Anberaumt - ITwelzel.biz
Transcription
Anberaumt - ITwelzel.biz
Technik News - Netzwerkmagazin G46392 Dezember 2002 D a s N 12 12. Jahrgang thema des monats ADRESSIERUNG Anberaumt Internet Protokoll v6 PRAXIS IPsec Teil 3: LAN-LAN Kopplung p r a x i s n a h e N e t z w e r k m a g a z i n AKTUELL • Neue Partner für die Internet-Security 3 Herausgeber: COMPU-SHACK NEWS Tandberg Data: DLT VS 160 und SDLT 320 verdoppeln Kapazitäten SonicWALL: TELE3 TZX mit integriertem 4-Port-Switch Right Vision: Sichere Internet-Services à la carte Check Point: Firewall-1 und VPN-1 Allied Telesyn: SwitchBlade-Familie verfügbar Allied Telesyn: VDSL über Telefonkabel Novell: Nsure für Zugriffssicherung Netgear: Wireless PC-Karte im 2,4 GHz- und 5 GHz-Band Hewlett Packard: Neue Procurve Gigabit Switches Cisco: Catalyst 6500er für durchgängiges Switching Cisco: Performance für 7000er Cisco: Catalyst 3700 APC: NetworkAIR fürs Rack APC: Smart-UPS 5000 Rack-Modell Netgear: GS108 mit Power Enterasys: XSR-1850 Security Router für Remote VPN Enterasys: X-Pedition ER 16 mit POS/SDH Enterasys: NetSight Atlas Novell: MySQL wird NetWare Standard-Datenbank Newsticker • • • • • • • • • • • • • • • • • • • • 4 5 6 7 8 9 9 10 10 11 11 12 12 13 13 14 14 15 15 16 THEMA THEMA DES DES MONATS MONATS Anberaumt 18 Telefon: 02631/983-0 Telefax: 02631/983-199 Electronic Mail: TECHNEWS @ COMPU-SHACK.COM Redaktion: Heinz Bück Hotline und Patches: Jörg Marx Verantwortlich für den Inhalt: Heinz Bück Technische Leitung: Ulf Wolfsgruber Erscheinungsweise: monatlich 1 Heft Bezugsquelle: Bezug über COMPU-SHACK Electronic GmbH Jahres-Abonnement zuzüglichMWSt.: Inland: 60,84 € Ausland: 86,41 € Layout und Titelbild: Marie-Luise Ringma Internet Protokoll v6 Druck: Görres-Druckerei, Koblenz Lektorat: Andrea Briel Es ist eng geworden um IPv4. Im schwindenden Adreßraum wächst die Zahl von Benutzern, Anwendungen, Geräten und Diensten. Daher wurde IPv6 anberaumt, um im expandierenden Internet Platz zu schaffen für Mechanismen, die den gestiegenen Anforderungen im Internetworking gerecht werden. Sie bieten Raum für neue Anwendungen und mobile User. Anja Dorscheid Abo-Versand: Wolanski GmbH, Bonn HOTLINE Empfohlene Novell und BinTec Patches Empfohlene Microsoft Patches Empfohlene ARCserve Patches Neue Patches in der Übersicht: ARCserve Neue Patches in der Übersicht: Microsoft Neue Patches in der Übersicht: Novell BinTec: X-Router Security, Teil 1: v6.2.5 mit Stateful Inspection Firewall SonicWall: Internet Security Appliances, Teil 1: Sicherheitsmerkmale Cisco: Tunnel-Anschluß, Teil 2:VPN-Client 3.6 und Cisco Pix Computer Associates: BrightStore ARCserve v.9 Novell: Certificate Server Novell: Apache Webserver auf Private und Public Interface WatchGuard: Tips & Tricks zur Firebox, Teil 1: Verbindungen zum Management Novell: Interessante Tips der Deutschen Netware FAQ • • • • • • • • • • • • • • Electronic GmbH, Ringstraße 56-58, 56564 Neuwied 30 31 32 33 34 35 36 38 40 42 44 45 46 48 Reproduktionen aller Art (Fotokopien, Mikrofilm, Erfassung durch Schrifterkennungsprogramme) - auch auszugsweise - nur mit schriftlicher Genehmigung des Herausgebers. Wir möchten uns nachträglich bei all denen bedanken, die durch die freundliche Zusammenarbeit das Erscheinen dieser Zeitung ermöglicht haben. Als Informationsquelle dient uns auch das Internet. Wenn Sie speziell über Ihre Erfahrungen referieren möchten, bieten wir Ihnen dies unter der Rubrik “Hotline” an. www.technik-news.de Selbstverständlich kann COMPU-SHACK die einwandfreie Funktion der vorgestellten Patches und Tips nicht garantieren und übernimmt keinerlei Haftung für eventuell entstehende Schäden. PRAXIS • • • • Do IT Dot NET, Teil 9: Mobile Information Server 2002 Webworking: SOAP-Installation und praktische Anwendung Nortel Networks, Teil 1: Contivity VPN Switches BinTec: Teil 3: IPSec LAN-LAN Kopplung 50 52 56 58 SOLUTIONS • Training, Support und Projekte Die Liste aktueller Updates zu Novell, Microsoft und BinTec finden Sie auf Seite 30, neueste Patches für ARCserver auf Seite 32 55,60,62 VORSCHAU 12 • Messen, Roadshows, Termine 2 63 Ausgabe 12/2002 a AKTUELL COMPU-SHACK Sicherheit an Bord Neue Partner für die Internet-Security Von Heinz Bück Im Zuge ihrer Security-Offensive hat die Compu-Shack abermals zwei neue Herstellerpartner gewonnen, die als Marktführer für Internet-Security durch ihr Angebot an branchenführenden Lösungen überzeugen. Right Vision ist Europas branchenführender Spezialist in der Entwicklung und Herstellung von maßgeschneiderten Internet Server Appliances. Check Point Software Technologies ist weltweit Marktführer im Bereich Internet-Sicherheit. Das Compu-Shack Business Development-Team übernimmt seit Mitte des Jahres die Initiative im Bereich Netzwerksicherheit. Mit ausgewählten Key-Produkten wird das Sicherheits-Portfolio der Compu-Shack konsequent erweitert. Als Branchenführer bei Internet Server Appliances entwickelt Right Vision maßgeschneiderte IT-Lösungen, die speziell auf die Anforderungen von Unternehmen und HostingProvider zugeschnitten sind. Mit Hauptsitz in Frankreich und Niederlassungen in München und London, ist Right Vision - bei einem Marktanteil von knapp 26% europaweit - der Marktführer im Bereich ”Multifunctional Internet Server Appliances”. Bei diesen intelligenten Lösungen handelt es sich um vorkonfigurierte, benutzerfreundliche Server, mit denen Unternehmen ad hoc auf alle Internet-Dienste zugreifen können. Die besondere Kompetenz von Right Vision beruht auf einer umfassenden Branchenerfahrung und zeitigt eine hohe Innovation mit permanenter Qualitätsverbesserung des Portfolios. Einfache Installation, vorkonfigurierte Internet-Services, höchste Performance sowie ein beeindruckendes Preis-Leistungs-Verhältnis zeichnen die Produkte von Right Vision aus. Server Appliances Die Kommunikationsserver kommen unter anderem als hochperformante Plattformen für das Server-basedComputing zum Einsatz, z.B. für Citrix Metaframe. Sie fügen sich nahtlos in bestehende Sicherheitssysteme anderer Security-Hersteller, etwa als Appliance-Systembasis mit dem Einmalpaßwortsystem SecOVID von KOBIL Systems oder als Server für Software-basierende Firewalls, wie Check Point sie anbietet. Aber auch als reine E-Mail- und Kommunikationsserver stellen die Produkte eine beeindruckende Leistungsfähigkeit unter Beweis. Die nun von CompuShack vertriebenen Eye-box-Produkte von Right Vision beruhen auf einem Software-Paket, das Unternehmen den optimalen Stand der Internet-Technologie zu extrem niedrigen Betriebskosten garantiert. Alle in Europa von Right Vision vertriebenen Lösungen sind konform zu den rechtlichen Bestimmungen der verschiedenen Länder und berücksichtigen deren technische und sprachliche Besonderheiten. Check Point, mit Hauptsitz in Redwood City, Kalifornien, ist der weltweite Marktführer bei Produkten für Internet Security. Unabhängige 12 Ausgabe 12/2002 3 Studien belegen, daß Check Point auf den internationalen VPN- und Firewall-Märkten die Spitzenposition inne hat. Das 1993 gegründete Unternehmen entwickelte mit Secure Virtual Network (SVN) eine eigene innovative Sicherheitsarchitektur. Sie stellt die Basis für eine vertrauliche und wirklich zuverlässige Kommunikation im Internet. Die SVN-Lösungen, wie sie von der Check Point Next Generation-Produktfamilie angeboten werden, schützen die Verbindungen zwischen Netzwerken, Systemen, Applikationen und Anwendern. Sie gewährleisten höchste Sicherheit, beispielsweise in Business-to-Business-Strukturen in Intranets, Extranets und im Internet. Internet Security Check Points OPSEC-Allianz - die Open Platform for Security - garantiert die nahtlose Integration und Kompatibilität der Check Point-Lösungen mit den Produkten von mehr als 300 namhaften Industriepartnern. Höchste Qualität beiVertrieb, Integration und Service der Lösungen wird durch ein weltweites Netzwerk aus mehr als 2500 zertifizierten Partnern in 203 Ländern sichergestellt. Mit den bei Compu-Shack erhältlichen Software-Produkten Firewall-1 und VPN1 stehen den Fachhandelspartnern die Schlüsselkomponenten zur Verfügung. Informationen zu Security-Produkten erteilt das Vendor Focus Team unter 02631/983-457 oder auf E-Mail an [email protected]. AKTUELL D n NEWS TANDBERG DATA Fortgeschritten und vervielfacht DLT VS 160 und SDLT 320 verdoppeln Kapazitäten Mit dem DLT VS 160 bringt Tandberg Data den Nachfolger des erfolgreichen DLT VS80-Laufwerks auf den Markt. Die Kapazität der Geräte wurde verdoppelt, die Geschwindigkeit ums Zweieinhalbfache gesteigert. Diesem Trend der DLTs folgt auch Tandbergs SDLT320 als das schnellste seiner Klasse. N Nach dem Erfolg des DLT-Laufwerks VS80 bringt Tandberg jetzt - in ebenfallls halber Bauhöhe von 5 1/4 Zoll - den Nachfolger DLT VS 160 auf den Markt. Für den Einbau in rackoptimierte Server von 2 HE ausgelegt, wartet der DLT VS 160 mit einer Kapazität von 160 Gbyte komprimiert bei einer Datenrate von 16 MB pro Sekunde auf. Somit speichert er die doppelte Datenmenge wie sein Vorgänger und ist dabei zweieinhalb mal so schnell. Das neue Laufwerk wird als interne Version und als Desktopmodell angeboten. Zum Einsatz kommt das neue VS-Tape, das lesekompatibel zum DLT1 und VS 80 ist. Dabei spielt es auch keine Rolle, ob Cartridges vom Typ DLTtapeIV oder VS-Tapes in diesen Geräten beschrieben wurden. Denn die neuen VS-Tapes können sowohl in den DLTs 1, VS80 und VS160 als auch in den DLT VS Autoloadern und dem SuperLoader 1280L eingesetzt werden. NEWS Größte Kapazität Mit dem SDLT320-Laufwerk bietet Tandberg eine einzigartige Kapazität pro Cartridge von 320 Gbyte komprimiert. Um dem ständig steigenden Bedarf an Speicherkapazität gerecht zu werden, steht damit im Vergleich zum Vorgänger SDLT220 eine gesteigerte Speicherkapazität von über 45 Prozent zur Verfügung. Durch eine hohe Übertragungsgeschwindigkeit von bis zu 115 GB pro Stunde bei Kompression kann eine deutliche Verkürzung der Backup-Zeiten erzielt werden. Rückwärtige Kompatibilität zu bereits installierten DLT- und SDLT-Streamern besteht auch hier. Der SDLT320 ist voll lese- und schreibkompatibel zu seinemVorgänger SDLT220. Zudem verwenden beide Laufwerke mit dem SDLT1tap die gleiche Data Cartridge. Hohe Transferraten Die SDLT320-Streamer nutzen das optische Servo-System zur exakten Führung der Datenspuren auf dem Band. Damit sind schmalere Datenspuren möglich, andererseits können die parallel liegenden Spuren viel dichter als bisher auf das Magnetband aufgebracht werden. Insofern hat sich die Speicherkapazität um den Faktor vier erhöht. Der SDLT320 bietet eine Vielzahl technischer Innovationen wie Laser Guided Magnetic Recording, Pivoting Optical Servo sowie Magneto-Resistive ClusterKöpfe. Diese innovativen Fortschritte gewährleisten, daß die DLTtapeTechnologie der SDLT-Generation zu so großen Kapazitäten und so hohen Transferraten voranschreiten konnte und sich auch zukünftig weiterentwickeln wird. Angesichts dieser ständigen Optimierung ist die Investition in die schnelle komfortable Datensicherung eine durchaus empfehlenswerte Sache. Mit den Tandberg Laufwerken erhalten Kunden ServiceHotline, Schulung und drei Jahre Garantie inklusive Vorab-Austauschservice, der im ersten Jahr sogar kostenlos ist. 12 Ausgabe 12/2002 4 SONICWALL Firewall at Home TELE3 TZX mit integriertem 4-Port-Switch Als Erweiterung der TELE3 TZ für HomeOffice-Anwendungen stellt SonicWALL die TELE3 TZX vor. Wie bei der TELE3 üblich, werden BusinessAnwendungen am WorkPort von den Privatnutzern am HomePort physikalisch getrennt. Nun wurde auch ein 4-Port-MDIX-Switch in den HomePort integriert. wendung ergibt sich zudem der Vorteil, daß auch sie durch eine Stateful Packet Inspection Firewall wirkungsvoll geschützt sind. Die TELE3 TZX kann wie die anderen SonicWALLAppliances auch von einem zentralen Punkt aus über das SonicWALL Global Management System (SGMS) verwaltet werden. Mit diesem System können die Appliances komfortabel konfiguriert werden. Außerdem ist der Aufwand für die Verteilung von Policies und Updates sehr gering. E Ein Eindringen ins Firmennetz durch die Hintertür eines Privatrechners wird von den SonicWall Home Appliances der TELE3-Familie wirkungsvoll unterbunden. Als weitere Vereinfachung im HomeOffice hat SonicWALL jetzt in den HomePort TM einen zusätzlichen 4-Port-MDIXSwitch integriert. Damit können bis zu vier Geräte direkt an die Firewall angeschlossen werden. Durch die Einsparung eines externen Switches entfallen Kosten und zusätzliche Verkabelung. Auch Kompatibilitätsprobleme zwischen Firewall und Switch gehören hiermit der Vergangenheit an. Geschäftlich... Zielgruppe sind vor allem DSL-Kunden, die ihren Breitband-Anschluß sowohl beruflich als auch privat nutzen. Bestehende DSL-Anschlüsse können damit auch für HomeOfficeAnwender genutzt werden, ein separater Anschluß für die IPSec-VPN-Verbindung zum Firmenstandort ist nicht mehr notwendig. Für die Privatan- ...und privat Die VPN-Funktionalität ist bei der TELE3 TZX bereits freigeschaltet. Weitere Services sind wie bei den anderen Appliances auch optional verfügbar. Dabei stehen Content-Filter, Anti-Virus und Rapid-AttachmentBlocking zur Verfügung, ob für die Firmennutzung oder den privaten Anwender, um beispielsweise auch die Privatrechner vor Viren zu schützen. Durch die Enforcement-Funktionalität der SonicWALL-Appliance ist dabei sichergestellt, daß immer das aktuelle DAT-File installiert ist. Auch die SonicWALL-Support-Services wie Telefon- und E-Mail-Support, Hardware-Austausch und FirmwareUpgrades stehen für das neue Produkt zur Verfügung. Für den HomeOfficeBereich empfiehlt sich die TELE3 TZX als ein Produkt, das durch umfassende Funktionalität und einfache Managebarkeit die Integration von Heimarbeitsplätzen ins Firmennetzwerk komfortabler und kostengünstiger macht. 12 Ausgabe 12/2002 5 Wireless Security Bundles VPN-IPsec für den drahtlosen Zugriff Aus Gründen der Sicherheit sollte ein WLAN als öffentliches Netz betrachtet werden. Um Funk-Verbindungen mit VPN-Technologien zu sichern bietet IPsec unter IP geradezu an. Mit dem WiFi-Standard und der Einhaltung der RFCs bei IPsec kann Interoperabilität verläßlich gewährleistet werden. Nach erfolgreichen Tests mit SonicWALL TELE3 und AVAYA Wireless (vgl. TN 11/2002) bietet Compu-Shack bedarfsoptimierte Lösungen in drei Varianten. SonicWALL Security Bundle 1 1 x SonicWALL TELE3 1 x AVAYA Wireless Range Antenne 1x AVAYA Wireless PC Card ETS-Gold 1x AVAYA Wireless AP-1 Zum Beispiel für die sichere Anbindung von remote Offices, die sicheren Zugriff auf das Unternehmensnetzwerk benötigen. SonicWALL Security Bundle 2 wie zuvor, jedoch statt AP-1 1 x AVAYA Wireless AP-3 Der AP-3 unterstützt den zukünftigen Standard 802.11a mit 54 Mbit/s und ermöglicht über den zweiten PCMCIASlot den Aufbau eines drahtlosen Backbone-Netzes als Bridging-Funkverbindung zwischen zwei Access-Points. SonicWALL Security Bundle 3 2 x SonicWALL TELE3 2 x AVAYA Wireless Antennenkabel 6m 2 x AVAYA ROR-2 Bundle mit 2 x Silver PC Card (ETS) 2 x Yagi-Antennnen und 2 x PigTail 50 cm 2 x Blitzschutz und wasserfestes Klebeband Zur Outdoor-Punkt-zu-Punkt-Verbindung von Gebäuden mittels VPN und Richtfunkverbindung. Die AVAYA Wireless-Lösungen garantieren ein Höchstmaß an Flexibilität und eine Reduzierung der Kosten. In Verbindung mit der TELE3 von SonicWALL entsteht eine hoc hperformante Firewall und VPN-IPsec-Lösung für einen schnellen und sicheren Zugriff auf Netzwerkressourcen im Unternehmen. Info beim Compu-Shack Vendor-Focus-Team unter 02631 / 983-457. n NEWS RIGHT VISION All in Eye-box ONE Sichere Internet-Services à la carte Der Internet-Telematik-ServerEye-box ONE von Right Vision ist ein echtes Kraftpaket. In einer anwenderfreundlichen und kostengünstigen Box verbinden sich Kommunikations-Services und Sicherheitsfunktionen für das lokale und öffentliche Netz.Eye-box ONE ist in der Normalversion für 50 bis 150 PC-Arbeitsplätze konzipiert. B Bislang hat man sich in kleinen und mittleren Unternehmen für die Anbindung an das Internet mit Router-Lösungen beholfen. Allerdings sind viele sicherheitsrelevante Aufgaben damit noch nicht gelöst. Intelligente Services für E-Mail, Firewall, Virenschutz und Internetfilter müssen im Normalfall zusätzlich implementiert werden, um die Möglichkeiten der öffentlichen Kommunikation sicher zu nutzen. DieEye-box ONE von Right Vision setzt an genau diesem Punkt an und vereint fast alle Kommunikationsformen, mit denen ein moderner Betrieb heutzutage ausgestattet sein muß, mit den zugehöriegen SecurityMechanismen in einem Gerät, für ISDN und DSL, für LAN und WAN. NEWS All in ONE Der Leistungsumfang des Multitalentes reicht vom Router über Proxycache-Server und E-Mail-Server mit integriertem Trend Micro Anti-Virus Mailscanner bis hin zur integrierten NAT-Firewall. Ferner sind ein DNS- und ein RAS-Server integriert. Zusätzlich kannEye-box ONE als VPN Gateway ohne Aufpreis die hochverschlüsselte IP-Sec-Verbindung über das Internet zu einem anderen weltweiten Standort aufnehmen. Die einzelnen Services sind wohl aufeinander abgestimmt und bieten größtmöglichen Schutz nach modernstem Stand der Technik. Die Eyebox ONE spart Kosten, da Internet-Seiten zentral zwischenspeichert werden können, und bringt Transparenz ins Unternehmen, weil exzessives Surfen verhindert werden kann. Sie ist sicher, da sie unberechtigten Zugang von außen ins LAN verhindert und auch den Aufbau einer demilitarisierten Zone (DMZ) erlaubt. Dank VPN IP-Sec besteht ein sicherer Zugriff auf das LAN. Dabei ist sie über Set-Up-Wizards oder Browser einfach zu bedienen. Ein kostengünstiger Support steht ebenso zur Verfügung wie eine innovative Update-Technologie. In LAN und WAN Das Linux Betriebssystem gewährt durch seine hervorragenden Internetworking-Eigenschaften nicht nur stabilen dauerhaften Betrieb, sondern auch transparentes und nachvollziehbares Verhalten im Netz. Zudem kennt Linux keine Beschränkung der UserAnzahl. Die Integration an den einzelnen Arbeitsplätzen erfolgt gänzlich ohne zusätzliche Treiber.Eyebox ONE integriert sich hervorragend in jede Windows-Netzwerkumgebung. Für die IP-LAN/WAN-Kopplung können ISDN-Wähl- oder Standleitungen 64 / 128 Kb verwendet werden. Weiterhin kann T-DSL (PPPoE) oder X-DSL bzw. Kabelmodem als Anschluß dienen. Die Verbindung zum Internet wird nach Bedarf automatisch aufgebaut und bei Wählleitungen nach frei wählbarer Zeit ter- miniert. Authentifizierung beim Provider erfolgt durch PAP oder CHAP. Mehrere interne Netze könnenEyebox ONE als Gateway nutzen. Ein DNS-Server verhindert unnötigen Verbindungsaufbau im LAN und WAN. Sicher im Web Durch einen eigenen lokalen ProxyServer wird der Internet-Zugang im LAN um bis zu 35% beschleunigt, bei entsprechend verringerten Verbindungskosten. Der Proxy Server fordert auf Wunsch vom Benutzer ein Paßwort für den Web-Zugang. Die Internet Firewall schützt das lokale Netz vor fremden Zugriffen. Alle internen LAN-PCs werden im öffentlichen Netz durch IP Masquerading bzw. NAT verborgen, ein externer Zugriff auf Rechner mit interner IPAdresse wird blockiert. Die Firewall beruht auf IP-basierter Packet-FilterTechnologie. E-Mail wird spamsicher über AV-Mailproxy mitAntivirenfilter empfangen. Alle gängigen E-Mail Clients wie Outlook oder OutlookExpress, Exchange, Netscape Messenger, Eudora etc. können verwendet werden. Über RAS besteht ein sicherer Zugriff von unterwegs auf das Firmennetz.Eye-box ONE bietet einen oder mehrere ISDN Dial-in Ports für den transparenten LAN-Zugang. Sicherheit ist gewährleistet durch Überprüfung der anrufenden MSN-Nummer. Auf Wunsch kann ein Rückruf angefordert werden. Ein Log-File protokolliert die Zugriffe. Über den 30-tägigen kostenlosen InstallationsSupport hinaus gibt es eine kostengünstige Support-Rufnummer. 12 Ausgabe 12/2002 6 CHECK POINT COMPU-SHACKPRODUCTION Integrierte InternetSicherheit Einsteiger Check Point Firewall-1 und VPN-1 Die Secure Virtual Networking Architektur von Check Point gewährleistet eine lückenlose Netzwerksicherheit, mit der Unternehmen ihren Datenverkehr in Internet, Intranet und Extranet zuverlässig schützen. Ihre Schlüsselkomponenten sind die Firewall-1, die VPN-1 Net bzw. die VPN-1 Pro. sicherheit integriert und zentral verwaltet werden. Dazu gehören beispielsweise die Zugriffskontrolle und Authentifizierung, NAT, VPN, HA und Content Security. Auditing und eine LDAP-basierte Ben utzerverwaltung schaffen zusätzliche Sicherheit, die dank der OPSEC (Open Platform for Security) von Check Point weiter ausgedehnt werden kann, auch auf Produkte anderer Hersteller. U Um die Leistungsfähigkeit und Reichweite des Internets konsequent ausschöpfen zu können, müssen Unternehmen den Schutz aller Ressourcen und Daten im Netz gewährleisten. SVN, die Secur e Virtual Networking Architecture von Check Point bietet dazu eine vollständige Sicherheitslösung, durch die alle Elemente geschützt werden, Netze und Systeme, Anwendungen und User. Firewall-1 Check Point Firewall-1 ist eine der beiden Schlüsselkomponenten in der SVN-Architektur. Die gesamte komplexe Funktionalität liegt hinter einer preisgekrönten Benutzeroberfläche verborgen. Sie ermöglicht eine sichere und übersichtliche Administration von einzelnen FirewallGateways wie auch von unternehmensweit verteilten Security-Systemen. Check Point Firewall-1 ist eine umfassende Sicherheitsplattform, auf der alle Elemente der Unternehmens- VPN-1 Net und Pro IT-Manager, die nach einem schnellen und kosteneffektiven Weg suchen, mehrere Filialen oder Außendienstmitarbeiter an das Unternehmensnetzwerk anzubinden, finden mit VPN-1 Net ein adäquates Lösungsspektrum. Es zeichnet sich durch eine ”One Click”-Technologie für die schnelle Einrichtung von VPN und ein tunnelbasiertes Preismodell für die kostengünstige Migration von bestehenden WAN-Umgebungen zum VPN aus. Die Zugangskontrolle erfolgt durch Check Points StatefulInspection-Technologie. VPN-1 Pro erweitert diese bewährten Funktionen des Gateways um Neuerungen, die den Installationsprozeß und das Management von VPNs wesentlich vereinfachen. Die in VPN-1 Pro integrierte Technologie unterstützt VPNCommunities inklusive Remote Access, Site-to-Site-Verbindungen und Extranets für eine schnellere Implementierung von VPN. 12 Ausgabe 12/2002 7 SWITCHline 24/16EL Professionelle Switching-Technik zum Einsteiger-Preis bietet die Compu-Shack Production mit der SWITCHline 24/16EL. Die 10/ 100MBit/s Store-and-Forward Switches stellen mit Auto-Negotiation den optimalen Übertragungsmodus und die maximal erreichbare Datenrate automatisch ein. D Das Store-and-Forward SwitchingVerfahren sichert eine fehlerfreie Übertragung und eine hohe Performance bei der Datenübertragung. Da alle 16 bzw. 24 Ports der SWITCHline 16/24EL mit einerAuto-MDI-X Funktion ausgestattet sind, ist es nicht mehr nötig, ein Cross-Over-Kabel zu verwenden, unabhängig davon, ob eine Netzwerkkarte oder ein weiterer Switch mit dem Gerät verbunden werden sollen. Die RJ-45 Ports passen sich automatisch der Pin-Belegung an. LEDs auf der Frontseite zeigen den aktuellen Status. Mit der Plugand-Play Installation sind keine weiteren Konfigurationsmaßnahmen von Seiten des Benutzers mehr erforderlich. Die Layer-2 Switches arbeiten mit einer Non-Blocking Switchmatrix, verfügen über eine Tabelle für 8000 MAC-Adressen und bieten eine Backplaneleistung von 3,2GBit/s beim SWITCHline 16EL bzw. 6,4GBit/s beim 24EL. Mit ihren neuen Geräten stellt die Compu-Shack Production modernste SwitchingTechnologien mit Wire-Speed Forwarding Rate und Non-Blocking Paket-filter zu einem äußerst attraktiven Preis-/Leistungsverhältnis zur Verfügung. Beide Geräte sind für den Einsatz in professionellen 19-Zoll-Umgebungen ausgelegt. n NEWS ALLIED TELESYN Core-Switching SwitchBlade-Familie verfügbar Allied Telesyn präsentierte erstmals auf der Exponet ihre Core-Switching Lösungen in Form der SwitchBlade-4000Familie. Nach dem Pre-Launch auf der CeBIT ist das modulare chassisbasierende System jetzt über Compu-Shack verfügbar. Damit ist der Weg frei für die erfolgreiche Vermarktung einer leistungsstarken Enterprise SwitchingTechnologie mit einem ausgezeichneten Preis-Leistungs-Verhältnis. forderung an die Portdichte und Performance, sondern ebenso gut für das Providerumfeld mit Ethernet Backbone Technologie. Die reichhaltige Ausstattung mit Features und die Zuverlässigkeit der Geräte bedeutet eine hohe Investitionssicherheit zu einem hervorragenden PreisLeistungs-Verhältnis. Höchste Portdichte M Mit der neuen SwitchBlade-4000-Familie präsentiert Allied Telesyn über Compu-Shack eine modulare SwitchLösung, deren Entwicklung 15 Jahre Erfahrung in der Netzwerkbranche und als Lösungsanbieter für EthernetTechnologien widerspiegeln. Vom Medienkonverter bis zu leistungsstarken Layer3-7 Switches existiert ein reichhaltiges Portfolio, welches im Backbone durch die neue Switch Blade Core-Switch-Familie vervollständigt wird. NEWS SwitchBlades Das SwitchBlade von Allied Telesyn bietet mit 4 oder 8 Slots für alle modernen Netzwerke eine herausragende Lösung, mit Portdichten bis 384 Ports für 10/100BaseTX, mit 64 Gigabit Ports oder 256 100BaseFX Ports in aktueller Layer3 Technologie. Die Einschubmodule gibt es mit 48 mal 10/100TX, 32 mal 100FX, 8 mal 1000T bzw. 1000SX oder einem 8 Port GBIC Modul für GBICs bis 70 KM Reichweite. Die modulare Lösung empfiehlt sich somit nicht nur für große LAN-Strukturen mit höchsten An- Anforderungen an Core-Switches folgen hohen Erwartungen, denen die neuen Geräte der SwitchBlade-Familie mehr als genügen. Dafür sorgt einerseits eine hohe Backplane-Kapazität von 128 Gbit mit zwei voll redundanten Switch-Controllern. Hotswap-fähige Port-Blades und Netzteile sichern eine maximale Verfügbarkeit. Andererseits eröffnet modernste Technologie mit IP und IPX wirespeed Routing, mit Class-of-Service und zugehörigen Datenstrom-Analysen bis auf Layer 7 völlig neue Dimensionen, unterstützt von Bandbreiten-management und der Implementierung aller benötigten Layer 2/ 3 Features. Die neue Produktfamilie ermöglicht ein konsequent performantes Netzwerkdesign von der Desktop-Lösung bis zum Core. AT-SB4000-Familie Die Blade-4000-Familie ist als chassisbasierendes System für eine maximale Flexibilität mit verschiedensten Gigabit und Fast Ethernet Interfaces ausgelegt, mit voller Redundanz, Hot-swap Features und 48VDC Power Supply Option. Sie bietet Packet Switching Performance mit einer non-blocking Switchfabric, welche Layer 2 und Layer 3 IP/IPXDatenströme mit Wire Speed auf allen Ports liefert. Die AT-SB4000 Familie besitzt QoS- Mechanismen, welche ein Traffic Shaping mit flexiblen ServiceLevel Agreements der Datenströme bietet, um Datendurchsatz, Bandbreiten-Limitierung und Latency in feinen Abstufungen für die gewünschten Applikationen zu definieren. Service und Support Die Gesamtlösung von Allied Telesyn wird durch ein umfangreiches Angebot an Serviceleistungen durch unser Net.Cover-Paket und Trainings- und Zertifizierungsprogramme für einen erfolgreichen Einsatz abgerundet. Die Produkte der SwitchBlade-Familie werden ausschließlich über autorisierte Partner vertrieben. Auf der exponet hatte Allied Telesyn für Fachhandelspartner ein neues Programm vorgestellt, dessen Herzstück ein eigenes Partner-Portal ist, das Zugang zu umfangreichen Vertriebs- und Marketingtools bietet. Interessierte Reseller haben die Möglichkeit, sich registrieren zu lassen, als Business- und Solutions-Partner. www.alliedtelesyn.de Weitere Informationen und eine ausführliche Switchblade-Broschüre können Sie kostenlos unter [email protected] anfordern. Sie erreichen das Business Team Access Hardware telefonisch unter 02631 / 983-462. 