■ ISDN ■ DSL ■ Fi r e w a l l ■ VPN AVM NetWAYS/ISDN Zugang zu entfernten Netzen für PC und Notebook Dieses Handbuch ist auf chlorfrei gebleichtem Papier gedruckt und daher voll recycelbar. S10/02-L10/02-10.000-R&P 10/02 ■ Internet Access ■ Remote Access netways.book Seite 2 Dienstag, 10. Dezember 2002 10:55 10 NetWAYS/ISDN Diese Dokumentation und die zugehörigen Programme sind urheberrechtlich geschützt. Dokumentation und Programme sind in der vorliegenden Form Gegenstand eines Lizenzvertrages und dürfen ausschließlich gemäß den Vertragsbedingungen verwendet werden. Der Lizenznehmer trägt allein das Risiko für Gefahren und Qualitätseinbußen, die sich bei Einsatz des Produktes eventuell ergeben. Diese Dokumentation und die zugehörigen Programme dürfen weder ganz noch teilweise in irgendeiner Form oder mit irgendwelchen Mitteln übertragen, reproduziert oder verändert werden, noch dürfen sie in eine andere natürliche oder Maschinensprache übersetzt werden. Hiervon ausgenommen ist die Erstellung einer Sicherungskopie für den persönlichen Gebrauch. Eine Weitergabe der Ihnen hiermit überlassenen Informationen an Dritte ist nur mit schriftlicher Zustimmung der AVM Berlin erlaubt. Alle Programme und die Dokumentation wurden mit größter Sorgfalt erstellt und nach dem Stand der Technik auf Korrektheit überprüft. Für die Qualität, Leistungsfähigkeit sowie Marktgängigkeit des Produkts zu einem bestimmten Zweck, der von dem durch die Produktbeschreibung abgedeckten Leistungsumfang abweicht, übernimmt AVM Berlin weder ausdrücklich noch implizit die Gewähr oder Verantwortung. Für Schäden, die sich direkt oder indirekt aus dem Gebrauch der Dokumentation oder der übrigen Programme ergeben, sowie für beiläufige Schäden oder Folgeschäden ist AVM nur im Falle des Vorsatzes oder der groben Fahrlässigkeit verantwortlich zu machen. Für den Verlust oder die Beschädigung von Hardware oder Software oder Daten infolge direkter oder indirekter Fehler oder Zerstörungen, sowie für Kosten, einschließlich der Kosten für ISDN-, GSM- und DSL-Verbindungen, die im Zusammenhang mit den gelieferten Programmen und der Dokumentation stehen und auf fehlerhafte Installationen, die von AVM nicht vorgenommen wurden, zurückzuführen sind, sind alle Haftungsansprüche ausdrücklich ausgeschlossen. Die in dieser Dokumentation enthaltenen Informationen und die zugehörigen Programme können ohne besondere Ankündigung zum Zwecke des technischen Fortschritts geändert werden. Der Product Identification Code ist Bestandteil der Lizenzvereinbarung. © AVM GmbH 2002. Alle Rechte vorbehalten. Stand der Dokumentation 12/2002 AVM Audiovisuelles Marketing und Computersysteme GmbH Alt-Moabit 95 AVM Computersysteme Vertriebs GmbH Alt-Moabit 95 10559 Berlin 10559 Berlin AVM im Internet: http://www.avm.de Warenzeichen: AVM und FRITZ! sind eingetragene Warenzeichen der AVM GmbH. Windows ist eingetragenes Warenzeichen der Microsoft Corporation. Alle anderen Warenzeichen sind Warenzeichen der jeweiligen Eigentümer. 2 NetWAYS/ISDN netways.book Seite 3 Dienstag, 10. Dezember 2002 10:55 10 Inhaltsverzeichnis 1 1.1 1.2 2 2.1 2.2 2.3 2.4 2.5 3 3.1 3.2 3.3 3.4 3.5 4 4.1 4.2 4.3 4.4 4.5 5 5.1 5.2 5.3 5.4 Willkommen bei NetWAYS/ISDN 5 Was bietet NetWAYS/ISDN? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Lieferumfang. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Installation und erste Schritte 12 Systemvoraussetzungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Installation von NetWAYS/ISDN. . . . . . . . . . . . . . . . . . . . . . . . . . . . Standardkonfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Erste Schritte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Deinstallation von NetWAYS/ISDN . . . . . . . . . . . . . . . . . . . . . . . . . 12 13 14 15 19 Fernzugriff mit NetWAYS/ISDN 21 Optimierung der Übertragungsgeschwindigkeit. . . . . . . . . . . . . . . 21 Kostenmanagement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 Internet-Verbindungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 VPN-Verbindungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 NetWAYS/ISDN für den Administrator 49 Automatisieren der NetWAYS/ISDN-Installation . . . . . . . . . . . . . . 49 Einstellungen schützen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 NetWAYS/ISDN als Systemdienst . . . . . . . . . . . . . . . . . . . . . . . . . . 52 Die Programmierschnittstellen von NetWAYS/ISDN. . . . . . . . . . . . 54 Unterstützte Standards . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 Informationen, Updates und AVM-Support 59 Informationsquellen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 Updates. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 Registrierung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 Unterstützung durch den Support. . . . . . . . . . . . . . . . . . . . . . . . . . 61 Glossar 64 Index 80 NetWAYS/ISDN – Inhaltsverzeichnis 3 netways.book Seite 4 Dienstag, 10. Dezember 2002 10:55 10 Konventionen im Handbuch Um den Inhalt dieses Handbuchs übersichtlich zu gestalten und wichtige Informationen hervorzuheben, wurden folgende typografische Hervorhebungen und Symbole verwendet: Hervorhebungen Nachfolgend finden Sie einen kurzen Überblick über die in diesem Handbuch verwendeten Hervorhebungen. Hervorhebung Funktion Beispiel Anführungszeichen Tasten, Schaltflächen, „Start / Programme“ Programmsymbole, Re- oder „Eingabe“ gisterkarten, Menüs, Befehle Großbuchstaben Pfadangaben und Dateinamen im Fließtext DOKU\NETWAYS.PDF oder CAPIPORT.HLP spitze Klammern Variablen <CD-ROM-Laufwerk> Schreibmaschinenschrift Eingaben, die Sie über a:\setup die Tastatur vornehmen grau und kursiv Informationen, Hinwei- ... Es kann jeweils se und Warnungen; im- nur ein Controller mer in Verbindung mit entfernt werden… den Symbolen Symbole Im Handbuch werden die folgenden grafischen Symbole verwendet, die immer in Verbindung mit grau und kursiv gedrucktem Text erscheinen: Dieses Zeichen weist Sie auf nützliche Hinweise und zusätzliche Informationen hin. Das Ausrufezeichen kennzeichnet Abschnitte, die wichtige Informationen enthalten. Dieses Zeichen markiert besonders wichtige Hinweise, die Sie auf jeden Fall befolgen sollten, um Fehlfunktionen zu vermeiden. 4 NetWAYS/ISDN – Konventionen im Handbuch netways.book Seite 5 Dienstag, 10. Dezember 2002 10:55 10 Willkommen bei NetWAYS/ISDN 1 Willkommen bei NetWAYS/ISDN NetWAYS/ISDN integriert entfernte Einzelplatzcomputer und mobile Computer in das zentrale Firmennetz. Alle klassischen Anwendungen aus dem LAN (Local Area Network) sind über ISDN einsetzbar: Client/Server-Anwendungen, Internetanwendungen, E-Mail, Datenbankanwendungen sowie Terminalemulation. Das digitale Telekommunikationsnetz ISDN bietet für den Fernzugriff die idealen Voraussetzungen: hohe Verfügbarkeit, große Bandbreite, sichere und stabile Verbindungen sowie Wirtschaftlichkeit. Das Übertragungsverfahren DSL ermöglicht den Internetzugang mit einer hohen Bandbreite über die normale Telefonleitung. Mit zunehmendem Bedarf an mobilem Fernzugriff auf lokale Netzwerke kommen neben dem ISDN auch das digitale Mobilfunknetz GSM (Global System for Mobile Communication) sowie HSCSD (High-Speed Circus-Switched Data) zum Einsatz. 1.1 Was bietet NetWAYS/ISDN? NetWAYS/ISDN ist eine Software, die in Verbindung mit AVM ISDN-Controllern entfernten Einzelplatzcomputern und mobilen Computern den transparenten Zugriff auf ein lokales Netzwerk und das Internet ermöglicht. Mitarbeiter, die in Außenstellen oder an Telearbeitsplätzen tätig sind, können auf diese Weise auf das Firmennetzwerk zugreifen, als wären sie direkt vor Ort. Alle Ressourcen des Firmennetzes stehen ihnen zur Verfügung. Vertriebsmitarbeiter in Außenstellen haben so beispielsweise die Möglichkeit, Datenbankrecherchen auf firmeneigenen Servern oder im Internet durchzuführen. Telearbeiter können NetWAYS/ISDN – 1 Willkommen bei NetWAYS/ISDN 5 netways.book Seite 6 Dienstag, 10. Dezember 2002 10:55 10 Technologie von ihrem Heimarbeitsplatz auf Netzlaufwerke und Netzwerkdrucker zugreifen und Techniker können bei der Fernwartung umfangreiche Anwendungen im Firmennetz nutzen. Die folgende Abbildung gibt einen Überblick über die vielfältigen Einsatzmöglichkeiten von NetWAYS/ISDN. LAN AVM Access Server Internet VPN-Tunnel ISDN ADSL Fernwartung NetWAYS/ISDN + Controller A1 GSM Heimarbeitsplatz NetWAYS/ISDN + FRITZ!Card PCI Niederlassung Frankreich NetWAYS/ISDN + Controller B1 Außendienstmitarbeiter NetWAYS/ISDN + Controller FRITZ!Card PCMCIA Mobile Anwender NetWAYS/ISDN + FRITZ! GSM Einsatzmöglichkeiten von NetWAYS/ISDN Technologie Die Kommunikation zwischen dem entfernten Computer und dem LAN wird durch NetWAYS/ISDN auf der entfernten Seite transparent über ISDN oder GSM abgewickelt. Die Netzwerkprotokolle werden wie eine Netzwerkkarte an NetWAYS/ISDN gebunden. Diese Anbindung geschieht NDIS-konform. NDIS steht für Network Device Interface Specification und stellt einen Standard für die Anbindung von Netzwerkkarten an Netzwerkprotokolle dar. Mit Hilfe von NDIS kann jede TCP/IPoder IPX/SPX-basierte Netzwerkanwendung über ISDN genutzt werden. Die Netzwerkeinstellungen entfernter NetWAYS/ISDN-Computer unterscheiden sich im Vergleich zu Computern, die sich direkt im LAN befinden, nur geringfügig. 6 NetWAYS/ISDN – 1 Willkommen bei NetWAYS/ISDN netways.book Seite 7 Dienstag, 10. Dezember 2002 10:55 10 Technologie Die folgende Abbildung zeigt die Einbindung zweier Computer in ein LAN. Zum Vergleich sind ein NetWAYS/ISDN-Computer mit RAS (Remote Access Service = Fernzugriff) über ISDN dargestellt und ein konventioneller Computer direkt im LAN. Entfernter Benutzer z.B. Computer mit ISDN-Controller und NetWAYS/ISDN Anwendungssoftware TCP/IP IPX/SPX NDIS NetWAYS/ISDN ISDN AVM Access Server Computer mit Netzwerkkarte und ISDN-Controller Lokale Benutzer im Netzwerk Computer mit Netzwerkkarten und Client-Software für Netzzugriff Anwendungssoftware IPX/SPX TCP/IP NDIS Netzwerkkartentreiber Vergleich von konventionellem Computer im LAN und Computer, der über ISDN angebunden ist Auf der Seite des LANs oder des Internets sind als Gegenstelle zu NetWAYS/ISDN die marktführenden Remote-AccessServer von AVM oder RAS-Produkte anderer Hersteller, die PPP over ISDN (Point-to-Point Protocol = Punkt-zu-Punkt-Protokoll) unterstützen, einsetzbar. Auf dem entfernten Computer können alle typischen LAN-Anwendungen genutzt werden. Dazu gehören Client-Software für Microsoft- oder NetWare-Netzwerke, ein Browser für das Internet, E-Mail-Programme oder Terminalemulation. NetWAYS/ISDN leistet jedoch im Zusammenspiel mit der Gegenstelle wesentlich mehr als ein gewöhnlicher Treiber für Netzwerkkarten. Das Programm bietet umfangreiche Funktionen, die richtungsweisend im Bereich des Fernzugriffs sind: l Reduzierung der Verbindungskosten l Steigerung der Übertragungsgeschwindigkeit l Erhöhung der Sicherheit NetWAYS/ISDN – 1 Willkommen bei NetWAYS/ISDN 7 netways.book Seite 8 Dienstag, 10. Dezember 2002 10:55 10 Kostenmanagement Kostenmanagement Ein Hauptanliegen bei der Konzeption von war die Reduzierung der ISDN-Verbindungskosten. NetWAYS/ISDN verwendet praxisbewährte und auf ISDN abgestimmte Verfahren, um die Verbindungskosten auf ein Minimum zu senken. Damit ist die Wirtschaftlichkeit des Fernzugriffs gewährleistet. Mit Hilfe des so genannten Short-Hold-Modus wird die ISDNVerbindung abgebaut, wenn keine Daten übertragen werden. Bei Bedarf, das heißt wenn Nutzerdaten zu übertragen sind, wird die ISDN-Verbindung automatisch wieder aufgebaut. Gebühren fallen dadurch nur für das übertragene Datenvolumen und nicht für die Dauer einer Sitzung an. NetWAYS/ISDN erkennt automatisch den von der Tageszeit abhängigen Gebührentakt und stellt den Short-Hold-Modus dementsprechend ein – das ist aufgrund der komplexen Tarifstruktur der ISDN-Netzbetreiber besonders kostensparend. Zudem unterdrücken NetWAYS/ISDN und die RemoteAccess-Server von AVM den verzichtbaren Hintergrund-Datenverkehr des Netzwerkbetriebssystems auf der ISDN-Leitung. In der Praxis erprobte und optimierte Protokoll-Filter und Spoofing-Technologien kommen hierbei zum Einsatz. NetWAYS/ISDN unterstützt das Leistungsmerkmal „Kostenübernahme“. Mit diesem Leistungsmerkmal können Sie festlegen, welche Seite für die ISDN-Verbindungsgebühren aufkommt. So kann beispielsweise definiert werden, dass die Zentrale alle entstehenden Verbindungskosten übernimmt, unabhängig davon, welche Seite eine Verbindung aufbauen möchte. NetWAYS/ISDN gibt den Benutzern eine Übersicht der Verbindungskosten durch monatliche Nutzungsabrechnungen und Gebührenbudgets. 8 NetWAYS/ISDN – 1 Willkommen bei NetWAYS/ISDN netways.book Seite 9 Dienstag, 10. Dezember 2002 10:55 10 Geschwindigkeit Geschwindigkeit ISDN liefert mit 64 KBit/s genügend Bandbreite für heutige Client/Server-Anwendungen. Durch Datenkompression während der Übertragung und Header-Kompression erreicht NetWAYS/ISDN zusätzlich eine Leistungssteigerung. In Abhängigkeit von den übertragenen Daten sind dadurch Geschwindigkeiten von bis zu 240 KBit/s realisierbar. Zur weiteren Steigerung der Bandbreite können zwei ISDN-B-Kanäle gebündelt werden. DSL ermöglicht den schnellen Internetzugang über die normale Telefonanschlussleitung . Die Übertragung von Daten beim Herunterladen kann mit bis zu 6 MBit/s erfolgen, in der Gegenrichtung sind bis zu 640 KBit/s möglich. Sicherheit Auch dem Thema Sicherheit wurde mit NetWAYS/ISDN wirksam Rechnung getragen. Noch bevor auf Netzwerkebene Datenpakete zwischen der entfernten Seite und dem LAN-Server ausgetauscht werden, findet eine Echtheitsbestätigung statt. NetWAYS/ISDN unterstützt dies auf zwei Arten: PAP (Password Authentication Protocol) oder CHAP (Challenge Handshake Authentication Protocol). Als weiteren Sicherheitsmechanismus wendet NetWAYS/ISDN die „Rufnummernüberprüfung“ an. Auf Seiten des LANs lassen sich mit AVM-Produkten Zugriffsbeschränkungen und Paket-Filter einsetzen. Zusätzlich wirken noch die Sicherheitsmechanismen der Netzwerk-Betriebssysteme auf Benutzerebene. VPN Der Fernzugriff auf ein LAN kann in NetWAYS/ISDN auch über eine VPN-Verbindung erfolgen. Mit IPSec als Netzwerkprotokoll werden dabei die folgenden Sicherheitsanforderungen erfüllt: l Vor dem Verbindungsaufbau findet eine Echtheitsbestätigung statt, um sicherzustellen, dass die Daten nur von berechtigten Personen kommen (Authentizität). l Der Datenaustausch findet verschlüsselt statt, so dass kein Dritter mithören kann (Vertraulichkeit). NetWAYS/ISDN – 1 Willkommen bei NetWAYS/ISDN 9 netways.book Seite 10 Dienstag, 10. Dezember 2002 10:55 10 Interoperabilität l Durch eine Signatur wird gewährleistet, dass die Daten während der Übertragung nicht von Dritten verändert werden können (Integrität). Interoperabilität Auf Netzwerkseite eignet sich als Remote-Access-Server für NetWAYS/ISDN besonders der AVM Access Server. Darüber hinaus gewährleistet NetWAYS/ISDN Interoperabilität mit Remote-Access-Servern, die PPP over ISDN unterstützen. Nutzer von NetWAYS/ISDN werden vor allem die Möglichkeit begrüßen, mit Hilfe dieses Standards auch InternetAnbieter zu erreichen. NetWAYS/ISDN verarbeitet neben IPProtokoll-Paketen auch IPX-Protokoll-Pakete direkt über PPP. Die PPP-Echtheitsbestätigung mit Hilfe von PAP oder CHAP wird voll unterstützt. Der Interoperabilitätsstandard PPP over ISDN wird in so genannten RFCs (Request for Comments) beschrieben. Eine Auflistung der von NetWAYS/ISDN unterstützten RFCs finden Sie im Kapitel „NetWAYS/ISDN für den Administrator“ ab Seite 49. Diese Verfahren sind in NetWAYS/ISDN sowie im AVM Access Server eingebunden. Statistik- und Protokollfunktionen Umfassende Statistik- und Protokollfunktionen liefern jederzeit ausführliche Informationen zur aktuellen und zu vergangenen Verbindungen und erlauben damit eine exakte Auswertung aller Aktivitäten mit NetWAYS/ISDN. Einfache Installation und Bedienung Die Installation von NetWAYS/ISDN ist mit dem Installationsassistenten einfach durchzuführen. Zudem kann die Installation von einem Administrator automatisiert werden, so dass vordefinierte Standorte und Ziele ohne Benutzereingaben nach der Installation in das Programm integriert werden. NetWAYS/ISDN kann nach dem Computerstart ohne weitere Benutzereingaben eine Netzwerkverbindung aufbauen. Die grafische Benutzeroberfläche ermöglicht den Anwendern eine intuitive Bedienung von NetWAYS/ISDN. Für Spezialan10 NetWAYS/ISDN – 1 Willkommen bei NetWAYS/ISDN netways.book Seite 11 Dienstag, 10. Dezember 2002 10:55 10 Lieferumfang wendungen steht darüber hinaus eine Programmierschnittstelle (API = Application Programming Interface) zur Verfügung. Nähere Informationen zu der in NetWAYS/ISDN integrierten Programmierschnittstelle erhalten Sie im Kapitel „NetWAYS/ISDN für den Administrator“ ab Seite 49. 