Tunnelbau - ITwelzel.biz

Technik News - Netzwerkmagazin
G46392
Oktober 2002
D a s
N 10
12. Jahrgang
thema des monats
NETWORKSECURITY
Tunnelbau
Teil 1: Interoperabilität
mit IP-VPN
TECHNOLOGIE UPDATE
.NET Server
Teil 2: DNS und Active
Directory
p r a x i s n a h e
N e t z w e r k m a g a z i n
AKTUELL
• Compu-Shack Training mit eigenem Internet-Portal
3
Herausgeber: COMPU-SHACK
NEWS
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Computer Associates: Lösungen für Mainframes
AVAYA: Media-Server/Media-Gateway S8300/G700
Check Point: VPN-1/FireWall-1 Software erweitert
Cisco: Intelligente Dienste für Speichernetzwerke
Cisco: Sicherheit für Catalyst 6500er Serie
Cisco: 1721 Modular Access Router
Compu-Shack Production: WAVEline Antennenserie
KOBIL Systems: Vielseitige PKI-Lösung für Authentifizierung
SonicWALL: Tele3 Smart Path und Tele3 TZ
SonicWALL: SSL-RX Offloader für große Transaktionsvolumina
Novell: ZENworks for Desktops 4
AVM: Neuer Bluetooth-Service online
HP: Procurve Routing Switch 9315m
BinTec: Modulare Gerätevariante X8500-S3
Newsticker
4
4
5
6
7
7
8
9
10
11
11
12
12
13
14
THEMA DES MONATS
Tunnelbau
Teil 1: Interoperabilität
mit IP-VPN
VPN ist gegenwärtig in aller Munde, wenn es
darum geht, für kostengünstige Kommunikationsverbindungen gesicherte Tunnel aufzubauen, darüber vertrauliche Informationen
auszutauschen oder über Internet Geschäfte
abzuwickeln. Uns geht es dabei nicht allein
um Technologien wie IPsec, sondern auch um
die herstellerübergreifende Interoperabilität im
IP-VPN.
COMPU-SHACK.COM
Redaktion: Heinz Bück
Hotline und Patches: Jörg Marx
Verantwortlich
für den Inhalt: Heinz Bück
Technische Leitung: Ulf Wolfsgruber
Erscheinungsweise: monatlich 1 Heft
COMPU-SHACK
Electronic GmbH
Jahres-Abonnement
zuzüglichMWSt.:
Inland: 60,84 €
Ausland: 86,41 €
16
16
Layout und Titelbild: Marie-Luise Ringma
Druck: Görres-Druckerei,
Koblenz
Lektorat: Andrea Briel
Anja Dorscheid
29
20
Abo-Versand: Wolanski GmbH,
Bonn
Teil 2: DNS und Active Directory
HOTLINE
Empfohlene Novell und Microsoft Patches
Empfohlene BinTec Patches
Empfohlene ARCserve Patches
Neue Patches in der Übersicht: ARCserve
Neue Patches in der Übersicht: Microsoft, Bintec
Neue Patches in der Übersicht: Novell
Citrix: Druckertreiber-Mappings bei Metaframe XP
BinTec: X-Router Software v6.22, Teil 2: Neue Features und Änderungen
Cisco: Pix Software Version 6.2.2 mit PPPOE
Novell: Netware Consolidation Utility
Novell: Trouble-Shooting Novell NDPS Printing
Novell: Interessante Tips der Deutschen Netware FAQ
36
37
38
40
41
42
43
44
47
48
50
52
PRAXIS
• BinTec: Teil 1: Internet Protocol Security
• Do IT Dot NET, Teil 7: Das Business Desk des Commerce Server 2000
• Nortel Networks: Alteon ACEdirector Web Switch
54
58
60
SOLUTIONS
• Training, Support und Projekte
13,35
VORSCHAU
10
• Messen, Roadshows, Termine
Telefon: 02631/983-0
Telefax: 02631/983-199
Electronic Mail: TECHNEWS @
Bezugsquelle: Bezug über
.NET Server
•
•
•
•
•
•
•
•
•
•
•
•
Electronic GmbH,
Ringstraße 56-58,
56564 Neuwied
2
63
Reproduktionen aller Art (Fotokopien, Mikrofilm,
Erfassung durch Schrifterkennungsprogramme)
- auch auszugsweise - nur mit schriftlicher Genehmigung des Herausgebers.
Wir möchten uns nachträglich bei all denen bedanken, die durch die freundliche Zusammenarbeit das Erscheinen dieser Zeitung ermöglicht haben. Als Informationsquelle dient uns auch das
Internet. Wenn Sie speziell über Ihre Erfahrungen
referieren möchten, bieten wir Ihnen dies unter der
Rubrik “Hotline” an.
www.technik-news.de
Selbstverständlich kann COMPU-SHACK die einwandfreie Funktion der vorgestellten Patches und
Tips nicht garantieren und übernimmt keinerlei
Haftung für eventuell entstehende Schäden.
Novell:
Inhalt der Service
276794.exe
132 KB CD
CDCONONE133SP1.exe
35734 KB
299913.exe
936 KB
JVM131SP1.exe116
49125
BM35ADM7.exf
KB KB
NC332SP1.exe
21379
KB
DSAUDIT.exe 130 KB
TSA5UP10.exe
1680
KB
Inhalt der Patch
CD
NC483SP1.exe 4654
KBKB
EDIR862SP2.exe
12811
ZD32SCAN.exe
B6202P01.x3B 342
1333KB
KB
NW6SP2.exe
257035
KB
EDIR862SP2.tgz 7831 KB
ZS3SCH.exe
91 KB
BM35ADM7.exe
118 KB
W2KSP3.exe 128540
GW62AOT.exe
208 KBKB
BM37VPN2.exe 4997 KB
W2KSP3E.exe 127909
GWCSRGEN2.exe
279 KB
KB
Microsoft:
BW621.exe 8761 KB
NFAP1SP2.exe 1584 KB
IE6SETUPE.exe
480 KB
CS1SP4.exe 12634
NMASPT2.exe 181 KB
IE6SETUPG.exe
DHCP311D.exe480
183KB
KB
NW6_ISS.txt 76 KB
XPSP1_DE_X86.exe
NFAP1SP2.exe 1622 KB
NWSC1.exe 10865 KB
135082
KB
NW51SP5.exe 374429 KB
PWDSCH.exe 94 KB
PXY031.exf 758 KB
SIMPLE862UP.tgz 1188 KB BinTec:
XC533.xcm 1154 KB
Ausgabe 10/2002
TRUSTEE.exe 101 KB
B6202.x8a
1630 KB
XCONSS9F.exf
156 KB
B
B
KB
KB
9 KB
B
COMPU-SHACK TRAINING
Frischer Wind im Web
Compu-Shack Training mit eigenem Internet-Portal
Von Michael Olbermann
Wer sich auf den Compu-Shack Portalseiten umschaut, wird überrascht sein, welch vielfältiges Angebot sich ihm dort
präsentiert. Auch der Web-Auftritt der Compu-Shack Training hat ein völlig neues Gesicht bekommen. Übersichtlicher und für Besucher noch informativer wurde der Web-Auftritt den individuellen Schulungsbedürfnissen rund um
das Thema Netzwerktrainings angepaßt und erscheint nun im Look and Feel des Compu-Shack Fachhandelsportals.
Warenkorb ist übersichtlich gestaltet, intuitiv und einfach auszufüllen. Er erlaubt jetzt auch, mehrere Teilnehmer gleichzeitig oder unabhängig auf verschiedene
Trainingstermine anzumelden. Eine getätigte Buchung
oder Anmeldung wird direkt an das Beraterteam der
Compu-Shack Training geleitet und dort umgehend bearbeitet. Die Eingangsbestätigung und alle notwendigen
Informationen kommen postwendend zurück. Wer unmittelbar Fragen zu einem Training hat, bekommt über den
allgegenwärtigen Button “Call Me” schnelle und unkomplizierte Hilfe. Und das alles als Service, ohne jegliche
zusätzlichen Gebühren.
Specials und Highlights
Unter der Vielfalt der Kurse und Zertifizierungsangebote
gibt es immer wieder Specials und Preisaktionen wie die
bekannten Sommer-Trainings-Camps oder die Twins-Angebote, bei denen ein Kollege als begleitender zweiter
Teilnehmer zum halben Preis dabei ist. Auf dem Trainingsportal sind all diese Specials wie auch die preiswerten
Komplett- oder Einzelangebote unter “Trainings Highlights” leicht zu erreichen. Der Button “mehr Info” leitet
Interessierte sofort zu dem nächstmöglichen Kurstermin
weiter und zeigt die genauen Inhalte des gewünschten
Trainings in der Übersicht.
A
Auf dem Trainingsportal von Compu-Shack erhält der Besucher einen raschen Überblick über topaktuelle Seminare in den Trainings-Centern Neuwied, München und Potsdam. Hier finden Sie alle Termine und Preise zu den jeweiligen Schulungen in einer direkten Übersicht, sowie
eine Fülle von zusätzlichen Kurs- und Zertifizierungsinformationen. Im Bereich Medienübersicht stehen Interessenten kursbegleitende Informationen, der Trainingskalender und die Trainingsbroschüre als PDF zum
Download bereit. Und auch die Compu-Shack eigenen
Zeitschriften und Broschüren zu Technologien und Trends
sind online vorhanden. Sie können hier weiterhin kostenlose CDs abrufen oder per Post bestellen.
Frühbucher-Rabatt
Wer sich früh genug entscheiden kann und online bucht,
spart Zeit und Geld. Denn rechtzeitiges Planen wird bei
fast allen Terminen durch einen Frühbucher-Rabatt belohnt. Und wer sich bislang durch den ZertifizierungsDschungel hat kämpfen müssen, wird im Menü
“Zertifizierung” schnelle Orientierung und verläßliche
Hilfestellungen finden, wie und was in welcher Reihenfolge zu tun ist, um zur gewünschten Qualifikation zu
gelangen. Mit dem Compu-Shack Trainingsportal ist eine
umfassende Informationsplattform rund um Trainings im
Network Channel entstanden.
www.training.compu-shack.com.
Online-Buchung
Auf den ersten Blick wird deutlich, wie viele freie Plätze
ein bestimmtes Seminar noch hat, und welche Schulung
belegt ist. Alle Angaben sowie die Seminarinformationen
und Inhalte werden dynamisch in Echtzeit dargestellt. Wer
online buchen möchte, findet neben jeder Seminarbeschreibung den direkten Link dazu. Entweder als “One
Click Order” zum direkten Buchen oder aber als Möglichkeit, die Seminare, Workshops oder Trainings mit Hilfe
des Warenkorbes individuell zusammenzustellen. Der
10
Ausgabe 10/2002
3
AKTUELL
B
B
KB
B
KB
a
AKTUELL
n
NEWS
COMPUTER ASSOCIATES
AVAYA
Linux-Management
Telefonie im
Switch-Format
Lösungen für
Mainframes
Media-Server/Media-Gateway S8300/G700
CA wird Ende Oktober auf der
LinuxWorld ihre neuen Managementlösungen für die Verwaltung
von Linux-Anwendungen in dezentralen und Mainframe-Umgebungen vorstellen. Mittlerweile
hat CA über 50 Linux-Lösungen
für Mainframe-Umgebungen im
Portfolio.
NEWS
D
Der Bedarf an Linux-Managementlösungen wächst stetig. Für
Mainframe bietet CA neueVersionen von Unicenter Software
Delivery und Unicenter Asset Management. Betaversionen von
Unicenter ServicePlus Service
Desk und BrightStor Enterprise
Backup sind jetzt ebenfalls verfügbar. Für verteilte Linux-Umgebungen bringt CA eine neue Version von eTrust Admin sowie eine
Reihe von BrightStor-Optionen
und -Agenten auf den Markt. Mit
diesen neuen Lösungen können
Kunden Linux-Anwendungen in
heterogenen Infrastrukturen verwalten, sichern, erhalten und integrieren. CA arbeitete eng mit
Linux-Anbietern zusammen, um
die Kompatibilität ihrer Lösungen
mit gängigen Distributionen zu
gewährleisten, darunter Caldera,
Red Hat, SuSE und TurboLinux.
Außerdem kooperiert CA mit der
neuen UnitedLinux-Initiative, um
in den neuen Versionen durchgängige Konformität sicherzustellen.
Informationen zu den LinuxManagementlösungen unter
http://www3.ca.com/Solu
tions/SubSolution.asp?
ID=3279.
Im kompakten 19-Zoll-Format des neuen AVAYA Media-Server/Media-Gateway
S8300/G700 verbirgt sich ein technologischer Wolf im Schafspelz mit umfangreichen Applikationen. Der S8300/G700 läßt die Verschmelzung von
Daten und Sprache in kleinen und mittleren Unternehmensnetzwerken Wirklichkeit werden.
M
Mit einem modularen Media-Server/
Media-Gateway, dem S8300/G700,
bietet AVAYA ein zukunftsweisendes
Telefonie-System für traditionelle Infrastrukturen wie auch für IP-Netzwerke. Das Produkt im kompakten Format stammt aus der innovativen
MultiVantage-Produktfamilie. Als
Kommunikationssystem für kleine
und mittlere Unternehmen vereint
es die Anforderungen modernster Telefonie
und Routerbzw. SwitchTechnologie in
einer Plattform. Einfache Implementierung und Handhabung, ein modulares Systemkonzept,
Zuverlässigkeit sowie umfangreiche
Applikationen für Telefonie, LAN
und WAN machen den S8300/G700
zu einer ausgereiften Systemlösung.
Dadurch lassen sich einfache StackKonfigurationen mit der P330-Produktfamilie von AVAYA implementieren, ohne besondere Verbindungen
herstellen oder gar Performance-Einbußen erleiden zu müssen.
Vom Gateway zum Server
Das S8300-Server-Modul macht aus
dem G700 Media-Gateway einen leistungsfähigen Media-Server, der vielfältige Konfigurationen möglich
macht, beispielsweise die Verknüpfung von Zweigstellen mit der Zentrale eines Unternehmens in einem
Master-Slave-Systemkonzept und
dabei die Beibehaltung entsprechender Fall-Back-Szenarien erlaubt. Das
Systemkonzept des S8300/G700 vereinigt die Funktion eines kompletten Layer-2-Switches mit einem integrierten leistungsstarken VoIP-Prozessor. Optional kann das System mit
AVAYA P330 LAN/WAN-Router-Mo-
dulen und verschiedenen MediaModulen ausgestattet werden, die
eine Verbindung zum PSTN über genormte Up-Link-Schnittstellen oder
zu einem übergeordneten VoIP-Server
herstellen. Das S8300-Server-Modul
enthält neben Routing-Funktionalitäten und Komponenten zur Herstellung von Sprachsignalisierung die
AVAYA-MultiVantage-ApplikationsSoftware. Optional sind umfangreiche Message- Applikationen für Sprache, E-Mail oder Fax.
Das modulare System ermöglicht
durch den Einsatz einfacher Schnittstellenmodule neben traditionellen
Telefonie-Endgeräten ebenso IP-Endgeräte Seite an Seite zu betreiben und
diesen ohne Einschränkung alle Applikationen der umfangreichen
MutiVantage-Familie zur Verfügung
zu stellen.
10
Ausgabe 10/2002
4
CHECK POINT
Sicherheit für IPv6
VPN-1/FireWall-1 Software erweitert
Check Point Software Technologies realisiert als einer der ersten Hersteller den Schutz der neuen Internet-Standards
und -Anwendungen in ihrer VPN-1/FireWall-1Software. Das im Bereich Internetsicherheit international führende
Unternehmen präsentiert eine Reihe technologischer Weiterentwicklungen in seinem seit September verfügbaren
Feature Pack 3.
C
Check Point bietet Unterstützung für
die nächste Generation der InternetApplikationen und -Standards, wie
etwa das Internet Protokoll in der Version 6 (IPv6), Peer-to-Peer-Computing, Instant Messaging und Microsoft Printer and File Sharing Services
(CIFS). Auf Basis der patentierten
Stateful Inspection Technologie ermöglicht Check Point umfassenden
Schutz für sicherheitsrelevante Anwendungsbereiche und hat dazu eine
Reihe zukünftiger Schlüsseltechnologien in ihre Lösungen integriert.
läre Instant Messaging-Anwendungen. VPN-1 / FireWall-1 verfügt über
detaillierte Informationen zu einzelnen Anwendungen und sorgt in Verbindung mit Analysen des Traffic und
Zugangskontrollen an der Firewall für
einen nahtlosen Schutz und ein verbessertes Management der Netzwerkressourcen.
Internet Protocol
Version 6
IPv6 ist die nächste Entwicklungsstufe des heute allgemein verwendeten
Internet-Protokolls. Es bietet eine
Lösung für das Problem der zunehmend knapper werdenden Adressen,
die von IPv4 bereitgestellt werden.
Für Unternehmen hat IPv6 daher besondere Bedeutung, denn immer
mehr Devices müssen mit dem
Internet verbunden werden, um auch
zukünftig eine reibungslose Kommunikation gewährleisten zu können.
Peer-to-Peer
Zugangskontrolle
Bislang hatten Unternehmen keine
Möglichkeit, den von Peer-to-PeerApplikationen verursachten Traffic
an der Firewall zu identifizieren und
zu kontrollieren. Check Points patentierte Stateful Inspection Technologie erkennt und kontrolliert HTTPbasierte Applikationen sowie popu-
Common Internet
File System
Die Microsoft File Sharing und
Printer Services, bekannt als
Common Internet File System (CIFS),
ermöglichen Anwendern den Zugriff
auf File- und Print-Server im Netzwerk. Administratoren stehen dabei
vor der Aufgabe, die Zugangsrechte
der Anwender zu überwachen und zu
verwalten, um gemeinsam verwendete Server vor Angriffen oder Mißbrauch zu schützen. Die CIFS Unterstützung durch Check Point gibt ihnen alle Werkzeuge für eine detaillierte Kontrolle der Netzwerkressourcen und Zugangsrechte jedes
einzelnen Anwenders.
VPN-1 / FireWall-1
Als mehrfach ausgezeichnete Lösung
für eine umfassende Sicherheit in
10
Ausgabe 10/2002
5
Unternehmensnetzen vereint VPN-1
/ FireWall-1 alle VPN-Komponenten
für Zugangs- und Inhaltskontrolle,
für Authentifizierung, Verschlüsselung und Network Address, mit
Auditing und Verbindungskontrolle.
Die offene OPSEC-Architektur ermöglicht anderen Herstellern die
nahtlose Integration in die FirewallUmgebung, z.B. von Content Security-Lösungen. VPN-1 / FireWall-1 bietet als führende Firewall-Lösung mit
zentralisiertem Management eine
zuverlässige Grundlage für komplexe Sicherheitslösungen im Netzwerk.
Mit Check Point können Unternehmen eine einzige, umfassende Security-Policy erstellen und implementieren, die alle Netzwerk-Ressourcen
schützt.
Weltweit führend
Check Point Software Technologies
ist das weltweit führende Unternehmen im Bereich Internetsicherheit.
Die von Check Point entwickelte
Secure Virtual Network (SVN)-Architektur bildet die Basis für vertrauliche und zuverlässige Kommunikation im Internet. SVN-Lösungen, wie
sie von der Check Point Next Generation Produktfamilie geboten werden, gewährleisten sichere Businessto-Business-Verbindungen (B2B) in
Intranets, Extranets und dem Internet
sowie zwischen Netzen, Systemen,
Applika tionen und Anw endern.
Check Points Open Platform for
Security (OPSEC)-Allianz garantiert
zudem die nahtlose Integration und
Kompatibilität der Check Point-Lösungen mit Produkten von mehr als
300 namhaften Industriepartnern.
n
NEWS
CISCO
Storage Networks
Intelligente Dienste für Speichernetzwerke
Cisco Systems kündigt mit MDS 9000 eine neue Multilayer Datacenter Switch-Familie für Storage-Netzwerke an. Die
Intelligent Storage Switches ermöglichen eine Konsolidierung von Speichernetzwerken, erhöhen die Datenverfügbarkeit und machen die Verwaltung im Storage Area Networking effizienter.
M
Mit der Übernahme des Unternehmens Andiamo steigt
Cisco Systems in den wachsenden SAN-Switching-Markt
ein. Die neue Cisco MDS9000-Familie wurde von
Andiamo entwickelt. Sie besteht aus der MDS 9500erMultilayer-Directors-Serie
und dem Cisco MDS 9216
Multilayer Fabric Switch. Die
Produkte haben folgende
Multilayer-Intelligenz für
Fibre Channel, iSCSI (Internet
Small Computer Systems Interface) und Fibre Channel
over IP.
NEWS
Intelligente Dienste
Mit Traffic Management und integrierten Analysemöglichkeiten führt
Cisco im Storage Networking eine
Skalierbarkeit und Ausfallsicherheit
ein, die dem IP Networking gleichwertig ist. Intelligente Speicherdienste schaffen eine offene Plattform
für das Hosting von Fremdanwendungen wie Netzwerkbasierende
Virtualisierungen, bei einer hohen
Portdichte für das SAN mit bis zu 256
Ports pro Gerät. Das Unified Storage
Management umfaßt das Fabric Management und bietet eine offene APISchnittstelle zur Integration führender SAN- und LAN-ManagementPlattformen.
Virtual SANs
Die modulare Cisco MDS-9500Multilayer-Director-Serie ist in 6-, 9und 13-Slot-Versionen verfügbar.
Dies gilt jeweils auch für die Model-
SAN-Strukturen
le 9506, 9509 und 9513. Der Cisco
MDS 9216 ist der erste modulare
Fabric Switch mit einem festen Steckplatz und 16 Ports bei 1 Gbit/s oder 2
Gbit/s via Fibre-Channel-Übertragung. Er hat einen weiteren Steckplatz für zusätzliche Ports. Bei den
MDS-9000-Modulen handelt es sich
um Fibre-Channel-Module mit 16 beziehungsweise 32 Ports bei 1 Gbit/soder 2 Gbit/s-Übertragungen und ein
IP-Storage-Modul mit acht Ports, das
die Kombination der Protokolle
iSCSI und FCIP unterstützt.
Mit einer internen Systembandbreite
von 1,44 Terabit/s bietet die Cisco
MDS-9000-Familie sowohl bei
Director als auch bei Fabric Storage
Networking Switches eine hohe Leistung und SAN-Skalierbarkeit. Sie
unterstützt bis zu 256 Ports pro Switch
und bis zu 768 Ports pro Rack. Die
9000er-Familie unterstützt Virtual
SANs (VSAN), die für isolierte Umgebungen mit eigenen Diensten in
einer einzigen physischen Fabric sorgen, um ausfallsichere und skalierbare
Storage-Netzwerke zu konsolidieren.
Die MDS-9000-Familie bietet
eine einheitliche Architektur
und ist auf eine kontinuierliche Entwicklung mit Upgrades
ausgelegt. Sie verfügt über
Fibre-Channel-Sicherheits-Eigenschaften wie Hardware
Enforced Zoning und LUN
Masking. Darüber hinaus unterstützt sie RADIUS Server
Authentication, SNMPv3,
Role Based Access Control und
Access Control Lists, Secure
Shell, Secure File Transfer
Protocol und VSANs. Jeder Switch der
Cisco MDS-9000-Familie ist mit einem Cisco Fabric Manager ausgestattet. Dieses zentrale, auf Java basierende Tool unterstützt in der gesamten Fabric die Switch-Level-Management-Eigenschaften wie Topology
Discovery, Fabric-Konfiguration,
Verifizierung, Monitoring und Fehlerbehebung. Es beinhaltet eine dem
Cisco IOS ähnliche Common
Language Infrastructure und eine offene Schnittstelle, damit Kunden eine
einheitliche Managementinfrastruktur aufbauen können.
Verfügbarkeit
Der MDS 9509 Multilayer Director,
der MDS 9216 Multilayer Fabric
Switch und die Fibre-Channel-Switching-Module mit 16 und 32 Ports
sind voraussichtlich im vierten Quartal 2002 erhältlich. Der MDS 9506,
der Cisco MDS 9513 und das Cisco
MDS-9000-IP-Storage-Modul mit
acht Ports sollen im ersten Halbjahr
2003 verfügbar sein.
10
Ausgabe 10/2002
6
CISCO
CISCO
Security-Services-Module
Für höhere
Performance
Sicherheit für Catalyst 6500er Serie
Cisco Systems stellt vier neue Module für die Catalyst 6500er Serie vor, um
lokale, Metropolitan oder Wide Area Networks mit einer Ende-zu-EndeSicherheitslösung auszustatten. Die Module erweitern die eingesetzten IPDienste wie Voice over IP, WLAN-Integration, Quality of Service und Content
Switching um Sicherheitsfunktionen im Etagenbereich, am Zugang zum WAN
wie auch im Backbone.
C
Cisco Systems baut die Sicherheitslösungen für die Catalyst 6500er Serie in allen Netzabschnitten aus. Dafür sorgen neue Sicherheitsmodule
mit hoher Performance. Das Catalyst
6500 Firewall Services Modul beispielsweise liefert einen Durchsatz
von 5 Gbit/s mit bis zu 100.000 Verbindungen pro Sekunde und bietet
Stateful-Inspection-Funktionalität
bis Layer-7. In ein 6500er Chassis
können bis zu vier Module eingebaut
werden, so daß der maximale Durchsatz 20 Gbit/s bei 400.000Verbindungen pro Sekunde liegt.
IPSec und SSL
Das Catalyst 6500 IPSec VPN Service
Modul liefert 3DES mit bis zu 1.9
Gbit/s bei 8.000 simultanen Tunneln.
Damit steht eine hohe Verschlüsselung für die sichere IPSec-basierte An-
bindung von Außenstellen,
mobilen Mitarbeitern oder Abteilungsnetzen zur Verfügung.
Daneben ermöglicht ein neues
SSL Services Modul eine SSLVerschlüsselung mit 300 Mbit/
s bei bis zu 2.500 Verbindungen pro Sekunde. Web-basierende Anwendungen sowie ECommerce-Webseiten werden
damit sicher verarbeitet. Die
neuen Network Analysis Module NAM-1 und NAM-2 mit
einer Kapazität von 1 Gbit/s
bieten dazu für die Cisco
Catalysts 6500 ein integriertes
Traffic Monitoring, mit dem
Applikationen, Hosts und Services wie VoIP und QoS transparent
dargestellt werden. Ressourcen lassen
sich besser nutzen, Anomalien früher
erkennen und Netzwerkstörungen effektiver isolieren.
Security-Module
Die neuen Module basieren auf der
Technologie der PIX Firewall und der
VPN-Produkte von Cisco. Sie können in vorhandene 6500er Switches
eingebaut werden. Jeder Switch der
6500er Serie mit den neuen Modulen kann nahtlos in eine vorhandene
SAFE-Lösung integriert werden.
SAFE ist eine Sammlung von Richtlinien zur Integration von Sicherheitslösungen innerhalb von Netzwerkinfrastrukturen. Alle Security-Module sind ab sofort in Deutschland erhältlich und mit Routern der Cisco
7600er Serie kompatibel.
10
Ausgabe 10/2002
7
1721 Modular Access
Router
Mit dem 1721 Modular Access Router
erweitert Cisco ihr Produktportfolio
für kleine und mittelständische Unternehmen sowie für Zweigniederlassungen. Der 1721 ist eine optimierte
Version des Cisco 1720 Router, mit
40 Prozent höherer Performance, erweiterten Funktionen und größerer
Speicherkapazität zum gleichen Preis.
A
Ausgestattet mit einem 10/100 Fast
Ethernet Port und zwei Slots für WAN
Interface-Cards (WICs) unterstützt der
Cisco Modular Access Router 1721
den IEEE 802.1Q VLAN RoutingStandard (Virtual Local Area Network). Unternehmen können damit
Verbindungen zwischen unterschiedlichen VLANs in einem internen Netzwerk realisieren. Als IOS-Router stellt
der 1721 Sicherheitsmerkmale wie
hardwarebasierte VPN-Verschlüsselung, Stateful Inspection Firewall und
ein Intrusion Detection System (IDS)
zur Verfügung. Die austauschbaren
WAN-Karten ermöglichen eine einfache Erweiterung bei Änderung oder
Technolo gie-Updates. Es stehen
WIC-Karten für DSL-, SERIAL- und
ISDN-Technologien zur Anbindung
an das WAN zur Verfügung. Darüber
hinaus läßt sich der neue Cisco
Router in die NetzwerkmanagementLösung CiscoWorks integrieren sowie per Fernwartung verwalten,
konfigurieren und überwachen. Er
kann ab sofort bestellt werden.
n
NEWS
COMPU-SHACKPRODUCTION
In- und Outdoor
WAVEline Antennenserie
Mit der WAVEline Produktfamilie hat die Compu-Shack Production eine perfekt abgestimmte Produktlösung für den
Aufbau von Wi-Fi-konformen IEEE 802.11b Wireless-Netzwerken entwickelt. Bei der Konzeption der ETSI-konformen
Produkt für das 2,4 GHz ISM-Band. stand neben einfacher Installation, Interoperabilität und Qualität der verwendeten Komponenten ein abgestimmtes Antennenprogramm im Vordergrund.
D
Durch den Einsatz der WAVEline Antennentechnik werden Reichweite
und Ausfallsicherheit einer WLANFunkstrecke erheblich gesteigert. Bei
Einsatz von WAVEline Planar-Antennen wird eine Verfügbarkeit von etwa
99,7 Prozent angestrebt. Access Point
und Teilnehmeradapter sollten deshalb mit besonders geeigneten Antenne betrieben werden. Die CompuShack Production bietet deshalb eine
Auswahl an speziellen Antennen für
den 2,4 GHz-Bereich an, dazu hochwer tiges Antennenkabel und verschiedene Antennenkonnektoren mit
N- und SMA-Stecker.
WAVEline Pico 8,5-70
Mit der WAVEline Pico 8,5-70 bietet
die Compu-Shack Production eine
hochwertige 8,5 dBi Antennenlösung
die nicht nur für den Indoor-Bereich,
sondern aufgrund ihrer Wetterfestigkeit auch bestens für den OutdoorBetrieb geeignet ist. Selbst unter
Starkregen gewährleistet diese Antenne noch eine hohe Verfügbarkeit. Sie
eignet sich für die gebäudeübergreifende Kommunikation, die Ausleuchtung größerer Hallen, kleinerer Plätze oder zum Aufbau von Hot Spots.
NEWS
WAVEline Panel 14-30
Die WAVEline Panel 14-30 besitzt
eine exzellente Richtfunkcharakteristik und ist daher zum Aufbau von
hochverfügbaren Interbuilding-Links
geeignet. Sie zeichnet sich durch eine
sehr gute Wetterfestigkeit aus und
bietet auch bei schlechten Wetterbedingungen eine hohe Ausfallsi-
cherheit. Die WAVEline Panel 14-30
erreicht bei einen Öffnungswinkel
von 30° einen Antennengewinn von
14 dBi. Durch ihre ausgezeichnete
Richtwirkung wird eine gegen Störeinflüsse unempfindliche Verbindung
erreicht, während benachbarte Antennen nicht in der Leistung beeinflußt
werden.
WAVEline Omni 2,2-80
Die WAVEline Omni Antenne 2,2-80
ist die ideale Ergänzung für mobile
Notebooks und bietet eine erhebliche
Verbesserung der Sende-/ Empfangsleistung. Der Float-Mount Stecker ermöglicht einen direkten Anschluß an
den WAVEline PCMCIA-Adapter
oder an den praktischen WAVEline
MiniUSB Adapter. Durch den
Klettverschluß mit Klebehalterung
läßt sich die Antenne einfach am
Notebook anbringen und nach der
Nutzung wieder entfernen.
WAVEline Patch 6-80
Die WAVEline Patch-Antenne verfügt
über einen Antennengewinn von 6
dBi, wodurch sich in Vorzugsrichtung
eine theoretische Reichweitensteigerung von bis zu 100 Prozent ergibt. Sie ist mit einem aufklappbaren
Standfuß versehen, der auch in abgewinkelter Form zur Wandmontage
genutzt werden kann. Die WAVEline
Patch-Antenne 6-80 ist als FloatMount Stecker und Reverse SMA Version erhältlich.
Wireless LAN
Fibel
Mit ihrer produktbegleitenden Broschüre
”Was ist eigentlich ein Wireless LAN” hilft
die Compu-Shack Production den Anwendern ihrer WAVEline Produkte beim Einstieg
in die Technologien von Funknetzwerken.
Die kleine Wireless LAN Fibel mit Glossar
berät bei der drahtlosen Vernetzung von PCs
und Notebooks und erklärt den Aufbau von
Funknetzwerken.
Sie kann kostenlos bestellt werden, per EMail an: [email protected]
10
Ausgabe 10/2002
8
KOBIL SYSTEMS
KOBIL Smart Key
Vielseitige PKI-Lösung für Authentifizierung und Datensicherheit
Mit KOBIL Smart Key bietet die Wormser KOBIL Systems GmbH eine Smart Card- basierte PKI-Lösung an, die hohe
Sicherheit bei der digitalen Kommunikation und Vielseitigkeit bei der Anwendung ideal vereint. Die nach “IT-SEC
E4/hoch” evaluierten Chipkarten und Smart Card Terminals erlauben eine hochsichere Authentifizierung und Verschlüsselung von Dateien und E-Mails sowie Digitale Signatur.
te Key bei KOBIL Smart Key auf einer nach “IT-SEC E4/hoch” evaluierten TCOS 2.0-Cipkarte gespeichert.
PIN-Schutz
Das KOBIL Smart Key
Bundle aus Chipkarte, Smart
Card Terminal und Software ermöglicht nicht nur die hochsichere
Authentifizierung in VPNs und Citrix
Metaframe-Umgebungen, sondern
auch unter Windows 2000, XP und
bei Webservern. Zusätzlich können
mit KOBIL Smart Key auch Dateien
oder E-Mails verschlüsselt und mit
einer digitalen Signatur versehen
werden.
PKI Infrastrukturen
Das Produkt-Bundle wird im Rahmen
von Public Key Infrastrukturen (PKI)
eingesetzt, deren Sicherheit auf Zertifikaten, den digitalen IDs, beruht.
Der Server und alle Benutzer erhalten ein Zertifikat. Passend dazu bekommt jeder User außerdem einen
geheimen Private Key, der als virtueller Ausweis dient. Damit der geheime Schlüssel tatsächlich auch nur
vom jeweils autorisierten Nutzer eingesetzt werden kann, wird der Priva-
Zusätzliche Sicherheit bringt
ein PIN-Schutz für die Chipkarte. Als Lesegeräte können
alle Smart Card-Terminals
von KOBIL Systems eingesetzt werden, darunter auch ein
USB Token oder ein kabelloser
PCMCIA-B1-Leser für den mobilen
Einsatz am Notebook. Sämtliche Verschlüsse-lungs- und Signierprozesse
finden ausschließlich auf der Karte
und nicht im Computer oder im Notebook statt. Damit nutzt KOBIL Smart
Key das Prinzip der sogenannten
Zwei-Faktor-Authentifizierung, die
bei jedem Zugriff den Besitz der Karte voraussetzt sowie das Wissen der
PIN. Selbst der Verlust der Smartcard
ist damit allein noch kein Sicherheitsrisiko.
Authentifizierung
KOBIL Smart Key ist eine kosteneffiziente Lösung für die starke
Authentifikation in verschiedensten
Netzwerkumgebungen. So kann die
PKI-Lösung über die CSP- und
PKCS#11-Module zertifikatsbasiert
in alle gängigen VPN-Lösungen integriert werden, darunter auch
Windows 2000/XP. In Verbindung mit
den kabellosen Chipkartenterminals
eignet sich KOBIL Smart Key besonders für die zweifelsfreie Identifikation von Außendienstmitarbeitern, die
sich von unterwegs aus in das Firmennetz einwählen.
10
Ausgabe 10/2002
9
Zugangsschutz
Auch unter Citrix Metaframe XP FR2Umgebungen bietet die PKI-Lösung
des Wormser Herstellers einen sicheren Zugangsschutz, damit nur berechtigte Nutzer die Programme remote
starten können. Ein derart gesicherter Zugang ist auch bei der Webserver-Authentifizierung (SSL) gegeben. Unter KOBIL Smart Key muß
sich nicht nur der Webserver beim
Client eindeutig identifizieren, sondern auch der Client gegenüber dem
Server. Auf diese Weise wird nicht nur
höchste Sicherheit innerhalb von
Intranets erreicht.