12 Ausgabe 12/2002 8 ALLIED TELESYN NOVELL Extended Ethernet Identitätsmanagement VDSL über Telefonkabel Allied Telesyn hat mit den VDSL Konvertern AT-MC601/602 ihre ersten Konverter für Extended Ethernet auf den Markt gebracht. Die neue VDSL-Technologie für Ethernet-Kommunikation nutzt bestehende Standard-Telefonverkabelung. A Aus dem europäischem Forschungsund Entwicklungszentrum der Allied Telesyn in Mailand kommen zwei brandneue Produkte, die EthernetVerbindungen über Voice-Grade-Leitungen ermöglichen. Die Extended Ethernet-Reihe bringt mit AT-MC601 und AT-MC602 zwei VDSL-Konverter auf den Markt, die als Subscriberund Provider-Paar betrieben werden. Damit können Ethernet-Segmente auf Standard-Telefonleitungen mit einer maximalen Distanz von 1.200 m und einer Datenrate von bis zu 25 Mbps betrieben werden. Die Geräte können sowohl stand-alone als auch in einer Mehrfachkonfiguration in einem ATMCR12 Medienkonverter-Chassis von Allied Telesyn betrieben werden. Dieses kann für Telekommunikationsanwendungen wahlweise auch mit 48 Volt Gleichstrom versorgt werden. Beidseitig AT-MC601 und AT-MC602 sind Konverter, die jeweils auf der Subscriber- bzw. Provider-Seite verwendet werden. Sie sind mit einem 10/ 100TX LAN-Anschluß, einem Tele- fonanschluß und einer VDSL-/Zweidraht-Schnittstelle ausgestattet. Über die Telefonansc hlüsse mit internem Splitter kann die vorhandene Telefoninfrastruktur sowohl analog als auch mit ISDN (UK0) weiterhin parallel zu der Datenkommunikation genutzt werden. Die Übertragungsrate kann automatisch ermittelt oder auch manuell limitiert werden, wenn die VDSL-Konverter über ein Terminal an der Provider-Seite mit Fernzugriff auf die Subscriber-Seite konfiguriert werden. High-Speed-Internet Je nach Qualität der bestehenden Verkabelung können Datenübertragungsraten von über 11 Mbps bei symmetrischem Betrieb (Downstream = Upstream) erreicht werden, bei asymmetrischem Betrieb sogar bis zu 25 Mbps. Mit solchen Übertragungsraten können bandbreitenintensive Anwendungen wie Video-Streaming oder Datenbanktransaktionen über vorhandene Infrastrukturen betrieben werden. Die MC600-Extender sind bereits erfolgreich eingesetzt worden, um High-Speed-Internet-Angebote und Video-On-Demand auf Hotelzimmern anzubieten, wobei die bereits bestehende Telefonverkabelung verwendet wurde. www.alliedtelesyn.de 12 Ausgabe 12/2002 9 Novell Nsure für Zugriffssicherung Unter dem Markennamen Novell Nsure kommt eine Produktfamilie für das sichere Management von Identitäten auf den Markt. Die Lösungen ermöglichen es, die Verwaltung von Anwenderidentitäten zu vereinfachen und über unterschiedliche Unternehmensanwendungen hinweg zu vereinheitlichen. U Um Sicherheitsrichtlinien im gesamten Unternehmen einheitlich anwenden zu können, umfassen die NovellNsure-Lösungen sowohl Beratungsleistungen als auch eine breite Palette an Produkten für das sichere Identitätsmanagement. Dazu gehören u.a. Authentifizierung, Zugriffskontrolle, Provisioning, Verzeichnisdienste sowie das Registrieren und Anmelden von Anwendern. Dabei sind die Nsure-Lösungen durchaus nicht auf eine reine NovellInfrastruktur angewiesen, denn Novell unterstützt die Integration einer Vielzahl von Produkten anderer Anbieter. Die Novell-Nsure-Lösungen vereinheitlichen das Management von Anwenderidentitäten über unterschiedliche Unternehmensanwendungen und Plattformen hinweg. Sicherheitsrichtlinien werden im gesamten Unternehmen einheitlich angewendet. Über Single Sign-on-Zugriff zu Applikationen und IT-Plattformen können Ressourcen dabei auch externen Anwendern sicher zur Verfügung gestellt werden. Novell-Nsure-Lösungen sind ab sofort verfügbar. Weitere Informationen erhalten Sie unter www.novell.com/solutions/ nsure. n NEWS NETGEAR HEWLETT PACKARD Dualband Wireless Dual Personality PC-Karte im 2,4 GHzund 5 GHz-Band Netgear hat die Verfügbarkeit einer Wireless Dualband PC-Karte WAB 501 bekanntgegeben. Die WAB501 ermöglicht Funknetzverbindungen im 2,4 GHz-Funkband nach 802.11b und dem in Deutschland erst kürzlich durch die RegTP frei gegebenen 5 GHz-Band nach 802.11a. Neue HP Procurve Gigabit Switches Hewlett Packard hat vier neue Gigabit Switches für die Procurve Serie herausgebracht. Sogenannte Dual Personality Modulslots sind für Gigabit Speed auf Kupfer- oder Glasfaserkabel ausgelegt. Hohe Performance und Verfügbarkeit, lebenslange Garantie und ein ausgezeichnetes Preis-Leistungs-Verhältnis stehen für den Erfolg der HP Procurve-Familie. NEWS S Schon bald werden WLAN-Anwender den schnelleren 802.11a-Standard nutzen können. Mit der WAB501 kündugt Netgear eine Wireless-Lösung an, die vorwärts- und rückwärtskompatibel zu sämtlichen IEEE-Standards im 2,4 GHz- und 5 GHz-Funkband ist. Die Wireless Dualband PC-Karte arbeitet automatisch auf beiden Frequenzbändern, wobei der Funkverkehr wahlweise auch auf jeweils eines begrenzt werden kann. Die PC-Karte ist bereits in den USA erhältlich und wird Netgear zufolge für Deutschland, Österreich und die Schweiz noch gegen Ende des ersten Quartals 2003 zu erwarten sein. Die WAB501 ist konsequent auf die drahtlose Zukunft eingestellt, denn sie ist auch kompatibel zu den geplanten Funkstandards im 2,4 GHz-Band nach 802.11g. Mit der Wireless-Dualband-PC-Karte WAB501 kann der Nutzer das weit verbreitete 2,4 GHzBand nutzen, um beispielsweise auf die allerorten aufkommenden Hotspots zuzugreifen und darüber hinaus seine Datenübertragungen mit dem schnelleren 802.11a-Standard im 5 GHz-Funkband abzuwickeln. Der Netgear-LAN-Manager unterstützt hierbei das Anlegen und Speichern verschiedener WLAN-Profile. WEPVerschlüsselung bis zu 152 Bit ist integriert. D Die beiden HP Procurves 2724 und 2708 kommen mit 8 bzw. 24 Ports auf den Markt. Sie sind vollständig mit 10/100/1000 Autosensing-Ports bestückt. Ohne Management und als standa-lone Switches arbeiten sie auf allen Ports mit Auto-MDIX. Die Backplane dieser Geräte beträgt 16 Gbps beim Procurve 2708 bzw. 48 Gbps beim 2724. Mit diesem hohen Durchsatz werden Flaschenhälse im Netzwerk schnell beseitigt. Gemanaged Der neue HP Procurve 2650, in einer Bauhöhe von nur 1 HE, ist ein günstiger, stackable Switch mit 48 autosensing 10/100 Ports. Zwei ”dual personality” Modulslots sind für den Anschluß von 10/100/1000 Gigabit über Kupfer oder für den Einsatz von Mini-GBICs zum Betrieb über Glasfaser-kabel geeignet, für eine Backplane von 13,6 Gbps. Neben den bekannten Layer-2-Eigenschaften ermöglicht dieser Switch aufgrund seiner Layer-3 Static Routes auch die VLAN-zu-VLAN-Kommunikation. Er adressiert bis zu 16 externe Rou- ten, inklusive einer Default Route. Für das Systemmanagement gehören die HP Top Tools zum Lieferumfang. Mini-GBICs Als Backbone-Gerät für Netzwerke mittlerer Größe präsentiert sich der stackable Procuve Switch 6108 mit einer Backplane von 16 Gbps. Das Layer-3-Gerät ist ein 8-Port Switch mit sechs 10/100/1000 autosensing Ports. Er ist ebenfalls mit zwei freien ”dual personality” Modulsteckplätzen für 10/100/1000-Ports oder Mini GBICs versehen, genau wie der 2650. Und er besitzt wie dieser eine Layer3Fähigkeit, um statische Routen abzubilden und die VLAN-Kommunikation umzusetzen. Mit dem entsprechenden Mini-GBIC lassen sich Entfernungen bis 70 km überbrücken. Management mit HP Top Tools ist inbegriffen. Für die neuen Procurve bietet HP drei Gigabit Mini-GBICs nach IEEE 802.3z an, als SX- und LX-LCVar iante bis 220 bzw. 550 Meter (Multimode), sowie für Reichweiten bis 70 km als LH-LC für Singlemode 9µ-Kabel. 12 Ausgabe 12/2002 10 CISCO CISCO Security Performance Router Engine Catalyst 6500er für durchgängiges Switching Cisco Systems bringt mit dem Catalyst 6503 ein kompaktes, modulares Switching-Chassis mit drei Einschüben auf den Markt. Dazu stellt Cisco eine neue 48-Port 10/100 Line Card mit optionalem Zusatzmodul für Inline-Power-Stromversorgung vor. Vier neue Security-Module für Firewall, Intrusion Detection, VPN-Verschlüsselung und SSL-Terminierung in der Catalyst 6500er Serie erhöhen die Netzwerk-Sicherheit. K Konzerne und mittelständische Unternehmen können mit den neuen Switches und Modulen ihre Netzwerk-Infrastruktur kosteneffektiv für neue Anwendungen wie VoIP im Etagenbereich auslegen, für die Anbindung von WLANs oder integrierte Netzwerksicherheit innerhalb des gesamten Unternehmens einsetzen. Power over Ethernet Der neue 6503 erweitert das Portfolio der Catalyst 6500er, die nun drei, sechs, neun und 13 Slots aufweisen. Gerade mittelständische Unternehmen profitieren vom Catalyst 6503, denn sie können damit die gleichen Leistungsmerkmale wie Konzerne nutzen. Die 48-Port 10/100-EthernetModule für die 6500er Catalyst Switches ermöglichen eine höhere Verfügbarkeit von konvergenten Netzen. Ein Zusatzmodul für die Line Card unterstützt die Stromversorgung gemäß dem IEEE 802.3af Inline-Power-Standard. Die Switches liefern damit integriertes Power-over-Ethernet für den Einsatz von Wireless Access Points und für IP-Telefone. Denn die Catalyst 6500er Serie ist ein wesentlicher Bestandteil der Cisco Architecture for Voice, Video und Integrated Data. Sie unterstützt das Catalyst Operating System (CatOS) sowie das IOS (Internetworking Operating System). Sicherheitsmodule Mit vier neuen Sicherheitsmodulen können Konzerne Firewall, IntrusionDetection und VPN-Funktionen integrieren, ohne die Performance des Netzwerks zu beeinflussen. Durch die Module, die in die Catalyst 6500er Serie eingeschoben werden, entfallen externe und heterogene Lösungen, die oft ein Redesign des Netzwerks mit erhöhtem Kostenaufwand verursachen. Die Cisco Catalyst 6503 und 6506 Firewall Security Systeme liefern eine Firewall-Performance von bis zu 5 Gbit/s in einem Chassis. Die höhere Performance und Portdichte geht mit niedrigen Administrationskosten und einer hohen Redundanz einher. Die Cisco Catalyst 6503 und 6506 IPSec VPN Systeme liefern eine VPN-Performance von 1.9 Gbit/s in einem Gehäuse mit drei und sechs modularen Einschüben. Der Catalyst 6503, die neuen Module und Switchbasierten Security-Systeme sind ab sofort erhältlich. 12 Ausgabe 12/2002 11 Performance für 7000er Cisco Systems stellt mit der Network Processing Engine NPE-G1 die Erweiterung für die Mid-Range-RouterSerie Cisco 7200 vor. Konzerne und Service Provider können mit der neuen Engine die Verarbeitungsgeschwindigkeit ihrer 7200er Router mehr als verdoppeln. D Die Network Processing Engine NPEG1 verarbeitet bis zu einer Million Pakete pro Sekunde. Unternehmen und Service Provider, die die Router der 7200er Serie verwenden, können die NPE G1 in jedem 7200 VXR-Chassis einsetzen und damit die Performance für Applikationen und Services verdoppeln. Der Cisco 7200er Router ist mit weltweit 250.000 Produkten eines der am häufigsten eingesetzten Geräte. Die neue Engine ist für den Einsatz in IP-Netzwerken mit Multiprotocol Label Switching (MP LS) geeignet. Service Provider können ihren Kunden damit hochwertige Services wie MPLS VPN mit Quality of Service und Managed Security anbieten. Die Engine ermöglicht dabei eine deutlich höhere Leistung für Sicherheits-Services, Bandbreite und Traffic Management, aber auch für konvergente Sprach-, Video- und Datenübertragung, sowie IPv6. Das Gerät bietet drei eingebaute 10/100/ 1000-Mbit/s-Ethernetports zur schnellen LAN-Anbindung. Gleichzeitig stellte Cisco neue SoftwareFunktionen für die Router der 7300er Serie zur Verfügung. Dazu gehören MPLS, MPLS VPNs und NAT (Network Address Translation). Die 7300er Serie wurde für den Einsatz von Anwendungen entwickelt, die eine hohe Routing-Performance mit optischer Konnektivität im MultiGigabit-Bereich benötigen. n NEWS CISCO APC Nachfolger Luft rein Catalyst 3700 NetworkAIR fürs Rack Die Cisco Application Router aus der aktuellen Serie 3700 lösen seit November den 3640 Router ab. Die neuen Produkte Cisco 3725 und 3745 bieten eine zwei- bis viermal größere multiple T1/E1 Performance. Die American Power Conversion erweitert mit NetworkAIR RM ihre Produktpalette um einen Belüftungseinsatz für Rack-Anwendungen. Neue Air Distribution Units bringen Luft ins Gehäuse und optimieren die Kühlung in Rackmounts. F Für WAN Access, Voice Gateway- und Dial-in-Applikationen ist die modulare Cisco 3700 Serie bestens ausgestattet. Die beiden neuen Geräte 3725 und 3745 besitzen zwei bzw. vier Netzwerk-Module sowie drei WANInterface-Cards. Sie unterstützen die Advanced-Integration-Module (AIMs) der Cisco Familien 1700, 2600 und 3600. Außerdem verfügen die beiden neuen Geräte 3725 und 3745 über ein bzw. zwei größere Modul-Slots für die neuen HighDensity-Services-Module, für höhere Portdichte und Performance. NEWS Inline Power Neu bei der Cisco 3700 Familie ist auch die Unterstützung der optionalen Inline Power Module. Diese Option bietet die Möglichkeit, über die 10/100-Module IP-Telefone oder die Wireless LAN-Geräte der Cisco Aironet-Reihe mit Energie über das Ethernet-Kabel zu versorgen. 32 MB Compact Flash und 128 MD DRAM gehören zur Standardausstattung. Die Vielzahl von Modulen sorgt für eine umfassende Unterstützung aller WANProtokolle und -Medien, wie LL, FR, ISDN, X.25, ATM, T1 / E1, xDSL, T3 / E3 und HSSI. R Rack-basierte Hardware bietet immer höhere Rechenleistung bei geringstem Platzbedarf. Bei solcher Leistungsdichte geht es heiß her, mit der Folge einer stärkeren Erwärmung des gesamten Equipments, besonders im oberen Bereich der Gehäuse. Die adäquate Luftkühlung ist im Datencenter bekanntermaßen eine kleine technologische Herausforderung. APC bietet mit der NetworkAIR RM Air Distribution nun eine ausgeklügelte Lösung, die für Wind sorgt. Gelüftet Traditionelle Doppelboden-Kühlsysteme sorgen lediglich für eine Umströmung des eingebauten Equipments. Die im Rack installierten Systeme saugen die Luft aber ausschließlich von vorne ein, so daß eine ausreichende Kühlung nicht unbedingt garantiert ist. APCs Network AIR Air Distribution Unit setzt genau dort an und ergänzt die bestehende Klimaanlage. Die Luft wird von unten angesaugt und an die Vorderseite des installierten Equipments geleitet. So werden alle Anlagen mit gekühlter Luft versorgt. Auch bei Systemen ohne Doppelboden kann eine optimale Kühlung sichergestellt werden. Darüber hinaus verhindert die erhöhte Luftzufuhr durch die Doppelventilatoren des Systems das Entstehen der genannten Hot Spots, da die Lüftung auch in den druckschwachen oberen Bereichen verbessert wird. Justierbar Die NetworkAIR Distribution Unit wird auf Gleitschienen im 19” Rack installiert. Durch die justierbare Einbautiefe wird der Luftauslaß optimal an die Verhältnisse im Rack angepaßt. Die Air Distribution Unit wurde für die redundante, skalierbare Datencenter Infrastrukturlösung PowerStru Xure entwickelt. Doch NetworkAIR RM ist auch für die APC Netshelter Rack-Serie ebenso geeignet wie für alle anderen, unten offenen 19” EIA-310-D Gehäuse. Die NetworkAIR Air Distribution Unit ist ab über den APC-Fachhandel zu beziehen. 12 Ausgabe 12/2002 12 APC NETGEAR Langläufer 8 Port Gigabit Smart-UPS 5000 Rack-Modell Mit der Smart-UPS 5000 RMXL bietet APC eine USV-Anlage in RackmountVersion, die wohl eine der kompaktesten Formen unter den 5 KVA-USV-Systemen aufweist. Dabei wurde sie für extra lange Laufzeiten konzipiert. GS108 mit Power Netgear hat mit dem GS108 ihre Gigabit-Kupfer Switch-Familie um ein 8-Port-Gerät erweitert. Mit Auto-Uplink und Autosensing für 10/100/1000 MBit/s ausgestattet, bringt es die ethernetfähigen Rechner der Workgroup problemlos zusammen und ermöglicht, auch große Datenmengen in kürzester Zeit zu bewegen. D Die neue line-interaktive Smart-UPS ist ein Rack-Modell mit 5 HE Platzbedarf. Sie wurde speziell für die Absicherung von Rackmount-Servern konzipiert, wenn etwa für das Internetworking eine große Autonomiezeit notwendig ist. Die Überbrückungszeit der Smart-UPS 5000 RMXL beträgt bei Vollast 5 Minuten und kann bei Bedarf mit bis zu 10 zusätzlichen Batteriepacks von je 3 HE auf 4 Stunden erweitert werden. Um allen Ärger zu vermeiden, wenn kritische Netzwerkkomponenten nicht mehr verfügbar sind, empfiehlt sich die Smart-UPS 5000 RMXL von APC damit als eine professionelle Lösung für die Prävention von Stromproblemen. Sie schützt die Systeme nicht nur beim Ausfall des Netzstromes, sondern auch bei Unterspannung, Spannungsspitzen oder Interferenzen. Somit kann eine Verfügbarkeit von 99,99 % erreicht werden. Power Management Die Smart-UPS 5000 RMXL verfügt über ein intelligentes Batterie-Management, automatische Smart Boost und –Trim-Spannungsregulierung sowie über einen reinen sinusförmi- gen Spannungsausgang. Die im Lieferumfang enthaltene Web/SNMPManagementkarte ermöglicht eine mühelose Überwachung der USVAnlage über das Netzwerk oder Internet. Über den 10/100TX autosensing Anschluß kann die Steuerung problemlos in das Management integriert werden und über die preisgekrönte Powerchute Shutdown-Software von jedem Standort aus vorgenommen werden, beispielsweise zum Shutdown der Server oder Desktops bei Erreichen der Autonomiezeit. Die APC Software PowerChute plus ist für alle gängigen Betriebssysteme wie Win2000 und NT, NetWare, Unix oder Linux geeignet. Sie bietet automatischen Shutdown, USV-Test und Statusüberwachung, USV-Fernmanagement via Simple Network Management Protokoll (SNMP), DMI und Web-Browser sowie Umgebungsüberwachung. Für die Smart-UPS 5000 RMXL bietet APC eine Werksgarantie von 2 Jahren. Diese beinhaltet einen Vorabaustausch von Batterien, Teilen oder der ganzen Einheit nach dem Ermessen von APC. Diese Werksgarantie kann bei Bedarf durch den Erwerb von Garantieerweiterungen ausgedehnt bzw. auf Vor-Ort Service upgegraded werden. 12 Ausgabe 12/2002 13 D Der GS108 ist bis zu 2000 MBit/s pro Port im Vollduplexbetrieb ausgelegt. Als HochgeschwindigkeitsSwitch für Netzwerke und Workgroups konzipiert, stellt er sich die höchste Anforder ungen an Geschwindigkeit und Kapazität. In Kombination mit der Gigabit-Netzwerkkarte GA622T für Server und der GA302T für Clients offeriert Netgear damit eine durchgängige Lösung für Highspeed-Netzwerke in Unternehmen und Workgroups, wo hohes Datenaufkommen an Grafik-, Ton- oder Video-Informationen besteht. Doch auch im privaten Nischenbereich der Gamer und Gambler wird der GS108 wegen seines erschwinglichen Preises wohl zum Einsatz kommen, zumal das platzsparende Design - neben der Möglichkeit zur Wandmontage auch auf dem Schreibtisch wenig Raum beansprucht. Der Switch bringt eine dedizierte Bandbreite bis 2 GBit/s pro Port. Datenflußsteuerung nach IEEE 803.x vermeidet Paketverluste. Die Auto-UplinkFunktion macht den Einsatz spezieller Crossover-Kabel überflüssig und erkennt automatisch die Art der Verbindung zu einem PC oder einem Switch, Hub oder Router. n NEWS ENTERASYS NETWORKS ENTERASYS NETWORKS From Site-to-Site Neue Optic XSR-1850 Security Router für Remote VPN X-Pedition ER 16 mit POS/SDH Der neue Enterasys XSR-1850 Security Router wurde für Zweigstellen oder Zentralen von kleineren und mittleren Unternehmen entworfen, die Performance, Sicherheit und Verfügbarkeit benötigen. Zu einem attraktiven Preis/ Leistungsverhältnis bietet der XSR-1850 mit dem neuen XSR Release 3.0 leistungsstarkes IP Routing und eine große Auswahl an WAN-Interfaces für das Site-to-Site Networking mit Remote Access VPN. M Mit der Release 3.0 des Enterasys Security Router (XSR) und optionalen VPN-Funktionen kommen zahlreiche neue Sicherheits-Funktionen in die XSR Serie. Standortverbindungen mit Benutzerauthentifizierung über VPN, Fernzugriff und Extranetoptionen machen den XSR1850 Security Router zu einer attraktiven Lösung für Unternehmenskunden. NEWS XSR Release 3.0 Das neue Release 3.0 und die VPNOptionen umfaßt u.a. den VPN-Zugriff über 50 Tunnel gleichzeitig, aufrüstbar auf 200 User, bei 100 Mbps Leistung durch eingebaute VPN Hardware-Beschleuniger. Standardbasierte Technologien sorgen für eine durchgängige Interoperabilität über mehrere Betriebssysteme hinweg, mit Aurorean, Cisco IOS, Cisco 3000 VPN Concentrator oder Nortel Contivity, die Enterasys zufolge in ausgiebigen Tests erfolgreich nachgewiesen wurde. Es besteht Support für Windows XP und Windows 2000 Client. Für die WAN-Anbindung gehören ISDN BRI (ST-Interface), Network Address Translation / NAPT, DHCP und Multi-Link PPP zum Standardrepertoir. Wähl-Backup-Funktion, Dial und Bandwidth on Demand kommen hinzu, ebenso PPP over Ethernet für Internet-Verbindungen über xDSL und Kabel. Außerdem wurden verbesserte ManagementFunktionen für CLI und SNMP Support integriert. Security Router 1805 Enterasys präsentiert die XSR Security Router 1805 bewußt als preiswertere Alternative im Routermarkt, sowohl in der Grundversion mit Release 3.0 IP Routing bei 37k PPS als auch bei den Zusatzoptionen für die VPN-Funktionen. Umfassendes IP-Routing und VPN-Schutzfunktionen mit dem eingebautem Hardware-Beschleuniger bei 100 mbps Leistung werden zu einem ausgezeichneten Preis-Leistungsverhältnis angeboten. Die Enterasys XSR Security Router bieten ausreichend Kapazität für bis zu 8 T1/E1 WAN Schnittstellen im gleichen Gehäuse und 2 eingebaute 10/100 LAN Schnittstellen. Enterasys Kunden können ihren XSR Security Router über ein Firmware-Upgrade auf Release 3.0 aufrüsten. Als Ergänzung zum Router Release 3.0 sind auch die VPN-Optionen aktuell verfügbar. Enterasys hat ihren leistungsstärksten Router, den X-Pedition ER 16, erneut aufgerüstet. Neue Features steigern seine Fähigkeiten in Weitverkehrs- und optischen Netzen für die wachsenden Anforderungen im Multiservice-Networking. P POS/SDH-Lösungen dienen dazu, lokale Netzwerke mit leistungsstarken Metropolitan Area Networks oder optischen Netzwerken zu verbinden. Mit den neuen Modulen für den modularen Layer 3-7 X-Pedition Router ER 16 bietet Enterasys Unternehmenskunden POS/SDH in vier verschiedenen standardbasierten Verbindungsoptionen an, als Single bzw. Multimode Mode Fiber, für MTRJ bzw. für SC Interfaces. Damit umfaßt X-Pedition modernste Technologien für Gigabit und Fast Ethernet, für ATM/OC-3, WAN (HSSI und seriell) sowie FDDI. Als ein modularer Layer-3 Router mit 16 Slots bietet er höchste Kapazitäten und Leistungsfähigkeit, Hochverfügbarkeit und umfassende Application Services. Zu diesen gehören Daten-Priorisierung, Traffic Shaping und Multi-Layer Security sowie Application Load Balancing und Application Content Verification. Diese erweiterten Services sorgen für entscheidende Kontrolle von Unternehmens-Anwendungen wie Enterprise Ressource Plan-ning, SAP oder E-Commerce, wie Multimedia oder die Konvergenz von Sprache, Video und Daten. Die neuen POS/SDH Module erweitern dabei den ER 16 um die technischen Möglichkeiten des optischen Netzwerks und bieten Migrationsmöglichkeiten zu Hochleistungstechnologien. 12 Ausgabe 12/2002 14 ENTERASYS NETWORKS NOVELL Migration Open Outsource NetSight Atlas MySQL wird NetWare Standard-Datenbank Enterasys Partnern bietet sich jetzt die Möglichkeit zur Migration von der alten Managementsoftware Netsight Elementmanager bzw. vom Netsight Topologie-Manager hin zur neuen, allumfassenden Managementsoftware Netsight-Atlas. Novell wird künftig eine kommerzielle Version der Datenbank MySQL zusammen mit NetWare 6 und kommenden NetWare-Versionen ausliefern. Hierauf hat sich das Unternehmen mit dem schwedischen Anbieter MySQL AB geeinigt. N NetSight Atlas ist die neue Managementplattform von Enterasys Networks, deren Komponenten darauf abzielen, die Arbeitsabläufe in Unternehmen zu optimieren. Dazu gehören Discovery, Event-Management, Event- und Alarm-Protokollierung, Device Tree, Bildschirmmasken, Graphing und VLAN-Management. NetSight Atlas ermöglicht die Konfiguration und die Verwaltung von mehreren hundert Geräten gleichzeitig mit nur wenigen Mausklicks. Plug-in-Module Durch den Einsatz verschiedener Plug-in-Module kann das NetSight Atlas Management-System bedarfsgerecht erweitert werden. Die Plugins setzen auf Funktionen auf, welche die Atlas-Applikation bereits zur Verfügung stellt. Zu den Plug-in-Applikationen gehören der NetSight Atlas Inventory Manager, der NetSight Atlas Policy Manager und der NetSight Atlas Access Control List Manager. Mit Hilfe der Plug-in-Module sind die Netzwerk-Administratoren in der Lage, die NetSight-Lösung entsprechend der unternehmensspezifischen Anforderungen anzupassen, und so in vollem Umfang von den Funktionalitäten der Enterasys Hardware zu profitieren. NetSight Atlas ist gewissermaßen die Befehls- und Kontrollzentrale, von der die NetSight Management-Applikationen gestartet werden. Durch die Bank M MySQL ist ein leistungsfähiges relationales Datenbank-Managementsystem, das insbesondere für Web- und Unternehmensapplikationen eingesetzt wird. Es wird normalerweise als Open Source Lizenz vertrieben. Novell liefert jedoch zusammen mit NetWare eine kommerzielle Version von MySQL aus, deren Anwenderzahl nicht begrenzt ist. Damit unterliegen Entwickler beim Implementieren und Vertrieb von MySQL-Applikationen für NetWare nicht den Open-Source-Bestimmungen der GPL. Denn der Quellcode von MySQL-Anwendungen, die unter der GPL-Lizenz entwickelt werden, müßte öffentlich zur Verfügung gestellt werden, weil Open-Source Code von jedem eingesehen, wiederverwendet und modifiziert werden darf. Durch das kommerzielle Lizenzabkommen unterliegen Anwender von MySQL for NetWare diesenVerpflichtungen. nicht 12 Ausgabe 12/2002 15 Mit mehr als vier Millionen Anwendern weltweit ist MySQL eine bewährte Lösung, die auch die Kosten vieler Datenbank-Installationen senken kann. Novell-Kunden erhalten mit MySQL for NetWare, Apache, PHP und Perl eine leistungsstarke Palette von Entwicklungswerkzeugen für NetWare. Außerdem können sie zusätzlich Tausende von Applikationen auf NetWare-6-Servern betreiben, die ursprünglich für andere Plattformen entwickelt wurden. MySQL for NetWare 6 ist ab sofort für Beta-Tests verfügbar und wird ab Dezember 2002 für NetWare-6-Kunden kostenlos erhältlich sein. Zusammen mit NetWare wird MySQL erst in der nächsten Version ausgeliefert, die für das erste Halbjahr 2003 angekündigt ist. Die öffentliche Beta-Version sowie Informationen stehen zum Down load bereit: http://deve loper.novell.com/ndk/ leaded ge.htm. n NEWS Teamworking Multimedien-Messaging:Tobit Software wird Anfang Dezember 2002 mit der Auslieferung ihrer neuen David Produktgeneration beginnen. Kern der Entwicklung von David XL für die Serverbetriebssysteme von Novell und Microsoft ist die Integration von Technologien, die dem Anwender ganz neue Funktionen bieten und das Arbeiten im Unternehmen rationeller gestalten. Tobit hatte in den drei Jahren seit dem letzten Major Release intensiv mit der Weiterentwicklung eines Messaging Produkts beschäftigt, das den Nachrichtenaustausch beschleunigt und die Büroarbeit, insbesondere in Teams, vereinfacht. Besonderes Augenmerk lag auf dem anwenderfreundlichen Umgang mit den einzelnen Medien. Personalisierte Fax- und E-MailRundsendungen direkt aus dem Tobit InfoCenter heraus oder auch das Bearbeiten von Fax- und Sprachnachrichten wurden stark vereinfacht. Aus gruppenspezifischen Strukturen heraus wird die personenübergreifende Planung von Terminen und gemeinsamen Aufgaben im Team möglich. Für unterschiedliche Geräte und Funktionen verfügt David XL über verschiedene InfoCenter Arten, mit angepaßten Benutzeroberflächen für PCs, Notebooks, TV-Geräte, das Telefon und den PDA. Für Updates von Vorgängerversion wird es spezielle Angebote geben, für aktuelle Versionen, die nach dem 1. Juli 2002 installiert wurden, wie gewohnt kostenlos. NEWS Linux Welt Auf Mainframe gesetzt:Computer Associates hat auf der LinuxWorld 2002 neue Produkte vorgestellte, die Linux auf dem Mainframe unterstützen. Darunter sind Unicenter Asset Management zur zentralen Inventarisierung der Hard- und Software-Systeme, Unicenter Software Delivery zur automatisierten Software-Verteilung und BrightStor Enterprise Backup als hochperformante Datensicherungslösung. Die Linux-Stabilität mit den Tugenden des Mainframe zu kombinieren, ist vielerorts das Ansinnen bei Modernisierungen von IT-Infrastrukturen in Großunternehmen. Denn Linux erschließt als einheitliches Betriebssystem für Anwendungen enorme Rationalisierungspotentiale über alle Plattformen hinweg, vom PDA bis zum Großrechner. Daneben bildet das Mainframe mit seiner hohen Zuverlässigkeit und Performance die ideale Betriebsplattform. Vor diesem Hintergrund hat Computer Associates ihre Erfahrung mit dem Enterprise Management auf die LinuxWelt übertragen und dort bereits ihre Management-Produkte BrightStor, eTrust und Unicenter verfügbar gemacht. Das gilt nicht nur für die wichtigsten Linux-Distributionen wie Caldera, Red Hat, SuSE und TurboLinux, sondern auch für die gerade ins Leben gerufene Initiati- ve United Linux. Dabei werden nicht nur die unterschiedlichen Hardware-Plattformen für Linux berücksichtigt, sondern auch für die Mainframes der zSeries von IBM und ihre Vorläufer, die S/390-Systeme. Auch AIX Rollenbasierte Administration: Novell hat die neue Version 8.7 von Novell eDirectory auf