1.2 Lieferumfang Folgendes ist im Lieferumfang von NetWAYS/ISDN enthalten: l 1 CD-ROM NetWAYS/ISDN v5.0 l 1 Handbuch NetWAYS/ISDN v5.0 Sollte eines dieser Teile fehlen, wenden Sie sich bitte an Ihren Händler. Falls der Computer, für den Sie die NetWAYS/ISDN-Lizenz erworben haben und auf dem Sie NetWAYS/ISDN installieren möchten, nicht über ein CD ROM-Laufwerk verfügt, können Sie die benötigte Software für diesen nichtkommerziellen Zweck auf Disketten kopieren. AVM liefert die NetWAYS/ISDN-Software nicht auf Disketten aus. Registrieren Sie NetWAYS/ISDN bei AVM. Lesen Sie dazu den Abschnitt „Registrierung“ auf Seite 60. NetWAYS/ISDN – 1 Willkommen bei NetWAYS/ISDN 11 netways.book Seite 12 Dienstag, 10. Dezember 2002 10:55 10 Installation und erste Schritte 2 Installation und erste Schritte Dieses Kapitel beschreibt die Installation, das Starten und Beenden und die Deinstallation von NetWAYS/ISDN. Außerdem erfahren Sie im Abschnitt „Erste Schritte“, wie Sie eine Testverbindung zum AVM Data Call Center aufbauen und welche Voraussetzungen für den Aufbau einer Internetverbindung erfüllt sein müssen. 2.1 Systemvoraussetzungen Zur Installation von NetWAYS/ISDN müssen folgende Voraussetzungen erfüllt sein: Hard- und Software des NetWAYS/ISDN-Computers l Industriestandard-PC mit mindestens 32 MB RAM l Intel Pentium 90 oder vergleichbare CPU l Windows XP, 2000, NT oder Windows Me/98. Für Windows XP, 2000 und NT benötigen Sie das aktuelle Microsoft Service Pack l AVM ISDN-Controller oder AVM FRITZ!Card GSM l Für DSL: AVM FRITZ!Card DSL oder externes DSL-Modem über Ethernet oder PPPoE Vor der Installation von NetWAYS/ISDN muss der AVM ISDNController bereits installiert sein. Die Treibersoftware muss beim Starten von Windows automatisch geladen werden! Informationen dazu erhalten Sie im Handbuch Ihres ISDN-Controllers. Beachten Sie bei der Installation von NetWAYS/ISDN in Windows XP, 2000 und NT unbedingt, dass Sie vorher das aktuelle Microsoft Service Pack auf Ihrem Computer installieren müssen. Eine Installation des Service Packs ist nach jeder Konfiguration oder Installation notwendig, die es erforderte, die Windows NT-CD-ROM einzulegen. 12 NetWAYS/ISDN – 2 Installation und erste Schritte netways.book Seite 13 Dienstag, 10. Dezember 2002 10:55 10 Hard- und Software auf dem Remote-Access-Server Hard- und Software auf dem Remote-AccessServer l Windows XP-/2000-/NT-Server mit AVM Access Server und AVM ISDN-Controller B1, T1, T1-B, C2 oder C4 l Beliebiger Remote-Access-Server, der PPP over ISDN unterstützt 2.2 Installation von NetWAYS/ISDN Zur Installation von NetWAYS/ISDN gehen Sie wie folgt vor: 1. Legen Sie die NetWAYS/ISDN-CD in Ihr CD-ROM-Laufwerk ein. Die CD-Intro wird automatisch gestartet. 2. Wählen Sie zunächst die Sprache aus, in der Sie NetWAYS/ISDN installieren wollen. 3. Wählen Sie im Begrüßungsfenster „NetWAYS/ISDN v6.0 installieren“, um das Installationsprogramm zu starten. 4. Klicken Sie im Begrüßungsfenster des NetWAYS/ISDNInstallationsprogramms auf „Weiter“, um die Installation fortzusetzen. 5. Geben Sie im nächsten Fenster den NetWAYS/ISDN Product Identification Code ein. Der NetWAYS/ISDN Product Identification Code befindet sich auf der CD-Hülle. 6. Geben Sie im Fenster „Zielpfad wählen“ den Ordner an, in den NetWAYS/ISDN installiert werden soll. Als Standard wird der Pfad C:\PROGRAMME\AVM\ NETWAYS vorgeschlagen. Mit der Funktion „Durchsuchen“ können Sie einen anderen Ordner angeben. 7. Wenn Sie bereits eine Version von NetWAYS/ISDN auf Ihrem Computer installiert haben, können Sie im nächsten Fenster angeben, ob Sie die bestehende Adressdatenbank übernehmen möchten. Bestätigen Sie die Übernahme der bestehenden Datenbank mit „Ja“. NetWAYS/ISDN – 2 Installation und erste Schritte 13 netways.book Seite 14 Dienstag, 10. Dezember 2002 10:55 10 Standardkonfiguration 8. Im Fenster „Kopiervorgang starten“ werden alle Ihren bisherigen Angaben zusammengefasst dargestellt. Wenn Sie die Angaben ändern möchten, erreichen Sie mit „Zurück“ die Eingabefenster. Sind alle Angaben korrekt, starten Sie mit „Weiter“ den Kopiervorgang für die Installation von NetWAYS/ISDN. Die Programmdateien für NetWAYS/ISDN werden nun installiert. Bei der Installation in Windows XP wird der Kopiervorgang durch einen Warnhinweis des Betriebssystems unterbrochen. Die Warnung bezieht sich auf den Windows-Logo-Test. Ignorieren Sie den Hinweis und setzen Sie die Installation fort. 9. Starten Sie im Anschluss an die Installation Ihren Computer neu. Mit dem Neustart des Computers ist die Installation von NetWAYS/ISDN abgeschlossen. Im Programmordner des Startmenüs befindet sich der neue Ordner „NetWAYS/ISDN“. Er enthält eine Verknüpfung zur Datei „NetWAYS/ISDN“, über die Sie die NetWAYS/ISDN-Oberfläche aufrufen, und zur Datei „Readme“, die aktuelle Informationen zu NetWAYS/ISDN enthält. Informationen zum Starten und Beenden von NetWAYS/ISDN erhalten Sie im Abschnitt „NetWAYS/ISDN als Systemdienst“ auf Seite 52. 2.3 Standardkonfiguration NetWAYS/ISDN wird im Computer als Netzwerkkartentreiber eingebunden. Dies geschieht bei der Installation automatisch. Folgende Einstellungen werden im Netzwerk von Windows standardmäßig vorgenommen: 14 l Automatische Bindung des Netzwerkprotokolls TCP/IP an NetWAYS/ISDN. l Bindung des Netzwerkprotokolls IPX/SPX an NetWAYS/ISDN, wenn IPX/SPX vor der Installation von NetWAYS/ISDN installiert wurde. NetWAYS/ISDN – 2 Installation und erste Schritte netways.book Seite 15 Dienstag, 10. Dezember 2002 10:55 10 Erste Schritte Nach der Installation von NetWAYS/ISDN steht Ihnen das von der AVM vorkonfigurierte Ziel „Fast Internet over ISDN“ zur Verfügung. Folgende Einstellungen sind gegeben: l Als Filter- und Spoofing-Mechanismen sind die IP-Optionen aktiviert. l Für die Datenkompression ist „Automatisch aushandeln“ eingestellt. l Die Header-Kompression ist aktiviert. l Der physikalische Verbindungsabbau findet nach 50 Sekunden statt. l Der logische Verbindungsabbau findet zusammen mit dem physikalischen Verbindungsabbau statt. l Für die Kanalbündelung ist „Manuell“ eingestellt. l Die Kostenübernahme ist auf „Anrufer“ eingestellt. l Es findet keine Rufnummernüberprüfung statt. l Die Anmeldung auf dem ADC findet mit dem Benutzernamen „Gast“ und ohne Eingabe eines Passwortes statt. 2.4 Erste Schritte Nachdem Sie NetWAYS/ISDN installiert und gestartet haben, können Sie mit dem vorkonfigurierten Ziel eine Testverbindung zu einer extra eingerichteten Gegenstelle im AVM Data Call Center (ADC) aufbauen. Bevor Sie eine Testverbindung zum ADC oder zu den Internetseiten von AVM aufbauen können, müssen Sie in NetWAYS/ISDN ein Standortprofil anlegen. Ausführliche Informationen dazu erhalten Sie in der Online-Hilfe. Möchten Sie eine bestehende Verbindung und ihren Verlauf beobachten, haben Sie in NetWAYS/ISDN zwei Möglichkeiten: 1. Wählen Sie im Menü „Monitor“ den Befehl „Statistik“. Das Statistikfenster wird geöffnet. Hier erhalten Sie umfangreiche Informationen zur aktuellen Verbindung. NetWAYS/ISDN – 2 Installation und erste Schritte 15 netways.book Seite 16 Dienstag, 10. Dezember 2002 10:55 10 Erste Verbindung zum Testen von TCP/IP oder 2. Wählen Sie im Menü „Monitor“ den Befehl „Cockpit“. Das Cockpit-Fenster wird geöffnet. Hier können Sie sehen, ob eine aktuelle Verbindung besteht, wann eine physikalische Verbindung abgebaut wird und wie viele B-Kanäle aktiv sind. Erste Verbindung zum Testen von TCP/IP Führen Sie die folgenden Schritte aus, um mit dem Netzwerkprotokoll TCP/IP eine Verbindung zum ADC herzustellen: 1. Starten Sie WAYS/ISDN. die Programmoberfläche von Net- 2. Markieren Sie das Zielsymbol „Fast Internet over ISDN“. 3. Rufen Sie im Menü „Datei“ den Befehl „Verbindung aufbauen“ auf. Bei erfolgreichem Verbindungsaufbau erscheint in der Statuszeile des NetWAYS/ISDN-Fensters die Statusangabe „Physikalisch Verbunden“. 4. Rufen Sie einen Web-Browser auf und tragen Sie in die Befehlszeile „Adresse“ entweder die Adresse des WWW-Servers oder des FTP-Servers der AVM ein: http://www.avm.de ftp://ftp.avm.de Von den WWW-Startseiten und der Startseite des FTP-Servers aus haben Sie jetzt die Möglichkeit, sich auf den Internetseiten der AVM und in dem Verzeichnis des FTP-Servers zu bewegen. Mit NetWAYS/ISDN in das Internet Vor dem Start in das Internet müssen seitens des InternetAnbieters und in den Einstellungen von NetWAYS/ISDN einige Voraussetzungen erfüllt sein. 16 NetWAYS/ISDN – 2 Installation und erste Schritte netways.book Seite 17 Dienstag, 10. Dezember 2002 10:55 10 Mit NetWAYS/ISDN in das Internet Voraussetzungen beim Anbieter l Der Anbieter muss über ISDN- und/oder DSL-Zugänge verfügen. l Der Zugang sollte das „synchrone PPP“ nach dem Standard RFC 1618 unterstützen. l Die Anmeldung beim Internet-Anbieter kann sowohl per Rufnummernüberprüfung als auch per Authentisierung erfolgen. l Für Verbindungen zu Ihrem Internet-Anbieter kann wahlweise eine statische oder dynamische IP-Adresse verwendet werden. Es wird empfohlen, IP-Masquerading zu verwenden. Voraussetzungen auf lokaler Seite Bei der Erstellung eines Zieles für Ihren Internet-Anbieter beachten Sie bitte die folgenden Hinweise: l Deaktivieren Sie das Netzwerkprotokoll IPX/SPX in den Zieleinstellungen von NetWAYS/ISDN. l Die Zeitspanne bis zum physikalischen Abbau sollte länger als 10 Sekunden sein. Ein Verbindungsaufbau zu einem Internet-Anbieter kann aufgrund der oft stark frequentierten Server eine Weile in Anspruch nehmen. Mit der höher gesetzten Zeitspanne gehen Sie sicher, dass der Verbindungsaufbau nicht wegen einem zu niedrigen Wert in den Einstellungen abgebrochen wird. l Bei einigen Internet-Anbietern müssen Sie Proxy-Server und dazu gehörende Ports angeben. Nähere Informationen erhalten Sie von Ihrem Systemadministrator oder von Ihrem Internet-Anbieter. l Achten Sie auf die korrekte Eingabe der Rufnummer, des Benutzernamens und des Passwortes. NetWAYS/ISDN – 2 Installation und erste Schritte 17 netways.book Seite 18 Dienstag, 10. Dezember 2002 10:55 10 Mit NetWAYS/ISDN in das Internet Einrichten eines Internetziels 1. Wählen Sie im Menü „Einstellungen“ den Eintrag „Ziele/Ziel neu...“ aus. Der NetWAYS/ISDN-Assistent zum Einrichten einer Internetverbindung wird gestartet. 2. Wählen Sie im Dialog „Art des Netzwerkes“ die Option „Internet“ aus. 3. Wählen Sie im nächsten Dialog die Art des Internetanbieters aus. 4. Wählen Sie einen Internetanbieter aus. Dieser Auswahldialog erscheint nur, wenn Sie im vorangegangenen Dialog „Internetanbieter mit Anmeldung“ oder „Internetanbieter ohne Anmeldung“ ausgewählt haben. 5. Übernehmen Sie die vorgeschlagene Bezeichnung für den Internetanbieter oder ändern Sie den Vorschlag. 6. Geben Sie die Zugangsdaten für Ihren Internetanbieter ein. 7. Beenden Sie die Konfiguration mit „Fertig stellen“. In der NetWAYS/ISDN-Oberfläche wird die Internetverbindung als Symbol dargestellt. Import einer mit dem AVM Access Server erstellten VPNVerbindung Am AVM Access Server gibt es die Möglichkeit, die Konfiguration eines VPN-Benutzers als Datei zu exportieren und auf einer Diskette zur Verfügung zu stellen. Die Datei kann dann am NetWAYS/ISDN-Computer importiert werden. Mit dem Import dieser Datei erfolgt die automatische Konfiguration des VPN-Ziels. 18 1. Legen Sie die Diskette mit der am AVM Access Server erstellten Exportdatei in das Diskettenlaufwerk. 2. Wählen Sie im Menü „Datei“ den Eintrag „VPN-Verbindung importieren“ aus. Der Dateiauswahldialog von Windows wird geöffnet. NetWAYS/ISDN – 2 Installation und erste Schritte netways.book Seite 19 Dienstag, 10. Dezember 2002 10:55 10 Deinstallation von NetWAYS/ISDN 3. Wählen Sie von der Diskette die Datei mit der Endung .EFF aus und bestätigen Sie Ihre Auswahl mit „OK“. 4. Geben Sie das Kennwort ein, das beim Erstellen der Exportdatei am AVM Access Server festgelegt wurde. Aufbau einer Internetverbindung Zum Aufbau einer Internetverbindung gehen Sie wie folgt vor: 1. Starten Sie NetWAYS/ISDN. 2. Markieren Sie im Hauptfenster das Zielsymbol für Ihren Internet-Anbieter. 3. Rufen Sie im Menü „Datei“ den Befehl „Verbindung aufbauen“ auf. 4. Bei erfolgreichem Verbindungsaufbau erscheint in der Statuszeile des NetWAYS/ISDN-Fensters die Statusangabe „Physikalisch Verbunden“. 5. Rufen Sie einen Web-Browser auf. Jetzt können Sie jede beliebige Seite im Internet aufrufen. 2.5 Deinstallation von NetWAYS/ISDN Sie können die in NetWAYS/ISDN vorgenommenen Einstellungen behalten. Sichern Sie dazu alle Dateien mit den Endungen .idx und .dat. Nach der erneuten Installation derselben NetWAYS/ISDN-Version kopieren Sie diese Dateien in das NetWAYS/ISDN-Installationsverzeichnis. Ihre Einstellungen sind nun wieder verfügbar. Gehen Sie zur Deinstallation folgendermaßen vor: Deinstallation in Windows XP und 2000 1. Öffnen Sie den Ordner „Systemsteuerung“ in Windows XP über das „Startmenü“ und in Windows 2000 über „Start / Einstellungen“. Öffnen Sie nun den Ordner „Software“. NetWAYS/ISDN – 2 Installation und erste Schritte 19 netways.book Seite 20 Dienstag, 10. Dezember 2002 10:55 10 Deinstallation in Windows Me, 98, NT und 95 2. Wählen Sie nun in der Liste der korrekt installierten Programme „NetWAYS/ISDN“ aus und klicken Sie auf die Schaltfläche „Ändern/Entfernen“. Achten Sie darauf, dass in der linken Fensterspalte „Programme ändern oder entfernen“ aktiviert ist. 3. Bestätigen Sie die Sicherheitsabfrage mit „Ja“. 4. Folgen Sie nun den Hinweisen auf dem Bildschirm. Beenden Sie die Deinstallation mit „OK“, sobald Sie die Information erhalten, dass die Deinstallation erfolgreich durchgeführt wurde. Deinstallation in Windows Me, 98, NT und 95 1. Rufen Sie den Ordner „Einstellungen / Systemeinstellungen / Software“ im Startmenü von Windows auf. 2. Markieren Sie auf der Registerkarte „Installieren/Deinstallieren“ den Listeneintrag „AVM NetWAYS/ISDN“ und klicken Sie auf die Schaltfläche „Hinzufügen/Entfernen“. 3. Beenden Sie die Deinstallation mit Klicken auf „OK“. Die Deinstallation von NetWAYS/ISDN ist damit beendet. 20 NetWAYS/ISDN – 2 Installation und erste Schritte netways.book Seite 21 Dienstag, 10. Dezember 2002 10:55 10 Fernzugriff mit NetWAYS/ISDN 3 Fernzugriff mit NetWAYS/ISDN Dieses Kapitel erläutert die grundlegenden Konzepte von NetWAYS/ISDN. Sie erhalten detaillierte Informationen zu Leistungsmerkmalen, Funktionen und Einstellungsmöglichkeiten. Ausführliche Informationen zu den einzelnen Funktionen und Parametern erhalten Sie in der Online-Hilfe. 