlossene Berichte Segment-Viewer KampagnenManager Listen-Manager Kampagnenausdrücke Zielgruppen Referenztabellen Veröffentlichung Katalog-Designer Katalog-Editor Katalogsatz WarenkorbManager Datencodes Auftragsstatus Lieferoptionen Steuersätze Transaktion User Organisationen Profil-Designer Sitebegriffs-Editor Profilveröffentlichung Tabelle 1: Business Desk Module siert werden. DerAdministrator kann aber auch Daten aus den Webprotokolldateien anpassen, die ins Datawarehouse importiert werden, oder Benutzer und Besuche definieren. Er verwendet beim Erstellen von Profildefinitionen den Commerce Server-Manager und fügt Datenquellen, Datenelemente und Datenobjekte hinzu. Um zur Analyse das Segment-ViewerModul zu verwenden, muß der Systemadministrator Abb. entsprechende Segmentmodelle erstellen. Zudem konfiguriert er alle Systemeinstellungen, ob Maßeinheiten, Währungen und Zahlungsoptionen oder die Web-Siteregistrierung und Sicherheitsoptionen. Alle Änderungen daran müssen koordiniert werden. Framework Das Business Desk ist ein Benutzeroberflächen-Framework, das hauptsächlich in Form von Active Server Pages implementiert ist und Dynamic Hypertext Markup Language (DHTML) enthält. Das Framework bietet eine strukturierte Umgebung, in welcher Drittentwickler die Managementfunktionalität von Commerce Server 2000 einfach erweitern können. Diese Umgebung enthält eine strukturierte Seitennavigation, Standardmechanismen zur Datenbearbeitung, gemeinsame Hilfsroutinen und eine Vielzahl von Konventionen. Diese sollen zu einem gleichbleibend guten Benutzererlebnis beitragen. Jede Commerce Server-Web-Site verfügt über eine spezifische Instanz des Business Desk, mit der sie verknüpft ist. Obwohl Business Desk und die Web-Site gemeinsam dieselben CommerceRessourcen, Datenbanken etwa, verwenden, ist Business Desk dennoch eine separate ASP-Anwendung mit eigener Verzeichnisstruktur und virtuellem Stammverzeichnis. Das Business Desk Framework stellt die Umgebung bereit, in der die verschiedenen Module ausgeführt wer- 10 Ausgabe 10/2002 59 1: Business Desk Client Übersicht den, so daß eine Reihe von Konfigurationsdateien mit wichtigen Informationstypen bereitstellt werden kann, die für Business Desk zur Navigationsunterstützung benötigt werden. Der erste Typ bestimmt die Reihe der kategorisierten Module, auf die in Business Desk zugegriffen werden kann, der zweite wird zum Erstellen und Verwalten der Taskleiste verwendet, die für jede Aktionsseite verschieden ist. In der Abbildung ist auch zu sehen, daß die erste Aktionsseite von Modulen in der Regel eine Listenseite ist, über die mit Hilfe von Schaltflächen auf Bearbeitungsseiten zugegriffen werden kann. Außerdem ist zu sehen, auf welche Art der Benutzer zur Listenseite zurückkehren muß, damit er in ein anderes Modul wechseln kann. Fazit Microsoft ist auch mit diesem Produkt ein entscheidender Schritt bei der Programmierung von eCommerce-Plattformen und der Verbesserung von eBusiness-Auftritten über das World Wide Web gelungen. In Verbindung mit BizTalk Server und Application Center Server können Daten vergleichsweise leicht integriert und redundant zur Abfrage zur Verfügung gestellt werden. Jedoch sollten Sie dabei, ähnlich wie beim Application Center Server, die Knowledge Base Artikel und die darin beschriebenen Fehlermeldungen beachten. p PRAXIS NORTEL NETWORKS Secure Web Switching Alteon ACEdirector Web Switch Die ACEdirector-Produkte sind als integrierte Service-Frontends wegweisend für eine neue Generation von WebSwitches. Aufbauend auf einer innovativen Architektur mit verteilter Verarbeitung unterstützen die ACEdirectorModelle 2, 3 und 4 alle Web OS-Dienste zum Internetverkehrsmanagement. Sie bringen L2-, L3- und L4-L7-Switching mit Simultanunterstützung. I Im Gegensatz zu herkömmlichen