Auch Firmenkunden erhalten einen
hochsicheren Zugriff auf Unternehmensdaten in einem Extranet.
Beim Windows-Logon wird die Sicherheit ebenfalls deutlich erhöht,
weil der Benutzer für den Zugriff anstatt des statischen Paßworts sowohl
die PIN als auch die Smartcard benötigt.
Digitale Signatur
Zu den weiteren Sicherheits-Features
von KOBIL Smart Key gehört die
Möglichkeit, vertrauliche und
verbindiche Dokumente und Dateien mit einer digitalen Signatur zu
versehen. Zugleich können Dateien
auch verschlüsselt werden, die selbst
beim Diebstahl eines Notebooks für
unbefugte Dritte unzugänglich bleiben. Auch E-Mails, die mit Outlook,
Outlook Express oder Netscape
Messenger verschickt und empfangen werden, lassen sich verschlüsseln und signieren.
n
NEWS
SONICWALL
VPN- und Firewall-Appliance
TELE3 Smart Path und TELE3 TZ
Mit TELE3 Smart Path verfügt SonicWALL über die erste am Markt erhältliche VPN- und Firewall-Appliance, die eine
integrierte automatische Failover- und Fail-back-Funktionalität besitzt. Daneben erweitert SonicWALL mit dem
Modell TELE3 Trusted Zone ihr Angebot an Internet Security Appliances um eine Lösung mit VPN- und Firewall
Funktionalität für Telearbeitsplätze, die via Internet auf Firmen-Ressourcen zugreifen.
S
SonicWALL´s neue TELE3 TZ
(Trusted Zone) bietet Schutz für
den privaten Internet-Traffic.
Um zu verhindern, daß durch
Online-Verbindungen zum
Firmennetzwerk und durch das
gleichzeitige private Surfen im
Web Sicherheitsrisiken entstehen,
stellt das betriebssystem-unabhängige Gerät zwei physikalisch und logisch getrennte Zonen zur Verfügung.
NEWS
WorkPort - HomePort
Während über den WorkPort via
VPN-Tunnel der sichere Zugang ins
Firmennetzwerk erfolgt, bietet der
HomePort optimalen Schutz für die
Nutzung des Internets. Ein Zugriff
von der einen auf die andere Zone ist
dabei völlig ausgeschlossen. Beide
Zonen bieten Firewall-Funktionalität
mit Stateful Packet Inspection, VirenScanner, Content Filtering und
Attachment Blocking. Die WorkZone verfügt über VPN-Funktionalität mit TripleDES und IPSec. Als zusätzliche Sicherung dient die so genannte User Level Authentication (ULA), mit der sich jeder Benutzer im Firmennetzwerk identifizieren und einloggen muß. Um genügend Bandbreite zu sichern, bietet die
TELE3 TZ Bandwith PriorizationFunktion nach Bedarf.
TELE3 Smart Path
Das kompakte, gerade einmal
postkartengroße Gerät der TELE3 SP
hingegen baut mit Hilfe eines inter-
VPN- und Firewall
nen Modems selbständig eine Ausweichverbindung auf, falls eine bestehende Standleitungen gestört ist.
Sobald diese wieder verfügbar ist,
schaltet das System automatisch darauf zurück. Über diese intelligente
Alternativverbindung gewährleistet
die TELE3 SP, daß Außenstellen einen kontinuierlichen, via VPN-Tunnel gesicherten Zugang zum Firmennetzwerk haben. Das Gerät empfiehlt
sich insbesondere als Sicherheitslösung für Filialen bei Banken und
Versicherungen, bei Verkaufsstellen
von Firmen, aber auch für Verkaufsautomaten, die auf einen ständigen
Zugriff auf Daten der Zentrale angewiesen sind. Als optionale
Sicherheits-Features sind Viren-Scanner, Internet Content Filtering und
Authentication Service nachrüstbar.
Beide TELE3 Appliances bieten standar dmäßig VPNFunktionalität mit Triple
DES-Verschlüsselung und
IPSec-Unterstützung sowie
Firewall-Funktionalität mit
Stateful Packet Inspection. Darüber
hinaus unterstützen die Geräte den
Aufbau von bis zu zehn VPN-Tunneln
gleichzeitig, Mit Hilfe von
SonicWALL Global Management
System (SGMS) lassen sich alle an Außenstellen installierten TELE3 Appliances von einer zentralen Management-Konsole aus komfortabel
konfigurieren, administrieren und
überwachen, ebenso wie alle anderen
im Unternehmen eingesetzten Sonic
WALL VPN-/ Firewall-Lösungen.
RISC- und ASICProzessor
Alle SonicWALL Firewall-Systeme und damit auch die TELE3 Modelle
- arbeiten auf einer leistungsstarken
Fast Ethernet-Plattform auf der Basis
von 133 MHz Toshiba RISC-Prozessoren sowie mit einem zusätzlichen
Security ASIC-Prozessor. Die Appliance verfügt über 16 MB Arbeitsspeicher und 4 MB Flash-Speicher. Die
Einbindung in LAN und WAN erfolgt
über je einen 10/100 Mbit/s EthernetPort, für die analoge Leitung steht ein
V.90 Analog Modem Port zur Verfügung. Weitere F eatures aller
SonicWALL Firewall-Systeme sind
NAT, DHCP sowie PPPoE.
10
Ausgabe 10/2002
10
SONICWALL
NOVELL
Schneller Zugang zu
sicheren Websites
Administration der
Mobilen
SSL-RX Offloader für große
Transaktionen
Mit dem neuen Modell SSL-RX erweitert SonicWALL ihr SSL-Produktportfolio um eine High-End-Lösung für extrem große Transaktionsvolumina. Die
Appliances, die Web-Server von sämtlichen rechenintensiven Verschlüsselungsaufgaben im SSL-Verkehr entlasten, ermöglichen den Nutzern einen
schnellen Zugang zu sicheren Websites.
D
Die neuen SonicWALL SSL-RX Offloader können bis zu 4.400 Transaktionen pro Sekunde initialisieren und
unterstützen dabei bis zu 30.000 parallele SSL-Sessions. Die Geräte bieten die Option zum Aufbau von
Hochverfügbarkeits-Clustern, die einen unterbrechungsfreien Zugang zu
SSL-gesicherten Daten gewährleisten. Der SSL-RX Offloader empfiehlt sich damit als SSL-Lösung für
außerordentlich große Anwendungen
in den Bereichen E-Commerce oder
Online-Banking, aber auch für CRM, ERP- und andere Web-basierende
unternehmenskritische Applikationen.
Secure URL Rewrite
Der SonicWALL SSL-RX Offloader
unterstützt bis zu 4.400 RSA-Operationen pro Sekunde und bis zu 30.000
SSL-Sessions gleichzeitig. Das auf einem 600 MHz IBM 750 CXE-Prozessor basierende, mit 256 MB RAM
ausgestattete Gerät verwaltet bis zu
4.095 Keys und Zertifikate direkt.
Dadurch kann es völlig unabhängig
von Web-Servern agieren und erspart
den Anwendern aufwendige SSLKonfigurationen auf Web-Servern.
Als einziger Offloader am
Markt bietet der SSL-RX das
so genannte Secure URL Rewrite,
eine Lösung für das Problem, daß
beim Offloading unter Umständen unverschlüsselt auf sensible Daten zugegriffen werden kann. Kostenträchtige Veränderungen von Anwendungen oder der Netzwerk-Konfiguration werden dadurch überflüssig.
Darüber hinaus unterstützt das Gerät
unter anderem Back-end-Verschlüsselung, SSL-Initiation oder SSL-Aggregation.
Inline-Offloading
Das für die Montage im 19-Zoll-Rack
konzipierte Gerät, das nur eine
Höheneinheit in Anspruch nimmt,
verfügt über zwei 10/100 BaseTXPorts für die Anbindung an Server
und Netzwerk. Als zusätzliches Feature bietet der SSL-RX Offloader die
Möglichkeit zur Integration mit vorhandenen Layer 4 Load Balancern
und Layer 5-7 Content Switches. Diese erlauben ein sogenanntes InlineOffloading, bei dem die Last der Switches auf mehrere SonicWALL SSLAppliances verteilt wird. Die Geräte,
die vollständig ohne fehleranfällige
bewegliche Teile auskommen, verfügen zusätzlich über redundante Stromversorgungen, die ein Höchstmaß an
Verfügbarkeit gewährleisten.
10
Ausgabe 10/2002
11
ZENworks for
Desktops 4
Novell hat ZENworks for Desktops in
der Version 4 ausgeliefert. Die regelbasierte Desktopmanagement-Lösung automatisiert die wichtigen Aufgaben der Netzwerkadministration
und sorgt für ein einfacheres Management von Usern, Desktops und mobilen Rechnern.
D
Durch den Verzicht auf den bisher
obligatorischen Novell Client kann
ZENworks for Desktops 4 sowohl
über das Internet als auch in internen
Netzwerken eingesetzt werden. Die
neue Version arbeitet mit Windows,
Linux, Solaris und NetWare zusammen. In reinen Windows-Umgebung
integriert es sich in Microsoft Active
Directory und NT Domänen. Der mitgelieferte Wise InstallTailor vereinfacht Software-Installationen durch
automatisch erstellte Transformdateien für den Microsoft Installer.
ZENworks for Desktops 4 umfaßt alle
notwendigen Funktionen für den
Betrieb in einer reinen WindowsUmgebung und arbeitet mit Microsoft Active Directory und NT Domänen zusammen.
Regelbasiertes Management kann
Routineaufgaben des Netzwerk-Managements automatisieren. Änderungen einer Regel werden sofort im gesamten Netzwerk wirksam.Anwender,
Gruppen oder ganze Geschäftsbereiche lassen sich einheitlich managen,
während die Administratoren gleichzeitig individuelle Arbeitsumgebungen für jeden einzelnen Mitarbeiter
einrichten können. ZENworks for
Desktops 4 ist im Novell Fachhandel
erhältlich.
n
NEWS
AVM
HP
Service-Portale
mit Downloads
Power im
Backbone
Neuer Bluetooth-Service online
Procurve Routing Switch 9315m
AVM baut mit neuen Portalen ihr Service-Angebot
weiter aus und bietet auf einen Klick laufend aktuelle Neuigkeiten zu Produkten. Ab sofort sind für
Kunden der Bluetooth-Produkte BlueFRITZ! Neuentwicklungen, Treiber und Informationen umfassend und übersichtlich auf einer eigenen Seite zusammengefaßt.
178 Millionen Datenpakete pro Sekunde liefert der neue
HP Procur ve 9315m. Der für komplexe Netzwerkinfrastrukturen konzipierte modulare HP Procurve 9315m
Switch verfügt über 15 freie Modulsteckplätze für bis zu
120 Gigabit-Ethernet-Anschlüsse oder aber bis zu 336
10/100-Base-TX-Anschlüsse mit Autosensing.
D
Der neue HP Procurve 9315m Switch kann wahlweise mit
Gigabit- und 10/100-Ports bestückt werden, ab Oktober
2002 sogar mit 10-Gigabit-Ports. Neben IP, IPX und
AppleTalk-Routing unterstützt er IP-Multicast-Routing
über Internet Group Multicast Protocol (IGMP) und
Distance Vector Multicast Routing Protocol (DVMRP)
sowie Protocol-Independent Multicast (PIM). Auf der Basis von IP-Absender und -Adressat, Protokolltyp, PortNummer und MAC-Adresse bietet dieser HP Procurve
optimierte Sicherheits-Features.
NEWS
A
AVM stellt Ser vice-Portale für die Produkte
BlueFRITZ! USB und BlueFRITZ! AP-X bereit, weitere Portale für ISDN- und DSL-Produkte werden
folgen, beginnend mit FRITZ!Card PCI bzw. DSL.
Sie bieten aktuelle Informationen zur Entwicklung,
Praxistipps und einen umfassenden Downloadbereich. Die Seiten sind übersichtlich gestaltet
und schnell ladbar.
BlueFRITZ!-Anwender erhalten so schnell und einfach einen hohen Mehrwert. Erstmals bietet AVM
auch die Möglichkeit, bei den innovativen
Bluetooth-Produkten Beta-Downloads zu nutzen.
So steht aktuell ein Bluetooth-Profil für die Kommunikation zwischen BlueFRITZ! USB und Mobiltelefonen mit Bluetooth-Schnittstelle bereit. Die
neuen Portale sind direkt von der AVM Homepage
aus zu erreichen oder dirket unter den Adressen
www.avm.de/bluefritz-usb/service und
www.avm.de/bluefritz-apx/service.
Höchste Performance
Der Aufbau von VLANs basiert auf Ports, Protokoll, einem Subnetz oder Tagging nach IEEE 802.1Q. Layer4Priorisierung und Port Trunking liefern die erforderliche
Performance für geschäftskritische Applikationen. Redundante Stromversorgungen erhöhen die Verfügbarkeit
zusätzlich. Neu ist der HP Procurve Gigabit-LH-LC MiniGBIC, ein Gigabit Interface Converter, der bei einer Wellenlänge von 1550 nm über Single-Mode-Glasfaserkabel
Entfernungen bis zu 70 Kilometer überbrückt. Der neue
Backbone-Switch wird zusammen mit einem kostenlosen Telefonsupport sowie kostenlosen Software-Updates
ausgeliefert und zählt damit zu den High-end-Switches
von HP mit dem besten Preis-Leistungs-Verhältnis.
10
Ausgabe 10/2002
12
BINTEC
COMPU-SHACK SOLUTION
Enterprise Router
Baussteine
Modulare Gerätevariante X8500-S3
Security-Solutions
BinTec erweitert die High Performance Enterprise Routerfamilie X8500 um
eine 3-Slot Version. Der neue modulare Router X8500-S3 verfügt über drei
Steckplätze für Kommunikationsmodule, die im laufenden Betrieb ausgetauscht werden können. Mit einer Hardwarelizenz läßt sich das Gerät auf die
8-Slot Version aufrüsten.
Die Compu-Shack Offensive im Bereich Network
Security umfaßt neben einem ausgewählten
Sicherheitsportfolio auch Dienstleistungen wie
Consulting und Support. Das Dienstleistungsteam
“Solution” versteht sich als Lösungspartner für alle
Security-Anforderungen, die für ganzheitliche Sicherheitskonzepte notwendig sind, von der individuellen Planung, über deren Umsetzung bis zur
Schulung des IT-Fachpersonals.
D
Die X8500 Routerfamilie für größere Unternehmen und Internet
Service Provider bieten
die Möglichkeit, von
klassischen Dial-InVerbindungen auf die moderne VPN-Technologie zu migrieren.
Optional erhältlich sind Erweiterungskarten mit Schnittstellen wie
ISDN-S0, ISDN-S2M, G.703, X.21,
V.35, V.36 und Fast Ethernet. Protokolle wie X.25, Frame Relay, PPP sowie Quality of Service oder H.323
Proxy werden ebenfalls unterstützt.
Mit dem X8500-S3 bietet BinTec
eine performante und ausbaufähige
Routerlösung zu einem günstigen
Einstiegspreis, die sich auf die 8-Slot
Version X8500-S8 aufrüsten. läßt.
Denn beide Varianten im 19-Zoll Gehäuse unterscheiden sich nur in der
Anzahl der freigeschalteten Steckplätze für Kommunikationsmodule.
Sie sind speziell für die Übertragung
großer Datenmengen konzipiert und
können als RemoteAccess Server, als
CAPI-Applikations Server oder als
leistungsfähiges VPN-Gateway genutzt werden. Durch IPSec und
SAFERNET ist BinTecs neue High
Performance Routerplattform mit einem umfassenden Sicherheitspaket
ausgestattet.
Optional erhältliche IPSec-Lizenzen
mit DES-, 3DES-, CAST- und
Blowfish-Verschlüsselung sowie die
im Lieferumfang enthaltene
SAFERNET-Technologie schützen
vor unberechtigten Zugriffen auf sensible Unternehmensdaten.
Security-Projekte
Hohe Verfügbarkeit
Für zusätzliche Erweiterungen stehen
Steckplätze für verschiedene
Resource-Karten mit Digitalmodems
sowie für Datenverschlüsselungsund -kompressionskarten zur Verfügung. Die Systemkarte beider Geräteversionen ist austauschbar, so daß
sich spätere Performance Upgrades
problemlos durchführen lassen. Die
X8500 Routerfamilie ist auf Hochverfügbarkeit ausgerichtet. Dies wird
zum einen durch die redundante
Stromversorgung über zwei Netzteile,
zum anderen durch die hot-swap fähige Lüfterkassette gewährleistet.
Darüber hinaus können auch die wichtigsten Kommunikationsmodule im
laufenden Betrieb ausgetauscht werden. Des weiteren ist der Betrieb der
beiden Netzteile im Load-SharingMode möglich. Die ständige Überwachung von Innentemperatur und
Lüfterfunktion unterstützt die hohe
Verfügbarkeit der Produkte.Die
Enterprise Router der X8500 Familie
lassen sich schnell und einfach warten, da alle Systemkomponenten bequem an der Frontseite zugänglich
sind und sich somit ohne großen Aufwand austauschen lassen.
10
Ausgabe 10/2002
13
Die Planung von Security-Maßnahmen sowie die
Bedarfsermittlung ist der erste Baustein innerhalb
dieses Dienstleistungsportfolios. Das Projekt-Team
berät Unternehmen in den existentiellen Fragen der
Netzwerksicherheit, zeigt Strategien auf und unterstützt bei der Projektberatung, der Sicherheitsanalyse und der Entwicklung eines kompletten
Securitykonzepts. Auf der Basis eines fundierten
Regelwerks folgt das Projekt-Team den Empfehlungen des Bundesamtes für Sicherheit in der
Informationstechnik (BSI).
Security-Support
Mit der Implementierung der Security-Produkte
vor Ort kommt der zweite Baustein zum Tragen.
Denn erst die professionelle Konfiguration und
Installation von Firewalls und Sicherheitskomponenten macht das Netzwerk wirklichlich sicher. Nach der Vor-Ort-Installation bleibt das Spezialisten-Team weiterhin für den Kunden über die
Support-Hotline erreichbar und betreut das Netzwerk weiterhin.
Security-Training
Spezielle Trainings und Workshops runden als dritten Baustein die Security-Services von CompuShack ab. In den hauseigenen Trainingszentren in
Neuwied, München, Potsdam und Frankfurt können Security-Trainings namhafter Hersteller besucht werden, z.B zu Cisco, Novell, Microsoft oder
Watchguard. Die Security-Bausteine können im
Paket oder einzeln, abgerufen werden.
Fragen klärt das Security-Solution Team unter
02631 / 983-499 oder auf E-Mail-Anfrage an
[email protected].
Info unter www.portal.compu-shack.com.
n
NEWS
...Einstiegslösung
für die Entwicklung und die verfügbaren APIs für den
Einsatz mit Web Forms und NFuse Elite. Citrix bietet
dazu vielfältige Content Delivery Agents. Diese CDAs
sind individuell konfigurierbare Komponenten, die an
bestehende Backend-Systeme angeschlossen werden. Sie
liefern maßgeschneidertes Datenmaterial für die PortalOberfläche. Die derzeit verfügbaren CDAs bieten
Funktionalitäten wie E-Mail, Terminkalender,
Informationssuche, Teamkoordination, DokumentenManagement und Zugang zu Syndicated Content.
Firewall, IDS und VPN:Die Cisco PIX 515-R
mit der Restricted Software-Lizenz präsentiert sich als
Einstiegslösung für Unternehmen, die eine hohe Sicherheit in Verbindung mit einer grundlegenden FirewallFunktionalität benötigen. Sie verfügt über ausreichend
Reserven, um über 50.000 gleichzeitige Verbindungen
und bis zu 170 Mbit/s Durchsatz zu ermöglichen. Sie
überzeugt mit den intergrierten Alarmmechanismen und
ihrer Intrusion-Detection-Funktion. Die Pix unterstützt
den Aufbau von VPN-Tunneling-Verbindungen und den
Remote-Zugriff für Teleworker, mittels VPN über das
Internet. Zudem berichtet die Firewall ausgiebig über
den aktuellen und zurückliegenden Traffic, protokolliert Angriffe und die Auslastung einzelner Ports. Besonders sicher sind die Stateful-Inspection-Routinen, bei
gleichzeitig hohem Datendurchsatz.
...Clientlose VPNs
SecureVPN-Technologie: Check Point Software
Technologies hat ihre Secure VPN-Technologie erweitert und unterstützt jetzt “clientlose” VPN-Konnektivität
auf Basis von Secure Socket Layer (SSL). Damit wird
der sichere Datenzugriff auf Informationen und Applikationen im VPN flexiblerer. Verbindungen können damit auch über eine Vielzahl von mobilen Geräten und
jeden normalen Web-Browser hergestellt werden. Darüber hinaus hat Check Point ihre SecureVPN-Lösungen
auch in den Bereichen Client-Sicherheit, VPNMonitoring und VPN-Implementierung weiterentwikkelt. Die VPN-1/FireWall-1 Produktfamilie bietet ein
umfassendes VPN-Lösungsspektrum für alle wichtigen
Plattformen und Umgebungen. Ausgehend von der
„Check Point Everywhere“-Strategie wurde die
SecureVPN-Technologie so erweitert, daß die Anwender mit diversen Endgeräten und ohne spezielle ClientSoftware sicher auf Ressourcen im Unternehmensnetz
zugreifen können.
...Im PCI-Slot
802.11b Wireless-Card:Netgear hat die Verfügbarkeit ihrer Wireless-PCI-Karte MA311 bekannt gegeben. Sie ermöglicht Einzel-PCs den schnellen und kabellosen Zugang zu Breitband-Kabel bzw. DSL-Netzwerken und zu Breitband-Internet-Zugängen mit bis zu 11
MBit/s. Im Vergleich zu PCI-Karten mit integrierter
PCMCIA hat die MA311 dank der abnehmbaren und
ausrichtbaren Antenne zusätzliche Vorteile, was die
Reichweite der Wireless-Übertragung anbelangt. Mit
128-Bit-WEP-Verschlüsselung besteht ausreichende Sicherheit für die Netzwerk-Verbindung. Die MA311 arbeitet mit allen gängigen Betriebssystemen zusammen.
Die Installation ist dank Plug and Play Funktionalität
und der bewährten Netgear-Routinen auch für unerfahrene Anwender absolut problemlos. Die Wireless PCIKarte arbeitet mit allen gängigen Betriebssystemen zusammen.
...Einzelgenehmigung
WLAN nach 802.11a im Testbetrieb: Cisco
Systems hat das erste Wireless-LAN nach dem IEEEStandard 802.11a in Deutschland in Betrieb genommen.
Gegenüber den bisher eingesetzten drahtlosen Netzen
nach 802.11b mit 11 Mbit/s bietet der neue Standard
eine Bandbreite von 54 Mbit/s. Eine Änderung des
Modulationsverfahrens sowie der Betrieb im 5-GHzBand anstelle des 2,4-GHz-Bandes ermöglicht diese
Erhöhung. Die Regulierungsbehörde für Post und Telekommunikation (RegTP) erteilte Cisco eine Einzelgenehmigung für den Betrieb eines 802.11a-Netzes im
Bonner Labor des Unternehmens. Das Testnetz basiert
auf den neuen Aironet 1200 Access Points von Cisco.
Mit den Geräten können gleichzeitig drahtlose Netzwerke nach den untereinander nicht kompatiblen Standards 802.11b und 802.11a betrieben werden. Die
Aironet 1200 Serie ermöglicht den Übergang zu den
leistungsfähigeren Standards 802.11a und 802.11g. Der
Standard 802.11a wartet in Europa noch auf die Zulas-
NEWS
...Werkzeuge
Entwicklung von Portal-Content:Citrix
Systems hat das Software Development Kit (SDK) für
Citrix NFuse Elite vorgestellt. Die Access Portal-Lösung
gibt Anwendern einen sicheren Point-and-Click-Zugang
zu ihren persönlichen Anwendungen und Informationen. Dazu ermöglicht das neue SDK den Web-Entwicklern, Microsoft Web Forms mit den neuesten Visual Studio .NET Werkzeugen zu erstellen, um den Portal-Zugriff auf maßgeschneiderte Geschäftsinhalte auszudehnen. SDK stellt Anwendungsprogrammierern ein umfassendes Set an Werkzeugen zur Verfügung, mit denen
sich die Funktionalitäten von NFuse Elite weiterentwickeln lassen. Zu diesen Tools gehören Anleitungen
Ticker
10
Ausgabe 10/2002
14
sung des European Telecommunications Standards Institute, weil die europäischen Anforderungen TX Power
Control und Dynamic Frequency Selection nicht Bestandteil des Standards sind. Eine Entscheidung wird
Ende des Jahres erwartet.
...Anbindung
Mit zwei Fibre Ports: Cisco Systems erweitert
das Portfolio der Catalyst 2950er Serie mit Standard Image Software. Ein neuer Catalyst mit zwei Fibre Ports, der
2950SX-24, verspricht eine kostengünstige GlasfaserAnbindung des Firmennetzwerks. Mit seinen beiden
1000BASE-SX Ports sorgt der Switch für Redundanz
und hohe Verfügbarkeit von Daten-, Sprach- und Videodiensten am Netzwerkrand.Die Catalyst Switches der
2950er Serie sind für kleine und mittelständische Unternehmen sowie für die Etagenbereiche großer Unternehmen gedacht und bringen intelligente Dienste bis
in den Anschlußbereich. Als Standalone-Switch mit Festkonfiguration, der auch über 24 10/100-Ports verfügt,
ist der neue 2950er über die Cisco Cluster Management
Suite einfach zu installieren. Die CMS-Software ist ein
Web-Management-Tool zur Konfiguration und Fehlerbehebung von bis zu 16 Catalyst Switches unter Verwendung einer einzigen IP-Adresse Die Serie besteht aus
Produkten mit Standard- und Enhanced Image-Software.
...Mit CAPI-Treibern
Vor 0190-Dialern geschützt:Mit dem aktuell verfügbaren CAPI-Treibern in der Version 3.10.02
können sich nun auch Anwender von FRITZ!X USB v1.0
und v2.0 vor sogenannten 0190-Dialern schützen. Dazu
benötigen sie die aktuelle Version des Tools AVM ISDN
Watch v2.0. Es erfüllt mit dem Rufnummern-Filter ein
wichtiges Anliegen vieler Kunden und bringt mehr Sicherheit und Kontrolle am PC. Mit der neuen Software
lassen sich Anwahl und Rufannahme sowohl einzelner
Rufnummern als auch ganzer Rufnummerngruppen verhindern. Denkbar sind hier beispielsweise Rufnummern
ins Ausland, Ferngespräche und kostenpflichtige Service-Rufnummern. ISDN Watch v2.0 gibt es für die Betriebssysteme Windows XP, 2000, Me und Windows 98.
Die Treiber für FRITZ!X USB stehen bei AVM zum
Download bereit.
...Service Pack 2
Stabilität im Office: Das Service Pack 2 zu
Office XP enthält alle aktuellen Updates in einem Paket. Es bringt Sicherheits-, Stabilitäts- und Leistungsverbesserungen. Einige im Service Pack enthaltenen
Updates wurden bereits separat veröffentlicht. Zusätzlich ist eine Reihe von weiteren Updates enthalten, die
die Verläßlichkeit und Leistungsfähigkeit der Office XPAnwendungen verbessern sollen. Anwender sollten SP2
jedoch nur installieren, wenn sie bereits das Service Pack
1 eingesetzt haben. Das Service Pack 2 für Office XP
nebst Info steht bei Microsoft zum Download bereit,
ebenso die Version des Service Packs 2 für Administratoren, auch in Deutsch und mit entsprechenden Informationen. Für Benutzer des Multilingual User Interfaces
steht eine separate Version zur Verfügung.
...Preismodell
Lizenz-Angebot nach Maß:Novell bietet ab sofort ein neues Preismodell speziell für Anwender von
Internet-Services an. Es macht Online-Dienstleistungen
erschwinglicher, indem sich die Preisgestaltung am Typ
des Endanwenders orientiert. Das bisherige Lizenzmodell war auf Unternehmensmitarbeiter als Anwender
zugeschnitten. Zusätzlich bietet Novell jetzt erheblich
günstigere Lizenzpreise für externe Anwender an, die
für die Bereiche „Business-to-Consumer“ und
„Government-to-Citizen“ gültig sind. Standard bleibt
nach wie vor die Anwenderlizenz für Mitarbeiter und
IT-Hersteller. Die neue „Business-to-Consumer“ Anwenderlizenz kostet 25 Prozent des Preises der StandardAnwenderlizenz. Die „Government-to-Citizen“ Lizenz
wird für zehn Prozent des Preises der Standard-Anwenderlizenz angeboten. Für alle drei Lizenz-Kategorien
berechnet Novell den Preis auf Grundlage der Anzahl
der Nutzer eines Software-Services, nicht nach der Anzahl der Rechner, die an das Netzwerk angeschlossen
sind. Aktuell gilt das neue Preismodell für ZENworks
OnDemand- und die Novell Portal-Services, für die Produkte DirXML, iChain und NetMail, für das Novell
Account Management sowie iFolder.
...Zwei-Wege
Für Server und Workstations: Auf ihrem
Developer Forum in San Jose stellte Intel den Xeon Prozessor für Zwei-Wege-Server und -Workstations vor. Mit
2.8 und 2.6 GHz Taktfrequenz, verfügen sie über 512
KB Level Two Cache und sind mit der Intel 0.13-Mikron Prozesstechnologie hergestellt. Im WorkstationBereich erwiesen sich Dual-Prozessor-Systeme als besonders erfolgreich bei Applikationen zur Erstellung
digitaler Inhalte, mechanischer und elektrischer Entwürfe, bei Finanzanalysen und der 3D-Modellierung. FrontEnd oder universell einsetzbare Internet Server finden
Anwendung in den Bereichen Webhosting, Data
Caching, Suchmaschinen, Sicherheits- und Streaming
Media Applikationen.
10
Ausgabe 10/2002
15
thema des monats
NETWORK SECURITY
Tunnelbau
Teil 1: Interoperabilität mit IP-VPN
Von Detlev Reimann
V
VPN ist gegenwärtig in aller
Munde, wenn es
darum geht, für
kostengünstige
Kommunikationsverbindungen gesic herte Tunnel
aufzubauen, darüber vertrauliche
Informationen
auszutauschen
oder über Internet
Geschäfte abzuwickeln. Uns geht
es dabei nicht allein um Technologien wie IPsec,
sondern auch um
die herstellerübergreifende Interoperabilität im
IP-VPN.
10
Ausgabe 10/2002
16
Die aktuellen wirtschaftlichen Entwicklungen zwingen dazu, die Produktivität und Rentabilität von Unternehmen einschließlich ihrer IT-Infrastrukturen zu verbessern. Althergebrachte Netzwerkstrukturen, welche
einzig und allein auf die Verbindung
fest definierter Partner bzw. Niederlassungen ausgerichtet sind, werden
den neuen geschäftlichen Herausforderungen immer weniger gerecht.
Wechselnde Partnerschaften, virtuelle Geschäftsvorgänge oder die
Kommunikationsanforderungen von
Anwendern von unterwegs kennzeichnen die veränderten Bedingungen einer modernen Geschäftskommunikation. Der dazu erforderliche Aufbau einer flexibleren Infrastruktur entsteht aber erst dann, wenn
es gelingt, definierte geschäftliche
Abläufe mit technisch durchdachten
Lösungen in Einklang zu bringen,
technologisch wie auch wirtschaftlich. VPN-Lösungen bieten dazu neben hoher Flexibilität - auch die
gebotene Sicherheit für einen vertraulichen Informationsaustausch
und für Geschäftstransaktionen.
Denn IP-VPN läßt sich natürlich nicht
auf die scheinbar günstigere Ablösung einer teueren Standleitung reduzieren.
Uns geht es jedoch nicht allein um
IPsec, sondern auch um die herstellerübergreifende Interoperabilität. Virtuelle Geschäftsvorgänge mit wechselnden, teils internationalen Partnerschaften oder die Anforderungen der
mobilen Anwender von unterwegs
schaffen laufend veränderte Bedingungen. Um die Flexibilität der VPNLösung zu wahren, muß daher aber
auch auf die herstellerübergreifende
Kompatibilität gesetzt werden können. Denn obwohl sich die Hersteller
an die Standards halten, kann es immer einmal zu Verbindungsproblemen kommen, und unter Umständen
können IPsec-Verbindungen nicht
aufgebaut werden. Daher wurde im
Compu-Shack-Labor die Interoperabilität zwischen Geräten der Hersteller BinTec, Cisco und SonicWALL
getestet. In einem Anschlußbeitrag
werden wir von unseren Ergebnissen
berichten und IP-VPN auch praktisch
umsetzen. Jetzt aber kümmern wir uns
zunächst einmal um die Grundlagen.
Ganz privat
Ganz allgemein ist VPN ein privat
genutztes Netzwerk, welches auf der
Basis einer öffentlichen Infrastruktur
bereitgestellt wird. Hier werden die
Begriffe ”privat” und ”öffentlich”
gegenübergestellt. Öffentlich ist in
diesem Sinne alles, was auch durch
andere genutzt werden kann. Die Infrastruktur wird in diesem Falle geteilt genutzt. Ein typisches Beispiel
ist das Telefonnetz, ein X.25-Netz wie
DatexP oder das Internet. Sobald der
Nutzer einen entsprechenden Vertrag
hat, kann er an der Kommunikation
dieser Netze teilnehmen.
Als ”privat” wird in diesem Zusammenhang jene Kommunikation bezeichnet, die vorher andere Nutzer
des Netzwerkes aus dieser Kommunikation ausschließt. Die Teilnehmer
einer solchen privaten Verbindung
befinden sich auf einer gemeinsamen
definierten Sicherheitsebene. Die
Anwahl einer bestimmten Telefonnummer beispielsweise stellt eine
solche private Kommunikation her,
oder eine Closed User Group (CUG)
im X.25-Netzwerk, und eben auch ein
IP-VPN im Internet (vgl. Abb. 1).
Schon beim Telefonnetz werden eher unbewußt - unterschiedliche
Sicherheitsebenen ”genutzt”. Einer
bekannten Stimme wird mehr Ver-
Abb. 1: Grundprinzip öffentlicher Kommunikation
IP-VPN
Bei aufmerksamer Betrachtung reduziert sich der Begriff Virtual Private
Networks (VPN) in der aktuellen Diskussion auf IP-basierende VPNs. Wir
werden uns aus diesem Grund mit den
Grundlagen eines IP-VPN beschäftigen, um Ihnen zu helfen, die Technologien besser zu beurteilen. Wir
möchten zeigen, welche Parameter für
eine sichere VPN-Verbindung wichtig und herstellerunabhängig realisierbar sind. Wir werden in bezug auf
IPsec und seine Verschlüsselungstechnologien über Abwehrmechanismen gegen potentielle Bedrohungen sprechen, denn die Daten sind im
netzwerkübergreifenden Austausch
vielfältigen Risiken ausgesetzt.
10
Ausgabe 10/2002
17
thema des monats
Security implementiert
X1200 Router mit DynVPN und Firewall
Der X1200 von BinTec Communications ist ein komplett ausgestatteter und flexibel einsetzbarer ISDN-Multiprotokoll-Router. Entwickelt für den High-Speed
Internet-Zugang, kann er zudem für Remote Access in kleinen Unternehmen,
Außenbüros oder Home Offices eingesetzt werden. Ab dem Release 6.2 können
bei den BinTec Routern der X-Generation auch VPNs mit dynamischen IP-Adressen aufgebaut werden.
Integriert in das unternehmensweite Netz
Von unterwegs können sich Außendienstmitarbeiter über ISDN oder Handy (V.110)
in ihr Büro einwählen, der Workflow von Daten, Fax und E-Mail ist rundum gewährleistet. Um Mißbrauch zu verhindern und Riskien auszuschließen, wurde
im X1200 neben umfangreichen Firewall-Mechanismen auch VPN für den Remote
Access implementiert. X1200 integriert die hohen Sicherheitsanforderungen an
Außenbüros im Sicherheitkonzept des gesamten Unternehmens.