3.1 Optimierung der Übertragungsgeschwindigkeit Ein ISDN-B-Kanal hat eine Übertragungsgeschwindigkeit von 64 KBit in der Sekunde. Viele Anwendungen setzen heute eine höhere Bandbreite voraus. Zur optimalen Nutzung der verfügbaren Bandbreite wurden daher unter NetWAYS/ISDN zwei Möglichkeiten eingebunden, Datenpakete effektiv zu komprimieren: Header-Kompression und Datenkompression. Beim Internetzugang mit DSL kann die Übertragung von Daten beim Herunterladen mit bis zu 6 MBit/s erfolgen, in der Gegenrichtung sind bis zu 640 KBit/s möglich. Header-Kompression Bestandteil jedes Datenpaketes bei der Datenübertragung ist ein so genannter Header, der Informationen zu Absender und Adressat enthält. Durch Kompression dieser Header wird mit NetWAYS/ISDN die Übertragungsrate, insbesondere bei kleinen Datenpaketen, enorm erhöht. IPX-Header können maximal von 36 auf 2 Bytes, TCP/IP-Header von 40 auf 3 Bytes komprimiert werden. Datenkompression Auch die Daten eines Datenpaketes können während der Übertragung komprimiert werden. NetWAYS/ISDN verwendet bei der Datenkompression die Standards V.42bis, PPP-Stack NetWAYS/ISDN – 3 Fernzugriff mit NetWAYS/ISDN 21 netways.book Seite 22 Dienstag, 10. Dezember 2002 10:55 10 Kanalbündelung LZS (RFC 1974) und MPPC (RFC 2118). Diese Verfahren ermöglichen, je nach Dateninhalt, eine Kompressionsrate von bis zu 8:1. Kanalbündelung Zur Optimierung der Übertragungsgeschwindigkeit bietet NetWAYS/ISDN neben der Kompression die Möglichkeit, beide Datenkanäle (B-Kanäle) für die Datenübertragung zu verwenden. Durch diese Kanalbündelung kann eine Bandbreite von 128 KBit/s (2 x 64 KBit/s) erreicht werden. Sie haben bei der Kanalbündelung folgende Konfigurationsmöglichkeiten: Bündelungsart Beschreibung Keine Es wird immer nur ein B-Kanal verwendet. Statisch Es werden immer zwei B-Kanäle verwendet. Dynamisch Der zweite B-Kanal wird automatisch dazugeschaltet, wenn die übertragene Datenmenge es erfordert. Wenn die Datenmenge zurückgeht, wird der zweite B-Kanal automatisch abgebaut. Manuell Der zweite B-Kanal kann für eine bestehende Verbindung bei Bedarf mit Hilfe eines Schalters dazugeschaltet werden. Beachten Sie, dass bei Einsatz beider B-Kanäle auch doppelte Kosten entstehen. Prüfen Sie daher sorgfältig, ob die Datenmenge die Kanalbündelung rechtfertigt. 3.2 Kostenmanagement Bei einer ISDN-Verbindung handelt es sich, anders als etwa im LAN, um eine kostenpflichtige Verbindung. Sie bezahlen für die Verbindungsdauer und nicht für die übertragenen Daten. NetWAYS/ISDN verwendet verschiedene intelligente Verfahren zur Reduzierung der ISDN-Verbindungskosten. 22 NetWAYS/ISDN – 3 Fernzugriff mit NetWAYS/ISDN netways.book Seite 23 Dienstag, 10. Dezember 2002 10:55 10 Physikalischer Verbindungsabbau Physikalischer Verbindungsabbau Um Verbindungsgebühren zu reduzieren, wird beim physikalischen Abbau durch den so genannten Short-Hold-Modus eine ISDN-Verbindung automatisch abgebaut, sobald über eine definierte Zeitspanne keine Daten mehr übetragen werden. Sobald wieder Daten zur Gegenstelle übertragen werden müssen, baut NetWAYS/ISDN die Verbindung automatisch auf. Durch die kurzen Anwahlzeiten im ISDN (1 bis 2 Sekunden) ist dieses Verhalten kaum zu bemerken. Die Dauer bis zum physikalischen Abbau einer Verbindung ohne Datenübertragung steuern Sie entweder über eine Zeitspanne, den so genannten Inactivity Timeout, oder über Gebührenprofile. Zeitspanne für den physikalischen Abbau Wenn keine Datenübertragung über einen angegebenen Zeitraum stattgefunden hat, wird die ISDN-Verbindung zwischen dem NetWAYS/ISDN-Computer und dem LAN abgebaut. Dies kann auf zwei Arten geschehen: l Fest Sie können den Zeitraum bis zum Verbindungsabbau als festen Wert vorgeben. l Selbstlernend Der Zeitraum kann von NetWAYS/ISDN selbst eingestellt werden. Das bedeutet, dass der Zeitpunkt des physikalischen Abbaus nicht fest ist, sondern dass NetWAYS/ISDN die Zeit bis zum physikalischen Abbau mit Hilfe des Gebührenimpulses einstellt, der am ISDN-Anschluss übertragen wird. Die Zeitspanne bis zum physikalischen Abbau wird dann weitestgehend an den Gebührentakt angepasst, der zu dieser Tageszeit für den entsprechenden Tarifbereich gilt. Bei NetWAYS/ISDN wird dieses Merkmal als „Selbstlernend“ bezeichnet. NetWAYS/ISDN – 3 Fernzugriff mit NetWAYS/ISDN 23 netways.book Seite 24 Dienstag, 10. Dezember 2002 10:55 10 Logischer Verbindungsabbau Beachten Sie, dass Sie für das Merkmal „Selbstlernend“ die Übermittlung der Gebühreninformationen während der Verbindung von Ihrem ISDN-Anbieter freischalten lassen müssen. Auch die Weiterleitung der Gebühreninformationen in Ihrer Nebenstellenanlage muss freigeschaltet sein. Gebührenprofile für den physikalischen Abbau Die Zeitspanne bis zum physikalischen Abbau der Verbindung kann mit NetWAYS/ISDN auch über Gebührenprofile gesteuert werden. Ein Gebührenprofil enthält Informationen zur Länge der Gebührentakte. Diese Gebührentakte sind abhängig von Tarifzeiten und vom Tarifbereich. Für Verbindungen aus Deutschland können Sie eines der voreingestellten Gebührenprofile nutzen. Die Gebührenprofile enthalten die üblichen Tarife eines T-ISDN Standardanschlusses der Deutschen Telekom AG. Sie können mit NetWAYS/ISDN eigene Gebührenprofile erstellen oder schon vorhandene an Ihre eigenen Bedürfnisse anpassen, zum Beispiel durch die Angabe von Feiertagen. Logischer Verbindungsabbau Wenn eine Verbindung auf Basis einer angegebenen Zeitspanne physikalisch abgebaut wurde, kann eine logische Verbindung bestehen bleiben. Eine logische Verbindung stellt sicher, dass bei einer erneuten Datenübertragung die physikalische Verbindung mit den alten Parametern automatisch wieder hergestellt werden kann. Den gewünschten Zeitraum für eine fortlaufende logische Verbindung bestimmen Sie selber. Solange dieser Zeitraum nicht überschritten wird, bleiben einige mit der Gegenstelle ausgehandelte Verbindungsparameter aktiv und der Remote Access Server auf der Gegenstelle reserviert einen Port und Netzwerkressourcen für den entfernten Computer. Das kann aber nur dann geschehen, wenn die Gegenstelle dies unterstützt. 24 NetWAYS/ISDN – 3 Fernzugriff mit NetWAYS/ISDN netways.book Seite 25 Dienstag, 10. Dezember 2002 10:55 10 Filtern und Spoofing Erst wenn weiterhin keine Daten übermittelt werden und der angegebene Zeitraum für den logischen Verbindungsabbau überschritten wurde, wird der Port für andere Anwendungen oder Verbindungen freigegeben. Die folgende Abbildung stellt den Zusammenhang von Datenübertragung und physikalischem Verbindungsabbau zum einen sowie physikalischem und logischem Verbindungsabbau zum anderen dar. Logische Verbindung Keine Gebühren Datenübertragung Physikalische Verbindung Gebühren Keine Gebühren Datenübertragung Physikalische Verbindung Gebühren Zeit Physikalischer Abbau (Inactivity Timeout) Logischer Abbau (Disconnect Timeout) Physikalische und logische Verbindung mit festem Wert für den physikalischen Abbau Filtern und Spoofing Zusätzlich zu den Nutzdaten werden in einem Netzwerk ständig Netzwerkkontrollpakete zwischen verschiedenen Anwendungen sowie zwischen Client und Server übertragen. Dies ist beispielsweise der Fall, wenn der Server prüft, ob noch zu allen Clients eine Verbindung besteht. Ebenso würden Nachrichten, die über das gesamte Netzwerk verteilt werden, auch an den entfernten Computer übertragen werden. Diese Mechanismen führen normalerweise dazu, dass im Hintergrund immer wieder eine physikalische Verbindung aufgebaut wird und dadurch permanent Kosten entstehen. NetWAYS/ISDN – 3 Fernzugriff mit NetWAYS/ISDN 25 netways.book Seite 26 Dienstag, 10. Dezember 2002 10:55 10 Filtern und Spoofing Damit das nicht geschieht, verwendet NetWAYS/ISDN Filter und so genannte Spoofing-Mechanismen, die den redundanten ISDN-Datenverkehr minimieren. Viele Netzwerkkontrollpakete und Netzwerknachrichten sind zum einwandfreien Arbeiten des entfernten Computers im LAN nicht unbedingt erforderlich und können deshalb herausgefiltert werden. Welche Datenpakete und Netzwerkprotokolle durch Filterund Spoofing-Mechanismen gefiltert werden, hängt von den Leistungsmerkmalen des Remote Access Servers ab. Der AVM Access Server unterstützt alle hier beschriebenen Merkmale. Für die Protokolle IPX und IP stehen Ihnen mit NetWAYS/ISDN die folgenden Filter zur Verfügung: l SNMP SNMP (Simple Network Management Protocol) ist ein weit verbreitetes Protokoll für das Netzwerk-Management. SNMP-Pakete werden zur Überwachung von Netzwerk-Ressourcen eingesetzt. Diese Pakete übertragen z.B. Status- und Alarmmeldungen von Netzwerkelementen wie Workstations, Servern oder Routern. SNMP-Informationen können u.a. auch über IP- und IPX-Pakete übertragen werden. Ist dieser Filter aktiv, werden Pakete vom Typ SNMP über IP oder IPX gefiltert und nicht über ISDN übertragen. l NetBIOS NetBIOS ist ein Befehlssatz, den manche Programme und Netzwerke zur Kommunikation nutzen. NetBIOS kann sowohl über IP als auch über IPX übertragen werden und stellt die Grundlage für die Datei- und Druckerfreigabe in Windows dar. Um die Übertragung dieser Pakete über ISDN zu verhindern, muss der NetBIOS-überIPX- oder -IP-Filter eingeschaltet sein. Wenn sich im LAN Windows XP-, Me-, 2000-, 98-, NT- und 95-Computer befinden, dann müssen Sie immer den Transport von NetBIOS-Paketen zulassen, damit ein Zugriff auf 26 NetWAYS/ISDN – 3 Fernzugriff mit NetWAYS/ISDN netways.book Seite 27 Dienstag, 10. Dezember 2002 10:55 10 Filtern und Spoofing diese Server möglich ist. Die Kommunikation in MicrosoftNetzwerken erfolgt zwar unabhängig vom Transportprotokoll, aber stets mit NetBIOS. Spoofing Manche Pakettypen, die zwischen dem Client und dem Server ausgetauscht werden, verlangen eine Bestätigung der Gegenseite und dürfen nicht einfach aus dem Datenstrom herausgefiltert werden. Ansonsten würde die Kommunikation zwischen dem entfernten Computer und dem Server nicht mehr einwandfrei funktionieren. Mit Hilfe des Spoofing-Mechanismus, können der Remote Access Server und der entfernte Computer solche Datenpakete abfangen und selbst die Antwort an den LAN-Server schicken, der die Anfrage gestartet hat. Auf diese Weise findet kein Austausch dieser Pakete über ISDN statt. Eine bestehende logische Verbindung bleibt trotzdem erhalten. Lokales Netzwerk (LAN) Benutzerdaten: Dateien, etc. Benutzerdaten: E-Mails, etc. Netzwerkdatenpakete: Watchdog, SPX, ARP, NetBIOS, SNMP und NCP Remote Access Server Filter- und SpoofingMechanismen AVM Access Server Benutzerdaten: Dateien, etc. Benutzerdaten: E-Mails, etc. Benutzerdaten: Dateien, etc. ISDN Benutzerdaten: E-Mails, etc. Entfernter Rechner mit NetWAYS/ISDN NetWAYS/ISDN Filter- und SpoofingMechanismen Benutzerdaten: E-Mails, etc. Benutzerdaten: Dateien, etc. Netzwerkdatenpakete: NetBIOS, SNMP und NCP Filter- und Spoofing-Mechanismen bei der Datenübertragung Abhängig von dem gewählten Protokoll, IPX oder IP, stehen Ihnen für das Beantworten der Kontroll- oder Nachrichtenpakete im LAN die folgenden Spoofing-Mechanismen zur Verfügung: NetWAYS/ISDN – 3 Fernzugriff mit NetWAYS/ISDN 27 netways.book Seite 28 Dienstag, 10. Dezember 2002 10:55 10 Filtern und Spoofing l Watchdog-Spoofing NetWare-Server senden in regelmäßigen Abständen so genannte Watchdog-Pakete, um zu überprüfen, ob die am Server angemeldeten Clients noch existieren. Diese Watchdog-Pakete werden im LAN durch den AVM Access Server abgefangen. Der Remote Access Server simuliert eine Bestätigung des entfernten Computers, ohne dass zu diesem eine Verbindung aufgebaut wird. l SPX-Spoofing Viele Anwendungen verwenden IPX/SPX. In diesem Fall werden in regelmäßigen Abständen „Keep alive“-Pakete zwischen Server und Client ausgetauscht, um die Aktivität einer bestimmten Anwendung zu überprüfen. SPX-Pakete müssen auf beiden Seiten beantwortet werden, um die logische Verbindung aufrechtzuerhalten. Wenn das SPX-Spoofing aktiviert ist, werden SPX-Pakete des Remote Access Servers lokal im LAN beantwortet und nicht über ISDN an den Client (Ihren Computer) gesendet. SPX-Pakete, die vom Anwendungsprogramm auf dem Client erzeugt werden, werden durch NetWAYS/ISDN beantwortet und nicht zur Gegenstelle gesendet. l NCP-Spoofing NCP-Spoofing (NetWare Core Protocol) verhindert die ISDN-Übertragung von NCP-Anfragen wie „Get directory path“ oder „End of job“, die von Windows-Anwendungen beim Öffnen einer Dateiübersicht (z.B. bei Aufruf des Befehls „Datei öffnen“ in Microsoft Word) ausgesendet werden. Ist das NCP-Spoofing aktiv, verhindert der entfernte Computer die Übertragung von überflüssigen NCP-Anfragen (z.B. Aktualisierungsanfragen) zu allen Servern, mit denen der Client über Laufwerkszuweisungen verbunden ist. Diese Anfragen werden damit lokal beantwortet. 28 NetWAYS/ISDN – 3 Fernzugriff mit NetWAYS/ISDN netways.book Seite 29 Dienstag, 10. Dezember 2002 10:55 10 Rückrufoptionen und Kostenübernahme l ARP-Spoofing ARP (Address Resolution Protocol) bietet eine dynamische Zuweisung von IP-Adressen zu den entsprechenden Hardware-Adressen (MAC-Adressen). Das ARP sendet bei IP normalerweise alle sechs Minuten eine Nachricht über das Netzwerk, um die Zuordnung von IP- und MAC-Adressen zu ermitteln. Als Antwort auf eine ARP-Anfrage wird die IP-Adresse mit der entsprechenden Hardware-Adresse übertragen. Bei der Anbindung von Clients über ISDN kann dies hohe Verbindungskosten verursachen, da bei jeder ARP-Anfrage eine ISDN-Verbindung aufgebaut werden würde. Um dies zu vermeiden, bietet der AVM Access Server ARPSpoofing, mit dem die angeforderte Hardware-Adresse lokal geliefert wird. In NetWAYS/ISDN und dem AVM Access Server ist das ARP-Spoofing automatisch aktiviert. Rückrufoptionen und Kostenübernahme Eine Standard-Anwendung von NetWAYS/ISDN ist die Integration von Telearbeitsplätzen in das firmeneigene LAN. Bei Telearbeitsplätzen ist es oft üblich, dass eine Seite – meist die Firmenzentrale – die ISDN-Verbindungskosten trägt. NetWAYS/ISDN stellt in diesem Zusammenhang die Funktionen „Rückrufanforderung“ und „COSO“ (COSO=Charge One Site Only) bereit, mit denen sich Kostenübernahme und Rückruf durch die Gegenstelle optimal realisieren lassen. Rückrufanforderung Mit der Funktion „Rückrufanforderung“ kann der entfernte Computer dem Remote Access Server signalisieren, dass er zurückgerufen werden möchte, damit zukünftig die ISDN-Verbindungskosten vom Remote Access Server übernommen werden. Bei jedem Verbindungsaufbau wird zwischen dem Remote Access Server und dem entfernten Computer die Art des Verbindungsaufbaus, einschließlich der Rückrufanforderung, ausgehandelt. Der entfernte Computer ruft den Remote Access Server an und die Aushandlungen werden vorgenom- NetWAYS/ISDN – 3 Fernzugriff mit NetWAYS/ISDN 29 netways.book Seite 30 Dienstag, 10. Dezember 2002 10:55 10 Rückrufoptionen und Kostenübernahme men. Wenn die Rückrufanforderung erfolgreich ausgehandelt werden konnte, dann lehnt der Remote Access Server die Verbindung ab und ruft den entfernten Computer zurück. Dies gilt auch dann, wenn nach einem physikalischen Verbindungsabbau wegen Inaktivität wieder Daten vom entfernten Computer zur Gegenstelle übertragen werden müssen. Die jeweils erste (physikalische) Verbindung muss vom entfernten Computer aufgebaut und bezahlt werden, da zuerst alle Verbindungsparameter (einschließlich Rückrufanforderung) ausgehandelt werden müssen. Kostenübernahme (COSO = Charge One Site Only) Zur Festlegung der Kostenübernahme unterstützt NetWAYS/ISDN das Leistungsmerkmal „COSO“ (COSO=Charge One Site Only). Mit Hilfe dieser Funktion können Sie bestimmen, welche Seite für die Verbindungskosten aufkommt. Der entfernte Computer und der Remote Access Server können so eingestellt werden, dass eine Seite die Kosten übernimmt, unabhängig davon, welche Seite den Verbindungsaufbau signalisiert hat. Das Leistungsmerkmal „Kostenübernahme“ muss von beiden Seiten unterstützt und aktiviert werden. Kostenübernahme mit COSO arbeitet mit PPP over ISDN. Die Kostenübernahme durch COSO arbeitet in NetWAYS/ISDN folgendermaßen: Bei Einstellung „Anrufer“ werden die Verbindungskosten von der Seite