den Markt gebracht. Sie unterstützt neben NetWare, Windows NT/2000, Linux und Solaris erstmals auch IBMs BetriebssystemAIX. Neue Funktionen für die rollenbasierte Administration sowie Novell iManager sind hinzugekommen, und eine Reihe von Verbesserungen. Novell startete parallel mit der Einführung der neuen Version eine Marketingkampagne für die Migration auf eDirectory. Anwender von Sun ONE/iPlanet Directory Server erhalten vorübergehend im Rahmen des Novell Lizenzkundenprogramms (VLA, CLA, MLA) kostenlos eine 250.000 Anwender-Lizenz von Novell eDirectory 8.7 sowie eine 25.000Anwender-Lizenz des Novell DirX ML-Treibers für LDAP. Die Kombination aus eDirectory und DirXML ermöglicht es, Datenbestände aus dem Sun ONE/iPlanet Directory Server weiter zu nutzen, wenn Novell eDirectory eingeführt wird. Die Version 8.7 ist ab sofort im Novell Fachhandel erhältlich. Blue Dragon Intrusion Detection auf Tivoli:IBM integriert Enterasys´ Intrusion Detection System und hat dazu seinen Tivoli Risk Manager für das IDS Dragon zertifiziert. Durch die IBM-Zertifizierung wird Dragon von einer der führenden, plattformübergreifenden Sicherheits- und Systemmanagement-Lösungen unterstützt. Tivoli Risk Manager wird insbesondere in Großunternehmen eingesetzt. Da Dragon heterogene Netzwerke jeglicher Größenordnung nach innen und außen absichert, entsteht aus der Kombination beider Lösungen eine höchstmögliche Sicherheit für Unternehmensnetzwerke größeren Kalibers. Die Interoperabilität mit Dragon steigert die Abwehrfähigkeit des Tivoli Risk Manager, weil nun viele im Sicherheitsmanagement anfallenden Aufgaben automatisch abgewickelt werden. Zudem kann sich das Sicherheitssystem selbst besser vor Angriffen schützen. Das Dragon Intrusion Detection System ist ein host- und netzwerkbasiertes IDS, das zugleich ein reichhaltiges Set an Administrations- und Event-Management Tools bietet. Die Produktlinie Dragon umfaßt Dragon Network Sensor, Dragon Host Sensor, Dragon Policy Manager sowie Dragon Security Information Manager. Enterasys Dragon ist eine Kombination aus Pattern Matching, Protokoll-Analyse und Spürsystem, die auch Angriffe innerhalb der IT-Infrastruktur entdeckt. Ticker 12 Ausgabe 12/2002 16 wesentlich kostengünstigere Verbindungen mit dynamischer Adresse etwa über Flatrate genutzt werden, bei Bandbreiten von 64 kbit/s bis 4 Mbit/s. Eine Skalierbarkeit der VPN-Lösung wird durch Lizenzstaffelung ermöglicht. Dabei kann die Anzahl erreichbarer VPN-Gegenstellen durch den Erwerb größerer VPNOptionen erhöht werden. Elfer Office für Information Worker: Microsoft hat die erste Betaversion der nächsten Version von Microsoft Office angekündigt. Das neue Produkt trägt den Codenamen Office 11. Es soll die Nutzung und die Integration von unternehmensweiten Daten erheblich vereinfachen. Dafür sorgt die Unterstützung der standardbasierten Extensible Markup Language XML, mit der unterschiedlichste Datenformate auch über heterogene Systeme, Plattformen und Anwendungen hinweg ausgetauscht werden können. Damit sollen Information Worker auf alle benötigten Daten zugreifen und in ihre gewohnte Office-Umgebung einbinden können. Diese Informationen sind derzeit oft noch in verschiedenen Formaten an den unterschiedlichsten Stellen im Unternehmen gespeichert, beispielsweise in CustomerRelationship-Datenbanken oder Buchhaltungssystemen. Mit Hilfe von XML soll es in Office 11 möglich sein, sogenannte Smart Documents zu entwickeln, über die auf verschiedenste Inhalte zugegriffen werden kann. Durch die Einbindung der SharePoint TeamServices will Microsoft gleichzeitig die Zusammenarbeit innerhalb eines Unternehmens unterstützen. Die gemeinsame Bearbeitung von Dokumenten und die Kommunikation über Webtechnologien erfolgt unter anderem im Document Workspace, der in den Aufgabenbereich der Office-Dokumente integriert wird und den Information Worker informiert, sobald eine Änderung vorgenommen wurde. Office 11 soll Mitte nächsten Jahres verfügbar sein. Architektur Unified Security: Nortel Networks setzt mit der Unified Security Architecture auf ein neues Framework für sichere Netzwerke, das ein umfassendes Konzept für den Inftrastrukturschutz beinhaltet. Es bezieht die Absicherung kompletter informationstechnologischer Infrastrukturen in konvergenten Netzen mit ein, angefangen bei den Telefonvermittlungsanlagen über Clients, Anwendungen und Netzknoten bis zu NetzmanagementSystemen, kurzum die gesamte Geschäftskommunikation in Form von Sprache und Daten. Mit ihrem Konzept der Unified Security Architecture stellt Nortel Networks der Anwenderschaft eine umfassende Auswahl an Technologien und Planungs-Tools zur Verfügung, mit denen Netzplaner und Betreiber fundierte Entscheidungen im Hinblick auf die von ihnen benötigten Anwendungen treffen können. Zu den neuen Produkte, die diese Architektur unterstützen zählen u.a. der Nortel Networks Alteon SSL 410 für SSL-Extranets und die Nortel Networks Contivity Secure IP Services Gateways für das Klartext-Routing. MOMagement Untertunnelt MetaFrame XP Management Pack: Citrix Systems stellt eine neue Management-Technologie vor. Das MetaFrame XP Management Pack für MOM, integriert die Überwachung von MetaFrame Servern in den Microsoft Operations Manager 2000. In Verbindung mit Citrix MetaFrame XP Provider für Microsoft WMI, einem Agenten auf MetaFrame XP Server, ermöglicht es das Management Pack für MOM, Leistung und Status von MetaFrame XP Serverfarmen und darunter liegender Microsoft Windows Server zu überwachen. Es bietet einen Überblick über die gesamte Serverfarm-Umgebung. Administratoren können damit ihre MetaFrame XP Server von der gleichen MOM-Konsole aus verwalten, von der sie auch ihr Windows-Netzwerk überwachen. Das neue Produkt bietet ein umfassendes Event Management, proaktive Überwachung, Alarmfunktionen und Reaktionsmöglichkeiten auf der Grundlage von Berichterstattung und Trend-Analysen für alle Serverfarmen. Administratoren können Regeln definieren, die spezielle Warnmeldungen aufgrund von WMI-Ereignissen automatisch generieren und per E-Mail oder Systemmeldung an externe Geräte senden. Dynamic VPN-Optionen:LANCOM Systems senkt die Preise für VPN-Optionen bei den Routern der Business- und Office-Serie. Mit der Dynamic VPN-Option profitieren vor allem Unternehmen mit kleineren Filialen und Teleworker von der Möglichkeit, sicher und kostengünstig über das Internet zu kommunizieren. Ob für die Kopplung von Unternehmensstandorten, die Anbindung von Partnerfirmen oder die Bereitstellung von Remote-Access-Services, bietet LANCOM Systems für die geschützte Datenübertragung mit IPSec-basierenden VPNs erstmalig die Möglichkeit, VPNs auch an ganz normalen, kostengünstigen Standard-Internetzugängen mit dynamischer IP Adresse zu betreiben. Vor dem Verbindungsaufbau können die jeweils aktuellen IP-Adressen der IPSec-Gateways ausgetauscht werden. Hierbei wird die durch den Provider dynamisch zugewiesene IP Adresse mit Hilfe des kostenlosen D-Kanals der ISDN-Verbindung an die entsprechende Gegenstelle übermittelt. Für Internet-basierende VPN-Verbindungen entfällt dadurch die Einschränkung fester und damit teurer IP-Adressen. So können vollkommen variabel auch 12 Ausgabe 12/2002 17 thema des monats ADRESSIERUNG Anberaumt Internet Protokoll v6 Von Detlev Reimann E Es ist eng geworden um IPv4. Im schwindenden Adreßum wächst die Zahl von Benutzern, Anwendungen, Geräten undDiensten. Daher wurde IPv6 anberaumt, um im expandierenden Internet Platz zu schaffen für Mechanismen, die den gestiegenen Anforderungen im Internetworking gerecht werden. Sie bieten Raum für neue Anwendungen und mobile Usergruppen. Quellen http://www.ietf.org; RFC http://www.cisco.com/ipv6 http://www.bt.com/ipv6 http://playground.sun.com/pub/ipng/html http;//www.ipv6forum.org.in http://www.6bone.net http://www.euro6ix.net Peter H. Salus, Big Book of IPv6 Addressing RFCs Kommission der Europäischen Gemeinschaften, Akitonsplan eEurope2002, Brüssel 2000 Glaser, Vogel, TCP/IP (Protokolle, Projektplanung, Realisierung), Pulheim 1990 12 Ausgabe 12/2002 18 Im Zentrum der aktuellen Diskussion um IPv6 steht die Lösung des Adressierungsproblems. Doch damit verbunden sind angrenzende Aufgabenstellungen. Diese ergeben sich nicht nur aus dem erweiterten Adreßraum, sondern auch aus dem Bemühen der Designer, die Protokolle transparenter und in ihrer Nutzung effektiver zu machen. IPv6 wird für die IT-Verantwortlichen und Administratoren neue Aufwendungen bei der Planung, der Implementierung und dem Betrieb von Netzwerken erfordern. Die Anpassung der Infrastrukturen schafft nicht nur Platz für die wachsende Zahl von Benutzern, Geräten und Diensten, sondern eröffnet gleichzeitig auch den Spielraum für neue, insbesondere mobile Anwendungen. Die Netzwerker werden sich schon sehr bald mit dem Thema und den zugehörigen Migrationsstrategien beschäftigen müssen. Erste Implementationen des Protokolls sind bereist verfügbar. Auch wenn in den Foren noch nicht alles ausdiskutiert ist, sind bereits wichtige Eckpfeiler für das kommende Internet-Protokoll gesetzt. Anforderungen Der aktuelle Adreßraum von IPv4 ist derzeit nicht in der Lage, den gewaltigen Anstieg von Benutzern, Endgeräten und deren geografische Verteilung aufzunehmen. Gegenwärtig wird der verfügbare Adreßraum schon sehr restriktiv verwaltet, so daß schätzungsweise erst ab 2005 gravierende Zuordnungsprobleme zu erwarten sind. Die Situation ist bereits schwierig. Seit ihrer Entwicklung wurden für die IPv4-Protokollfamilie immer wieder auch neue Techniken geschaffen, um Adressen durch Adreßübersetzungen unter Umständen noch einmal zu nutzen bzw. diese temporär bei Bedarf bereitzustellen. Bei temporären oder semipermanenten Verbindungen, wie sie beispielsweise mit Wähl-, Kabel- oder xDSL-Verbindungen her- gestellt werden, verhandeln die Services private oder temporäre IPAdressen. Doch neue große Netzwerke können von der IP-Registrierung langfristig nicht mehr bedient werden. Verfügbarkeit Ein besonderes Problem stellt auch die geografische Verteilung der aktuell verfügbaren IP-Adreßräume dar. So liegt der Zwang und die Initiative, die Situation zu ändern, vor allem in Asien und Europa. Die Europäische Union begegnet der Herausforderung mit dem Konzept eEurope2005, in der IPv6 eine wesentliche Rolle spielt. Denn durch die Vervielfachung des Adreßraumes mit IPv6 sollten genügend Adressen verfügbar werden, um zukünftig jedes netzwerkfähige Gerät anzuschließen und eindeutig adressieren zu können. Begriffe wie ”Mobile Networking”, ”Embedded Systems” oder ”Home Area Networks” markieren den Trend einer allerorten um sich greifenden Vernetzung. Und auch neue Techniken, wie der Einsatz von wireless IP-Telefonen, PDAs, die Einrichtung von Netzwerken innerhalb von Verkehrsmitteln, beanspruchen verfügbare Adreßbereiche. Gerade die geforderte Mobilität stellt dabei gehobene Bedarfsansprüche. Zunehmend werden Geräte benötigt, die nicht nur performant und preiswert sind, sondern im vierundzwanzigstündigen Gebrauch ”just in time” auch ”always on” sein müssen. Nur so ist gewährleistet, daß ihre Betreiber stets erreichbar sind. Vertraulichkeit Die Nutzung globaler, eindeutiger Adressen vereinfacht Mechanismen für die Ende-zu-Ende-Sicherheit, die Erreichbarkeit und die Funktionalität der Geräte und Anwendungen, auch wenn die Eindeutigkeit hinsichtlich ihres bisherigen Inhaltes umstritten ist. Unter dem Aspekt der Vertraulichkeit wird die Planung und 12 Ausgabe 12/2002 19 der Aufbau von Public Key Infrastructures ein wichtiges Design-Moment für das moderne Networking. Denn niemand wird in der Lage sein, für Millionen von Netzwerkgeräten über Preshared Keys Authentifizierungen und Verschlüsselungen zu konfigurieren. Dazu kommt ein funktionierender vertrauenswürdiger Zeitservice. Sicherheit Doch gerade der Aspekt der Sicherheit ist widersprüchlich, je nachdem ob man die Sicherheit des Anwenders, der Internet-Gemeinde oder die der Kommunikationsgesellschaft präferiert. Daher ist die aktuelle Diskussion um IPv6 so kontrovers wie intensiv. Einerseits wird zum Schutz des ”gläsernen Anwenders” nach neuen Möglichkeiten gesucht, Alternativen für die Adreßvergabe zu finden und die bisherigen Abläufe und Festlegungen zu ändern. So wird in den Gremien über den Einsatz von HashAlgorithmen nachgedacht (RFC 3041). Das mag gut für den Anwender im Internet sein, für Netzwerkadministratoren ist es ein Graus. Doch für Schnüffler autoritärer Obrigkeitsstaaten wie auch für demokratisch legitimierte Antiterror-Agenten ist eine so verstandene Datensicherheit des Anwenders eher ein unakzeptables Risiko einer wie auch immer definierten Staatssicherheit. Gerade deshalb spielen neben der Implementierung von IPv6 seine Sicherheitsmechanismen eine große Rolle. Und so wird andererseits eine aus der MAC-Adresse generierte Interface-ID in die Diskussion gebracht, die den User weltweit transparent und damit überwachbar macht. Ein Politikum ist IPv6 in jedem Fall also auch. Vorteile von IPv6 Doch wenden wir uns den technischen Feinheiten der anberaumten thema des monats IPv6-basierte Router-Plattform 1.023 VPN-Tunnel und Zukunftsoptionen Allied Telesyn stellt aktuell eine neue IPv6-basierte Router-Serie vor. Der ATAR725 und -AR745 sind für die Anbindung mittlerer und großer Unternehmen konzipiert und sollen Firmennetzwerke mit höherer Flexibilität, Skalierbarkeit und (Zukunfts-) Sicherheit ausstatten. IPv4 und IPv6 gleichzeitig Die meisten von Allied Telesyn entwickelten Layer3 Router und Switches unterstützen bereits IPv6, gleichzeitig mit IPv4 und falls notwendig sogar über dieselbe Schnittstelle. Die neue Router-Generation von Allied garantiert eine einfache Migration mit hohem Investitionsschutz, zumal wenn IPv6 die einzige Alternative für den dahingeschmolzenen Adreßraum sein wird. Zukunftsoptionen Auf den AT-AR725 und AT-AR745 Routern ist AlliedWare als Betriebssystem vorinstalliert, das die wichtigsten Multiprotokoll-Routingfunktionen beinhaltet. Optionen für IPv6, BGP-4 und IS-IS(OSI) bietet dazu das Advanced Package. Funktionen für gehobene Sicherheitsansprüche wie Stateful Inspection für Firewalls, DES und SMTP/HTTP Proxy, sind mit dem Security Package ebenfalls optional erhältlich. Die Router unterstützen eine eingebaute DES und 3DES 168-Bit-Verschlüsselung mit einer Übertragungsrate von mehr als 2 Mbps. In naher Zukunft können Technologien wie VoIP oder xDSL genutzt werden. Durch die Möglichkeit, bis zu 512MB RAM und 192MB Flash-Memory zu verwalten, werden Investitionen gewahrt und sichere, zukunftstaugliche Erweiterungen garantiert. Zugänge und Tunnel Durch die Router der AR700 Serie können bis zu 120 ISDN WAN-Zugänge gleichzeitig bereitgestellt und somit traditionelle RAS-Lösungen abgelöst werden. Die Modularität der AR700-Serie erlaubt eine nahezu beliebige Kombination von ISDN E1/S2M und BRI, synchronen und asynchronen Interfaces, Dial-up- und Leasedline-Funktionen sogar mit Frame-Relay-Unterstützung. AT-AR725 und AR745 bieten max. 1.023 externe VPN-Tunnel und eine extrem hohe Übertragungssicherheit zwischen Zweigstellenbüros, Home Offices und mobilen Mitarbeitern. Gerade auch für diese Zielgruppe wird IPv6 die künftig benötigte Adressierbarkeit sichern. Sicherheit im Blick Die neuen Router ermöglichen es, ereignisabhängige Abläufe und Reports zu definieren, deren Automatismen eine hohe Anpassungsfähigkeit und Sicherheit garantieren. Die in heutigen Netzwerken unverzichtbare Priorisierung von Datenverkehr wird im WAN-Umfeld durch die Allied Telesyn AR700-Familie mit Hilfe von Mechanismen wie RSVP und policybased Routing unterstützt. Redundanten Konzepten steht dank VRRP und im Grundgerät bereits enthaltenem OSPF nichts im Wege. Adreßfreiheiten zu. IPv6 wird vom Protokolldesign her um weitere Funktionen ergänzt und mit einem großen Adreßraum versehen sein. Da Einschränkungen wegfallen werden, ergeben sich für die Benutzer im Netz der Netze zusätzliche Möglichkeiten. Dazu gehören z.B. die mobile IP-Telephonie, Sicherheitsanforderungen von Anwendungen oder auch eine integrierte Autokonfiguration. Schon auf den ersten Blick lassen sich durch IPv6 die folgenden Vorteile erkennen. Durch den großen Adreßraum erhält jedes Endgerät eine eindeutige IP-Adresse. Das IPv6-Netzwerk ist über die Adreßbereiche hierarchisch aufgebaut und skalierbar. Jedes Netzwerkgerät ist adressierbar und bei Bedarf erreichbar. Hierarchisierung IPv6 besitzt einen primitiveren PaketHeader. Er soll insbesondere Wegeentscheidungen und die Verarbeitung der Informationen im Netzwerkgerät erleichtern. Somit wird insgesamt zur Leistungssteigerung beigetragen, obwohl mit einer 128 Bit großen Quell- und Zieladresse mehr Informationen übertragen werden. Die Planung von hierarchischen Adressierungsstrukturen hat in diesem Zusammenhang eine herausragende Bedeutung. Die Hierarchisierung ist durch IPv6 wesentlich besser und tiefer möglich (und notwendig). Dadurch werden Routing und Route Aggregation effizienter unterstützt. So wird die Infrastruktur anpassungsfähiger und die Einrichtung von Regeln effektiver. Außerdem sorgt IPv6 mit IPsec für eine erhöhte Netzwerksicherheit. Die Einführung von IPsec ist demzufolge ein sinnvoller Bestandteil von Migrationsbestrebungen. Mobilität Serverless Autoconfiguration der Netzwerkgeräte, verbesserte Unter- 12 Ausgabe 12/2002 20 stützung von Plug&Play bei den Geräten sowie Multihoming sind wichtige Voraussetzungen für flexible und einfach handhabbare Infrastrukturen. Unmittelbare Unterstützung von Mobile IP und mobilen Endgeräten (direct path) besteht von Anfang an. Und gewiß ist die mobile Infrastruktur sogar ein entscheidender Antrieb für die Einführung von IPv6. Erweiterte Möglichkeiten bestehen auch für Multicast-Anwendungen. Die gepriesene Anpassungsfähigkeit und Flexibilität von IPv6 ist sicherlich ein Ergebnis der neuen HeaderStruktur. Ob die konkrete Umsetzung seiner Eigenschaften auch wirklich die versprochene Vorteilhaftigkeit zeitigt, hängt von den konkreten Bedingungen ab, dem Design der Infrastruktur und der Logik des Netzwerkes. Es sei an dieser Stelle beispielsweise nur auf die serverfreie Konfiguration der Geräte verwiesen. Problemzone IP Ungefähr Mitte der 90er Jahre war abzusehen, daß unter IPv4 die Verfügbarkeit freier Adreßräume schwindet. Mittels geeigneter Techniken wie Classless Interdomain Routing (CIDR, RFC 1519) und Supernetting (RFC 1338) konnte dem entgegengewirkt werden. Der Aufbau geeigneter hierarchischer Strukturen, Provider-SubscriberSubnet-Host, war möglich. Und es konnten Erfahrungen gesammelt werden. Auswege Engpässe Network Address Translation (NAT) ist eine ergänzende Möglichkeit, dem Dilemma fehlender Adressen partiell zu entgehen. Nach dem RFC 1918 wurden privat nutzbare Adreßbereiche festgelegt: 10.0.0.0/8 für 1 Class A Netzwerk, 172.16.0.0/12 für 16 Class B Netzwerke und 192.168.0.0/16 für 256 Class C Netzwerke. Diese Bereiche werden in öffentlichen Strukturen jedoch nicht genutzt. Um aus diesen Netzwerkklassen heraus mit anderen zu kommunizieren oder auch in diese Netze hinein zu gelangen, ist eine Übersetzung auf öffentliche Adressen notwendig. Dazu wurde NAT auf der Grundlage mehrerer RFCs definiert. Doch bricht diese Technologie dadurch mit der ursprünglich von IP angestrebten Ende-zu-Ende-Verbindung. NAT bedeutet, daß für jede Verbindung zwischen ”drinnen und draußen” ein Statuseintrag existieren muß. Der Eintrag beinhaltet sowohl für die Quelle als auch für das Ziel protokollbezogen eine entsprechende Zuordnung von in- und externen Adressen und Ports (vgl. das Beispiel in Tab. 1) Im Zeitalter zunehmender Internetgefahren ist NAT eine brauchbare Funktion für den Administrator, um die Netzwerkgrenzen zu schützen und kontrollieren. Schnelles Rerouting im Fehlerfalle ist unter diesen Umständen schwierig. Anwendungen sind aufgrund der genutzten Protokolle auf die Unterstützung von NAT angewiesen. NetBIOS über TCP/IP bspw. wiederholt die Adresse des Zieles im NetBIOS-Protokoll. Ein NAT-Prozeß, der nur die Adressen im IP-Header berücksichtigt, unterbindet jede weitere Kommunikation. Anwendungen, welche ”NAT-unfreundliche” Protokolle benutzen, können NAT-Devices nicht passieren, oder es wird ein Upgrade des Gerätes vorgenommen. In der Regel muß der NAT-Prozeß dann die gesamte Kommunikation des Protokolls beherrschen. Das wird insbesondere dann schwierig, wenn Ports dynamisch geändert und zugewiesen werden. Protokolle, wie ESP zur Verschlüsselung des Payloads eines Paketes, die keine Ports verwenden, können eine Port Addr ess Translation (PAT) nicht überwinden. Sackgassen Der Schutz der Integrität des IPHeaders durch kryptografische Verfahren ist durch NAT nicht möglich, da der Header zwischen Absender und Ziel nicht verändert werden darf. Aber genau das tut NAT. Aufgrund beschränkter offizieller Adressen für ein Unternehmen, ist das Angebot verschiedener Services, die auf gleicher Technologie beruhen, kompliziert. Unter derselben IPAdresse eines von außen erreichba- Tabelle 1 Pro udp tcp tcp tcp tcp tcp Inside global 217.234.227.207:53 217.234.227.207:2496 217.234.227.207:3470 217.234.227.207:3471 217.234.227.207:3472 217.234.227.207:443 Inside local 192.168.100.1:53 192.168.100.21:2496 192.168.100.21:3470 192.168.100.21:3471 192.168.100.21:3472 192.168.100.33:443 Outside local 134.109.132.51:53 66.28.176.153:80 134.109.132.113:80 134.109.132.113:80 134.109.132.113:80 —- Tab. 1: Beispiel für ein Network Address Translation Table in einem NAT Device 12 Ausgabe 12/2002 21 Outside global 134.109.132.51:53 66.28.176.153:80 134.109.132.113:80 134.109.132.113:80 134.109.132.113:80 —- thema des monats Future Pack - Feature Pack VPN und FireWall auf der Basis von IPv6 Check Point Software Technologies bietet als einer der ersten Security-Hersteller die problemlose und sichere Migration ihrer VPN-1 und FireWall-1-Lösungen auf das Internet-Protokoll IPv6. Mit der patentierten Stateful Inspection Technology ermöglicht Check Point umfassenden Schutz für sicherheitsrelevante Anwendungsbereiche und hat mit dem seit September 2002 verfügbaren Feature Pack 3 eine Reihe zukünftiger Schlüsseltechnologien in seine Lösungen integriert. IPsec im neuen Protokoll Check Point bietet mit der Integration von IPv6 in die VPN-1/FireWall-1-Technologie eine Lösung für das Problem der zunehmend knapper werdenden Adressen, die von IPv4 bereitgestellt werden. Denn für Unternehmen gewinnt IPv6 besondere Bedeutung, wenn mehr und mehr Devices mit dem Internet verbunden werden. Um auch zukünftig eine reibungslose Kommunikation zu gewährleisten, wurden zur Verschlüsselung und Authentifizierung IPsec-Funktionen im neuen Protokoll verankert. Mit Hilfe des Authentication Headers ist es möglich, die Echtheit eines Paketes zu überprüfen sowie die Unversehrtheit der Daten während ihrer Übertragung zu garantieren. Dank einer Sequenznummer kann sich der Empfänger vor Angriffen schützen, die aus einer mehrmaligen Wiederholung desselben Paketes hervorgehen können. Zukunftsweisende Sicherheit Check Point FireWall-1 erfüllt diese Anforderung mit Hilfe leistungsfähiger Authentifizierungsverfahren sowie mehrerer Authentifizierungsschemata und bietet damit zukunftsweisende Sicherheitslösungen. Benutzer können authentifziert werden, ohne daß Server- oder Client-Anwendungen geändert werden müssen. Im Gegensatz zu vielen Netzwerksicherheitsprodukten kann die FireWall-1 bereits Benutzer aller IP-basierten Anwendungen authentifizieren. ren Hosts kann es per Definition nur einen Dienst mit Port 80 geben. Will das Unternehmen mehrere Webservices mit verschiedenen Namen hosten, wird es schwierig. Content Switches schaffen eine teuere Abhilfe (s. Abb.1). Ein Nachteil der Benutzung der vordefinierten privaten Adreßräume wird sichtbar, wenn Netzwerke zusammengebracht werden müssen. Diese Aufgabenstellung kann sich bei Firmenzusammenschlüssen oder bei der Festlegung einer Supporteinwahl usw. ergeben. Benutzen beide Netzwerke dieselben Adreßbereiche, kollidieren die Adreßzuordnungen. Verschiedene Hosts können dieselbe Adresse besitzen, Routing ist nicht möglich usw. Sicher hilft hier NAT mit einer Überkreuzübersetzung. Neben der Komplexität kommen noch die oben genannten Problemstellungen hinzu. Das neue Protokoll IPv6 soll deshalb auch angesichts all dieser Kalamitäten Abhilfe leisten. IPv6-Adressen Die IPv6-Adressen sind 128 Bit groß (ca. 3,4 * 10 hoch 38 Adreßwerte). Prinzipiell werden IP-Adressen auf Interface-Ebene und nicht an Hosts vergeben. Das ist IPv4 vergleichbar. So hat auch dort ein Host mindestens zwei IP-Adressen: die Adresse für die Netzwerkschnittstelle und das Loopback-Interface (127.0.0.0/8). Genau wie unter IPv4 stellt eine Adresse sowohl einen Netzwerkteil als auch einen Hostteil zur Verfügung. Eine IPv6-Adresse identifiziert somit immer ein Interface oder, in besonderen Fällen, die Zusammenfassung von Interfaces eines oder mehrerer Hosts. Wird einem Interface eine IP-Adresse zugeordnet, so kann der Host darüber identifiziert werden. Besitzt der Host mehrere Netzwerkadapter und somit verschiedene IP-Adressen, so hat er mehrere Identitäten. 