DynVPN
Ab Release 6.2 bauen die BinTec Router der X-Generation auch VPNs mit dynamischen IP-Adressen auf. Hierzu muß der Rechner seine aktuelle, dynamisch
zugeteilte Adresse bei einem entsprechenden DynDNS-Anbieter hinterlegen. Soll
nun ein VPN-Tunnel aufgebaut werden, fragt der anfordernde Partner bei diesem Anbieter die aktuelle IP-Adresse ab und startet die Verbindung. Ist die Gegenstation nicht erreichbar, kann sie mittels ISDN-Call aufgefordert werden, eine
Verbindung ins Internet aufzubauen.
Paketfilter Firewall
Die Paketfilter Firewall betrachtet die IP-Absender-Adresse (Gerät) und den zugehörigen Port (Anwendung) sowie die IP-Ziel-Adresse und deren Port. Aufgrund
dessen entscheidet sie, ob ein Paket an eine andere Schnittstelle weitergeleitet
oder verworfen wird. Zulässige bzw. verbotene Adressen oder Anwendungen
werden in den Filterregeln und der Zugriffsliste abgelegt, um sie ggf. ausschließen zu können. Dies ist vor allem für FTP-Server oder Mail-Server interessant.
Stateful Inspection Firewall
Die Stateful Inspection Firewall geht über die Paketfilter-Optionen hinaus. Sie
überwacht den Status der Internet-Verbindungen und hinterlegt alle Verbindungsdaten in einer dynamischen Tabelle, mit Adresse und zugeordneten Ports. Prinzipiell werden nur solche Pakete in das interne Netz gelassen, für die bereits aus
diesem Netz initiierte Verbindungen bestehen. Pakete von außen, die dem nicht
zuzuordnen sind, werden verworfen und im Log-File protokolliert. Die dynamische Verbindungstabelle stellt den Kern der Stateful Inspection Firewall dar. Sie
bietet hohe Sicherheit, verhindert das Eindringen in das interne Netz und kontrolliert den jeweiligen Status der Verbindung. Die Ausstattung von X1200 geht damit
weit über seine Routing Funktionalitäten hinaus. Besonderen Wert legt BinTec
neben der Sicherheit auf das Kostenmanagement und die Wartung. Hochwertige Tools erleichtern die Konfiguration und Fernwartung. Eine Kommunikationssoftware rundet das X1200-Komplett-Paket ab.
trauen entgegengebracht als einem
bisher unbekannten Gesprächspartner. Im Zweifelsfalle legt der angerufene Teilnehmer wieder auf. Die
Authentifizierung der Kommunikationspartner spielt demzufolge eine
wesentliche Rolle, um an einem privaten Netz in einer allgemein zugänglichen Infrastruktur teilzunehmen.
Mehr nicht! Damit werden die Beschränkungen deutlich. Das Belauschen einer solchen Verbindung ist
nicht ausgeschlossen. Die Verfügbarkeit einer solchen privaten Verbindung ist auch nicht gewährleistet.
Beides sind bekannte Probleme aus
dem Telefonnetz.
Hohe Erwartungen
Ein IP-VPN wird zunächst nicht
grundsätzlich die WAN- oder LANInfrastrukturen verändern. Es ist eher
als deren Ergänzung zu verstehen.
Gerade unter den aktuellen Anforderungen sind Parameter wie Unterstützung verschiedenster Protokolle, gute
Skalierbarkeit, hohe Verfügbarkeit
und Bandbreite bei effektivem Kosten-Nutzen-Verhältnis gefragt. Die
Infrastruktur muß das bereitstellen.
Ein IP-VPN erschließt neue Möglichkeiten, Provider-Netzwerke besser zu
nutzen. Essentiell für den Einsatz von
IP-VPN ist das Verständnis, daß diese
Technologie primär an den Grenzen
der großen Netzwerke eingesetzt
wird. Es ist eine Technologie zur Erschließung von Kunden für die
Provider-Netze. Die Transport-Protokolle der Infrastrukturen bleiben davon weitgehend unberührt und sind
für den Kunden meist transparent. Das
ist vorteilhaft.
Die IP-Lösungen werden oft mit einer großen Funktionsliste angeboten.
Letztlich muß eine VPN-Plattform
grundsätzlich die kritischen Firmendaten zuverlässig und in einer akzeptablen Zeit übertragen. Gefordert ist
eine unternehmensweit beherrschbare Lösung, die vor unerwünschten
10
Ausgabe 10/2002
18
Manipulationen und Störungen
schützt. An dieser scheinbar globalen Erfordernis der Kunden werden
die von den Herstellern und Anbietern von IP-VPN-Netzwerken genannten Vorteile gemessen werden müssen.
Vorteile von IP-VPN
Eine Lösung ist immer konkret. Sie
wird zeigen, ob die nachfolgenden
Vorteile auch zum Tragen kommen:
- Vereinfachung der Netzwerktopologien für den Kunden: SVCs und
PVCs werden durch ihn nicht mehr
benötigt. Bei Bedarf können sogar
logisch vollvermaschte Strukturen
definiert werden. Das geschieht unabhängig von den Anstrengungen des
Providers, geeignete Strukturen zu
betreiben.
- Geringerer Aufwand zur Verwaltung
des Netzwerkes: Der Kunde nimmt
kaum Rücksicht auf die Provider-Infrastruktur. Der Betrieb ”eigener”
WAN-Verbindungen entfällt.
- Geringere bzw. kalkulierbarere
Verbindungskosten: Bei der Reduzierung der Kostengrößen auf Parameter einer IP-basierenden Infrastruktur
sind wohl die genauesten Betrachtungen zur Beurteilung einer Lösung erforderlich.
- Auslagerung der Verwaltung der
WAN-Infrastruktur auf einen Provider:
Die Konzentration auf die Hauptaufgabe des IT-Betriebes und der eigenen Kompetenzen dient der Sicherstellung des Kerngeschäfts eines Unternehmens, mit all seinen spezifischen Anforderungen an die IT.
- Erweiterung des Geschäftsfeldes auf
ein IP-basierendes Business durch
Nutzung der Infrastruktur: Die Anbindung von Partnern oder E-Commerce,
die Bereitstellung von Service oder
ein projektorientierter Aufbau von
Niederlassungen (z.B. Baustellen)
eröffnet neue Chancen.
- Selfprovisioning beim Provider entsprechend den eigenen geschäftlichen Anforderungen: Kurzfristige
Vertragsanpassungen und -umsetzungen sind dringend erwünscht.
Bedrohungen
Die Daten eines Kunden sind vielfältigen Bedrohungen ausgesetzt. Ein
IP-VPN ermöglicht im Rahmen einer
unternehmensweiten Sicherheitsstrategie, einen Teil dieser Bedrohungen einzuschränken. Grund für die
Gefahren ist die Tatsache, daß die IPProtokollfamilie aufgrund ihrer Entwicklungsgeschichte vorrangig
Transport und Connectivity sicherstellt. Die Risiken sind den Protokollen inhärent. Einige der Bedrohungen, die für die Einsatzentscheidung
von IP-VPN relevant sind, seien hier
kurz genannt.
Schnüffler
Besonders unerwünscht ist das „Mitlesen“ von Datenströmen. Das Belauschen oder Sniffen von Verbindungen
stellt eine besondere Bedrohung für
die Vertraulichkeit der Daten dar. Die
eigentliche Gefahr des Schnüffelns ist
die Tatsache, daß dieser Vorgang nahezu unbemerkt erfolgen kann und
somit eine Reaktion fast immer zu spät
erfolgt.
Gaukler
Spoofing ist ein Mechanismus, um
einem Kommunikationspartner falsche Tatsachen vorzugaukeln. IP-Netze nutzen Quell- und Zieladressen,
um die Kommunikation zu leiten.
Diese Adressen in den Datenpaketen
sind während der Übertragung manipulierbar. Das wird zum Teil bewußt
durch Kunden genutzt, um etwa
Bandbreite und Kosten in WAN-Verbindungen zu sparen. (Spoofen von
Hello-Informationen, Keep-AlivePaketen usw.)
Das Prinzip der Man-in-the-Middle
Attack ist relativ einfach. In die Kommunikationsverbindung von zwei
Hosts, A und B, hat sich C als Dritter
10
Ausgabe 10/2002
19
eingehängt.A tauscht Daten mit C aus
und B mit C. Sowohl A und B sind
der Meinung, miteinander Daten auszutauschen. Daß C in der Verbindung
steht, ist für beide Hosts transparent.
C ist somit in der Lage, die gesamte
Kommunikation zwischen A und B
zu protokollieren, zu manipulieren
und auszunutzen. Der Leser kennt
das gleiche Prinzip in einer nützlichen Variante: der Proxy.
Eindringlinge
Die Übernahme einer Arbeitssitzung
durch das gefürchtete Session
Hijacking nutzt im Gegensatz zu
Spoofing eine bereits bestehendeVerbindung aus. Der Angreifer übernimmt dabei eine existierende Arbeitssitzung. Dabei versucht er durch
Mitprotokollieren, die korrekten
Sequenznummern der Kommunikationspartner zu ermitteln. Danach werden Daten versendet, die in das Kommunikationsmuster passen. Wirkungen sind entweder die komplette
Steuerung des Zielrechners, eine
Überlastung des Zielsystems, die Provozierung von Verbindungsabbrüchen oder auch ein Pufferüberlauf,
der dem Angreifer unter Umständen
die Nutzung erweiterter Rechte auf
dem Ziel-Host erlaubt. Besonders kritisch an diesem Angriff ist, daß bereits die Sitzung authentifiziert wurde und das Zielsystem von einer vertrauenswürdigen Verbindung ausgeht.
IPsec
Im wesentlichen gibt es drei
Protokollfamilien, um VPNs abzubilden: PPTP, L2TP und IPsec. Hier werden nur die Protokolle im Umfeld von
IPsec für die Bereitstellung von IPVPNs diskutiert. Es ist sicherlich die
komplexeste Möglichkeit, VPNs einzurichten. In diesem Zusammenhang
existieren eine Reihe von Interoperabilitätsproblemen, auf die eingegangen werden soll. Außerdem sind die-
thema des monats
se Protokolle der Bezug für die Einrichtung neuer Sicherheitsmechanismen im Netzwerk. Die grundlegenden Mechanismen zur Authentifizierung und Verschlüsselung von
Daten werden auch von anderen Protokollen genutzt.
Konzentriert auf VPN
Cisco VPN 3000 für Remote-VPNs
Um die Kommunikationskosten über die lokalen Einwählinfrastrukturen von
Service-Providern zu senken, muß ein Unternehmen eine robuste und hochverfügbare VPN-Lösung einsetzen. Dezidierte VPN-Geräte wie der Cisco VPN
3005-Konzentrator eignen sich hervorragend, um mobilen Arbeitern die volle
Breitbandkonnektivität hochleistungsfähiger Remote-VPNs bereitzustellen.
Cisco VPN 3005 Konzentrator
Der Cisco VPN 3005-Konzentrator ist eine VPN-Plattform für kleine bis mittelgroße Organisationen mit Bandbreitenanforderungen bis zu 4 Mbit/s maximaler
Leistung und bis zu 100 simultanen Sitzungen. Die Verschlüsselungsverarbeitung erfolgt über Software. Die Remote-VPN-Architektur umfaßt einen
auf Standards basierenden, benutzerfreundlichen VPN-Client und skalierbare
VPN-Geräte zur Tunnelterminierung. Ihre fortschrittlichen Hochverfügbarkeitsfähigkeiten gestatten den Aufbau hochleistender und robuster VPN-Infrastrukturen.
Scalable Encryption Processing
Als einzige skalierbare Plattform bietet sie Komponenten, die bei laufendem
Betrieb vor Ort ausgetauscht und vom Anwender selbst aufgerüstet werden können. Diese Komponenten werden als SEP-Module (Scalable Encryption Processing) bezeichnet und erlauben es den Benutzern, auf einfache Weise Kapazität
und Durchfluß hinzuzufügen. Der Cisco VPN 3000-Konzentrator unterstützt das
größte Angebot von VPN-Client Software, einschließlich Cisco VPN 3000 Client,
Microsoft Windows 2000 L2TP/IPsec Client und Microsoft PPTP für Windows 95,
98, NT 4.0 und 2000: Verschlüsselungsprotokolle DES, 3DES und AES.
Cisco VPN 3000 Client
Der Cisco VPN 3000 Client ist einfach zu installieren und zu bedienen und wird
für den Aufbau von sicheren verschlüsselten Ende-zu-Ende-Tunneln zum Cisco
VPN 3000-Konzentrator verwendet. Diese IPsec-konforme Implementierung mit
kompaktem Design wird zusammen mit dem Konzentrator geliefert und ist für
eine unbeschränkte Anzahl von Benutzern lizenziert. Der Client kann für Masseneinsätze vorkonfiguriert werden, so daß die ersten Anmeldungen ein minimales
Eingreifen des Benutzers erfordern. VPN-Zugriffsrichtlinien werden zentral im
Konzentrator erstellt, gespeichert und an den Client gestoßen, wenn eine Verbindung hergestellt ist.
VPN 3000 Management
Mit dem Cisco VPN 3000 Monitor als Managementsystem können Remote-VPNs
einfach installiert, konfiguriert und überwacht werden, auf einem oder gar mehreren VPN 3000-Konzentratoren. Diese Java-basierte Anwendung ist mit Windows
9x, NT 4.0 und 2000 kompatibel. SNMP-Polling wird zur Erfassung von Statistiken von jedem Gerät verwendet. Die Enterprise View zeigt den Status höchster
Ebene für jedes Gerät im Netzwerk an. Der Administrator kann auch zeitbasierte
Daten zu jedem Gerät abrufen. Darüber hinaus speichert der VPN
Monitor abgerufene Daten,
Traps und Protokolldateien
zur Verlaufsanalyse, Kapazitätsplanung und Fehlerbehebung.
Die grundsätzlichen Festlegungen für das IPsec Protokoll wurden im August 1995 durch die IETF
mit den RFCs 1825 (Security
Architecture), 1826 (Authentication
Header) und 1827 (Encapsulating
Security Payload) von R. Atkinson
formuliert. Damit wird der grobe
Aufbau des Protokolls festgelegt.
Die nachfolgenden RFCs 1828
(Authentication with MD5) und
1829 (DES Transform) waren dagegen schon konkretere Umsetzungsvorschläge. Dabei ist es
nicht geblieben. Mit dem RFC
2401 (November 1998, R. Atkinson, S. Kent) wurde der RFC 1825
abgelöst und ergänzt. Weitere
Dokumente beschreiben die Nutzung des Diffie-Hellman-Algorithmus, des Oakley-Protokolls (2407,
2408, 2409, 2412) usw. Sie bilden
die Basis für die nachfolgenden
Darstellungen .
Architektur von IPsec
Das IPsec-Protokoll wurde entwikkelt, um eine interoperable und auf
Kryptographie basierende Sicherheit
für die Protokollfamilien IPv4 und
IPv6 zu bieten. Dem Thema der
Interoperabilität widmen wir uns weiter unten. Festzuhalten bleibt, daß
dieses Kriterium von Anfang an bei
IPsec eine entscheidende Rolle spielt.
IPsec adressiert die oben genannten
Bedrohungen und bietet einen
Schutzmechanismus ab der Ebene des
IP-Protokolls durch Authentifizierung des Senders, Integrität der Daten auf verbindungslosen Kommunikationspfaden, Verschlüsselung der
10
Ausgabe 10/2002
20
Informationen, Schutz vor Wiederholungen von Kommunikationsabläufen, Zugriffskontrolle und das Verbergen von Datenströmen, zumindest
in begrenztem Umfang durch Tunnelmechanismen.
Das IPsec-Protokoll besteht aus mehreren Komponenten (vgl. Abb. 2). Sie
wirken nur in ihrer Gesamtheit. Diese
Erkenntnis ist insofern wichtig, als
bei der Planung und Umsetzung von
VPNs auf der Basis von IPsec jeder
Komponente die gebührende Aufmerksamkeit zukommt.
Das Protokoll definiert erstens zwei
Traffic-Security-Protokolle, Authentication Header (AH) und Encapsulating Security Payload (ESP). Zweitens ist festgelegt, was eine Security
Association ist und wie diese
Vertrauensbeziehung zwischen zwei
Knoten aufgebaut wird und funktioniert. Die dritte Komponente sind die
Algorithmen zur Authentifizierung
von Kommunikationspartnern und
Verschlüsselung von Informationen.
Einen vierten und gewichtigen
Schwerpunkt bilden die Problemstellungen des Key Management. Die
Schlüssel einer Verbindung können
manuell und automatisch verteilt
werden. Letzteres hat wieder eine
Reihe von Protokolldefinitionen zur
Folge.Insgesamt existiert mittels
IPsec eine Plattform, die es erlaubt,
geschützte Verbindungen zu betreiben. Erfahrungsgemäß kommen solche Verbindungen nicht zustande,
wenn die Protokolle herstellerseitig
nicht korrekt implementiert und auf
der Anwenderseite fehlerhaft konfiguriert sind. Darin besteht auch ein
Schutz: keine sichere Verbindung keine Datenübertragung.
Die Authentifizierung erfüllt dabei
eine besondere Aufgabe. Jeder Zugriff
auf die Ressourcen eines Netzwerkes
bedarf unter dem Sicherheitsaspekt
der zuverlässigen Überprüfung des
Benutzers, des zu vertrauenden Netzwerkes oder des anfordernden Dienstes. Erst mit der glaubhaften Identität sind weitere Schritte zulässig.
Eine starke Authentifizierung besteht
aus drei zusammengehörigen Dingen: etwas, was man besitzt (z.B.
Schlüssel, Zertifikat), etwas, was man
ist (Name, IP-Adresse, Stimme) und
etwas, was man weiß (Paßwort).
IPsec benutzt verschiedene Methoden für die Authentifizierung. Im Interesse der Interoperabilität in der Installation unterschiedlicher Systeme
ist es notwendig, sich auf bestimmte
Methoden zu einigen.
Encryption
Die Verschlüsselung der Informationen schützt diese vor unerwünschten
Veränderungen und Einsichtnahme.
Der Originaltext wird durch geeignete Verfahren so verändert, daß nur der
Empfänger mit seinen Mitteln den
Inhalt zurückgewinnen kann. Der
Prozeß besteht aus zwei Komponenten. Der Algorithmus ist eine meist
allgemein bekannte mathematische
Funktion. In diese Funktion wird der
Schlüssel eingebracht, mit dessen
Hilfe die mathematische Funktion
den Originaltext ”verwürfelt”. Nur
der Empfänger der verschlüsselten
Nachricht ist mit seinem geheimen
Schlüssel in der Lage, die Ursprungsinformation zurückzugewinnen. Für
einen Fremden existiert somit ein
bekannter mathematischer Algorithmus, eine unbekannte Originalinformation und ein unbekannter
Empfängerschlüssel.
Ganz allgemein sollte immer davon
ausgegangen werden, daß ein Schlüssel nur eine bestimmte Standzeit hat.
Das ist jene Zeit, die vergeht, bis
Fremde vom Schlüssel Kenntnis erhalten. Empfehlenswert ist es, davon
auszugehen, daß jeder Schlüssel auch
zu ermitteln ist. Das ist nur eine Frage der Zeit und des Geldes und somit
der verfügbaren Rechenleistung. Als
Administrator sollte man also schon
eine chronische Skepsis entwickeln.
IPsec unterstützt uns dabei insofern,
als das Protokoll für die Schlüssel
eine Lifetime vorschreibt.
Abb. 2: Architektur von IPsec nach RFC 2401/2411
Authentifizierung
IPsec benutzt moderne kryptographische Verfahren zur Gewährleistung
von Authentifizierung und Verschlüsselung. Beides sind Grundfunktionen
von IPsec.
10
Ausgabe 10/2002
21
thema des monats
Symmetrisch
Tunnel für High-Performance
Contivity mit Secure Routing Technology
Die Secure Routing Technology (SRT) auf der Contivity Plattform von Nortel
Networks verbindet die Hauptfunktionen der Contivity Produkte wie Management, Access, Policies, dynamisches Routing und virtuelle private Vernetzungstechnologie mit hochintegrierten, äußerst flexiblen IP-Service-Lösungen für
Unternehmenskunden aller Größen.
Secure IP Services Gateways
Nortel Networks hat dynamisches Routing und die Technologie zur virtuellen
privaten Vernetzung (VPN) zu einem Produkt verschmolzen, das sichere IP-Services bietet und die Netzunterhaltskosten für Enterprise Kunden um bis zu 70
Prozent reduziert. Verfügbar auf fünf neuen Contivity Plattformen bietet Die Secure
Routing Technology auf Contivity maximale Leistung bei geringeren Kosten für
kontinuierliche IP-Service Installationen für Unternehmen. Es ist eine innovative
Lösung, um die Lieferung sicherer IP-Services über das Internet zu skalieren.
SRT ist ein architektonischer Rahmen, der die Contivity Secure IP Services
Gateways befähigt, dynamische Routing Services über bis zu 128bit verschlüsselte VPN Tunnel zu liefern.
Contivity 1000 Familie
Die Secure IP Services Gateways der Contivity 1000 Familie sind preiswerte
Sicherheitslösungen, die umfassende IP-Services bieten, mit Routing, VPN,
Stateful Firewall und Bandbreiten-Management in einem einzigen integrierten
Produkt. Die Contivity 1000 Familie mit SRT verringert für Unternehmenskunden
oder Netzbetreiber, die diese bedienen, die Kosten zur Bereitstellung von QoS
und Policy Services um ein Vielfaches. Mit seinen hochintegrierten Services
liefert Contivity 1000 die Leistungen in einem Gerät, die üblicherweise zahlreiche Geräte bewerkstelligen. Das Contivity 1000 Portfolio basiert auf der Standard Contivity Betriebssoftware und bietet neben modernem Routing (OSPF/
RIP) umfassende Site-to-Site- und Fernzugangs-VPN Services.
Mehr Tunnel für Performance
Die wesentlichen Unterschiede zu den jeweiligen Vorgängern 1600 (2600) und
1700 (2700) sind eine schnellere CPU, ein schnellerer Bus und dadurch eine
höhere Gesamt-Performance. Die einfache Installation erfolgt durch Quick Start
Wizard und Plug and Play Funktion. Auch die maximale Anzahl der Tunnel hat
sich deutlich nach oben verändert. Contivity 1700 bietet bis zu 500 Tunnel, vorher waren es 200 bei Contivity 1600. Bis zu 2000 Tunnel stellt Contivity 2700 zur
Verfügung, ehedem waren es 1000 Tunnel bei Contivity 2600. Trotz dieser weitreichenden Verbesserungen konnte der Preis gehalten werden.
Nähere Informationen erhalten Sie vom Nortel Networks Business Team bei
Compu-Shack, telefonisch unter der Durchwahl 02631 / 983-451oder per E-Mail
an [email protected].
In der Praxis werden zwei verschiedene Verschlüsselungsverfahren benutzt, symmetrische und asymmetrische. Bei der symmetrischen Verschlüsselung benutzen Sender und
Empfänger den gleichen Schlüssel.
DiesesVerfahren wird auch als SecretKey Cryptography bezeichnet. Der
Hauptvorteil liegt darin, daß die Algorithmen sehr schnell sind und die
Schlüssellängen relativ klein sind.
Solche Verfahren sind Blowfish,
Twofish, DES, 3DES, AES usw. Nachteilig ist, daß ein Schlüsseltausch erforderlich ist, der beiden Seiten
gleichzeitig einen neuen Schlüssel
zugänglich macht. Oder man vertraut
der Standfestigkeit des eigenen
Schlüssels. Ein Gefühl, welches sich
aufgrund der erworbenen Paranoia
nie richtig einstellen wird.
Asymmetrisch
Zur Kodierung einer Information
wird ein anderer Schlüssel als zur
Entschlüsselung benutzt. Ein Schlüssel ist öffentlich zugänglich, der Public Key. Der andere Schlüssel bleibt
im Besitz und Wissen desjenigen, der
das Schlüsselpaar ausgestellt hat, der
Private Key. Das Verfahren wird deshalb auch Public Key Encryption
genannt. RSA, Diffie-Hellman oder
DSS (DSA) gehören dazu. DerVorteil
dieses Verfahrens ist, daß prinzipiell
keine Methode für den Schlüsseltausch erforderlich ist. Jedem wird der
öffentliche Schlüssel zur Verfügung
gestellt. Er ist kein Geheimnis, im
Gegenteil. Dekodieren und Signieren
kann nur der Besitzer des privaten
Schlüssels (vgl. Abb. 3).
Nachteilig ist die Verwendung sehr
großer Schlüssel und der damit verbundene hohe Rechenaufwand. Große Informationsmengen lassen sich so
in Echtzeit kaum verarbeiten. Unter
den Bedingungen von IPsec können
symmetrische und asymmetrische
Verfahren zusammen in einer Kommunikationsverbindung genutzt wer-
10
Ausgabe 10/2002
22
den. Damit lassen sich die Vorteile
beider miteinander kombinieren.
Dazu jedoch weiter unten.
Authentication
IPsec legt mit dem Authentication
Header, AH, einen speziellen IPHeader fest, RFC 2402 (vgl. Abb. 4).
Dieser wurde speziell für die
Authentifizierung von IP-Datenströmen entwickelt. Der AH dient der
Authentifizierung des Absenders eines IP-Datenpaketes, der Überprüfung
der Integrität einer übertragenen Information in einer ”verbindungslosen” Übertragung und dem Schutz
gegen Reply-Attacken.
Das IP-Protokoll wird deshalb als
verbindungslos (connectionless) bezeichnet, weil der Sender zur Datenübertragung keine Verbindung zum
Empfänger herstellt. Das IP-Paket
wird einfach versendet, unabhängig
davon, ob der Empfänger empfangsbereit ist oder ein Datenpaket in eine
bestehende Kommunikation paßt. Mit
IPsec ist zumindest letzteres durch
den Empfänger überprüfbar.
Der AH enthält eine verschlüsselte
Checksumme, die sich aus dem
Dateninhalt ergibt. Diese Checksumme wird mit einem Hash-based
Message Authentication Code
(HMAC) Algorithmus gebildet. Der
HMAC-MD5, RFC 2403, generiert
einen 128-Bit-langen Authenticator
und HMAC-SHA1, RFC 2404, arbeitet mit einem 160-Bit-Ergebnis. Das
bedeutet, daß das Ergebnis der HashFunktion nach 128 bzw. 160 Bit abgeschnitten wird, damit nicht das gesamte „gehashte“ Paket zur
Authentifizierung übertragen werden
muß. Die Wahrscheinlichkeit, daß in
einer Datenkommunikation der gleiche Wert wieder auftritt, eine Eindeutigkeit des Ergebnisses also, ist relativ gering. Das dem nicht so ist, zeigt
MD5, welches mit sogenannten
Collision Attacks angreifbar ist und
daher durch SHA1 abgelöst werden
sollte.
Header
Der AH folgt im IP-Paket unmittelbar
dem IP-Header, bevor die Header der
darüberliegenden Protokolle folgen.
Er besteht aus fünf Feldern, dem Next
Header Field, Payload Length,
Security Parameter Index, Sequence
Number (!) und dem Authentication
Field, und bezieht das gesamte IPPaket in die Authentifizierung ein.
Ausnahmen sind jene Felder, die sich
während der Übertragung laut IP-Definition ändern müssen, z.B. das TTL
Feld. Die IP-Adressen sind Bestandteil der Authentifizierung. Das ist
auch sinnvoll, wenn der Absender sicher identifiziert werden soll. Das ist
der Vorteil von AH, daß wichtige Felder des IP-Header in den Schutz mit
einbezogen werden.
Dieser Vorteil ist jedoch zugleich der
Haken des Protokolls. Sehr oft wird
Network Address Translation im Netzwerk benutzt. Dann ist der AH für die
Kommunikation mehr als hinderlich,
da er diese unmöglich macht. Denn
der AH verwirft veränderte IP-Adressen. Daß es in der Praxis dennoch
Möglichkeiten gibt, AH über NAT
und Firewall-Rechner hinweg zu benutzen, läßt sich außerhalb von IPsec
lösen. Dazu sind ein geeignetes Design der Infrastruktur und ein paar
Produktkenntnisse erforderlich.
ESP-Protokoll
Das Encapsulation Security Payload,
ESP, ist gemäß der IPsec Architektur
das zweite Security Protokoll nach
RFC 2406. Es verschlüsselt den
Payload im IP-Paket (vgl. Abb.5). Vergleichbar mit dem AH wird der ESPHeader zwischen IP-Header und dem
nachfolgenden Protokoll-Header eingebracht.
Der ESP-Header enthält ebenfalls einen Security Parameter Index (SPI),
der darauf referenziert, zu welcher
Security-Verbindung das Paket gerade gehört. Auch gibt es eine Sequence
Number, welche Replay-Attacken
verhindert.
Abb. 3: Verwendung asymmetrischer Schlüssel im Public-Key-Verfahren
Abb. 4: AH-IP-Paket im Transport Mode
10
Ausgabe 10/2002
23
thema des monats
SonicWALL
Hardware Appliances
VPN Services für umfassende Internetsicherheit
Sicherheit ist heute keine zentrale Funktion, sondern eine dezentrale Anforderung, welche zentral gesteuert werden sollte. Mit den skalierbaren SonicWALL
Firewall- und VPN-Lösungen steht eine komplette Produktfamilie für kleine und
mittlere Unternehmen sowie für Home Offices zur Verfügung.
Sicherheits-Management
Die in der nun dritten Generation angebotenen SonicWALL Produkte sind mit
einem eigenen ASIC ausgestattet, der eine außerordentliche hohe VPN Performance von mehr als 20 Mbps bei 3DES-Verschlüsselung gewährleistet. Alle
Firewalls können über das zusätzlich verfügbare SonicWALL Global Management System (SGMS) zentral gesteuert und verwaltet werden. Diese Console
(SGMS) ist ebenfalls skalierbar. Global Management startet mit 5 Nodes und ist
ohne Limitierung erweiterbar. Das integrierte Reportingtool erlaubt eine individuelle und übersichtliche Auswertung der Logfiles.
IPSec-VPN mit SonicWALL
Alle Systeme der SonicWALL sind mit VPN erhältlich. Entweder ist diese Funktionalität bereits integriert oder aber die Produkte können optional damit ausgerüstet werden. Das SonicWALL VPN ist ISCA zertifiziert und basiert auf dem
Standard IPSec. Damit ist es interoperabel zu IPSec-basierenden VPN-Produkten anderer Hersteller. Die Hub-and-spoke Technologie dient zur Optimierung
einer dezentralen Netzwerkstruktur. Mit der optional erhältlichen Managementkonsole SGMS können alle SonicWALL Appliances und damit auch die VPN
Features zentral gemanagt werden. Hierdurch werden die Folgekosten weiter
minimiert.
Trusted Zones
Die neue TELE3 TZ ermöglicht spezifische VPN-Anwendungen mit getrennten
Netzen, sogenannten Trusted Zones. Deren WorkPort erlaubt via VPN-Tunnel
den sicheren Zugang ins Firmennetzwerk, ein eigener HomePort bietet optimalen Schutz für die Nutzung des Internets. Ein Zugriff von der einen auf die andere
Zone ist dabei völlig ausgeschlossen. Die ebenfalls neue TELE3 SP erlaubt
hohe Verfügbarkeiten der VPN-Verbindungen mit integriertem Modem und besitzt automatische Fail-over und Fail-back Funktionalitäten. Alle SonicWALL Produkte sind in der Standardausführung schon mit einer High-Availability-Funktion ausgestattet, so daß eine Parallelschaltung zweier Produkte ohne weitere
Lizenzkosten möglich ist.
Durchsatzstarkes 3DES über ASICs
Der in allen SonicWALL Appliances eingebaute ASIC-Baustein erlaubt einen
3 DES VPN Durchsatz von mindestens 20 Mbps bei den SOHO und TELE
Appliances, bis 285 Mbps sind es bei den PRO- und GX-Produkten. Das in allen
Produkten verfügbare Bandbreiten-Management basiert auf zu definierenden
Diensten und erlaubt die Festlegung eines garantierten Datendurchsatzes für
unternehmenskritische Anwendungen, etwa bei Warenwirtschaftssystemen
oder CRM-Modulen.
Zusätzlich zur Payload-Verschlüsselung kann noch eine Authentifizierung vorgenommen werden. Diese
umfaßt den verschlüsselten Teil und
den ESP-Header. Der IP Header ist
nicht eingeschlossen. Vorgeschlagene Hash-Verfahren sind HMAC-MD5
und HMAC-SHA1.
Grundsätzlich sichert ESP die Vertraulichkeit der Daten, das Geheimnis, die Authentifizierung der Herkunft der Daten, die ”verbindungslose” Richtigkeit der Daten und den
Schutz vor Replay-Angriffen. In begrenzter Weise verbirgt ESP auch den
Datenfluß, da höhere Protokolle,
Sitzungsendpunkte und Anwendungen nicht sichtbar sind. Nachteilig ist,
daß Attacken gegen die IP-Header
nicht geprüft werden, was für dasVertrauen in die Herkunft der IP-Pakete
wichtig ist.
Die Fragmentierung von IP-Datenpaketen ist zu vermeiden. Aufgrund der Angriffsmöglichkeiten
verwerfen Firewall-Systeme unter
Umständen die fragmentierten
Pakete entsprechend ihrer Regeln. Sollte dennoch fragmentiert
werden, erfolgt dies nach dem
ESP-Prozeß. Da die IP-Pakete
durch IPsec größer werden, ist es
nicht ausgeschlossen, daß es zu
Fragmentierungen kommt. Temporär gestörte Verbindungen, insbesondere bei großen Filetransfers, sind dann die Folge. Hier
sollte der Administrator die MTUSize optimieren.
AH und ESP
In Anbetracht der Tatsache, daß wir
mit dem Standard über verschiedene
Sicherheitsprotokolle verfügen, stellt
sich die Frage, wie diese verwendet
werden können. Über wichtige Vorund Nachteile wurde schon berichtet. Sowohl der AH also auch der ESP
können jeweils allein genutzt wer-
10
Ausgabe 10/2002
24
Tabelle 1
AH ohne ESP
AH mit ESP-Authentication ohne ESP-Encryption
AH ohne ESP-Authentication mit ESP-Encryption
ohne AH mit ESP
ohne AH mit ESP-Authentication ohne ESP-Encryption
ohne AH ohne ESP-Authentication mit ESP-Encryption
AH mit ESP
Tab. 1: Kombinationen beim kombinierten Einsatz von AH und ESP
den. Auch der kombinierte Einsatz ist
denkbar. Daraus ergeben sich diverse
Grundkombinationen (vgl. Tab. 1).
”interne” IP-Adresse. Vorteil dieser
IP-Adreßvergabe durch einen Tunnel
ist, daß die weitere Kommunikation
Abb. 5: ESP-IP-Paket im Transport Mode
Transport Mode
Zusätzlich erlaubt der IPsec-Standard
die Verwendung der Protokolle in
zwei verschiedenen Varianten, dem
Transportmodus und dem Tunnelmodus. In der erstgenannten Variante
werden die Original-IP-Header verwendet, sie ist für die direkte Verbindung von zwei IPsec-Hosts vorgesehen. Auf diese Weise kann ein
Windows2000-Client direkt via IPsec
mit einem Server kommunizieren.
Dabei geht es besonders um den
Schutz der höheren Protokolle. Die
bereits im Zusammenhang mit dem
AH und ESP gezeigten Abbildungen
4 und 5 stellen das Grundprinzip dar.
Abb. 6: AH-IP-Paket im Tunnel Mode
Tunnel Mode
Mit der Tunnel-Methode wird das
komplette IP-Paket in einem IPsecPaket verpackt. Die neuen IP-Adressen bezeichnen die Tunnelendpunkte
(vgl. Abb. 6 und 7). Der Tunnel wird
insbesondere von Gateways benutzt,
um eigene logische Netzwerkstrukturen über fremde Infrastrukturen zu
übertragen. Sollte ein Client eine
über IPsec gesicherte Verbindung benötigen, beispielsweise zur Einwahl
in das Firmennetz über Internet, so
wird dafür ein Tunnel-Peer auf dem
Client benötigt. Für die eigentliche
Kommunikation erhält der Client
durch den Tunnel seine dedizierte
Abb. 7: ESP-IP-Paket im Tunnel Mode
10
Ausgabe 10/2002
25
der Clients in das Firmennetzwerk
hinein über Paketfilter abgesichert
und kontrolliert werden kann. Auch
für ein Gateway kann statt des Tunnelmode der Transportmodus in Frage
kommen. Ein typisches Beispiel ist
der Aufbau von Managementverbindungen zum Gateway mit SN MP over
IPsec, welches sich dann in dieser
Funktion als Host verhält. Grundsätzlich gilt, daß ein IPsec-Knoten sowohl
den Transport- als auch den Tunnelmodus unterstützen muß.