Paket-Switches kombiniert der ACEdirector eine einzigartige Zusammensetzung aus Ver kehrsmanagementdiensten in einem Hochleistungs-Ethernet-Switch, der zum Schalten von Hunderttausenden von Web-Sessions pro Sekunde optimiert ist. So leistungsstarke Funktionen wie Local und Global Server Load-Balancing, Anwendungsredirektion, SSL-Load Balancing oder URL-gestützte Redirektion sowie moderne TCP/IP-Filter sind im ACEdirector implementiert. PRAXIS High Performance SLB Durch das Server Load-Balancing des ACEdirectors entsteht eine schier unbegrenzte Serverkapazität. Im Gegensatz zu Produkten, die auf einen einzelnen, zentralen Prozessor aufbauen, nutzt der ACEdirector zwei leistungsstarke RISC-Prozessoren auf jedem seiner 10/100 Mbps-Ports, um Web-Sessions mit Höchstgeschwindigkeiten zu schalten. Daraus ergibt sich eine Lastverteilung von bis zu 200.000 Sessions pro Sekunde. Der ACEdirector bedient sich sogenannter virtueller IP-Adressen (VIP) für Zielserver und -anwendungen. Eine Session wird dem höchstverfügbaren Server anhand der im Session-Request-Paket angegebenen Ziel-VIP zugewiesen. Der ACEdirector überwacht jede Session vom Anfang bis zum Ende und gewährleistet eine volle Adressenübersetzung bei der Weiterleitung von Paketen zwischen Client und Server. VIPs können in Blocks zugewiesen werden, so kann bei schneller, einfacher und fehlerfreier Verwaltung eine praktisch unbegrenzte Anzahl von virtuellen Adressen verwendet werden. Bis zu 2.048 Anwendungen können mit einer VIP verknüpft werden. GSLB-Funktionen Mit dem Global Server LoadBalancing (GSLB) können duplizierte Server oder Serverfarmen auf der ganzen Welt verteilt werden und damit die Anforderungen zur schnellsten Site weitergeleitet werden. WebSwitches legen fest, welche Site je nach Funktion, Nähe zum Client und Serverreaktionszeit die beste ist. Web-Switches tauschen diese Informationen automatisch untereinander aus. Aufgrund der globalen Zustandsinformationen zur Funktion und Leistung von individuellen Sites entwickelt jeder Web-Switch eine Liste der am besten funktionierenden Sites und leitet den Datenverkehr gemäß dieser Leistungswerte an die jeweiligen Sites weiter. Sites mit der höchsten Leistung erhalten somit mehr Verbindungen als andere, da sie eine höhere Anzahl an Verbindung besser verarbeiten können. Systemadministratoren konfigurieren die Lastverteilungsmethode, d.h. Round Robin, die Methode der wenigsten Verbindungen (Least Connections) oder Hashing. Die Verbindungsschwellenwerte und unterschiedlichen Gewichtungen können den Servern einzeln zugewiesen werden und vermeiden somit Überlastungen. Jeder Server kann als Backup- oder Overflow-Server für andere Server oder Servergruppen festgelegt werden, wodurch die Verfügbarkeit der Anwendung weiter gesichert werden kann. Inhaltsbewußt Die neue URL-gestützte Web-CacheRedirektion und die neuen SLBFunktionen (nur AD3) optimieren Cache-, Server- und Web-Farmen, indem sie Anforderungen mit bestimmten, passenden URLs und URL-Teilzeichenketten an designierte Cacheoder Web-Server schicken. Bis zu 64 Inhaltsregeln können je Switch angewandt werden und ermöglichen eine Feineinstellung des Servers durch Trennung der statischen und dynamischen Inhaltsanforderungen über syntaktische HTML-Analysen. Das Secure Sockets Layer Load Balancing (SSL-LB) optimiert SSLSessions und gewährleistet SessionPersistenz. Somit erhält jeder Benutzer die Möglichkeit, sichere Verbindungen zu einem bestimmten Server herzustellen oder wiederherzustellen. Die SSL-Session-Identifizierung kann zur Sicherstellung der Persistenz beim SSL-/HTTPS-Load Balancing gewählt werden. Filter und Policies Die Filterfunktionen des ACEdirector bieten weitreichende Möglichkeiten zur Kontrolle des Datenverkehrs im Netzwerk. Administratoren können je