12 Ausgabe 12/2002 22 Adreßtypen Grundsätzlich unterscheidet IPv6 drei Typen von IP-Adressen (vgl. Abb. 2), eine Unicast-, eine Multicast- und eine Anycast-Adresse. Die UnicastAdresse ist der Identifikator für eine Netzwerkschnittstelle. Ein IP-Paket, welche zu einer Unicast-Adresse verschickt wird, erreicht genau das damit bezeichnete Interface. Mit der Multicast-Adresse wird eine Gruppe von Netzwerkschnittstellen, die typischerweise zu verschiedenen Netzwerkknoten gehören, bezeichnet. Auf diese Weise werden Gruppenzuweisungen möglich. Multicasts gab es auch unter IPv4. Ihr Einsatzbereich wurde erweitert und differenzierter. Sie übernehmen komplett die Funktion der Broadcasts, die es nun unter IPv6 nicht mehr gibt. Wie ihr Name es andeutet, geht es bei der Anycast-Adresse darum, irgendein Interface zu adressieren. Diese Adresse wird gewöhnlich Interfaces verschiedener Netzwerkknoten vergeben. Diese bilden eine AnycastGruppe, das heißt sie sind alle unter der Adresse zu erreichen. Das ist noch kein Unterschied zu Multicast. Gemeint ist jedoch, daß ein Paket mit einer Anycast-Adresse vom erstbesten Host, der diese Adresse besitzt, verarbeitet werden muß. Aufgrund der Kommunikation unter IP ist das dann die im Augenblick am besten zu erreichende Schnittstelle. Sinn macht diese Adressierung insbesondere bei Routern und beim Einsatz von Discovery-Protokollen. Darstellung Die Darstellung einer IPv6-Adresse erfolgt in 16 Bit großen Blöcken, die jeweils hexadezimal abgebildet (von 0 bis F) und durch Doppelpunkte getrennt sind. Die Bezeichner sind nicht case sensitive. Die Abbildung 3 zeigt die grundsätzlichen Regeln zur Bildung einer IPv6-Adresse. Zur Vereinfachung der Schreibweise können führende Nullen vernachlässigt und aufeinanderfolgende Felder mit Nullen mit dem doppelten Doppelpunkt zusammengefaßt werden. Die Darstellung von IPv4-kompatiblen Adressen kann in der bekannten dezimalen Notation mit den Punkt nach jedem Byte erfolgen oder auch hexadezimal umgerechnet werden. Die anderen Adreßbestandteile werden in jedem Fall hexadezimal abgebildet, d.h. ::192.168.100.34 entspricht ::C0A8:6422. Die IPv4-kompatible Adresse spielt in Migrationsstrategien von IPv4 nach IPv6 und der Einrichtung automatischer Tunnel von IPv6-Netzwerken über noch bestehende IPv4-Strukturen eine Rolle. global unicast addresses sowie in unspecified, loopback und IPv4compatible Addresses. Abb. 1: Verfügbarkeitsprobleme unter Einsatz von NAT/PAT URL Eine besondere Hürde ist die Nutzung einer IPv6-Adresse in einer URL. Normalerweise wird dort der Doppelpunkt gebraucht, um nach einer Adreß- oder Namenseingabe noch den Port zu übergeben. Die Doppelpunkte innerhalb der IP-Adresse stehen dieser Festlegung entgegen. Insofern ist vorgegeben, daß eckige Klammern die IPv6-Adresse in jedem Fall innerhalb einer URL einrahmen. Nach der Klammer läßt sich der Doppelpunkt für die Portzuweisung anfügen: https://[2001:0:987: :CBFF:FE12:3456]:444/in dex.htm. Zugegeben, dieser Weg ist für den Anwender umständlich und kaum handhabbar. Insofern ist die Implementation eines DNS, der IPv6 unterstützt, zwingend. Für Diagnoseoder administrative Zwecke ist jedoch die oben vorgeschlagene Syntax korrekt und anwendbar. Unicast Die Unicast-Adressen stellen die Ende-zu-Ende-Kommunikation sicher und werden in einer 1:1-Verbindung genutzt. Unicast-Adressen unterteilen sich in mehrere Bereiche (s. Abb. 4): in link-local addresses, in site-local addresses, in aggregatable 12 Ausgabe 12/2002 23 Abb. 2: Adressierung mit unterschiedlichen AdreßTypen unter IPv6 thema des monats Lokal Die link-local Adressen sind nur auf die unmittelbare Verbindung zum lokal angeschlossenen Netzwerk beschränkt. Sie werden auf allen Schnittstellen automatisch konfiguriert! Dazu wird ein Prefix FE80::/10 generiert und die Interface-ID hinzugefügt, die dem EUI-64-Format (s.u.) entspricht. Die Vorgehensweise sorgt dafür, daß jedes Gerät eine logische IPv6 mit System Plattformen und Feature Sets Cisco unterstützt IPv6 bereits seit den IOS Software Releases 12.0 ST, 12.0 S und 12.2 T. Die verschiedenen Feature Sets der Cisco IOS Software werden von vielen Plattformen unterstützt. Die aktuelle Liste umfaßt die Cisco-Serien 800, 1400, 1600 und 1700, 2500 und 2600, die Serien 3600 und 3700, aus der 4000er Serie die 4700 und 4700-M, die Cisco 7100, 7200 und 7500 sowie Cisco 12000. IPv6 Update Support Update-Informationen über den jeweiligen IPv6 Support gibt es über den Cisco Feature Navigator. Denn nicht alle IPv6 Features werden in den verschiedenen Versionen gleichermaßen unterstützt. Insofern sei hier für den interessierten Leser auf die Dokumentation verwiesen, die zudem einen Überblick über Konfigurationsmöglichkeiten, Restriktionen und Informationen zur Command Reference beinhaltet. Laufend aktualisierte Dokumentationen zu IPv6 in Cisco IOS Software mit Übersichtstabellen finden Sie auf der englischsprachigen Website unter: http://www.cisco. com/en/US/products/sw/iosswrel/ ps1839/products_feature_guide_ chapter09186a008008047c.html. Verbindung zum unmittelbar angeschlossenen Netzwerk erhält, ohne eine global gültige Adresse zu benötigen. Vergleichbar ist der Nutzwert dieser Adresse mit den Adressen gemäß RFC 1918. Site Eine site-local Adresse ist nur im Zusammenhang mit der Festlegung einer Site sinnvoll. Ihr Gültigkeitsbereich ist auf die Site beschränkt und steht genau wie die link-local Adresse global nicht zu Verfügung. Sie setzt sich aus den Prefix Bits mit FEC0::/10 und der Interface-ID im EUI-64 Format zusammen. Zusätzlich stellt die Adresse eine 16 Bit lange Subnet-ID bereit, die unmittelbar vor der Interface-ID steht. Die letzten 80 Bits der Adresse sind somit unternehmensweit eindeutige Zuordnungen für Hosts und erlauben eine private logische Strukturierung des Netzwerkes durch Subnetting. Die ersten 48 Bits, zu denen auch das 10 Bit große Prefix gehört, lassen sich bei Bedarf umnumerieren. Auf diese Weise kann aus einer site-local Adresse eine globale Adresse werden. Unspezifisch Die Definition einer Site ist durch den Standard nicht vorgesehen. Es gibt Vorschläge zur Festlegung, die noch keinen Konsens innerhalb der IETF fanden. Es liegt in der Verantwortung des Unternehmens, die Grenzen einer Site festzulegen. Das kann zum Beispiel den gesamten Campus betreffen, oder aber die Niederlassungen des Unternehmens stellen den Bezug her. Die unspezifizierte Adresse :: ist ein Platzhalter, w enn noch keine Adresse verfügbar ist. Das gilt für DHCP-Anfragen oder die notwendige Duplicate Address Detection (DAD). Die Loopback Adresse ::1 entspricht der Adresse 127.0.0.1 unter IPv4. Die Adresse ::2 adressiert Router. Global Die globale Unicast Adresse eines Interfaces ist die globale erreichbare Adresse der Netzwerkschnittstelle. Die Aggregierbarkeit bedeutet, daß die Adresse eine hierarchische Struktur ermöglicht. Die ersten 48 Bits werden als Routing Prefix behandelt. Der Aufbau sieht wie folgt aus. Einem festen Prefix von 3 Bit 001 folgt eine Top-Level Provider ID, der sogenannte Top-Level Aggregator (TLA) von 13 Bit. Danach kommt ein reserviertes Feld von 8 Bit Länge und dann eines für untergeordnete Provider, der Next-Level Aggregator (NLA). Dieses 24 Bit Feld kann durch weitere Unterteilungen aufgegliedert werden. Das nächste ist der Site-Level Aggregator (SLA), ein Feld, das dem site-bezogenen Subnetting dient und bei geeigneter Planung der bereits oben genannten Subnet ID der Site (16 Bit) entspricht. Zum Schluß kommt die Interface-ID (64 Bit) Durch diese Hierarchisierung lassen sich Routing-Tabellen effizienter verwalten. Die Anzahl der Einträge in den Tabellen kann reduziert werden. Das ist ein wichtiger Punkt, wenn sich die Adreßräume erweitern. Multicast Wenn ein Host viele Ziele (1:n) erreichen will, finden Multicast-Adressen ihre Verwendung,. Das ist beispielsweise bei Streamingprotokollen sinnvoll. Multicast-Adressen werden auch von Routern benutzt. Unter IPv6 haben sich die Anwendungsbereiche erweitert. Eine Multicast-Adresse beginnt immer mit FF im ersten Byte (Prefix FF00::/8). Im zweiten Byte gibt es ein Lifetime Flag und die Scope Bits. (s. Abb. 5). Im Multicast gibt es jedoch kein TTL-Feld mehr. Im Grunde wird diese Funktion durch den Scope übernommen. So ist zum Beispiel ein Multicast mit dem Pre-fix F F 0 5 : : / 1 6 eine permanente 12 Ausgabe 12/2002 24 Multicast-Adresse innerhalb einer Site. Der Multicast wird die Site also nicht verlassen. Permanent Permanente Multicast-Adressen werden hauptsächlich für standardisierte Dienste genutzt. So ist die Adresse FF02::2 die permanente MulticastAdresse für alle Router, FF02::5 ist der Multicast für alle OSPF-Router. Bestimmte Anwendungen können bei Bedarf Kommunikationsgruppen durch temporäre Multicasts schaffen. Denkbar ist zum Beispiel eine solche Vorgehensweise bei der Schaltung von Voice-Konferenzen unter VoIP. Unter Berücksichtigung der LinkLayer Adressen (Layer 2) sind 232 Multicast-Adressen möglich. Das sollte vorerst ausreichen. Anycast Die Idee der Anycast-Adresse besteht darin, ein Paket an das nächste verfügbare Interface, welches zur Anycast-Gruppe gehört, zu senden. Insbesondere bei Discovery Protokollen ein nützlicher Gedanke. Einige Anycast-Adressen sind bereits festgelegt, z.B. der Router-Subnet Anycast und der Mobile IPv6 Home Agent Anycast. Die Anycast-Adresse wird durch das entsprechende Prefix gebildet, das von der jeweiligen Struktur abhängig ist. Der Rest wird bis auf die letzten sieben Bits mit Einsen aufgefüllt. Eine Ausnahme bildet ein besonderes Bit innerhalb der letzten 64 Bit, das die Adresse daraufhin kennzeichnet, ob sie dem EUI-64 Format entspricht. Doch dazu gleich mehr in einem folgenden Abschnitt. Die letzten sieben Bits in der Adresse legen die Anycast-Gruppe fest. nun ein Host wirklich. Unter IPv4 wissen wir, daß es dort neben den Interface-Adressen auch die Loopback- und BroadcastAdressen gibt. Bestimmte Hosts benutzen auch Multicast-Adressen. Ein IPv6 Knoten sollten nachfolgende Adressen besitzen: eine link-local Adresse für jedes Interface, eine Loop-back Adresse ::1 und eine zugewiesene Unicast-Adresse je Interface, des weiteren die All-node multicast Adressen: FFxx::1 sowie eine solicited-node Multicast-Adresse für jede seiner zugewiesenen Unicast- und Anycast-Adressen. Eine solche solicited-node Multicast-Adresse wird durch das Neighbo(u)r Discovery Protocol verwendet. Sie hat die Struktur FF02::1: FFxx:xxxx und dient in der Abb. Praxis auch zur Auffindung von doppelten Adressen, zur sogenannten Duplicate Address Detection (DAD). Außer all dem benötigt ein IPv6 Knoten noch die Multicast-Adressen, zu denen der Host gehört, und eine sitelocal Adresse, sofern diese benötigt wird. Insgesamt ist das ein erheblicher ”Adreßberg” für jeden Host. Die Tabelle 2 zeigt die IPv6 Adressen eines Cisco Device. Router-Adressen Für einen Router sieht die Liste etwas differenzierter aus. Ein solches 4: Darstellung einer IPv6-Adresse Netzwerkgerät sollte folgende Adressen konfiguriert haben. Es benötigt neben den erforderlichen Knotenadressen - wie oben aufgeführt - zusätzlich noch die Subnet-Router Anycast Adressen für jene Schnittstellen, die als Forwarding Interface konfiguriert wurden, also IPv6-Datenverkehr weiterleiten sollen. Dazu kommen weitere Anycast-Adressen, sofern sie notwendig sind, sowie Allrouters Multicast-Adressen FFxx::2 und spezifische Multicast-Adressen der jeweiligen Routing-Protokolle. Ein IPv6 Router sollte in einem Netz- Abb. 3: Darstellung der Unicast-Adressen Host-Adressen Nach diesen Erklärungen stellt sich die Frage, welche Adresse hat denn 12 Ausgabe 12/2002 25 thema des monats werk der erste und wichtigste IPv6 Knoten, eine Art Seed-Device, sein. Er besitzt alle erforderlichen Knotenadressen, um die angeschlossenen Segmente korrekt zu bedienen. EUI-64-Format Wir haben in den vorangegangen Erläuterungen bereits das EUI-64-Format erwähnt. EUI steht für extended unique Identifier. IEEE definierte mit EUI für seinen Geltungsbereich 64Bit-große, globale Identifaktionsnummern. Dabei werden die ersten 24 Bits einem jeweiligen (Hersteller-)Unternehmen weltweit eindeutig zugeordnet. Dieser company_id. folgen 40 für das Unternehmen frei verfügbare Adreß-Bits für die sogenannte extension_id. Doch gibt es Ausnahmen. EUI- und MAC-Label Die ersten 16 Bits der extension_id sollen nicht FFFE und FFFF sein. Abb. 5: Aufbau von Multicast-Adressen Abb. 6: Aufbau einer Anycast-Adresse Denn der Wert FFFE (EUI-Label) zeigt an, daß eine EUI-48 Adresse nach EUI-64 transferiert wurde. Der Wert FFFF (MAC-Label) steht dafür, eine MAC-48-Adresse zu konvertieren. In beiden Fällen werden nach den ersten 24 Bit, die auch dort die HerstellerID bilden, eine der beiden Bit-Folgen eingefügt. Eine MAC-Adresse wie die 00-00-CB-12-34-56 würde dann nach EUI-64 das Format 00-00-CB-FF-FF-12-34-56 haben. 64-Bit-Adresse Zur Generierung einer IPv6 Adresse wird dieser Mechanismus für die zustandslose Autokonfiguration genutzt. Das klingt komplizierter als es ist. Aus der MAC-Adresse eines Interfaces wird durch Einschieben des EUI-Labels FFFE (nicht des MACLabels!) eine 64 Bit Adresse gebildet, in unserem Beispiel wird 00-00CB-12-34-56 zu 00-00-CB-FFFE-12-34-56. Das sechste und siebente Bit des ersten Byte bekommen anschließend eine Bedeutung zugeordnet. Bit 6 gibt an, ob die Adresse eine globale (1) oder eine lokale (0) Adresse ist. Bit 7 stellt dar, ob die Adresse im Layer 2 eine Multicast- (1) oder eine individuelle (0) Adresse ist. Die Nutzung des sechsten und siebenten Bits ist übertragungstechnisch sehr sinnvoll. Das Bit 0 ist das höherwertige und das Bit 7 das niederwertige Bit in einem Oktet. Eine serielle Übertragung beginnt immer mit dem niederwertigen Bit des Oktets, welches in diesem Falle ein spezielles Kennbit ist. In unserem Beispiel für eine globale , individuelle Adresse in heaxdezima-len Zahlen wird 00-00-CB-FF-FE-12-3456 zu 02-00-CB-FF-FE12-34-56. Binär geschrieben heißt das, aus 0000 0000 wird 0000 0010. Nun läßt sich die Adresse im IPv6 Format - recht umständlich - als : : 2 0 0 : C B F F : FE12:3456 schreiben. Also wird das sechste Bit invertiert (”ODERn”, ”OR ing”). Aus dem ersten eben erst geänderten Byte mit binär 0000 0010 entsteht nun scheinbar wieder 0000 0000. Damit erhält man dann die Adresse ::CBFF:FE12:3456 und die Verwirrung ist komplett. Das heißt, letztlich wird die obige Bedeutung des sechsten Bits im ersten Oktett genau umgekehrt verwendet. Auf diese Weise ist ein 64-Bit-langes Bitmuster entstanden, welches dann als Interface ID Bestandteil einer IPv6 Adresse wird. Ein DHCP-Service ist vorerst nicht notwendig. Lokale Adresse Sehen wir uns nun noch ein zusammenfassendes Beispiel für eine lokale Adresse an. Eine link-local Adresse eines Interfaces wird - nach allem, was wir inzwischen wissen - aus einer MAC-Adresse gebildet, indem alle Bits bis auf das sechste Bit im ersten Byte übernommen werden. Die Null im sechsten Bit, die für die lokale Adresse, invertiert man zur Eins. Zwischen das vierundzwanzigste und fünfundzwanzigste Bit wird das EUILabel eingeschoben, fertig. ( Abb. 7). IPv6 und Layer 2 IPv6 ist für die meisten Data Link Layer festgelegt. Die wichtigsten sind Ethernet, Token Ring, PPP, ATM, Frame Relay und NBMA. Die Hersteller unterstützen bisher nicht zwangsläufig alle Spezifikationen, obwohl RFCs dafür existieren. Unter Ethernet wird das Ethernet-II und -SNAP unterstützt. Nach der Zielund Quelladresse folgt im EthernetII das Typfeld. Dieses hat den Wert 0x86DD für IPv6. IP hatte bisher den Wert 0x0800. Für die IPv6 immanente Interface ID nutzt das Protokoll das oben erläuterte IEEE EUI-64 Format. Interessant ist dann noch das 12 Ausgabe 12/2002 26 Multicast Mapping von IPv6 auf Ethernet. In diesem Fall werden die letzten 32 Bit der IPv6 MulticastAdresse auf die Ethernet Destination Address übernommen und ein 2-Byte Prefix 33-33 vorangesetzt. Zum Beispiel generiert ein Host zum Finden eines Nachbarknotens im gleichen Segment einen Multicast. IPv6 benutzt u.a. Multicasts statt ARPBroadcasts, auch für die Klärung doppelter IP-Adressen im Netz. Dafür wurde die spezielle Multicast-Adresse FF02::1:FFxx:xxxx (solicited address) festgelegt. Der Knoten hat z.B. die Adresse 2001:0:987: :CBFF:FE12:3456. Er generiert die dazugehörige eigene solicited Multicast-Adresse FF02::1:FF12: 3456. Im Ethernetframe gehört dann die Zieladresse 33-33-FF-12-3456 zum Multicast dazu. Bleibt eine solche Anfrage unbeantwortet, ist die eigene IPv6-Adresse korrekt. IPv6 Protokoll IPv6 bietet für den Betrachter auffällig vereinfachte Header an. Die An- zahl der Felder in einem Basis-Header minimiert IPv6 auf 8 Standardfelder. Dabei werden zusätzliche Optionen in darauffolgende Options-Header gepackt, die dann zweckorientiert dem Paket hinzugefügt werden. Trotz der erhöhten Länge des BasisHeaders von 40 Bytes (bei IPv4 waren es 20 Bytes), hauptsächlich wegen der längeren IP-Adressen, sollte ein IPv6-Header einfacher und vor allem zweckgebundener und sogar schneller als der IPv4-Header interpretiert werden. Ich bleibe im weiteren schwerpunktmäßig beim IP-Header. Auf die Funktionsweise von ICMPv6, DHCPv6, OSPFv6 usw. gehe ich in diesem Artikel nicht ein. IPv4 Header Der IPv4 Header besteht aus zwölf Feldern (s. Abb. 8). Diesem folgt ein Optionsfeld und der Datenteil, in dem sich zunächst die Transport-LayerInformationen befinden. Von den zwölf Feldern gibt es sechs unter IPv6 nicht mehr. Ein Grund ist die andere Tabelle 2 FastEthernet0 is up, line protocol is up IPv6 is enabled, link-local address is FE80::2B0:C2FF:FE89:6EDB Description: connected to vlan 3 to cat2916mxl Global unicast address(es): 2001:420:1987::, subnet is 2001:420:1987::/64 Joined group address(es): FF02::1 FF02::2 FF02::1:FF89:6EDB FF02::1:FF00:0 FF02::9 MTU is 1400 bytes ICMP error messages limited to one every 100 milliseconds ICMP redirects are enabled ND DAD is enabled, number of DAD attempts: 1 ND reachable time is 30000 milliseconds ND advertised reachable time is 0 milliseconds ND advertised retransmit interval is 0 milliseconds ND router advertisements are sent every 200 seconds ND router advertisements live for 1800 seconds Hosts use stateless autoconfig for addresses. Tab. 2: IPv6 Adressen eines Cisco Device 12 Ausgabe 12/2002 27 Handhabung der Fragmentierung. Sie erfolgt in der Ende-zu-Ende-Verbindung. Zwischen den Kommunikationsknoten befindliche Router haben keine Berechtigung mehr, Pakete weiter zu fragmentieren. Also wird auf die entsprechenden Felder verzichtet und Router brauchen sich nicht mehr darum zu bemühen. Das Routing ist an diesem Punkt effizienter. Da die meisten Layer-2-Protokolle eine hinreichende eigene Fehlerprüfung durch Checksummen haben, verzichteten die Designer mit IPv6 auf einen Korrekturmechanismus im Header. Dafür sind die Checksummenmechanismen der übergeordneten Schichten nun zwingend, auch im UDP. Der Extension Header übernimmt zukünftig die Funktion des Optionsfeldes. IPv6 Header Der IPv6 Header (s. Abb. 9) ist zwar doppelt so groß wie bisher, jedoch wesentlich spartanischer aufgebaut. Das Design wurde prinzipiell an der 64-Bit Verarbeitung ausgerichtet, um eine effiziente Auswertung der Informationen zu gewährleisten, also praktisch „64-Bit Technologie“ im IPHeader. Der IPv6 Header umfaßt im einzelnen folgende Felder. Das 4-Bit Feld Version wird wie bisher benutzt. Es wird auf den festen Wert 6 (0110 binär) gesetzt. Das Feld Traffic Class/Differentiated Services entspricht dem Type of Service Feld im IPv4. Damit kann der Betreiber IPPakete taggen und bestimmte Verkehrsklassen für Differentiated Services (DiffServ) benutzen. Dadurch können bestimmteAnforderungen für die Weiterleitung von Paketen markiert und bei der Weiterleitung berücksichtigt werden. Das Feld teilt sich in 6 Bit Differentiated Service Code Point (DSCP) und in zwei nicht benutzte Bits (Wert 0) auf. IPv6 folgt damit den RFC 2474 und 2475. Die Idee besteht in der Vermeidung von Stausituationen bzw. in der be- thema des monats vorzugten Weiterleitung entsprechender Pakete im Falle von Engpaßsituationen. Natürlich kann nicht jeder Benutzer oder jede Anwendung diese Bits beliebig verändern. Hier sind netzwerkweite Gesamtstrategien erforderlich. Wenn alle Da tenpakete hoc h priorisiert sein würden, weil jeder Benutzer seine Daten bevorzugt sehen möchte, wäre die Datenübertragung konsequent doch wieder Best Effort. Alles tummelt sich in den oberen Prioritätsgruppen. Während das Problem im Campus noch in den Griff zu bekommen ist, scheitert die Lösung oft an den Providergrenzen - auch bei IPv6. Über das Thema läßt sich trefflich streiten. Tabelle 3 IP Service Adreßraum Nutzbarkeit des Adreßraumes Autokonfiguration Mobilität QoS Multicast Security IPv4 32 Bit NAT/PAT IPv6 128 Bit Definition mehrerer Bereiche DHCP Mobile IP DiffServ, IntServ IGMP, PIM, Multicast BGP IPsec DHCP, serverlose Autokonfiguration Mobile IP mit Direct Routing DiffServ, IntServ PIM, Multicast BGP, Scope IDs IPsec Tab. 3: Vergleich zwischen IPv4 und IPv6 Neue Felder Eine komplett neue IPv6-Erfindung ist das Flow Label, ein recht großes Abb. 7: Bildung einer EUI64 Interface ID aus einer MAC-Adresse Abb. 8: Aufbau des IPv4 Header Feld von 20 Bit. Es kann im Zusammenhang mit dem DS-Feld genutzt werden und soll zusammengehörige Datenströme markieren. Diese lassen sich dann gesondert auf der Strecke behandeln. Hinten im Paket befindliche Informationen lassen sich so weiter nach vorne plazieren und schneller verarbeiten. Ein Blick in übergeordnete oder gar verschlüsselte Pakete ist nicht erforderlich, da somit die notwendigen Verkehrsinformationen im Header verfügbar gemacht sind. Standardmäßig hat das Feld den Wert 0. Das Feld Payload Length wird wie im IPv4 verwendet. Next Header ist aber gleichfalls ein neues Feld. Es bestimmt, welche Information dem IPHeader folgen. Hier kann der Hinweis erfolgen, daß dem Header ein höheres Protokoll wie TCP oder ein Extension Header folgt. Die Reihenfolge und Bedeutung der möglichen Header-Erweiterungen sind im RFC 2460 festgelegt. Hop Limit legt die maximale Anzahl der Hops zwischen eine Datenquelle und dem Ziel fest. Jeder Router verringert das Feld um den Wert 1. Auch das ist ein Grund für die fehlende Checksumme über den IP-Header. So muß ein Router nach der Werteverkleinerung nicht den Header mit einer neuen Checksumme versehen, was nur Zeit in Anspruch nehmen würde. Source und Destination 12 Ausgabe 12/2002 28 Address bezeichnen den Absender bzw. den Adressaten des Paketes, wohingegen der Extension Header etwas prinzipiell Neues darstellt. Extension Header Der Erweiterungs-Header (s. Abb. 10) ist optional verwendbar und fügt sich direkt an den Basis Header an. Er besteht aus 8 Oktets. Dem Option Header kann wieder ein Option Header in Form einer Verkettung folgen. Das erste Feld im Extension Header ist die Angabe des nächsten Headers (8 Bits). Dem folgt die Angabe der Länge des Extension Headers mit ebenfalls 8 Bit. Danach folgt die Option. Der Extension Header wird gegebenenfalls mit Padding-Bits aufgefüllt, sofern sich nicht mit den drei anderen Feldern zusammen 64 Bit ergeben. Der letzte Extension Header muß auf ein höheres Protokoll wie UDP oder TCP verweisen. nur die Wissenschafts- und Testnetze, die damit betrieben werden. UMTS und GPRS werden nur erfolgreich sein, wenn entsprechende Anwendungen verfügbar sind. Diese werden auf IP basieren und dazu sind die neuen Abb. 10: Hierachiebildung im Ipv6 Protokoll Header mit erweiterten Optionen Zusammenfassung IPv6 ist das Protokoll, welches eine Reihe von Problemen lösen soll. Seine wichtigste Eigenschaft ist der größere Adreßraum. Er erlaubt den globalen Betrieb von Infrastrukturen. Daraus ableitend sind Allways-onFunktionen für die permanente Erreichbarkeit der Anwender möglich. Die Adressen lassen sich hierarchisch aufbauen und können via Autokonfiguration am Host bereitgestellt werden. Der einfachere Header sollte die Bearbeitung der Pakete im Datenstrom effizienter machen und somit die Performance der Transportsysteme verbessern. IPv6 bietet Lösungsansätze für Skalierbarkeit, Mobilität und Sicherheit einer Lösung. Quality of Service ist jedoch noch ein Stiefkind der Designer. Tabelle 3 stellt prinzipielle Eigenschaften der beiden IP Protokolle zum Vergleich gegenüber. IPv6 entwächst allmählich seinen Kinderschuhen. Es sind nicht mehr Adreßräume unverzichtbar. Home Computing und die Spiele-Industrie werden diese Protokolle ebenfalls benötigen. Es gilt, den neu entstehenden Freiraum für die verschiedenen Anforderungen sinnvoll zu nutzen. Abb. 9: Aufbau des IPv6 Header 12 Ausgabe 12/2002 29 h HOTLINE Stand: 14. November 2002 Technik-News Patch-CD Dezember 2002 NetWare NW 6.0 299913.exe AFPLIC2.exe CONONE133SP1.exe DNSDHCP1.exe DSAUDIT.exe ES7000.exe FLSYSFT7.exe HTTPSTK1.exe NAAUPD2.exe NAT600D.exf NETDRV41.exe NFAP1SP2.exe NICI_U0.exf NIPP104.exe NSSCHECK.exe NW56UP1.exe NW6_ISS.txt NW6NBI1A.exe NW6NSS2B.exe NW6SMS1A.exe NW6SP2.exe NWFTPD6.exe Windows Clients SNMPFIX.exe TCP604S.exe TRUST110.exe XCONSS9F.exe NW 5.1 299913.exe 4PENT.exe AFNWCGI1.exe COMX218.exe CONONE133SP1.exe DLTTAPE.exe DNSDHCP1.exe DS760A.exe DS880D_a.exe DSAUDIT.exe DSBROWSE.exe FLSYSFT7.exe FP3023A.exe FP3023S.exe HDIR501C.exe IDEATA5A.exe JVM133SP1.exe NW 4.2 DECRENFX.exe DS617.exe GROUPFIX.exe IPG4201.exe IPGSN10A.exe LONGNAM.exe NAT600D.exe NLSLSP6.exe NW4SP9.exe NW4WSOCK.exe NWIPADM.nlm ODI33G.exe SNMPFIX.exe TRUST110.exe XCONSS9F.exe NAT600D.exe NDP21P4.exe NESN51.exe NFAP1SP2.exe NICi_U0.exf NIPP104.exe NMASPT2.exe NW51_ISS.txt NW51FS1.exe NW51SP5.exe NW56UP1.exe NWFTPD6.exe OPLOC514.exe PKI202B.exe PSRVR112.exe SBCON1.exe SLP107G.exe SNMPFIX.exe STRMFT1.exe TCP590S.exe TRUST110.exe TSA5UP10.exe XCONSS9F.exe ZENworks Win 95/98 dt. NC332SP1.exe NPTR95B.exe W98332E.exe Win NT/2000/XP dt. 276794.exe NC483SP1.exe WNT483G.exe Win 95/98 engl. NPTR95B.exe W98332E.exe NC332SP1.exe Win NT/2000XP engl. 276794.exe 311632.exe 298848.exe NC483SP1.exe 309392.exe WNT483E.exe 298848.exe 309392.exe 311632.exe Miscellaneous Updates NW SAA 4.0 NW4SAA.exe SAA40020.exe SAA4PT1.exe iChain 2.0 IC20SP1.exe GroupWise 6.6 GW62AOT.exe GW6SP2M.exe GW6TOMCAT_NT.exe GW6WASF.exe GWCSRGEN2.exe GWIA6SP1.exe GWPDLOCK.exe GWPORT32.exf WAVIEW71.exf eDirectory 8.x AM210PT2.exe AM210SNP.exe AMW2KP2A.exe AMW2KSP1.exe C1UNX85A.exe DSRMENU5.tgz DSX86UPG.tgz EDIR862.exe EDIR862.tgz EDIR862SP2.tgz EDIR862SP2A.exe EDIRW32.exe NAM21SP1.tgz NDSUNIX4.tgz NOVLNIUO-2.4.2.z PWDSCH.exe SIMPLE862UP.tgz UNIXINF1.tgz UNIXINS2.tgz WCNICIU0.exf Tools / DOCs ADMN519F.exe CFGRD6B.exe CRON5.exe DBGLOG1.zip DSDIAG1.exe ETBOX7.exe HIGHUTIL1.exe LOADDLL1.exe MIGRTWZD.exe NCCUTIL5.exe NLSDLL.exe NWSC1.exe ONSITB8.exe STUFKEY5.exe TBACK3.exe TCOPY2.exe ZENworks for Desktops 3.0 ZD3XJVM.exe ZD32SYBK.exe ZDF32SP1CLIENT.exe ZFD3SP1A.exe ZDF32SP1SERVER.exe ZF3INVMP.exe ZENworks 3.0 Server NICI24CPK.exe ZFS3SP1.exe ZFS3SP1MANW5.exe ZFS3SP1MANW5.exe ZS3SCH.exe Bordermanager 3.5/3.6 ADMATTRS.exe BM37VPN2.exe BM35ADM7.exf BMAS3X01.exe BM36C02.exe PXY031.exe BM36SP1A.exf PXYAUTH.exe BM37FLT.exe RADATR3A.exe BM37UPN2.exe SETUPEX.exe Cluster Services CS1SP4.exe CVSBIND.exe HOTLINE Bintec Router Software Bingo! BGO521P1.bg Bingo! Plus/Professional Brick XS/Office BRK512.xs BRK521P2.xs2 Brick X.21 BRK495.x21 Brick XL/XL2 X8500 B6205P01.x8a X4000 BGO494.bgp Bingo! DSL B6205P01.bgd BrickWare u. Configuration Wizard BW625.exe NLMDISK.zip Brick XMP BRK521P1.XP Brick XM BRK511.xm BRK521P1.xm2 BRK521P1.xl Netracer NR494P1.zip XCentric XC533.xcm MODULE14.xcm B6205P01.x4a X3200 B6205P01.zip X2100/2300 B6205P02.x2c X1000 / 1200 B6205P01.x1x rot grün seit unserer letzten Veröffentlichung neu hinzugekommen Technik News Service-CD blau gelb Patches aus Platzgründen nicht mehr auf der Monats-CD auf der letzten Service CD 12 Ausgabe 12/2002 30 Deutsche Updates Windows NT 4.0 Windows 2000 Windows XP Internet Explorer 6.0 DEUQ300972I.exe DEUQ328145i.EXE GERQ323172i.exe SP6I386G.exe ENPACK_WIN2000ADMIN_GER.exe Q299956_W2K_SP3_X86_DE.exe Q311967_W2K_SP3_X86_DE.exe Q318593_W2K_SP3_X86_DE.exe Q324096_W2K_SP4_X86_DE.exe Q324380_W2K_SP4_X86_DE.exe W2KSP2SRP1D.exe W2KSP3.exe xpsp1_de_x86.exe IE6SETUPG.exe Q313675.exe Q316059D.exe Exchange 2000 EX2KSP2_SERVER.exe Q320436ENUI386.exe Exchange 5.5 SP4_550G.exe Windows NT 4.0 Windows 2000 Windows XP Internet Explorer 6.0 MPRI386.exe PPTPFIXI.exe Q323172i.exe Q328145i.exe RRASFIXI.exe SP6I386.exf ENPACK_WIN2000ADMIN_EN.exe Q299956_W2K_SP3_X86_EN.exe Q311967_W2K_SP3_X86_TWE.exe Q316094_W2K_SPLl_X86_EN.exe Q318593_W2K_SP3_X86_EN.exe Q324096_W2K_SP4_X86_EN.exe Q324380_W2K_SP4_X86_EN.exe W2KSP2SRP1.exe W2KSP3E.exe Q315000_WXP_SP1_x86_NEU.exe WM320920_8.exe xpsp1_en_x86.exe IE6SETUPE.exe Q316059D.exe Englische Updates Microsoft .NET NDP10SP357.exe Microsoft .NET NDP10SP317396.exe Exchange 2000 Q278523ENGI.exe B6205P01.x8a 1707 KB Software Image für den Bintec Router X8500 in der Version 6.2.5 Patch 1. Mit Release 6.2.5 hat BinTec die Funktionalität gegenüber 6.2.2 um folgende Funktionen erweitert: - Stateful Inspection Firewall - IPSec-Callback - PPTP-Passthrough - Bündelung von PRI-Hypperchannels - Erweiterung der RIP-Implementierung Exchange 5.5 SP4_550E.exe Bekannt sind Probleme des System-Software-Release 6.2.5 mit H.232 und Stateful Inspection Firewall sowie bei TFTP-Operationen mit Konfigurationsdateien. B6205P02.x2c 1645 KB Patch 2, wie oben für Bintec Router X2100 und 2300. (Änderungen und Anm. wie zuvor) Manager weg Umbenennen des Backup Servers Wurde der Name des Servers, auf dem BrightStor ARCserve Backup v9installiert ist, geändert und die Maschine neu gestartet, kommen Sie nicht mehr in den Backup Manager. Deshalb müssen nach dem Umbenennen des Backup Servers folgende Schritte durchgeführt werden. Als erstes muß der BrightStor ARCserve-Dienst mittels der Cstop.bat angehalten werden. Falls der Manager noch läuft, muß auch dieser beendet werden.Im ConfigVerzeichnis, welches sich unterhalb des ARCserve-Verzeichnisses befindet, muß in der Datei Discovery.cfg der Primary Name des alten Maschinennamens auf den neuen Maschinennamen geändert werden. Der Domänenname darf nicht geändert werden! Gehen Sie nun über die Systemsteuerung auf den Punkt Hinzufügen / Entfernen von Programmen und markieren Sie BrightStor ARCserve Backup. Klicken Sie auf Entfernen und dann auf Weiter . Führen Sie nun Reparieren aus. Setzen Sie die BrightStor ARCserve Backup-Dienste mittels der Cstart.bat wieder in Gang, oder starten Sie das System komplett neu. Öffnen Sie nun den Manager, und ändern Sie den Default-Server-Namen auf den neuen Namen. Kontrollieren Sie im Admin-Menu, daß der Server-Namen richtig erscheint. Wählen Sie dazu den Punkt BrightStor AB System Account aus. Wenn Sie sich entscheiden, den Namen hierüber zu ändern, müssen Sie die Dienste anschließend auch neu starten. 