Mit AH sichert IPsec im Tunnelmodus
das komplette ursprüngliche IP-Pa-
thema des monats
ket, welches nun ”verschnürt” zum
Payload des neuen IPsec-Datagramms
wird. Der neue IP-Header wird mitAH
ebenfalls in die Authentifizierung
einbezogen.
ESP verschlüsselt dagegen das gesamte Originalpaket und authentifiziert den damit gebildeten neuen
Payload. Das Ganze erhält einen neuen IP-Header, welcher nicht Gegenstand der Authentifizierung ist. Ergebnis ist das, was oft unter IPsec verstanden wird, ein komplett für unerwünschte ”Zuhörer” unzugängliches
Datenpaket. Es wird deutlich, daß
IPsec eben mehr als nur Tunnelmodus
und ESP ist.
AH und ESP lassen sich auch im
Tunnelmodus miteinander kombinieren. Für die Pakete der etablierten
IPsec-Kommunikation gilt immer nur
ein Modus für beide Security-Protokolle gemeinsam. Dieser Modus wird
am Anfang einer IPsec-Session ausgehandelt.
IPsec-Parameter
Jede Verbindung unter IPsec hat noch
einige zusätzlich Parameter. Bevor
Daten übertragen werden, verhandelt
IPsec sogenannte Security Associations, SA. Das sind die Vertrauensbeziehungen zwischen den IPsecPeers, den Endpunkten der IPsecKommunikation. Eine Association ist
immer unidirektional. Die Konsequenz ist, daß zwischen den Peers
immer wenigstens zwei Associations
existieren, für jede Übertragungsrichtung eine. Ein Partnerknoten wird
anhand der erreichbaren IP-Adresse
fixiert. Sollten die Hosts den Namen
der Partner verwenden, ist ein funktionierendes DNS erforderlich, oder
es muß eine lokale Namensauflösung
existieren.
Security Association
Eine SA ist nach RFC 2401 durch die
Kombination der drei Parameter SPI,
IP-Zieladresse und durch das genutz-
te Sicherheitsprotokoll eindeutig gekennzeichnet. Die Zieladresse muß
eine Unicast-Adresse, also eindeutig,
sein. Insofern beschreibt eine IPsecSA eine Punkt-zu-Punkt-Verbindung.
Sollten AH und ESP zugleich genutzt
werden, so vereinbart der RFC, daß
für jedes Sicherheitsprotokoll eine
IPsec SA existiert.
Die SAs können miteinander kombiniert werden. Zum einen in Form der
gleichzeitigen Nutzung des Transportmodus für jedes Security Protocol
für das gleiche IP-Paket. Diese Form
erlaubt nur eine bestimmte Kombination der SAs.
Zuerst werden die Paramenter der
ESP-SA und dann die der AH-SA genutzt, um das Paket zu übertragen.
Folgerichtig folgt der AH-Header dem
IP-Header im Datenpaket bevor der
ESP-Part beginnt (vgl. Abb. 8).
Die andere Form wird als iteratives
Tunneln bezeichnet. Dadurch sind
verschiedene Ebenen der Sicherung
möglich. Die einfachste Form ist der
Aufbau von SAs von derselben Quelle zum selben Ziel. Beispielsweise
werden für ein IP-Paket zuerst die
Parameter der ESP-SA und dann die
der AH-SA für den ”Tunnel im Tunnel” genutzt. Dabei sind Source und
Destination identisch. Die Reihenfolge dieser ”Tunnelei” ist nicht vorgeschrieben und auch nicht relevant.
Nur die Tunnelpartner sollten sich
darüber einigen. Der RFC 2401 beschreibt aber auch die Verschachtelung von Tunneln mit verschiedenen
Anfangs- und Endpunkten.
Lifetime
Ein wichtiger Parameter ist die
Lifetime einer SA. Diese kann nach
der zeitlichen Dauer der Existenz einer bestehenden SA oder mittels der
übertragenen Datenmenge festgelegt
werden. Bevor eine abgelaufene SA
beendet wird, handeln die Peers eine
neue SA mit einem neuen Schlüssel
aus. Die Ursache dieser Maßnahme
liegt in der begrenzten Sicherheit ei-
nes Schlüssels. Insofern kann DES
dadurch sicherer gemacht werden,
daß der Schlüssel öfter gewechselt
wird. Da ein Schlüsselwechsel und
Aufbau neuer SAs zusätzliche Rechenleistung erfordert, sollte hierbei
ein Optimum zwischen Prozessorlast
und Sicherheit gefunden werden. Der
Schlüsselwechsel kann manuell oder
automatisch erfolgen. Die manuelle
Vergabe von Schlüsseln ist keine sonderlich gute Sicherheitslösung, vom
Streß des Changemanagements ganz
zu schweigen.
Security Databases
Eine ganze Reihe von Informationen
wird in Security Databases abgelegt.
Es gibt die Security Policy Database
und die Security Association Database. Der RFC beschreibt diese Datenbanken, um die Interoperabilität
der verschiedenen IPsec-Implementationen zu gewährleisten. Die Security
Policy Database enthält alle Regeln
für den ein- und ausgehenden IP-Verkehr. Die andere Datenbank beinhaltet die Parameter der bestehenden
aktiven IPsec-SAs.
SPD und SAD
Für jedes Interface, für das IPsec aktiviert wird, existieren diese zwei Datenbanken. Letztlich ist eine SA eine
Einrichtung, um entsprechende Regeln für den Datentransfer bereitzustellen. Die Daten dafür werden in der
Security Policy Database (SPD) vorgehalten. Der Datentransfer, ob eingehend oder ausgehend, wird mit der
SPD gegengeprüft.
Dazu sind entsprechende Einträge für
beide Transferrichtungen vorhanden.
Im Ergebnis der Datenprüfung ermittelt der Host, welcher Teil des Datentransfers von IPsec weiter bearbeitet
wird, welcher für IPsec uninteressant
ist oder sogar für die Kommunikation verworfen wird. Das Regelwerk
kann sehr grob - mittels Wildcards erstellt werden, aber auch - mittels
10
Ausgabe 10/2002
26
sogenannter Selektoren - sehr fein bis
auf die Ebene von Ports.
Der Standard schreibt an dieser Stelle vor, daß eine administrative
Schnittstelle vorhanden sein muß, die
dem Anwender bzw. dem Administrator erlaubt, diese Parameter und deren Reihenfolge festzulegen.
Die zweite Datenbank ist die Security
Association Database. Die SAD verwaltet die aktiven SAs, die je einen
Eintrag in der Datenbank haben. Sollte für einen ausgehenden Datentransfer, für den es in der SPD einen
Eintrag gibt, keine SA existieren, so
wird eine SA ausgehandelt und ein
Eintrag in der SAD erzeugt. Für eingehenden Datenverkehr muß ein solcher Eintrag in der SA bereits vorhanden sein, ansonsten wird das Datenpaket verworfen. Die Einträge sind
nach IP-Adresse, Security Protokoll,
AH oder ESP, und SPI indiziert.
Schlüsselaustausch
Der Schlüsselaustausch, ob manuell
oder automatisch, ist der Architektur
gemäß ein zwingend notwendiger
Bestandteil von IPsec. Es bietet sich
IKE, ISAKMP und Oakley an. Für
standardkonforme Implementationen
von IPsec müssen diese die manuelle
Schlüsselvergabe, manual keying,
unterstützen. Anfänglich war das auch
der einzige Weg, herstellerübergreifende Interoperabilität zu erreichen. Auch jetzt ist das noch eine sehr
sinnvolle Möglichkeit, um auf niedrigem Niveau eine IPsec-Verbindung
in Betrieb zu nehmen.
Für erweiterbare Infrastrukturen oder
Netzwerke mit mehreren Standorten,
alle mit hohen Anforderungen an die
Sicherheit, ist eine automatische
Schlüsselverteilung
bzw.
aushandlung unbedingt erforderlich.
Ein täglicher Schlüsselwechsel nur
zwischen zwei IPsec-Knoten ist administrativ kaum zu verwirklichen.
Für den automatischen Schlüsselaustausch wurde das Internet Key Ex-
change Protocol, IKE nach RFC
2409, definiert. Dieses Protokoll
kombiniert das Internet Security
Association and Key Management
Protocol, ISAKMP nach RFC 2407/
2408, und das Oakley Protocol, nach
RFC 2409.
IKE, ISAKMP, Oakley
Das ISAKMP bildet den Rahmen für
das Management der SAs und der
Aushandlung der Schlüssel. ISAKMP
basiert auf IP und handelt die SAs für
sichere IP-Verbindungen aus.
ISAKMP selbst handelt eigene SAs
aus, um über diese die Parameter für
die IPsec-SAs zu vereinbaren. Ein
Host, der automatische Schlüsselaushandlung nutzt, hat demzufolge zwei
verschiedene SAs gleichzeitig,
ISAKMP- und IPsec-SAs.
Das Oakley Protocol beschreibt die
verschiedenen Methoden des
Schlüsselaustausches. Es definiert
also einen Teilaspekt von ISAKMP
näher.
Allgemein wird IKE als Synonym für
das ISAKMP/Oakley-Protocol verstanden. IKE stellt folgende Funktionen sicher:
- Möglichkeiten für die IPsec-Peers,
sich auf ein Protokoll, einen Algorithmus und den Schlüssel zu einigen
- Verwaltung der Schlüssel nach vereinbarten Parametern
- Sicherstellung des Schlüsselaustausches
- Gewährleistung der Authentifizierung der Hosts untereinander, bevor
ein Schlüsselaustausch stattfindet
und eine IPsec-SA etabliert wird.
ISAKMP funktioniert in zwei Phasen.
In der ersten etablieren die Peers einen sicheren Kanal für die Übertragung der eigentlichen ISAKMP-Parameter, in der zweiten wird die
ISAKMP-SA aufgebaut.
Oakley Modes
Das Oakley Protocol stellt für die
ISAKMP Phase 1 zwei verschiedene
Methoden bereit: Main und Aggressive Mode. Für die Phase 2 gibt es
nur eine Methode, den Quick Mode.
Die gesamte ISAKMP-Kommunikation erfolgt über UDP Port 500.
Die Kenntnis über die Methoden ist
insofern relevant, als daß man bei der
Parametrisierung von IPsec/ISAKMP
eine der Methoden für Phase 1 festlegen muß. Auch ist es nützlich, die Vorund Nachteile der Methoden für die
eigenen Anforderungen zu kennen.
Es existiert noch eine vierte Methode, der New Group Mode. Die Verwendung ist relativ einfach und wird
für die Aushandlung des korrekten
Diffie-Hellman-(DH) Algorithmus
verwendet. DH Group 1 nutzt einen
768 Bit Key, DH Group 2 nutzt 1024
Bits und DH Group 7 nutzt die
ellyptische Kurve. Letzteres ist besonders für die Implementierung von
IPsec auf PDAs geeignet, da dieses
Verfahren wesentlich weniger Prozessor-Ressourcen benötigt.
Main Mode
Im Mainmode wird zunächst eine
temporäre ISAKMP-SA aufgebaut.
Mit dem danach ablaufenden Quick
Abb. 8: IPsec im Tunnelmode, Beispiel AH-ESP-Kombination
10
Ausgabe 10/2002
27
thema des monats
Kleines Glossar
Schlüssel für die Sicherheit
3DES
Triple DES geht auf DES (s.u.) zurück. Ein
Datenblock wird dreimal durch den Algorithmus mit zwei verschiedenen Schlüsseln
verarbeitet. Aufgrund der Verschlüsselungstiefe gilt 3DES als sicherer und ist DES
vorzuziehen.
AES
Der Advanced Encryption Standard gilt als
DES/3DES Nachfolger ist wie diese NISTstandardisiert. Der mathematische Algorithmus ist schneller und offensichtlich leistungsfähiger. Grundlage ist die Rijndael
Spezifikation.
Blowfish
Das ist ein Verfahren, welches 64-Bit-blockweise verschlüsselt (Block Chipher). Der
Schlüssel kann dabei eine variable Länge
haben. Blowfish eignet sich besonders für
Systeme mit größerer Rechenleistung, die
somit den Schlüssel nicht so oft wechseln
müssen.
DES
Der Data Encryption Standard ist ein 64-Bit
Block Chiper und verwendet einen 56-BitKey. Er ist technisch relativ einfach und
schnell. Damit lassen sich große Datenströme zeitnah verarbeiten.
Diffie-Hellman
Zwei Partner sind damit in der Lage, den
gleichen Schlüssel untereinander auszuhandeln, ohne daß der Schlüssel über die
Leitung geht. Dabei übertragen beide Seiten
über die öffentlich zugängliche Infrastruktur Daten, die dann lokal jeweils mit dem privaten Schlüssel berechnet werden. Im Ergebnis generiert jeder Partner damit den gleichen Schlüssel für eine symmetrische Verschlüsselung.
DSS
Der Digital Signature Standard ist ebenfalls
von NIST festgelegt und dient der
Authentifizierung. Dazu wird der Digital
Signature Algorithm, ein Hash-Verfahren,
verwendet.
Hash
Die Hash-Function ist mathematisch eine Einweg-Funktion. Es gibt mit außerordentlich
großer Wahrscheinlichkeit bisher keine
Rückfunktion dafür. Aus den Eingangsgrößen wird ein Ergebnis ermittelt.
IDEA
Der International Data Encryption Algorithm
ist ein blockorientierter Verschlüsselungsalgorithmus, der einen 128-Bit Schlüssel für
64-Bit-Blocks verwendet. In jedem der acht
Durchläufe wird jeder Eingabeblock in vier
16-Bit Blöcke zerlegt, dann werden jeweils
16-Bit-Ausgabeblöcken erzeugt, die wieder
zu einem 64-Bit Block zusammengesetzt
werden. Dabei in jeder Runde immer sechs
der 16-Bit-langen Teilschlüssel verwendet.
RC2
Von Ron Rivest (RSA Data Security Inc.)
entwickelt, ist RC2 ein blockorientiertes Verfahren mit variablen Schlüssellängen. Der
Algorithmus ist sehr schnell. Aufgrund der
Möglichkeit, längere Schlüssel zu der verwenden, wird RC2 als sicherer als DES beurteilt.
RC4
Wie RC2, jedoch ein streamorientiertes Verfahren.
RSA
Bezeichnet nach seinen Erfindern, Rivest,
Shamir und Adleman, dient RSA sowohl zur
Authentifizierung als auch zur Verschlüsselung. Es ist vorrangig ein Public-Key-Verfahren, kombiniert allerdings auch Secret
Key für die Verschlüsselung und HashFunktion für die Signatur.
Twofish
Diese Weiterentwicklung von Blowfish ist
ein 64-Bit-Block Cypher, das Schlüssel mit
bis zu 256 Bit verwendet. Der Schlüssel
wird in vierzig 32-Bit-Bitkombinationen
(Subkeys) aufgeteilt, denen unterschiedliche Funktionen imAblauf zukommen. Insgesamt durchläuft der Block sechzehn Runden.
Mode wird die eigentliche ISAKMPSA ausgehandelt. Diese hat wie IPsec
ebenfalls eine bestimmte Lifetime.
Insofern wiederholt sich der Quick
Mode immer dann, wenn eine neue
SA benötigt wird, weil die alte aufgelöst wird.
Im ersten Schritt im Main Mode tauschen beide Partner der Kommunikation die Parameter für den Hash und
die Verschlüsselung für die ISAKMPSA aus. Nachfolgend verschicken die
Partner ihre Public Keys und eine
nach bestimmten Regeln generierte
Zufallszahl (Nonce) für den DiffieHellman-Prozeß. Alles weitere erfolgt
verschlüsselt. Im dritten Schritt tauschen die beiden Peers ihre Identitäten aus. Dazu wird ein sogenannter
Preshared Key oder ein von einer zentralen Certificate Authority beglaubigtes Zertifikat benutzt. Die Daten
werden anhand der übertragenen
Hashes auf ihre Korrektheit überprüft.
Daneben wird ein erster Key für den
Quick Mode generiert, um die eigentliche ISAKMP-SA aufzubauen. Die
geschützte Übertragung der Identitäten der Partner ist ein wesentliches
Merkmal des Main Mode.
Aggressive Mode
Wenn der Schutz der Identität nicht
erforderlich ist, kann der schnellere
Aggressive Mode genutzt werden.
Die initiierende Seite generiert ein
Diffie-Hellman-Zahlenpaar und übertragt den öffentlichen Teil (Key
exchange Value) zusammen mit der
eigenen ID und dem Nonce zum Partner. Dieser macht das gleiche und ergänzt sein Antwortpaket mit seinem
Signaturdatum. Der Initiator prüft die
Signatur und antwortet mit der eigenen Signatur. Danach ist eine
ISAKMP etabliert und es beginnt der
Quick Mode. Der gesamte Prozeß ist
somit schneller. Allerdings besteht
die Gefahr des Mithörens bei der Etablierung einer ISAKMP-Verbindung.
Die eigentliche ISAKMP-SA ist davon nicht betroffen.
10
Ausgabe 10/2002
28
TECHNOLOGIE UPDATE
Quick Mode
Der auf den Main Mode bzw. Aggressive Mode nachfolgende Quick
Mode erfüllt zwei Funktionen. Zum
einen die Aushandlung einer IPsecSA, zum anderen die regelmäßige
Generierung neuer symmetrischer
Schlüssel. Der oben angesprochene
Schlüsselaustausch findet im im wörtlichen Sinne nicht statt. Entweder
wird auf jeder Seite ein neuer Schlüssel aus dem vorhergehenden ermittelt, oder es wird über den DiffieHellman-Prozeß ein frischer Schlüssel errechnet. Letzteres ist als Perfect
Forward Secrecy (PFS) beschrieben.
Generell gilt, daß ein Schlüssel nicht
übertragen wird. Es findet sehr wohl
ein Schlüsseltausch, jedoch kein austausch statt. Der Quick Mode
überträgt die Daten ausschließlich
verschlüsselt über die ISAKMP-SA.
Für einige praktische Lösungsvarianten sind wir der Frage nach der
Interoperabilität nachgegangen, um
zu sehen, wie zwischen Komponenten verschiedener Hersteller IPsecVerbindungen aufgebaut werden. Im
Compu-Shack Labor wurde die Zusammenarbeit zwischen Geräten von
BinTec, Cisco und SonicWALL getestet. In der nächsten Ausgabe wollen
wir IP-VPN daher praktisch umsetzen und Ihnen von unseren Ergebnissen berichten.
.NET Server
Teil 2: DNS und Active Directory
Von Jeannette Saebisch
Nachdem wir Ihnen die neuen Features und Verbesserungen der .NET-ServerFamily vorgestellt haben, wollen wird darangehen, uns mit den Neuerungen
im Bereich DNS und vor allem mit dem Active Directory zu beschäftigen.
D
DNS ist nicht zuletzt wegen des direkten Zusammenhangs mit dem
Active Directory in einem MicrosoftNetzwerk einer der wichtigsten Dienste. Unter Windows 2000 war DNS
schon ein überaus stabiler und guter
Dienst, der unter .NET nur wenige Verbesserungen benötigt. Die ”Basic
Compliance mit DNS Security
Extensions”, nach RFC 2535 ist eine
solche.
DNS verbessert
.NET DNS kann KEY, SIG und NXT
Records speichern und diese in Abfragen entsprechend der RFC 2535
integrieren. Er kann zwar nicht die
spezifizierten kryptografischen Operationen durchführen, wie KEY/SIG
Record-Erstellung, Nachrichtensignierung oder Signatur Verifikation,
doch kann er diese speichern und
nutzen. Ein Administrator kann einen
.NET DNS-Server als sekundären Server für die signierte Zone nutzen, deren primäre Kopie auf einem Server
liegt, der die DNS Security Extensions
vollständig unterstützt.
Fehlerlösungshilfen
Ein weiteres Feature, das der Administrator bei einem gesunden, ordentlich konfiguriertem DNS vielleicht
gar nicht sofort bemerkt, sind die
10
Ausgabe 10/2002
29
Domain Join Procedure Enhancements zum Feststellen inkorrekt konfigurierter DNS-Dienste (vgl Abb. 1).
Ist DNS nicht korrekt konfiguriert
und kann ein Computer der Domäne
nicht beitreten, da er keinen Domänen-Controller findet oder dieser
nicht erreichbar ist, wird ein
Debugging der DNS-Infrastruktur
angestoßen und die entsprechenden
Ergebnisse, einschließlich der Fehlerlösungshilfen, in einem Report präsentiert.
Abb. 1: Debug-Infos in DNS
DNS-Traffic minimiert
Im DNS gibt es jetzt sogenannte
Stubzones
und
Conditional
Forwarding, die beide helfen, das
thema des monats
geleitet als Abfragen nach .de-Namen,
und alle übrigen Abfragen wiederum
an dritte Server.
Mit der Unterstützung des EDNS0Protokolls, definiert in RFC 2671,
kann der DNS-Server jetzt UDP DNS
Messages größer als 512 Oktette akzeptieren und übersetzen. Dies ist
beispielsweise bei SRV-Abfragen
nach lokalen DCs nützlich, da diese
unter Windows 2000 oft in mehreren
UDP Round Trips zum Erstellen von
TCP-Sessions abgehandelt wurden.
Abb. 2: Conditional Forwarding
Routen von DNS-Traffic im Netzwerk
zu minimieren. Stubzones bieten dem
DNS-Server Namen undAdressen von
DNS-Servern an, die autoritativ für
die vollständige Kopie der Zone sind,
die sie selbst nur unvollständig besitzen, ohne dabei auf den Root-Server zurückgreifen zu müssen. Damit
können auch entsprechende Zonen
auf DNS-Servern klein gehalten werden.Anders als unter W2K ermöglicht
das Conditional Forwarding (vgl
Abb. 2) ein Weiterleiten von Anfragen nicht allein an nur ein Set von
DNS-Servern, sondern je nach Abfrage gleich an unterschiedliche Server.
Beispielsweise werden Abfragen nach
.com-Namen an andere Server weiter-
Active Directory
Bei der Betrachtung des Active
Directory lernen wir gleich zwei weitere neue Features kennen, nämlich
die Speicherung von Active Directory Integrated Zones in den neuen
Application Partitions (vgl Abb. 3)
und die Verwaltung von DNS Clients
über Gruppenrichtlinien.
Application Partition
Beginnen wir mit den Replikationserweiterungen. Denn die erste wesentliche Neuerung im Active
Directory ist eben die Application
Partition. Wir kennen aus Windows
2000 Active Directory drei Partitionen, die ein DC vorhält, die SchemaPartition, die Konfigurations-Partition und die Domänen-Partition.
Abb. 3: Anlegen der Partitionen unter DNS
Unter .NET können wir nun zusätzliche Applikations-Partitionen erstellen, auf
denen wir dynamische Daten ablegen können.
Da wir genau bestimmen können, welche DC
im gesamten
Forest (!) Replikas dieser Partition enthalten, haben wir somit die
Möglichkeit, den Replikationsverkehr zu kontrollieren und einzugrenzen. Einzige Einschränkung ist, daß
wir alle Arten von Objekten auf dieser Partition ablegen können außer
Security Principals, d.h. Benutzer,
Gruppen und Computer. Sinn macht
es aber bei dynamischen Daten von
Netzwerkdiensten wie RAS, RADIUS
oder DHCP. Wie oben erwähnt, können wir auch Active Directory integrierte DNS-Zonen auf einer solchen
Partition ablegen und somit Forestweit unsere DNS-Zonen replizieren.
Außerdem haben wir dadurch weniger Objekte, die im Global Catalog
abgelegt sind.
Installation vereinfacht
Erstellen können Sie ApplikationsPartitionen während der DNS Installation, zu der übrigens nicht mehr das
i386 benötigt, oder aber zu jeder beliebigen Zeit mit dem ntdsutil,
welches wir schon aus W2K kennen.
Ebenso wie die Installation von AD,
ist auch die von DNS differenzierter
geworden, aber auch fehlerfreier und
vereinfacht implementiert. Wir erinnern uns an das Anmelden im einheitlichen Domänenmodus unter W2K,
wo ein Global Catalog Server erreichbar sein mußte, um UniversalGruppenmitgliedschaften und User
Principal Names zu verifizieren. Dadurch war unter Umständen die Konfiguration von GCs auch in Remote
Sites oder Zweigstellen nötig. Das
fällt unter .NET nun weg, da ein Domänen Controller in einer Site, der
nicht die GC-Funktion beinhaltet, so
konfiguriert werden kann, daß er Universal-Gruppenmitgliedschaftsabfragen cachen kann, wenn er
Benutzeranmeldungen verarbeitet. Er
fragt periodisch konfiguriert seinen
GC nach Aktualisierungen ab und
arbeitet so lange mit seinen gecachten
Informationen. Konfigurierbar ist das
ganze unter Sites und Services mit der
Einstellung Global Catalogless logon.
10
Ausgabe 10/2002
30
Replikationen
Eine tolle Verbesserung gibt es bei
der Gruppenmitgliedschafts-Replikation. Unter W2K wurde eine Gruppe als Einheit repliziert und verursachte bei entsprechender Größe und
Häufigkeit der Änderungen viel
Replikationsverkehr. Des weiteren
konnten bei gleichzeitiger Änderung
der Mitgliedschaft einer Gruppe auf
mehreren DC Aktualisierungen der
Mitgliedschaften verlorengehen.
Diese Probleme gibt es im Forest Native Mode (s.u.) unter .NET nicht
mehr, da hier die Änderungen selbst
repliziert werden und nicht mehr die
gesamte Gruppe.
Beim Erstellen zusätzlicher DCs in
einer Domäne muß die gesamte ADDatenbank repliziert werden. Hierbei
ist es jetzt möglich, die erste Replikation anhand von Backup-Dateien,
die auf Tape, CD oder DVD gespeichert sind, zu starten. Dafür nutzen
wir dcpromo/adv, den Advanced
Installationsmodus. Für die Replikation zwischen Sites kann unter
.NET die Komprimierung des
Replikationsverkehrs ausgeschaltet
werden.
Der Intersite Topology Generator
(ISTG) arbeitete bei großen Strukturen unter W2K unzuverlässig. Verbesserte Algorithmen sorgen inzwischen
dafür, daß auch der ISTG besser arbeitet, allerdings erst im Active
Directory Forest Functionality Level.
Application Support
Im Bereich Application Support sind
zwei Neuerungen hervorzuheben. Im
Schema können Attribute und Klassen deaktiviert werden. Man kann
jetzt eine neue Klasse mit dem Namen einer deaktivierten Klasse anlegen. Neu angelegte Objekte im Schema können, im Gegensatz zu vordefinierten, auch wieder ganz aus dem
Schema gelöscht werden. Gut ist die
Funktion des Deaktivierens auch für
fehlerhafte Klassen, die erst nach der
Aufnahme ins Schema entdeckt werden. Nach Deaktivierung können die
Einstellungen dann korrigiert werden
und das Objekt neu aktiviert werden.
Der zweite Punkt ist die simple Tatsache, daß im AD nun alle Objekte
Mitglieder von Gruppen sein können.
Restrukturieren
Kommen wir zum großen Thema Planen und Restrukturieren von Active
Directory. Die bekannteste Entwicklung ist wohl das Umbenennen von
DC. Dies ist theoretisch gesehen ein
einfacher Vorgang, der lediglich voraussetzt, daß die Domäne, wo der DC
hingehört, im .NET FunktionalitätsLevel arbeitet und abschließend einen Neustart des DC erforderlich ist.
DNS-Einträge und Active Directory
werden automatisch aktualisiert, so
denn DNS im Vorfeld ordentlich konfiguriert ist. Praktisch gesehen sind
solche Umbenennungen natürlich mit
Vorsicht zu genießen und nur, wenn
zwingend erforderlich, zu tätigen.
Auch die Domäne selbst kann umbenannt werden, was ein ganz großes
Thema unter .NET ist und ähnlich zu
betrachten ist. Hierbei wird weder die
SID noch die GUID der Domäne geändert, sondern nur der und NetBIOSName. Einschränkungen gibt es dabei auch. So kann man zwar eine
Forest-Root-Domäne umbenennen,
jedoch nicht eine andere über diese
stellen. Jeder DC muß nach der Umbenennung neu gebootet werden und
jeder Mitgliedscomputer gleich zweimal, was unter Microsoft jedoch
nichts Ungewöhnliches ist, wenngleich wir gerne darauf verzichten
würden. Die Domänen-Umbenennung sollte aber aufgrund der Komplexitität und der Folgen für den gesamten Forest nur nach sorgfältiger
Abwägung der Risiken genutzt werden.
Cross Forest
Eine sehr gute Neuerung sind die
Forest Trusts. Alle Domänen eines
10
Ausgabe 10/2002
31
Forests können dadurch transitiv allen Domänen in einem weiteren
Forest vertrauen, und zwar über einen einzigen Link. Diese Transitivität
wird logischerweise aber nicht weitergegeben, wenn ein Forest beispielsweise zwei Forest Trusts zu
verschiedenen Forests vorweist.
Es kann überdies bestimmt werden,
ob der Trust One-Way oder Two-Way
sein soll. Dazu gibt es auch einen
neuen Assistenten und Tools, die es
erleichtern; die Vertrauensstellungen
inklusive der vertrauten Namensbereiche zu verwalten und zu
konfigurieren.
Bei der dazugehörigen ”Cross-Forest
Authentifizierung” kann sich ein
Benutzer aus dem einen Forest sicher
an einem Computer im anderen Forest
anmelden, um auf dortige Ressourcen zuzugreifen. Das ganze funktioniert über Kerberos oder NTLM; Single-sign-on bleibt weiter gewährleistet. Integriert sind dabei Namensauflösungsfunktionen, die mit Routing
Hints und mit dem KDC arbeiten. Und
UPN-Credentials werden ebenfalls
vollständig unterstützt.
Die auch damit einhergehende
”Cross-Forest-Autorisierung” ermöglicht dem Administrator Benutzer aus
anderen Forests problemlos in eigene ACLs oder lokale Gruppen einzubinden. Hierbei sind auch SID-NameÜbersetzungen und SID-Filtering mit
eingeschlossen.
Integration
Beschäftigen wir uns nun mit der
Verzeichnisdienst Migration und Integration. Die schon erwähnten
Forest- und Domänen-Funktionalitäts-Level kennen wir schon in vereinfachter Form als gemischten und
einheitlichen Modus unter Windows
2000. Sie beschreiben, welche Funktionen im Forest oder in der Domäne
verfügbar sind. Wenn alle DC im
Forest .NET Server sind und das
Functionality Level .NET ist, sind
alle Features erst verfügbar. Gibt es
thema des monats
Tabelle 1
Domain Feature
Domain Controller Rename
Update Logon Timestamp
Kerberos KDC Key
Versionsnummern
Benutzer-Paßwörter auf
InetOrgPerson Objekt
Universal Groups
Group Nesting
Converting Groups zwischen
Distribution und Security
SID History
Win 2000 mixed
deaktiviert
deaktiviert
deaktiviert
Win 2000 native
deaktiviert
deaktiviert
deaktiviert
Windows .NET
aktiviert
aktiviert
aktiviert
deaktiviert
deaktiviert
aktiviert
deaktiviert von Security Groups,
erlaubt von Verteilergruppen.
nur für Distribution Groups
vollständig möglich.
deaktiviert
aktiviert
aktiviert
aktiviert
aktiviert
aktiviert
aktiviert
aktiviert
aktiviert
Security Groups erlaubt Universal
Groups für Verteilergruppen
Tabelle 1: Features der Domain Functionality Level
noch Windows 2000 DC oder gar
NT4, sind die Features eingeschränkt. Wir unterscheiden zwischen Domänen- und Forest-Funktionalität (vgl Abb. 4).
Domänenfunktionalitäten gibt es
deren drei und diese betreffen ausschließlich die Domäne an sich. Als
Default gibt es den Windows 2000
mixed Modus, darin können sich DC
unter .NET, W2K und NT4 befinden.
Der Windows. 2000 native Modus
kann .NET und W2K DC beinhalten
Abb. 4:
Forest-Funktionalität
und im .NET Modus haben wir nur
noch .NET DC (siehe Tabelle 3). ie
Forestfunktionalität betrifft den gesamten Forest und hat zwei Level: per
Default den Windows 2000 ModusDC zu NT4, 2000 und .NET sowie
den .NET Modus- DC nur zu .NET
(siehe Tabelle 4).
Migration
Für ein Forest und Domain Upgrade
gibt es ein Tool, was uns an die Installation von
Exchange erinnert: adprep.
Es wird vor dem
Upgrade des ersten DC einer
Windows 2000
Domäne benötigt, bei der Aktualisierung einer Domäne von
NT4 oder d c
promo auf einem .NET Server ist es nicht
notwendig. Wir
brauchen dieses
Tool, um vor einem Upgrade
das System auf
die neuen Fähigkeiten vorzubereiten. F o r e s t p r e p wird mit
adprep/forestprep auf dem
Schema Master ausgeführt,
D o m a i n p r e p mit a d p r e p /
domainprep auf dem Infrastructure
Master jeder Domäne. Im Vorfeld ist
es aber zwingend w i n n t 3 2 /
checkupgradeonly auszuführen.
Das Active Directory Migration Tool
(ADMT) ist um mehrere Funktionen
erweitert worden, um Password Migration, um ein neues Scripting Interface einschließlich Befehlszeilenunterstützung und um Verbesserungen im Umfeld der Security
Translation.
Gruppenrichtlinien
Viele Neuerungen finden wir auch
bei den Gruppenrichtlinien. Ein
Group Policy Management Tool
(GPMT) wird zur Zeit von Microsoft
vorbereitet und wird eine Oberfläche
zum einfachen Konfigurieren, Testen
und Erstellen von GPOs anbieten.
Dieses Tool soll nach dem Veröffentlichen des .NET Servers zur Verfügung stehen und auch auf Windows
2000 ausführbar sein.
Jetzt schon gibt es aber den Resultant
Set of Policies Assistenten (RSoP).
10
Ausgabe 10/2002
32
Dieses Tool erlaubt dem Admin, sich
die Auswirkungen von Gruppenrichtlinien-Einstellungen auf einen
Benutzer oder einen Computer aktuell oder in einer ”Was-wäre-wenn”Konstellation anzuschauen. Dafür
gibt es den Logging und Planning
Modus.
Doch auch WMI-Filtering ist nutzbar,
um zu testen, welche Auswirkungen
Gruppenrichtlinien haben können,
dess es ermöglicht die Abfrage von
Bedingungen, bevor Gruppenrichtlinien ausgeführt werden. So im
Bereich der Software-Verteilung, wo
zuvor überprüft wird, ob auch genügend Ressourcen vorhanden sind.
Bei den Administrativen Templates
gibt es außer der Online-Hilfe-Unterstützung die Möglichkeit, sich anzusehen, für welche Clients eine Einstellung greift. Eine Web-Ansicht
gibt es zudem auch.
Da wir Trusts zwischen verschiedenen Forests haben können, ist auch
die Unterstützung der Gruppenrichtlinien dafür ausgelegt. Leider
fehlt noch das grafische Tool unter
Beta 3Beim interaktiven Anmelden
eines Benutzers aus dem einen Forest
auf einem Computer in einem anderen Forest kann beispielsweise auch
Loopback Processing genutzt werden. Logon Scripts, die sich auf einer
Freigabe in einem vertrauten Forest
befinden, werden genauso abgearbeitet. Auch kann ein Softw areVerteilungspunkt genutzt werden, der
sich in einem anderen Forest befindet. Das Gleiche gilt für Roaming
User-Profiles und Redirected Folders.
Als Befehlszeilenoption kennen wir
schon g p r e s u l t . Neu ist
g p u p d a t e , das s e c e d i t /
refreshpolicy ersetzt.
Es gibt nicht weniger als über 220
neue Gruppenrichtlinien-Einstellungen. Diese reichen von Software
Restriction Policies, neuen Einstellungen in Network and Dial-up
Connections, dem Deaktivieren des
Credential Managers über Terminal
Server und Authorization Manager
Einstellungen bis hin zu neuen Computer Policies bei den Roaming User
Profiles. Doch Achtung, wenn Sie
eine englische Beta3 Version nutzen,
denn hierin sind die Software
Restriction Policies noch fehlerhaft!