getragen, die die Verbindung signalisiert. Übernehmen Sie auf jeden Fall diese Einstellung, wenn die Gegenstelle die Kostenübernahme nicht unterstützt. Bei Einstellung „Lokale Seite“ übernimmt die lokale Seite die gesamten Verbindungsgebühren. Einkommende Rufe werden von NetWAYS/ISDN abgelehnt. NetWAYS/ISDN ruft sofort zurück und baut selbst die Verbindung zum Ziel auf. Bei Einstellung „Gegenstelle“ übernimmt die Gegenstelle die gesamten Verbindungsgebühren. Müssen Daten zum entfernten Netzwerk übertragen werden, signalisiert Net- 30 NetWAYS/ISDN – 3 Fernzugriff mit NetWAYS/ISDN netways.book Seite 31 Dienstag, 10. Dezember 2002 10:55 10 Rückrufoptionen und Kostenübernahme WAYS/ISDN den Verbindungswunsch über den D-Kanal. Die Gegenstelle lehnt den Verbindungsaufbau ab und ruft zurück. Bei den beiden Einstellungen „Lokale Seite“ und „Gegenstelle“ wird die Rufnummer der anrufenden Seite im D-Kanal übertragen. Dazu muss die Übertragung der D-Kanal-Rufnummer von Ihrem ISDN-Anbieter auf der anrufenden Seite freigeschaltet sein. In den meisten Ländern ist die Signalisierung des Rückrufwunsches über den D-Kanal gebührenfrei. Erkundigen Sie sich, ob das auch für Ihren ISDN-Anbieter zutrifft. Sind die Einstellungen für die Kostenübernahme von NetWAYS/ISDN und Gegenstelle nicht aufeinander abgestimmt, ist es möglich, dass trotz signalisierten Verbindungswunsches die Verbindung nicht aufgebaut wird. In diesem Fall wird eine entsprechende Meldung im Ereignisprotokoll ausgegeben und die Kostenübernahme auf „Keine ausgehenden Rufe“ gestellt. In diesem Modus sind keine ausgehenden Rufe zu diesem Ziel mehr möglich. Nur die Gegenstelle kann die Verbindung aufbauen. COSO-Parameter lassen sich in Verbindung mit dem AVM Access Server auch zeitabhängig konfigurieren. So kann beispielsweise eingestellt werden, dass eine Zentrale tagsüber alle ISDN-Gebühren übernimmt, während in den Abend- und Nachtstunden jeweils die entfernten Computer die Gebühren tragen. Die folgende Grafik veranschaulicht die Kostenübernahme für den Fall, dass die Kostenübernahme auf „Gegenstelle“ eingestellt ist. NetWAYS/ISDN – 3 Fernzugriff mit NetWAYS/ISDN 31 netways.book Seite 32 Dienstag, 10. Dezember 2002 10:55 10 Festverbindungen AVM Access Server Entfernter Computer D-Kanal Datenpaket für das entfernte Netzwerk Signalisierung des Verbindungswunsches Identifizierung des Anrufers anhand D-Kanal-Rufnummer D- und B-Kanal Annehmen des einkommenden Rufes nach evtl. Authentisierung D- und B-Kanal Übertragung von Datenpaketen in beide Richtungen Ablehnen des Verbindungswunsches. Rückruf und dadurch Kostenübernahme durch Remote Access Server. Abbau der ISDNVerbindung nach Inaktivität D- und B-Kanal Annehmen des einkommenden Rufes nach evtl. Authentisierung D- und B-Kanal Datenpaket für den entfernten Benutzer, z.B. Mail Übertragung von Datenpaketen in beide Richtungen Rückruf und Kostenübernahme mit COSO (Charge One Site Only) durch die Gegenstelle Festverbindungen Neben Wählverbindungen erlaubt ISDN zusätzlich die Unterstützung von Festverbindungen. Wenn das Datenaufkommen am entfernten Computer oder am NetWAYS/ISDN-Arbeitsplatz so hoch wird, dass der Einsatz einer Festverbindung wirtschaftlicher als der Betrieb mit Wählverbindungen ist, kann eine Festverbindung eingesetzt werden. Zusätzliche Hardware ist nicht erforderlich. NetWAYS/ISDN unterstützt Festverbindungen mit einem B-Kanal (Deutsche Telekom Digital 64S). Darüber hinaus unterstützt NetWAYS/ISDN auch ISDN-Anschlüsse, an denen ein B-Kanal als Festverbindung und der andere B-Kanal als Wählverbindung geschaltet ist. 32 NetWAYS/ISDN – 3 Fernzugriff mit NetWAYS/ISDN netways.book Seite 33 Dienstag, 10. Dezember 2002 10:55 10 Sicherheit 3.3 Sicherheit Der Schutz vor unberechtigtem Zugriff auf den Remote Access Server und auf den NetWAYS/ISDN-Computer ist beim Fernzugriff auf ein LAN von großer Wichtigkeit. NetWAYS/ISDN bietet dazu mehrere Mechanismen an, die jedoch auch der Remote Access Server unterstützen muss. Die Sicherheitsüberprüfungen, die beim Zugriff auf einen Remote Access Server greifen können, werden durch die folgende Abbildung veranschaulicht. Entfernter Rechner ISDN Ausgehende Rufe Remote Access Server D-Kanal Überprüfung der D-Kanal-Rufnummer B-Kanal Nach Rufannahme Authentisierung mit PAP oder CHAP Name/Passwort D- u. B-Kanal Ggf. Verbindungsabbau und Sicherheitsrückruf durch Remote Access Server D- u. B-Kanal Weitere PPP-Aushandlungen, z.B. IP/IPX-Adresse, Spoofing, Kanalbündelung D- u. B-Kanal Übertragung von Nutzdaten, z.B. E-Mails, Datenbankinformationen, dynamischer Aufund Abbau der ISDN-Verbindung Sicherheit beim Zugriff auf Remote Access Server Rufnummernüberprüfung Wenn sich ein entfernter Computer in ein Netzwerk einwählt, entscheidet der Remote Access Server, ob er die Einwahl akzeptiert oder nicht. Der entfernte Computer wird anhand der Rufnummer, die im D-Kanal übertragen wird, identifiziert und der Remote Access Server vergleicht diese Nummer mit den Einträgen in der Datenbank. Nur bei Übereinstimmung der Rufnummer wird eine Verbindung zugelassen. NetWAYS/ISDN – 3 Fernzugriff mit NetWAYS/ISDN 33 netways.book Seite 34 Dienstag, 10. Dezember 2002 10:55 10 Benutzername und Kennwort Die Übertragung der D-Kanal-Rufnummer (CLI = Calling Line Identification) ist ein ISDN-Leistungsmerkmal, das von NetWAYS/ISDN zum Schutz vor unberechtigten Zugriffen und für die Kostenübernahme verwendet wird. Für das Merkmal „Rufnummernüberprüfung“ muss die Übertragung der D-Kanal-Rufnummer durch den ISDN-Anbieter freigeschaltet sein. Benutzername und Kennwort Die Überprüfung der Echtheit von Benutzernamen und Kennwort ist ein weiterer Sicherheitsmechanismus von NetWAYS/ISDN. Bei der Authentisierung wird geprüft, ob Benutzername und Kennwort mit den jeweils registrierten Benutzernamen und Kennwörtern übereinstimmen. Ist dies der Fall, wird die Netzwerkverbindung aufgebaut. Mit Hilfe der Authentisierung wird sichergestellt, dass nur berechtigte Anwender auf ein System zugreifen können. Benutzername und Kennwort werden Ihnen vom Netzwerkverwalter mitgeteilt. Die Überprüfung von „Benutzername“ und „Kennwort“ findet statt, wenn das Protokoll PPP over ISDN verwendet wird. Das PPP-Protokoll verfügt über zwei Mechanismen zur Authentisierung: l PAP (Password Authentification Protocol) l CHAP (Challenge Handshake Protocol) Mit PAP/CHAP findet eine Authentisierung bei ausgehenden Rufen (Outbound Authentification) sowie bei eingehenden Rufen (Inbound Authentification) statt. Sicherheitsrückruf Zur weiteren Erhöhung der Sicherheit kann der Remote Access Server nach der Authentisierung durch Kennwort und Benutzernamen den entfernten Computer zurückrufen. Dafür wird die D-Kanal-Rufnummer verwendet. Falls die D-Kanal- 34 NetWAYS/ISDN – 3 Fernzugriff mit NetWAYS/ISDN netways.book Seite 35 Dienstag, 10. Dezember 2002 10:55 10 Datenverschlüsselung Rufnummer nicht vollständig übertragen wird, kann der Sicherheitsrückruf mit einer explizit beim Remote Access Server angegebenen Rufnummer erfolgen. Datenverschlüsselung Damit Datenpakete während der Übertragung vor unberechtigtem Zugriff geschützt sind, können sie verschlüsselt gesendet werden. Die Verschlüsselung der Daten erfolgt auf der Ebene des Transportprotokolls (PPP) nach dem RFC-Standard. Da auch die Datenkompression auf dieser Ebene stattfindet, können die Daten zuerst komprimiert und dann verschlüsselt werden. Verschlüsselt wird mit dem Twofish-Algorithmus, der symmetrisch nach dem so genannten Secret-Key-Verfahren verschlüsselt. Symmetrisch bedeutet, dass zum Ver- und Entschlüsseln der gleiche Schlüssel verwendet wird. Nur der Sender und der Empfänger kennen den Schlüssel. Der Schlüssel wird beim Verbindungsaufbau mit einer Länge von 128 bis 256 Bit (Zufallswert) generiert und ist damit dem Sender bekannt. Damit auch der Empfänger den Schlüssel kennt, muss er zum Empfänger übertragen werden. Auf dem Weg vom Sender zum Empfänger muss der Schlüssel geheim bleiben, weshalb der Schlüssel selbst chiffriert wird. Die Chiffrierung des Schlüssels erfolgt im Crypt Provider. Zusammen mit NetWAYS/ISDN wird der Crypt Provider „AVM Crypt Services for NetWAYS/ISDN“ als Dienst installiert. Um den Dienst starten zu können, müssen einige Vorbereitungen getroffen werden. Detaillierte Angaben dazu sind in der OnlineHilfe von NetWAYS/ISDN enthalten. Der standardmäßig installierte Crypt Provider kann durch einen anderen ersetzt werden (Smart Card, PIN, Biometrie usw.). Die Crypt Provider API ist die Schnittstelle zu NetWAYS/ISDN. Die zur Kodierung der übertragenen Daten verwendeten Schlüssel werden mit jedem Verbindungsaufbau neu erzeugt und zur Gegenstelle übertragen. NetWAYS/ISDN – 3 Fernzugriff mit NetWAYS/ISDN 35 netways.book Seite 36 Dienstag, 10. Dezember 2002 10:55 10 Internet-Verbindungen Eine ausführliche Beschreibung der Crypt Provider API ist auf dem ADC (AVM Data Call Center) verfügbar: \NETWORKS\ NETWAYS\UTIL\API\AVMNWAPI\CRYPTAPI.DOC. 3.4 Internet-Verbindungen Für Verbindungen mit dem Internet bietet NetWAYS/ISDN zusätzlich das kostengünstige AO/DI-Verfahren und den schnellen DSL-Zugang an. Mit AO/DI können Sie eine permanente und kostengünstige Internetverbindung über den DKanal herstellen. Für den schnellen Zugriff auf das Internet können Sie DSL-Verbindungen nutzen. IP-Masquerading ermöglicht bei Verbindungen ins Internet die Nutzung des Short-Hold-Modus und ist ein zusätzlicher Sicherheitsfaktor. AO/DI Das Verfahren AO/DI (Always On/Dynamic ISDN) nutzt den ISDN-D-Kanal für Verbindungen mit dem Internet. Die Datenkommunikation im D-Kanal arbeitet paketorientiert mit dem X.25-Protokoll. Somit stehen der NetWAYS/ISDN-Computer und das Internet über den D-Kanal permanent in Verbindung (Always On). Für die Übertragung kleiner Datenmengen, zum Beispiel E-Mails oder Chats, ist die Kapazität des D-Kanals in der Regel ausreichend und es fallen keine Verbindungskosten an. Den zu- und abnehmenden Datenmengen entsprechend schaltet AO/DI einen oder mehrere B-Kanäle dynamisch zu und ab (Dynamic ISDN). Mit AO/DI können bei Internet-Kommunikation mit geringer Datenmenge Verbindungsgebühren eingespart werden, da der Aufbau einer kostenpflichtigen B-Kanalverbindung nicht erforderlich ist. Die Nutzung des Verfahrens AO/DI ist nur dann möglich, wenn es sowohl von Ihrem Internet-Anbieter als auch von Ihrem DSL/ISDN-Anbieter unterstützt wird. 36 NetWAYS/ISDN – 3 Fernzugriff mit NetWAYS/ISDN netways.book Seite 37 Dienstag, 10. Dezember 2002 10:55 10 DSL DSL DSL (Digital Subscriber Line) ist eine Technologie, die den Internetzugang mit einer hohen Bandbreite über die normale Telefonleitung ermöglicht. ISDN und DSL nutzen unterschiedliche Frequenzbereiche, wodurch der ungestörte Parallelbetrieb gewährleistet ist. Die Übertragung von Daten beim Herunterladen an einem DSL-Anschluss kann mit bis zu 6 MBit/s erfolgen, in der Gegenrichtung sind bis zu 640 kBit/s möglich. Wählverbindungen zu anderen DSL-Teilnehmern sind nicht möglich. NetWAYS/ISDN unterstützt die Protokolle PPP over Ethernet (PPPoE) und PPP over ATM (PPPoA). Wenn für die DSL-Kommunikation die FRITZ!Card DSL eingesetzt wird, dann können beide Protokolle genutzt werden. Findet die DSL-Kommunikation mit Hilfe einer Netzwerkkarte und einem externen DSL-Modem mit Ethernet-Anschluss statt, dann kann nur PPPoE genutzt werden. Für die Nutzung von DSL gibt es die beiden voreingestellten Standorte „FRITZ!Card DSL“ und „DSL-Modem PPPoE“. IP-Masquerading Das IP-Masquerading-Modul von NetWAYS/ISDN überschreibt in den TCP-, UDP- und ICMP-Paketen die AbsenderIP-Adressen mit der von der Gegenstelle zugewiesenen offiziellen IP-Adresse. Der Einsatz von IP-Masquerading in NetWAYS/ISDN bietet folgende Vorteile: l Bei Verbindungen zum Internet-Anbieter wird dem Computer bei jedem automatischen Verbindungsaufbau nach physikalischem Verbindungsabbau (Short-HoldModus) eine neue IP-Adresse zugewiesen. Wegen des IP-Masquerading ist es nicht erforderlich, bei jedem Wechsel der offiziellen IP-Adresse, die Routingtabelle des Computers zu aktualisieren. Das IP-MasqueradingModul versieht die Datenpakete während der gesamten logischen Verbindung auf dem Weg ins Internet immer mit der gerade aktuellen offiziellen IP-Adresse. NetWAYS/ISDN – 3 Fernzugriff mit NetWAYS/ISDN 37 netways.book Seite 38 Dienstag, 10. Dezember 2002 10:55 10 VPN-Verbindungen l IP-Masquerading akzeptiert standardmäßig keine einkommenden IP-Verbindungen. Eingehende Pakete, die nicht von einer Anwendung angefordert wurden, werden verworfen. Damit wird die Sicherheit für eingehende Verbindungen erhöht. 3.5 VPN-Verbindungen Mit NetWAYS/ISDN können Sie Verbindungen über VPN (Virtual Private Network) herstellen. Räumlich entfernte Einzelplatzcomputer können über eine VPN-Verbindung kostengünstig ans Firmennetz gekoppelt werden. Standardmäßig benutzt man eine direkte Wählverbindung oder eine Festverbindung über ein öffentliches Netz (zum Beispiel ISDN oder GSM), um räumlich entfernte Systeme miteinander zu verbinden. Die bei der Direkteinwahl entstehenden Kosten nehmen mit der Entfernung zu, besonders internationale Verbindungen können sehr teuer werden. Über VPNs lassen sich räumlich entfernte Systeme sehr kostengünstig miteinander verbinden. VPN – Allgemein Ein räumlich entfernter Einzelplatzcomputer wird über das Internet mit Hilfe eines virtuellen privaten Netzes mit dem Firmennetz verbunden. Firmennetz Entfernter Einzelplatzcomputer mit NetWAYS/ISDN Internet Tunnel Anwendungsbeispiel einer VPN-Verbindung über das Internet 38 NetWAYS/ISDN – 3 Fernzugriff mit NetWAYS/ISDN netways.book Seite 39 Dienstag, 10. Dezember 2002 10:55 10 VPN – In NetWAYS/ISDN Die Verbindung, die zwischen den beiden Kommunikationspartnern durch das Internet hergestellt wird, nennt man Tunnel. Über den Tunnel findet der Datenaustausch statt. Eine Vernetzung im physikalischen Sinn findet zwischen dem entfernten Einzelplatzcomputer und dem Firmennetz nicht statt, die Vernetzung ist virtuell. Es handelt sich bei dem virtuellen Netz um eine übergeordnete Struktur, die die vorhandenen öffentlichen Strukturen des Internets nutzt. Die beiden auf diese Weise verbundenen Systeme und die darauf laufenden Anwendungen werden davon nicht beeinträchtigt. Die Verbindung ist kostengünstig, weil für beide Seiten lediglich die Kosten für die Verbindung zum Internetanbieter entstehen. VPN – In NetWAYS/ISDN Der Begriff VPN besagt lediglich, dass Systeme oder Netze über öffentliche Strukturen gekoppelt werden. Welche Mechanismen dazu benutzt werden, spielt dabei keine Rolle. VPN-Verbindungen, die mit NetWAYS/ISDN hergestellt werden, setzen auf eine bestehende Internet-Verbindung auf, indem sie die Infrastruktur des Internet-Anbieters nutzen. Für den Aufbau der VPN-Verbindung und somit für die Kopplung der Systeme ist der Internet-Anbieter jedoch nicht zuständig. NetWAYS/ISDN verfügt über die notwendige Software, um eine VPN-Verbindung aufzubauen. Die Server-Seite, zu der Verbindungen hergestellt werden, muss ebenfalls mit entsprechender Software ausgestattet sein (z.B. AVM Access Server). Da der Aufbau der VPN-Verbindung unabhängig vom Internet-Anbieter ist, kann sie über nahezu jeden InternetAnbieter hergestellt werden. Es wird eine Art Tunnel durch das öffentliche Netz geschaffen, durch den Daten, am besten verschlüsselt, übertragen werden. Die VPN-Software in NetWAYS/ISDN und auf der Server-Seite sorgt für die transparente Einbindung in das Netz, für die Authentisierung der Kommunikationspartner und die Verschlüsselung der Daten. Nach dem erfolgreichen Aufbau des Tunnels wird auf der Anwendungsebene nichts mehr von einem Tunnel oder dem Internet als Medium bemerkt. NetWAYS/ISDN – 3 Fernzugriff mit NetWAYS/ISDN 39 netways.book Seite 40 Dienstag, 10. Dezember 2002 10:55 10 Sicherheit Sicherheit Durch die Verbindung über das Internet besteht die Gefahr, dass unberechtigte Dritte auf die Verbindung zugreifen. Durch entsprechende Sicherheitsmechanismen müssen die folgenden drei Sicherheitskriterien gewährleistet werden: l Vertraulichkeit: Der Datenaustausch muss verschlüsselt stattfinden, so dass kein Dritter mithören kann. l Authentizität: Vor dem Verbindungsaufbau muss eine Authentisierung stattfinden, um sicherzustellen, dass die Daten nur von berechtigten Personen kommen (Anti-Replay). l Integrität: Es muss sichergestellt werden, dass die Daten auf ihrem Weg durch das Internet nicht von Dritten verändert werden können (Man-in-the-Middle-Attecken). IPSec als VPN-Protokoll Für den Aufbau von VPN-Verbindungen ist ein Protokoll mit den folgenden Eigenschaften erforderlich: l Die Unterstützung von Sicherheitsmechanismen, so dass die drei oben genannten Sicherheitskriterien gewährleistet sind. l Die Fähigkeit, eine Verbindung zu tunneln. IPSec erfüllt diese beiden Forderungen und wird deshalb in NetWAYS/ISDN als VPN-Protokoll eingesetzt. IPSec arbeitet auf der Netzwerkebene (Layer 3) und ist somit unabhängig von der benutzten Infrastruktur. Allerdings ist IPSec dadurch auf IP beschränkt, das heißt, es können nur IPDaten getunnelt werden. IPSec kann in zwei unterschiedlichen Modi betrieben werden, dem Tunnelmodus und dem Transportmodus. Im Transportmodus wird kein Tunnel aufgebaut und somit kein virtuelles privates Netz hergestellt. Für VPN-Verbindungen ist nur der Tunnelmodus interessant. 