12 Ausgabe 12/2002 31 h HOTLINE ARCserve 2000 englisch ARCserve 2000 deutsch ARCserve 2000 ASO Basis Produkt Updates QO29368.CAZ (SP4 QO28915) QO29003.CAZ (SP4 QO28915) QO27942.CAZ (SP4) QO27941.CAZ (SP4) QO27928.CAZ (SP4) QO27920.CAZ (SP4) QO23827.CAZ (SP4) QO22113.CAZ (SP4) QO20824.CAZ (SP4) QO19741.CAZ (SP4) QO19666.CAZ (SP4) QO19251.EXE QO19353.CAZ (SP4 QO19352.CAZ (SP4) QO19351.CAZ (SP4) QO05692.CAZ (SP4) LO85115.CAZ (SP3) QO23524.CAZ (SP4) Client Agenten QO29236.CAZ QO28844.CAZ QO24149.CAZ (SP4) QO19337.CAZ LO86966.CAZ Device Support QO28915.CAZ (SP4) Agent for Open Files QO27937.CAZ QO29368.CAZ (SP3, QO28915) QO29003.CAZ (SP3, QO28915) QO27942.CAZ (SP3) QO27941.CAZ (SP3) QO27928.CAZ (SP3) QO27920.CAZ (SP3) QO22619.CAZ QO22113.CAZ (SP3) QO20824.CAZ (SP3) QO19741.CAZ (SP3) QO19668.CAZ (SP3) QO15579.CAZ (QO15176) QO15331.CAZ QO15176.CAZ (SP3) QO09494.CAZ QO06336.CAZ QO04949.CAZ (SP3) QO00944.CAZ (SP3) QO00943.CAZ (SP3) QO29368.CAZ QO29003.CAZ QO22113.CAZ QO20824.CAZ QO19741.CAZ QO19353.CAZ QO19352.CAZ QO19351.CAZ QO15579.CAZ QO15571.CAZ QO15331.CAZ QO15178.CAZ QO10201.CAZ QO08105.CAZ QO05189.CAZ QO00944.CAZ QO00943.CAZ LO98929.CAZ ohne QO19339.CAZ QO28915.CAZ (SP3) QO20992.CAZ (SP3) QO28915.CAZ (SP4) QO10908.CAZ QO01917.CAZ QO22616.CAZ QO14476.CAZ LO90527.CAZ Disaster Recovery QO28649.CAZ (SP4) QO20404.CAZ (SP4) Exchange QO22840.CAZ (SP4) LO94975.CAZ HOTLINE Lotus Notes QO22886.CAZ (QO22616) QO21794.CAZ (SP4) QO10195.CAZ SQL LO91562.CAZ Image Option QO17318.CAZ Oracle QO23524.CAZ (SP4) Serverless Backup QO20992.CAZ (SP4) (QO28915) (QO15178) (QO15178) (QO15178) (QO15178) ARCserve 7.0 NetWare QO29270.CAZ (QO24239) QO28648.CAZ (QO05996) QO27406.CAZ (QO05996) QO24763.CAZ (QO08364) QO24478.CAZ (QO12831) QO24373.CAZ (QO20942) QO24239.CAZ (QO16426) QO23731.CAZ (QO05996) QO20942.CAZ (QO05996, QO12831, QO16426) QO20907.CAZ (QO05996) QO19341.CAZ (QO12831, QO05996) QO17320.CAZ (QO05996) QO16426.CAZ (QO05996, QO12831) QO15463.CAZ (QO05996) QO12831.CAZ (QO05996) QO11242.CAZ (QO05996) QO08364.CAZ (QO05996) QO06599.CAZ (QO05996) QO05996.CAZ Client Agenten QO28844.CAZ QO19337.CAZ Device Support QO30065.CAZ (QO05996) Agent for Open Files QO30072.CAZ Disaster Recovery QO16630.CAZ QO13758.CAZ (SP3) QO06202.CAZ (SP3) LO85115.CAZ (SP3) QO19351.CAZ (QO15176) QO22831.CAZ (SP3) QO13760.CAZ QO22840.CAZ QO15790.CAZ LO89345.CAZ (LO85115) QO10199.CAZ QO10201.CAZ LO95010.CAZ (SP3) ohne QO10618.CAZ QO10618.CAZ QO23524.CAZ (SP3) QO23524.CAZ QO12765.CAZ QO20992.CAZ (SP3) QO06297.CAZ (SP3) QO20992.CAZ QO06297.CAZ Groupwise Agent QO11943.CAZ Storage Area Network QO14907.CAZ LO98879.CAZ Patches Tape Library Option LO98883.ZIP (QO05996) CAZIPXP.EXE für alle zum Entpacken der .CAZ Dateien. Für Brightstore ARCserve Version 9 sind noch keine Patches vorhanden. 12 Ausgabe 12/2002 32 426) Neue Patches in der Übersicht ARCserve 2000 in Systemen auf, bei denen die Cross-Platform SAN Option zwischen NetWare und Windows Servern verwendet wird. (SP4 engl. bzw. SP3 dt.) QO29368.CAZ Alle (dt./ engl.) Die Fehlermeldung im ARCserve Log: Unable to connect to group tritt in Aufträgen auf, bei denen Daten wiederhergestellt werden sollen. Wenn die Tape Engine im Debug Modus läuft, steht im Tape.log die Meldung: Error in connecttotape(), The Tape in the slot xx is differnet from what the enduser wanted. (Voraussetzung SP4 engl. oder SP3 dt., für ASO Version keine) QO29236.CAZ AE/WG (engl.) Dieser Patch für den OpenVMS Agenten behebt den Timeout während der Sicherung eines entfernten Servers sowie den Fehler, daß beim Sichern in einigen Verzeichnissen der Sys-Platte Dateien übersprungen werden. QO28844.CAZ AE/WG (engl.) QO29003.CAZ Alle (dt./ engl.) Diese Aktualisierung des NWagent für NetWare auf den Universal Nwagent Build 260 (Build 260.001 für Fstape2.nlm) kann eingesetzt werden für: - BEB 10.0 für Windows NT/2000 - BEB 10.0 für Unix - ARCservce 2000 AE für Windows NT/2000 - ARCserve 7.0 für Netware und - ARCserve 7.0 für Linux. (Auf der Serverseite müssen die letzten Service Packs für BEB und ARCserve 2000, QO19341 für ARCserve 7.0 für Netware, und QO19342 für ARCserve 7.0 für Linux eingesetzt sein.) Die CRC Überprüfung schlug fehl, wenn die Option Scan Backup Media Contents ausgewählt wurde. Dies passiert bei Aufträgen bei denen Datenbank / Registry Sitzungen bandübergreifend abgelegt wurden. Im ARCserve.log erscheint die Fehlermeldung: E3841 Unable to find session number. (Voraussetzung QO28915 sowie SP4 engl. bzw. SP3 dt. Für ASO muß nur QO28915 eingespielt sein.) QO27942.CAZ AE/WG (dt. / engl.) Im Datenbank-Manager wurden Bänder nicht richtig sortiert, wenn man diese nach dem Datum ihres Zerstörens sortierte. (vorweg SP 4 engl. bzw. SP3 dt.) QO24149.CAZ AE/WG (engl.) Nach Einsatz des SP4 für ARCserve 2000 kann IPX nicht mehr verwendet werden, wenn der Universal Nwagent für NetWare eingestezt wird. (Voraussetzung SP4 engl.) QO27941.CAZ AE/WG (dt. / engl.) In ARCserve 2000 wurden neu eingelegte Bänder nicht mehr registriert, nachdem das SP4 für ARCserve eingespielt wurde. (SP 4 engl. bzw. SP3 dt.) QO28915.CAZ Alle (dt. / engl.) Die Unterstützung für neueste Bandlaufwerke und Changer behebt gleichzeitig neun verschiedene Fehler die u.U. auftreten können. Wenn die Disaster Recovery (IDR) vorhanden ist, müssen nach Einspielen des Patches neue Bootdisketten erstellt werden. (Voraussetzung SP4 engl. oder SP3 dt., für ASO keine) QO27928.CAZ AE/WG (dt. / engl.) Nach Einspielen des SP4 von ARCserve 2000 können zeitgesteuerte Aufträge nicht länger an ein Band angehangen werden, wenn sich dieses im Save Set befindet. Wenn Aufträge auch auf Bänder, die sich im Scratch Set befinden, angehangen werden sollen, muß ein Registry Eintrag hinzugefügt werden: HKEY_LOCAL_MACHINE\\SOFTWARE \\ComputerAssociates\\ARCserveIT\\Base \\Task\\Common\\AppendToSaveSet. (SP4 engl. bzw. SP3 dt.) Für manche Patches wird der vorherige Einsatz von Service Packs oder früherer Patches vorausgesetzt In der Patchbeschreibung wie auch in der Liste der empfohlenen Patches stehen diese Voraussetzungen in Klammern hinter den jeweiligen Files). QO27920.CAZ AE (dt. / engl.) Nach Einsatz des SP4 für ARCserve 2000 taucht der Error 203 Capeer failed to initialize () EE = Enterprise Edition; AE = Advanced Edition; WG = Workgroup / Single Server / Small Business Edition; ASO = Advanced Storage Option; W2K = Windows 2000 Edition; ELO = Enterprise Library Option; VLO = Virtual Library Option; NLO = Network Library Option 12 Ausgabe 12/2002 33 h HOTLINE QO27937.CAZ AE/WG (engl.) Fstape2.nlm). Einsatzmöglichkeiten und Voraussetzungen siehe oben. Dieser Patch verhindert einen Blue Screen, wenn der Open File Agent und MSMQ gleichzeitig auf einem System installiert sind. QO28648.CAZ Wenn ein Auftrag modifiziert wurde, gab es folgende Probleme. Eine NWAgent Node wird in der falschen Lokation angezeigt. Eine Extra Node wird im Agent Tree angezeigt. NDS Nodes werden falsch dargestellt. Aufträge laufen nicht, wenn Nodes während der Modifikation des Auftrages expandiert waren. Die Option zum Wiederholen der Aufträge stehen wieder auf Standard. (Voraussetzung QO5996.CAZ) QO28649.CAZ AE/WG (engl.) Es gab ein Problem mit der Disaster Recovery, welches nach einigen Neustarts mit DR auftritt. Die Fehlermeldung lautet: Windows 2000 could not start because of a computer disk hardware configuration problem. Could not read from the selected boot disk. Check boot path and disk hardware. Please check the Windows 2000 documentation about hardware disk configuration and your hardware reference manuals for additional information. QO27406.CAZ Wurde einAuftrag modifiziert, wird der Media Pool Name als Default angezeigt, auch wenn dies geändert wurde. (Voraussetzung QO5996.CAZ) ARCserve 7 für NetWare QO24763.CAZ Nach dem Mergen eines Bandes kann man im Restore Manager nicht mehr den Baum der NDS expandieren, weder im Tree View noch im Session View. (Voraussetzung QO08364.CAZ) QO29270.CAZ Dieser Patch behebt folgende Probleme. Die Option Force Decompression ist ausgeschaltet, wenn ein Job modifiziert wurde. Wenn ein Auftrag modifiziert wurde, wird ein neuer Bandname im Auftragsfenster nicht angezeigt. Wenn die Option Delete Files bei einem Copy Job eingeschaltet wird, wird eine Mirror Operation durchgeführt. (Voraussetzung QO24239) QO30065.CAZ Unterstützung für die neuesten Bandlaufwerke und Changer. (Voraussetzung QO5996.CAZ) QO30072.CAZ QO28844.CAZ Dieser Patch behebt den Fehler, der beim Laden des Open File Agent auf einem NetWare 5.1 Server mit SP5 auftritt. Die Fehlermeldung lautet: TRAP ERROR 05/ 02,D1821228=CC E 2 75 d1 8b 0c ff a1 fc. Dieser Patch aktualisiert den Nwagent für NetWare auf den Universal Nwagent Build 260 (Build 260.001 für HOTLINE QO11943.CAZ Die aktuelle Liste unterstützter Geräte finden Sie unter: esupport.ca.com. Das Setup des GroupWise Agent schlägt fehl, wenn eine Domaine oder ein Post Office Pfad mehr als acht Zeichen enthält. Dieser Patch behebt das Problem DEUQ328145I.exe 437 KB GERQ323171I.exe 277 KB Das aktuellles Security Update für Windows NT in der deutschen Version behebt den Security Bug Certificate Validation Flaw Could Enable Identity Spoofing. Das aktuellles Security Update für Windows NT in der deutschen Version behebt den Security Bug Flaw in Digital Certificate Enrollment Component Allows certificate Deletion. Q328145I.exe 365 KB Q323172I.exe 275 KB wie zuvor für die englische Version wie zuvor für die englische Version Patches 12 Ausgabe 12/2002 34 DS617.exe 686 KB NW6NSS2B.exe 2302 KB Neue NDS-Version für die Netware 4.11 und 4.2. In diesem Update finden Sie die Dateiversionen DS.nlm v6.17 und DSREPAIR.nlm v4.72d. Es behebt Schema Synchronisations Probleme zu den NDS Versionen 8.6.x und 8.7.x auf Windows NT Systemen. Der Netware 4.x Server muß min. SP9 haben. Näheres hierzu finden Sie in der TID 2963473. Das Support Pack 2B für das neue NSS File System der Netware 6.0 beinhaltet u.a. ConsoleOne Snapins und die NSS-Module der Netware 6. EDIR862SP2A.exe 5209 KB Das Novell eDirectory v8.6.2 Support Pack 2A für die Betriebssystemplattformen Novell, Windows NT und 2000 darf nur auf einer eDirectory Version 8.6.2 installiert werden, jedoch nicht auf einer Netware 4.x oder 5.0 einer NDS 6.x, 7.x, 8.x, 8.5.x, 8.7.x. NAM21SP1.tgz 12077 KB Mit dem Patch für die Novell Account Management v2.1 werden hauptsächlich NSS- und Login-Performance-Probleme behoben. ZFD32SP1SERVER.exe 82200 KB OPLOC514.exe 789 KB Bei diesem Update der Module FILESYS.nlm und NCP.nlm für Netware 5.1 mit SP4 ist es wichtig, daß der Patch nur bei installiertem SP4 und Traditional Volumes verwendet wird. Mit diesem Update wird das Opportunistic-Locking des Types 2 unterstützt. Mit diesem Update des Tools TRUSTEE.nlm für die Netware 4.x, 5.x und 6.x können Sie die Trusties eines Netware Servers in eine Datei schreibenm um diese einzeln zu sichern. WCNICIU0.exf 1213 KB Wie NICI_U0.exf für Windows 95/ 98/NT/2000 (s. oben) Das Update für die NICI-Technologie (Novell International Cryptographic Infrastructure) auf die Version 2.4.2 für Novell Netware enthält die unlimitierte Strength Cryptography Version für fast alle Länder. Mit diesem Patch für Novell ZenWorks for Desktops v3.2. läßt sich die Sybase Datenbank ohne die Abfrage Active connections do you want to unload any way ? (Y/N) schließen, so daß ein Backup ohne Probleme durchlaufen kann. NOVLNIU0-2.4.2.z 887 KB ZFD32SP1CLIENT.exe 11166 KB In Datei befinden sich die clientspezifischen Files und Updates des SP1 für ZenWorks for Desktops v3.2. die sind. Das SP1 für Clients ersetzt in Verbindung mit der ZFDSP1SERVER.exe (s.oben) ebenfalls alle bislang veröffentlichten Patches. ZFS3SP1.exe 111915 KB ZD32SYBK.exe 92 KB Mit diesem Patch für die Netware 5.1 wird ein Speicherproblem des NMAS.nlm in Verbindung mit den Modulen CIFS und AFP behoben. In diesem Update finden Sie das Service Pack 1 für Novell ZenWorks for Desktops Version 3.2, mit Files und Updates, die serverspezifisch sind. Das SP1 für Server ersetzt in Verbindung mit der Datei ZFDSP1CLIENT.exe (s.unten) alle bislang veröffentlichten Patches für die ZenWorks for Desktops Version 3.2. TRUST110.exe 110 KB NICI_U0.exf NMASPT2.exe 184 KB 10062746 vorgehen. In diesem Update finden Sie die hierzu nötigen NCF-Dateien, die diesen Prozeß erheblich vereinfachen. ZD3XJVM.exe 93 KB Um das ZenWorks for Desktops 3.x Inventory mit der JAVA-Version 1.2.2_006 oder 1.3 zum Laufen zu bringen, mußte man nach der TID Das Support Pack 3 für Novell ZenWorks for Servers beinhaltet Updates für alle Produkte, die zum Lieferumfang gehören. In diesem Update wurden nur Readme Dateien zur Patch-Version vom Oktober 2002 geändert. ZFS3SP1MANW5.exe 165 KB In diesem Update finden Sie das Server Management Agent NLM für Novell ZenWorks for Servers v3.0 mit Service Pack 1. NICI für Sun Solaris (s. oben) Neu auf der TN MonatsCD 12/2002 Novell DS617.exe 686 KB EDIR862SP2A.exe 5209 KB NAM21SP1.tgz 12077 KB NICI_U0.exf NMASPT2.exe 184 KB NOVLNIU0-2.4.2.z 887 KB NW6NSS2B.exe 2302 KB OPLOC514.exe 789 KB TRUST110.exe 110 KB WCNICIU0.exf 1213 KB ZD32SYBK.exe 92 KB ZD3XJVM.exe 93 KB ZFD32SP1CLIENT.exe 11166 KB ZFD32SP1SERVER.exe 82200 KB ZFS3SP1.exe 111915 KB ZFS3SP1MANW5.exe 165 KB 12 Ausgabe 12/2002 35 Microsoft DEUQ328145I.exe 437 KB GERQ323171I.exe 277 KB Q323172I.exe 275 KB Q328145I.exe 365 KB BinTec B6205P01.x8a 1707 KB B6205P02.x2c 1645 KB h HOTLINE BINTEC X-Router Security Teil 1: v6.2.5 mit Stateful Inspection Firewall Von Hardy Schlink Interessante Funktionen der Router System-Software 6.2.5 erweitern das letzte Relaese 6.2.2 noch einmal erheblich. Die Stateful Inspection Firewall, IPSec Callback und PPTP Passthrough sind hinzugekommen, außerdem die Bündelung von PRI-Hyperchannels, eine Erweiterung der BinTec RIP-Implementierung und ein zeitgesteuertes Ausführen von Befehlen in der SNMP-Shell. Ein Modem-Update ist ebenfalls inbegriffen. W Wenn Ihr Router mit einer Software arbeitet, die jünger als die Version 6.1.2 ist, z.B. 5.1.6 oder noch älter, und Sie die aktuelle System-Software 6.2.5 einsetzen möchten, so wird es erforderlich werden, den Boot-Monitor und die Logik(en) des Systems zu aktualisieren. Hierfür steht das sogenannte 6.1.2 BLUP zur Verfügung, das BinTec Large Update, welches bereits alle benötigten Dateien enthält. Nach dem Einspielen des BLUP kann die aktuelle Version 6.2.5 installiert werden. HOTLINE Wenn Sie vorhaben, die SystemSoftware Ihres Routers auf den neusten Stand zu bringen, so sollten Sie ebenfalls in Erwägung ziehen, die Application-Suite BrickWare in der neuesten Version auf Ihrer Management-Workstation zu installieren. Weiterhin sollten Sie beachten, daß die Logik der Modem-Module ebenfalls aktualisiert werden muß, sofern Sie einen Router der X4000-Familie oder ein X8500-System im Einsatz haben. Die Dateien stehen auf dem BinTec Web-Server. Die folgenden Beschreibungen der neuen System-Software-Funk- tionen sind der Aktualität halber einer Vorabversion der ReleaseNotes 6.2.5 der Firma BinTec entnommen. Kleinere Fehler sind daher eventuell nicht auszuschließen. Allerneueste Information finden Sie unter www.bintec.de, wo auch die neue System-Software 6.2.5 bereitsteht, u.a. auch BLUP und eine Anleitung zur Installation. Inspection Firewall Die Implementierung der Stateful Inspection Firewall (SIF) stellt wohl den größten Mehrwert der neuen SystemSoftware 6.2.5 dar. Hierdurch wird die Sicherheit der Systeme auf den allerneuesten Stand der Technik gehoben. Allein aus diesem Grund lohnt sich der Update auf die Version 6.2.5. Dynamisch Die Technologie der StatefulInspection-Firewall hat gegenüber der statischen Paketfilterung einen entscheidenden Vorteil. Beim statischen Paket-Filter wird die Entscheidung über das Weiterleiten von Paketen auf Basis der Quell- und Zieladressen oder der verwendeten Ports getroffen. Im Gegensatz hierzu wird bei der dynamischen Paketfilterung (SIF) der Zustand (State) zum Kommunikationspartner überprüft. Pakete werden nur weitergeleitet, wenn Sie zu einer aktiven Connection gehören. Dies bedeutet, daß die Daten nur dann zum Partner übertragen werden, wenn die Kontrolle der Source- und Destination-Adresse, des Services (Protokoll und Portnummer) und zusätzlich des Verbindungsstatus erfolgreich verläuft. Sollten Pakete zum Datentransfer anstehen, die aber keiner bestehenden Verbindung zugeordnet werden können, so werden diese einfach ignoriert, z.B. Echo-Requests des Ping-Utility. BinTec SIF leitet aber die Pakete einer sogenannten aktiven Tochterverbindung weiter, um z.B. die Eigenheiten des FTP-Protokolls zu berücksichtigen. FTP benutzt bei der Aushandlung einer Verbindung Port 21, die anschließende Datenübertragung kann aber über einen völlig anderen Port stattfinden. Abgestimmt BinTec legte bei der SIF-Implementierung größten Wert auf eine reibungslose Integration in die bestehende Sicherheitsarchitektur. Die 12 Ausgabe 12/2002 36 Konfiguration (s. Abb. 1) erfordert dabei einen geringeren Aufwand als z.B. die der Network Ad dress Translation oder der IP Access Lists (IPAL). Da die drei Sicherheitsmechanismen SIF, NAT und IPAL zur gleichen Zeit ihren Dienst verrichten, gilt es auf mögliche Beeinflussungen zu achten. Sollte ein Paket von einem Sicherheitsmechanismus bearbeitet und entsprechend der konfigurierten Regeln verworfen werden, so tritt diese Aktion sofort in Kraft, unabhängig davon, ob ein anderes Sicherheitsfeature das gleiche Pakete zulassen würde. Daher sollten Sie sich vor der Konfiguration der Sicherheitsfunktionen erst einmal ein klares Bild von den Anforderungen machen, um eine sauber abgestimmte Technologie optimal verwenden zu können. SIF, NAT und IPAL Um die Unterschiede zwischen SIF, NAT und IPAL zu skizzieren, sei folgendes gesagt. Bei SIF werden die definierten Regeln global angewendet. Sie sind nicht auf ein bestimmtes Interface beschränkt. SIF läßt zwar bei der Konfiguration die Interfaces als Filterkriterium zu, ähnlich wie bei der Source- und Destination Adresse, doch kann ein Paket aufgrund der Quell- und Zieladresse nicht weiter differenziert werden, wie es bei NAT und IPAL der Fall ist. Vom Prinzip her werden aber auf den Datenverkehr dieselben Filterkriterien angewendet. Dies sind im einzelnen die Source- und Destination IP-Adresse des Pakets (eventuell mit der zugehörigen Subnet Mask), und zusätzlich die Filterung aufgrund des Interfaces bei der Stateful Inspection Firewall. Hinzu kommen Service (z. B. ICMP, FTP, HTTP), Protokoll und Portnum-mer(n). Um die Unterschiede der Paketfilterung vor Augen zu führen, möchte ich die einzelnen Sicherheitsinstanzen und deren Funktionsweisen erläutern, und zwar in der Reihenfolge, wie sie der Bintec-Router auch Tatsächlich anwendet. Beachten Sie bitte, daß sich unsere Betrachtung auf ein Paket bezieht, welches von außerhalb am Router ankommt. NAT Die Hauptaufgabe der Network Address Translation ist es, lokale IP-Adressen des LAN in die globale(n) IP-Adresse(n) umzusetzen, die Sie von Ihrem Internet-Service- Abb. 1: SIF-Konfiguration Provider erhalten Geregelt haben. Auch die Umkehrung dieser Funktion, globa- Jedes eingehende Paket wird von SIF le in lokale IP-Adresse(n) zu wandeln zuerst dahingehend überprüft, ob es gehört zum NAT Spektrum. Alle Ver- zu einer bereits bestehenden Verbinbindungen, die von außerhalb - z.B. dung zugeordnet werden kann. Bei über das Internet - initiiert werden, einer positiven Bestätigung wird das blockt der Router von vorneherein ab. Paket an die entsprechende DestinaDas heißt, jedes Paket, welches vom tion übergeben. Sollte ein Paket aber Router nicht zu einer bereits beste- keiner gültigen Connection zugewiehenden Connection zugeordnet wer- sen werden können, so erfolgt ein den kann, wird verworfen. Es ist also Check, ob eine Verbindung denn zu nur möglich, eine Verbindung von in- erwarten ist, z.B. eine Tochternen nach außen, vom LAN zum verbindung einer aktiven Connection Internet, aufzubauen. Wenn Sie kei- wie FTP. Sollte dies der Fall sein, so ne speziellen Ausnahmen im NAT- wird das IP-Paket ebenfalls erlaubt. Menü konfiguriert haben, wird jeder Besteht aber keine aktive oder zu erZugriff aus dem WAN auf das LAN wartende Verbindung für ein IP-Paabgewehrt. ket, erfolgt die Anwendung der SIF Filterregeln. Paßt das Paket auf eine Deny-Regel, so wird es verworfen, SIF ohne den Absender mit einer FehlerNachdem die IP-Pakete die NAT-Fil- meldung über den Verbleib der Dater durchlaufen haben, greifen die ten zu informieren. Wird das Paket Funktionen der Stateful Inspection hingegen von einer Reject-Regel beFirewall. Wie eben erläutert, wehrt arbeitet, so erhält der Absender eine NAT jeden Zugriff von außen auf das Meldung: ICMP Host unreacha interne Netzwerk ab. Konfigurieren ble. Ein Paket wird nur weitergeleiSie aber in der SIF spezielle Geneh- tet, wenn seine Adreßinformationen migungen, so werden diese auf die auf eine Pass-Regel zutreffen. Für den NAT-Einstellungen übertragen. Hier- Fall, daß überhaupt keine Filterregel aus resultiert, daß man die erwünsch- angewandt werden kann, wird das ten externen Verbindungen bei der Paket nach Überprüfung sämtlicher NAT-Konfiguration erst einmal nicht Regeln abgewiesen, und zwar ohne beachten muß, wenn SIF eingesetzt den Sender über den Verbleib des Pawird. SIF sorgt dafür, daß alle Pakete ketes zu informieren. geblockt werden, die nicht explizit Die IP Access List schließlich übererlaubt wurden. Falls ein Paket prüft die IP-Pakete anhand der weiter gedropt wird, kann je nach Konfigu- oben erwähnten Kriterien. Es erfolgt ration des Routers, ein Deny erfolgen, keine Berücksichtigung des Status bei dem keine Fehlermeldung an den der Verbindung. Sender zurückgeschickt wird. Alternativ hierzu ist es möglich, dem Sen- In der nächsten TN geht es u.a. um der eine Reject-Message zukommen IPSec Callback, PPTP Passthrough, zu lassen, die über die Ablehnung des PRI-Hyperchannels und die RIP-ImIP-Pakets informiert. plementierung. 12 Ausgabe 12/2002 37 h HOTLINE SONICWALL Internet Security Appliances Teil 1: Sicherheitsmerkmale und Features Bei den SonicWall Security Appliances handelt es sich um umfassende Sicherheitslösungen, die das Netzwerk vor den verschiedensten Angriffen absichern und schützen. Wir wollen Sie mit den intelligenten Internet Security Appliances von SonicWall vertraut machen, Ihnen die Features vorstellen und bei der Installation helfen. HOTLINE D Die Geräte von SonicWall bieten umfangreiche Sicherheitsmerkmale für die Internet Security von kleinen bis großen Unternehmen. Sie entdecken und verhindern automatisch sogenannte Denial of Service (DoS)-Attacken wie Ping of Death, SYN Flood, LAND Attack oder IP-Spoofing. Neben dem Filtern von Web-Inhalten ist das Loggen von sicherheitsrelevanten Ereignissen vorgesehen. Für die verschlüsselte Übertragung von Daten zu Geschäftspartnern oder Filialen schirmt die VPN-Implementierung die unsicheren Wege im Internet ab. Integriert wurde das Virtual Private Networking in die Produkte TELE3, Pro 200, Pro 300 und in die GX-Serie. Für andere Appliances steht ein entsprechendes Upgrade zur Verfügung. SonicWall bietet einen hohen Sicherheitslevel, weil Sie automatisch informiert werden, sobald eine neue Firmware freigegeben wurde. Anschließend zeigt das Web-Management-Interface einen Link an, unter dem die aktuelle FirmWare zu finden ist. Es folgt die sofortige Installation. Sollte es neue ReleaseNotes geben, erhalten Sie via E-Mail hierzu die entsprechenden Informationen. Bei der Installation und Kon- figuration hilft Ihnen der Installation Wizard (vgl. Abb. 1), wir werden ihn beim nächsten Mal genauer kennenlernen. Die Dokumentation der Appliances steht Ihnen über das WebManagement-Interface online zur Verfügung. ICSA-zertifiziert Unternehmens gegen die vielfältigsten Angriffe zu schützen, verwenden alle Internet Security Appliances von SonicWall die Statefull Packet Inspection, die wohl effektivste Form des FireWallFiltering von IP-Traffic. Die Verbindung der Management-Workstation zum SonicWall Web-Interface wird durch die MD5-Authentication abgesichert, wobei hier eine verschlüsselte Datenübertragung zwischen den beteiligten Geräten stattfindet. Durch die Authentifizierung wird z.B. verhindert, daß nicht-authorisierte Personen das Paßwort abfangen können, welches über das Netzwerk übertragen wird. Security Features Nach dem Bestehen einer Reihe von Bevor wir zur eigentlichen KonfiguTests wurde den SonicWall Internet ration der Firewalls kommen, interSecurity Appliances die FireWall- essiert Sie sicherlich, welche Features Zertifikation der ICSA verliehen. Die- Ihnen mit dem Erwerb einer Sose international anerkannte Instituti- nicWall Internet Security Appliances on hat es sich zur Aufgabe Abb. 1: Internet Security Appliance Wizard gemacht, Fire Wall-Systeme auf ihre Sicherheit und Zuverlässigkeit hin zu untersuchen. Erreicht wurde die Zertifizierung durch eingehende Tests der implementierten Stateful Packet Inspection. Um die Daten eines 12 Ausgabe 12/2002 38 überhaupt zur Verfügung stehen. Es sind etliche. Daher wollen wir zunächst etwas näher auf die Ausstattung der Geräte eingehen. Network Access Die Network Address Translation sorgt für das Umsetzen der privaten IP-Adressen in eine einzelne, öffentliche IP-Adresse, die anschließend für das Internet-Routing verwendet wird. NAT erlaubt es, mit nur einer vom ISP zugewiesenen IP-Adresse mehrere Computer mit dem Internet zu verbinden. Vom Hersteller aus wird per Default nur ausgehender Datentransfer erlaubt. Eingehende Verbindungen werden aus Sicherheitsgründen erst einmal verhindert. Sie haben durch die Definition von sogenannten Network Access Rules jederzeit die Möglichkeit, ausgehende Connections zu bestimmten InternetDiensten einzuschränken, oder eingehenden IP-Traffic zu bestimmten internen Web-, Mail- oder FTPServern oder zu weiteren Services zu erlauben. Die Systeme Pro 100, Pro 200 und Pro 300 verfügen über einen zusätzlichen DMZ-Port, der Ihnen die Option anbietet, Zugriff auf öffentliche Server für Ihre Benutzer zu implementieren. Auch wenn die Internet-User uneingeschränkten Access in die Demilitarisierte Zone haben, werden die Server weiterhin gegen DoS-Attakken geschützt. Content Filter Verwendet wird das sogenannte Content Filtering, um die InternetAccess-Policies zu verschärfen. SonicWall kann den Zugriff auf spezielle Kategorien von Web-Inhalten - z.B. Drogen, Gewalt, Alkohol oder Sex - durch die Verwendung einer optionalen Content Filter List verhindern. Doch besteht die Möglichkeit, die erwähnte Liste zu umgehen, indem für bestimmte Anwender eine Authentication mit Usernamen und Paßwort definiert wird. Da sich die Internet-Inhalte permanent ändern, kann die optionale Content-Filter-List automatisch auf den aktuellen Stand gebracht werden, um sicher zu stellen, daß der Zugriff auf neue nicht gewünschte Webseiten und News-Groups von vorneherein nicht gestattet wird. Durch entsprechende Konfiguration können Sie Einfluß nehmen, ob der Zugriff auf Web-Seiten geloggt und blockiert wird, oder aber nur mit einem LogEintrag versehen wird. Mit Filter-Protokollen kann der Zugriff auf Webpages weiter eingeschränkt werden, da Newsgroups, ActiveX, Java, Cookies und Web-Proxies gesperrt werden können. Reporting Der SonicWall-Administrator kann über Log Categories bestimmen, welche Informationen im Event-Log angezeigt werden sollen. Sie erreichen den Event-Log entweder über das Web-Mana gement-Interface oder durch den Empfang von entsprechenden E-Mails. Zusätzlich zum Standard Screen-Log können Sie sehr detaillierte Informationen des EventLog zu einem externen Syslog-Server senden. Bei dem Syslog-Protokoll handelt es sich um einen Industrie-Standard zum Sammeln von Daten zur Netzwerkaktivität. Das Überwachen von kritischen Netzwerkereignissen und Aktivitäten wie Sicherheitsverletzungen, unpassende Benutzung der Web-Dienste und Bandbreitenbelegung sind essentielle Komponenten der Netzwerksicherheit. ViewPoint vervollständigt die Sicherheits-Features durch das Bereitstellen eines umfassenden Reports zur Netzwerk-Aktivität. Bei SonicWalls ViewPoint handelt es sich um eine Applikation, die dynamische Browser-basierende Berichte erstellt, als Realtime und Historical Reports. Mit Hilfe des SNMP-Protokolls sind die Administratoren in der Lage, den Status der Internet-Security-Appliances zu überwachen. Auch der Empfang von kritischen Ereignissen ist möglich, sollte es Probleme geben. Die Appliances können aber auch so eingestellt werden, daß hochpriorisierte Ereignisse wie Hacker-Attakken, Systemfehler und geblockte 12 Ausgabe 12/2002 39 Webseiten via E-Mail Alerts an den Administrator oder andere zuständige Personen gesendet werden können. Hierbei kann bestimmt werden, ob die Messages an eine E-MailAdresse oder E-Mail Pager weitergeleitet werden sollen. DHCP Mit Hilfe des integrierten DHCPServers können den angeschlossenen Arbeitsstationen schon beim Boot-Vorgang über das Dynamic Host