Eine Neuerung ist das Verwalten von
DNS Clients, deren Einstellungen
jetzt an .NET-Clients über Gruppenrichtlinien verteilt werden können.
Die adm.-Dateien von .NET lassen sich importieren und auf einem W2K-Server einspielen!
Administration
Auch bei der Administration ist einiges verbessert worden. Im Rahmen
der Access Control Lists zum Beispiel
Tabelle 2
Forest Feature
Global Catalog Replication Tuning
Forest trust
Linked value replication
Domain rename
Replikations-Algorithmen
Dynamische Auxiliary Klassen
InetOrgPerson objectClass change
Defunct Schema Objekte
Windows 2000
deaktiviert
deaktiviert
deaktiviert
deaktiviert
deaktiviert
deaktiviert
deaktiviert
deaktiviert
Windows .NET
aktiviert
aktiviert
aktiviert
aktiviert
aktiviert
aktiviert
aktiviert
aktiviert
Tabelle 2: Features der Forest Functionality Level
10
Ausgabe 10/2002
33
können Berechtigungen jetzt auf einen Default-Wert zurückgesetzt werden oder die effektiven Berechtigungen für ein ausgewähltes Security
Principal angezeigt werden. Sie können sich anschauen, wer der übergeordnete Container im Falle von Vererbung ist, und eine Checkbox zum
Hinweisen auf zusätzliche Berechtigungen gibt es auch.
Object Picker UI-Verbesserungen erlauben das gleichzeitige Auswählen
mehrerer Benutzer, Gruppen, Computer oder Kontakte im AD. Sie werden
von vielen UIs genutzt. Dazu gehören auch die Saved Queries, mit deren Hilfe der Administrator Abfragen
sichern, wiederöffnen, aktualisieren
und per E-Mail versenden kann. Sinnvoll, um zum Beispiel die Ergebnisse einer Attributsabfrage zum Dokumentieren oder Analysieren zu exportieren.
Auch ist die Herabstufung eines DC
verbessert worden, so daß der DC
auch dann herabgestuft werden kann,
wenn er die letzte Replica einer
Application Partition vorhält
Das Lingering Object Removal ist ein
Mechanismus, der über repadmin
zu erreichen ist. Stellen wir uns vor,
ein DC geht offline. Zum Zeitpunkt
der Wiederaufnahme des Betriebs ist
die Tombstone Lifetime von markierten Objekten schon abgelaufen. Dadurch bleiben diese Einträge auf dem
DC, da sie beim Replizieren nicht
mehr beachtet werden. Der Mechanismus entfernt dann solche Objekte.
Auch dem Tool Active Directory
Domains and Trusts entdecken wir
Neues, so wird ein Trust für beide
Seiten an einer Stelle integriert, wenn
die Credentials sauber eingegeben
werden.
Protokolle
Die Protokollunterstützung von
Active Directory bietet Erweiterungen bei LDAP. Dynamische Einträge
basierend auf RFC 2589 werden unterstützt, LDAP-Verbindungen laut
thema des monats
RFC 2830 durch TLS geschützt. DIGEST-MD5 SASL Authentifizierungsmechanismen, spezifiziert in
RFC 2829, wurden integriert. Eine
Unterstützung für Dynamic Auxiliary
Classes wird geboten und auch
konkurrente LDAP-Bindungen sind
möglich, um nur einige Erweiterungen zu nennen.
Tools und Monitoring
Abschließend bleibt uns noch der
Blick auf die Active Directory Tools
und Monitoring. WMI Classes können erfolgreiche Replikation auf DC
selber und durch Überprüfen der
Trusts kontrollieren. Den Ordner
Support\Tools gibt es auch weiterhin, mit den altbekannten Werkzeuge M o v e T r e e , S I D w a l k ,
DSACLS, RepAdmin, ReplMon und
wie sie alle heißen.
ge auf Sie (vgl Abb. 5). Schon beim
simplen Herunterfahren des DC müssen Sie einen Grund angegeben, warum Sie das gerade tun möchte! Um
dieses ist lästige Fragerei auszuschalten, muß man bei dem folgenden Key
in der Registrierung den Wert auf 0
setzen:HKEYLOKALMACHINE\soft
ware\microsoft\windows\C
urrentVersion\reliability\Shut
DownReasonUI.
Fazit
Eine Beta ist halt immer etwas wakkelig, doch wie dem auch sei, auf
.NET werden wir uns gewiß freuen
dürfen. Das Betriebssystem beinhaltet viele wertvolle Neuerungen und
sinnvolle Änderungen von Features,
die wir unter Windows 2000 vermißt
oder bemängelt haben. Schon jetzt
lohnt es sich auf jeden Fall, einen
Blick auf die neuen Eigenschaften
von .NET zu werfen und deren Integration in der Praxis auszutesten. Wer
neuen Produkten anfangs skeptisch
gegenübersteht, sollte vielleicht zunächst auf Windows 2000 umstellen,
da eine Migration auf .NET ziemlich
problemlos und vergleichsweise einfach sein wird. Haben Sie bereits ein
Windows-2000-Netzwerk, ist anfangs
ein Komplettumstieg sicher nicht
zwingend. Doch lohnt es, einen .NET
Server in Betrieb zu nehmen, um die
neuen Funktionen im Windows2000-Netz zu nutzen. Ein kompletter Umstieg auf Windows .NET ist ja
jederzeit möglich. Haben Sie noch
eine gemischte Umgebung oder ein
reines NT 4 und wollen möglichst
schnell auf Active Directory aktualisieren, ist ein Upgrade auf Windows
2000 erst einmal der schnellere und
sicherere Weg. Auch hier gilt, daß eine
Aktualisierung jederzeit einfach auf
.NET durchzuführen ist.
Shutdown
Es ist zwar unter .NET sehr angenehm
und bequem, daß nahezu jede Installation von Diensten, Applikationen
und Hardware fast völlig automatisiert und mit zahlreichen Assistenten
versehen abläuft, doch wenn Sie den
.NET-Server herunterfahren, wartet
eine überraschende System-NachfraAbb. 5: Shutdown
Windows 9x: Autostart von Programmen
Wenn Sie beim Systemstart von Windows 9x ein Programm, welches
sich nicht im Ordner Autostart befindet und dennoch automatisch
gestartet wird, gar nicht ausführen lassen möchten, so kann Ihnen vielleicht ein Utility namens MSConfig.exe weiterhelfen. Es ist im Lieferumfang der Microsoft Betriebssysteme enthalten. Zwar können damit
viele automatisch startenden Anwendungen lokalisiert werden, aber leider nicht alle. Nach dem Start der MSConfig.exe wählen Sie den Reiter
Autostart, woraufhin eine Liste mit Programmen erscheint, welche
auf verschiedene Art und Weise automatisch beim Start des PCs ausgeführt werden. Wenn Sie die entsprechende Applikation damit nicht
gefunden haben sollten, so suchen Sie die Programme mit Hilfe von
Regedit bei den Registry-Keys HKEY_LOCAL_MACHINE/Software/
Microsoft/Windows/CurrentVersion... unter .../Run, .../
RunOnce, .../RunServices und .../RunServicesOnce. Sollte auch
die Suche unter den vier genannten Registry-Keys nicht erfolgreich sein,
so haben Sie noch die Möglichkeit, weitere Einträge der Registry-Keys
HKEY_CURRENT_USER/Software/Microsoft/Windows/
CurrentVersion... unter .../Run, .../RunOnce, .../
RunServices und .../RunServicesOnce zu analysieren. Unter
Windows NT ist es HKEY_CURRENT_USER/Software/Microsoft/
Windows NT/CurrentVersion/Windows, denn bei den hier vorgestellten
Registry-Keys handelt es sich um eine Zusammenfassung aller
Windows-Versionen. Je nachdem welches Betriebssystem Verwendung
findet, taucht der ein oder andere Key nicht auf.
10
Ausgabe 10/2002
34
Technik News Sonderheft
Wireless LAN - Drahtlose Technik im Detail
Wireless LAN bringt Bewegung ins
Netzwerk. Mit der bevorstehenden
Frequenzband-Freigabe wird in Europa endlich auch die Nutzung des
5GHz-Bandes für den lizenzfreien
Betrieb freigegeben. Die 802.11h Arbeitsgruppe ist derzeit dabei, den
802.11a-Standard soweit anzupassen, daß die europäischen Anforderungen erfüllt sein werden. Damit
wird - erwartungsgemäß gegen Ende
2002 - der Verbreitung von Produkten mit 54 Mbps nach IEEE 802.11
a/h nichts mehr im Wege stehen.
OFDM bis 54 Mbps
Als erfahrener Buchautor und Fachmann für das Wireless Networking
zeigt Jörg Rech in einem neuen Technik News Sonderheft die drahtlose
Technik im Detail. Er erklärt die Neuerungen, die sich aus dem Standard
802.11a/h ergeben werden, der die
Datenraten bis 54 Mbps im 5GHzBand definiert. Anstelle der FHSS-
oder DSSS-Technologie wird hierbei
mit der OFDM-Technologie das
Ortogonal Frequency Division
Multiplexing angewendet, mit dem
hohe Datenraten von 6 bis 54 Mbps
erzielt werden.
802.11a/h und g
Interessant dürften zukünftig die
Entwicklungen des Standards
802.11g sein. Hierbei handelt es sich
um eine Lösung im 2,4-GHz-Band,
bei der über das OFDM-Verfahren
ebenfalls eine Datenrate bis 54 Mbps
erzielt werden kann, wobei sich bereits vorhandene frequenzabhängige
Infrastrukturen wie Antennen weiterhin nutzen lassen. Zudem ist die erzielbare Reichweite gegenüber dem
5-GHz-Band höher, da die Dämpfung
von Hindernissen, wie beispielsweise Mauerstein, wesentlich von der
genutzten Frequenz abhängig ist. Erste Prognosen deuten darauf hin, daß
sich die 802.11g-Lösungen für die
Indoor-Anwendungen und die
802.11a/h-Lösungen im OutdoorBereich für die Richtfunkstrecken
durchsetzen werden.
Wireless LAN Topologien
Das Tec hnik News Sonderheft
Wir eless LAN stellt die diversen
Topologien vor und erklär t die
Sicherheitsproblematik und nennt
die Einzelheiten der WEP-Verschlüsselung und Authentifizierung. Die
Antennentechnik wird ebenfalls behandelt, und wer ganz hoch hinaus
will, wird sich für Yagi-Antennen in
gebäudeübergreifenden Installationen interessieren.
Das Technik News Sonderheft Wireless
LAN - gesponsert von der Compu-Shack
Production - ist mit 36 Seiten technisch
anspruchsvoller Information für nur 5,- €
zu haben. Sie können es unter
w w w . t e c h n i k - n e w s . d e zuzüglich
Verpackung, Porto und Versand bestellen. Auch im Compu-Shack FachhandelsPortal unter http://portal.compushack.de finden Sie ein Bestellformular.
Netzwerkseminare: Highlights im Oktober/ November 2002
Kursbezeichnung
Deploying and Managing Microsoft ISA Server 2000
Deploying and Managing MS Application Center 2000
Designing a Windows .NET DS Infrastructure
ZENworks for Desktops 4
ZENworks Update
Cisco Unity System Engineer
Deploying DQos for the Enterprise Networks
Enterprise Voice over Data Design
Cisco Secure PIX Firewall Adanced
Cisco Secure Virtual Private Network
Alle genannten Preise gelten zuzüglich der
gesetzlichen Mehrwertsteuer.
Kurs-Nr.
MS 2159
Termin
16.10.-18.10.2002
26.11.-28.11.2002
MS 2203
07.10.-08.10.2002
14.11.-15.11.2002
MS 2281
07.10.-09.10.02
NV 3006
04.11.-08.11.02
11.11.-15.11.02
25.11.-29.11.02
NV 781a
29.10.-31.10.02
20.11.-22.11.02
Cis CUSE
04.11.-08.11.02
Cis DQOS
07.10.-10.10.02
12.11.-15.11.02
Cis EVodd 3.1 19.11.21.11.02
Cis PFA
19.11.-22.11.02
Cis VPN
28.10.-31.10.02
Veranstaltungsort
Neuwied
München
München
München
Neuwied
Potsdam
München
Neuwied
Neuwied
München
Neuwied
Neuwied
Neuwied
Neuwied
Neuwied
München
Preis in €
1.190,790,1.190,1.850,1.190,2.550,1.850,1.380,2.040,2.040,-
Das
aktuelle
Trainings-Programm
finden
Sie
unter
www.training.compu-shack.com, persönliche Beratung unter:
02631-983-317 oder per e-Mail an [email protected].
10
Ausgabe 10/2002
35
h
HOTLINE
Stand: 13. September 2002
Technik-News Patch-CD Oktober 2002
NetWare
NW 6.0
299913.exe
CONONE133SP1.exe
DHCP311D.exe
DSAUDIT.exe
ES7000.exe
FLSYSFT7.exe
HTTPSTK1.exe
NAT600D.exf
NFAP1SP2.exe
NICI_U0.exe
NSSCHECK.exe
NW56UP1.exe
NW6_ISS.txt
NW6NSS1A.exe
NW6SMS1A.exe
NW6SP2.exe
NWFTPD6.exe
SNMPFIX.exe
TCP604S.exe
TRUSTEE.exe
XCONSS9F.exe
Windows Clients
NW 5.1
299913.exe
4PENT.exe
AFNWCGI1.exe
COMX218.exe
CONONE133SP1.exe
DLTTAPE.exe
DS760A.exe
DS880D_a.exe
DSAUDIT.exe
DSBROWSE.exe
FLSYSFT7.exe
FP3023A.exe
FP3023S.exe
HDIR501C.exe
IDEATA5A.exe
JVM133SP1.exe
NAT600D.exe
NDP21P4.exe
NESN51.exe
NFAP1SP2.exe
NICi_U0.exe
Win 95/98 dt.
NC332SP1.exe
NPTR95B.exe
W98332E.exe
Win NT/2000/XP dt.
276794.exe
NC483SP1.exe
WNT483G.exe
Win 95/98 engl.
NC332SP1.exe
NPTR95B.exe
W98332E.exe
Win NT/2000XP engl.
276794.exe
NC483SP1.exe
WNT483E.exe
Miscellaneous Updates
NW SAA 4.0
NW4SAA.exe
SAA40020.exe
SAA4PT1.exe
iChain 2.0
IC20SP1.exe
HOTLINE
Windows NT 4.0
DEUQ300972I.exe
SP6I386G.exe
Englische Updates
rot
grün
eDirectory 8.x
AM210PT2.exe
AM210SNP.exe
AMW2KP2A.exe
AMW2KSP1.exe
C1UNX85A.exe
DSRMENU5.tgz
DSX86UPG.tgz
EDIR8527.exe
EDIR8527.tgz
EDIR862.exe
EDIR862.tgz
EDIR862SP2.exe
EDIR862SP2.tgz
EDIRW32.exe
NDSUNIX4.tgz
PWDSCH.exe
SIMPLE862UP.tgz
UNIXINF1.tgz
UNIXINS2.tgz
ZENworks
GroupWise 6.6
GW62AOT.exe
GWIA6SP1.exe
GW6SP1.exe
GWPDLOCK.exe
GW6TOMCAT_NT.exeGWPORT32.exf
GW6WASF.exe
WAVIEW71.exf
GWCSRGEN2.exe
Deutsche Updates
Windows NT 4.0
MPRI386.exe
PPTPFIXI.exe
RRASFIXI.exe
SP6I386.exf
NW 4.2
DECRENFX.exe
DS616.exe
GROUPFIX.exe
IPG4201.exe
IPGSN10A.exe
LONGNAM.exe
NAT600D.exe
NLSLSP6.exe
NW4SP9.exe
NW4WSOCK.exe
NWIPADM.nlm
ODI33G.exe
SNMPFIX.exe
TRUSTEE.exe
XCONSS9F.exe
NMASPT2.exe
NW51FS1.exe
NW51SP5.exe
NW56UP1.exe
NWFTPD6.exe
PSRVR112.exe
SBCON1.exe
SLP107G.exe
SNMPFIX.exe
STRMFT1.exe
TCP590S.exe
TRUSTEE.exe
TSA5UP10.exe
XCONSS9F.exe
Tools / DOCs
ADMN519F.exe
CFGRD6B.exe
CRON5.exe
DBGLOG1.zip
DSDIAG1.exe
ETBOX7.exe
HIGHUTIL1.exe
LOADDLL1.exe
MIGRTWZD.exe
NCCUTIL5.exe
NLSDLL.exe
NWSC1.exe
ONSITB8.exe
STUFKEY5.exe
TBACK3.exe
TCOPY2.exe
ZENworks for Desktops 3.0
ZD322K2.exe
ZD3WSMG.exe
ZD32DUPW.exe
ZD3XWSREG.exe
ZD32NOTF.exe
ZD3XWUOL.exe
278415.exe
ZD3XZISW.exe
ZD32NW.exe
ZENINTG.exe
ZD32SCAN.exe
ZFD3SP1A.exe
ZD32ZIDS.exe
ZENworks 3.0
ZS3SCH.exe
Bordermanager 3.5/3.6
ADMATTRS.exe
BMAS3X01.exe
BM35ADM7.exf
PXY031.exe
BM36C02.exe
PXYAUTH.exe
BM36SP1A.exf
RADATR3A.exe
BM37FLT.exe
SETUPEX.exe
BM37VPN2.exe
Cluster Services
CS1SP4.exe
CVSBIND.exe
Windows 2000
ENPACK_WIN2000ADMIN_GER.exe
Q299956_W2K_SP3_X86_DE.exe
Q311967_W2K_SP3_X86_DE.exe
Q318593_W2K_SP3_X86_DE.exe
W2KSP2SRP1D.exe
W2KSP3.exe
Microsoft .NET
NDP10SP357.exe
Windows 2000
ENPACK_WIN2000ADMIN_EN.exe
Q299956_W2K_SP3_X86_EN.exe
Q311967_W2K_SP3_X86_TWE.exe
Q316094_W2K_SPLl_X86_EN.exe
Q318593_W2K_SP3_X86_EN.exe
W2KSP2SRP1.exe
W2KSP3E.exe
Microsoft .NET
NDP10SP317396.exe
Windows XP
xpsp1_de_x86.exe
Internet Explorer 6.0
IE6SETUPG.exe
Q313675.exe
Q316059D.exe
Exchange 5.5
SP4_550G.exe
Exchange 2000
EX2KSP2_SERVER.exe
Q320436ENUI386.exe
Internet Explorer 6.0
IE6SETUPE.exe
Q316059D.exe
Windows XP
Q315000_WXP_SP1_x86_NEU.exe Exchange 2000
WM320920_8.exe
Q278523ENGI.exe
xpsp1_en_x86.exe
Exchange 5.5
SP4_550E.exe
seit unserer letzten Veröffentlichung neu
hinzugekommen
Technik News Service-CD
blau
gelb
Patches
aus Platzgründen nicht mehr auf der Monats-CD
auf der letzten Service CD
10
Ausgabe 10/2002
36
Bintec Router Software
Bingo!
Brick XS/Office
Brick X.21
X8500
BGO521.bg
BRK512.xs
BRK495.x21
B6202.x8a
Brick XL/XL2
X4000
BRK521P1.xl
B6202.x4a
Netracer
X3200
NR494P1.zip
B6202P01.x3b
BRK521P2.xs2
Bingo! Plus/Professional
BGO494.bgp
Brick XMP
BRK521P1.XP
BrickWare u. Configuration Wizard
BW621.exe
Brick XM
NLMDISK.zip
BRK511.xm
BRK521P1.xm2
XCentric
X1000 / 1200
X2300
XC533.xcm
B6202.x1x
B6202.x2c
MODULE14.xcm
Monitoring des Postman-Service
Beim DvISE-Server übernimmt der Postman-Service die Schnittstelle zum SMTP-Protokoll, wobei die Verwaltung beliebig vieler SMTP-Ports möglich ist. In den meisten Fällen verläuft die Kommunikation zu anderen Mail-Servern fehlerfrei. Was aber ist zu tun, wenn es zu Problemen kommen sollte?
Für einen Problemfall stellt der Postman-Dienst wertvolle Informationen zur Verfügung, nach deren Analyse
der Fehler meist lokalisiert werden kann. Wenn Sie sich im Fehlerfall die Kommunikation zwischen dem
DvISE- und weiteren Mail-Servern anschauen möchten, so müssen Sie in die folgenden Programme wechseln. Unter Windows 2000 starten Sie den DvISE Administrator und wechseln zur Option Monitor / Ports /
DvISE Postman / Communication. Unter Novell Netware finden Sie die entsprechende Option im PostmanNLM unter Monitor / Kommunikation. In beiden Fällen sind Sie in der Lage, den Level und damit die Vielfalt
der Informationen zu konfigurieren. Dies geschieht in einem anderen Menüpunkt, und zwar unter Monitor
Information, den Sie unter Postman / System / Erweitert finden. Zur Diagnose von Problemfällen sollte
hier die Option Vollständig auswählt werden, um ausführliche Daten im Communication-Monitor zu sehen.
SMTP-Kommunikation
Sehen wir uns an, wie die SMTP-Kommunikation zwischen dem DvISE Postman-Service und weiteren
beteiligten Mail-Servern abläuft. Im Standleitungsbetrieb prüft der Postman-Dienst bei einer zu versendenden E-Mail erst einmal, ob User und Host überhaupt vorhanden sind. Dies führt zum Laden der Zonendatei,
die wiederum die Host IP-Adresse beinhaltet, damit der entsprechende Mail-Server, der als MX-Eintrag
vorhanden ist, herausgefunden werden kann. Ist der Mail-Server nicht eingetragen, so meldet der PostmanService den Fehler could not find <domain.com>. Ist die Ermittlung des zuständigen Mail-Servers für
den Host erfolgreich, so erfolgt die Kontaktaufnahme.
Der erste Schritt ist also eine Anfrage an den Mail-Server, ob der in der E-Mail-Adresse des Empfängers
angegebene User überhaupt existiert. Sollte dies nicht der Fall sein, so sendet der angesprochene MailServer die Message mit Statuscode 550 No such user here. Anschließend baut er die Verbindung ab,
woraufhin der Postman-Service die Meldung in den Status der Mail einträgt (Versandauftrag).
Wenn der User aber wie gefordert existiert, wird der angesprochene Mail-Server mit dem Statuscode 250
sein OK geben, was wiederum den Postman-Dienst veranlaßt, den Befehl SMTP DATA abzusetzen, der den
Datentransfer ankündigt. Ist der Mail-Server auf der Empfängerseite bereit, sendet er den Statuscode 354,
woraufhin der Mail-Server des Absenders mit der Übertragung der Daten beginnt. Sobald der PostmanService die Zeichenfolge DATA_END_SIGN sendet, gilt die Übertragung der E-Mails als beendet. Zum Abschluß bestätigt der Mail-Server des Empfängers das Beenden des Datentransfers mit einem weiteren
Statuscode 250 als OK. Die empfangene E-Mail wird abgespeichert und steht nun für den Abruf durch den
Empfänger zur Verfügung.
10
Ausgabe 10/2002
37
h
HOTLINE
ARCserve 2000
Name
Basis Produkt
QO23827.CAZ
QO23524.CAZ
QO22113.CAZ
QO20824.CAZ
QO20710.CAZ
QO20404.CAZ
QO19741.CAZ
Edition
Updates
AE/WG
Alle
Alle
Alle
Alle
AE/WG
Alle
QO19666.CAZ AE/WG
QO19668.CAZ AE/WG
QO19251.EXE AE/WG
AS2000SP4.EXE AE/WG
QO19353.CAZ Alle
QO19352.CAZ Alle
QO19351.CAZ Alle
QO15556.CAZ
QO15169.CAZ
QO15991.CAZ
QO15579.CAZ
QO15331.CAZ
QO15176.CAZ
QO15571.CAZ
QO15178.CAZ
QO11058.CAZ
QO09494.CAZ
QO08105.CAZ
QO05692.CAZ
LO98929.CAZ
QO04949.CAZ
QO00944.CAZ
QO00943.CAZ
LO85115.EXE
Beschreibung
09.09.02
03.09.02
05.08.02
17.07.02
16.07.02
11.07.02
02.07.02
Lokale Sicherungsaufträge hängen (engl.)
Fehler beim Sichern Oracle 8.1.6 mit RMAN (dt./engl.)
Tape Library quick init Setting wird gelöscht (dt. / engl.)
Nach Absturz bleiben Aufträge als aktive stehen (dt. / engl.)
Im SAN-Umfeld keine Daten auf Band nach Backup (dt. / engl.)
Disaster Recovery Service Pack 4 (engl.)
Registry Dateien werden nicht alle gesichert (dt./engl.)
01.07.02
01.07.02
28.06.02
28.06.02
24.06.02
24.06.02
24.06.02
AE/WG
12.04.02
AE/WG
05.04.02
AE/WG
23.04.02
AE/WG/ASO 12.04.02
AE/WG/ASO 09.04.02
AE/WG
05.04.02
ASO
12.04.02
ASO
05.04.02
AE/WG
05.02.02
AE/WG
01.11.02
ASO
18.12.01
AE/WG
19.11.01
ASO
01.08.01
AE/WG
05.11.01
Alle
14.09.01
AE/ASO
14.09.01
AE/WG
12.12.00
Client Agenten
QO19337.CAZ AE
QO19339.CAZ ASO
QO15557.CAZ AE
LO86966.CAZ AE/WG
HOTLINE
Datum
24.06.02
24.06.02
12.04.02
22.01.02
Voraussetzung
SP4 engl.
SP4 engl. / SP3 dt.
SP4 engl./ SP3 dt.
SP4 engl./ SP3 dt.
SP4 engl./ SP3 dt.
SP4 engl.
Qo15176 dt./SP4 engl. /
ASO Qo15178
Fix für Registry Key Handle Leak bei langen Backups (engl.)
SP4 engl.
Fix für Registry Key Handle Leak bei langen Backups (dt.)
SP3 dt.
Service Pack 4 selbstextrahierend ohne DR (engl.)
Keine
Service Pack 4 selbstextrahierend ohne DR (engl.)
Keine
korrupte Dateien nach Wiederherstellen (Agent) (engl.)
SP4 engl. / ASO=Keine
korrupte Dateien nach Wiederherstellen (Server) (engl.)
SP4 engl. / ASO=QO15178
Rotation Job kein Exchange (dt./engl.)
SP4engl./Qo15176=dt./
ASO=Qo15178
Job überschreibt Medium in Save Set (engl.)
QO15169
Incrementeller Fix, behebt 20 Probleme (engl.)
QO05692+Device Fix
Dr. Watson bei Dbasvr und RPC Dienst crashed (dt./engl.)
SP3 dt. / SP3 engl.
Fehler bei Image File E3406 (dt./engl.)
QO15176 dt/Qo15178 engl
Dr. Watson NLO unter ARCserve 2000 u. AS400 eing. (dt./engl.)
Device Fix
Job überschreibt Medium in Save Set (dt.)
SP3 de
Client Agent, behebt leere Zeilen und Zeichen im Log File (engl.)
Keine
Job überschreibt Medium in Save Set (engl.)
Keine
Backup auf Platte (anstelle Bandlaufwerk) durchführen (engl.)
SP3
ARCserve 2000 Service Pack 3 in Deutsch
Keine
Job läuft nicht, wenn von Terminal Server gestartet (engl.)
SP3
ARCserve 2000 Service Pack 3 in Englisch
Keine
Backup Job hängt beim Sichern von System State
Keine
DR. Watson beim Modifizieren von GFS Jobs (dt.)
SP3 dt.
Remote Server nicht im Server Tree bei erster Verbindung (dt./engl.) SP3 dt.
Dr. Watson b. Öffnen des Job Status
SP3 dt./engl.
Exchange 2000/Lotus Notes LOG BKUP Unterstützung (dt./engl.)
SP3 dt./engl.
Universeller NetWare Agent für AE Produkte Build 260
Universeller NetWare Agent für AE Produkte Build 260
NT Agent Registry Details übersprungen (engl.)
NWAgent behebt Lizenzfehler (englisch)
Keine
Keine
QO05692
Keine
Bandlaufwerke und Changer
QO20711.CAZ Alle
16.07.02 Fix und Unterstützung zusätzl.Geräter (dt. / engl.)
SP4 engl./ SP3 dt.
Exchange Agent
QO22840.CAZ AE/WG
QO22831.CAZ AE/WG
QO13758.CAZ AE/WG
QO13760.CAZ Alle
LO94975.CAZ AE/WG
QO06202.CAZ AE/WG
21.08.02
21.08.02
18.03.02
18.03.02
04.06.01
28.11.01
Kumulatives Brick Level Update (engl.)
Kumulatives Brick Level Update (dt.)
verschiedene Brick Level Fixes (dt.)
verschiedene Brick Level Backup Fixes (engl.)
Error in Multi Byte Exchange Agent (engl.)
Exchange, verschiedene Brick Level Backup Fixes (dt.)
SP4 engl.
SP3 dt.
SP3 dt.
SP3 engl.
Keine
SP3 dt.
Open File Agent
QO22616.CAZ Alle
QO22619.CAZ Alle
QO14476.CAZ Alle
QO1917.CAZ
Alle
QO10908.CAZ AE/WG
LO90527.CAZ ASO
15.08.02
15.08.02
17.04.02
24.09.01
04.02.02
14.03.01
Dr. Watson, Hängen, Crash, wenn Open File Agent inst. (engl.)
Dr. Watson, Hängen, Crash, wenn Open File Agent inst. (dt.)
Kumulativer Patch für Open File Agent (dt./engl.)
NT/2000 OFA Blue Screen bei OFA mit MSMQ (dt./engl.)
NT/2000 OFA Blue Screen, wenn Eroom installiert ist. (dt.)
Invalid License Error, wenn Open File Option installiert ist. (engl.)
Keine
Keine
Keine
Keine
Keine
Keine
Lotus Notes Agent
QO22886.CAZ AE/WG
QO21794.CAZ AE/WG
QO15790.CAZ AE/WG
22.08.02 Langsames Rebooten, wenn Notes (BAOF Ver.) installiert ist (engl.)
29.07.02 kein Inc./Diff. Backup mit Notes Agent (BAOF) (engl.)
17.04.02 Kumulativer Patch für OFA Ver. Notes Agent (dt.)
Patches
QO22616
SP4 engl.
Keine
10
Ausgabe 10/2002
38
8
gl
QO10195.CAZ
QO10201.CAZ
LO89345.CAZ
QO10199.CAZ
AE/WG
ASO
AE/WG
AE/WG
22.01.02 Notes Agent Installation Patch (engl.)
22.01.02 Notes Agent Installation Patch (engl.)
05.03.01 NT Lotus Notes LOG BKUP Unterstützung (dt./engl.)
22.01.02 Notes Agent Installation Patch (dt.)
Keine
Keine
LO85115 / SP3 engl.
Keine
Serverless Backup Option
QO20992.CAZ Alle
19.07.02
Emulex Port Treiber Unterstützung für Serverless Backup (dt./ engl.) SP4 engl. / SP3 dt.
SQL Agent
LO91562.CAZ
LO82876.EXE
LO95010.EXE
AE/WG
AE/WG
AE/WG
30.03.01
17.10.00
05.06.01
Unbeaufsichtigte Installation, SQL 2000 Agent hängt (engl.)
SQL Agent, Sichern von MS-SQL Server 2000 (engl.)
NT ARCserve 2000 Agent für SQL2000 (dt.)
Keine
LO82875
SP3 dt.
Image Option
QO17318.CAZ AE/WG
QO10618.CAZ Alle
17.05.02
30.01.02
Behebt Image Option Backup Fehler (engl.)
HBM Treiber verursacht Blue Screen ASO engl., AE/WG dt.
Keine
Keine
Oracle Agent
QO12765.CAZ
02.03.02
Unterstützung für Oracle 9I (engl.)
Keine
ASO
ARCserve 7.x für NetWare
Basis Produkt
QO24478.CAZ
QO24373.CAZ
QO24239.CAZ
QO23731.CAZ
QO20942.CAZ
Updates
EE
EE
EE
EE
EE
QO20907.CAZ
QO19341.CAZ
QO17320.CAZ
QO16630.CAZ
QO16426.CAZ
QO15463.CAZ
QO12831.CAZ
QO11943.CAZ
QO11242.CAZ
QO08364.CAZ
QO06599.CAZ
QO05996.CAZ
EE
EE
EE
EE
EE
EE
EE
EE
EE
EE
EE
EE
12.09.02 AS-DB reparieren bringt Server Abend mit NW6SP1a
12.09.02 Browsing in DB bei Session Wiederherstellungen langsam
12.09.02 verschiedene Probleme beim Auftragmodifizieren, Mirror copy etc.
05.09.02 Unterstützung für Compaq 5i SCSI Array Controller
18.07.02 Timeout im Manager beim Browsen großer NDS Bäume
Sofern nicht ausdrücklich
ein Hinweis auf Deutsch
gegeben wird, sind diese
Patches für die englische
Spracheversion
der
Software. Die Dateien mit
der Endung CAZ müssen
mit dem Programm und der
Syntax Cazipxp.exe –
u < D a t e i n a m e mit
Endung caz> entpackt
werden.
QO12831
QO20942
QO16426
QO05996
QO05996,
Q012831, QO16426
18.07.02 Behebt Abends, die während Rücksicherung auftreten
QO05996
24.06.02 Server-Komponente für Universal NetWare Agent
Qo12831,QO05996
17.05.02 Modifizierter Job ändert nicht neue Zeit
QO05996
02.05.02 behebt Problem mit Disaster Recovery auf NW 5.1 mit SP4
Keine
30.04.02 Sicherheitserweiterung, Password wird u.U. im Klartext übertragen QO05996, QO12831
11.04.02 8.3- und lange Verzeichnisnamen werden zurückgesichert
QO05996
04.03.02 Nicht alle Benutzer / Dateien in großen NDS Bäumen zu sehen
QO05996
14.02.02 GroupWise Agent Installation schlägt fehl bei mehr als 8 Buchstaben Keine
06.02.02 Behebt Import/Export Problem im Device Manager
QO05996
21.12.01 Security Erweiterung für ARCserve
QO05996
04.12.01 Behebt Live Trial Produkt Lizenz Problem
QO05996
11.01.01 Kumulativer Patch (Service Pack) mit NetWare 6 Unterstützung
Keine
Client Agent für NetWare
QO19337.CAZ AE
24.06.02
Universeller NetWare Agent für AE Produkte Build 260
Keine
Bandlaufwerke und Changer
QO24710.CAZ E E
13.09.02
QO22222.CAZ E E
07.08.02
Unterstützung zusätzlicher Bandlaufwerke und Changer
Unterstützung zusätzlicher Bandlaufwerke und Changer (PTF)
QO05996
QO05996
Tape Library Option
LO98883.ZIP
EE
TLO Setup und Device Konfiguration Update (SAN)
QO05996
31.07.01
Storage Area Network Option
QO14907.CAZ E E
01.04.02 Unterstützung Qlogic SANBlade 2300 Fibre Channel Adapter
LO98879.CAZ E E
31.07.01 SAN Option Timeout mit Remote Kommunikation
Keine
Keine
ARCserveIT 6.6 für NetWare Enterprise Edition
QO20943.CAZ
EE
18.07.02
Nach dem Packen der Datenbank steht das System.
Keine
ARCserveIT 6.6x für Windows NT
QO17113.CAZ
QO17111.CAZ
AE/WG
AE/WG
13.05.02
13.05.02
Open File Agent bringt System zum Hängen, Handle Leak (dt.)
Open File Agent bringt System zum Hängen, Handle Leak (engl.)
Keine
Keine
EE = Enterprise Edition; AE = Advanced Edition; WG = Workgroup / Single Server / Small Business Edition; ASO = Advanced Storage
Option; W2K = Windows 2000 Edition; ELO = Enterprise Library Option; VLO = Virtual Library Option; NLO = Network Library Option
10
Ausgabe 10/2002
39
h
HOTLINE
Neue Patches in der Übersicht
ARCserve 2000
QO23827.CAZ
AE/WG (engl.)
Hinweis: Listen unter: http://esupport.ca.com
Sicherungsaufträge hingen, wenn man mehrere gleichzeitig zeitgesteuert ablaufen lassen wollte, und der lokale Fileserver zum Sichern ausgewählt ist. Voraussetzung: SP4.
