starten

Transcription

starten

■ ISDN
■ DSL
■ Fi r e w a l l
■ VPN
AVM NetWAYS/ISDN
Zugang zu entfernten Netzen für PC und Notebook
Dieses Handbuch ist auf chlorfrei gebleichtem Papier gedruckt und daher voll recycelbar.
S10/02-L10/02-10.000-R&P 10/02
■ Internet Access ■ Remote Access
netways.book Seite 2 Dienstag, 10. Dezember 2002 10:55 10
NetWAYS/ISDN
Diese Dokumentation und die zugehörigen Programme sind urheberrechtlich geschützt.
Dokumentation und Programme sind in der vorliegenden Form Gegenstand eines Lizenzvertrages und dürfen ausschließlich gemäß den Vertragsbedingungen verwendet werden.
Der Lizenznehmer trägt allein das Risiko für Gefahren und Qualitätseinbußen, die sich bei
Einsatz des Produktes eventuell ergeben.
Diese Dokumentation und die zugehörigen Programme dürfen weder ganz noch teilweise
in irgendeiner Form oder mit irgendwelchen Mitteln übertragen, reproduziert oder verändert werden, noch dürfen sie in eine andere natürliche oder Maschinensprache übersetzt
werden. Hiervon ausgenommen ist die Erstellung einer Sicherungskopie für den persönlichen Gebrauch. Eine Weitergabe der Ihnen hiermit überlassenen Informationen an Dritte
ist nur mit schriftlicher Zustimmung der AVM Berlin erlaubt.
Alle Programme und die Dokumentation wurden mit größter Sorgfalt erstellt und nach dem
Stand der Technik auf Korrektheit überprüft. Für die Qualität, Leistungsfähigkeit sowie
Marktgängigkeit des Produkts zu einem bestimmten Zweck, der von dem durch die Produktbeschreibung abgedeckten Leistungsumfang abweicht, übernimmt AVM Berlin weder
ausdrücklich noch implizit die Gewähr oder Verantwortung.
Für Schäden, die sich direkt oder indirekt aus dem Gebrauch der Dokumentation oder der
übrigen Programme ergeben, sowie für beiläufige Schäden oder Folgeschäden ist AVM nur
im Falle des Vorsatzes oder der groben Fahrlässigkeit verantwortlich zu machen. Für den
Verlust oder die Beschädigung von Hardware oder Software oder Daten infolge direkter
oder indirekter Fehler oder Zerstörungen, sowie für Kosten, einschließlich der Kosten für
ISDN-, GSM- und DSL-Verbindungen, die im Zusammenhang mit den gelieferten Programmen und der Dokumentation stehen und auf fehlerhafte Installationen, die von AVM
nicht vorgenommen wurden, zurückzuführen sind, sind alle Haftungsansprüche ausdrücklich ausgeschlossen.
Die in dieser Dokumentation enthaltenen Informationen und die zugehörigen Programme
können ohne besondere Ankündigung zum Zwecke des technischen Fortschritts geändert
werden.
Der Product Identification Code ist Bestandteil der Lizenzvereinbarung.
© AVM GmbH 2002. Alle Rechte vorbehalten.
Stand der Dokumentation 12/2002
AVM Audiovisuelles Marketing
und Computersysteme GmbH
Alt-Moabit 95
AVM Computersysteme
Vertriebs GmbH
Alt-Moabit 95
10559 Berlin
10559 Berlin
AVM im Internet: http://www.avm.de
Warenzeichen: AVM und FRITZ! sind eingetragene Warenzeichen der AVM GmbH. Windows
ist eingetragenes Warenzeichen der Microsoft Corporation. Alle anderen Warenzeichen
sind Warenzeichen der jeweiligen Eigentümer.
2
NetWAYS/ISDN
Inhaltsverzeichnis
1
1.1
1.2
2
2.1
2.2
2.3
2.4
2.5
3
3.1
3.2
3.3
3.4
3.5
4
4.1
4.2
4.3
4.4
4.5
5
5.1
5.2
5.3
5.4
Willkommen bei NetWAYS/ISDN
5
Was bietet NetWAYS/ISDN? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Lieferumfang. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Installation und erste Schritte
12
Systemvoraussetzungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Installation von NetWAYS/ISDN. . . . . . . . . . . . . . . . . . . . . . . . . . . .
Standardkonfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Erste Schritte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Deinstallation von NetWAYS/ISDN . . . . . . . . . . . . . . . . . . . . . . . . .
12
13
14
15
19
Fernzugriff mit NetWAYS/ISDN
21
Optimierung der Übertragungsgeschwindigkeit. . . . . . . . . . . . . . . 21
Kostenmanagement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
Internet-Verbindungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
VPN-Verbindungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
NetWAYS/ISDN für den Administrator
49
Automatisieren der NetWAYS/ISDN-Installation . . . . . . . . . . . . . . 49
Einstellungen schützen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
NetWAYS/ISDN als Systemdienst . . . . . . . . . . . . . . . . . . . . . . . . . . 52
Die Programmierschnittstellen von NetWAYS/ISDN. . . . . . . . . . . . 54
Unterstützte Standards . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
Informationen, Updates und AVM-Support
59
Informationsquellen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
Updates. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
Registrierung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