Configuration Protocol die IPKonfigurationsdaten dynamisch zugewiesen werden. Die übermittelten Informationen beinhalten die IP-, Gateway- und DNS-Adressen. Die DHCP-Client-Implemetierung der SonicWall-Produkte erlaubt den Empfang dieser Adressen vom Internet-Service-Provider, sobald eine Verbindung ins Internet aufgebaut wird. Diese Funktion wird zum dynamischen Empfang der IPAdresse benötigt. IPSec VPN SonicWall VPN ermöglicht sichere Verbindungen zu Geschäftspartnern oder Außenstellen über das Internet. Die Daten werden per IPsec in verschlüsselter Form ausgetauscht. Mobile Anwender, die einen Dial-Up Internet Account nutzen, können mit Hilfe des SonicWall VPN-Client eine gesicherte Verbindung zum Unternehmensnetzwerk initiieren. Nach erfolgreichem Aufbau kann der transparente Zugriff auf die Ressourcen des entfernten LAN stattfinden. Die SonicWall Pro 200 beinhaltet bereits zehn VPN Client für das sichere Remote-Management. Zur Pro 300 gehören bereits 200 VPNClient-Lizenzen für den RemoteZugriff. Für die Skalierbarkeit wurde gesorgt, die 10-, 50- und 100User-Lizenzpakete für den VPNClient separat erworben werden können. Beim nächsten Mal werden wir uns mit der Installation und der Konfiguration der Internet Security Appliances beschäftigen. h HOTLINE CISCO Tunnel-Anschluß Teil 2: VPN-Client 3.6 und Cisco Pix Von Jörg Marx Im ersten Beitrag hatten wir gezeigt, wie Sie den VPN-Client konfigurieren müssen, um mit einem Cisco IOS Router zu sprechen. Diesmal möchten wir Ihnen anhand eines Beispiels erklären, wie dieser Client mit der Cisco Pix zusammen arbeitet. D Da die Cisco Pix über kein reines IOS verfügt, liegen hier einige Dinge etwas anders. In unserem Beispiel verbindet sich ein Cisco VPN-Client v3.6 über eine Cisco Pix mittels RadiusAuthentifizierung auf ein LAN. Die Cisco Pix sollte in diesem Fall mindestens über die Software Version 6.1.1 verfügen, weiterhin sollte eine DES- oder besser noch eine 3DESVerschlüsselung möglich sein. Abbildung 1 verdeutlicht, wie unser Beispiel aufgebaut ist. Abb 1: VPN-Client v3.6 über Pix mit Authentifizierung im LAN HOTLINE Pix Konfiguration Kommen wir also nun zur Vorbereitung der Cisco Pix. Die folgenden Kommandos zeigen natürlich keine komplette Pix-Konfiguration, sondern nur die Änderungen für die VPN-Client Konfiguration. In der Access Liste 101 wird der Traffic definiert, der aus dem Netz in den VPN-Tunnel zugelassen werden soll, gefolgt von der Inside und Outside IP-Adresse der Pix (vgl. Abb. 1). zum RADIUS Protokoll. Es folgt die Definition des entsprechenden Radius Server, die besagt, über welche IPAdresse und Interfaces dieser zu erreichen ist. Weiterhin finden Sie darin noch das entsprechende Paßwort, in diesem Fall cisco123. access-list 101 permit ip 172.10.20.0 255.255.255.0 10.1.2.0 255.255.255.0 ip address outside 14.20.10.1 255.255.0.0 ip address inside 172.10.20.1 255.255.255.0 ip local pool ippool 10.1.2.1-10.1.2.254 Das nächstfolgende Kommando sagt der Pix, das ab jetzt IPsec Traffic erlaubt ist. Mit der Definition des Transform-Sets für die Phase 2 wird festgelegt, wie das Paket verschlüsselt wird. Mit dem Anlegen der Dynamic Map für den VPN-Client geht die Definition des zu verwendeten Transform-Sets einher. Die dynamische Crypto Map wird dem statischen Crypto Map Set hinzugefügt. Nachdem auf der Pix die Authentisierung der VPN-Clients über den Radius Server mit dem Namen partnerauth aktiviert ist, binden wir die Crypto Map auf das Outside Interface. nat (inside) 0 access-list 101 aaa-server TACACS+ protocol tacacs+ aaa-server RADIUS protocol radius aaa-server partnerauth protocol radius aaa-server partnerauth (inside) host 172.18.124.196 cisco123 timeout 5 Aus dem Pool bekommt dann der VPN-Client automatisch eine IP-Adresse zugewiesen und die Access-Liste 101, die wir zuvor erzeugt haben, wird auf Network Address Translation gelegt. Mit den darauf folgenden Kommandos wird als Authentifizierungsprotokoll RADIUS aktiviert, mit einer Zuweisung des Namens partnerauth IPsec Traffic sysopt connection permit-ipsec no sysopt route dnat crypto ipsec transform-set myset esp-des espmd5-hmac 12 Ausgabe 12/2002 40 crypto dynamic-map dynmap 10 set transformset myset crypto map mymap 10 ipsec-isakmp dynamic dynmap crypto map mymap client authentication partnerauth crypto map mymap interface outside Auf die Definition der IKE Policy Configuration (Phase 1) folgt die IPsec Group Konfiguration für den VPN Client (Phase 2). isakmp isakmp isakmp isakmp isakmp isakmp isakmp enable outside identity address policy 10 authentication pre-share policy 10 encryption des policy 10 hash md5 policy 10 group 2 policy 10 lifetime 86400 vpngroup vpngroup vpngroup vpngroup vpngroup vpngroup vpnpix vpnpix vpnpix vpnpix vpnpix vpnpix Abb. 2: Definition der IP-Adresse der Pix, auf der der Tunnel terminiert werden soll. address-pool ippool dns-server 172.10.20.3 wins-server 172.10.20.3 default-domain cisco.com idle-time 1800 password ******** Wenn Sie diese Erweiterungen in Ihrer Pix-Konfiguration einfügen, haben Sie alle Änderungen für die Verbindung des Cisco VPN-Clients v3.6 geschaffen. Abb. 3: Definition des Group Policy Informationen der Pix. Client Gehen wir also jetzt an die Installation und Konfiguration des Cisco VPN-Clients in der Version 3.6. Er wird durch Aufruf der Setup-Routine installiert. Während dieses Vorgangs werden Sie nur aufgefordert, den IPsec Policy Agent von Windows 2000 zu beenden. Gehen Sie über Start / Programme auf den Cisco VPN-Client. Hier erzeugen Sie mit dem VPN-Dialer einen neuen Eintrag. In den ersten beiden Fenstern wird der Name des Dialers und die IP-Adresse des Outside Interface des Cisco Routers der Zentrale eingetragen. Beim Anwählen des Dialers werden Sie noch nach einem User-Namen und einem Paßwort gefragt. Diese sind abhängig von der Definition des dahinter liegenden Radius Server. Anschließend befinden Sie sich über einen VPNTunnel mit Ihrem remote PC im Netzwerk der Zentrale (vgl. Abb. 2 bis 4). Abb. 4: Verbindungsbildschirm des VPN-Clients. Tabelle 1 Kommando show crypto isakmp sa show crypto ipsec sa debug crypto ipsec debug crypto isakmp debug crypto engine Optionen Anzeige alle aktuellen IKE Security Associations (SA) für einen Peer alle Einstellungen die von den aktuellen SAs verwendet werden IPsec Negotiation der Phase 2. ISAKMP Negotiation der Phase 1. verschlüsselter Traffic Über den Punkt Options auf dem Dialer haben Sie die Möglichkeit, weitere Einstellungen am Client vorzunehmen. Zum einen läßt sich hierüber die implementierte Statefull Firewall ein- und ausschalten (Default: an). Zum anderen läßt sich der Zugriff auf die lokalen Laufwerke des Clients erlauben oder verbieten (Default: verboten). Sollte eine Verbindung nicht auf Anhieb funktionieren, stehen Ihnen auch auf der Pix einige SHOWund DEBUG-Kommandos zur Verfügung, die weiterhelfen (vgl. Tab 1). Tab 1: Hilfreiche SHOW- und DEBUG-Befehle der Cisco Pix 12 Ausgabe 12/2002 41 h HOTLINE COMPUTER ASSOCIATES BrightStor ARCserve v9.0 Backup für Windows NT/2000 Build 1868 Von Armin Schmuck BrightStor ARCserve Backup bringt in der Version 9.0 für Windows NT/2000 zahlreiche Verbesserungen und Änderungen. Neue Funktionen für ein automatisiertes Speichern oder für ein rationelleres Storage Networking optimieren die Backup- und Restore-Prozesse. Wir wollen Ihnen erste Neuerungen vorstellen und vor allem auch sagen, was Sie vor und bei der Installation unbedingt beachten sollten. E Erste Neuerungen unter BrightStor ARCserve v9.0 gibt es bereits bei der Installation. Sie bietet uns nun die Möglichkeit, gleich mehrere Agenten und Optionen auf einmal zu installieren. Das erweiterte Lizenz- und Registrierungs-Programm wird automatisch während der Installation aufgerufen. Die Vereinfachung und Automatisierung bringt Zeitgewinn. Nach der Installation von ARCserve v9 ist ein Neustart des Servers notwendig, da einige Dateien, Dienste und Registry-Einträge erneuert werden. Backup Server Logon und die Administration verändern. Wenn Sie BrightStor ARCserve Backup installiert haben oder bei der Installation die Auswahl des Benutzers übersprungen haben, können Sie den Backup System Account ändern. Legen Sie einfach einen neuen Benutzer an, den Sie für den System Account verwenden wollen. Rufen Sie dafür die Bsconfig.exe aus dem Verzeichnis ARCserve auf. Jetzt deaktivieren Sie S e l e c t Database und Password for Backup Server Logon and HOTLINE Backup System Account Der BrightStor ARCserve Backup System Account ist der Benutzer, den ARCserve 9 auf dem lokalen System benötigt, um Sicherungen zu fahren oder das Wiederherstellen von Daten anzustoßen. Der Backup System Account wird während der Installation von ARCserve ausgewählt und eingetragen. Er muß also vorher schon angelegt sein. Es ist dazu nicht nötig, ihm spezielle Rechte zu geben, dieses macht ARCserve automatisch bei der Installation. Der Benutzer wird dann vom System in die Gruppe der Administratoren sowie der Backup Operatoren hinzugefügt. Account Infos Mit der Bsconfig.exe können Sie recht schnell System-Account-Informationen, das ARCserve DatenbankSetup sowie das Paßwort für das Administration, lassen Sie System Account selektiert. Klicken Sie Next und tragen Sie den Benutzer ein, den Sie zukünftig verwenden wollen. Rechte Man kann übrigens auch in der Server-Konsole unter Admin die Informationen für den Backup System Account manuell eintragen. In den meisten Fällen sind die Rechte für Gruppen Administratoren, Backup Operatoren und Domain-Administra- Tabelle 1 Datenbank-Agenten - Microsoft SQL für SQL Server 6.5, 7.0 SP1 und SP2 sowie SQL 2000 SP1 und SP2 - Microsoft Exchange für Exchange 4.0 bis 5.5 mit SP4 und Exchange 2000 mit SP1 und SP2 - Lotus Notes/Domino für Lotus Notes 4.6.1 bis 5.0.10 - Oracle bis zur Version 9i - R/3 für SQL 6.5, 7.0 und Oracle 8.0.5 - Informix 7.2x und 7.3x - Sybase Adaptive Server 11.9.2 - Advantage Ingres - Open Files Agent für Windows NT/2000/XP * Verfügbare Optionen - Tape Library Option, - Storage Area Network Option - Serverless Backup Option - Network Attached Storage Option - Tape Raid Option - Image Option - Disaster Recovery Option Anm.: * SPs wie oben im Text aufgeführt Tab. 1: Von ARCserve 9 unterstützte Clients, Datenbank-Agenten und Optionen (Build 1868) 12 Ausgabe 12/2002 42 toren ausreichend, ebenso die erweiterten Rechte Act as part of operating system, Logon locally sowie Logon as a Service. Wollen Sie die in einem SicherungsScript enthaltenen Informationen bezüglich Benutzername und Paßwort ändern, so können Sie den Auftrag manuell editieren und neu übergeben oder das Utility C a _ j o b s e c m g r . e x e aus dem BrightStor ARCserve-Verzeichnis verwenden Up to date Damit dem Einsatz der neuen ARCserve-Version 9 nichts im Wege steht, ist im Vorfeld abzuklären, ob die von Ihnen eingesetzten Systeme auch von der neuen Version unterstützt werden, oder ob Sie gegebenenfalls noch Server-Betriebssysteme oder Clients vor der Installation aktualisieren müssen. Auf der Betriebssystemseite benötigen Sie generell entweder Windows NT 4.0 mit SP6A, Windows 2000 Professionell, Windows 2000 Server, Windows 2000 Advanced Server mit SP1, SP2 und SP3 oder Windows XP mit SP1. In der nebenstehenden Liste finden Sie alle unterstützten Clients, Datenbank-Agenten bzw. -Optionen. Clients - Client Agent für NT/2000/XP * - Client Agent für Windows 9x, ME - Client Agent 64-bit Windows - Client Agent für NetWare, unterstützt NetWare 4.x, 5.x und 6.x - Client Agent für Linux für Red Hat 6.1, 6.2, 7.0 bis 7.3, für SuSE 6.3, 6.4, 7.0 bis 7.3, für Caldera OpenLinux eServer 2.3 und eDesktop 2.4, für Turbo Linux Server und Workstation 6.0, sowie für Debian Linux 2.2 - Client Agent für Unix für IBM AIX 4.2, 4.3 und 5L, für HP-UX 10.20, 11.0, für SCO OpenServer 3.2 v5.0.0, für SCO UNIXWare 2.1 und 7.1.1, für Silicon Graphics (SGI) IRIX 6.5, für Sun Solaris Intel 2.6, für Sun Solaris SPARC 2.5, 2.6, 2.7, 2.8, und 2.9 sowie für Digital (DEC) UNIX 4.0 e,f,g, Tru64 v5.0, v5.1a Neue Medien Mit dem Backup to Disk kann man nun eine Sicherung auf einer Festplatte speichern. Damit wird in produktiven Umgebungen die Geschwindigkeit beim Sichern deutlich erhöht, so daß man anschließend von der Platte eine Offline-Sicherung durchführen kann. Umgekehrt wird ein performanteres Wiederherstellen von bestimmten Daten möglich. Darüber hinaus werden nun auch CDRWund DVDRW-Laufwerke unterstützt, um die Daten auf CD oder DVD zu archivieren. Storage Networking Das neue Command Line Interface erlaubt uns, das Sichern und Wiederherstellen über Batch-Dateien ausfüh- ren zu lassen oder es gleich über Unicenter zu steuern. Um die Datenströme in Ihrem Netzwerk besser zu kanalisieren, können Sie jetzt ein dediziertes Netzwerk zwischen Server- und Client-Maschine konfigurieren, vorausgesetzt es sind mehrere Netzwerkkarten vorhanden. Damit erreichen Sie eine Trennung zwischen normalem Netzwerkverkehr und dem Storage-Netzwerk. Konsequenterweise empfiehlt sich denn nun auch die NAS-Option (Network Attached Storage) als eine wesentliche Neuerung. Sie arbeitet über das Network Data Management Protocol (NDMP), so daß eine NAS-Einheit, die NDMP unterstützt, auf eine lokal angeschlossene Tape Library gesichert wird, um den Datenverkehr beim Storage und Restore zu reduzieren. Neue Neun BrightStor ARCserv Backup Workshops Computer Associates präsentierte im November mit dem Launch von BrightStor ARCserve v.9 ihre Backup-Lösung in der neuen Version. Begleitend zur Markteinführung der zukunftsweisenden Software veranstaltet CA bundesweite Workshops für Channel Partner Mit einer Workshop-Reihe zur BrightStor ARCserve Backup v.9 kommt Computer Associates ihren registrierten Channel-Partnern im wahrsten Sinne des Wortes entgegen. Im Dezember finden weitere Veranstaltungen in Düsseldorf und Nürnberg, in München und Leipzig statt. In ausführlichen Workshops informieren CA Experten über alle technologischen Neuerungen und die Highlights der brandneuen BrightStor ARCserve Backup 9. Channel Partner Registrierung Interessierte Fachhändler, die noch nicht Channel Partner von CA sind, können sich als Affiliate Partner kostenlos registrieren lassen, um von den besonderen Vorteilen zu profitieren. Eine Registrierung ist für die Anmeldung zum Workshop notwendig. Sie kann online im Compu-Shack Fachhandelsvorgenommen werden. Termine: 01.12 2002 Nürnberg 01.12 2002 Düsseldorf 05.12 2002 Leipzig 05.12 2002 München Anmeldungen zum Workshop können online bei Compu-Shack unter: www.portal.compu-shack.com in der Rubrik Workshops erfolgen. 12 Ausgabe 12/2002 43 h HOTLINE NOVELL Neu-Installation Certificate Server Von Jörg Marx Der Novell Certificate Server gehört zu den wichtigen Bestandteilen eines NetWare Servers, da sehr viele Services ohne diesen nicht sauber funktionieren. Probleme mit dem Certificate Server können bereits dann entstehen, wenn Sie einen Server neu installieren. HOTLINE B Bei Neu-Installationen des Novell Sie noch aus dem Verzeich- Abb. 2:Certificate Objekte in der NDS Servers oder bei einer Migration auf nis SYS:\SYSTEM\NICI die NetWare 6 können infolge von die Datei NICISDI.key NDS-Problemen Schwierigkeiten vom Server entfernen. Abschließend nachgetragen werden. Jedes SSLauftreten, weil der Certificate Server starten Sie auf der Server-Konsole Certificat muß als Trustee des SASnicht automatisch erstellt wird. Es DSEPAIR, gehen über die Punkte Service Servernamen eingetragen kann zu umfangreichen FehlermelADVANCED => REPAIR LOCL DB werden. Auf den Properties des SASdungen kommen (s.Abb. 1). Wenn Sie => CHECK LOCAL REFEREN CES Service Servernamen Objekts müssen einen dieser Fehler haben, bleibt Ihund führen hier ein R E B U I L D Sie das Attribute NDSPKI:Key nen meist nur ein Ausweg, nämlich OPERATIONAL SCHE MA durch. Material DN mit den Inhalten SSL die Neuinstallation des Certificate Führen Sie diese Routine so lange aus, CertificateIP-servername Server. Es gibt dabei zwei Varianten, bis keine Fehler mehr angezeigt wer- und SSL CertificateDNSentweder hat der Server mit dem Fehden. servername erzeugen. ler eine Certificate Authority oder Sollte auf dem Server noch ein BordNeu installieren eben nicht. ermanager installiert sein, müssen Sie Hat der Server, der den Fehler zeigt Um nun den Certificate Server neu das KMO-Objekt für den Borderdie Certificate Authority, so müssen zu installieren, müssen Sie die origi- manager neu erzeugen. Hierzu laden Sie über die CONSOLEONE.exe den nal Novell NetWare CD-Rom im Ser- Sie auf dem Server das Modul SASI. Security Container und alle darin ver mounten. Jetzt starten Sie das Pro- Der Server muß bei dieser Operation enthaltenen Objekte KMO, CA, KAP gramm NWCONFIG und gehen auf den zudem die Master Replica der Root und WO löschen und auch die ObjekPunkt INSTALL A PRODUCT NOT besitzen. Hierzu starten Sie te SAS-Service Servername LISTED über den Punkt PRODUKT DSREPAIR und gehen über die Punkund SSL-Servername. Wenn Sie OPTIONEN. Hier wählen Sie folgen- te ADVANCED => REPLICA PARden Certificate Server des Certificate de Produkte zur erneuten Installati- TITION OPERATIONS. Wählen Sie Authority Server gelöscht haben, on aus: den Certificate Server, den die Root des Trees und dann den müssen Sie den Certificate Server auf Web Server sowie PKI und / oder SAS, Punkt DESIGNATE THIS SERallen NetWare Servern im Tree neu wenn es angezeigt wird. Jetzt werden VER AS THE NEW MASTER installieren. Sollte der Server nicht die Objekte SAS, CA, KAP und KMO REPLICA. Das LDAP-NDS-Objekt die Certificate Authority besitzen, neu erzeugt und in der NDS abgelegt verfügt über einen Link zum Zertifireicht das Löschen des SAS-Service kat. Das müssen Sie zurücksetzten (vgl. Abb. 2). Servername und des SSL-ServernameFolgendes sollten Sie nach der Neu- und anschließend wieder neu eintraObjektes. Anschließend müssen Sie installation prüfen bzw. ergänzen. Das gen. Nach all dem sollten Sie wieder auf der Server-Konsole mit den KomSAS-Service Objekt muß ein Trustee über einen funktionsfähigen Novell mandos UINSTALLPKIS und UIN des Server Objekts sein bzw. sollte Certificate Server verfügen. STALL SAS die Produkte aus der Abb. 1: Fehlermeldung des Novell Cetrificate Server PRODUCTS.dat löschen, so daß eine Neu- Can’t Create KMO (key material object) on a new server installation mittels - Can’t Create CertificateIP NWCON FIG möglich - Error: “Can’t generate the certificate signing request. Error Code: wird. Weiterhin müssen 12 Ausgabe 12/2002 44 -603"... NOVELL Gedoppelt Apache Webserver auf Private und Public Interface Von Jörg Marx Unter NetWare 6 laufen der Web Manager und der iFolder Service über den Apache Webserver. Wir wollen Ihnen die Vorgehensweise beschreiben, wie Sie diese Services sowohl über die Private IP-Adresse als auch über die Public IPAdresse erreichbar machen können. W Adresse pro Server. Um nun den Apache Webserver so zu konfigurieren daß er auf zwei IP-Adressen hört, müssen Sie einfach die Zeile Listen und SecureListen kopieren und die entsprechende IP-Adresse hinter den kopierten Eintrag setzen. Die duplizierten Einträge in der ADMINSERV.conf könnten dann wie folgt aussehen. Wir gehen davon aus, daß der NetWare Server über zwei Netzwerkkarten verfügt, einmal mit einer privaten IPAdresse und einmal mit einer öffentlichen IP-Adresse. Unverzichtbar für unseren Eingriff ist aber in jedem Fall, daß die beiden verwendeten IP-Adressen auf dem Server auch auf die entsprechenden Netzwerkkarten gebunden sind. Als erstes gehen wir an die Web-Manager-Konfiguration (vgl. Abb. 1). Listen 192.168.0.1:80 Listen 137.65.60.60:80 SecureListen 192.168.0.1:443 „SSL CertificateDNS“ SecureListen 137.65.60.60:443 „SSL CertificateDNS“ Anschließend sollten Sie den Server booten, damit die neue Konfiguration aktiv werden kann. iFolder Abb. 1: Schematische Darstellung der Aufgabenstellung Web Manager Die Konfigurationsdatei des Apache Webservers finden Sie auf einem NetWare 6 Server im Verzeichnis S Y S : \ A P A C H E \ C O N F . Sie hat den Namen ADMINSERV.conf. Wenn Sie dieses File öffnen, finden Sie darin sowohl die IP-Adresse für den Listen Port als auch für den Secure Listen Port. Diese Anzeige kann bei verschiedenen Servern abweichen, wenn bei der Installation des NetWare 6 Servers nicht nur eine IP-Adresse für alle Services vergeben wurde, sondern jeweils eine IP- Auf einem NetWare 6 Server finden Sie die Konfigurationsdateien, in denen die Informationen des Apache Webserver in Verbindung mit dem iFolder Server abgelegt sind, in dem Verzeichnis SYS:\APACHE\IFOLDER\SERVER. Es handelt sich hierbei um die Dateien HTTPD.conf und HTTPD_ADDITIONS_NW.conf. Beginnen wir mit der HTTPD.conf. Auch hier finden Sie die zur Zeit aktive IP-Adresse wieder beim Listen Port und SecureListen Port. Damit der Apache Webserver für die iFolder Services auf unsere zwei IP-Adressen hört, müssen Sie wie zuvor die Zeile L i s t e n und SecureListen kopieren und die entsprechende IPAdresse im kopierten Eintrag anpassen. Es sei nochmals gesagt, daß die beiden auf dem Server verwendeten IPAdressen auf die entsprechenden Netzwerkkarten gebunden sein müssen. Die HTTPD.conf. sieht nach unserem Eingriff aus wie oben die ADMINSERV.conf. Zum guten Schluß müssen wir diese Prozedur noch für die Datei HTTPD_ADDITIONS_NW.conf durchführen. Hier muß eine Kopie von jedem virtuellen Host-Eintrag erzeugt werden und anschließend in der Kopie die IP-Adresse eintragen werden, die auf der zweiten Karte liegt. Abschließend wieder den Server booten, um die neue Konfiguration zu aktivieren. 12 Ausgabe 12/2002 45 h HOTLINE WATCHGUARD Tips & Tricks zur Firebox Teil 1: Verbindungen zum Management Die WatchGuard Fireboxes erfreuen sich wegen ihres hohen Sicherheitsstandards großer Beliebtheit. Wir wollen Ihnen aufgrund unserer Hotline-Erfahrungen in einer kleinen Serie aktuelle Tips für die Bedienung der Geräte geben. Und da zum Monitoring die Verbindung zur Firebox die wohl wichtigste Voraussetzung für administrative Aufgaben ist, wollen wir Sie zuallererst mit möglichen Tücken der Verbindung vertraut machen. V HOTLINE Verbindungsprobleme lassen sich ganz allgemein in zwei Bereiche unterteilen. Sie treten entweder beim Aufbau der Verbindung zur Firebox auf oder beim Öffnen der Management-Tools. Die Gründe hierfür können unterschiedlicher Natur sein. Wir wollen ihnen in diesem Beitrag auf den Grund gehen. Wenn die Verbindung generell nicht aufgebaut werden, so überprüfen Sie mit dem Diagnosetool Ping meist zuerst, ob das Gerät eingeschaltet ist und eine IP-Verbindung besteht. Hilfreich ist es, die Firebox direkt mit der Management-Workstation über ein sogenanntes Cross-Over-Ethernet-Kabel zu verbinden. Hierbei handelt es sich um ein Kabel, bei dem die Pins 1,2,3 und 6 überkreuzt verbunden sind, mit Pin 1 auf 3 und 2 auf 6. Verifizieren Sie am Front-Display, daß die LEDs Armed und Sys A leuchten, wenn die Firebox eine sogenannte User Generated Configuration bearbeitet. Unter https://support.watch guard.com/advancedfaqs/ fbhw_lights.asp können Sie eine komplette Beschreibung des Firebox-Displays erhalten, wenn Sie über einen Account bei WatchGuard verfügen. Paßwort Sollte die Firebox im Mode Sys A laufen und ein Connect trotzdem nicht möglich sein, erhalten Sie während des Zugriffs auf das System im allgemeinen die folgende Meldung: A connection could not be established. Check the IP address and your pass phrase and try again. Erscheint die Fehlermeldung augenblicklich, so handelt es sich in den meisten Fällen um ein falsch eingegebenes Paßwort. Wenn Sie nachprüfen, ob daß das korrekte Paßwort benutzt wurde, sollten Sie auch die Caps-Lock-Taste mit einbeziehen, da diese vielleicht aus Versehen vorher gedrückt wurde. Es mag trivial anmuten, aber während unseres Hotline Supports kam es bereits vor, daß jemand die Caps-Lock-Taste beim Erzeugen des Paßwortes aktivierte hatte. Dementsprechend muß dann auch das Paßwort eingegeben werden. WatchGuard Service Wenn die Error-Message - abhängig vom eingestellten Timeout-Wert im Fenster Connect to Firebox erst nach ca. 25 Sekunden erscheint, sollten Sie die folgenden Lösungsansätze in Betracht ziehen. Stellen Sie sicher, daß Sie eine Netzwerkverbindung zur Firebox haben. Sinnvoll ist es, wie gesagt, eine direkte Verbindung über Cross-Over-Kabel. Nun können Sie die Connectivity über das Absetzen eines Ping verifizieren. Überprüfen Sie, daß Ihre jetzige Konfiguration den Watchguard Service beinhaltet, indem Sie den Policy-Manager ohne Connect zur Firebox über das WatchGuard Control Center direkt öffnen. Sie erkennen es am FireboxSymbol im Policy-Manger. Wenn die Konfiguration über den Q u i c k Setup Wizard erstellt wurde, so wird der Watchguard Service automatisch angelegt. Sie sollten ebenfalls kontrollieren, ob der Watchguard Service Verbindungen vom Netzsegement der Management-Station zur Firebox hin erlaubt. Hierzu ist es erforderlich, wie zuvor mit dem Policy-Manager die Konfiguration lokal zu öffnen. Die Standardeinstellung erlaubt nur Verbindungen vom Trusted Interface. Sollte man versuchen, ohne Modifikation der Konfiguration vom Optional oder External Interface aus eine Connection zur Firewall aufzubauen, so wird die Firebox dies unterbinden. In diesem Fall müssen die Einstellungen entsprechend angepaßt werden. Read/Write Kann eine Verbindung zur Firebox zwar aufgebaut, aber einige Tools können nicht gestartet werden, so liegt es oft dran, daß die Benutzer den Connect mit dem Read/Write-Paßwort durchführen. Beachten Sie, daß die Firebox nur eine Read/Write-Verbindung zur gleichen Zeit erlaubt. Wurde also bereits ein Connect mit dem WatchGuard Control Center über das Read/Write-Paßwort initiiert, so ist es anschließend nicht mehr möglich, Tools wie etwa den PolicyManager zu öffnen. Sie erhalten die Fehlermeldung: A connection could not be established to Firebox <IP Adresse>. Please re-check the name and passphrase and try again. If you were trying 12 Ausgabe 12/2002 46 to establish a read/write session, verify that no one has the Firebox locked. Auch die Utilities Firebox Monitor und HostWatch stehen nicht zur Verfügung, wenn der erstmalige Connect zur Firebox mit dem Read/Write-Paßwort stattgefunden haben sollte. Sie erhalten eine Error-Message beim Öffnen der erwähnten Tools: Fire box is unavailable! Please try to connect again. Die Abhilfe ist also recht einfach, wenn Sie sich daran halten, daß eigentlich niemals die Notwendigkeit besteht, eine Verbindung zur Firebox mit Read/Write-Paßwort aufzubauen, selbst wenn Sie vorhaben, Modifikationen an der Konfiguration durchzuführen. Denn dazu benötigen Sie nur das Read-Only-Paßwort. Anschließend öffnen Sie den PolicyManager, führen ihre Modifikationen aus und speichern diese auf dem System ab. Sie werden erst anschließend aufgefordert, daß Read/Write-Paßwort einzugeben, und zwar um die Konfiguration auf der Firebox zu sichern. Ältere Versionen Einige ältere Software-Versionen von WatchGuard ermöglichten es, das gleiche Paßwort für den Read-Onlywie für den Read/Write-Access zu nutzen. Die Folge war, daß die User weder den Policy-Manager starten konnten, während das Control-Center im Status Open verweilte, noch Änderungen an der Konfiguration auf der Firebox abgespeichert werden konnten, wenn das Control-Center connected war. Sollten Sie Probleme in der gerade geschilderten Art und Weise haben, so empfehlen wir Ihnen, eines der Paßwörter zu ändern. Der VPN-Manager jedoch benötigt im Gegensatz zum Control-Center eine Read/Write-Verbindung zur Firebox. Sollten Sie ihn geöffnet haben und eine Verbindung zum Firebox-Monitor oder HostWatch herstellen wollen, so muß hierzu auch der VPNManager verwendet werden, und nicht das Control-Center. WFS verschieben Die Management-Software der Firebox (WFS) kann auf jedem beliebigen PC oder auch auf mehreren Workstations ausgeführt werden. Denn die komplette Konfiguration wird auf der Firebox selbst abgespeichert, unabhängig von der Management-Station. Um nun einen Wechsel zu einer anderen ManagementWorkstation zu vollziehen, müssen Sie lediglich die Software auf dem anderen PC installieren. Anschließend wird das Control Center geöffnet und der Connect zur Firebox durchgeführt. Nach dem Starten des PolicyManagers wird die Konfiguration automatisch auf die neue Management-Workstation kopiert, und steht von nun an für Modifikationen zur Verfügung. Services Von Zeit zu Zeit kann es notwendig werden, einen oder weitere Services der Firewall-Konfiguration hinzuzufügen, um z.B. einen bestimmten Traffic ins Netzwerk oder hinaus zu erlauben. Bevor Sie diese Arbeit vornehmen, sollten Sie in Erfahrung bringen, welche Ports von den entsprechenden Services zur Kommunikation genutzt werden. Um den Aufwand so gering wie möglich zu halten, verfügt die WatchGuard-Software über eine große Auswahl an vorgefertigten Paket Filtern oder Proxies für die unterschiedlichsten Dienste. Aus diesem Grund sollten Sie zuallererst einmal in den entsprechenden Menüpunkten des Policy-Manager nachschauen, ob der benötigte Service nicht schon existiert und diesen dann auch verwenden. Hierzu gehen Sie, ausgehend vom Policy-Manager, wie folgt vor. Selektieren Sie den Button Add Service der Toolbar, woraufhin sich das Fenster Services öffnet. Wenn Sie die Folder der Paket-Filter oder Proxies öffnen, können Sie nach dem gewünschten Service suchen. Ist der entsprechende Dienst nicht zu finden, so können Sie zusätzlich einen sogenannten Custom Filter anlegen. 