QO23524.CAZ
QO22616.CAZ Alle (engl.) QO22619.CAZ Alle (dt.)
Patches für den Open File Agent in der jeweiligen
Sprache. Es gab Probleme, daß ein System hängt,
crasht oder ein Dr. Watson P auftaucht, wenn Open
File Agent und Mcafee auf einer Maschinen laufen.
Alle (dt./ engl.)
Beim Sichern einer Oracle 8.1.6 Datenbank über RMAN
wurden willkürliche Zeihen eingetragen, wenn diese keinen Domainennamen enthielt. Voraussetzung: SP4 englisch bzw. SP3 deutsch, für ASO keine.
QO22113.CAZ
QO22886.CAZ
Alle (dt./ engl.)
Nach Vollsicherung war die Option Quick Initialization
nicht mehr in der Tape Library Configuration verfügbar.
Voraussetzung: SP4 englisch bzw. SP3 deutsch, für ASO
keine.
QO20824.CAZ
QO21794.CAZ
Alle (dt./ engl.)
QO20992.CAZ
Alle (dt./ engl.)
ARCserve 7 für NetWare
QO24478.CAZ
HOTLINE
EE
Ein Reparieren der ARCserve Datenbank kann einen
Abend bei einem NetWare 6 Server mit NW6SP1a verursachen. Eventuell kann auch ein Fehler E4209 auftreten. Dieser Patches behebt das Problem, Voraussetzung
ist die Datei QO12831.caz.
AE/WG (engl.)
Das Service Pack 4 für die Disaster Recovery Option
behebt etwa 20 verschiedene Fehler beim DR, das nun
auch die Windows 2000 Service Packs 1 und 2 unterstützt. Voraussetzung: SP4 englisch
QO24373.CAZ
QO20711.CAZ
Alle (dt.engl.)
Kumulativer Patch mit Emulex Port-Treiber für
Serverless Backup sowie Unterstützung für ATTO FC
HBA mit Mini.Port-Treiber. E2002 Unable to load
Library (EC=Mod not found ist behoben. Voraussetzung 4 englisch bzw. SP3 deutsch Version, für ASO keine.
Im SAN-Umfeld wurden beim Backup keine Daten auf
Band geschrieben, wenn ein IBM Fibre native LTO Laufwerk oder eine Qlogic Karte verwendet wird. Dennoch
wurde der Job als erfolgreich angezeigt. Voraussetzung
SP4 englisch bzw. SP3 deutsch, für ASO keine.
QO20404.CAZ
AE/WG (engl.)
Die Open File Agent Version des Lotus Notes Agent kann
nun wieder inkrementelle und differentielle Sicherungen durchführen. Das Problem trat nach Einspilen des
SP für den BAOF Agent auf, es wurde fälschlicherweise
die NA-Version installiert. Voraussetzung: bei Lotus
Notes Agent BAOF Version und SP4.
Aufträge im Status Manager blieben weiterhin als aktive stehen bleiben, was durch einen Absturz während
einer Sicherung auftreten kann. Der Patch erspart das
Löschen der xxx.job Datei im Verzeichnis
00000001.osd nach so einem Vorfall. Voraussetzung
SP4 englisch bzw. SP3 deutsch, für ASO keine.
QO20710.CAZ
AE/WG (engl.)
Systeme, auf denen der Lotus NotesAgent (BAOF Version) installiert ist, wurden sehr langsam beim Rebooten
da die Cafcr Datenbank anwuchs. Voraussetzung: Patches
Qo22616.caz.
Alle (dt. / engl.)
EE
Aktuelle Unterstützung für Bandlaufwerke und Changer.
Zur Installation die DeviceSP.exe ausführen.
Extrem lange Wartezeiten gab es beim Browsing in der
ARCserve Datenbank haben nun ein Ende. Voraussetzung ist der Patch QO20942.caz.
QO22840.CAZ (engl.) QO22831.CAZ (dt.)
QO24239.CAZ
Kummulativer Patch für den Exchange Agent, der ca. 20
Fehler beim Sichern und Wiederherstellen von Exchange
behebt. Voraussetzung: SP4 englisch bzw. SP3 deutsch
Version, für ASO keine.
Dieser Patch behebt verschiedene Probleme beim Auftragmodifizieren auftreten. Es werden u.a. einige Einträge bei den Globalen Optionen auf die Standardwerte
zurückgesetzt wie File Sharing, File Conflict Resoluti-
Patches
EE
10
Ausgabe 10/2002
40
on und Virus Optionen.. Voraussetzung ist die Datei
QO16426.caz.
ARCserveIT 6.6 für
NetWare Enterprise Edition
QO20943.CAZ
QO23731.CAZ
EE
Unterstützung für Compaq 5i SCSI Array Controller
( CPQRAID.ham). Voraussetzung : QO05996.caz.
QO20942.CAZ
EE
Timeout im ARCserve der beim Browsen großer NDS
Bäume behoben. Voraussetzung sind die Dateien
QO05996.caz, Q012831.caz und QO16426.caz.
QO20907.CAZ EE
EE
Nach dem Packen der ARCserve Datenbank blieb bislang das Fenster offen stehen oder das System hing.
ARCserveIT 6.6x für Windows NT
QO17113.CAZ
QO17111.CAZ
AE/WG (deutsch.)
AE/WG (englisch)
Dieser Patch in der jeweiligen Sprache behebt ein Problem mit dem Open File Agent, der das System zum
Hängen brachte (Handle Leak Fehler).
Um Abends während der Rücksicherung aus zu vermeiden, setzt dieser Patch die Datei QO05996.caz voraus.
QO22222.CAZ
QO24710.CAZ
Sofern nicht ausdrücklich ein Hinweis auf Deutsch
gegeben wird sind diese Patches für die englische
Spracheversion der Software.Die Dateien mit der
Endung CAZ müssen mit dem Programm und der
Syntax Cazipxp.exe –u <Dateiname mit Endungcaz>
entpackt werden.
EE
EE
Unterstützung zusätzlicher Bandlaufwerke und Changer.
Voraussetzung ist QO05996.caz. Für die Unterstützung
des Applypdf Utility muß das neuste PTF verwendet
werden welches beim CA Support zu bekommen ist.
IE6SETUPG.exe 480 KB
XPSP1_DE_X86.exe 135082 KB
Service Pack 1 für Internet Explorer 6.0 in der deutschen Version
Service Pack 1 für Windows XP in der deutschen 32
Bit Verson
IE6SETUPE.exe 480 KB
XPSP1_EN_X86.exe 137149 KB
wie zuvor in der englischen Version
wie zuvor in der englischen Version
B6202.x8a 1630 KB
Router Verbindungen aufbauen darf. Erstmals ab Release 6.2.2 können BinTec Router als DHCP Clients fungieren. Die Einwahl vom Handy wurde dank HSCSD
Unterstützung (V.120) mit einer Bandbreite von bis zu
57600 kbit/s möglich.
Das Software Image Release 6.2.2 erweitert die Funktionalität der Bintec Router X8500. Als besondere Highlights unterstützt es den Aufbau von IPSec oder PPTP
gesicherten Verbindungen, auch wenn beide Router lediglich dynamische IP Adressen haben. Der Umfang der
IPSec Implementierung wurde erweitert (z.B. um AES),
die Bedienung weiter vereinfacht. Mit Hilfe des H.323
Proxys und Gatekeepers ist nun sichere VoIP Telefonie
z.B. mit NetMeeting möglich. Der H.323 Proxy schützt
durch seine Firewall Funktionalität das interne Netzwerk. Die Funktion MultiNAT erlaubt das einfache
Mappen von kompletten Netzwerkadressen. Dank des
Features Scheduling können nun für jeden Wochentag
bis zu vier Zeitschlitze definiert werden, in denen der
BinTec hat seit dem Software Release 6.1 den Funktionsumfang
erheblich erweitert. Die Einzelheiten nennt Ihnen unsere aktuelle
Artikel-Serie zu den BinTec XRoutern.
10
Ausgabe 10/2002
41
h
HOTLINE
276794.exe 132 KB
NW6_ISS.txt 76 KB
Mit diesem Patch werden verschidene Druckprobleme
des Novell Clients 4.8.3 für Windows NT/2000 und XP
behoben, nachzulesen in den TIDs 10068250, 10059622
und 10067367.
Das Service Pack 2 der Netware 6 bringt nicht zur Bug
Fixing mit sich, sondern hat auch einge Probleme, die
Sie vor der Installation wissen sollten und in diesem
Textfile aufgelistet finden.
299913.exe 936 KB
NWSC1.exe 10865 KB
Dieser Patch für die ConsoleOne Version 1.3.3 behebt
Probleme beim Anzeigen von Objekten und Öffnen
mit Volume-Namen, die das @ Zeichen enthalten.
In diesem Update finden Sie das neue Netware
Consolidation Utility, mit dem Sie Dateien, Volumes und
sogar Directories komfortabel verschieden bzw. kopieren können. Durch das Kopierem bzw. Verschieben gehen keinerlei eDirectory Rechte oder andere Attribute
verloren. Es werden die Netware Versionen 4.x, 5.x und
6.x mit traditionellem bzw. NSS-Dateisystem unterstützt.
BM35ADM7.exf 116 KB
Dieses Update für die aktuelle Version des ADM.nlm
der Bordermanager Versionen 3.5, 3.6 und 3.7 setzt das
SP 3 des Bordermanager 3.5 und die Datei
BM35ADM6.exe voraus.
DSAUDIT.exe 130 KB
Ein neues NDSAUDIT.nlm für die Netware Versionen
5.1 und 6.0 in Multiprozessor-Umgebung verhindert aufgetretene Abends. Diesen Patch nur auf einem 5.1 System installieren, auf dem bereits das SP 3 oder höher
installiert ist. Bei der NW6 wird kein SP vorausgesetzt.
EDIR862SP2.exe 12811 KB
Service Pack 2 für die eDirectory Services der Version
8.6.2 für alle Plattformen in der internatonalen Version.
Nur auf einer eDirectory Version 8.6.2 installieren, nicht
auf Netware 4.x oder 5.0 einer NDS 6.x, 7.x, 8.x, 8.5.x
oder 8.7.x. Es enthält die Modul-Versionen DS 10320.29,
DSREPAIR 10210.29, NLDAP 10320.03, DSMERGE
10210.19 und LDAP.jar.
EDIR862SP2.tgz 7831 KB
Das Service Pack 2 der internationalen eDirectory Version 8.6.2 für Solaris und Linux beinhaltet NDSD 10320.29
und NDSREPAIR 10210.30.
GW62AOT.exe 208 KB
In diesem Update finden Sie das erforderliche englische
AOT-File, um das Groupwise Client Service Pack 2 mittels ZenWorks zu installieren.
HOTLINE
GWCSRGEN2.exe 279 KB
Dieses Update bereinigt ein Problem des CSR-Generator mit Zertifikaten von Drittanbietern.
NFAP1SP2.exe 1584 KB
SP 2 für NW File Access Protocol der Netware 5.1
NMASPT2.exe 181 KB
Mit diesem Patch für Netware 5.1 wird ein Speicherproblem des NMAS.nlm in Verbindung mit den Modulen CIFS und AFP behoben.
PWDSCH.exe 94 KB
Patch für das Novell Account Management zur Paßwort
Synchronisation in einer Multi-Tree-Umgebung. In der
Standard Version können Sie die Paßworter von Activ
Directory oder einer NT-Domäne nur mit einem NDSTree synchronisieren. Hiermit geht das auch mit mehreren NDS-Trees.
SIMPLE862UP.tgz 1188 KB
Um unter Solaris bzw. auf einem Linux System die
eDirectory Version 8.6.1 aufspielen zu können, muß man
zuvor ein Update der NICI-Files einspielen. Mit dieser
Datei wird ein solches Update auf die NICI-Version 2.4
erheblich vereinfacht.
TRUSTEE.exe 101 KB
Neue Version des TRUSTEE.nlm für die Netware Versionen 4.x, 5.x und 6.x
TSA5UP10.exe 1680 KB
Dieses Update ersetzt den Patch TSA5UP9.exe . Es
enthält die folgenden Module: T S A 6 0 0 . n l m ,
TSA500.nlm, SMDR.nlm, TSANDS.nlm, SBCON,
SME.nlm, TSACORE.dll , NWTAPE.cdm,
SMSDI.nlm.
ZD32SCAN.exe 342 KB
Die neuen Workstation Scanner Module für ZENWorks
for Desktops 3.2 behebt die Probleme, daß der Pentium
4 Prozessor wie auch die Novell ClientVersion 3.32 falsch
erkannt wurde. Bei einer Workstation ohne Floppy Drive
hängte sich der Scan auf. Auch gab es Probleme beim
Auslesen der Videoinformationen.
ZS3SCH.exe 91 KB
Mit diesem Patch für ZenWorks for Server 3.0 wird der
NDS-Fehler -652 Schema, ein Synchronisations-Problem
zu den NDS-Versionen 6.x und 7.x behoben.
Patches
10
Ausgabe 10/2002
42
TIPS & CITRIX
Printer Management
Druckertreiber-Mappings bei Metaframe XP
Metaframe XP intrgriert zentralisierte Drucker-Management-Features innerhalb der Citrix-Management-Console.
Der Data Store beinhaltet die Druckertreiber, die auf jedem Server einer Serverfarm installiert sind, somit erfolgen
dort auch die Updates erfolgen.
I
Informationen zu den jeweiligen Treibern erhält der Data Store, indem er
während der Installation von
Metaframe XP eine Liste für die entsprechenden Server aufzeichnet. Der
sogenannte IMA Service sorgt für ein
Update der Treiberliste im Data Store,
sobald ein weiterer Druckertreiber auf
dem Server hinzugefügt wird. Sollte
der IMA-Service während einer solchen Treiberinstallation nicht laufen,
so werden die lokalen Informationen
mit dem Data-Store synchronisiert,
sobald der IMA-Service wieder startet. Hierzu verwendet der IMA-Service sogenannte Subkeys, um zu entscheiden, welche Druckertreiber auf
dem lokalen System installiert sind.
Die Subkeys unter dem Registrykey
HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet
\Control \Print \Environments \WindowsNTx86 \Dri
vers heißen \Version-2 bei der
Terminal Server Edition bzw. \Version-3 bei Windows 2000.
Data Store
Während der Synchronisation werden
alle entsprechenden Einträge dem
Data Store hinzugefügt, und zwar für
jeden neu gefundenen Druckertreiber
auf dem Member-Server. Umgekehrt
werden alle Einträge der Druckertreiber gelöscht, sobald sich Druckertreiber nicht mehr auf dem Member-Server befinden. Das Löschen entfernt
aber nicht die Druckertreiber-Informationen aus der Registry, sondern das
Betriebssystem benutzt diese Informationen als zukünftige Referenzen.
Der Druckertreiber muß manuell aus
der Registry entfernt werden, bevor
der Eintrag im Data Store für diesen
Drucker bei der nächsten Synchronisation beseitigt werden kann. Das
Entfernen eines Druckertreibereintrags in der Registry erfordert ein
Reboot des Servers, da Windows die
Informationen des Registrykey beim
Systemstart cached. Um Treiber-Informationen für einen Member-Server
manuell upzudaten, wählen Sie Update Printer and Driver
Information aus dem Printer
Management der Citrix Management Console. Diese dient dazu, die
Druckertreiber-Mappings einer
Serverfarm zu verwalten.
Treiber
Während der Installation importiert
der Data Store die DruckertreiberMappings aus den Dateien Wtsu
prn.txt oder Wtsprnt.inf des
Servers. Sollten doppelte Mappings
gefunden werden, so werden diese
nicht in den Data-Store geschrieben.
Während der Startphase des IMA-Service wird die Datei Wtsprnt.inf
für alle Server in einer Farm aus den
im Data-Store gespeicherten Mapping-Informationen publiziert. Sollte die Datei nicht vorhanden sein, so
wird sie vom IMA-Service angelegt,
existiert sie bereits, so wird sie mit
den Mapping-Informationen des
Data-Store überschrieben. Manuelle
Imports von existierenden Dateien
Wtsuprn.txt oder Wtsprnt.inf
können über das Kommando qprin
t e r durchgeführt werden. Die
Replikation der Druckertreiber dient
der Verteilung der DruckertreiberDateien und Registry-Einstellungen
über eine komplette Serverfarm. Sie
10
Ausgabe 10/2002
43
können alle benötigten Druckertreiber auf einem einzelnen Metafra-me
Server installieren, und anschließend
die Printerfiles und Registry-Settings
auf alle weiteren Servern in einer Farm
replizieren. Wichtig zu wissen ist jedoch, daß die Replikation der Drukkertreiber keine Druckereigenschaften wie Paper Size, Print Quality
und dergleichen repliziert.
Replication
Die Replikation der Druckertreiber
kann von einem Source-Server auf
weitere Server nur dann vorgenommen werden, wenn diese über das
gleiche Betriebssystem verfügen, also
Windows 2000 oder Terminal Server
Familie hier wie da. Wenn Druckertreiber auf einem Source-Server installiert werden, so selektieren Sie jeden
verfügbaren Druckerport dieses Servers. Installieren Sie alle benötigten
Druckertreiber auf einem Metaframe
XP Server. Für die Replikation besteht
kein Zwang zum Printershare oder
zum Setzen eines Defaultprinters.
Wählen Sie keine Destination-Server
aus, die nicht oder in den nächsten
24 Stunden online sind. Wenn die 24
Stunden abgelaufen sind, so markiert
die Replication-Queue den Job als
incomplete und wird nicht weiter
versuchen, den Job abzuschließen.
Wenn die Replikation abgeschlossen
wurde, können Sie die auf dem
Source-Server für die DruckertreiberReplikation installierten Drucker nun
wieder entfernen und auch die entsprechenden Registry-Keys zu löschen. Der Data Store zeichnet die
Daten für die Druckertreiber AutoReplikation auf.
h
HOTLINE
BINTEC
X-Router Software v6.22
Teil 2: Neue Features und Änderungen im System
Von Hardy Schlink
Wir haben Ihnen letzthin mit Dynamic DNS und Dynamic VPN die neuen Sicherheits-Features der X-Router vorgestellt. Diesmal geht es um die weiteren Neuerungen der System-Software, denn BinTec hat die Version 6.22 gründlich
überarbeitet und um wertvolle Features ergänzt. Zudem wurden einige Änderungen vorgenommen, deren wichtigste
wir Ihnen nennen möchten.
M
Mit dem Erscheinen der System-Software Version 6.22
kann ein BinTec-Router nicht
nur wie bisher gewohnt als
DHCP-Server IP-Adressen an
seine angeschlossenen Clients
vergeben, sondern auch seine
eigene IP-Konfiguration von
einem DHCP-Server beziehen. Ermöglicht wird dies durch die neue
Funktion DHCP Client. Hierzu finden Sie in den Einstellungsmöglichkeiten der Ethernet-Interfaces
neue Optionen, die erscheinen, sobald
der Wert D H C P im Feld I P Configuration ausgewählt wird.
H.323
HOTLINE
Erstmalig wurde das sogenannte
H.323 Protokoll implementiert, mit
dessen Hilfe zahlreiche Anwendungen aus dem Gebiet Voice over IP
(VoIP) ermöglicht werden. Die momentane Realisierung unterteilt sich
in einen H.323 Proxy und einen
Patches
Gatekeeper (siehe Abb. 1). Als Resultat hieraus ergibt sich die Unterstützung von IP-Telefonen oderVoIP- Anlagen. Die komplette Beschreibung
der H.323 Funktionen können Sie im
Manual “Software-Reference” unter
Kapitel “H.323” nachlesen, welches
wie gewohnt unter www.bintec.
de zum Download bereitsteht.
X.25 via TCP/IP (XoT)
Die neue Funktion XoT ermöglicht
es den größeren X-Routern, X.25 Daten in TCP-Pakete zu verpacken, um
diese dann anschließend in einem IPNetzwerk versenden zu können. Die
Router X1000, X1200 und X3200
unterstützen XoT
Abb. 1: Einstellungsmöglichkeiten des VoIP Gatekeeper
nicht.
Die Konfiguration
erfordert
zunächst
die Bestimmung
des
zu
verwendenden
Ports, per
Default ist
dieser 1998. Natürlich läßt
sich die Portnummer beliebig
ändern, um an die gegebenen
Anforderungen angepaßt werden zu können. Im Menü
X.25/Static Settings
wird im Feld XOT TCP Port
der Port definiert, der die hier
ankommenden Daten an den XoTDienst weiterleitet. Dort angekommen, werden die Pakete gemäß der
Konfiguration der XoT Interfaces weiterverarbeitet.
Hardwarekompression
Durch die Installation der aktuellen
System-Software v6.22 wird nun auf
allen Ressourcenmodulen, welche
wie XTR-Enc und XTR-VPN über
den HiFn-Chip verfügen, die Datenkompression nach MPPC, MS-STAC
und STAC Standard unterstützt.
Kanalbündelung
Auch kann ein ISP nun das Feature
der Kanalbündelung bei Sammelrufnummern mit dem BAP/BACP Protokoll anbieten, wenn der entsprechende Provider die ankommenden Rufe
auf mehrere Router verteilt. Hierzu
wird dem einwählenden Client, der
einen weiteren B-Kanal benötigt, eine
bestimmte ISDN-Nummer mitgeteilt,
die wiederum für jeden Router der
Zentralstelle individuell vergeben
wird. Dies bewirkt, daß die Rufe mehrere Kanäle über diese Nummer auch
tatsächlich auf demselben Router
10
Ausgabe 10/2002
44
men. Durch die
beiden neuen VaipIcmpSourceQuench( rw): enabled
riablen wird es
ipIcmpTimeExceededTrans( rw): enabled
möglich,
IPipIcmpTimeExceededFrag( rw): enabled
Adressen
eines
ipIcmpDestUnreachFrag( rw): enabled
externen
IPipIcmpDestUnreachHost( rw): enabled
ipIcmpDestUnreachHostTcp( rw): tcp_rst
Adreß-Pools auf
ipIcmpDestUnreachProto( rw): enabled
IP-Adressen des
ipIcmpEchoReply( rw): enabled
LAN zu übersetipIcmpMaskReply( rw): enabled
zen. Es muß siMyRouter:ipIcmp>
chergestellt werden, daß sich die
Tabelle 1: Einstellbare ICMP-Messages
der ipICMPTable
vom Router anhand der Netzmaske errechneten
IP-Adressen
auch
wirklich im
terminiert werden. Die Bereitstellung
des zusätzlichen B-Kanals wird durch Adr eßbereich des Lokal Ar ea
eine spezielle Form des Callback rea- Network befinden.
lisiert. Wenn der Client einen weite- Konfiguriert wird das neue Feature
ren B-Kanal benötigt, fordert ihn die wie gewohnt mit Add / Edit im
Zentralstelle auf, einen Anruf auf die Setup Tool unter den Menüpunkten
individuelle Rufnummer des Routers IP / Network Address Trans
durchzuführen, und zwar mit dem lation / Edit / Requested
Router, mit dem der Client bereits from Outside und IP / Net
work Address Translation
schon eine Verbindung unterhält.
In dem oben geschilderten Fall nimmt / Edit / Requested from
der Client die Rolle des aktiven Teil- Inside.
nehmers wahr, was bedeutet, daß die
Kontrolle und die Verantwortung bei
diesem liegen (Kosten der Kanalbündelung). Von der zentralen Stelle
Haben Sie bei der System-Softher gesehen werden alle Anfragen des
ware v6.22 BETA bereits KonfiguClients angenommen, solange die
rationen in der ipICMPTable vorWAN-Partner Konfiguration in Übergenommen, so gehen diese beim
einstimmung mit dem Router stehen.
Update auf die Finalversion verlo-
Tabelle 1
MultiNAT
Als Erweiterung der NAT-Implementierung hielt MultiNAT Einzug in die
System-Software, wodurch für Netzwerke, die über mehr als eine externe
IP-Adresse verfügen, die NAT-Konfiguration vereinfacht wurde. Bis jetzt
war es nur möglich, NAT auf einzelne IP-Adressen anzuwenden. Sollten
mehrere IP-Adressen via NAT umgesetzt werden, so war dies bisher mit
einem höheren Konfigurationsaufwand verbunden.
Auch wurden zwei neue Variablen
eingeführt. Mit ExtMask – ipNAT
Out Table und IntMask –
IPNatPresetTable können nun
ganze IP-Netze umgesetzt werden.
Benötigt wird diese Funktion, wenn
Sie z.B. von Ihrem Provider mehr als
eine IP-Adresse zugewiesen bekom-
ren. Sichern Sie aus diesem
Grund vor dem Update Ihre Konfiguration, um sie nach dem Update wieder zurückzuspielen.
ICMP-Messages
Releases nicht, Änderungen sollten
nur bei Problemen im Zusammenhang mit dem ICMP-Protokoll durchgeführt werden. Die folgende Tabelle 1 zeigt uns die konfigurierbaren
ICMP-Messages, deren Default Einstellungen Sie sich in der
ipIcmpTable anschauen können.
Weekly Schedule
Ein besonders nützliches Feature
wurde mit dem sogenannten Weekly
Schedule entwickelt. Hierüber erhalten Sie die Option, für jeden
Dialup WAN-Partner zu definieren,
wann und für wie lange Connections
über das entsprechende Dialup-Interface stattfinden können. Sie erhalten
durch die Konfiguration des Menüpunktes WAN Partner / Add /
Weekly Schedule einen sogenannten Zugangsplan, in dem Sie
auch das Monitoring aktivieren oder
deaktivieren können (siehe Abb. 2).
Über die Definition von bis zu vier
Zeitfenstern für jeden Wochentag erhalten Sie die Möglichkeit, festzulegen, wann eine Verbindung zum
Kommunikationspartner aufgebaut
werden kann. Sollte der Schwellenwert eines Zeitraumes erreicht werden,
so wird die bestehende Connection
terminiert. Ein erneuter Aufbau der
Verbindung kann erst wieder bei Erreichen des nächsten Zeitfenster stattfinden.
Sollten mehr als vier Zeitfenster erforderlich werden, so ist dies über die
entsprechende Konfiguration der
isdnScheduleTable zu erreichen. Hierbei gilt es aber unbedingt
zu beachten, daß im Setup Tool nach
wie vor nur die ersten vier Zeitintervalle angezeigt werden, auch
Die System-Software v6.22 ermöglicht es uns, die vom Router verse n d e t e n Abb. 2: Das Weekly Schedule Menü
ICMP Me
ssages
vorher zu
konfigurieren. Per
Default
unterscheidet
sich das
Verhalten
gegenüber
früheren
10
Ausgabe 10/2002
45
h
HOTLINE
wenn in der MIB-Tabelle mehr als vier
Intervalle definiert worden sind. Sie
werden hierauf durch eine entsprechende Warnmeldung hingewiesen.
Sollten Sie den Menüpunkt im Setup-Tool nun mit Save verlassen, so
werden alle Einträge bis auf die ersten vier Zeitfenster aus der MIB-Ta
belle gelöscht.
Änderungen
Die neue IP-SecVariante der SystemSoftware v6.22 enthält einen erheblich erweiterten Funktionsumfang.
Hierdurch bedingt wurde es bei den
Routern der X1000, X1200 und
X3200 Serie erforderlich, Änderungen bei den sonstigen Funktionen
vorzunehmen. Die nun folgenden
Funktionen können Sie im IP-Sec
Image der System-Software v6.22
nicht mehr nutzen:
verschlüsselter ISDN-Login
dhkeyd, icrypt, dhkey
Routing Information Protocol
RIP daemon routed
Web Based Monitoring
httpd
Bridging
bridged, bridgemux
Zusätzlich ist die Unterstützung des
Command-Line-Interface cli.cmd,
die Debug Funktion profile und
die ISDN-Approval-Funktion nicht
mehr gegeben.
SNMP-Management
Die Variable biboAdmSnmpVersion wurde um drei neue Werte erweitert version1p1, version
1 p 1 _ c o m p a t und v e r s i o n
1p1_auto. Durch die Werte Version 1p1 wurde erreicht, daß die
Kompatibilität zwischen BinTec´s
SNMP-Realisierung und SNMP-Managern wie HP OpenView wesentlich
verbessert wurden.
Beachten Sie, daß ab der v6.22
version1p1_auto die DefaultEinstellung ist. Dies bedeutet, daß
diese, wann immer möglich, verwendet wird, ansonsten findet ein Umschalten auf v e r s i o n 1 p 1 im
Kompatibilitätsmodus version
1p1_compat statt.
Setzen Sie SNMP-Manager wie HP
OpenView ein, so sollten Sie in der
Tabelle biboAdmSnmp Version
den Wert auf version1p1_auto
konfigurieren. Dies gilt bei schon
bestehenden Installationen.
ADSL Modem
Bedingt durch Alcatels Implementierung von PPTP/GRE (Point to Point
Tunneling Protocol / Generic
Routing Encapsulation) kann es zu
blockierenden PPTP-Interfaces kommen. Sie werden verursacht durch fehlerhafte Acknowledgement Numbers.
Aus diesem Grund wurde von BinTec
der folgende Workaround geschaffen.
In der MIB-Variablen pptpPro
fileMaxBlockTime gibt es nun
einen einstellbaren Timer, der Werte
bis zu 100.000 Millisekunden annehmen kann. Nach Ablauf dieses Timers
wird eine blockierte PPTP-Connection und die dazugehörige Kontrollverbindung über TCP-Port 1723 beendet. Würde diese Aktion nicht stattfinden, so könnte es zu Problemen
beim Wiederaufnehmen der Verbindung zu Alcatel-Gegenstellen kommen.
Nach dieser Beschreibung des erheblich gesteigerten Funktionsumfangs
wollen wir beim nächsten Mal noch
auf die Bugfixes eingehen. Wir werden sehen, welche Fehler mit der aktuellen Software behoben wurden,
und erwähnen, welche Probleme
noch existieren.
Microsoft Outlook & SMS
HOTLINE
Wichtige Nachrichten erwarten meist eine umgehende Antwort. Um eine schnelle Reaktion zu implementieren,
stellt das Automatische Weiterleiten eine sichere Lösung dar, um Nachrichten via SMS zum Handy des
Adressaten zu schicken. So gehen für Mitarbeiter, die auf hohe Mobilität angewiesen sind, wichtige Messages
nicht verloren und können direkt beantwortet werden. Das automatische Weiterleiten empfangener Messages
in Form einer SMS kann auch in Umgebungen mit Microsoft Exchange implementiert werden. Voraussetzung
ist der Einsatz von David MX oder der Microsoft Exchange Connector for DvISE. Bei der Installation muß das
DvISE Produktes lediglich für den Versand von SMS-Messages konfiguriert werden. Dann läßt sich über eine
Regel im MS Outlook die erwähnte Weiterleitung wie folgt verwirklichen
Weiterleitung
Zuerst wird ein neuer Kontakt anlegt, der als Ziel der Weiterleitung dient. In diesem wird die Telefon-Nummer
als E-Mail Adresse eingetragen werden. Verwenden Sie das Muster [SMS: +49 171 1234567]. Weiterhin sollte in diesem Kontakt die Option E-Mail als Nur-Text senden selektiert werden, damit der
Text einer HTML-Mail auf dem Handy angezeigt werden kann, nachdem sie weitergeleitet wurde.
Zweitens wird über MS Outlook für den gewünschten Eingangsordner eine Regel angelegt, die für das
Weiterleiten der SMS-Messages sorgt. Nach der Konfiguration der Bedingungen gilt es die Aktion Weiterleiten an eine Person/Verteilerliste auszuwählen. Das Ziel entspricht dem vorher erstellten
Kontakt. Nachdem zum Abschluß die gewünschten Ausnahmen definiert wurden, ist die Einrichtung bereits
abgeschloßen.
10
Ausgabe 10/2002
46
CISCO
T-DSL-Anschluß
Cisco Pix Software Version 6.2.2 mit PPPOE
Von Jörg Marx
Seit es die Cisco Pix Software Version 6.2.2 (oder 6.2.1) gibt, hat man die Möglichkeit, sich direkt mit dem Outside
Interface an einen T-DSL-Anschluß zu verbinden. Denn die Pix ist in der Lage, dort das PPPOE Protokoll zu fahren.
Die folgenden Zeilen definieren die Network Address
Translation (NAT). Die beiden Kommandos haben zur
Folge, daß alle Outbound-Verbindungen auf die IP-Adresse des Outside-Interface übersetzt werden.
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
Mit der folgenden Befehlszeile legen Sie den T-Online
Username für die PPPOE-Verbindung fest. Der Username
besteht bei einem T-Online Anschluß aus der Anschlußkennung, der T-Online Nummer und der Mitbenutzernummer, die Endung @t-online.de ist hier zusätzlich zwingend erforderlich.
U
Um mit der Cisco Pix T-DSL zu nutzen, sind für die PPPOE
Konfiguration mit der Software-Version 6.2.2 einige Eingriffe vonnöten. Wichtig zu wissen ist, daß bei der aktuellen Software Version zur Zeit nur die T-DSL-Flatrate unterstützt wird. Denn zur Zeit ist kein Mechanismus vorhanden, der in der Lage ist, die Leitung herunterzufahren,
wenn kein Verkehr auf der Leitung ist.
vpdn group T-Online
localname [email protected]
PIX# show run
Die Authentifizierung läuft auch hier über PAP ab. In der
folg enden Zeile sollten Sie somit Ihren T-Online
Username und das zugehörige Paßwort eintragen.
PIX Version 6.2(2)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 intf2 security10
enable password 2KFQnbNIdI.2KYOU encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
vpdn group T-Online ppp
authentication pap
Dann wird die Verknüpfung zwischen Username und Zugangspaßwort hergestellt.
interface ethernet0 10baset
interface ethernet1 10baset
interface ethernet2 10baset
vpdn username [email protected]
password *********
Damit die PIX überhaupt mit PPPOE arbeiten kann, muß
zuerst eine VPDN-Gruppe erzeugt werden. Diese muß für
DIAL-OUT über PPPOE konfiguriert sein. Der Name der
Gruppe ist beliebig zu wählen.
Die folgenden Zeilen aktivieren auf dem Inside-Interface
einen DHCP-Server zur Adreßverteilung.
dhcpd
dhcpd
dhcpd
dhcpd
vpdn group T-Online request dialout pppoe
Mit dem nächsten Kommando wird das PPPOE-Protokoll
auf dem OUTSIDE Interface aktiviert. Das Interface beginnt sofort mit der PPPOE Kommunikation zum Provider
hin.
address 172.16.1.2-172.16.1.254 inside
lease 3600
ping_timeout 750
enable inside
Mit dem abschließenden Kommando wird erreicht, daß
die über PPP des Outside-Interface empfangenen Parameter wie z.B. DNS-Server über den DHCP-Server an die
internen Clients weitergereicht werden.
ip address outside pppoe setroute
ip address inside 192.10.10.1 255.255.255.0
ip address intf2 193.11.11.1 255.255.255.0
dhcpd auto_config outside
: end
10
Ausgabe 10/2002
47
h
HOTLINE
NOVELL
Vorteilhaft bedient
Netware Consolidation Utility
Von Jörg Marx
Mit dem Netware Consolidation Utility stellt Novell jetzt ein Tool zur Verfügung, mit dem Sie in der Lage sind, auf
einfache Art und Weise Dateien, Volumes und sogar Directories verschieben bzw. kopieren zu können. Das Schöne an
diesem Tool ist jedoch, daß durch das Kopieren bzw. Verschieben keinerlei eDirectory Rechte oder andere Attribute
verloren gehen. Schauen wir es uns einmal gemeinsam an.
D
HOTLINE
Das Netware Consolidation Utility
unterstützt die Netware Versionen 4.x,
5.x und 6.x mit traditionellem und
mit dem aktuellen NSS-Dateisystem.
Wichtig zu wissen ist, daß auch komprimierte Dateien kopiert werden
können, ja es ist sogar möglich, komprimierte Dateien auf ein anderes
Volume zu schieben, auf dem keine
Dateikompression aktiviert ist. Somit
können Sie in Ihrem Netzwerk einfach mittels Drag and Drop Dateien
auf ein SAN-System verschieben,
ohne die Rechte zu verlieren oder ein
Server Upgrade von Netware 4.x auf
5.x oder 6.x durchführen zu müssen.