40 NetWAYS/ISDN – 3 Fernzugriff mit NetWAYS/ISDN netways.book Seite 41 Dienstag, 10. Dezember 2002 10:55 10 IPSec als VPN-Protokoll Im Tunnelmodus wird ein öffentliches Netz durchtunnelt, das heißt, die IP-Datenpakete werden nochmals verpackt und dann erst übertragen. Jedes IP-Paket einschließlich dem IPHeader wird in ein neues IPSec-Paket verpackt. Das neue Paket erhält einen neuen IP-Header. Auf diese Weise lassen sich Einzelplatzcomputer und ganze Netze mit IP-Adressen aus privaten Adressräumen koppeln. Das Originalpaket Neuer IP-Header IPSec IP-Header Nutzdaten IP-Header Eventuell verschlüsselte Nutzdaten Das Originalpaket und das Tunnel-Paket mit neuem IP-Header In der folgenden Abbildung ist beispielhaft eine VPN-Verbindung im Tunnelmodus dargestellt. Ein entfernter Einzelplatzcomputer wird an das Firmennetz gekoppelt. Firmennetz Netz-Adresse: 172.16.0.0 /16 Entfernter Einzelplatzcomputer mit NetWAYS/ISDN IP-Adresse: 172.16.0.1 IP-Adresse: 172.16.0.2 Tunnel Internet AVM Access Server Öffentliche IP-Adresse: 193.96.242.157 Interne IP-Adresse: 172.16.0.254 IP-Adresse: 172.16.0.3 Öffentliche IP-Adresse: wird vom Internet-Anbieter dynamisch zugewiesen Virtuelle IP-Adresse: 172.16.0.10 Beispiel: VPN-Verbindung im Tunnelmodus Die IP-Adressen im obigen Beispiel haben unterschiedliche Bedeutungen: l Firmennetz Das Firmennetz hat die Netz-Adresse 172.16.0.0/16. Die Client-Computer im Firmennetz haben alle eine IPAdresse aus dem Adressraum der Netz-Adresse. Es handelt sich dabei um private IP-Adressen, die im Internet keine Gültigkeit haben. Sie dienen der Kommunikation innerhalb des Firmennetzes. NetWAYS/ISDN – 3 Fernzugriff mit NetWAYS/ISDN 41 netways.book Seite 42 Dienstag, 10. Dezember 2002 10:55 10 IPSec als VPN-Protokoll l AVM Access Server Der Computer mit dem AVM Access Server gehört auch zum Firmennetz und hat eine öffentliche, das heißt im Internet gültige IP-Adresse sowie eine interne IP-Adresse, die nur innerhalb des Firmennetzes gültig ist. Die AVM Access Server-Anwendung ist das Gateway zum Internet. l Entfernter Einzelplatzcomputer mit NetWAYS/ISDN Der entfernte Einzelplatzcomputer verfügt während des Bestehens der VPN-Verbindung über zwei IP-Adressen: die offizielle, im Internet gültige IP-Adresse und die virtuelle IP-Adresse. Die offizielle IP-Adresse wird bei den meisten Internet-Anbietern bei jedem Verbindungsaufbau dynamisch zugewiesen, d.h. sie kann sich mit jedem Verbindungsaufbau ändern. Die virtuelle IP-Adresse ist während einer VPN-Verbindung die private IPAdresse des Computers innerhalb des Firmennetzes. Sie wird dem Computer von NetWAYS/ISDN vor dem Aufbau der Verbindung zugewiesen. Auf dem Weg vom NetWAYS/ISDN-Computer zum AVM Access Server werden die unterschiedlichen IP-Adressen in den IP-Headern der Originalpakete und der Tunnel-Pakete folgendermaßen verwendet: IP-Adressen im Originalpaket Empfänger Die private IP-Adresse des Computers im Firmennetz, mit dem kommuniziert werden soll. Absender Die virtuelle IP-Adresse des entfernten Einzelplatzcomputers. IP-Adressen im Tunnel-Paket Empfänger Die offizielle IP-Adresse des AVM Access Servers. Absender Die offizielle IP-Adresse des entfernten Einzelplatzcomputers. In der folgenden Abbildung werden beispielhaft IP-Adressen für Empfänger und Absender eingesetzt: 42 NetWAYS/ISDN – 3 Fernzugriff mit NetWAYS/ISDN netways.book Seite 43 Dienstag, 10. Dezember 2002 10:55 10 Die Transportprotokolle von IPSec Empfänger IP-Adresse: 172.16.0.1 Absender IP-Adresse: 172.16.0.10 Das Originalpaket Nutzdaten IP-Header Neuer IP-Header IPSec IP-Header Nutzdaten evtl. verschlüsselt Das Tunnel- Paket mit neuem IP-Header im Tunnelmodus Empfänger IP-Adresse: 193.96.242.157 Absender IP-Adresse: vom Internet-Anbieter zugewiesene IP-Adresse IP-Adressen im Originalpaket und im Tunnel-Paket Die Transportprotokolle von IPSec IPSec arbeitet mit zwei verschiedenen Transportprotokollen, Authentication Header und Encapsulation Security Payload. Die beiden Protokolle können kombiniert werden und sind sowohl im Tunnel- als auch im Transportmodus einsetzbar. Eigenschaften des Authentication Header (AH) l Überprüft die Authentizität der Nutzdaten: AH verfügt über einen Mechanismus, mit dem überprüft werden kann, ob der Absender der Nutzdaten auch tatsächlich der ist, der er zu sein vorgibt. l Überprüft die Integrität der Nutzdaten: mit demselben Mechanismus, mit dem die Authentizität überprüft wird, kann erkannt werden, ob die Nutzdaten nachträglich verändert wurden. l Gewährleistet Anti-Replay und erkennt Man-in-themiddle-Attacken: AH enthält eine fortlaufende, einmalige Nummer zum Erkennen von eingespielten Wiederholungen eines Pakets durch Dritte. l Verschlüsselt die Nutzdaten nicht! NetWAYS/ISDN – 3 Fernzugriff mit NetWAYS/ISDN 43 netways.book Seite 44 Dienstag, 10. Dezember 2002 10:55 10 Aushandlungen Das Originalpaket IP-Header Authentication IP-Header Neuer IP-Header Header Das Paket mit Authentication-Header im Tunnelmodus Nutzdaten Nutzdaten Das Paket im Originalzustand und mit AH versandtes Tunnel-Paket Eigenschaften von Encapsulating Security Payload (ESP) l Verschlüsselt die Nutzdaten. Im Tunnelmodus wird zusätzlich der IP-Header verschlüsselt. Als symmetrische Verschlüsselungsverfahren können unter anderem DES, 3DES und AES eingesetzt werden. l Überprüft die Authentizität der Nutzdaten: ESP verfügt über einen Mechanismus, mit dem überprüft werden kann, ob der Absender der Nutzdaten auch tatsächlich der ist, der er zu sein vorgibt. l Gewährleistet Anti-Replay und erkennt Man-in-themiddle-Attacken: ESP enthält eine fortlaufende, einmalige Nummer zum Erkennen von eingespielten Wiederholungen eines Pakets durch Dritte. Das Originalpaket IP-Header Neuer IP-Header ESP-Header Nutzdaten IP-Header Nutzdaten ESPESP-Trailer Authentication verschlüsselt authentisiert Das Paket mit ESP im Tunnelmodus Das Paket im Originalzustand und mit ESP versandtes Tunnel-Paket Aushandlungen IPSec bietet viele Optionen. Das heißt, für die Parameter, die für eine VPN-Verbindung ausgesucht werden, gibt es viele Kombinationsmöglichkeiten. Zum Aufbau einer gesicherten VPN-Verbindung müssen sich die VPN-Parteien über die zu verwendenden Parameter einigen. Jede VPN-Partei verfügt über eine Security Policy Database, eine Datenbank, in der der zu verwendende Authentisierungsalgorithmus, der Verschlüsselungsalgorithmus, Au- 44 NetWAYS/ISDN – 3 Fernzugriff mit NetWAYS/ISDN netways.book Seite 45 Dienstag, 10. Dezember 2002 10:55 10 Aushandlungen thentisierungsdaten und einiges mehr abgelegt sind. Dadurch weiß jede VPN-Partei, was sie selbst kann. Mit diesem Wissen kann die Aushandlung beginnen. Zur Aushandlung der Parameter ist ein weiteres Protokoll notwendig: das Internet-Key-Exchange-Protokoll (IKE). Das Ergebnis der Aushandlung wird in der Security Association (SA) festgehalten. Eine SA beinhaltet Folgendes: l die Art der Authentisierung (Zertifikate, pre-shared key oder ein anderes Verfahren) l den zu verwendenden Verschlüsselungsalgorithmus l den Hash-Algorithmus l die Gültigkeitsdauer der gesamten SA Die SAs sind Sicherheitsrichtlinien mit einer begrenzten Gültigkeitsdauer. Ist diese abgelaufen, muss die SA neu ausgehandelt werden. Für jede Richtung einer Verbindung wird eine separate SA ausgehandelt. Die SAs werden in einer Datenbank, der Security Association Database, abgelegt. Die IKE -Aushandlung erfolgt in zwei Phasen. IKE-Phase 1 Ziel der IKE-Phase 1 ist es, eine SA für die IKE-Phase 2 auszuhandeln. Dazu nehmen die Gegenstellen die folgenden Aktionen vor: l Sie authentisieren sich. l Sie vereinbaren einen Verschlüsselungsalgorithmus für die Verschlüsselung der anschließenden IKE-Phase 2. l Sie vereinbaren eine Diffie-Hellman-Gruppe. l Jede Seite generiert einen privaten Schlüssel. Mit Hilfe der Diffi-Hellman-Gruppe wird ein öffentlicher Schlüssel berechnet, der zum privaten Schlüssel passt. Beide Seiten tauschen die öffentlichen Schlüssel aus. Mit dem eigenen privaten Schlüssel, dem öffentlichen Schlüssel der Gegenseite und der Diffie-Hellman-Gruppe wird der NetWAYS/ISDN – 3 Fernzugriff mit NetWAYS/ISDN 45 netways.book Seite 46 Dienstag, 10. Dezember 2002 10:55 10 Asymmetrische Verschlüsselungsverfahren geheime Schlüssel für die Verschlüsselung der IKE-Phase 2 berechnet. Das Ergebnis ist auf beiden Seiten identisch. l Sie legen die Gültigkeitsdauer der SA fest. Für die IKE-Phase 1 sind zwei Modi vorgesehen, der Mainmode und der Aggressive mode. Im Main-mode werden mehr Nachrichten ausgetauscht als im Aggressive mode. Wenn am NetWAYS/ISDN-Computer die öffentliche IP-Adresse dynamisch vom Internet-Anbieter zugewiesen wird und somit nicht bekannt ist, dann muss die IKE-Phase 1 im AggressiveModus stattfinden. IKE-Phase 2 In der IKE-Phase 2 werden die SAs für die Verschlüsselung der Nutzdaten ausgehandelt. Diese Aushandlung erfolgt verschlüsselt, basierend auf den Parametern der SA, die in Phase 1 vereinbart wurde. Folgendes wird ausgehandelt: l das IPSec-Transportprotokoll (AH und/oder ESP) l der Verschlüsselungsalgorithmus für die Nutzdaten, die über die VPN-Verbindung ausgetauscht werden (beispielsweise DES, AES, 3DES) l der Hash-Algorithmus für die Gewährleistung der Integrität der Nutzdaten l der IPSec-Betriebsmodus (Tunnel- oder Transportmodus) l die Gültigkeitsdauer der SA l das zufällig generierte Schlüsselmaterial für den Verschlüsselungs- und Authentisierungsalgorithmus Nach Abschluss der IKE-Aushandlung kann die IPSec-Kommunikation beginnen. Asymmetrische Verschlüsselungsverfahren Verschlüsselungsverfahren, die mit einem Schlüsselpaar arbeiten, nennt man asymmetrische Verschlüsselungsverfahren. Ein Schlüsselpaar besteht aus einem öffentlichen und 46 NetWAYS/ISDN – 3 Fernzugriff mit NetWAYS/ISDN netways.book Seite 47 Dienstag, 10. Dezember 2002 10:55 10 Kompressionsverfahren (IPComp) einem privaten Schlüssel. Daten, die mit einem Schlüssel verschlüsselt wurden, können nur mit dem zweiten zum Schlüsselpaar gehörenden Schlüssel entschlüsselt werden. Ein Beispiel hierfür ist das populäre PGP (Phil’s Pretty Good Privacy), das zum Verschlüsseln von E-Mails eingesetzt wird. Der öffentliche Schlüssel des Empfängers kann von jedem eingesehen werden und dient der Verschlüsselung der EMail. Entschlüsselt werden kann die Nachricht jedoch nur mit dem geheimen privaten Schlüssel des Empfängers. Es muss also, anders als bei symmetrischen Verschlüsselungsverfahren, kein Schlüssel ausgetauscht werden, der nicht ohnehin öffentlich ist. Es kann auch sinnvoll sein, mit dem privaten Schlüssel zu verschlüsseln, so dass jeder mit dem öffentlichen Schlüssel wieder entschlüsseln kann. Diese Richtung wird bei digitalen Signaturen angewandt: Ein Hash-Wert, der über eine Nachricht gebildet wurde, wird mit dem privaten Schlüssel verschlüsselt. Die mitgelieferte Signatur kann nun von jedem mit dem öffentlichen Schlüssel des Senders entschlüsselt werden und mit dem vom Empfänger selbst berechneten Hash-Wert verglichen werden. Stimmen beide Werte überein, so muss der Absender im Besitz des privaten Schlüssels gewesen sein. Allerdings eignen sich asymmetrische Verschlüsselungsverfahren nicht zur Übertragung großer Datenmengen, da die verwendeten Schlüssel sehr lang sind (derzeit typisch: 1024 Bit) und damit der Rechenaufwand sehr hoch ist. Außerdem darf der Eingabewert nicht länger als der verwendete Schlüssel sein. Bekannte asymmetrische Verschlüsselungsverfahren sind beispielsweise RSA und Diffie-Hellmann. In NetWAYS/ISDN wird das asymmetrische Diffie-HellmannVerfahren für den Schlüsselaustausch in der IKE-Phase 1 eingesetzt. Kompressionsverfahren (IPComp) Verschlüsselte Daten können nicht mehr komprimiert werden. Kompressionsverfahren nutzen in der Regel die Tatsache, dass bestimmte Teile einer Nachricht sich wiederholen. Bei Auftreten der Wiederholung wird ein kürzeres Symbol anNetWAYS/ISDN – 3 Fernzugriff mit NetWAYS/ISDN 47 netways.book Seite 48 Dienstag, 10. Dezember 2002 10:55 10 Kompressionsverfahren (IPComp) statt des sich wiederholenden Teils verwendet. Ein guter Verschlüsselungsalgorithmus vermeidet jedoch weitgehend Wiederholungen. Es wäre sonst sehr einfach, mittels statistischem Wissen über die verschlüsselte Nachricht (beispielsweise die Sprache eines Textes und damit die häufigsten Buchstaben) die Nachricht zu entschlüsseln. Falls dennoch komprimiert werden soll, so muss die Kompression vor der Verschlüsselung stattfinden. Hier bietet sich IPComp an. Innerhalb von IPComp sind drei Kompressionsverfahren möglich: l Deflate (RFC 2394) l LZS (RFC 3051), wird auch bei der Stac-Compression (RFC 1974) verwendet. l LZJH (RFC 2395), entspricht V.44 und wird beispielsweise auch bei dem Modemübertragungsverfahren V.92 verwendet. In NetWAYS/ISDN sind alle drei Verfahren implementiert. 48 NetWAYS/ISDN – 3 Fernzugriff mit NetWAYS/ISDN netways.book Seite 49 Dienstag, 10. Dezember 2002 10:55 10 NetWAYS/ISDN für den Administrator 4 NetWAYS/ISDN für den Administrator Dieses Kapitel enthält für den Systemadministrator zusätzliche Informationen über Funktionen, die es ermöglichen, NetWAYS/ISDN individuell zu installieren, zu konfigurieren und zu verwalten. 