nach Anwendung, Protokoll und IPQuell- und Zieladressen bestimmte Pakete herausnehmen oder weiterleiten. Bis zu 224 Filterregeln können je Switch erstellt werden, wobei be- 10 Ausgabe 10/2002 60 liebige Regelkombinationen auf unterschiedliche Ports angewandt werden können.Mit Policy-gestützter Redirektion und LB-Funktionen können leistungsstarke Filterregeln verwendet werden, um den Datenverkehr an beliebige Geräte abzufangen und an eine Gruppe gleichartiger Vorrichtungen - z.B. Firewalls oder Router - weiterzuleiten. Mit der Anwendungsredirektion lassen sich außerdem transparente Caches verwenden, und auch die Reaktionszeit für den Internetzugriff und die Belegung der WAN-Bandbreite ohne Belegung von Cache-Speicher kann reduziert werden. Switch- n´ Trunking Zur Gewährleistung größtmöglicher Flexibilität in den verschiedensten Topologien können Server in einer Servergruppe mit Load Balancing eingesetzt werden oder Backup- und Overflow-Server an beliebigen Stellen in einem gerouteten Netzwerk genutzt werden, selbst in einem WAN. IP-Switching vereinfacht die Konfiguration und erhöht die Sicherheit dadurch, daß Server mit Load Balancing private IP-Adressen verwenden können, während die Öffentlichkeit andere virtuelle IP-Adressen verwendet. DerACEdirector ermöglicht nahtloses Trunking an Router und Switches.Alle ACEdirectors schützen Anwendungen gegen Ausfälle eines Serverlinks, Switch-Ports oder Switches, mit Erfassung und Failover in weniger als einer Sekunde. Der ACEdirector überwacht kontinuierlich die Verfügbarkeit von Server, Anwendung und Inhalt, umgeht funktionsunfähige Server bei der Verteilung neuer Sessions und nimmt sie gleich automatisch wieder auf, wenn ihre Funktionsweise wiederhergestellt ist. Intelligente Anwendungsfunktionsrüfungen gewährleisten die Integrität des gesamten Datenpfads. Bandbreite und QoS Alteons ACEdirector 3 kann in Aktiv-Aktiv- und Aktiv-StandbyRedundanzkonfigurationen eingesetzt werden. Dur ch VRRP und Alteons Erweiterungen für VRRP unterstützt der ACEdirector 3 die aktive und gleichzeitige Inbetriebnahme von L3-Interfaces und L4-Diensten mit mehreren Switches. Mit dem ACEdirector 3 und 4 kann der Bandbreitengebrauch der Layer 2 bis 7 gemessen und kontrolliert werden. Die Zuweisung der Bandbreite kann nach Client, Serverfarm oder virtuellem Service, nach Anwendung, Benutzerklasse, Inhalt und einer Reihe von anderen Netzverkehrsklassen erfolgen. Festlegungen, bestehend aus drei Bandbreitenraten, können jeder Netzverkehrsklasse zugewiesen werden. Dazu gehören die Commited Information Rate, die eine minimale 10 Ausgabe 10/2002 61 Bandbreite garantiert, das Soft-Limit, die bei vorhandener Bandbreite angewendete gemessene Rate, und das Hard-Limit, eine maximale Burstrate. Alle Funktionen können über WebBrowser, SNMP-Managementanwendungen oder über ein Befehlszeilen-Interface verwaltet und konfiguriert werden. Sie sind über Fernzugriff, serielle oder Telnet-Verbindungen mit umfassendem Kennwortschutz erreichbar. Der ACEdirector unterstützt ein privates MIB, vier RMON-Gruppen auf jedem Port und Port-Duplizierung. Produktinformation Unterstützte Standards - Spanning Tree (IEEE 802.1d) - Logical Link Control (IEEE 802.2) - Flußkontrolle (IEEE 802.3x) - SNMP (MIB-II, Ethernet, Bridge), - RMON (RFC 1757) - IP, RIPv1, TFTP (RFC 783) - BootP (RFC 1542, RFC 951) - TFTP (RFC 783) - Telnet (RFC 854) 10BASE-T/100BASE-TX Ports - 10/100 Voll- oder Halbduplex - Autonegotiation - RJ-45-Anschlüsse für UTP-Ports Layer-2 Support - 802.1Q (64 VLANs) - Jumbo Frames (alle Ports), - Trunk-Gruppen - 802.1d Spanning Tree - MAC-Adressen: 4K je Port, 8K je Switch v VORSCHAU WORKSHOPS - ROADSHOWS - SEMINARE Sales Spirit 2002 Live Hacking Erfolgreich verkaufen Security Learning Cycle C Compu-Shack und Avaya laden ein