Der Vorteil beim Upgrade liegt in der
Performance, denn das Consolidation
Utility ist wesentlich schneller beim
Kopieren der Daten als der Migration Wizard. Ein weiterer Vorteil liegt
in der Möglichkeit, Printer Agents
von einem Printer Manager zum anderen zu verschieben, ohne denAgenten auf der einen Seite löschen und
auf dem neuen Manager wieder neu
anlegen zu müssen. Im Consolidation
Utility geben Sie einfach den Zielserver an, auf dem der Printer Agent
zukünftig laufen soll, und der Rest
geschieht automatisch. Das
Consolidation Utility benötigt eine
Windows NT/2000 oder XP Plattform,
einen Novell Client 32 sowie IP oder
IPX als Transport Protokoll.
Bedienung
Nach dem Aufruf des Novell Netware
Consolidation Utility, zu finden unter START / PROGRAMME / NOVELL,
haben Sie die Möglichkeit, sich über
das Feld VIEW SETUP TASKS auf
die Online Dokumentation des NoAbb. 1: Eingangsbildschirm des Novell Netware
vell Supports verConsolidation Utility
binden zu lassen,
vorausgesetzt Ihr
Rechner hat einen
Internetzugang. Anschließend müssen
Sie einen neuen
Project Filenamen
eingeben, um eine
neue Aktion in
Gang zu setzen.
Jetzt wird der Tree
ausgewählt, in dem
jene Server stehen,
auf denen Sie eine
Kopierjob plazie-
ren möchten. Hier angekommen finden Sie ein Fenster für die SourceNDS und eines für die DestinationNDS.
Projekte
Wie gehen Sie nun am besten vor, um
sich in dem Fenster ein entsprechendes Projekt zu erzeugen, das genau
die Kopieraktion auslöst, die Sie bestimmt haben (vgl. Abb. 2)? In der
rechten Fensterseite können Sie einen neuen Ordner erzeugen, indem
Sie mit der rechten Maustaste auf das
Volume oder einen Ordner gehen und
anschließend das Feld NEW FOLDER anwählen. Diesen Ordner können Sie einfach mittels Delete-Taste
löschen, oder Sie können mit der rechten Maustaste den Ordner umbenennen. Wenn Sie eine Aktion wieder
rückgängig machen wollen, gehen Sie
auf das entsprechende Objekt, es ist
immer mit einem blauen Pfeil markiert. Über die rechten Maustaste
können Sie den Punkt BACK OUT
anwählen, der diese Aktion zurücksetzt. Sollten Sie einmal die Übersicht
in dem Fenster verloren haben und
nicht mehr wissen, welche Datei bzw.
welches Verzeichnis Sie wohin kopiert haben, so gibt es leicht Abhilfe.
Gehen Sie mit der rechten Maustaste
im linken Fenster auf das Objekt und
springen durch Anwählen des Feldes
Where Did it go direkt in das
rechte Fenster an die Stelle, wohin es
verschoben wurde. Das gleiche geht
natürlich auch umgekehrt im rechten
Fenster.
10
Ausgabe 10/2002
48
Auch eine Gesamtübersicht ist verfügbar. Gehen Sie mit der rechten
Maustaste auf ein Container-Objekt,
so erhalten Sie die Optionen SHOW
DROPPED FOLDERS und SHOW
DROPPED PRINTERS.
Verify Project
Das neu angelegte Projekt können Sie
auch durch das Novell Netware
Consolidation Utility auf einen fehlerfreien Lauf überprüfen lassen. Hierzu finden Sie in der oberen Menüleiste unter PROJECT den Punkt
VERIFY PROJECT. (vgl. Abb. 2).
Wenn diese Option ohne Fehler durchläuft, können Sie sicher sein, daß auch
das eigentliche Verschieben ohne
Probleme durchgeführt werden kann.
Speichern Sie dann die Projekteinstellungen mittels FILE / SAVE AS
abschließend ab.
Beim Ausführen des Punktes VERIFY
PROJECT könnten möglicherweise
Probleme auftreten. Wenn ein roter
Kreis mit einem weißen Kreuz erscheint, dann handelt es sich um einen Fehler, den Sie zwingend vor dem
Kopiervorgang beheben müssen, da
sonst ein fehlerfreier Ablauf nicht sichergestellt ist. Bei einem gelben
Dreieck mit schwarzem Fragezeichen
handelt es sich um Fehler, die zwar
behoben werden sollten, die jedoch
den Ablauf des Kopierprozesses nicht
gefährden. Eine weiße Sprechblase
mit einem blauen I ist nur rein informativ gedacht.
Dateien und Drucker
Nachdem das Verify durchgelaufen
ist, kann das eigentliche Kopieren beginnen. Angestoßen wird dieser Prozeß über den Punkt PROJECT aus der
oberen Menüleiste und zwar über den
Punkt VERIFY AND COPY DATA.
Nachdem alle Dateien, Verzeichnisse
und Drucker kopiert wurden, können
Sie über die Punkte ERROR LOG und
SUCCESS LOG aus dem Punkt VIEW
der oberen Menüleiste den Erfolg
kontrollieren.
Was zur Zeit alles vom Novell
Netware Consolidation Utility kopiert werden kann und was nicht, sind
z.B. Printer Agents, Print Queues je-
doch nicht. Printer Agents, die kopiert
wurden, nutzen weiterhin den gleichen Broker. Offene Dateien können
nicht kopiert werden. Die Module
TSA600 oder TSA500 müssen Sie
jedenfalls manuell laden. Übrigens
muß auch ein funktionierender Print
Service Manager vorhanden sein.
Cluster enabled Volume
te Volume-Objekt auch über das
Consolidation Utility sehen und bearbeiten.
Nachdem Sie Ihr Projekt beendet haben, sollten Sie jedoch die neu angelegten Objekte wieder löschen, damit
keine Verwirrung entsteht.
Fehlerbehebung
Beim Fehler
SMDR
not
Wenn Sie in Ihrer NDS die Novell Clu- Communicating ist entweder das
ster Services einsetzen, dann haben SMDR.NLM auf dem Source- oder DeSie Volume-Namen, die so aussehen, stination-Server nicht geladen, oder
daß dem Namen des Clusters ein Un- SLP wurde nicht ordnungsgemäß
terstrich und dann der Volume-Name konfiguriert. Geben Sie an der Serverfolgt, z.B. Cluster1_vol1. Mit konsole des Destination Servers foldieser Namengebung kann jedoch gendes Kommando ein: display
das Consolidation Utility nicht viel slp services. Sollten Sie hier
anfangen, denn es benötigt den keinen SMDR-Service finden - z.B.
Servernamen gefolgt von einem Un- smdr.novell//(svcnameterstrich und dem Volume-Namen, ws==source_server_name), so
z.B. Server1_ vol1. Das können ist das SMDR-Modul nicht geladen.
Sie sicherstellen,
wenn Sie die fol- Abb. 2: Project Fenster des Novell Netware Consolidation
genden Punkte Utility
beachten.
Starten Sie die
ConsoleIOne
und browsen zu
dem Container,
in dem das NCPServer Objekt
liegt. Mit der
rechten Maustaste können Sie
NEW / VOLUME
auswählen und
hier den neuen
Namen eingeben. Das sollte
der genannte Servername, gefolgt Abb. 3: Durchführung eines Projektes
von einem Unterstrich und dem
Volume-Namen
sein. In dem zweiten Feld dieses
Fensters browsen
Sie auf den entsprechenden Server, im dr itten
Feld auf das entsprechende Volume und sagen abschließend O K.
Jetzt können Sie
das neu angeleg-
10
Ausgabe 10/2002
49
h
HOTLINE
Sie sollten es dann manuell nachladen. Wenn Sie den Service jedoch
finden, so haben Sie ein Problem im
SLP und sollten diese Konfiguration einmal überprüfen (s. TechnikNews 7 und 8/2002).
NDPS Printer Agents
Wenn nach einer Migration die verschobenen Printer nicht in der NDS
an der entsprechenden Stelle auftauchen, kann das zwei Ursachen haben.
Die NDS ist noch nicht synchron,
was bedeutet, daß Sie hier noch etwas Geduld haben müssen. Warten
Sie je nach NDS-Größe ca. 5 bis 10
Minuten, dann tauchen die Druckerobjekte früher oder später auf. Soll-
ten sie nach dieser Zeit immer noch
nicht auftauchen, so prüfen Sie, ob
der Novell Distributed Print Services
Manager NDPSM.NLM auf dem Destination Server geladen ist.
NUWAGENT Won’t Load gibt es
nur bei NetWare 4.2. In diesem Fall
ist das CLIBAUX.NLM nicht geladen.
Sie brauchen es einfach nur auf dem
Server manuell nachzuladen.
können Probleme in einem geswitchten Netzwerk mit der Autonegotiation bestehen bzw. falsche Porteinstellungen bei Duplex zu Half Duplex. Drittens könnte es sein, daß sehr
viele kleine Dateien übertragen werden müssen. In den Novell Labs konnte man in einem 100Mbit Netzwerk
eine durchschnittliche Performance
von 6 bis 8 Gbyte pro Stunde feststellen.
Performance
Es gibt normalerweise drei Ursachen
dafür, daß die Server Consolidation
Performance zu gering ausfallen
könnte. Erstens mag unabhängig von
dem Project-Kopiervorgang sehr viel
Netzwerkverkehr herrschen. Zweitens
Volume Contents
Wenn ein Volume Objekt im Novell
Netware Consolidation Utility nicht
angezeigt wird, kann das den Grund
haben, daß es nicht gemounted ist
oder keine Daten darauf liegen.
NOVELL
Mit Nachdruck
Trouble-Shooting Novell NDPS Printing
Von Jörg Marx
Die Novell Distribution Print Services machen das Drucken in Netware Netzwerken wesentlich einfacher. Doch wie
überall kann es auch hier vorkommen, daß das ein oder andere Problem auftaucht und nach einer Lösung sucht. Die
häufigsten Fehler und deren Lösung möchten wir Ihnen in diesem Bericht aufzeigen. Denn oft hilft ein bißchen
Nachdruck, und es läuft wieder.
HOTLINE
P
Probleme der NDPS können möglicherweise beim Einspielen der Netware Service Packs entstehen. Wenn die
NDPS-Printservices nicht auf einem Server installiert sind,
und ein Netware Service Pack installiert wird, werden die
NDPS-Updates nicht mit aufgespielt. In diesem Fall müssen Sie die aktuellen NDPS-Patches -eventuell manuell nachinstallieren (siehe TID 10017746). Um dieses Problem generell zu lösen, sollten Sie ein temporäres Verzeichnis erzeugen und darunter ein DummyInstallationsscript in der Datei NDPS.ips anlegen. Dies
können Sie z.B. einfach mit Notepad tun. Die Datei sollte
nur die folgenden zwei Zeilen enthalten:
ProductRecord NDPS, 0, „2.0.0“
ProductRecord NDPS, 1, „Novell
Distributed Print Services (NDPS)“
10
Ausgabe 10/2002
50
Stellen Sie sicher, daß in dem temporären Verzeichnis
keine andere .ips-Datei existiert. An der Serverkonsole
laden Sie NWCONFIG, wählen den Punkt PRODUKT
OPTIONS und anschließend INSTALL A PRODUCT
NOT LISTED aus. Mittels der Taste [F3] können Sie hier
den Source-Pfad der Installation überschreiben bzw. ändern. Wechseln Sie hierzu auf das neu erzeugte File
SYS:\TEMP\NDPS.ips. Dadurch, daß die .ips-Datei
nur die angegebenen zwei Zeilen enthält, wird nicht die
komplette NDPS-Installation angeworfen, sondern es erscheinen jetzt die NDPS-Printservices im NWCONFIG unter
PRODUCT OPTION und VIEW / CONFIGURE / REMOVE
INSTALLED PRODUCTS, und zwar wie folgt: NDPS
2.0.0 Novell Distributed Print Services
(NDPS).
Beim Lexmark Gateway sollten Sie die folgende Zeile in
die LEXGATE.ini im Verzeichnis SYS:\SYSTEM hinzufügen: TRUEENDOFJOB=OFF.
Novell Client
Manche Applikationen nutzen zum Drucken den UNCPfad zum Drucker selbst. Das kann unter Umständen an
einem Novell Client in der Default-Konfiguration bis zu
30 Sekunden dauern. In diesem Fall möchte der Client
den UNC-Pfad über eine nicht konfigurierte Suchmethode
auflösen wie z.B. Host-File, DNS oder SLP. Entfernen Sie
alle nicht konfigurierten Suchmethoden aus dem Novell
Client und ändern Sie den Wert NAME RESOLUTION
TIMEOUT auf den Client von 10 auf 1 ab.
HPGATE.nlm
Das mitgelieferte HPGATE.nlm hat einige bekannte Fehler. Sie sollten daher die aktuelle Version einspielen. Diese finden Sie unter: http://www.hp.com/cposup
port/swindexes/hpipipxpri9501_swen.html
Die Standardkonfiguration des HPGATE.nlm läuft in
kleineren Netzwerken mit einer guten Performance, doch
je mehr Drucker hinzugenommen werden, um so eher
werden Sie feststellen, daß die Performance mehr und mehr
einbricht (vgl. Abb. 1). Wenn Sie also sehr viele Drucker
darüber laufen haben, sollten Sie die Default-Werte anpassen. Ab welcher Anzahl von Druckern das HPGATE
Probleme bekommt, finden Sie im HPGATE-Monitor auf
dem Server unter dem Punkt HP GATEWAY STATISTICS
und zwar beim Wert PROCESSES WAIT TO RUN. Sollten hier öfter Werte um die 100 erscheinen, ist das
HPGATE.nlm überlastet. Man sollte entweder einige
Drucker auf ein anderes HP Gateway legen oder die Einstellungen optimieren (vgl. Abb. 2). Der wichtigste Parameter hierunter ist der Wert unter MAXIMUM SERVICE
THREADS. Er steht per Default auf 10 und sollte auf 40
erhöht werden. Das kostet jedoch Hauptspeicher im Server.
Sie sollten generell nur die aktuellen NDPS-Module
verwenden, wobei immer der neueste NDPS-Patch
installiert sein sollte. Doch wenn Sie das Novell
Gateway nutzen, wird es geradezu zur Pflicht, da hier
sehr viele bekannte Fehler behoben wurden. Der allerneueste NDPS-Patch hat den Namen NDP21P4.exe
und ist auf der Technik-News CD zu finden.
Abb. 1: HP Gateway Statistiken
Alte Software
Wenn Sie auf einem NDPS-Jetdirect Drucker I/O Error
oder Needs Attention Error erhalten, dann handelt es sich meist um eine alte Firmware des Jetdirect Drukkers. Eine neue Version finden Sie unter: http://
www.hp.com/cposupport/prodhome/
hpjetdirec19284.html.
Auch beim Lexmark bzw. Xerox Gateway gibt es in der
ausgelieferten Version einige Fehler. Aus diesem Grund
sollten Sie auch hier die aktuelle Version einspielen. Diese finden Sie unter:
http://www.xerox.com/go/xrx/template/
012.jsp?prodID=NDPS&Xcntry=USA&Xlang=en_
US&Xseg=corp
http://partnersource.lexmark.com/US/
solutions/ndps.html
Abb. 2: Änderungen der HP Gateway Parameter
10
Ausgabe 10/2002
51
h
HOTLINE
NOVELL
FAQs und Facts
Interessante Tips der Deutschen Netware FAQ
Von Stefan Braunstein
Wer die Anwender im Netzwerk mit aktuellen Infos versorgen möchte oder Bitmaps im Login-Fenster der Clients
anzeigen will, kann auf Utilities zurückgreifen, die ihm dabei recht praktische Dienste leisten. Stefan Braunstein, der
Verwalter der Deutschen Netware FAQ und der Utility-Sammlung NetwareFiles liefert TN-Lesern diesmal wieder
aktuelle Tips und Tools.
I
In der letzten Ausgabe hatte ich Ihnen gezeigt, wie Sie sich in den Produkt Optionen eines NetWare Servers
verewigen können. Am Client ist dies
allerdings weitaus wirkungsvoller
(vgl. Abb. 1). Sie können das neue
Bild über einen Registry Eintrag aktivieren, erheblich einfacher geht es
jedoch mit dem “Login Screen
Bitmap Selector”, den ein Novell Mitarbeiter als Freeware geschrieben hat.
Die hier beschriebenen Tools finden Sie bei den Free Tools der
”Novell Cool Solutions” unter
http://www.novell.com/
coolsolutions/freetools.
html , natürlich auch bei Net
wareFiles.de und auf der TNMonats-CD unter \NWFAQ.
Festplatte ablegen. Die Bedienung
des Programms ist simpel. Sie wählen Ihr gewünschtes Bitmap aus oder
löschen ein vorher definiertes, und
nach dem nächsten Neustart wird das
Bild im Login Fenster angezeigt.
Was gibt’s Neues?
Wenn Sie Ihre Benutzer öfter mit aktuellen Infos versorgen möchten, ist
ein Web-Server im Intranet ganz praktisch, teilweise aber etwas übertrieben. Wenn Sie dabei auch noch sicherstellen möchten, daß die Nachrichten auch bestimmt gelesen werden, bietet sich ein System
Abb. 1: Modifizierter Anmeldungsdialog
an, das solche Infos beim
Login anzeigt und eine Lesebestätigung verlangt. Mit
dem kleinen Freeware Programm Broadcast können
Sie Text- oder HTML-Nachrichten mit wenig Aufwand
an den Arbeitsplatz bringen.
Wie Sie in der Beispielnachricht (vgl. Abb. 2) erken-
HOTLINE
Erstellen Sie ein Bitmap im BMPFormat in einer Größe von 452 * 113
mit 16 Mio. Farben. Da auf dieses
Originalbild bei jedem Aufruf des
Login-Fensters zugegriffen wird,
müssen Sie es daher auf der lokalen
nen können, ist das Programm frei
konfigurierbar. Alle GIF-Gr afikobjekte können nach Belieben ausgetauscht werden, sollten allerdings
die gleiche Größe wie das Original
haben.
Alle aktuellen ungelesenen Nachrichten werden bei jedem Login nacheinander angezeigt, bis sie mit der
Checkbox Gelesen rechts unten
bestätigt werden. Jede Info liegt als
HTML-Datei inklusive Grafiken in
einem Verzeichnis auf dem Server und
wird mit der Engine des auf dem Arbeitsplatz installierten Internet Explorers angezeigt. Neue Mitteilungen
werden einfach in das gemeinsame
Verzeichnis hineinkopiert, wobei die
Schreibberechtigungen über die normale Rechteverwaltung der NetWare
abgewickelt werden. Die Installation
beschränkt sich auf die Konfiguration einer kleinen INI-Datei und den
Eintrag in das Login Script.
Abb. 2: Firmeninfos beim Login
anzeigen
10
Ausgabe 10/2002
52
ßert, direkt vom
Server aus per
FTP Dateien zu
empfangen. Mit
Hilfe von NSN
(ehemals Netbasic) konnte dieser
Wunsc h recht
einfach verwirklicht werden.
Mittlerweile gibt
es zwei Clients,
wobei getftp.
zip von Martin
Strobl öfter akAbb 3: AutoLogon for Windows 1.4 nimmt die Arbeit ab
tualisiert wird
und auch als
Freeware angeboten wird. Obwohl das
Tool kompiliert wurde und als NLM
Zum Thema Auto-Login gibt es un- vorliegt, werden weiterhin Kompozählige TIDs und Tips bei Novell. nenten von Netbasic benötigt. Unter
Jede Client32-Version benutzt ande- Umständen müssen Sie das Programm
re Registry-Einträge dafür, und die erneut kompilieren, was anhand der
Clients für Win9x und NT/2000/XP beiliegenden Hilfe aber ganz einfach
unterscheiden sich hierbei sowieso vonstatten geht. Oder Sie starten die
gravierend. Diesem Umstand hat sich Interpreter-Variante des Clients. Auch
der Däne Tommy Mikkelsen ange- dies wird im beiliegenden englischnommen und ein Freeware Windows sprachigen Readme genau erklärt.
Tool programmiert, das Ihnen die notwendigen Schritte abnimmt und ohne
Installation sofort einsatzbereit ist
(vgl. Abb. 3). Sie müssen nur die gewünschten Benutzernamen und Paßder APC
wörter in die Maske eintragen und Die Version 4.33
AutoLogon aktivieren. Beachten Sie PowerChute Plus Software für
dabei, daß standardmäßig die Ausfüh- NetWare ist mittlerweile zwar recht
rung von Login Scripts nicht ausge- betagt, sie läuft aber auch auf älteren
wählt ist. Setzen Sie einfach das pas- NetWare Versionen und ist für einen
sende Häkchen, und Ihr Rechner star- einzelnen Server ausreichend. Allertet nun ohne weiteren Eingriff durch. dings funktioniert die Installation
Daß die hinterlegten Paßwörter ein über den Client nur mit installiertem
Sicherheitsrisiko darstellen, sollte Novell Client32, aber nicht mit dem
Ihnen natürlich klar sein. Andererseits Client 4.8 unter Windows 2000. APC
gibt es viele Bereiche, in denen die- empfiehlt, den Client 4.7 einzusetzen.
Da dieser jedoch ansonsten für
ser Automatismus erforderlich ist.
Windows 2000 nicht zu empfehlen
ist, versuchen Sie, die Installation
von einem Win9x Client aus durchzuführen. APC empfiehlt für Server
unter NetWare 5.x und 6 aber drinVor einigen Jahren gab es von der Fir- gend die aktuelle APC PowerChute
ma Wonloo, die auch NetWare-basier- Business Edition v6.x für Netware
te FTP- und Webserver anbietet, ei- 5.1/6.0. Diese wurde mit Java pronen FTP-Client für NetWare Server. grammiert und erfordert deshalb etDieser war jedoch zeitbeschränkt und was Vorarbeit. So wird bei der Instalwurde nicht weiterentwickelt. In lation mindestens Java 1.3.1 auf dem
Newsgroups und anderen Foren wur- Server vorausgesetzt. Mit den aktude immer wieder der Wunsch geäu- ellen NW 5.1 Support Packs wird die-
AutoLogon
APC PowerChute
Plus
NetWare Server als
FTP-Client
10
Ausgabe 10/2002
53
se Version nicht automatisch installiert. Verwenden Sie deshalb den
Novell Patch jvm131sp1.exe.
Von APC erhalten Sie unter
http://www.apc.com/tools/
download/ die aktuelle Power
Chute Version, die Sie auf dem
Server in einem Installationsverzeichnis auspacken.
Gestartet wird die Installation direkt
an der Server Konsole mit <insta
llationsverzeichnis>/in
stall. Dabei wird die X-WindowOberfläche gestartet, weswegen Sie
keine Remote Konsole einsetzen können. Nach Eingabe der erforderlichen
Parameter starten Sie den Agent
mitSYS:\PowerChuteBusin
essEdition\Agent\bin\pbe
agent, wobei der Befehl vom Programm automatisch in der AUTO
EXEC.NCF eingetragen wird. Nun
können Sie per Web-Browser auf den
Server zugreifen: http://ser
ver:3052. Diese neue PowerChute
Version hat den Vorteil, daß auch andere Serversysteme damit administriert werden können. Es gibt verschiedene Ausbaustufen der Software, wobei die Business Edition mit
bis zu fünf Servern kostenlos erhältlich ist.
Stefan Braunstein, der Verwalter
der Deutschen Netware FAQ
(netwarefaq.de) und der Netzwerk-Utility-Sammlung (www.net
warefiles.de), liefert TechnikNews-Lesern allmonatlich eine
Serie mit Tips, Tricks und Tools
rund um Novell NetWare. Sie erreichen den
Autor über:
www.braunstein.de. Die angesprochenen TIDs und englischsprachigen Informationen der
Novell Knowledge Base sind nun
unter: http://support.no
vell.com/search/kb_index.
jsp zu finden. Einen direkten Link
zur NetWare FAQ haben Sie auch
über Technik News online:
www.technik-news.de.
p
PRAXIS
BINTEC
IPsec-Implementierung
Teil 1: Internet Protocol Security
Von Hardy Schlink
Die BinTec-Router bieten mit Internet Protocol Security allerhöchste Netzwerksicherheit. Wir haben im aktuellen
Schwerpunkt die Hintergründe und Details von IPsec ausführlich dargelegt. Deshalb wollen wir die dort gewonnenen Informationen nutzen, wenn wir in diesem ersten Teil unserer neuen Praxisserie die IPsec-Implementierung in
den BinTec-Routern vorstellen, um sie am praktischen Beispiel umsetzen zu lernen.
Z
Zunächst wollen wir im Rückgriff auf das aktuelle Thema
des Monats veranschaulichen, welch vielfältige Facetten
uns das IPsec- Protokoll bei den BinTec Geräten faktisch
bietet. Wir werden die im Schwerpunktthema dargelegten Hintergrundinformationen zusammenfassen und auf
die praktische Implementierung bei den BinTec-Routern
übertragen. Entsprechende Querverweise finden Sie im
Text. Wir werden sehen, welche Möglichkeiten uns
BinTec mit IPsec zur Verfügung stellt, und werden die
dabei verwendeten Protokolle, Algorithmen und die verschiedenen Modi des IPsec-Protokolls zusammenfassend
vorstellen. Denn die hier beschriebenen Arbeitsweisen des
IPsec-Protokolls werden uns helfen, die konkreten Einstellungen der IPsec-Parameter im BinTec-Router zu verstehen und praktisch anwenden zu können. In der nächsten Ausgabe der Technik News werden wir dann anhand
dieser Informationen an die Konfiguration von IPsec gehen, indem wir den sogenannten IPsec-Wizzard verwenden.
Internet Protocol Security
Die oben genannten Punkte führten unter anderem zur
Definition des IPsec-Standards (Internet Protocol Security),
da sichergestellt werden sollte, daß wie vom IP-Protokoll
her gewohnt, Geräte unterschiedlicher Hersteller miteinander kommunizieren können. IPsec bildet hierbei das
Framework der offenen Standards und stellt transparente
Security-Services durch die Nutzung moderner
Kryptografie zur Verfügung, die unabhängig von der eingesetzten Applikation sind. Ein zusätzlicher Nutzen entsteht aus der Tatsache, daß die Security-Dienste vom Benutzer nicht bemerkt werden, und keine Umstellung in
der Arbeitsweise erforderlich ist.
Protokolleigenschaften
Die IPsec-Protokoll-Suite stellt die Security-Services auf
der Netzwerkebene (Packet Level) zur Verfügung. Hieraus
resultiert, daß die Sicherheit des Netzwerkes im allgemeinen gewährleistet ist, und nicht nur für die Sicherheit der
Applikationen und deren versendeten Daten gesorgt wird.
Die Vorteile sind, daß IPsec momentan der einzige akzeptierte Security-Standard für IP-Encryption ist und die
Interoperabilität mit Geräten vom mehreren Herstellern
gewährleistet ist. Es werden Security-Services bereitgestellt, die für die Sicherheit der Netzwerkumgebung unentbehrlich sind, wie Authentication, Confidentiality,
Integrity, Non-Repudiation, Anti-Replay. Das Design von
IPsec erlaubt die Zusammenarbeit mit den IP-Protokollen
Ipv4 und Ipv6.
PRAXIS
Sicherheitanforderung
Heutzutage findet fast die gesamte Kommunikation über
das Internet mit Hilfe des Protokolls IP v4 statt. Durch die
große Flexibilität der TCP/IP-Protokoll-Suite wurde dafür gesorgt, daß nahezu alle Computer dieser Welt miteinander kommunizieren können. IP hat sich zum
Standardprotokoll im Internet wie auch im Intranet durchgesetzt. Leider weist IP v4 in Sachen Sicherheit einige
Lücken auf, die eine sichere Übertragung der Daten über
das Internet ohne zusätzliche Protokolle wie eben IPsec
nicht ermöglichen.
An die Netzwerksicherheit werden Grundanforderungen
gestellt. Da wäre zunächst die ”Authenticity” zu nennen,
die dafür sorgen soll, daß die Person oder eine Maschine,
mit der Sie zu kommunizieren glauben, auch wirklich
diejenige ist, für die sie sich ausgibt. Der zweite Punkt ist
die ”Confidentiality”, die dafür sorgt, daß niemand die
gesendeten Daten im Klartext sehen kann. Zu guter letzt
stellt die ”Integrity” sicher, daß die Daten auf ihrem Weg
durch das Internet nicht verändert werden können.
Anwendungsgebiete
IPsec wird im Zusammenhang mit VPN implementiert,
wobei es hier zwischen verschiedenen Einsatzgebieten
zu unterscheiden gilt: Intranets, Extranets und Remote
Access. Größere Unternehmen mit mehreren Außenstellen nutzen das Internet, um den Mitarbeitern in den einzelnen Lokationen die Möglichkeit zu geben, ihre Daten
verschlüsselt über ein ungesichertes Medium wie das
10
Ausgabe 10/2002
54
Internet zu übertragen. Firmen können mit Hilfe der IPsecTechnologie in Extranets sichere Verbindungen mit Lieferanten und Geschäftspartnern implementieren. Und
Mitarbeiter eines Unternehmens können durch die Tunnel-Technologie unabhängig vom Einsatzort eine gesicherte Remote-Verbindung zur Zentrale aufnehmen, um
geschäftskritische Daten zu übersenden. In Host-to-HostVerbindungen ist IPsec ebenfalls in der Lage, eine gesicherte Ende-zu-Ende-Connectivity bereitzustellen, die
zwischen zwei Hosts über das Netzwerk realisiert wird.
Die IPsec-Protokoll-Suite ermöglicht es, gesicherte Verbindungen zwischen zwei sogenannten Security
Gateways aufzubauen, wobei eine transparente Sicherheit für alle Hosts der beteiligten IP-Subnetze gegeben
ist. In diesem Fall sind der Connection Endpoint und der
Endpoint des IPsec-Tunnel nicht identisch. Auf der anderen Seite kann eine direkte Host-to-Host-Verbindung ermöglicht werden, wobei allerdings nur die Daten der beteiligten Hosts verschlüsselt werden, die Endpoints des
Tunnels sind hier identisch.
Public-Key-Verfahren
Der Public Key kann frei auf einem sogenannten Key Server verteilt werden, so daß alle an der Kommunikation
beteiligten Partner sich diesen Schlüssel downloaden
können. Weiterhin braucht der Sender keine Kopie des
Schlüssels an seine Mitstreiter versenden. Es existieren
keine geheime Informationen, die über einen unsicheren
Kanal übertragen werden müßten. Die Vertraulichkeit ist
gewährleistet, da der Sender den Public Key des Empfängers benutzt, um die Daten zu verschlüsseln. Auch für die
Authentizität wird gesorgt, indem der Sender eine Nachricht mit seinem Private Key signiert, der nur ihm bekannt ist. Non-Repudiation wird bereitgestellt, da der
Sender einer Message diese mit seinem Private Key signiert, und der Empfänger in der Lage ist, die Signatur
mit Hilfe des Public Key des Senders zu verifizieren.
Methoden der Verschlüsselung
Wenn der zu benutzende Algorithmus ausgewählt wird,
gilt es zuerst zu entscheiden, wie sensitiv die Daten sind,
und wie lange diese zu schützen sind. Ist die Entscheidung getroffen, so wird der entsprechende Algorithmus
und die Key-Länge ausgewählt, wobei diese Kombination dafür sorgen sollte, daß ein Hacking der Informationen länger dauert, als die Zeitspanne, in der die Daten
abgesichert werden müssen.
BinTec´s Implementierung der IPsec-Protokoll-Suite unterstützt verschiedene symmetrische Verschlüsselungsalgorithmen, wodurch die Interoperabilität mit Geräten
unterschiedlicher Hersteller gewährleistet wird. Dies sind:
DES und Triple DES, Blowfish und Twofish, CAST und
Rijndael AES (Advanced Encryption Standard).
Kryptographie
Das IPsec-Protokoll stellt seine Funktionen auf Basis der
Kryptografie zur Verfügung, wobei diese sich aus einer
Anzahl von Algorithmen zusammensetzt, die sich wiederum für die Verschlüsselung, Authentifizierung, KeyErzeugung und Entschlüsselung verantwortlich zeigen
(zu Details siehe Thema des Monats). Damit dieVerschlüsselung ordnungsgemäß funktionieren kann, ist es erforderlich, daß Sender und Empfänger gewisse Regeln beachten, um die Originaldaten in die kodierte Form zu verwandeln. Hierzu wird eine Kombination von Algorithmen und Keys benutzt, um die Informationen abzusichern.
Um die Keys zwischen den beteiligten Kommunikationspartner auszutauschen, existieren zwei Verfahren, der Symmetrische und der Asymmetrische ”Key Exchange”.
IPsec-Protokolle
Wie oben erläutert, arbeitet IPsec auf der IP-Ebene
(Network Layer). Die IP-Pakete und deren Informationen
zu Source, Destination und Datentyp sind von äußerster
Wichtigkeit für IPsec. Für das Handling derAuthentication
und Encryption von IP-Paketen wurden innerhalb von
IPsec zwei Protokolle definiert, das EncapsulatingSecurity-Payload (ESP) und das Authentica tion
Header(AH)-Protokoll. ESP sorgt für die Verschlüsselung
und/oder Authentifizierung der Daten, wohingegen AH
nur für Zwecke der Authentifizierung Verwendung findet
(vgl. Abb. 1 und 2).
Key-Exchange
Beim symmetrischen Schlüsselaustausch wird der gleiche Key für die Ver- und Entschlüsselung der Daten verwendet. Es wird ein gewisser Grad an ”Authentication”
bereitgestellt, da Daten, die erfolgreich entschlüsselt werden konnten, auch mit dem gleichen Key verschlüsselt
wurden. Auf diese Weise können sich alle Beteiligten sicher sein, daß Sie mit dem richtigen, dem berechtigten
Partner Daten austauschen, vorausgesetzt, die verwendeten Schlüssel geraten nicht in die Hände von Außenstehenden. Ein Nachteil entsteht noch durch die Verwaltung
der Shared Secret Keys, da der Aufwand bei einer wachsenden Zahl von Teilnehmern schnell anwachsen und die
Übersicht verloren gehen kann. Der Asymmetrische Schlüsselaustausch basiert auf dem Konzept eines Schlüsselpaars,
dem Private- und Public Key. Der Public Key und ein
entsprechender Algorithmus sorgt für die Verschlüsselung
der Daten, entschlüsselt werden diese durch den Private
Key und dem dazugehörigen Algorithmus.
Security Association
Damit die Kommunikation in geregelten Bahnen verläuft,
verwendet der BinTec-Router über das IPsec-Protokoll
die sogenannten Security Associations (SA), in denen die
Bedingungen und Regeln des Datenaustauschs festgehalten werden. Eine SA faßt alle benötigten Informationen zusammen, die für eine sichere Kommunikation mit
einem IPsec-Peer notwendig sind. Tabelle 1 zeigt Ihnen
10
Ausgabe 10/2002
55
p
PRAXIS
den Inhalt einer Security Association. Der Security Parameter Index (SPI) identifiziert dabei eine SA eindeutig
gegenüber anderen SAs zwischen dem gleichen Peer.
Tabelle 1
- Verwendetes Security-Protokoll
- IP-Adresse des Peers
- Benutzter Algorithmus
- Security Parameter Index
- Selector spezifiziert Paket Class (z.B. e-Mail)
- Keys und Parameter (z.B. Schlüssellänge)
- Lifetime der Security Associations
Abb. 1: Aussehen eines ESP-geschützten IP-Pakets
Tabelle 1: Inhalt einer Security Association
Tunnel- und Transport-Mode
Die Spezifikation von IPsec erlaubt die Anwendung des
ESP- und AH-Protokoll auf die IP-Pakete auf zwei unterschiedliche Arten (vgl. S. 25). Im sogenannten Tunnel
Mode wird das gesamte IP-Paket authentifiziert oder verschlüsselt. Der ESP-Tunnel-Mode nimmt das gesamte originale Paket und encapsuliert es innerhalb des neuen
Payload. Anschließend wird dem Paket ein neuer IPHeader hinzugefügt, der die Adresse eines Gateways beinhaltet, um ein Routing zwischen den Tunnel-Endpunkte zu ermöglichen (siehe Abb. 3).
Im AH-Tunnel-Mode wird das gesamte IP-Paket für die
Integrity authentifiziert, einschließlich des neuen Tunnel-Header. Encryption wird vom AH-Protokoll hingegen
nicht zur Verfügung gestellt (siehe Abb. 4).