4.1 Automatisieren der NetWAYS/ISDN-Installation NetWAYS/ISDN bietet dem Administrator die Möglichkeit, die Installation von NetWAYS/ISDN so zu automatisieren, dass allgemeine Einstellungen ohne Benutzereingaben in das Programm integriert werden. Zur weiteren Arbeitserleichterung erlaubt NetWAYS/ISDN die Übernahme von vorkonfigurierten Standorten, Zielen, einer Feiertagsliste und Gebührenprofilen. Detaillierte Informationen zum Erstellen von Standorten, Zielen, der Feiertagsliste und Gebührenprofilen erhalten Sie in der Online-Hilfe. NetWAYS/ISDN konfigurieren Mit NetWAYS/ISDN kann der Administrator die Installation vollständig ohne Benutzereingabe durchführen. Dies erleichtert ihm die Arbeit erheblich, wenn auf mehreren Einzelplatzcomputern schnell und einfach NetWAYS/ISDN installiert werden soll. Um diese Möglichkeit zu nutzen, muss eine Datei mit dem Namen SETUP.CFG erstellt und in das Installationsverzeichnis von NetWAYS/ISDN kopiert werden. Diese Datei ist eine ASCII-Datei und enthält alle Informationen, die üblicherweise bei der Installation von NetWAYS/ISDN einzugeben sind. Beim Aufruf der NetWAYS/ISDN-Installation prüft die Installationsroutine, ob die Datei SETUP.CFG im Installationsver- NetWAYS/ISDN – 4 NetWAYS/ISDN für den Administrator 49 netways.book Seite 50 Dienstag, 10. Dezember 2002 10:55 10 Übernahme vorkonfigurierter Ziele und Standorte zeichnis vorhanden ist. Wenn diese Datei vorhanden ist, dann wird die Standardinstallation ohne Benutzerinteraktion eigenständig durchgeführt. Beachten Sie, dass die im Folgenden angegebenen Werte Beispielwerte sind. Die Datei SETUP.CFG sollte folgendermaßen aussehen: CDKey_NETWAYS=XXXXXXXXXXXXXXXX PIC (Product Identification Code), Angabe in Großbuchstaben, ohne Punkte oder Striche InstallDirectory=c:\netways Installationsverzeichnis Node=000000000908 Knotennummer bei Benutzung von IPX/SPX, 12 Ziffern, 000000000002=automatische Knotenadressvergabe, 000000000000= feste Knotenadresse AutoInstall=1 0=Manuelle Installation, 1=Automatische Installation (1) InstallMode=1 1=NetWAYS/ISDN wird als Systemdienst automatisch gestartet, 0=NetWAYS/ISDN wird nicht automatisch gestartet KeepDatabase=1 0=alte Datenbanken löschen, 1=alte Datenbanken übernehmen Übernahme vorkonfigurierter Ziele und Standorte NetWAYS/ISDN ermöglicht dem Administrator, die Übernahme vorkonfigurierter Ziele und Standorte zu automatisieren. Dazu ist es notwendig, die Ziele und Standorte einmal in NetWAYS/ISDN zu konfigurieren. Erstellte Ziele und Standorte werden im Installationsverzeichnis von NetWAYS/ISDN in den folgenden Dateien abgespeichert: Ziele-Dateien: 50 l TARGET.DAT l TARGETI.IDX NetWAYS/ISDN – 4 NetWAYS/ISDN für den Administrator netways.book Seite 51 Dienstag, 10. Dezember 2002 10:55 10 Übernahme vorkonfigurierter Profile l TARGETN.IDX l TARGETU.IDX Zuweisung der Gebührenprofile zu Zielen und Standorten: l TTIMER.DAT l TTIMERCE.IDX l TTIMERID.IDX l TTIMERL.IDX Standort-Dateien: l LOCATION.DAT l LOCATIONI.IDX l LOCATION.IDX Zur Übernahme erstellter Ziele und Standorte müssen diese Dateien auf allen entfernten Computern in das Installationsverzeichnis von NetWAYS/ISDN kopiert werden. Die Dateien werden dann bei der Installation automatisch übernommen, so dass beim Starten von NetWAYS/ISDN die vorkonfigurierten Ziele und Standorte ohne weitere Benutzereingaben sofort zur Verfügung stehen. Für die Übernahme der vorkonfigurierten Ziele und Standorte müssen diese Dateien immer zusammen kopiert werden. Übernahme vorkonfigurierter Profile NetWAYS/ISDN ermöglicht dem Administrator die Übernahme vorkonfigurierter Gebührenprofile und einer Feiertagsliste. Dazu ist es notwendig, die Profile und die Feiertagsliste einmal in NetWAYS/ISDN zu erstellen. Erstellte Gebührenprofile und die Feiertagsliste werden im Installationsverzeichnis von NetWAYS/ISDN in den folgenden Dateien abgespeichert Dateien, in denen Feiertage eingetragen sind: l HOLIDAY.DAT NetWAYS/ISDN – 4 NetWAYS/ISDN für den Administrator 51 netways.book Seite 52 Dienstag, 10. Dezember 2002 10:55 10 Einstellungen schützen l HOLIDAY.IDX Dateien, in denen die Gebührenprofile eingetragen sind: l CPROFILE.DAT l CPROFILE.IDX 4.2 Einstellungen schützen Der Administrator kann mit Vergabe eines Passwortes sicherstellen, dass vorkonfigurierte Standorte, Ziele, Profile und die Feiertagsliste nicht von NetWAYS/ISDN-Anwendern verändert werden können. Der Übergang in den so genannten geschützten Modus wird mit Vergabe eines Passwortes realisiert. Die Oberfläche kann mit der Eingabe dieses Passwortes sowohl für die Dauer einer Sitzung als auch dauerhaft freigegeben werden. 4.3 NetWAYS/ISDN als Systemdienst NetWAYS/ISDN wird als Systemdienst installiert. Dies bietet folgende Vorteile: l NetWAYS/ISDN wird automatisch beim Starten von Windows gestartet. Sobald NetWAYS/ISDN beendet wird, wird eine bestehende Verbindung abgebaut. l Die ISDN-Verbindung zur Gegenstelle kann schon vor der Windows-Anmeldung aufgebaut werden. Die über ISDN angeschlossenen Clients verhalten sich auf diese Weise weitestgehend wie Clients in einem lokalen Netzwerk. l Der Systemdienst erleichtert die Anwendung von NetWAYS/ISDN beim Anmelden in Windows NT-Domänen und Novell NetWare NDS-Umgebungen. NetWAYS/ISDN als Systemdienst starten NetWAYS/ISDN ist ein Systemdienst. Das heißt, das Programm wird automatisch beim Starten von Windows gestartet und beim Beenden von Windows beendet. 52 NetWAYS/ISDN – 4 NetWAYS/ISDN für den Administrator netways.book Seite 53 Dienstag, 10. Dezember 2002 10:55 10 NetWAYS/ISDN manuell starten und beenden Sobald NetWAYS/ISDN beendet wird, wird auch eine bestehende Verbindung abgebaut. Die Programmoberfläche von NetWAYS/ISDN ist entkoppelt vom Systemdienst. Wenn Sie möchten, dass die Programmoberfläche von NetWAYS/ISDN beim Computerstart erscheint, dann kopieren Sie eine Verknüpfung zu NetWAYS/ISDN in den Ordner „Autostart“. NetWAYS/ISDN manuell starten und beenden l Zum manuellen Aufruf von NetWAYS/ISDN wählen Sie den Menüpunkt „Programme / NetWAYS/ISDN / NetWAYS/ISDN“ im Startmenü von Windows. Das Hauptfenster von NetWAYS/ISDN erscheint. l Zum manuellen Beenden wählen Sie im Hauptfenster von NetWAYS/ISDN im Menü „Datei“ den Befehl „Beenden“. Bevor Sie NetWAYS/ISDN beenden, sollten Sie eine bestehende Verbindung zu einer Gegenstelle abbauen. Auswählen eines Ziels für den automatischen Verbindungsaufbau beim Systemstart Wollen Sie beim Systemstart immer eine Verbindung zu einem bestimmten entfernten Netzwerk aufbauen, markieren Sie das Ziel mit der Maus und wählen Sie im Menü „Datei“ den Befehl „Automatischer Aufbau bei Computerstart“. Möchten Sie, dass dieses Ziel beim Starten von Windows in Verbindungsbereitschaft ist, markieren Sie das Ziel mit der Maus und wählen im Menü „Datei“ den Befehl „Automatische Bereitschaft bei Computerstart“. Beim Starten von Windows baut NetWAYS/ISDN nun automatisch eine Verbindung zu diesem Ziel auf bzw. aktiviert den Bereitschaftsmodus. NetWAYS/ISDN – 4 NetWAYS/ISDN für den Administrator 53 netways.book Seite 54 Dienstag, 10. Dezember 2002 10:55 10 Die Programmierschnittstellen von NetWAYS/ISDN 4.4 Die Programmierschnittstellen von NetWAYS/ISDN Für die individuelle Anpassung der Funktionen Verbindungssteuerung, Routing and Remote Access und Verschlüsselung bietet NetWAYS/ISDN jeweils eine API (Application Programming Interface) an. API für die Verbindungssteuerung Über diese API kann von einem externen Programm aus die Verbindungskontrolle zum lokalen LAN und von NetWAYS/ISDN selbst übernommen werden. Die API ist in die Datei NETWAPI.DLL eingebettet, die bereits bei der Installation von NetWAYS/ISDN in das Systemverzeichnis von Windows kopiert wird. Für 32-Bit-Anwendungen, die mit einem C/C++-Dialekt erstellt werden, benötigen Sie nur die Header-Datei NETWAPI.H und die Datei mit der Code-Bibliothek NETWAPI.LIB. Beide Dateien befinden sich auf dem ADC (AVM Data Call Center) unter \NETWORKS\NETWAYS\UTIL\API. In dem Unterordner \NETWAPI\VC_SAMPLE befindet sich auch ein Beispielprogramm, das die Möglichkeiten der API verdeutlicht. Neben der Unterstützung für C/C++-basierende Programmiersprachen ist auch eine Implementierung in Visual BasicProgramme möglich. Die Visual Basic-Deklaration NETWAPI.BAS für die NETWAPI.DLL befindet sich im Unterordner \NETWAPI\VB_SAMPLE. Im selben Ordner sind auch ein weiteres Beispielprogramm (MAIN.FRM) und ein lauffähiges Testprogramm. Für das Testprogramm benötigen Sie die Visual Basic Runtime-DLL (VB40032). Mit der API ist es möglich, die komplette Verbindungskontrolle zu übernehmen und den Status der Verbindung und von NetWAYS/ISDN selbst abzufragen. Eine gleichzeitige Nutzung dieser API durch mehrere Anwendungen ist nicht möglich. Sie sollten also sicherstellen, dass Ihr Programm beim Starten korrekt registriert wird und beim Beenden korrekt bei NetWAYS/ISDN abgemeldet wird. 54 NetWAYS/ISDN – 4 NetWAYS/ISDN für den Administrator netways.book Seite 55 Dienstag, 10. Dezember 2002 10:55 10 Routing and Remote Access API Wird NetWAYS/ISDN mit einer API betrieben, kann der Anwender das Programm nicht mehr direkt steuern. Ein anderes Programm kann sich jedoch über die API der NETWAPI.DLL bei NetWAYS/ISDN registrieren. Dieses Programm kann dann NetWAYS/ISDN steuern und so zum Beispiel logische und physikalische Verbindungen aufbauen oder den Status von NetWAYS/ISDN abfragen. Die API unterstützt nur jeweils ein Programm zu einem Zeitpunkt. Damit sich ein Programm bei NetWAYS/ISDN registrieren kann, muss NetWAYS/ISDN aktiv sein. Routing and Remote Access API Die Routing and Remote Access API von AVM ist eine Programmierschnittstelle, die die Steuerung von NetWAYS/ISDN durch Software ermöglicht. Mit dieser API können bestimmte Aufgaben bzw. Abläufe mit Funktionen von NetWAYS/ISDN kombiniert und automatisiert werden. Beispiele dafür sind die Definition von Rundruf-Routinen zur automatischen Übertragung von Datenbank-Updates an Außenstellen zum günstigsten Tarif oder die Einbindung von zusätzlichen Sicherheitsmechanismen wie Chip-Karten und damit ein Eingriff in die PPP-Authentisierung. Umfangreiche Informationen zur Nutzung der Routing and Remote Access API sind auf dem ADC unter \NETWORKS\ NETWAYS\UTIL\API\AVMNWAPI verfügbar. Crypt Provider API Die Crypt Provider API ist eine Programmierschnittstelle zur anwenderspezifischen Anpassung der Datenverschlüsselung. Die zur Kodierung der übertragenen Daten verwendeten Schlüssel werden mit jedem Verbindungsaufbau neu erzeugt und zur Gegenstelle übertragen. Diese Schlüssel müssen aus Sicherheitsgründen chiffriert übertragen werden. Die Chiffrierung erfolgt im Crypt Provider, der anwendungsspezifisch programmiert werden kann (Smart Card, PIN, Biometrie usw.). Die Crypt Provider API ist die Schnittstelle zu NetWAYS/ISDN, die auf die Algorithmen im Crypt Provider zugreift. NetWAYS/ISDN – 4 NetWAYS/ISDN für den Administrator 55 netways.book Seite 56 Dienstag, 10. Dezember 2002 10:55 10 Unterstützte Standards Umfangreiche Informationen zur Nutzung der Crypt Provider API auf dem ADC unter \NETWORKS\NETWAYS\UTIL\API\ AVMNWAPI verfügbar. 4.5 Unterstützte Standards Die Protokolle PPP over ISDN und IPSec basieren auf international anerkannten und offenen Standards. Diese Standards sind in so genannten RFCs (Requests for Comments) definiert und beschrieben. Anhand der RFCs können Sie entscheiden, ob die Gegenstelle mit NetWAYS/ISDN kompatibel ist. In den folgenden beiden Tabellen sind die RFCs eingetragen, die von NetWAYS/ISDN unterstützt werden. PPP over ISDN 56 RFC 1144 Compressing TCP/IP Headers for Low-Speed Serial Links - Headerkompression IP RFC 1332 PPP Internet Protocol Control Protocol (IPCP) - dynamische IP-Adresse RFC 1334 PPP Authentication Protocols (PAP) RFC 1552 PPP Internetwork Packet Exchange Control Protocol (IPXCP) - dynamische Node-Adresse RFC 1553 Compressing IPX Headers over WAN Media (CIPX) - Headerkompression CIPX RFC 1570 PPP LCP Extensions RFC 1618 PPP over ISDN RFC 1631 The IP Network Address Translator (NAT) RFC 1661 Point-to-Point Protocol (PPP) RFC 1662 PPP in HDLC-like Framing RFC 1962 PPP Compression Control Protocol (CCP) RFC 1968 PPP Encryption Control Protocol (ECP) RFC 1974 PPP Stack LZS Compression Protocol RFC 1989 PPP Link Quality Monitoring RFC 1990 PPP Multilink Protocol (MP) RFC 1994 PPP Challenge Handshake Authentication Protocol (CHAP) NetWAYS/ISDN – 4 NetWAYS/ISDN für den Administrator netways.book Seite 57 Dienstag, 10. Dezember 2002 10:55 10 Unterstützte Standards RFC 2118 Microsoft Point-to-Point Compression (MPPC) Protocol RFC 2125 PPP Bandwith Allocation Protocol (BAP)/PPP Bandwith Allocation Control Protocol (BACP) RFC 2131 Dynamic Host Configuration Protocol (DHCP) RFC 2516 A Method for Transmitting PPP Over Ethernet (PPPoE) IPSec RFC 1829 The ESP DES-CBC Transform RFC 1851 The ESP Triple DES Transform RFC 2104 Keyed-Hashing for Message Authentication (HMAC) RFC 2394 IP Payload Compression Using DEFLATE RFC 2395 IP Payload Compression Using LZS RFC 2401 Security Architecture for the Internet Protocol RFC 2402 IP Authentication Header (AH) RFC 2403 The Use of HMAC-MD5-96 within ESP and AH RFC 2404 The Use of HMAC-SHA-1-96 within ESP and AH RFC 2405 The ESP DES-CBC Cipher Algorithm With Explicit IV RFC 2406 IP Encapsulating Security Payload (ESP) RFC 2407 The Internet IP Security Domain of Interpretation for ISAKMP RFC 2408 Internet Security Association and Key Management Protocol (ISAKMP) RFC 2409 The Internet Key Exchange (IKE) RFC 2410 The NULL Encryption Algorithm and Its Use With IPsec RFC 2412 The OAKLEY Key Determination Protocol RFC 2451 The ESP CBC-Mode Cipher Algorithms RFC 3051 IP Payload Compression Using ITU-T V.44 Packet Method RFC 3173 IP Payload Compression Protocol (IPComp) NetWAYS/ISDN – 4 NetWAYS/ISDN für den Administrator 57 netways.book Seite 58 Dienstag, 10. Dezember 2002 10:55 10 Unterstützte Standards 58 RFC 3268 Advanced Encryption Standard (AES) Ciphersuites for Transport Layer Security (TLS Draft Extended Authentication Within ISAKMP/Oakley (XAUTH) Draft The ISAKMP Configuration Method (config mode) NetWAYS/ISDN – 4 NetWAYS/ISDN für den Administrator netways.book Seite 59 Dienstag, 10. Dezember 2002 10:55 10 Informationen, Updates und AVM-Support 5 Informationen, Updates und AVM-Support AVM bietet Ihnen zahlreiche Informationsquellen, die Sie bei der täglichen Arbeit mit NetWAYS/ISDN nutzen können. Für den Fall, dass Sie Hilfe bei der Lösung evtl. auftretender Probleme benötigen, können Sie sich an den AVM-Support wenden. 5.1 Informationsquellen Informationen zu NetWAYS/ISDN erhalten Sie wie folgt: Dokumentation NetWAYS/ISDN enthält eine umfangreiche Dokumentation in unterschiedlichen Formaten: l Das vorliegende Handbuch finden Sie im PDF-Format auch auf der CD. Sie können die PDF-Datei entweder über die Einführungshilfe, die beim Einlegen der CD automatisch gestartet wird, öffnen oder direkt vom Ordner NETWAYS\INSTALL aus. Das Handbuch enthält detaillierte Informationen zum Konzept und zu Einsatzmöglichkeiten von NetWAYS/ISDN, Installationsvoraussetzungen, Installationsbeschreibung und Bedienung von NetWAYS/ISDN. Der Anhang des Handbuchs bietet ein ausführliches Glossar. Falls Sie nicht über den Adobe Acrobat Reader zum Lesen von PDF-Dokumenten verfügen, können Sie diesen über die Einführungshilfe, die beim Einlegen der CD automatisch gestartet wird, installieren oder direkt aus dem Ordner UTILS\ACROBAT\DEUTSCH. l Die umfassende, kontextsensitive Online-Hilfe bietet detaillierte Informationen zu allen Konfigurationsparametern von NetWAYS/ISDN. NetWAYS/ISDN – 5 Informationen, Updates und AVM-Support 59 netways.book Seite 60 Dienstag, 10. Dezember 2002 10:55 10 Updates 5.2 Updates Updates für NetWAYS/ISDN stellt Ihnen AVM kostenfrei über das Internet oder über das AVM Data Call Center bereit. Internet Zum Herunterladen von Updates aus dem Internet rufen Sie bitte folgende Adresse auf: www.avm.de/download Nutzen Sie zum Herunterladen auch den FTP-Server von AVM. Sie erreichen den FTP-Server im Download-Bereich über den Link „FTP-Server“ oder unter folgender Adresse: www.avm.de/ftp Das AVM Data Call Center (ADC) Aktuelle Informationen zu allen AVM-Produkten, die neuesten Treiber für die AVM ISDN-Controller und kostenlose Erweiterungen zu AVM-Produkten erhalten Sie über das AVM Data Call Center und von den Internetseiten der AVM. AVM Data Call Center (ADC) +49 (0)30 / 39 98 43 30 (Fast Internet over ISDN) 5.3 Registrierung Registrieren Sie NetWAYS/ISDN auf den AVM-Internetseiten. AVM kann Sie dann über neue Produkte und Produktaktualisierungen benachrichtigen. Und für den Fall, dass Sie den AVM-Support in Anspruch nehmen, sind Sie dort bereits bekannt. Verwenden Sie zur Online-Registrierung das Formular unter der folgenden Adresse: www.avm.de/register Halten Sie dazu auch Ihren „Product Identification Code“ bereit, der sich auf der Rückseite der CD-Hülle befindet. 