zur Sales Spirit 2002. Die eintägigen Veranstaltungen finden im Oktober in Köln, Hamburg, Leipzig und Berlin statt. Unter dem Motto “Mit Optimismus in den Aufschwung” zeigt ErichNorbert Detroy Wege, wie in der jetzigen Konjunkturlage Aufträge zu guten Preisen zu plazieren sind, um hohe Umsätze zu generieren. Der bekannte Verkaufstrainer vermittelt die notwendigen Strategien für ein erfolgreiches Verkaufsgespräch, um aus dem Zugewinn an professionellen Verkaufstechniken trotz angespannter Wirtschaftslage geschäftlich erfolgreich zu agieren. Die Teilnehmer optimieren ihre Abschlußtechniken, lernen Ideen zur Faszination ihrer Kunden zu entwickeln, und den überzeugenden Umgang mit Kauf-Widerständen. Dank des Sponsoring von Compu-Shack und Avaya beträgt die Teilnehmergebühr für diese einzigartige Veranstaltung nur 148,- •, ab zwei Personen sogar nur noch 128,- • pro Teilnehmer. D Die Security-Experten der Compu-Shack Solution sind mit ihren erfolgreichen Live Hacking Sessions auch im Oktober unterwegs. Sie kommen am 8.10. nach Leipzig und am 9.10. nach Dortmund. Eine Online-Anmeldung für die Live Hacking Sessions finden Sie wie gewohnt auf der Compu-Shack Website. Fragen zum aktiven Schutz gegen Hacker-Attakken beantwortet das Projekt-Team der Compu-Shack Solution unter 02631-983-345. cs:mall24Workshop Alle Anmeldungen zu Veranstaltungen der Compu-Shack können online unter: www.portal.compu-shack.com in der Rubrik Workshops erfolgen. Pro Netzwerk = Procurve VORSCHAU Kostenloser Workshop für HP Reseller D Der HP Produktbereich Networking geht wieder on Tour. Vom 28. bis 31. Oktober führen kostenlose Workshops zur Einführung der neuen HP Procurve-Produkte durch vier deutsche Städte. Experten von HP vermitteln den Resellern in sechs interessanten Stunden praxisnah, in Hands-On-Sessions alle Neuheiten rund um die HP Procurve Switches. Die kostenfreien Veranstaltungen beginnen jeweils um 10:00 Uhr. Die Teilnehmerplätze sind begehrt. E-Commerce für Fachhändler Für Compu-Shack Fachhandelspartner finden im Oktober und November 2002 in 13 deutschen Städten weitere cs:mall24 Workshops statt. Im Rahmen der halbtägigen kostenlosen Veranstaltungsreihe informieren die ECommerce-Spezialisten von Compu-Shack detailliert über die cs:mall24. Die ausgefeilte E-Commerce-Lösung hilft, neue Kunden zu gewinnen. Innerhalb weniger Minuten eingerichtet, entfaltet der persönliche Online-Shop cs:shop24 all seine Vorteile, und bietet den Kunden der Fachhandelspartner die Chance, rund um die Uhr zu bestellen. Besondere Vorzüge liegen in dem geringen Aufwand bei der Sortimentspflege. Eine integrierte PostleitzahlSuchfunktion ermöglicht dem Endverbraucher, seinen Fachhändler in der Nähe ausfindig zu machen. Mit Hilfe einer Warenkorbfunktion und eines elektronischen Bestellformulars kann er dann direkt online ordern. Genau Termine im Compu-Shack Fachhandelsportal. 10 Ausgabe 10/2002 62 MESSEN, ROADSHOWS, SEMINARE N 11 No 11/2002 Thema des Monats November NETWORK SECURITY Waren Speichernetzwerke vormals eher den großen Rechenzentren vorbehalten, so zwingen die exponential steigenden Datenmengen längst auch mittlere und selbst kleine Unternehmen, geeignete Massenspeicherlösungen zu finden. Verschiedenste Philosophien zu SAN- und NAS-Architekturen beschäftigen inzwischen die Netzwerker. Wir wollen die Begriffe des Speichermanagements klären und Lösungen für eine - manchmal auch netzwerkübergreifende - Sicherungsstrategie der Datenmassen vorstellen. Storage Area Networks sind im Prinzip eine Anzahl von Storage Devices, wie Festplatten, CD/DVD Systeme, Streamer und Wechsler, die über das Netzwerk miteinander verbunden sind. Ein SAN kann durch unterschiedliche Devices erweitert werden. Die einzelnen Geräte verfügen aber über keine eigene Logik, um den Endanwendern