12 Ausgabe 12/2002 47 Service hinzufügen Haben Sie den benötigten Service gefunden, so öffnen Sie für das Hinzufügen dieses vorgefertigten Dienstes das Fenster Services und darin den Ordner der Paket-Filter (siehe Abb. 1). Es genügt ein Doppelklick auf den Service, der hinzugefügt werden soll. In unserem Beispiel handelt es sich um den Auth Dienst (Port 113). Sie können nun den vorAbb. 1: Verzeichnis der Paketg e s c h l a g e - Filter nen Namen akzeptieren oder ihn nach Ihren Vorstellungen anpassen. Die Bestätigung erfolgt durch Ausführen des Button O K, woraufhin sich das Eigenschaftenfenster des Service öffnet. Zum Abschluß müs- Abb. 2: Übersicht der integrierten sen nur noch Proxies die Incoming und Outgoing Permissions entsprechend Ihrer Sicherheitsrichtlinien definiert werden, und schon kann die ganze Aktion mit OK abgeschlossen werden. Auch für das Hinzufügen eines vorgefertigten Proxied Service verfahren Sie so. Sie benutzen das Fenster Service und können sich durch Erweitern des Proxy Folder alle integrierten Proxies anschauen (s. Abb. 2). Zum Abschluß der Konfiguration müssen Sie noch die getätigten Modifikationen auf der Firebox abspeichern. h HOTLINE NOVELL FAQs und Facts Interessante Tips der Deutschen Netware FAQ Von Stefan Braunstein Pegasus Mail dürfte vielen Administratoren bekannt sein. Die neue Version 4.02 a ist - mit neuer Oberfläche - immer noch frei verfügbar Auch die Secure Remote Console von AdRem Software hat ein wichtiges Update erfahren. NAMPKomponenten für einen NetWare basierenden Webserver (Apache) mit Datenbank (MySQL) und Scripting-Funktionen (PHP und Perl) sind nun zumindest als Betaversion zu haben, wobei auch PHP for NetWare sich in der neuen Version 4.0.8 präsentiert. Pegasus Mail Pegasus Mail dürfte vielen Administratoren schon seit etlichen Jahren bekannt sein. Die DOS-Versionen liefen perfekt mit dem NetWar e Mailsystem zusammen und nutzten die Bindery-Informationen des NetWare Servers. Die Windows-Versionen ließen sich außerdem prima als POP3-Client einsetzen, wobei die Bedienung allerdings immer etwas gewöhnungsbedürftig war. Die neue Version 4 nun hat sich auch optisch zu einem äußerst attraktiven Client mit einer zeitgemäßen Drei-Fenster- Fehler an einer korrupten Folder-DaAnsicht gemausert (vgl. Abb. 1), der - tei, die noch bei der v4.02 einen wie alle älteren Versionen - weiterhin Programmabsturz verursachte. Das frei verfügbar ist. Der Autor David deutsche Sprachmodul ist mittlerweiHarris finanziert die Entwicklung le auch für die aktuelle Version erdurch den Verkauf der Handbücher und durch Supportverträge. Abb. 1: Pegasus Mail 4.02a HOTLINE Version 4.02a Pegasus-Mail ist gegen die typischen OutlookViren resistent und zeigt HTML-Mails an, ohne darin enthaltene Skripte auszuführen. Sehr mächtig ist auch die Filterfunktion. Die Version 4.02 läßt sich mit Hilfe einer komfortablen Installationsroutine einrichten. Die neueste Version 4.02a, die als Patch verfügbar ist, behebt einen hältlich und verfügt wiederum über eine Installationsroutine. Alle drei Dateien finden Sie unter http:// www.pmail.com, bei Netware files.de und natürlich auch auf unserer TN-Monats-CD im Verzeichnis \NWFAQ. Den Inhalt des ZIP Archivs kopieren Sie einfach in den bestehenden Programmordner. Secure Remote Console Auch die Secure Remote Console von AdRem Software hat ein wichtiges Update erfahren. Mit der aktuellen Version 5 kann der NetWare Server nun neben Windows Clients auch von Linux Clients aus bedient werden. Es gibt sogar ein Plugin für den Internet-Explorer, der die Bedienung von jedem Arbeitsplatz aus erlaubt. Version 5 Das Plugin wird beim ersten Aufruf über den Port 5023 automatisch installiert und gestartet. Während der Windows Client die Berechtigung direkt aus der NDS lesen kann, ist hier ein Login erforderlich, wobei die Kommuni- 12 Ausgabe 12/2002 48 mysql.com/ press/relea se_ 2002_13. html). Version 4.0.8 Auch PHP for NetWare ist nun verfügbar und basiert auf der Version 4.0.8. Alle Standard-Erweiterungen werden unterstützt, außerdem LDAP, MySQL und eine UCS Extension (PHP2UCS), mit Abb. 2: Komfortable Administration des Servers per Browser deren Hilfe auf diverse Novell kation mit dem Server stark verschlüs- Services zugegriffen werden kann. selt wird (vgl. Abb. 2). Im Gegensatz zur Administration über das Portal bzw. den Remote Manager - von Novell können Sie hier alle FunktiInfos und Download-Möglichkeiten gibt es bei http://developer. onstasten nutzen. Die Bedienung novell.comndk/php.htm. Novellläuft sehr flüssig und entspricht weiMitarbeiter haben bereits ein White testgehend dem Windows Client der Paper geschrieben, das die EinSecure Remote Console. Sie können richtung eines kompletten NAMP eine 30-Tage-Testversion beim HerServers beschreibt: http:deve steller herunterladen h t t p : / / lopernovell.com/ndk/white www.adremsoft.com oder direkt papers/namp.htm. von unserer Monats-CD installieren. NAMP Habe ich Sie in der TN 06/2002 bezüglich NAMP etwas neugierig machen können? Dann können Sie jetzt - zumindest in Testumgebungen voll loslegen. Alle Komponenten für einen NetWare basierenden Webserver (Apache) mit Datenbank (MySQL) und Scripting-Funktionen (PHP und Perl) sind nun zumindest als Betaversion verfügbar. MySQL wurde von Novell und MySQL AB offiziell angekündigt, wobei es sich um eine kommerzielle Lizenz handelt, die für NetWare 6 Server - mit Support Pack 2 - aber frei verfügbar ist. Damit können auch kommerzielle Anwendungen entwikkelt werden, die dann nicht unter die GPL fallen (siehe http://www. Stefan Braunstein, der Verwalter der Deutschen Netware FAQ (netware faq.de) und der Netzwerk-UtilitySammlung ( w w w . n e t w a r e f i les.de), liefert Technik-News-Lesern allmonatlich eine Serie mit Tips, Tricks und Tools rund um Novell NetWare und verwandte Themen. Sie erreichen den Autor über www.braunstein.de. TIDs (technical information documents) und weitere englischsprachige Informationen finden Sie in der Novell Knowledge Base: http://suppo rt.novell.com/search/kb_in dex.jsp. Einen direkten Link zur NetWare FAQ haben Sie auch über Technik News online: www.techniknews.de. 12 Ausgabe 12/2002 49 Sonderheft Wireless LAN - Technik im Detail Wireless LAN bringt Bewegung ins Netzwerk. Mit der bevorstehenden Frequenzband-Freigabe wird in Europa endlich auch die Nutzung des 5GHz-Bandes für den lizenzfreien Betrieb freigegeben. Die 802.11h Arbeitsgruppe ist derzeit dabei, den 802.11a-Standard soweit anzupassen, daß die europäischen Anforderungen erfüllt sein werden. Damit wird - erwartungsgemäß gegen Ende 2002 - der Verbreitung von Produkten mit 54 Mbps nach IEEE 802.11a/h nichts mehr im Wege stehen. OFDM bis 54 Mbps Als erfahrener Buchautor und Fachmann für das Wireless Networking zeigt Jörg Rech in einem neuen Technik News Sonderheft die drahtlose Technik im Detail. Er erklärt die Neuerungen, die sich aus dem Standard 802.11a/h ergeben werden, der die Datenraten bis 54 Mbps im 5GHz-Band definiert. Anstelle der FHSS- oder DSSS-Technologie wird hierbei mit der OFDM-Technologie das Ortogonal Frequency Division Multiplexing angewendet, mit dem hohe Datenraten von 6 bis 54 Mbps erzielt werden. Interessant dürften zukünftig die Entwicklungen des Standards 802.11g sein. Hierbei handelt es sich um eine Lösung im 2,4-GHz-Band, bei der über das OFDM-Verfahren ebenfalls eine Datenrate bis 54 Mbps erzielt werden kann, wobei sich bereits vorhandene frequenzabhängige Infrastrukturen wie Antennen weiterhin nutzen lassen. Zudem ist die erzielbare Reichweite gegenüber dem 5-GHz-Band höher, da die Dämpfung von Hindernissen, wie beispielsweise Mauerstein, wesentlich von der genutzten Frequenz abhängig ist. Erste Prognosen deuten darauf hin, daß sich die 802.11g-Lösungen für die IndoorAnwendungen und die 802.11a/h-Lösungen im Outdoor-Bereich für die Richtfunkstrecken durchsetzen werden. Wireless LAN Topologien Das Technik News Sonderheft Wireless LAN stellt die diversen Topologien vor und erklärt die Sicherheitsproblematik. Die Antennentechnik wird ebenfalls behandelt, und wer ganz hoch hinaus will, wird sich für Yagi-Antennen in gebäudeübergreifenden Installationen interessieren. Das Technik News Sonderheft Wireless LAN ist für nur 5 € in der Medienübersicht des Compu-Shack FachhandelsPortal zu bestellen. p PRAXIS MICROSOFT Do IT Dot NET Teil 9: Mobile Information Server 2002 Von Patrick Fell Drahtlose Datenzugriffsdienste sind auf dem besten Weg, kritische Geschäftsanwendungen zu werden. Der zu jedem Zeitpunkt mögliche Zugriff auf Geschäftsdaten, egal von welchem Ort, wird für viele Unternehmen immer wichtiger. Der Microsoft Mobile Information Server (MIS) hilft Firmen und Service Providern, einen effizienten drahtlosen Zugriff auf Informationen zu gewährleisten. D Der Microsoft Mobile Information Server unterstützt mobileAnwendungen und Dienste und stellt eine Endzu-End-Lösung für eine breite Klasse von Netzwerkdiensten für mobile Geräte über existierende drahtlose Infrastrukturen zur Verfügung, offen für zukünftige Entwicklungen. PRAXIS Enterprise Edition Das Basisprodukt des Mobile Information Server ist geeignet für Unternehmenskunden, Anwendungsdienstanbieter und Systemintegratoren. Windows- und webbasierte Unternehmensanwendungen werden in die Lage versetzt, dringende Benachrichtigungen weiterzuleiten. Die Enterprise Edition ermöglicht den Zugriff von mobilen Geräten wie WAP-fähigen Mobiltelefonen auf den Exchange-Server mit Hilfe von drahtloser Synchronisierung von auf Pocket PC 2002 basierenden PDAs. Sie weitet zusätzlich die Kommunikationsinfrastruktur des Unternehmens auf mobile Benutzer aus. Denn wenn diese einmal nicht in der Firma tätig sind, wird ihnen der Zugriff auf wichtige Informationen im Intranet und auf Anwendungen im Netzwerk zur Verfügung gestellt (s. Abb.1). Pocket PC-Synchronisierung für Exchange mit mobilen Geräten zu ermöglichen. Der WAP-Zugriff gewährleistet Echtzeitzugriff über ein Mobiltelefon auf PIM-Anwendungen (Personal Information Management), die auf Microsoft Exchange Server basieren, zum Beispiel Posteingang, Kalender, Kontakte und Aufgaben in E-Mail-Programmen. Die Push-Benachrichtigungen versetzen die Benutzer in die Lage, per SMS Regeln zur Übermittlung eiliger E-Mails und Aktualisierungen von Kalender und Kontakten an ein geeignetes mobiles Gerät wie ein Telefon oder einen Pager festzulegen und auszuwählen. Die Pocket PC-Synchronisierung ermöglicht den Anwendern die Integration der umfangreichen Funktionen ihres Pocket PCs, mit einem stets aktuellem Posteingang, mit Kalender und Kontakten direkt vom ExchangeServer über ein drahtloses Datennetzwerk. Carrier Edition Als erweiterte Variante des Mobile Information Server 2002 bietet die Carrier Edition eine zweistufige Server-Architektur. Sie ermöglicht die Verbindung zu einer vielfältigen Daten-Center-Infrastruktur eines Mobilfunk-Anbieters. Die Carrier Edition kann zwar unabhängig von der Enterprise Edition betrieben werden, doch bietet die kombinierte Installation der beiden Versionen die optimale Sicherheit, eine genaue Kostenübersicht und eine überwachte Nachrichtenübermittlung (siehe Abb. 2). Zielgrupen Für die verschiedenen Zielgrupen ergeben sich aus der Funktionsvielfalt des Mobile Information Server je eigene Vorteile. Für den Endanwender bringt MIS 2002 mit Outlook Mobile Access den ortsunabhängigen Zu- Abb. 1: MIS 2000 Szenario Mobile Anwendungen Outlook Mobile Access wurde in den Mobile Information Server integriert, um den drahtlosen WAP-Zugriff, Push-Benachrichtigungen und 12 Ausgabe 12/2002 50 griff auf Exchange 2000 Server. Somit besteht über zahlreiche mobile Geräte jederzeit ein sicherer Zugang auf PIM-Daten. Dem Entwickler ermöglicht MIS 2002, die mobilen Anwendungen sicher im Unternehmensnetzwerk zu integrieren und damit die Kommunikationsmöglichkeiten zu erweitern. Für das Unternehmen bietet sich mit all dem eine zuverlässige, skalierbare und verwaltbare Plattform für drahtlose Zugriffe, die die vorhandene Intranetinfrastruktur nun auch mobil nutzbar macht. Die Kundenvorteile liegen allgemein in der Performance, Skalierbarkeit und Verfügbarkeit dieser Lösung. Performance Wie bei einem traditionellen verkabelten Netzwerk spielt die Performance auch in einem drahtlosen Datensystem eine wichtige Rolle. Ein hochperformes System wie MIS 2002 gibt Firmen, Anwendungsdienstprovidern (ASPs) oder Wireless Serviceprovidern konsolidierte Server an die Hand, die höhere Nachrichtenlast tragen und dennoch eine geringere Total Cost of Ownership (TCO) bedeuten, weil sie zu einer kosteneffektiven Skalierbarkeit beitragen. Eine ausbaufähige Infrastruktur für das Entwickeln anderer performanterAnwendungen erweitert die potentiell hohe Verfügbarkeit. Skalierbarkeit Die drahtlose Datenkommunikation erfährt zur Zeit ein exponentielles Wachstum. Da der Zugriff auf mobile Daten offensichtlich immer wichtiger werden wird, erhalten kleine wie große Unternehmen mit MIS 2002 eine Plattform, die sich zum Scaling Up ebenso eignet wie zum Scaling Down. Diese flexiblen Möglichkeiten sind ein zentrales Feature des Mobile Information Server 2002. Durch seine modulare Architektur und eine verteilte Konfiguration wird die Partitionierung von Diensten über mehrere Server ermöglicht, was dem System übrigens auch eine bislang unerreichte Zuverlässigkeit verschafft. Weil der drahtlose Zugriff auf Informationen weltweit verfügbar wird, geht der Trend denn auch dahin, von jeder Lokation aus auf Informationen zugreifen zu wollen. Mit diesen stetig steigenden Anforderungen an die mobilen Anwendungen wird die gebotene Zuverlässigkeit des Systems immer wichtiger, gerade wenn mobile Anwendungen zu Mission Critical Tools werden sollen. Fazit Der Mobile Information Server befähigt Unternehmen, eine sichere Infrastruktur zum Abrufen von mobilen Daten aufzubauen und bei Bedarf zu Abb. 2: MIS 2000 mit ISA 12 Ausgabe 12/2002 51 erweitern. Durch die problemlose Integration in existierende Infrastrukturen wird Microsoft hierbei dem Anspruch einer Reduzierung der Total Cost of Ownership durchaus gerecht. Somit sind für die mobile Datenzukunft interessante Entwicklungschancen gegeben. Features in der Übersicht - Über die drahtlose Synchronisierung mit Exchange kombiniert MIS 2002 die umfangreichen Funktionen von Pocket PC 2002 mit stets aktuellen PIM-Informationen. Diese können über praktisch jedes drahtlose Datennetzwerk direkt vom Exchange-Server des Unternehmens abgerufen werden. - MIS 2002 unterstützt interaktive Anwendungen auf mobilen WAP-fähigen Geräten jeder Art. Darüber hinaus werden standardmäßige HTML, WAP/WML v1.1- und Phone.com HDML-Browser unterstützt. - Benachrichtigungen werden von Anwendungen ausgelöst und nicht von Clients, die Daten abrufen. MIS unterstützt dafür sowohl SMTP als auch SMS. Dadurch ist sichergestellt, daß herkömmliche Desktop- und Laptopcomputer wie auch Mobiltelefone, Pocket PCs und bidirektionale Pager unterstützt werden. - Durch die modulare MIS-Architektur ist die Unterstützung von Geräten in den Netzwerken GSM, CDMA, TDMA, CDPD, Mobitex und DataTAC bei optimaler Leistung möglich. In Zukunft sollen auch GPRS, UMTS, HDR und Netzwerke der dritten Generation unterstützt werden können. - MIS bietet ein hochleistungsfähiges, auf Windows 2000 und Exchange 2000 Servern basierendes System. - Die Verwaltung von MIS kann über Snap-Ins in der Microsoft Management Console (MMC) durchgeführt werden, unterstützt durch die Windows-Verwaltungsinstrumentation und Programmierschnittstellen für angepaßte Verwaltungsanwendungen. - Für den sicheren drahtlosen Zugriff gewährleistet MIS die gleichzeitige Existenz von standardmäßigen Netzwerkzugriffsprotokollen (IPsec, SSL und WTLS) und Sicherheitsstrukturen. p PRAXIS WEBWORKING Just Simple SOAP-Installation und praktische Anwendung Von Mirko Görgen Im Bereich Internetworking werden täglich neue Ideen und Technologien geboren, von denen es meistens heißt, daß man ohne selbige nicht mehr up-to-date sei. Es empfiehlt sich immer, vermeintliche Wunderdinge etwas gelassener zu betrachten. Ist die Idee nach einigen Monaten immer noch in aller Munde, lohnt es sich dann oft, gleich einen etwas genaueren Blick darauf zu werfen, beispielsweise auf Webservices mit SOAP. I Im Prinzip ist das Simple Object Access Protocol (SOAP) keine völlig neue Erfindung, sondern eine sinnvolle Zusammenstellung von bereits bekannten Technologien, mit XML für die Datenstrukturierung und zumeist http für den Transport. Vereinfacht lautet die simple Formel: SOAP = http + XML. Das Protokoll ist als Alternative zu RPC anzusehen, wobei SOAP vom W3C Consortium als Standardprotokoll verabschiedet ist und einige große Firmen diese Entwicklung mittragen. SOAP eignet sich in erster Linie dazu, Informationen auf einem dedizierten Server abzufragen, um sie z.B. in einem eigenen Programm zu nutzen, weiterzuverarbeiten und aufzubereiten. Abb. 1: Schema eines SOAP RPC Calls SOAP Services Installation In meinem Beispiel möchte ich zunächst die Basis bereitstellen, um SOAP Services bereitzustellen. Danach erstellen wir einen solchen Dienst und beschäftigen uns abschließend damit, selbigen mittels eines Clients abzufragen. Aus unserem Verzeichnis SOAP heraus rufen wir mit ./ j2sdk-1_4_0_01-linux-i586.bin den Installationsprozeß auf und erhalten nach Bestätigung des Lesens und Verstehens der Lizenz nach einiger Zeit unser gewünschtes ”Java Verzeichnis” mit den entsprechenden Files. Als nächstes kommt Tomcat an die Reihe. Das entsprechende File packen wir mit tar –xvzf jakarta-tomcat-4.1.9.tar.gz aus. Damit ist dieser Part auch schon so gut wie abgeschlossen. Als letztes entpacken wir das File soap-bin-2.3.1, welcher den eigentlichen Soap Server enthält und verschieben den Inhalt ins Verzeichnis des Java SDK. Die beiden Befehle t a r - x v z f s o a p - b i n 2 . 3 . 1 . t a r . g z und m v soap-2_3_1 j2sdk1.4.0_01/soap erledigen dies. Innerhalb des Tomcat Konfiguration Files fehlt noch die Erweiterung auf den SOAP-Kontext. Rufen Sie mit einem Texteditor die Datei server.xml auf. Sie finden diese im Verzeichnis /soap//soap/jakarta-tomcat-4.1.9/conf. Vorbereitung PRAXIS Es gibt einige Wege, Webservices bereitzustellen, ich habe mich hier für den entschieden, welcher über die Kombination Apache Tomact zum Ergebnis führt. Als Rüstzeug benötigen wir auf unserem Rechner eine neue Version des Java SDKs (verwendet wird hier Version 1.4), eine gültige Version der Tomcat Distribution (4.1) und eine Version des Apache SOAP. Da meine Testrechner jeweils mit Linux als Betriebssystem installiert waren, sind die Pfadangaben bei einem Windowssystem entsprechend anzupassen. Mit der ein oder anderen kleinen Anpassung sollten dann alle Schritte äquivalent ablaufen. Alle benötigten Dateien finden Sie übrigens im Verzeichnis SOAP auf unserer Monats-CD. Um die Übersicht zu behalten, sollten Sie es zunächst auf Ihren Rechner kopieren. <!— <Context path=”” docBase=”ROOT” debug=”0"/> —> <Context path=”/soap” docBase=”/soap/ ↵ j2sdk1.4.0_01/soap/webapps/soap” reloadable=”true” > 12 Ausgabe 12/2002 52 Abschließen können wir den Installationsteil damit, daß wir dem System mitteilen, wo es nach den jeweils benötigten Files schauen soll. Der einfachste Weg ist, diese Parameter in die Datei / e t c / p r o f i l e mit aufzunehmen und somit allen Benutzern zugänglich zu machen. Die entsprechenden Einträge finden Sie im Listing 1. Damit Tomcat den kompletten CLASSPATH auch nutzt, ist die Datei /usr/local/jakarta-tomcat4.1.9/bin/setclasspath.sh leicht abzuändern. Der alte Wert wird lediglich ergänzt und lautet dann: CLASSPATH=”$JAVA_HOME”/lib/ t o o l s . j a r : $ C L A S S P A T H . Damit ist der Installationsvorgang auch bereits abgeschlossen und wir können einen ersten Probelauf wagen. Durch den Aufruf su – aktualisieren wir unser Profil. Somit haben wir die neuen Umgebungsvariablen zur Verfügung und können mittels $TOMCAT_HOME/bin/ startup.sh den Server starten. Ob alles geklappt hat können wir über einen Webbrowser kontrollieren. Als Adresse geben Sie http://<Name oder IP des Rechners>:8080 an. Das Ergebnis sollte wie in Abbildung 2 der Tomcat-Begrüßungsschirm sein. Auch unseren SOAP Server können wir über den Browser aufrufen. Der Link lautet http://<Name oder IP des Rechners>:8080/soap/admin.html (siehe Abbildung 3). Listing 1 PATH=/soap/j2sdk1.4.0_01/bin:$PATH export PATH export JAVA_HOME=/soap/j2sdk1.4.0_01 export SOAP_HOME=$JAVA_HOME/soap export TOMCAT_HOME=/soap/jakarta-tomcat-4.1.9 export CLASSPATH=$JAVA_HOME/lib/tools.jar:¿ ↵ $JAVA_HOME/jre/lib/rt.jar export CLASSPATH=$TOMCAT_HOME /common/lib/ ↵ servlet.jar export CLASSPATH=$CLASSPATH:$JAVA_HOME/soap/ ↵ lib/mail.jar export CLASSPATH=$CLASSPATH:$JAVA_HOME/soap/ ↵ lib/soap.jar export CLASSPATH=$CLASSPATH:$JAVA_HOME/soap/ ↵ lib/activation.jar export CLASSPATH=$CLASSPATH:$JAVA_HOME/soap/ Listing 2 <isd:service xmlns:isd=“http://xml.apache. ↵ org/xml-soap/deployment“ id=“urn:tnservice“> <isd:provider type=”java” scope=”Request” methods=”getMessage”> <isd:java class=”tn_soap.service.↵ HalloTNLeser” static=”false”/> </isd:provider> Erster Webservice Abb. 2: Tomcat-Startseite nach erfolgreicher Installation Abb. 3: Apache SOAP-Begrüßungsschirm Nachdem der Grundstock gelegt ist, fahren wir damit fort, unser en ersten eig entlichen Webser vice zu ”programmieren”. Zunächst wechseln wir mit cd $SOAP_HOME ins Basisverzeichnis SOAP und legen mit dem Befehl tn_soap ein Verzeichnis an. Darin kommen zwei weitere Directories hinzu, eines mit dem Namen service und eines namens client. Unser Programm erwartet einen Namen als Parameter und begrüßt diesen dann als Technik-News-Leser, zwar nichts sonderlich Spektakuläres, aber es geht ja hier um die Funktion von SOAP und nicht um das Programmieren an sich. Im Verzeichnis service erzeugen wir eine normale ASCII-Datei HalloTNLeser.java. mit folgendem Inhalt. package tn_soap.service; public class HalloTNLeser { public String getMessage ↵ ( String TNLeser ) { return “Hallo Technik-News-Leser: ↵ „ + TNLeser + „!“; } } Kompilieren können wir unsere Datei nun mit dem Aufruf javac tn_soap/service/ HalloTNLeser. java. Sofern wir uns an keiner Stelle vertippt haben, erhalten wir als Lohn ein Java Class File, welches die gewünschten Aufgaben erfüllt. Bei unserer SOAP Engine 12 Ausgabe 12/2002 53 p PRAXIS brauchen wir das Module SOAP::Lite, welches Perl die Nutzung der SOAP Schnittstelle ermöglich. Wer über einen Windows Rechner ohne Perl-Unterstützung verfügt, findet unter www.activeste.com selbige als Freeware zum Download vor. müssen wir jetzt dieses Programm als SOAP Service registrieren (deploy). Dies kann zum einen über einen Browser auf der Admin-Oberfläche geschehen oder über die Konsole, indem wir in einer Deploy-Datei den Inhalt als XML beschreiben. Die letzte Variante ist m.E. die sinnigere Methode, da der Inhalt nicht immer aufs neue eingetippt werden muß und wir uns eh auf der Konsole befinden. Die dazugehörige Deploy-Datei tn_deploy. xml hat folgenden Inhalt und findet ihren Platz im aktuellen Verzeichnis $SOAP_HOME. (vgl. Listing 2) Perl Client Doch zurück zum Client. Wir benötigen die Adresse unseres Service, die ID und den eigentlichen Funktionsaufruf. Nachdem die entsprechenden Werte eingetragen sind, kommt folgender Programmcode als Ergebnis heraus. Der etwas lang ausgefallene Aufruf java org.apache.soap.server.ServiceManagerClient http://localhost:8080/soap/servlet/ rpcrouter deploy tn_deploy.xml sorgt letztendlich für die Registrierung des Service. Kontrollieren können wir unseren Eintrag ebenfalls wieder auf zwei Arten. Entweder geben wir den Befehl java org.apache. soap.server.ServiceManagerClient http://localhost:8080/ soap/servlet/rpcrouter list ein. Oder wir gehen über das Webfrontend. Abbildung 4 zeigt die entspr echende Ausgabe. use SOAP::Lite; my $s = SOAP::Lite ->uri(‘urn:tnservice’) ->proxy(“http://172.16.228.3:8080 ↵ /soap/servlet/rpcrouter”) ->getMessage(“Heinz Maier”); print $s->paramsin(); Rufen Sie dieses Skript nun auf. Sie erhalten als Antwort: Hallo Technik-News-Leser: Heinz Maier! Zugegeben, inhaltlich wiederum nicht sonderlich reißerisch, aber es ist das gewünschte Ergebnis. Sofern Sie sich jetzt fragen, wo bei dem ganzen das ”XML” geblieben ist, ändern Sie bitte mal die Zeile use SOAP::Lite; auf use SOAP::Lite +trace; (vgl. Abb. 5). Clients Um unser Beispiel zu komplettieren, fehlt uns nun noch ein entsprechender Client, mit welchem wir die Ergebnisse unseres neu gewonnen Service auch einfordern. Ein wesentlicher Vorteil von SOAP ist, daß der Service und der Client in völlig unterschiedlichen Sprachen entwickelt werden können. Somit sind wir nicht zwingend daran gebunden, in unserem Szenario einen Java Client zu schreiben. Probieren wir das Ganze mal in Perl aus. Dazu Abb. 5: DOS-Ausgabe einer Soap Request und der Response PRAXIS Abb. 4: SOAP-Admin-Oberfläche mit Detailinformation über den Service Jetzt wird die gesamte Kommunikation auf dem DOSFensterchen angezeigt. Sie werden feststellen, daß die Antwort wie die Nachricht XML-kodiert verschickt und erhalten wurde. Java Client D er Vollständigkeit halber sei hier noch kurz der entsprechende Java Client vorgestellt (vgl. Listing 3). Sie 12 Ausgabe 12/2002 54 PROJEKTE Listing 3 package tn_soap.client; import import import import IT-Consulting auf Abruf java.net.*; java.util.*; org.apache.soap.*; org.apache.soap.rpc.