60 NetWAYS/ISDN – 5 Informationen, Updates und AVM-Support netways.book Seite 61 Dienstag, 10. Dezember 2002 10:55 10 Unterstützung durch den Support 5.4 Unterstützung durch den Support Bitte nutzen Sie zuerst die oben beschriebenen Informationsquellen, bevor Sie den Support kontaktieren. Haben Sie mit den bisherigen Hinweisen und mit Hilfe der diversen Informationsquellen Ihr Problem nicht lösen können, wenden Sie sich für weitere technische Unterstützung an den AVM-Support. Sie erreichen den Support per E-Mail oder Telefax. Support per E-Mail Sie können eine Support-Anfrage per E-Mail an AVM versenden. Nutzen Sie dazu bitte unser E-Mail-Formular auf den AVM-Internet-Seiten. 1. Geben Sie die Adresse der AVM ein: http://www.avm.de/support 2. Wählen Sie auf dieser Seite im Feld „Software“ den Eintrag „NetWAYS/ISDN“ in der Produktliste aus. 3. Klicken Sie nun auf die Funktion, bei der Ihr Problem auftritt. Ein E-Mail-Formular wird geöffnet. 4. Füllen Sie das Formular aus und schicken Sie es über die Schaltfläche „Senden“ zum AVM-Support. Support per Telefax Wenn Sie keinen Internet-Zugang haben, erreichen Sie den Support per Telefax unter folgender Rufnummer: +49 (0)30 / 39 97 62 66 Bereiten Sie bitte folgende Informationen für Ihren Berater vor: l Mit welcher Version von NetWAYS/ISDN arbeiten Sie? Die Versionsnummer können Sie in der Readme-Datei nachlesen, die sich im Installationsverzeichnis von NetWAYS/ISDN befindet. NetWAYS/ISDN – 5 Informationen, Updates und AVM-Support 61 netways.book Seite 62 Dienstag, 10. Dezember 2002 10:55 10 Support per Telefon l Welches Betriebssystem ist auf dem Computer installiert, auf dem der NetWAYS/ISDN installiert ist – Windows XP, Me, 2000, 98, NT oder 95? l Mit welchem Microsoft Service Pack arbeiten Sie? l Mit welchem Netzwerkprotokoll arbeiten Sie? l Welchen ISDN-Controller verwendet der NetWAYS/ISDNComputer? Mit welcher Treiberversion und mit welchem Build arbeiten Sie? Sie erhalten die Treiberversion und das Build von AVM ISDN-Controllern aus der Datei „Readme“ im Installationsverzeichnis des ISDN-Controllers. Wenn Sie FRITZ! auf dem NetWAYS/ISDN-Computer installiert haben, erhalten Sie die Treiberversion auch durch Aufruf von „Start / Programme / FRITZ! / FRITZ!Version“. Klicken Sie dann in dem Fenster „FRITZ!Version“ auf die Schaltfläche „Systeminformationen“. l Wird Ihr ISDN-Controller an einer Nebenstellenanlage betrieben? l Ist es möglich, mit dem ISDN-Controller erfolgreich eine Testverbindung über das vordefinierte Ziel „Fast Internet over ISDN“ zum AVM Data Call Center (ADC) aufzubauen? l An welcher Stelle der Installation oder an welcher Stelle in der Anwendung erscheint eine Fehlermeldung? l Wie lautet der genaue Wortlaut der Meldung? Support per Telefon Auch per Telefon können Sie den Support erreichen. Bereiten Sie dazu ebenfalls die im Abschnitt „Support per Telefax“ genannten Informationen vor. Sie erreichen den Support per Telefon werktags von 9.00 Uhr bis 17.00 Uhr unter folgender Rufnummer: +49 (0)30 / 39 00 44 22 62 NetWAYS/ISDN – 5 Informationen, Updates und AVM-Support netways.book Seite 63 Dienstag, 10. Dezember 2002 10:55 10 Support per Telefon Wenn Sie diese Informationen zusammengestellt haben, können Sie den Support kontaktieren. Wir hoffen, das Support-Team wird Ihnen bei der Lösung Ihres Problems zufriedenstellend helfen. NetWAYS/ISDN – 5 Informationen, Updates und AVM-Support 63 netways.book Seite 64 Dienstag, 10. Dezember 2002 10:55 10 Glossar 1TR6 1TR6 ist das ältere nationale deutsche D-Kanal-Protokoll. Seit Dezember 1993 werden in Deutschland keine neuen ISDN-Anschlüsse mit diesem Protokoll mehr installiert. Seitdem wird nur das D-Kanal-Protokoll DSS1 für neue Anschlüsse verwendet. ADSL (Asymmetric Digital Subscriber Line) ADSL ist eine Technologie, die den Internetzugang mit einer hohen Bandbreite über die normale Telefonleitung ermöglicht. Die Übertragung von Daten beim Herunterladen kann mit bis zu 6 MBit/s erfolgen, in der Gegenrichtung sind bis zu 640 KBit/s möglich. Wählverbindungen zu anderen ADSLTeilnehmern und Dienstekennungen sind nicht möglich. Diese Technologie wird beispielsweise von der Deutschen Telekom AG unter der Bezeichnung T-DSL angeboten. ISDN und ADSL benutzen unterschiedliche Frequenzbereiche des Telefonkabels und können somit parallel betrieben werden. AH (Authentication Header) Sicherungsprotokoll innerhalb von IPSec. AH gewährleistet, dass das Paket vom Absender und nicht von einem Dritten stammt und dass keine Veränderungen innerhalb des Pakets während der Übermittlung von Dritten vorgenommen wurden. AH verschlüsselt die Nutzdaten nicht. Amtsholung Die Amtsholung ist die Ziffer, die innerhalb einer Nebenstellenanlage vorgewählt werden muss, um eine Amtsleitung zu bekommen. In den meisten Fällen ist dies die „0“. 64 NetWAYS/ISDN – Glossar netways.book Seite 65 Dienstag, 10. Dezember 2002 10:55 10 AO/DI AO/DI ist die Abkürzung für Always On/Dynamic ISDN. Dieses Verfahren nutzt den ISDN D-Kanal für Verbindungen mit dem Internet. Die Datenkommunikation im D-Kanal arbeitet paketorientiert mit dem X.25-Protokoll. Die Verbindung besteht permanent. Für die Übertragung kleiner Datenmengen ist die Kapazität des D-Kanals ausreichend und es fallen keine Verbindungskosten an. Entsprechend den zu- und abnehmenden Datenmengen schaltet AO/DI einen oder mehrere BKanäle dynamisch zu und ab. AOCD AOCD steht für Advice On Charge During Call; ein Leistungsmerkmal im ISDN. Ist dieses Merkmal an Ihrem ISDN-Anschluss freigeschaltet, werden Tarifinformationen während der Verbindung nach dem europäischen Standard AOCD übertragen. Informationen zu AOCD erhalten Sie bei Ihrem ISDN-Anbieter. ARP (Address Resolution Protocol) Das Address Resolution Protocol (ARP) gehört zur TCP/IPProtokollsuite. ARP bildet eine IP-Adresse dynamisch auf die zugehörige Hardware-Adresse (MAC-Adresse) ab. Dies geschieht automatisch und ist normalerweise für die Anwendung und den Benutzer unsichtbar. Um Daten in einem TCP/IP-Netzwerk auszutauschen, muss die sendende Station die IP-Adresse des Ziels auf die Hardware-Adresse des Ziels abbilden. Die sendende Station schickt dazu ein sogenanntes ARP Request-Paket, das die IPAdresse des Ziels enthält. Alle ARP-fähigen Systeme im Netzwerk erkennen dieses Paket, und das System mit der fraglichen IP-Adresse schickt seine Hardware-Adresse mit Hilfe eines ARP Reply-Pakets zurück. Die Kombination IP-Adresse / Hardware-Adresse wird im ARP-Cache der sendenden Station gespeichert. NetWAYS/ISDN – Glossar 65 netways.book Seite 66 Dienstag, 10. Dezember 2002 10:55 10 Authentisierung, siehe „Echtheitsbestätigung“ auf Seite 68 Überprüfung, ob jemand die Person ist, die sie vorgibt zu sein. In privaten und öffentlichen Computernetzen wird dazu in der Regel ein Benutzername und ein Passwort verwendet. Es wird angenommen, dass die Kenntniss des Passworts eine Garantie für die Echtheit des Benutzers ist. Die Registrierung jedes Benutzers erfolgt durch die Angabe eines Passworts. Bei jeder Authentisierung muss der Benutzer das Passwort angeben. Die Schwäche dieses Systems liegt darin, dass Passwörter gestohlen, verloren oder vergessen werden können. B-Kanal Ein ISDN-Basisanschluss besteht aus zwei B-Kanälen und einem D-Kanal. Über die B-Kanäle werden die Daten übertragen. Sie ermöglichen eine Übertragung mit 64 Kbit/s. Um die Übertragung zu beschleunigen, können B-Kanäle gebündelt werden. CAPI, siehe „COMMON-ISDN-API (CAPI)“ auf Seite 67 CHAP (Challenge Handshake Authentication Protocol) Zur Authentisierung muss auf der Seite, die die Authentisierung verlangt, ein Name und ein Passwort für die Gegenseite konfiguriert werden. Die Gegenseite muss diesen Namen und das Passwort in ihrer Zielkonfiguration eingetragen haben. Bei der Authentisierung mit CHAP generiert die Seite, die die Authentisierung verlangt, aus dem Namen und einem Zufallswert nach einem festgelegten Hash-Algorithmus eine Meldung, die zur Gegenseite geschickt wird. Diese generiert aus der Meldung und dem Passwort - ebenfalls nach einem festgelegten Algorithmus - einen neuen Wert, der zurückgesandt wird. Die erste Seite wiederum prüft nun, ob der von ihr berechnete Wert aus ursprünglicher Meldung und Passwort mit dem übereinstimmt, was die Gegenseite zurückgesandt hat. Ist dies der Fall, wird der Anruf angenommen. 66 NetWAYS/ISDN – Glossar netways.book Seite 67 Dienstag, 10. Dezember 2002 10:55 10 CLI (Calling Line Identification) Übermittlung der Rufnummer über den ISDN-D-Kanal. CLI ist ein Leistungsmerkmal im ISDN, das im AVM Access Server z.B. zur Identifizierung einkommender Rufe verwendet wird. Client Ein Client ist ein Computer in einem Netzwerk, der die Dienste eines Servers in Anspruch nimmt, z.B. auf dessen Dateien oder Datenbanken zugreift. COMMON-ISDN-API (CAPI) CAPI ist eine standardisierte herstellerunabhängige Schnittstelle zwischen ISDN-PC-Karten und ISDN-Anwendungen. Diese Schnittstelle steht nach der Installation eines AVM ISDN-Controllers im gesamten System zur Verfügung (aktuelle Version 2.0). Aktuelle CAPI-Treiber erhalten Sie kostenlos über den FTP-Server von AVM (ftp://ftp.avm.de). Der NetWAYS/ISDN setzt auf der Anwendungsschnittstelle von CAPI 2.0 auf. D-Kanal Der D-Kanal dient zur Übertragung von Steuerungsinformationen wie z.B. die Art des benutzten ISDN-Dienstes oder der Rufnummer des Kommunikationspartners. Die Bandbreite beträgt 16 Kbit/s beim Basisanschluss und 64 Kbit/s beim Primärmultiplexanschluss. Über den D-Kanal können im ISDN Gebühreninformationen (AOCD) und die Rufnummer der anrufenden Seite (CLIP) übertragen werden. Die Leistungsmerkmale CLIP und AOCD müssen in Deutschland separat beantragt werden. DSL, siehe „ADSL (Asymmetric Digital Subscriber Line)“ auf Seite 64 DSS1 Europaweit standardisiertes D-Kanal-Protokoll. Alle neueren ISDN-Anschlüsse verwenden DSS1. NetWAYS/ISDN – Glossar 67 netways.book Seite 68 Dienstag, 10. Dezember 2002 10:55 10 Echtheitsbestätigung Echtheitsbestätigung beschreibt die Identifikation einer Seite bei einer anderen Seite. Dazu stehen die Verfahren PAP und CHAP zur Verfügung. In NetWAYS/ISDN kann für jedes Ziel festgelegt werden, ob und mit welchem Verfahren sich die Gegenstelle auf dem lokalen Router identifizieren muss. Für jedes Verfahren müssen Name und Passwort eingestellt und der Gegenstelle mitgeteilt werden. Falls die Gegenseite eine Echtheitsbestätigung verlangt, können Sie dafür Namen und Passwort eingeben. Diese Angaben werden Ihnen von der Gegenseite mitgeteilt. ESP (Encapsulating Security Payload) Transportprotokoll innnerhalb von IPSec. ESP ermöglicht die Authentifizierung des Absenders und die Verschlüsselung der Nutzdaten. Hash-Funktion Eine Hash-Funktion ist ein Algorithmus, der Eingabedaten in eine kürzere Form, den Hash-Wert oder „Digest“, bringt. One-Way-Hash-Algorithmen werden als kryptographische Verfahren bei der Authentisierung und beim Erzeugen digitaler Unterschriften angewendet. l One-Way-Hash-Algorithmen – Die Eingabedaten können beliebig lang sein. – Die Ausgabe ist in der Regel von konstanter Länge. – Aus dem Ausgabewert kann der Eingabewert nicht mehr rekonstruiert werden. – Der Algorithmus muss hinreichend kollisionsfrei sein, das heißt, die Wahrscheinlichkeit, dass zwei verschiedene Eingabewerte denselben Ausgabewert liefern, ist gering. 68 NetWAYS/ISDN – Glossar netways.book Seite 69 Dienstag, 10. Dezember 2002 10:55 10 l Keyed-Hash-Funktionen Keyed-Hash-Funktionen sind One-Way-Hash-Algorithmen, die zusätzlich zum Eingabewert noch einen Schlüssel in die Berechnung mit einbeziehen. KeyedHash-Funktionen eignen sich somit zur Erzeugung von Message Authentication Codes (MAC). Nur wer den Schlüssel kennt, kann den richtigen MAC erzeugen. Die Hash-Funktion wird dadurch noch kollisionssicherer. HDLC (High-Level Data Link Control) Ein Übertragungsprotokoll für Datenpakete über serielle Leitungen nach ISO. Es handelt sich bei diesem Protokoll um einen strukturierten Satz von Standards, der die Mittel festlegt, mit denen ungleiche Geräte über Datennetze miteinander kommunizieren können. HDLC ist ein bit-orientiertes und damit code-unabhängiges Sicherungsprotokoll für Punkt-zuPunkt-Verbindungen und Mehrpunktverbindungen. HDLC ist von der ITU-T standardisiert (ITU: International Telecommunication Union; ITU-T: ITU Telecommunication Standardization Sector). Eine Version dieses Protokolls wird in allen X.25 Netzen innerhalb der Sicherungsschicht eingesetzt und trägt dann die Bezeichnung LAP B. In HDLC sind bestimmte Frames festgelegt, in denen die Datenblöcke aus der Vermittlungsschicht eingebettet und über die physikalischen Verbindungen übertragen werden. Nach DIN 66 221 besteht ein HDLC-Rahmen aus der Blockbegrenzung (Flag), dem Adressfeld, dem Steuerfeld, dem Datenfeld, dem Blockprüffeld (FCS) und einer abschließenden Blockbegrenzung. HDLC benutzt Duplex-Betrieb und bietet die Quittierung von mehreren Blöcken, in der Regel acht. Die Zusammenfassung von acht Blöcken zu einer Quittierungseinheit wird Fenster (Window) genannt. Header Jedes Datenpaket enthält einen Header, der Informationen über Absender- und Zieladresse und verwendetes Protokoll angibt. Um die Übertragungsgeschwindigkeiten bei der ISDN-Datenübertragung zu erhöhen und damit Kosten zu sparen, können Header komprimiert werden. NetWAYS/ISDN – Glossar 69 netways.book Seite 70 Dienstag, 10. Dezember 2002 10:55 10 HMAC (Keyed-Hash Message Authentication Code) Message Authentication Code (MAC), der mit einer KeyedHash-Funktion erzeugt wird. Es kann eine beliebige HashFunktion verwendet werden. Alle Authentisierungsfunktionen in IPSec basieren auf HMAC. ICMP (Internet Control Message Protocol) ICMP befindet sich auf derselben Ebene wie IP. Es dient zur Übertragung von Informationen, die zur Steuerung von IP-Datenströmen dienen. Es wird hauptsächlich dazu verwendet, Informationen über Routen und Zieladressen zu liefern. Ein Beispiel für einen weitverbreiteten Dienst auf der Basis von ICMP ist Ping. Das ICMP ist Bestandteil jeder IP-Implementierung und hat in seiner Eigenschaft als Transportprotokoll nur die Aufgabe, Fehler- und Diagnoseinformationen für IP zu transportieren. IKE (Internet Key Exchange) Protokoll, das als Teil von IPSec für die Aushandlung der Verbindungsparameter zuständig ist. IKE ist als RFC 2490 veröffentlicht. IP (Internet Protocol) IP wird als Protokoll der Netzwerkschicht im Internet verwendet und stellt die Systemverbindung zwischen den Computern her. Es bietet der darüberliegenden Schicht einen verbindungslosen Dienst an. IP-Adresse Die IP-Adressierung ist fester Bestandteil des Internet Protocols (IP). Die Darstellung der Internet-Adressen erfolgt in dezimaler, oktaler oder hexadezimaler Schreibweise. Der NetWAYS/ISDN verwendet die dezimale Schreibweise, bei der die einzelnen Bytes zur Kenntlichmachung der Zusammengehörigkeit durch Punkte voneinander getrennt werden. Die Gesamtmenge der Internet-Adressen, der Adressraum, wird in Klassen (A, B, C, D und E) getrennt. Von den fünf Adressklassen werden nur die ersten drei Klassen genutzt. Diese 70 NetWAYS/ISDN – Glossar netways.book Seite 71 Dienstag, 10. Dezember 2002 10:55 10 Klassen sind durch folgende Merkmale gekennzeichnet: Klassen Merkmale Netzadresse, dezimaler Wert Klasse-A-Adresse Wenig Netzwerke, viele Netzknoten 0-127 Klasse-B-Adresse Mittlere Verteilung von Netzwerken und Netzknoten 128-191 Klasse-C-Adresse Viele Netzwerke, wenig Netzknoten 192-223 Merkmale der IP-Adressklassen Jede IP-Adresse besteht aus zwei Teilen: der Netzwerkadresse und der Computeradresse. Die Bereichsgrößen der Netzwerkadresse und der Computeradresse sind variabel, sie werden durch die ersten vier Bits (des ersten Byte) einer IPAdresse bestimmt. l Klasse-A-Adressen bestehen aus einem Byte Netzwerkadresse und drei Byte Computeradresse: ;BBB 1HW]ZHUNDGUHVVH 5HFKQHUDGUHVVH Klasse-A-Adresse Beispiel: 88.120.5.120 (88 definiert die Netzwerkadresse, 120.5.120 die Computeradresse). NetWAYS/ISDN – Glossar 71 netways.book Seite 72 Dienstag, 10. Dezember 2002 10:55 10 l Klasse-B-Adressen bestehen aus zwei Byte Netzwerkadresse und zwei Byte Computeradresse: ;;BB 1HW]ZHUNDGUHVVH 5HFKQHUDGUHVVH Klasse-B-Adresse Beispiel: 130.6.2.130 (130.6 ist die Netzwerkadresse, 2.130 ist die Computeradresse). l Klasse-C-Adressen bestehen aus drei Byte Netzwerkadresse und einem Byte Computeradresse: ;;;B 5HFKQHUDGUHVVH 1HW]ZHUNDGUHVVH Klasse-C-Adresse Beispiel: 195.15.15.1 (195.15.15 ist die Netzwerkadresse, 1 ist die Computeradresse). RFC 1918 (Address Allocation for Private Internets) beschreibt folgende Blöcke des IP-Adressraums als geeignet für private LANs: 10.0.0.0 - 10.255.255.255 (10/8 prefix) 172.16.0.0 - 172.31.255.255 (172.16/12 prefix) 192.168.0.0 - 192.168.255.255 (192.168/16 prefix) IP-Masquerading Ein Netz, eine IP-Adresse: Mit IP Masquerading reicht eine offizielle IP Adresse für die Kommunikation zwischen privatem LAN und dem öffentlichen Internet aus. NetWAYS/ISDN bearbeitet die IP-Adressen in den TCP-, UDP- und ICMP-Paketen so, dass effektiv zum Internet hin nur eine IP-Adresse sichtbar ist. Also können diese Hosts eines privaten LAN interne (inoffizielle) IP-Adressen für die Kommunikation mit dem Internet nutzen. 