Der Transport-Mode hingegen bearbeitet nur den ”Transport Layer” eines IP-Datagramms (authentifiziert und/oder
verschlüsselt).
Im ESP-Transport-Mode werden nur die Payload-Daten
des Original-IP-Paketes abgesichert. Der Payload wird
zwischen ESP Header- und Trailer encapsuliert. Der Original IP-Header wird nicht angepackt und ist durch IPsec
nicht geschützt (siehe Abb. 5).
Im AH Transport-Mode wird der Authentication-Header
nach dem IP-Header und vor dem ”Upper Layer Protocol”
(z.B. TCP, UDP oder ICMP) oder vor anderen IPsec-Header,
die bereits vorhanden sind, eingefügt. Wie bereits erwähnt,
wird keine Verschlüsselung unterstützt (siehe Abb. 6).
PRAXIS
Security Databases
Alle Parameter, die während der Konfiguration von IPsec
eingestellt wurden, werden anschließend im BinTecRouter abgespeichert. Die Informationen befinden sich
entweder in der Security Policy Database (SPD) oder der
Security Association Database (vgl. Seite 26) Diese SAD
spezifiziert die Security-Services, die auf den IP-Traffic
angewendet werden. Diese Dienste sind abhängig von
den Parametern, wie etwa der Source und Destination des
Paketes. Die Security Association Database beinhaltet
Informationen über jede SA, die wiederum angibt, wel-
Abb. 2: IP-Paket mit AH-Protokoll gesichert
Abb. 3: IP-Paket im ESP-Tunnelmodus
cher AH- oder ESP-Algorithmus verwendet wird, und
welche Länge der Schlüssel hat. Zusätzlich stehen in der
SA die Sequenznummern, der Protokollmodus, und die
SA Lifetime. Eine SA ist demnach als eine Art Instanz
eines SPD-Eintrags zu sehen.
IKE-Management
Zum jetzigen Zeitpunkt existieren zwei Wege, um den
Austausch der Schlüssel und das Key-Managment innerhalb der BinTec IPsec-Implementierung durchzuführen,
manuell und automatisiert über Internet Key Exchange
(vgl. S. 27). Beide Methoden werden vom IPsec-Standard
vorgeschrieben, wobei das manuelle Key-Handling einige Nachteile aufweist. Denn bei der Benutzung der manuellen SA müssen beide IPsec-Peers in der Konfiguration bei beiden Router übereinstimmen, es findet keine
Negotiation der Security Associations statt. Weiterhin
bieten die manuellen SAs keinen Schutz vor Replay-Attacken. Es ist daher in der Praxis sehr wichtig, die verwendeten Keys sorgfältig auszuwählen und sicher aufzubewahren. IKE stellt eine Infrastruktur zur Verfügung, um
eine automatisierte Key-Verteilung und Protokollaushandlung zwischen den Kommunikationspartnern zu ermöglichen. Es existieren drei Modi zum Austausch der
Schlüsselinformationen und für das Setup der SAs, zwei
für IKE Phase-1 als Main und Aggressive Mode und einer
für IKE Phase-2, der Quick Mode. Durch IKE wird ein
10
Ausgabe 10/2002
56
Tabelle 2
IKE-Phase 1: komplette Liste der Algorithmen
Blowfish/MD5 (Default) Blowfish/Tiger 192
DES3/MD5
Blowfish Ripemd160
CAST/MD5
CAST/Tiger 192
DES/MD5
CAST/Ripemd160
Blowfish/SHA1
Rijndae1/Tiger 192
DES3/SHA1
Rijndae1/Ripemd160
CAST/SHA1
Rijndae1/MD5
DES/SHA1
Rijndae1/SHA1
DES/Tiger 192
Twofish/MD5
DES/Ripemd160
Twofish/SHA1
DES3/Tiger 192
Twofish/Tiger192
DES3/Ripemd160
Twofish/Ripemd160
Abb. 4: IP-Paket im AH-Tunnelmodus
IKE Phase 2: die gebräuchlichsten Algorithmen
ESP Blowfish/MD5 no Comp (Default)
ESP DES3/MD5 no Comp
ESP CAST/MD5 no Comp
ESP DES/MD5 no Comp
ESP NULL/MD5 no Comp
ESP Blowfish/SHA1 no Comp
ESP DES3/SHA1 no Comp
ESP CAST/SHA1 no Comp
ESP DES/SHA1 no Comp
ESP NULL/SHA1 no Comp
ESP Blowfish/NULL no Comp
ESP DES3/NULL no Comp
ESP CAST/NULL no Comp
ESP DES/NULL no Comp
AH none/SHA1 no Comp
AH none/MD5 no Comp
ESP All (No Des)/All
ESP All/All
ESP All (No Des)/All no Comp
ESP All/All no Comp
ESP All (No Des)/All force Comp
ESP All/All force Comp
ESP Rijndae1/MD5
ESP Rijndae1/SHA1
ESP Rijndae1/NULL
ESP Twofish/MD5
ESP Twofish/SHA1
ESP Twofish/NULL
ESP Blowfish/MD5
ESP Blowfish/SHA1
ESP Blowfish/NULL
ESP CAST/MD5
ESP CAST/SHA1
ESP CAST/NULL
ESP DES3/MD5
ESP DES3/SHA1
ESP DES3/NULL
ESP DES/MD5
ESP DES/SHA1
ESP DES/NULL
ESP NULL MD5
ESP NULL SHA1
ESP Rijndael/MD5 no Comp
ESP Rijndael/SHA1 no Comp
ESP Rijndael/NULL no Comp
ESP Twofish/MD5 no Comp
ESP Twofish/SHA1 no Comp
ESP Twofish/NULL no Comp
ESP Rijndael/MD5 force Comp
ESP Rijndael/SHA1 force Comp
ESP Rijndael/NULL force Comp
ESP DES/Tiger 192
Abb. 5: IP-Paket im ESP-Transportmodus
Abb. 6: IP-Paket im AH-Transportmodus
Weg zur Verfügung gestellt, um verwendete Protokolle,
Algorithmen und Schlüssel auszuhandeln und den KeyExchange sicher abzuwickeln, um Authentication Services von Anfang an sicherzustellen, und um das Management der beteiligten Schlüssel bereitzustellen Die von
BinTec unterstützten Protokolle für IKE-Phase 1 und 2
entnehmen Sie bitte der Tabelle 2.
Der Austausch der Schlüssel über IKE wird zusätzlich
gesichert durch das Verhindern von Denial-of-ServiceAttacks, das Anbieten von Perfect Forward Secrecy (PFS)
und durch Unempfindlichkeit gegen Replay-Attacken.
Zertifikate
Ein Zertifikat kann verschiedene Objekte identifizieren,
z.B. Personen, Firmen oder Applikationen. Es wird außerdem durch sogenannte Certification Authorities verifiziert. Hierbei kann es sich um externe Certification
Authorities handeln, wie Verisign oder Unternehmen, die
ihre eigene CA aufbauen. Die Zertifikate basieren auf dem
Standard X.509, der das Format und die Bedingungen,
unter denen ein Zertifikat angelegt und benutzt wird, spezifiziert. Verwendung finden Zertifikate, um unter anderem den Public Key abzusichern.
In der nächsten Ausgabe werden wir uns mit der Konfiguration der IPsec-Implementierung bei den
BinTecRoutern praktisch auseinandersetzen
Tabelle 2: BinTec´s IKE Protokoll-Support
10
Ausgabe 10/2002
57
p
PRAXIS
MICROSOFT
Do IT Dot NET
Teil 7: Das Business Desk des Commerce Server 2000
Von Patrick Fell
Wir haben die Commerce Server-Architektur und die fünf Hauptsysteme kennengelernt, die es erlauben, eCommerceAnwendungen zu implementieren, zu administrieren und zu optimieren. Diesmal geht es um das Business Desk, das
zum Konfigurieren, Verwalten und Analysieren von Sites einsetzt wird. Es dient Businessmanagern, um Inhalte zielgerichtet an Kunden und Partner zu liefern, um Benutzer- und Organisationsprofile zu erstellen, oder um die SiteVerwendung zu optimieren.
D
Das Business Desk ist das Web-basier te Site-Verwaltungstool des
Microsoft Commerce Server 2000 (s.
Abb. 1). Es dient als Host für die Business-Desk-Module, die Sie zum
Konfigurieren, Verwalten und Analysieren Ihrer Sites einsetzen. Damit lassen sich beispielsweise Preisinformationen in Katalogen aktualisieren und bestimmten Benutzern
neue Anzeigen zielgruppengerichtet
präsentieren. Sie können Berichte anfertigen lassen, die den Einfluß dieser Änderungen auf die Produktivität der Site messen.
PRAXIS
Architektur
Das Business Desk besteht aus zwei
Teilen, der reinen Anwendung und
dem Client. Die Business Desk-Anwendung ist das oben genannte
Managementtool. Nach der Installation von Commerce Server können
Sie eine Lösungssite entpacken, mit
deren Hilfe sich eine Business DeskAnwendung installieren läßt, auf die
von einem beliebigen Computer mit
Microsoft Internet Explorer 5.5 zugegriffen werden kann. Sie erhalten
einen sicheren Remote-Zugriff.
Der Business Desk Client ist auf einem lokalen Computer zu installieren. Er Client stellt die Oberfläche für
den Zugriff auf die Business DeskAnwendung bereit. Beim ersten Zugriff auf eine Business Desk-Anwendung über einen URL wird der Client
heruntergeladen und installiert.
Komponenten
Sie werden verschiedene Module einsetzen, um die vielfältigen Aspekte
ihrer Web-Site zu verwalten, zu gestalten und zu analysieren. Als die
Hauptkomponenten des Business
Desk sind die Module nach ihren besonderen Aufgabenstellungen in fünf
Kategorien geordnet, in Analyse,
Kampagnen, Kataloge, Aufträge und
Benutzer (vgl. Tabelle 1). Die Daten
aus einer Web-Site müssen zusammengestellt und in Datawarehouse
importiert werden, bevor Sie z.B. Analyseberichte ausführen können. Sie
verwenden die Kampagnenmodule,
um Werbe-, Preis- und Promotionaktionen zu erstellen und zu veröffentlichen. Mithilfe der Katalogmodule lassen sich Informationen aktualisieren. Die Auftragsmodule verwenden Sie, um Benutzeraufträge zu
verfolgen. Schließlich verwenden Sie
die Benutzermodule, um Kennwörter
zurückzusetzen, Benutzerprofile zu
ändern oder die Sammlung von Profildaten zu definieren.
Module sperren
Das Business Desk bietet rollenbasierte Sicherheit, d.h. daß Benutzer nur solche Module anzeigen und
verwalten können, für die sie autorisiert sind. Wenn eine Benutzergruppe z.B. das Katalog-Designer-Modul
nicht verwenden soll, können Sie es
unterbinden, daß dieses Modul im
Navigationsbereich angezeigt wird,
wenn die Gruppenmitglieder auf das
Business Desk zugreifen. Wenn ein
Site-Entwickler den Zugriff auf ein
Modul beschränkt hat, wird es ohne
Zugriffsberechtigung auch nicht
angezeigt.Beachten Sie, daß solche
Zugriffsbeschränkungen nicht das
Ziel haben, böswilligen Sicherheitsverletzungen vorzubeugen. Es soll
vielmehr verhindert werden, daß Benutzern Module angezeigt werden,
die überhaupt nicht in ihren Verantwortungsbereich gehören.
Für die Implementierung der Site-Sicherheit sind Systemadministratoren
zuständig. Zur Sicherung eines Business Desk Moduls muß die WindowsZugriffssteuerungsliste (ACL) in den
ASP-Dateien (Active Server Page)
eingerichtet werden.
Module sichern
Es werden standardmäßig alle Module gesichert, wenn Sie die Profil-,
Kampagnen- und Transaktionsveröffentlichung sichern. Durch diese
Funktion wird der Zugriff auf bestimmte Daten im Business Desk
nicht eingeschränkt. Wenn Sie den
Zugriff auf Daten beschränken möchten, die dem Benutzer in Business
Desk angezeigt werden, wenden Sie
sich an Ihren Systemadministrator
oder Site-Entwickler, um Sicherheit
auf Datenbankebene zu implementieren. Falls ein Business Desk-Benutzer z.B. nur einen bestimmten Katalog bearbeiten soll, kann der Site-
10
Ausgabe 10/2002
58
Entwickler diese Sicherheitsmaßnahme implementieren.Wenn ein Benutzer mittels einer nicht authentifizierten Sitzung eine Verbindung mit
Business Desk über das Internet herstellt, wird er vom Internet Explorer
zur Eingabe seines Benutzernamens,
Kennworts und Domänennamens
aufgefordert. Dies dient seiner
Authentifizierung für die Business
Desk-Anwendung.
Anpassungen
Site-Entwickler und Systemadministratoren können das Commerce Server Business Desk an die Geschäftsbedürfnisse anpassen. Ein Site-Entwickler kann z. B. Funktionen hinzufügen oder entfernen, das Business
Desk in eine vorhandene Anwendung
integrieren oder bestimmte Funktionen verändern. Er kann neue Berichte erstellen. Der Systemadministrator
wiederum ist dafür verantwortlich, in
regelmäßigen Abständen Daten in
Datawarehouse zu importieren. Daraufhin können Berichte ausgeführt,
mit den Daten verglichen und analy-
Tabelle 1
Kategorie
Analyse
Kampagnen
Kataloge
Aufträge
Benutzer
Module
Berichte
Abgeschlossene
Berichte
Segment-Viewer
KampagnenManager
Listen-Manager
Kampagnenausdrücke
Zielgruppen
Referenztabellen
Veröffentlichung
Katalog-Designer
Katalog-Editor
Katalogsatz
WarenkorbManager
Datencodes
Auftragsstatus
Lieferoptionen
Steuersätze
Transaktion
User
Organisationen
Profil-Designer
Sitebegriffs-Editor
Profilveröffentlichung
Tabelle 1: Business Desk Module
siert werden. DerAdministrator kann aber auch Daten
aus den Webprotokolldateien anpassen, die ins
Datawarehouse importiert
werden, oder Benutzer und
Besuche definieren. Er verwendet beim Erstellen von
Profildefinitionen den
Commerce Server-Manager
und fügt Datenquellen,
Datenelemente und Datenobjekte hinzu. Um zur Analyse das Segment-ViewerModul zu verwenden, muß
der Systemadministrator
Abb.
entsprechende Segmentmodelle erstellen. Zudem
konfiguriert er alle Systemeinstellungen, ob Maßeinheiten, Währungen und Zahlungsoptionen oder die
Web-Siteregistrierung und Sicherheitsoptionen. Alle Änderungen daran müssen koordiniert werden.
Framework
Das Business Desk ist ein Benutzeroberflächen-Framework, das hauptsächlich in Form von Active Server
Pages implementiert ist und Dynamic
Hypertext Markup Language
(DHTML) enthält. Das Framework
bietet eine strukturierte Umgebung,
in welcher Drittentwickler die
Managementfunktionalität von
Commerce Server 2000 einfach erweitern können. Diese Umgebung
enthält eine strukturierte Seitennavigation, Standardmechanismen
zur Datenbearbeitung, gemeinsame
Hilfsroutinen und eine Vielzahl von
Konventionen. Diese sollen zu einem
gleichbleibend guten Benutzererlebnis beitragen. Jede Commerce
Server-Web-Site verfügt über eine
spezifische Instanz des Business
Desk, mit der sie verknüpft ist. Obwohl Business Desk und die Web-Site
gemeinsam dieselben CommerceRessourcen, Datenbanken etwa, verwenden, ist Business Desk dennoch
eine separate ASP-Anwendung mit eigener Verzeichnisstruktur und virtuellem Stammverzeichnis.
Das Business Desk Framework stellt
die Umgebung bereit, in der die verschiedenen Module ausgeführt wer-
10
Ausgabe 10/2002
59
1: Business Desk Client Übersicht
den, so daß eine Reihe von Konfigurationsdateien mit wichtigen
Informationstypen bereitstellt werden
kann, die für Business Desk zur
Navigationsunterstützung benötigt
werden. Der erste Typ bestimmt die
Reihe der kategorisierten Module,
auf die in Business Desk zugegriffen
werden kann, der zweite wird zum
Erstellen und
Verwalten der
Taskleiste verwendet, die für jede
Aktionsseite verschieden ist. In der
Abbildung ist auch zu sehen, daß die
erste Aktionsseite von Modulen in der
Regel eine Listenseite ist, über die
mit Hilfe von Schaltflächen auf
Bearbeitungsseiten zugegriffen werden kann. Außerdem ist zu sehen, auf
welche Art der Benutzer zur Listenseite zurückkehren muß, damit er in
ein anderes Modul wechseln kann.
Fazit
Microsoft ist auch mit diesem Produkt ein entscheidender Schritt bei
der Programmierung von eCommerce-Plattformen und der Verbesserung
von eBusiness-Auftritten über das
World Wide Web gelungen. In Verbindung mit BizTalk Server und
Application Center Server können
Daten vergleichsweise leicht integriert und redundant zur Abfrage zur
Verfügung gestellt werden. Jedoch
sollten Sie dabei, ähnlich wie beim
Application Center Server, die Knowledge Base Artikel und die darin beschriebenen Fehlermeldungen beachten.
p
PRAXIS
NORTEL NETWORKS
Secure Web Switching
Alteon ACEdirector Web Switch
Die ACEdirector-Produkte sind als integrierte Service-Frontends wegweisend für eine neue Generation von WebSwitches. Aufbauend auf einer innovativen Architektur mit verteilter Verarbeitung unterstützen die ACEdirectorModelle 2, 3 und 4 alle Web OS-Dienste zum Internetverkehrsmanagement. Sie bringen L2-, L3- und L4-L7-Switching
mit Simultanunterstützung.
I
Im Gegensatz zu herkömmlichen Paket-Switches kombiniert der
ACEdirector eine einzigartige Zusammensetzung aus Ver kehrsmanagementdiensten in einem
Hochleistungs-Ethernet-Switch, der
zum Schalten von Hunderttausenden
von Web-Sessions pro Sekunde optimiert ist. So leistungsstarke Funktionen wie Local und Global Server
Load-Balancing, Anwendungsredirektion, SSL-Load Balancing oder
URL-gestützte Redirektion sowie
moderne TCP/IP-Filter sind im
ACEdirector implementiert.
PRAXIS
High Performance SLB
Durch das Server Load-Balancing
des ACEdirectors entsteht eine schier
unbegrenzte Serverkapazität. Im Gegensatz zu Produkten, die auf einen
einzelnen, zentralen Prozessor aufbauen, nutzt der ACEdirector zwei
leistungsstarke RISC-Prozessoren auf
jedem seiner 10/100 Mbps-Ports, um
Web-Sessions mit Höchstgeschwindigkeiten zu schalten. Daraus ergibt
sich eine Lastverteilung von bis zu
200.000 Sessions pro Sekunde.
Der ACEdirector bedient sich sogenannter virtueller IP-Adressen (VIP)
für Zielserver und -anwendungen.
Eine Session wird dem höchstverfügbaren Server anhand der im
Session-Request-Paket angegebenen
Ziel-VIP
zugewiesen.
Der
ACEdirector überwacht jede Session
vom Anfang bis zum Ende und gewährleistet eine volle Adressenübersetzung bei der Weiterleitung von
Paketen zwischen Client und Server.
VIPs können in Blocks zugewiesen
werden, so kann bei schneller, einfacher und fehlerfreier Verwaltung eine
praktisch unbegrenzte Anzahl von
virtuellen Adressen verwendet werden. Bis zu 2.048 Anwendungen können mit einer VIP verknüpft werden.
GSLB-Funktionen
Mit dem Global Server LoadBalancing (GSLB) können duplizierte Server oder Serverfarmen auf der
ganzen Welt verteilt werden und damit die Anforderungen zur schnellsten Site weitergeleitet werden. WebSwitches legen fest, welche Site je
nach Funktion, Nähe zum Client und
Serverreaktionszeit die beste ist.
Web-Switches tauschen diese Informationen automatisch untereinander
aus. Aufgrund der globalen Zustandsinformationen zur Funktion und Leistung von individuellen Sites entwickelt jeder Web-Switch eine Liste
der am besten funktionierenden Sites
und leitet den Datenverkehr gemäß
dieser Leistungswerte an die jeweiligen Sites weiter. Sites mit der höchsten Leistung erhalten somit mehr
Verbindungen als andere, da sie eine
höhere Anzahl an Verbindung besser
verarbeiten können. Systemadministratoren konfigurieren die Lastverteilungsmethode, d.h. Round
Robin, die Methode der wenigsten
Verbindungen (Least Connections)
oder Hashing. Die Verbindungsschwellenwerte und unterschiedlichen Gewichtungen können den
Servern einzeln zugewiesen werden
und vermeiden somit Überlastungen.
Jeder Server kann als Backup- oder
Overflow-Server für andere Server
oder Servergruppen festgelegt werden, wodurch die Verfügbarkeit der
Anwendung weiter gesichert werden
kann.
Inhaltsbewußt
Die neue URL-gestützte Web-CacheRedirektion und die neuen SLBFunktionen (nur AD3) optimieren
Cache-, Server- und Web-Farmen, indem sie Anforderungen mit bestimmten, passenden URLs und URL-Teilzeichenketten an designierte Cacheoder Web-Server schicken. Bis zu 64
Inhaltsregeln können je Switch angewandt werden und ermöglichen
eine Feineinstellung des Servers
durch Trennung der statischen und
dynamischen Inhaltsanforderungen
über syntaktische HTML-Analysen.
Das Secure Sockets Layer Load
Balancing (SSL-LB) optimiert SSLSessions und gewährleistet SessionPersistenz. Somit erhält jeder Benutzer die Möglichkeit, sichere Verbindungen zu einem bestimmten Server
herzustellen oder wiederherzustellen.
Die SSL-Session-Identifizierung
kann zur Sicherstellung der Persistenz
beim SSL-/HTTPS-Load Balancing
gewählt werden.
Filter und Policies
Die Filterfunktionen des ACEdirector
bieten weitreichende Möglichkeiten
zur Kontrolle des Datenverkehrs im
Netzwerk. Administratoren können je
nach Anwendung, Protokoll und IPQuell- und Zieladressen bestimmte
Pakete herausnehmen oder weiterleiten. Bis zu 224 Filterregeln können
je Switch erstellt werden, wobei be-
10
Ausgabe 10/2002
60
liebige Regelkombinationen auf unterschiedliche Ports angewandt werden können.Mit Policy-gestützter
Redirektion und LB-Funktionen
können leistungsstarke Filterregeln
verwendet werden, um den Datenverkehr an beliebige Geräte abzufangen
und an eine Gruppe gleichartiger Vorrichtungen - z.B. Firewalls oder
Router - weiterzuleiten. Mit der Anwendungsredirektion lassen sich außerdem transparente Caches verwenden, und auch die Reaktionszeit für
den Internetzugriff und die Belegung
der WAN-Bandbreite ohne Belegung
von Cache-Speicher kann reduziert
werden.
Switch- n´ Trunking
Zur Gewährleistung größtmöglicher
Flexibilität in den verschiedensten
Topologien können Server in einer
Servergruppe mit Load Balancing
eingesetzt werden oder Backup- und
Overflow-Server an beliebigen Stellen in einem gerouteten Netzwerk
genutzt werden, selbst in einem WAN.
IP-Switching vereinfacht die Konfiguration und erhöht die Sicherheit
dadurch, daß Server mit Load Balancing private IP-Adressen verwenden
können, während die Öffentlichkeit
andere virtuelle IP-Adressen verwendet. DerACEdirector ermöglicht nahtloses Trunking an Router und
Switches.Alle ACEdirectors schützen
Anwendungen gegen Ausfälle eines
Serverlinks, Switch-Ports oder Switches, mit Erfassung und Failover in
weniger als einer Sekunde. Der ACEdirector überwacht kontinuierlich die
Verfügbarkeit von Server, Anwendung und Inhalt, umgeht funktionsunfähige Server bei der Verteilung
neuer Sessions und nimmt sie gleich
automatisch wieder auf, wenn ihre
Funktionsweise wiederhergestellt ist.
Intelligente Anwendungsfunktionsrüfungen gewährleisten die Integrität des gesamten Datenpfads.
Bandbreite und QoS
Alteons ACEdirector 3 kann in Aktiv-Aktiv- und Aktiv-StandbyRedundanzkonfigurationen eingesetzt werden. Dur ch VRRP und
Alteons Erweiterungen für VRRP unterstützt der ACEdirector 3 die aktive
und gleichzeitige Inbetriebnahme
von L3-Interfaces und L4-Diensten
mit mehreren Switches. Mit dem
ACEdirector 3 und 4 kann der
Bandbreitengebrauch der Layer 2 bis
7 gemessen und kontrolliert werden.
Die Zuweisung der Bandbreite kann
nach Client, Serverfarm oder virtuellem Service, nach Anwendung,
Benutzerklasse, Inhalt und einer Reihe von anderen Netzverkehrsklassen
erfolgen. Festlegungen, bestehend
aus drei Bandbreitenraten, können
jeder Netzverkehrsklasse zugewiesen
werden. Dazu gehören die Commited
Information Rate, die eine minimale
10
Ausgabe 10/2002
61
Bandbreite garantiert, das Soft-Limit,
die bei vorhandener Bandbreite angewendete gemessene Rate, und das
Hard-Limit, eine maximale Burstrate.
Alle Funktionen können über WebBrowser, SNMP-Managementanwendungen oder über ein Befehlszeilen-Interface verwaltet und konfiguriert werden. Sie sind über Fernzugriff, serielle oder Telnet-Verbindungen mit umfassendem Kennwortschutz erreichbar. Der ACEdirector
unterstützt ein privates MIB, vier
RMON-Gruppen auf jedem Port und
Port-Duplizierung.
Produktinformation
Unterstützte Standards
- Spanning Tree (IEEE 802.1d)
- Logical Link Control (IEEE 802.2)
- Flußkontrolle (IEEE 802.3x)
- SNMP (MIB-II, Ethernet, Bridge),
- RMON (RFC 1757)
- IP, RIPv1, TFTP (RFC 783)
- BootP (RFC 1542, RFC 951)
- TFTP (RFC 783)
- Telnet (RFC 854)
10BASE-T/100BASE-TX Ports
- 10/100 Voll- oder Halbduplex
- Autonegotiation
- RJ-45-Anschlüsse für UTP-Ports
Layer-2 Support
- 802.1Q (64 VLANs)
- Jumbo Frames (alle Ports),
- Trunk-Gruppen
- 802.1d Spanning Tree
- MAC-Adressen: 4K je Port,
8K je Switch
v
VORSCHAU
WORKSHOPS - ROADSHOWS - SEMINARE
Sales Spirit 2002
Live Hacking
Erfolgreich verkaufen
Security Learning Cycle
C
Compu-Shack und Avaya laden ein zur Sales Spirit 2002.
Die eintägigen Veranstaltungen finden im Oktober in
Köln, Hamburg, Leipzig und Berlin statt. Unter dem
Motto “Mit Optimismus in den Aufschwung” zeigt ErichNorbert Detroy Wege, wie in der jetzigen Konjunkturlage Aufträge zu guten Preisen zu plazieren sind, um hohe
Umsätze zu generieren. Der bekannte Verkaufstrainer
vermittelt die notwendigen Strategien für ein erfolgreiches Verkaufsgespräch, um aus dem Zugewinn an professionellen Verkaufstechniken trotz angespannter Wirtschaftslage geschäftlich erfolgreich zu agieren. Die Teilnehmer optimieren ihre Abschlußtechniken, lernen Ideen zur Faszination ihrer Kunden zu entwickeln, und den
überzeugenden Umgang mit Kauf-Widerständen. Dank
des Sponsoring von Compu-Shack und Avaya beträgt
die Teilnehmergebühr für diese einzigartige Veranstaltung nur 148,- •, ab zwei Personen sogar nur noch 128,- •
pro Teilnehmer.
D
Die Security-Experten der
Compu-Shack Solution
sind mit ihren erfolgreichen Live Hacking
Sessions auch im Oktober
unterwegs. Sie kommen
am 8.10. nach Leipzig und
am 9.10. nach Dortmund.
Eine Online-Anmeldung
für die Live Hacking
Sessions finden Sie wie gewohnt auf der Compu-Shack
Website. Fragen zum aktiven Schutz gegen Hacker-Attakken beantwortet das Projekt-Team der Compu-Shack Solution unter 02631-983-345.
cs:mall24Workshop
Alle Anmeldungen zu Veranstaltungen
der Compu-Shack können online unter:
www.portal.compu-shack.com in der
Rubrik Workshops erfolgen.
Pro Netzwerk =
Procurve
VORSCHAU
Kostenloser Workshop
für HP Reseller
D
Der HP Produktbereich Networking geht wieder on Tour.
Vom 28. bis 31. Oktober führen kostenlose Workshops
zur Einführung
der neuen HP
Procurve-Produkte durch vier
deutsche Städte.
Experten von HP
vermitteln den
Resellern
in
sechs interessanten Stunden praxisnah, in Hands-On-Sessions alle Neuheiten rund um die HP Procurve Switches. Die kostenfreien Veranstaltungen beginnen jeweils um 10:00 Uhr.
Die Teilnehmerplätze sind begehrt.
E-Commerce für Fachhändler
Für Compu-Shack Fachhandelspartner finden im
Oktober und November
2002 in 13 deutschen Städten weitere cs:mall24
Workshops statt. Im Rahmen der halbtägigen kostenlosen Veranstaltungsreihe informieren die ECommerce-Spezialisten
von Compu-Shack detailliert über die cs:mall24.
Die ausgefeilte E-Commerce-Lösung hilft, neue
Kunden zu gewinnen. Innerhalb weniger Minuten eingerichtet, entfaltet der persönliche Online-Shop cs:shop24
all seine Vorteile, und bietet den Kunden der Fachhandelspartner die Chance, rund um die Uhr zu bestellen. Besondere Vorzüge liegen in dem geringen Aufwand bei der
Sortimentspflege. Eine integrierte PostleitzahlSuchfunktion ermöglicht dem Endverbraucher, seinen
Fachhändler in der Nähe ausfindig zu machen. Mit Hilfe
einer Warenkorbfunktion und eines elektronischen
Bestellformulars kann er dann direkt online ordern.
Genau Termine im Compu-Shack Fachhandelsportal.
10
Ausgabe 10/2002
62
MESSEN, ROADSHOWS, SEMINARE
N 11
No 11/2002
Thema des Monats November
NETWORK SECURITY
Waren Speichernetzwerke vormals eher den großen
Rechenzentren vorbehalten, so zwingen die
exponential steigenden Datenmengen längst auch
mittlere und selbst kleine Unternehmen, geeignete
Massenspeicherlösungen zu finden. Verschiedenste Philosophien zu SAN- und NAS-Architekturen
beschäftigen inzwischen die Netzwerker. Wir wollen
die Begriffe des Speichermanagements klären und
Lösungen für eine - manchmal auch netzwerkübergreifende - Sicherungsstrategie der Datenmassen
vorstellen. Storage Area Networks sind im Prinzip eine
Anzahl von Storage Devices, wie Festplatten, CD/DVD
Systeme, Streamer und Wechsler, die über das Netzwerk miteinander verbunden sind. Ein SAN kann durch
unterschiedliche Devices erweitert werden. Die einzelnen Geräte verfügen aber über keine eigene Logik,
um den Endanwendern Daten bereitzustellen. Diese
Funktion muß von Servern zur Verfügung gestellt werden. Demgegenüber besitzt das Network Attached
Storage (NAS) solche Bereitstellungsfunktionen bereits. Je nach Hersteller werden dabei verschiedene
Protokolle gefahren: Standard TCP/IP Protokolle wie
HTTP und FTP, das Network File System für
Unixsysteme, IPX für Netware Clients oder das
Common Internet File System für Windows. Doch nicht
jeder Hersteller unterstützt dabei alle Protokolle. Wir
wollen uns daher die Grundlagen der Technologie
anschauen .
Praxis:
Wireless Security:
Secure Web Switching, Teil 5:
Enterasys Rapid Re-Keying
Alteon Web Switch Module
Speichermanagement
SAN- und NAS Technologien
Von Michael Heinz
Aktuelle Demo-CDs und Trials können Sie kostenlos unter www.technik-news.de bestellen. Im Compu-Shack
Fachhandelsportal unter http://portal.compu-shack.com finden Sie zudem alle verfügbaren Compu-Shack
Kataloge, Printmedien und kostenlose Informationsbroschüren zu speziellen Technologiethemen und Services, u.a.
zu Nortel Alteon oder Network Security. Interessante Downloads der Compu-Shack Training befinden sich unter:
www.training.compu-shack.com. im Bereich Downloads.
Ausgewählte Termine
08.10.2002
12.09.2002
09.10.2002
17.-20.09.02
14.-18.10.2002
18.09.2002
15.10.2002
19.09.2002
16.10.2002
20.09.2002
17.10.2002
23.-27.09.02
18.10.2002
23.09.2002
21.10-04.11.2002
24.09.2002
28.10.2002
25.09.2002
29.10.2002
04.-06.09.02
29.-31.10.2002
08.10.2002
30.10.2002
12.10.2002
31.10.2002
14.-18.10.2002
19.-21.11.2002
19.-21.11.2002
CSSecurity
SecurityLearning
LearningCycle:
Cycle:Live
LiveHacking
HackingSession
Session
CS
CS Security Learning
Cycle:
Live Hacking
Session
Compu-Shack
Production:
Wireless
Tour 2002
Systems
CS
Security2002
Learning Cycle: AVAYA Wireless
Compu-Shackund
undAVM:
Avaya:
SalesAccess
Spirit 2002
Compu-Shack
Remote
über VPN
Compu-Shack
und Avaya:
Spirit
2002
CS
Security Learning
Cycle:Sales
AVAYA
Wireless
Compu-ShackProduction:
und Avaya:Wireless
Sales Spirit
Compu-Shack
Tour2002
2002
Compu-Shackund
undWatchguard:
Avaya: SalesSecurity
Spirit 2002
Compu-Shack
Workshop
Compu-Shack
cs:mall24-Workshops
CS
Security Learning
Cycle: AVAYA Wireless
HP Procurve und
Reseller-Workshop
Compu-Shack
Watchguard: Security Workshop
HP Procurve
Linux
KongressReseller-Workshop
LinuxWorld
CS
Security Learning Cycle: Live Hacking Session
HPSecurity
Procurve
Reseller-Workshop
CS
Learning
Cycle: Live Hacking Session
HP Procurve
Systems
2002 Reseller-Workshop
exponetCologne
Cologne2002
2002
exponet
10
Ausgabe 10/2002
63
Leipzig
Dortmund
Dortmund
Nord- und Ostdeutschland
München
Neuwied
Köln Potsdam
Hamburg
Potsdam
Leipzig
West- und Süddeutschland
BerlinNeuwied
bundesweit
München
Neuwied
München
Potsdam
Köln
Frankfurt
Leipzig
Ratingen
München
München
München
Köln Köln
Bibliographie
Federal Information Processing Standards
Publication 197, Announcing the Advancsportalced Encryption Standard (AES), 2001
Vincent Rijmen, Joan Daemen, AES Proposal:
Rijndael, The Rijndael Block Chypher, 1999
Jörg Buckbesch, Rolf-Dieter Köhler,
VPN Virtuelle Private Netze, 2001
Frank Bitzer, Klaus M. Brisch,
Digitale Signatur, 1999
Albrecht Beutelspacher, Jörg Schwenk,
Klaus-Dieter Wolfenstetter, Moderne Verfahren der Kryptographie, 3. Auflage 1999
Bruce Schneier, John Kelsey, Doug Whiting,
David Wagner, Chris Hall, Niels Ferguson, The
Twofish Encryption Algorithm:
A 128-Bit Block Cipher, 1999
Patric Fell, Schlüssel für die Sicherheit:
PKI, Technik News 5/2001 ff
IT-Sicherheitskriterien im Vergleich,
Initiative D21, Arbeitsgruppe 5, 42 Seiten,
Stand 20.12.2001
Informationsquellen im Web
-
www.ietf.org
www.nist.gov
www.bintec.de
www.cisco.com
www.watchguard.com
www.rsasecurity.com
developer-forums.novell.com
projekte.compu-shack.com
10
Ausgabe 10/2002
64