*; public class HalloTNClient { public static void main( String[] args ) { Leistungen, die sich auszahlen String SOAPServiceUrl = “http://localhost:↵ 8080/soap/servlet/rpcrouter”; String SOAPServiceUri = “urn:tnservice”; String SOAPMethodName = “getMessage”; String Uebergabe = args[0]; try { Vector params = new Vector(); params.addElement( new Parameter( “Ueber ↵ gabe”, Uebergabe.getClass(), Uebergabe, ↵ null ) ); Call call = new Call(); call.setTargetObjectURI( SOAPServiceUri ); call.setMethodName( SOAPMethodName ); call.setEncodingStyleURI( Constants.NS_ ↵ URI_SOAP_ENC ); call.setParams( params ); Antwort = call.invoke( new URL( SOAPSer ↵ viceUrl ), SOAPServiceUri ); } catch( Exception ex ) { System.err.println( “Error while calling ↵ ‘“ + SOAPMethodName + “‘:” ); System.err.println( ex.getMessage() ); return; } System.out.println( Antwort.getReturnValue ↵ ().getValue() ); Um Marktanteile zu halten oder auszubauen, ist es für den Fachhandel unerläßlich, den Endkunden einen zusätzlichen Nutzen zu schaffen. Dabei unterstützt das Compu-Shack Projekt-Team die Händler vor Ort, um ein Gesamtkonzept anzubieten, das die Planung, Betreuung und Sicherheitsimplementierungen umfaßt. Bei einer Partnerschaft mit der Compu-Shack Projektberatung profitiert der Fachhandel von besonderen Vorteilen. Schon bei der Produktauswahl kann sich der Händler auf kostenbewußte Empfehlungen für angepaßte IT-Lösungen verlassen, weil sie optimal auf die Bedürfnisse und Sicherheitsanforderungen seiner Kunden zugeschnitten werden. Dank ihres aktuellen Technologie-Know-hows und herstellerübergreifender Produktkenntnisse finden die IT-Experten der Compu-Shack immer das für den Kunden beste Design, ob bei Directory Services, Content Delivery oder Konvergenzlösungen, ob bei Security-Implemetierungen im Netzwerk oder im Wireless LAN. Abrufbares Know-how Im Rückgriff auf das Experten-Team der Compu-Shack Projektberatung verfügt der Fachhandel für Projektvorhaben über zusätzliche Personal-Ressourcen, ohne selbst Mitarbeiter einstellen zu müssen. Spezialkenntnisse und selbst Nischen-Know-how lassen sich somit auch dort gezielt einsetzen, wo eigene Erfahrung um Expertenwissen erweitert werden muß. Dadurch ist der Händler in der Lage, neue Projektbereiche abzudecken und weitere Geschäftsfelder zu erobern, ob bei Fragen mit hohem Schwierigkeitsgrad oder Problemstellungen mit einer geringeren Komplexität. Und auch in Urlaubs- oder Ausfallzeiten steht das Projekt-Team als Vertretung für eigene Mitarbeiter zur Verfügung, um den reibungslosen Betrieb aufrecht zu halten. Da die Mitarbeiter der Compu-Shack Projektberatung laufend weitergebildet werden, fließt in gemeinsamen Projekten der allerneueste Stand der Technik in die praktische Arbeit mit ein. So entstehen Erfahrungen, die sich weiterverwerten lassen, angefangen bei der Projektplanung und Realisierung, über die Bauleitung bis zur Übergabe. Das Projekt-Team hilft bei der ProjektAkquise und Angebotserstellung ebenso wie bei Vorbereitungen und Ausschreibungen. } } werden genau wie in dem Perl-Beispiel die Parameter wiedererkennen, welche in der Deploy-Datei zum Anmelden des Service verwendet wurden. Innerhalb des Verzeichnisses tn_soap/client erstellen wir also ein kleines Java-Programm mit Namen HalloTNClient.java. Mittels javac tn_soap/client/ HalloTNClient.java kompilieren Sie dieses und rufen Sie es mit j a v a t n _ s o a p / c l i e n t / HalloTNClient ”Heinz Maier” auf. Als Rückgabe sollte auch hier Hallo Technik-News-Leser: Heinz Maier! zu sehen sein (vgl. Listing 3). Fragen zu den Projekt-Dienstleistungen beantwortet das ProjektTeam unter 02631 / 983-345 oder per E-Mail-Anfrage an [email protected]. Besuchen Sie uns auch im Internet unter www.projekte.compu-shack.com. Ich hoffe, ich habe Sie ein wenig für die Materie begeistern können, und wünsche Ihnen beim Entwickeln Ihrer eigenen - wahrscheinlich etwas inhaltsreicheren - Services viel Erfolg. 12 Ausgabe 12/2002 55 p PRAXIS NORTEL NETWORKS Sicherheit nach Maß CVS: Contivity VPN Switches Bei virtuellen privaten Netzen (VPN) unterscheidet Nortel Networks in der Konzeption ihrer Contivity VPN Switch Familie drei typische Anwendungsbereiche. Neben den Branch Office und Remote Access VPN Switches stehen Komponenten für Extranet VPNs zur Verfügung. Das Contivity-System ist konsequent nach diesen unterschiedlichen Sicherheitsaspekten entwickelt worden und genügt höchsten Ansprüchen in den verschiedensten Einsatzgebieten. F Für Branch Office (BO) und Remote Access (RA) VPN gibt es typische Verbindungsszenarien, Site-to-Site bzw. Client-to-Site-Lösungen. Bei Extranet-VPNs finden sich demgegenüber kaum Entsprechungen in quasi vorkonfektionierten Lösungen. Hier geht es vorrangig um Anpassungen der Kommunikation mit firmenexternen Partnern, wobei technisch die gleichen Verbindungsszenarien genutzt werden, wie beim BO- oder RA-VPN. PRAXIS Potential In der Vergangenheit waren die verheißenen Möglichkeiten zur Kostenreduzierung häufig der primäre Grund, über den Einsatz von VPNTechnik nachzudenken. Eine solche Lösung führt aber nicht zwangsläufig und nicht in jedem Fall zu Einsparungen. Vielmehr muß jeder Einzelfall geprüft werden. Bei den Verbindungsgebühren z.B. sind in der Regel die Sparpotentiale am größten, je weiter die zu verbindenden Lokationen voneinander entfernt sind. Doch über die Verbindungskosten hinaus ergeben sich mit dem Einsatz von VPN-Technologien weitere Einsparpotentiale, etwa das Outsourcing des Betriebs physikalischer WANVerbindungen, die Reduzierung der Gerätevielfalt und der damit verbundenen Betriebs-, Wartungs- und Ersatzteilkosten. Doch auch die Überlegung, weniger schnelle Anschlüsse für langsamere Übertragungswege parallel zu nutzen, mag durchaus sinnvoll und wirtschaftlich sein, weil meist kleinere Chassis-Systeme und weniger Interface-Karten benötigt werden. Komplexere Lösungen sind im Grunde also immer auch ein Frage der Konfektion. Contivity Security Die Contivity Switches stellen ein Portfolio für differenzierte VPN-Lösungen bereit. Dabei sind sie in allererster Linie auf die diversen Sicherheitsaspekte der verschiedenen Unternehmensgrößen ausgelegt. Sie besitzen eine IPSec-Zertifizierung der International Computer Security Association (ICSA) nach IPSecKriterienkatalog 1.0B und eine Sicherheits-Zertifizierung des National Institute of Standards and Technology der USA (NIST) nach FIPS 140-1 Level 2. Wir wollen Ihnen die Eigenheiten und Gemeinsamkeiten der CVS-Geräte vorstellen. Verschlüsselung Die starken Verschlüsselungs- und Authentisierungsverfahren sind heute für fast alle Kunden verfügbar (vgl. Tab. 1). Denn seit das Exportverbot der USA für alle Verschlüsselungstechnologien nur noch für die sogenannten T-9 Länder besteht, kann bekanntermaßen Verschlüsselung höher als 56 Bit ohne Einschränkungen in die EU geliefert werden. Bei Schlüssellängen von mehr als 56 Bit muß der Endverbraucher allerdings noch dafür unterschreiben, daß er die genannten Restriktionen beim Export in Krisenstaaten zur Kenntnis genommen hat und einhalten wird. Authentisierung Im Bereich der NutzerAuthentisierung bietet Contivity besondere Möglichkeiten (vgl. Tab. 2). Beispielsweise wird das eigentlich auf PPP-Kommunikation basierende SecurID-Verfahren auch für IPSecTunnel unterstützt. Und auch die umfassende Implementierung aller für die Arbeit mit digitalen Zertifikaten erforderlichen Protokolle und Funktionen - einschließlich CRL-Prüfung und Unterstützung mehrerer Vertrauens-Domänen - ist für hohe Sicherheitsanforderungen eine höchst willkommene Option. CVS-Plattformen Für die Contivity-Switches stehen mehrere Hardware-Plattformen zur Verfügung. Die in der Grundausstattung schon sehr hohe Leistung der Geräte kann bei den größeren CVS Systemen durch Beschleunigerkarten für Verschlüsselung und Kompression noch gesteigert werden. Während Contivity 100 für kleine Büros ohne Remote Access gedacht ist, richten sich die Contivity 600, 1010, 1050, 1100 an kleinere Büros oder Zentralen mit Einwahlambitionen. Contivity 1700 adressiert mittlere Büros und kleine Firmenzentralen, Contivity 2700 große Büros oder mittlere Firmenzentralen und Contivity 4600 große Firmen oder Rechenzentren von SPs. Nach Leistungsfähigkeit, Hardware-Flexibilität und Preis sind die Geräte also für höchst unterschiedliche Einsatzbereiche gedacht (vgl. Tab. 3). 12 Ausgabe 12/2002 56 Das CVS Basismodell 100 zeichnet sich durch Vorteile aus, die es für den SOHO-Bereich besonders geeignet macht. ISDN, Analog-Modem oder PPPoE als Zugang zum ISP und WebProxy für direkten Internetzugang (ggf. zusätzlich zum VPN-Tunnel) sind für die kleinen Büros unentbehrlich. Doch sind diese 7-Port Switches mit integriertem DHCP-Server nicht ausschließlich für VPN-Lösungen konzipiert. Vielmehr runden sie hinsichtlich ihrer VPN-Funktionen die Produktfamilie nach unten ab. Die wesentlichen Unterschiede zu den größeren Contivitys sind die, daß IPSec als einziges Tunnelprotokoll verwendet wird, aber kein L2TP, PPTP oder L2F. Es gibt keine Unterstützung für Remote Access VPN und keine Advanced Routing Features (OSPF, VRRP, DiffServ). Es gibt nur statisches Routing über Tunnel (RIP nur auf physikalischen Interfaces) und auch keine Unterstützung digitaler Zertifikate, sondern nur PreShared Keys. Die etwas andere Oberfläche fällt dabei kaum ins Gewicht. Tabelle 1 Datenverschlüsselung Schlüssellänge RC4 40 oder 128 Bit DES und 3DES 40, 56 und 168 Bit AES ( 128 und 192* Bit Schlüsselgenerierung IKE mit Diffie/Hellman-Verfahren 768, 1024 und 1536 Bit IKE mit Elliptic Curve Cryptography (ECC) 163 und 283 Bit Gehärteter IP-Stack, Firewall und Policies Schutz gegen Angriffe aus dem öffentlichen Netz Public Interface nur für Tunneling, kein Forwarding möglich Konfigurierbare Paketfilter und IPSec Policies Contivity Statefull Firewall (CSF) als Option verfügbar Tab. 1: CVS Verschlüsselungsverfahren Tabelle 2 Authentifizierung Einwegverschlüsselte IPSec-IDs Unterstützung von Hardwaretoken: Response Only Token Challenge-Response Token Verschlüsselte Token-Übertragung Digitale Signatur mit X.509v3 Zertifikaten Smartcard Unterstützung über Microsoft CAPI und Entrust Sichere Integration von Radius Protokoll läuft innerhalb einer IPSec Security Association Tab. 2: CVS Authentisierungsverfahren Tabelle 3 Technische Merkmale Contivity 600 1700 CPU Celeron Celeron Takt (MHz) 300 850 RAM (MB) 128 128 - 256 Flash (MB) 3DES/SHA-1 Performance (Mbps) (bis 87 *) ca. 52 (bis 140 *) ca. 10 ca. 10 Max. Tunnel 30 500 Basis Portausstattung 10/100 Ethernet 2x 2x 2700 Pentium Pro 1330 256 - 512 4600 Dual P III 800 256 - 1024 1050 Celeron 300 128 32 1100 Celeron 300 128 32 100 Pentium 300 16 4 ca. 22 1010 Celeron 300 128 32 Ca. 32 ca. 10 ca. 10 2000 ca. 4 5000 5 5 5 5 2x 2x 2x 1x 1 1x 4 4 2 7+ 1x 10/100 1 s.u. ja 10/100 Switch Ports freie Slots 1 1 Erweiterungsmöglichkeiten Single Eth10/100, ja ja Single X.21/V.35 ja ja ja Dual V.35 nein ja Single T1 (CSU) ja ja Single E3 (HSSI) nein nein Encryption- Card nein nein Modem nein nein ISDN Redundanz Anm.: 3 5 ja nein nein nein ja ja ja ja ja ja nein nein nein ja ja ja nein nein nein nein nein nein nein ja nein nein nein nein nein nein nein ja nein nein V.90 Modem** ISDN** CPU, Festplatte, Stromversorgung * mit Encryption Card Q1/2003 ** Tab. 3: Contivity VPN-Switch-Familie 12 Ausgabe 12/2002 57 nein nein nein nein Single oder Dual AnalogModem ja Informationen zu den Contivity Switches erhalten Sie vom Business Team Nortel Networks bei Compu-Shack unter 02631/ 983-451, per EMail an [email protected] oder im Fachhandelsportal http://portal.compushack.com. p PRAXIS BINTEC IPsec-Implementierung Teil 3: IPSec LAN-LAN Kopplung Von Hardy Schlink Nun, da wir um die Details der IPsec-Implementierung in den BinTec-Routern wissen, wollen wir sie auch am praktischen Beispiel umsetzen. Mit dem IPSec Setup Wizard hatte wir beim letzten Mal ein äußerst hilfreiches Programm kennen gelernt, das uns dabei die Arbeit erleichtern wird. Anhand einer Beispielkonfigurationen soll diesmal gezeigt werden, welche Arten der LAN-LAN-Kopplung über das Internet existieren, und wie die beteiligten Router hierbei einzustellen sind. L LAN-LAN-Verbindungen über dedizierte ISDN Wähl- oder Standleitungen sind Ihnen sicher vertraut. Das IPSec-Protokoll wird meist im Zusammenhang mit solchen Verbindungen zum Einsatz kommen, nur daß hierbei nicht mehr extra ISDN-Leitungen gemietet werden müssen, sondern die Kommunikation zwischen zwei Routern über den bereits bestehenden Internetanschluß stattfindet. IPSec sorgt in diesem Szenario für die Sicherheit der zu übertragenden Daten. Wir wollen uns anhand eines Beispiels anschauen, wie z.B. eine Außenstelle mit der Firmenzentrale über IPSec gekoppelt wird (siehe Abbildung 1). Da sicherlich ein großes Leser-Interesse besteht, die neue Funktion des Dynamic DNS kennenzulernen, bei dem beide Seiten eine dynamische IP-Adresse verwenden, starten wir in diesem Artikel gleich mit der entsprechenden Konfiguration. Wir werden deshalb die Registrierung klären und die Dynamic DNS Features konfigurieren. Beim nächsten Mal geht es dann um die Konfiguration des IPSec-Tunnels, und zwar über den IPSec Setup Wizard. Um den Rahmen dieses Beitrages nicht zu sprengen, setzen wir eine bereits bestehende und funktionierende Verbindung zum ISP über das PPP-Protokoll voraus, mit deren Hilfe der normale Internet-Zugang, wie er zum Web Surfing genutzt wird, möglich ist. Verbindungen Auch bei der Verwendung von Dynamic DNS stehen wir vor dem Problem, daß z.B. der Router der Zentrale nicht online ist, wenn die Gegenstelle versucht, eine Verbindung aufzubauen, was z.B. bei ISDN-Wählleitungen ja auch wünschenswert ist. In diesem Fall müßte der Zentral-Router benachrichtigt werden, daß er wegen der anstehenden Connection online zu gehen hat, um entsprechend erreichbar zu sein. BinTec hat für diesen Fall einen Mechanismus integriert, der dieses Problem im Zusammenhang mit der Callback-Funktion löst. Momentan steht diese Implementierung jedoch nur für ein VPN über das PPTP-Protokoll zur Verfügung. Da sich dieser Artikel aber mit der Konfiguration des wichtigeren IPSec-Protokolls beschäftigt und die LAN-LAN-Kopplung über IPSec unserer Meinung nach am meisten Sinn mit T-DSL Flat-Rates macht, gehen wir in unserem Beispiel davon aus, daß entweder eine oder beide Seiten über den erwähnten Anschluß verfügen, je nachdem ob nur ein Standort oder beide eine Connection aufbauen sollen. Aufbau bei Abbau Auch bei einem Anschluß mit T-DSL Flat-Rate erhalten die Router ihre IPAdresse dynamisch. Diese wird aber PRAXIS Abb. 1: LAN-LAN-Kopplung zwischen Zentrale und Außenstelle 12 Ausgabe 12/2002 58 nach 24 Stunden durch einen Verbindungsabbau terminiert. Stehen anschließend neue Daten zur Versendung an, so wird erneut eine Verbindung zum ISP initiiert, was zur Folge hat, daß der Router eine neue dynamische IP-Adresse erhält und diese wieder beim DynDNS-Provider registriert. Wir müssen deshalb nun nur dafür sorgen, daß nach dem erwähnten Verbindungsabbau automatisch wieder eine Connection zum ISP aufgebaut wird. Hierzu wechseln Sie in das Menü WAN Partner / Advanced Settings und setzen den Parameter Static short Hold (sec) auf den Wert -1. Durch diese Maßnahme erhalten wir quasi eine Standleitung zum ISP, da nun nach einem Verbindungsabbau sofort wieder automatisch eine neue Connection aufgebaut wird. Da bei jedem Verbindungsaufbau eine neue IP-Adresse vergeben und diese durch die DynDNS-Implementierung des BinTec-Router beim DynDNSProvider aktualisiert wird, ist die ständige Erreichbarkeit der Router im Internet gegeben. Auch beim Aufbau der IPSec-Tunnel ist nicht mit Problemen zu rechnen, da deren Konfiguration ja nicht auf einer festen IP-Adresse, sondern auf einem einzigartigen Hostnamen beruhen. Dynamic DNS Unsere anstehende Konfiguration muß in zwei Teilinstallationen gegliedert werden, in die des Dynamic DNS Features und daran anschließend in die Konfiguration des IPSecTunnels mit Hilfe des IPSec Wizard. Die Verwendung von dynamischen IP-Adressen hat den Nachteil, daß ein IPSec Peer nicht mehr identifiziert und im Internet lokalisiert werden kann, sobald sich die IP-Adresse geändert hat. Dynamic DNS löst dieses Problem, indem es sicherstellt, daß der IPSec-Peer immer unter einem einheitlichen Namen erreichbar ist, auch wenn die IP-Adresse wechselt. Um den DynDNS Service für den Aufbau eines IPSec-Tunnel zu nutzen, muß nur der für den Dynamic Peer gedachte Traffic an den einzigartigen Host- namen weitergeleitet werden, welcher bei einem der unterstützten Provider registriert wurde. Sobald nun ein Router versucht, eine Verbindung zur Gegenstelle aufzubauen, die sich hinter dem Hostnamen verbirgt, wird er zunächst einmal beim DynDNS Provider die IP-Adresse des Gegenüber erfragen. Registrierung figuration des Routers eingetragen zu werden. Geben Sie hier auch Ihre gültige Email Address ein. Diese wird benutzt, um Ihnen Instruktionen zur Aktivierung des Accounts zusenden zu können. Das hier verwendete Password wird benutzt, um sich mit Ihrem Account anzumelden, und ist ebenfalls dazu bestimmt, in der DynDNS-Konfiguration des Routers eingetragen zu werden. Es muß mindestens eine Länge von 5 Zeichen haben und zweimal eingegeben werden: in Password und Confirm Password. Nach dem Ausfüllen des Formulars und anschließendem Klick auf den Button Create Account wird ihr Zugangsprofil angelegt (s. Abb. 2). Wie bereits erwähnt, gilt es zunächst einmal, den unique Hostname beim DynDNS Provider zu registrieren. Die meisten Provider bieten eine Auswahl von verschiedenen DomainNamen an, die zusammen mit einem Namen für den Router den kompletten Hostnamen bilden (z.B. csx4000.dyndns.org). Wir wollen Ihnen anhand eines Beispiels Abb. 2: Anmeldeformular des Provider dyndns zeigen, wie Sie die Registrierung der Hostnamen beim DynDNS Provider d y n d n s vornehmen können. Zu seiner Registrierung beim Provider dyndns starten Sie Ihren Web-Browser und geben Sie die URL http://www. dyndns. org ein, woraufhin die Homepage des Providers erscheint. Anschließend wählen Sie in der oberen Menüleiste den Punkt Sign Up Now und lesen sich die C r e a t e Host anmelden Account - Acceptable Use Sie müssen jetzt nicht lange warten. Policy durch. Am unterem Rand der Nach kurzer Zeit bekommen Sie vom Page können Sie durch Selektieren DynDNS Provider die Antwort-Mail der Option Agree mit der Registriezugestellt. In unserem Testszenario rung fortfahren. Gleichzeitig akzeperhielten wir Response nach ca. 1 tieren Sie hiermit die Bedingungen des Providers. In der nun erscheinen- Minute. Hieraus wählen Sie nun eine den Web-Page müssen die folgenden der beiden URLs http://members.dyndns. Daten eingegeben werden: org/confirm? e9AVhPwEqBkBg 57scxwGiQ oder https://mem bers.dyn dns.org/confirm? Einträge Der Username wird verwendet, um e9AVh PwEqBkBg57scxwGiQ sich im NIC einzuloggen und Änderungen durchführen zu können, und dient dann dazu, in der DynDNS Kon- 12 Ausgabe 12/2002 59 (höhere Sicherheit) aus, um mit der Registrierung der Hostnamen fortzufahren. Zunächst gilt es, mit den vor- TRAINING Gemeinsame Sprache XML Workshops ab Dezember Compu-Shack Training bietet brandaktuelle Workshops für einen gelungenen Einstieg in die Programmiersprache XML. Denn der Austausch von Daten über Plattformen und Betriebssystemgrenzen hinweg spielt inzwischen eine gewichtige Rolle. Hierzu bieten Anwendungen wie XSLT weithin gebräuchliche Lösungen. Aufsetzend auf XML - als Erweiterung von HTML wird mit XSLT eine Möglichkeit zum effizienten Austausch und zur Konvertierung von Daten in heterogenen Systemen geschaffen. Compu-Shack Training bietet ab Dezember erstmalig einen zweitägigen Workshop dazu an. Dieses Praxis-Training richtet sich an Administratoren, Entwickler und WebDesigner, die die Grundlagen von XML und XSLT erlernen wollen und HTML-Kenntnisse besitzen. Inhalt: - Syntax von XML - Dokumenttypdefinitionen (DTDs) - Entities - Namensräume in XML - Bäume in XSLT - optionale Erweiterungen: Prozessorausgabe, Knotenauswahl und Template-Bestimmung - Navigation mit Xpath XML und XSLT Der erste Workshop-Tag vermittelt die XML-Grundlagen. Neben der allgemeinen Syntax und Bausteinen von XML-Dokumenten werden u.a. Dokumenttyp-Definitionen und der Einsatz von Entities vorgestellt. Am zweiten Tag steht XSLT im Mittelpunkt: Namensräume, Baumstrukturen und Fragen zur Prozessorausgabe sind hier die zentralen Inhalte. Praktische Übungen bieten den Teilnehmern die Gelegenheit, die erlernten Inhalte sofort umzusetzen. Die Teilnahmegebühr beträgt 990,- • (zzgl. MwSt.). Der erste Workshop findet am 9. und 10. Dezember in Neuwied statt. Informationen zu aktuellen Trainings, Terminen und Preisen finden Sie im Internet unter www.training.compu-shack.com her definierten Account-Daten eine Anmeldung durchzuführen (Login). Daraufhin werden Sie zur nächsten Web-Page geroutet. Auf der linken Seite der Page selektieren Sie nun die Option Dyna mic DNS, auf der nächsten Seite den Punkt Add Abb. 3: Menüpunkt IP/DynDNS/ADD New Host, woraufhin Sie auf die teil der Defaultliste sein, so können Web-Page gelangen, in der Sie den Sie ihn über IP / DYNDNS / ADD / Hostnamen für Ihren Router eintraEDIT / EDIT DYNDNS PROVIDER gen können, z.B. cs-x4000.dyn hinzufügen. dns.org. Alle weiteren Werte können Sie zum Test erst einmal so übernehmen. Über den Button A d d Feinheiten Host wird die Registrierung abgeWenn entschieden wird, daß der schlossen. Router ”hinter” einem bestimmten Hostnamen keine E-Mail empfangen soll, so können Sie unter MX einen DynDNS-Dienst anderen Hostnamen eintragen und Anschließend rufen Sie auf dem damit jeglichen E-Mail-Verkehr umRouter der Zentrale das Setup-Tool leiten. Fragen Sie Ihren DynDNS auf und wechseln in das Menü IP/ Provider über die Einzelheiten dieDynDNS. Per Default ist es ohne Ein- ses Service. Bei Wildcard können trag, was wir aber schleunigst ändern Sie innerhalb Ihres lokalen Netzwerwollen. Über ADD gelangen wir in ein kes zusätzliche Namensauflösungen Fenster, indem der DynDNS-Dienst aktivieren, ein lokaler DNS Server ist konfiguriert wird (s. Abb. 3). Hier an- Voraussetzung. Einstellen können Sie gekommen, gilt es die folgenden Eindie Parameter on oder off , der stellungen vorzunehmen. Unter Default-Wert ist off. Die Option Host erfolgt die Eingabe des kom- Permission ermöglich die Aktiviepletten Host-Namens, der beim rung- oder Deaktivierung des gerade DynDNS Provider bereits registriert konfigurierten Service. Die Werte wurde. In unserem Beispiel war das sind enabled (das ist der Default) cs-x4000.dyndns.org. Bei oder disabled.Damit endet bereits Interface wird das WAN-Interface die Konfiguration des DynDNS Serangegeben, dessen IP-Adresse publivice. Die weiteren Schritte bis zur ziert werden soll. vollständigen Einrichtung des In der Regel handelt es sich hierbei Router mit Dynamic IPSec führen wir um das Interface zum ISP. User verbeim nächsten Mal mit Hilfe des IPSec langt die Eingabe des BenutzerSetup Wizard aus. Vergessen Sie aber namens, unter dem Sie sich eben noch nicht, alle an der IPSec Kommunikabeim DynDNS Provider registriert tion beteiligten Router beim haben, samt Password, welches für DynDNS Provider zu registrieren und die Authentifizierung mit dem anschließend den Service auf den DynDNS Provider verwendet werden Routern zu konfigurieren. soll. Unter Provider wählen Sie den entsprechenden DynDNS Teil 4 behandelt die IPSec-KonfiguProvider aus. Sollte er nicht Bestandration mit dem Setup Wizard. 12 Ausgabe 12/2002 60 cs portal anzeige 12 Ausgabe 12/2002 61 v VORSCHAU TRAINING Exklusiv Cisco ICND-Wissenspaket Das erstmals von Compu-Shack Training angebotene ICND-Wissenspaket bietet Einsteigern einen optimalen Start in die Cisco-Netzwerktechnologien. Es ist die optimale Vorbereitung auf den Kurs Interconnecting Cisco Network Devices und die ideale Grundlage für weitere Zertifizierungen. C Compu-Shack Training hat mit dem Cisco ICND-Wissenspaket einen ganz neuen Ansatz entwickelt, um Netzwerker optimal auf die Zertifizierung zum Cisco Certified Network Associate (CCNA) vorzubereiten. Einem Neueinsteiger im Bereic h der Cisco-Technologie wird durch den Besuch des CompuShack ICND-Vorbereitungsseminars das notwendige Basiswissen vermittelt, das für die Teilnahme an dem Kurs ”Interconnecting Cisco Network Devices (ICND)” verlangt wird. Das ICND-Wissenspaket besteht aus Vorbereitungskurs und Cisco ICND-Training. Einzeln oder ... Das Vorbereitungsseminar wurde aus der Praxiserfahrung der Compu- Shack Trainer eigens für Cisco Newcomer konzipiert, um grundlegendes Verständnis für Ciscos Netzwerktechnologien, deren Einsatzgebiete und die zugehörigen Terminologien zu vermitteln. Dabei sind die Inhalte gezielt auf die Vorbereitung für das Cisco Training Interconnecting Cisco Network Devices (ICND) abgestimmt. Den Teilnehmern bietet sich damit die Chance, in einem speziellen Einsteiger-Training Step by Step all das Know-how zu erlangen, das für weitere Zertifizierungen gefragt ist. So für den Cisco Certified Network Professional (CCNP) als auch für den Cisco Certified Internetwork Professional (CCIP). ... im Doppelpack Das Vorbereitungsseminar kann unabhängig von einem Cisco ICNDTraining gebucht werden. Doch bietet Compu-Shack Training exklusiv für beide Kurse an bestimmten Terminen einen attraktiven Komplettpreis, den sich Interessenten nicht entgehen lassen sollten! Einfach im Internet vorbeischauen. Es lohnt sich! Für Fragen und Beratung steht das Compu-Shack Training-Team unter 02631 / 983-317 gerne zur Verfügung! VORSCHAU Netzwerkseminare: Highlights im Januar/ Februar 2003 Kursbezeichnung Building Cisco Multilayer Switched Networks Kurs-Nr. Cis BCMSN Cisco Unity System Engineer Building Scalable Cisco Internetworks Cis CUSE Cis BSCI Deploying and Managing Microsoft Internet Security MS 2159 and Acceleration Server 2000 Implementing and Supporting Microsoft MS 2272 Windows XP Professional Novell Network Management NetWare 6 NV 3004 Termin 06.01. - 10.01.03 27.01. - 31.01.03 10.02. - 14.02.03 03.02. - 07.02.03 03.02. - 07.02.03 24.02 - 28.02.03 15.01. - 17.01.03 26.02 - 28.02.03 20.01 - 24.01.03 03.02 - 07.02.03 27.01 - 31.01.03 24.02 - 28.02.03 17.02 – 21.02.03 03.02 – 07.02.03 24.02 - 28.02.03 15.01 –17.01.03 12.02 - 14.02.03 Veranstaltungsort Potsdam Neuwied München Neuwied Neuwied München Neuwied München Potsdam Neuwied München Potsdam München Neuwied München München Neuwied Preis / € 2.350,2.650,2.350,1.190,1.850,1.850,- Advanced Network Management NetWare 6 ZENworks for Desktops 4 NV 3005 NV 3006 1.850,1.850,- WatchGuard Firewall & VPN WG 001 Alle genannten Preise gelten zuzüglich der gesetzlichen Mehrwertsteuer. Das aktuelle Trainings-Programm finden Sie unter www.training.compu-shack.com, persönliche Beratung unter: 02631-983-317 oder per e-Mail an [email protected]. 1.950,- 12 Ausgabe 12/2002 62 MESSEN, ROADSHOWS, SEMINARE N 01 No 01/2003 Thema des Monats Januar EINSTIEGSSZENARIEN Switch on VoIP Innovation und Kostenbewußtsein Von Elmar Horst Unternehmen, die auf VoIP setzen, versprechen sich davon zurecht eine deutliche Senkung ihrer Kommunikationskosten. Tatsächlich gibt es in der Praxis große Einsparpotentiale. Doch sehen die Anbieter der entsprechenden Ausrüstung auch überzeigende Argumente bei den Applikationen. Denn mit der Konvergenz von Sprache und Daten lassen sich inzwischen kostenwirkenwirksame Anwendungen implementieren, die über die Leistungsmerkmale herkömmlicher Telefonielösungen weit hinausgehen. Dazu gehören nicht nur Unified Messaging und CallCenter Applikationen, sondern auch innovative Neu- entwicklungen wie etwa beim Interactive Voice Response (IVR). Anrufer haben damit die Möglichkeit, über Spracherkennung interaktiv im Kommunikationssystem zu navigieren, um jederzeit und überall Informationen abrufen zu können. Die Sammlung aller Arten von Nachrichten, ob Anrufe, Faxe oder EMails erfolgt heutzutage in einer gemeinsamen Ablage. Auf eine solche virtuelle Mailbox kann man über verschiedene Endgeräte wie Handy, PC oder IP-Telefon zugreifen. Dabei können E-Mails oder Faxe sogar vorgelesen oder Sprachnachrichten als E-MailAttachment weitergeleitet werden. Wir wollen Ihnen vorstellen, was sich in Sachen Voice over IP getan hat und zur Zeit technisch realisierbar ist. Und weil die integrierte paketvermittelte Sprach- und Datenkommunikation inzwischen auch im Bereich der Virtual Private Networks Verbreitung findet, wollen wir aufzeigen, wie diese geschlossenen und besonders abgesicherten Netze als ideale Einstiegsszenarien in Richtung VoIP fruchtbar gemacht werden können. Praxis: Sicherheit nach Maß, Teil 2: Do it Dot NET, Teil 9: BinTec IPsec, Teil 4: Nortel Contivity VPN Switch-Funktionen Microsoft Share Point Portal Server Konfiguration mit Wizard Aktuelle Demo-CDs und Trials können Sie kostenlos unter www.technik-news.de bestellen. Im Compu-Shack Fachhandelsportal unter http://portal.compu-shack.com finden Sie in der Medienübersicht alle verfügbaren Compu-Shack Kataloge, Printmedien und kostenlose Informationsbroschüren zu speziellen Technologiethemen und Services, u.a. das neue Technik News Sonderheft “Wireless LAN” oder die Neuaflage der WLAN-Broschüre. Interessante Downloads befinden sich auch unter www.training.compu-shack.com. im Bereich Downloads. Ausgewählte Termine 01.12 2002 03.12.-06.12.02 04.12.-06.12.02 05.12 2002 09.12.-13.12.02 09.12.-13.12.02 16.12.-20.12.02 11.12.-13.12.02 19.-23.02.2003 05.-08.02.2003 13.-20.03.2003 CA Workshop: ARCserv Backup Version 9 CS Training: Cisco Secure PIX Firewall Advanced CS Training: WatchGuard Firewall & VPN CA Workshop: ARCserv Backup Version 9 CS Training: Interconnecting Cisco Network Devices CS Training: Secure Microsoft Windows 2000 Network CS Training: Managing Cisco Network Security CS Training: Cisco Secure Intrusion Detection System Bildungsmesse LearnTec CeBIT 2003 12 Ausgabe 12/2002 63 Nürnberg und Düsseldorf Neuwied München Leipzig und München Potsdam Neuwied Neuwied Neuwied Köln Karlsruhe Hannover 12 Ausgabe 12/2002 64