Daten bereitzustellen. Diese Funktion muß von Servern zur Verfügung gestellt werden. Demgegenüber besitzt das Network Attached Storage (NAS) solche Bereitstellungsfunktionen bereits. Je nach Hersteller werden dabei verschiedene Protokolle gefahren: Standard TCP/IP Protokolle wie HTTP und FTP, das Network File System für Unixsysteme, IPX für Netware Clients oder das Common Internet File System für Windows. Doch nicht jeder Hersteller unterstützt dabei alle Protokolle. Wir wollen uns daher die Grundlagen der Technologie anschauen . Praxis: Wireless Security: Secure Web Switching, Teil 5: Enterasys Rapid Re-Keying Alteon Web Switch Module Speichermanagement SAN- und NAS Technologien Von Michael Heinz Aktuelle Demo-CDs und Trials können Sie kostenlos unter www.technik-news.de bestellen. Im Compu-Shack Fachhandelsportal unter http://portal.compu-shack.com finden Sie zudem alle verfügbaren Compu-Shack Kataloge, Printmedien und kostenlose Informationsbroschüren zu speziellen Technologiethemen und Services, u.a. zu Nortel Alteon oder Network Security. Interessante Downloads der Compu-Shack Training befinden sich unter: www.training.compu-shack.com. im Bereich Downloads. Ausgewählte Termine 08.10.2002 12.09.2002 09.10.2002 17.-20.09.02 14.-18.10.2002 18.09.2002 15.10.2002 19.09.2002 16.10.2002 20.09.2002 17.10.2002 23.-27.09.02 18.10.2002 23.09.2002 21.10-04.11.2002 24.09.2002 28.10.2002 25.09.2002 29.10.2002 04.-06.09.02 29.-31.10.2002 08.10.2002 30.10.2002 12.10.2002 31.10.2002 14.-18.10.2002 19.-21.11.2002 19.-21.11.2002 CSSecurity SecurityLearning LearningCycle: Cycle:Live LiveHacking HackingSession Session CS CS Security Learning Cycle: Live Hacking Session Compu-Shack Production: Wireless Tour 2002 Systems CS Security2002 Learning Cycle: AVAYA Wireless Compu-Shackund undAVM: Avaya: SalesAccess Spirit 2002 Compu-Shack Remote über VPN Compu-Shack und Avaya: Spirit 2002 CS Security Learning Cycle:Sales AVAYA Wireless Compu-ShackProduction: und Avaya:Wireless Sales Spirit Compu-Shack Tour2002 2002 Compu-Shackund undWatchguard: Avaya: SalesSecurity Spirit 2002 Compu-Shack Workshop Compu-Shack cs:mall24-Workshops CS Security Learning Cycle: AVAYA Wireless HP Procurve und Reseller-Workshop Compu-Shack Watchguard: Security Workshop HP Procurve Linux KongressReseller-Workshop LinuxWorld CS Security Learning Cycle: Live Hacking Session HPSecurity Procurve Reseller-Workshop CS Learning Cycle: Live Hacking Session HP Procurve Systems 2002 Reseller-Workshop exponetCologne Cologne2002 2002 exponet 10 Ausgabe 10/2002 63 Leipzig Dortmund Dortmund Nord- und Ostdeutschland München Neuwied Köln Potsdam Hamburg Potsdam Leipzig West- und Süddeutschland BerlinNeuwied bundesweit München Neuwied München Potsdam Köln Frankfurt Leipzig Ratingen München München München Köln Köln Bibliographie Federal Information Processing Standards Publication 197, Announcing the Advancsportalced Encryption Standard (AES), 2001 Vincent Rijmen, Joan Daemen, AES Proposal: Rijndael, The Rijndael Block Chypher, 1999 Jörg Buckbesch, Rolf-Dieter Köhler, VPN Virtuelle Private Netze, 2001 Frank Bitzer, Klaus M. Brisch, Digitale Signatur, 1999 Albrecht Beutelspacher, Jörg Schwenk, Klaus-Dieter Wolfenstetter, Moderne Verfahren der Kryptographie, 3. Auflage 1999 Bruce Schneier, John Kelsey, Doug Whiting, David Wagner, Chris Hall, Niels Ferguson, The Twofish Encryption Algorithm: A 128-Bit Block Cipher, 1999 Patric Fell, Schlüssel für die Sicherheit: PKI, Technik News 5/2001 ff IT-Sicherheitskriterien im Vergleich, Initiative D21, Arbeitsgruppe 5, 42 Seiten, Stand 20.12.2001 Informationsquellen im Web - www.ietf.org www.nist.gov www.bintec.de www.cisco.com www.watchguard.com www.rsasecurity.com developer-forums.novell.com projekte.compu-shack.com 10 Ausgabe 10/2002 64