72 NetWAYS/ISDN – Glossar netways.book Seite 73 Dienstag, 10. Dezember 2002 10:55 10 IPSec (Internet Protocol Security) Sicherheitsstandard für die Netzwerkschicht in der Netzwerk-Kommunikation. IPSec eignet sich sehr gut für VPN-Verbindungen und den LAN-Zugriff entfernter Benutzer über DFÜ-Netze. IPSec verwendet die beiden Transportprotokolle Authentication Header (AH) und Encapsulating Security Payload (ESP). AH ermöglicht die Authentisierung des Absenders; ESP ermöglicht sowohl Authentisierung als auch Verschlüsselung. Die spezifischen Informationen des Transportprotokolls stehen in einem Header, der an den IP-Header angehängt wird. IPX (Internetworking Packet Exchange Protocol) Von Novell entwickeltes Netzwerkprotokoll, mit dem Datenpakete im Netzwerk schnell und sicher zwischen zwei Netzwerkcomputern ausgetauscht werden. Keep-Alive-Pakete Keep-Alive-Pakete werden periodisch im gesamten Netzwerk ausgesandt, um zu überprüfen, ob z.B. ein Client noch aktiv ist. Erhält die sendende Station keine Antwort, unterbricht sie die logische Verbindung. LAN (Local Area Network) Ein LAN ist ein räumlich begrenztes Netzwerk von Computern, wie beispielweise das Kommunikationsnetz eines Unternehmens oder einer Behörde. Entfernte Computer können sich über ISDN oder GSM und der entsprechenden Software (z.B. NetWAYS/ISDN) in den Remote Access Server eines LAN einwählen. Logische ISDN-Verbindung Als logische ISDN-Verbindung wird der Zustand bezeichnet, in dem sich eine Verbindung für beide beteiligten Gegenstellen als aktive ISDN-Verbindung darstellt. Während der logischen ISDN-Verbindung muss nicht permanent ein B-Kanal aufgebaut sein. In NetWAYS/ISDN sind während der gesamten Dauer der logischen ISDN-Verbindung alle Informationen bekannt, die beim ersten Verbindungsaufbau zwischen den NetWAYS/ISDN – Glossar 73 netways.book Seite 74 Dienstag, 10. Dezember 2002 10:55 10 beiden Seiten ausgehandelt wurden. Dazu gehören das verwendete Netzwerkprotokoll, ob und auf welche Weise eine Echtheitsbestätigung durchgeführt wird, Spoofingmechanismen und Kanalbündelung. Ist kein B-Kanal aktiv und es stehen Daten zur Übertagung an, kann sofort ein B-Kanal aufgebaut werden. Internetverbindungen kennen keine logischen ISDN-Verbindungen, da dieser Zustand von den Internetanbietern nicht unterstützt wird. Logische Netzwerkverbindung Die logische Netzwerkverbindung bezeichnet die Verbindung zwischen zwei LANs oder einem LAN und einem Client auf Netzwerkprotokoll-Ebene. Solange eine logische Netzwerkverbindung besteht, ist die Gegenseite dem Router bekannt. Eine logische ISDN-Verbindung entsteht mit dem ersten physikalischen Verbindungsaufbau über ISDN, mit dem auch die Verbindungsparameter ausgehandelt werden. Diese Verbindungsparameter gelten für die Dauer der logischen ISDN-Verbindung. Dazu gehören das verwendete Netzwerkprotokoll, ob Echtheitsbestätigung durchgeführt wird sowie Verbindungsmanagement-Parameter wie zum Beispiel durchgeführte Spoofing-Mechanismen oder Kanalbündelung. Je nach Konfiguration wird die logische ISDN-Verbindung zusammen mit der physikalischen abgebaut oder kann darüber hinaus bestehen bleiben, wenn dies mit der Gegenstelle ausgehandelt werden konnte. MSN (Multiple Subscriber Number=Mehrfachrufnummer) Mehrfachrufnummern dienen im Euro-ISDN (D-Kanal-Protokoll DSS1) zur Unterscheidung von mehreren Endgeräten an demselben S0-Bus oder mehreren CAPI-Anwendungen auf demselben Rechner. Im Bereich der Deutschen Telekom AG werden einem ISDN-Standardanschluss drei MSNs Mehrfachrufnummern zugewiesen. 74 NetWAYS/ISDN – Glossar netways.book Seite 75 Dienstag, 10. Dezember 2002 10:55 10 NAT (Network Address Translation), siehe „IP-Masquerading“ auf Seite 72 NCP (NetWare Core Protocol) Protokoll zur Steuerung der Kommunikation zwischen Client und Server in einem NetWare-Netzwerk. NetBIOS (Network Basic Input/Output System) Standard für die Unterstützung der Netzwerkkommunikation, der unabhängig von den jeweiligen Transporttypen ist. NetBIOS ist die Standardschnittstelle in Microsoft-Netzwerken. NetBIOS ist die Standardschnittstelle in Microsoft-Netzwerken und kann sowohl über IP als auch IPX transportiert werden. Netzwerkadresse Siehe TCP/IP-Adressen. PAP (Password Authentication Protocol) Eines der beiden Protokolle für die Echtheitsbestätigung. Auf der Seite, die die Echtheitsbestätigung verlangt, müssen ein Name und ein Passwort für die Gegenseite konfiguriert werden. Die Gegenseite muss diesen Namen und das Passwort in ihren Einstellungen eingetragen haben. Bei der Echtheitsbestätigung mit PAP werden der Name und das Passwort im Klartext übertragen, und die Gegenseite prüft, ob diese mit den eigenen Einstellungen übereinstimmen. Ist dies der Fall, wird die Verbindung aufgebaut. Da PAP das Kennwort im Klartext überträgt, sollte PAP nur dann zum Einsatz kommen, wenn die Gegenstelle nicht das deutlich sicherere CHAP beherrscht. Physikalische ISDN-Verbindung Bei der physikalischen ISDN-Verbindung sind tatsächlich ein oder mehrere B-Kanäle aufgebaut und es entstehen Verbindungsgebühren. Die physikalische ISDN-Verbindung baut immer auf der logischen ISDN-Verbindung auf, d.h. die ausgehandelten Verbindungsparameter werden verwendet. NetWAYS/ISDN – Glossar 75 netways.book Seite 76 Dienstag, 10. Dezember 2002 10:55 10 Ping (Packet InterNet Groper) Programm zum Testen, ob ein Host erreicht werden kann. Das Programm schickt eine ICMP-Anfrage an einen IP-Host und wartet auf eine entsprechende Antwort. Mit Hilfe der Option „-w“ nach dem Befehl „ping“ können Sie festlegen, wie viele Millisekunden das Programm auf eine Antwort warten soll (Timeout). Da der Verbindungsaufbau über ISDN und die Aushandlung der Gegenstelle einige Sekunden dauern kann, sollten Sie bei einem Ping über ISDN als Timeout 5000 angeben. PPP, siehe „PPP over ISDN (Point-to-Point-Protocol)“ auf Seite 76 PPP over ISDN (Point-to-Point-Protocol) Übertragungsprotokoll auf verbindungsorientierten Netzen wie zum Beispiel ISDN, das eine protokollunabhängige Übertragung auf der ISO/OSI Schicht 2 zur Verfügung stellt. Das Protokoll besteht aus einer Reihe von Standards und Unterprotokollen. Diese beschreiben für verschiedene Netze den Aufbau der übertragenen Daten. Dadurch soll gewährleistet werden, dass die Kommunikationsgeräte verschiedener Hersteller einheitliche Verfahren zur Kommunikation verwenden. PPP over ISDN ist in RFC 1618 beschrieben. Port Innerhalb von TCP- und UDP-Verbindungen dienen Ports der Unterscheidung von Verbindungen. Wenn auf einem Computer mehr als eine Verbindung offen ist, reicht die IP-Adresse alleine nicht dafür aus, Antworten, die ankommen, der richtigen Verbindung zuzuordnen. Bei ausgehenden Anforderungen oder Antworten vergibt das Betriebssystem die Portnummern fortlaufend. Im IP-Masquerading-Modul von NetWAYS/ISDN werden die Portnummern den Verbindungen zugeordnet. Well-known ports sind Portnummern, die von der IANA (Internet Assigned Numbers Authority) bestimmten Diensten und Anwendungen zugeordnet wurden. Well-known ports sind aus dem Bereich von 0 bis 1023. 76 NetWAYS/ISDN – Glossar netways.book Seite 77 Dienstag, 10. Dezember 2002 10:55 10 Short-Hold-Modus Unter Short-Hold-Modus versteht man den physikalischen Abbau inaktiver ISDN-Verbindungen nach einer festgelegten Zeitspanne. Für physikalisch aktive ISDN-Verbindungen (BKanal belegt) fallen Gebühren an, egal, ob gerade Daten übertragen werden oder nicht. Da der Verbindungsaufbau über ISDN sehr schnell ist (1 bis 2 Sekunden), bietet es sich an, die physikalische ISDN-Verbindung abzubauen, wenn längere Zeit keine Daten mehr über die Leitung gehen. Die logische ISDN-Verbindung, d.h. die Aushandlung der Verbindungsparameter, bleibt je nach Konfiguration bestehen. Sobald dann Daten zur Übertragung anstehen, wird die physikalische Verbindung unterlagert wieder aufgebaut. Dies geschieht für den Client transparent. SMTP (Simple Mail Transfer Protocol) SMTP ist ein Standardprotokoll zum Austausch von elektronischer Post (E-Mail) zwischen verschiedenen Computern. SMTP setzt unmittelbar auf TCP Port 25 auf. Es ist einfach strukturiert und unterstützt nur den Versand von E-Mail über ein Datennetz. Das Protokoll wurde in RFC 821 definiert. Spoofing Englisch „to spoof“ = verballhornen, hier im Sinne von vorgaukeln. Erfahrungsgemäß tauschen einige Anwendungen in Netzwerken ständig Pakete aus, die bei WAN-Verbindungen über ISDN zu häufigen und unnötigen Verbindungsaufbauten führen können. Manche Pakettypen, vor allem vor allem die der Windows Datei- und Druckerfreigabe, verlangen eine Bestätigung der Gegenseite und dürfen deshalb vom NetWAYS/ISDN nicht einfach aus dem Datenstrom herausgefiltert werden, da sonst die Anwendung nicht mehr am Server angemeldet ist. Unter Spoofing versteht man das lokale Beantworten von Paketen durch einen Router. Besteht eine physikalische ISDNVerbindung, werden solche Pakete über die ISDN-Leitung geschickt. Sobald die physikalische Verbindung durch den Inactivity Timeout (Zeitspanne bis zum physikalischen VerbinNetWAYS/ISDN – Glossar 77 netways.book Seite 78 Dienstag, 10. Dezember 2002 10:55 10 dungsabbau) abgebaut worden ist und die logische ISDNVerbindung noch besteht, beantwortet der Client lokal die Pakete und täuscht somit die Existenz einer physikalischen Verbindung zur Gegenseite vor. Nachdem die physikalische ISDN-Verbindung durch Datenpakete wieder aufgebaut wurde, wird das Spoofing eingestellt und es werden beispielsweise Watchdog-Pakete wieder über ISDN übertragen. Die verwendeten Spoofing-Mechanismen werden beim Verbindungsaufbau mit der Gegenstelle nach PSCP Draft ausgehandelt. Unterstützt die Gegenstelle kein Spoofing, wird diese Funktion deaktiviert. SPX (Sequenced Packet Exchange) Protokoll, mit dessen Hilfe zwei Arbeitsplatzcomputer oder Anwendungen über ein Netzwerk kommunizieren. SPX greift zur Übermittlung von Nachrichten auf NetWare IPX zurück. Die eigentliche Nachrichtenübermittlung wird aber von SPX sichergestellt. SPX sorgt dabei für die Einhaltung der Reihenfolge der Nachrichten im Paketstrom. TCP (Transmission Control Protocol) TCP ist für den Einsatz von paketvermittelten Netzwerken geeignet. Es setzt unmittelbar auf dem Internet Protocol (IP) auf und bietet virtuelle Verbindungsdienste zur reihenfolgengetreuen, gesicherten Übertragung der Anwenderdaten. Es gewährleistet eine zuverlässige Verbindung zwischen zwei Kommunkationspartnern. TCP ist als RFC 793 veröffentlicht. Tunneling-Technik Ein Verfahren, bei dem Datenpakete des einen Protokolls mit Hilfe eines anderen Protokolls übertragen werden. Zwischen den Endpunkten wird eine virtuelle Verbindung aufgebaut, die man Tunnel nennt. Die Daten des einen Protokolls werden am Tunnelanfang in die Datenpakete des zweiten Protokolls verpackt. Am Ende des Tunnels werden sie wieder entpackt. 78 NetWAYS/ISDN – Glossar netways.book Seite 79 Dienstag, 10. Dezember 2002 10:55 10 VPN (Virtual Private Network) Internationale Bezeichnung für geschlossene logische Datenetze auf der Basis virtueller Verbindungen. Unter einem virtuellen privaten Netz versteht man ein firmen- oder institutionseigenes Netz von größerer Ausdehnung, das auf die vorhandenen Strukturen eines öffentlich zugänglichen Netzes aufsetzt. Virtuelle private Netze nutzen die Tunneling-Technik, ein Verfahren, bei dem Datenpakete des einen Protokolls mit Hilfe eines anderen Protokolls übertragen werden (siehe Tunneling-Technik). X.75 X.75 ist ein Datenprotokoll mit einer Übertragungsgeschwindigkeit von 64 KBit/s. Ziele Der Begriff „Ziel“ wird als Sammelbegriff für Internetverbindungen und die Verbindung zu entfernten Netzwerken benutzt. NetWAYS/ISDN – Glossar 79 netways.book Seite 80 Dienstag, 10. Dezember 2002 10:55 10 Index A G ADC. Siehe AVM Data Call Center AO/DI (Always On/Dynamic ISDN) 36 API (Application Programming Interface) 54 ARP-Spoofing 29 Automatischer Verbindungsaufbau beim Systemstart 53 AVM Data Call Center 15, 60 Gebührenprofile 24 Geschützter Modus 52 Geschwindigkeit 9 Header-Kompression HSCSD 5 21 I B Benutzername/Kennwort 33, 34 C CHAP (Challenge Handshake Authentication Protocol) 34 Charge One Site Only (COSO). Siehe Kostenübernahme Crypt Provider API 55 D Datenkompression 21 Datenverschlüsselung 35 Deinstallation 19 DSL 37 Erste Verbindung ...zum Testen von TCP/IP 16 F Fernzugriff mit NetWAYS/ISDN Festverbindungen 32 Filter NetBIOS 26 SNMP 26 Filtern und Spoofing 25 NetWAYS/ISDN – Index Import einer VPN-Verbindung 18 Informationsquellen 59 Installation Automatisieren 49 NetWAYS/ISDN 13 Voraussetzungen 12 Internetverbindung 16 Internetziel einrichten 18 Interoperabilität 10 IP-Masquerading 37 IPSec 40 Transportprotokolle 41, 43 K E 80 H 21 Kanalbündelung 22 Kompressionsverfahren 47 Konfiguration 14, 49 Kostenmanagement 8, 22 AO/DI 36 Filtern und Spoofing 25 Gebührenprofile 24 Kostenübernahme 29 Logischer Verbindungsabbau Physikalischer Verbindungsabbau 23 Rückrufoptionen 29 Kostenübernahme 30 24 netways.book Seite 81 Dienstag, 10. Dezember 2002 10:55 10 L Lieferumfang 11 Logischer Verbindungsabbau SPX-Spoofing 28 Watchdog-Spoofing 28 SPX-Spoofing 28 Standardkonfiguration 14 Standards 56 Systemvoraussetzungen 12 24 M Masquerading 37 T N Technologie 6 Testverbindung 15 Tunnel 39, 41 NCP-Spoofing 28 NetBIOS-Filter 26 NetWAYS/ISDN als Systemdienst 52 Deinstallation 19 für den Administrator 49 Konfiguration 49 U Übernahme vorkonfigurierter Profile 51 vorkonfigurierter Ziele 50 Übertragungsgeschwindigkeit 21 P PAP (Password Authentication Protocol) 34 Physikalischer Verbindungsabbau V 23 R Registrierung 60 Remote-Access-Server Hard- und Software 13 RFCs 56 Routing and Remote Access API (RAPI) 55 Rückrufanforderung 29 Rufnummernüberprüfung 33 S Sicherheit 9, 33 Benutzername/Kennwort 33, 34 Datenverschlüsselung 35 IP-Masquerading 37 Rufnummernüberprüfung 33 Sicherheitsrückruf 34 SNMP-Filter 26 Spoofing 27 ARP-Spoofing 29 NCP-Spoofing 28 Verbindung zum ADC ...testen von TCP/IP 16 Verbindungsabbau logisch 24 physikalisch 23 Verbindungssteuerung 54 Verschlüsselungsverfahren 46 Voraussetzungen NetWAYS/ISDN-Rechner 12 Remote-Access-Server 13 VPN IPSec 40 Kompressionsverfahren 47 Protokoll 40 Sicherheit 40 Transportprotokolle 41, 43 Tunnel 39, 41 Verbindung importieren 18 Verbindungen 38 Verschlüsselungsverfahren 46 W Watchdog-Spoofing 28 NetWAYS/ISDN – Index 81