Unterstützung durch den Support. . . . . . . . . . . . . . . . . . . . . . . . . . 61
Glossar
64
Index
80
NetWAYS/ISDN – Inhaltsverzeichnis
3
Konventionen im Handbuch
Um den Inhalt dieses Handbuchs übersichtlich zu gestalten
und wichtige Informationen hervorzuheben, wurden folgende typografische Hervorhebungen und Symbole verwendet:
Hervorhebungen
Nachfolgend finden Sie einen kurzen Überblick über die in
diesem Handbuch verwendeten Hervorhebungen.
Hervorhebung
Funktion
Beispiel
Anführungszeichen
Tasten, Schaltflächen, „Start / Programme“
Programmsymbole, Re- oder „Eingabe“
gisterkarten, Menüs,
Befehle
Großbuchstaben
Pfadangaben und Dateinamen im Fließtext
DOKU\NETWAYS.PDF
oder CAPIPORT.HLP
spitze Klammern
Variablen
<CD-ROM-Laufwerk>
Schreibmaschinenschrift
Eingaben, die Sie über a:\setup
die Tastatur vornehmen
grau und kursiv
Informationen, Hinwei- ... Es kann jeweils
se und Warnungen; im- nur ein Controller
mer in Verbindung mit entfernt werden…
den Symbolen
Symbole
Im Handbuch werden die folgenden grafischen Symbole verwendet, die immer in Verbindung mit grau und kursiv gedrucktem Text erscheinen:
Dieses Zeichen weist Sie auf nützliche Hinweise und zusätzliche Informationen hin.
Das Ausrufezeichen kennzeichnet Abschnitte, die wichtige
Informationen enthalten.
Dieses Zeichen markiert besonders wichtige Hinweise, die
Sie auf jeden Fall befolgen sollten, um Fehlfunktionen zu
vermeiden.
4
NetWAYS/ISDN – Konventionen im Handbuch
Willkommen bei NetWAYS/ISDN
1 Willkommen bei
NetWAYS/ISDN
NetWAYS/ISDN integriert entfernte Einzelplatzcomputer und
mobile Computer in das zentrale Firmennetz. Alle klassischen Anwendungen aus dem LAN (Local Area Network) sind
über ISDN einsetzbar: Client/Server-Anwendungen, Internetanwendungen, E-Mail, Datenbankanwendungen sowie Terminalemulation.
Das digitale Telekommunikationsnetz ISDN bietet für den
Fernzugriff die idealen Voraussetzungen: hohe Verfügbarkeit, große Bandbreite, sichere und stabile Verbindungen sowie Wirtschaftlichkeit.
Das Übertragungsverfahren DSL ermöglicht den Internetzugang mit einer hohen Bandbreite über die normale Telefonleitung.
Mit zunehmendem Bedarf an mobilem Fernzugriff auf lokale
Netzwerke kommen neben dem ISDN auch das digitale Mobilfunknetz GSM (Global System for Mobile Communication)
sowie HSCSD (High-Speed Circus-Switched Data) zum Einsatz.
1.1 Was bietet NetWAYS/ISDN?
NetWAYS/ISDN ist eine Software, die in Verbindung mit AVM
ISDN-Controllern entfernten Einzelplatzcomputern und mobilen Computern den transparenten Zugriff auf ein lokales
Netzwerk und das Internet ermöglicht. Mitarbeiter, die in Außenstellen oder an Telearbeitsplätzen tätig sind, können auf
diese Weise auf das Firmennetzwerk zugreifen, als wären sie
direkt vor Ort. Alle Ressourcen des Firmennetzes stehen ihnen zur Verfügung.
Vertriebsmitarbeiter in Außenstellen haben so beispielsweise die Möglichkeit, Datenbankrecherchen auf firmeneigenen
Servern oder im Internet durchzuführen. Telearbeiter können
NetWAYS/ISDN – 1 Willkommen bei NetWAYS/ISDN
5
Technologie
von ihrem Heimarbeitsplatz auf Netzlaufwerke und Netzwerkdrucker zugreifen und Techniker können bei der Fernwartung umfangreiche Anwendungen im Firmennetz nutzen.
Die folgende Abbildung gibt einen Überblick über die vielfältigen Einsatzmöglichkeiten von NetWAYS/ISDN.
LAN
AVM Access Server
Internet
VPN-Tunnel
ISDN
ADSL
Fernwartung
NetWAYS/ISDN
+ Controller A1
GSM
Heimarbeitsplatz
NetWAYS/ISDN
+ FRITZ!Card PCI
Niederlassung Frankreich
NetWAYS/ISDN
+ Controller B1
Außendienstmitarbeiter
NetWAYS/ISDN
+ Controller FRITZ!Card PCMCIA
Mobile Anwender
NetWAYS/ISDN
+ FRITZ! GSM
Einsatzmöglichkeiten von NetWAYS/ISDN
Technologie
Die Kommunikation zwischen dem entfernten Computer und
dem LAN wird durch NetWAYS/ISDN auf der entfernten Seite
transparent über ISDN oder GSM abgewickelt. Die Netzwerkprotokolle werden wie eine Netzwerkkarte an NetWAYS/ISDN
gebunden. Diese Anbindung geschieht NDIS-konform. NDIS
steht für Network Device Interface Specification und stellt einen Standard für die Anbindung von Netzwerkkarten an
Netzwerkprotokolle dar. Mit Hilfe von NDIS kann jede TCP/IPoder IPX/SPX-basierte Netzwerkanwendung über ISDN genutzt werden. Die Netzwerkeinstellungen entfernter NetWAYS/ISDN-Computer unterscheiden sich im Vergleich zu
Computern, die sich direkt im LAN befinden, nur geringfügig.
6
Technologie
Die folgende Abbildung zeigt die Einbindung zweier Computer in ein LAN. Zum Vergleich sind ein NetWAYS/ISDN-Computer mit RAS (Remote Access Service = Fernzugriff) über ISDN
dargestellt und ein konventioneller Computer direkt im LAN.
Entfernter Benutzer
z.B. Computer mit ISDN-Controller
und NetWAYS/ISDN
Anwendungssoftware
TCP/IP
IPX/SPX
NDIS
NetWAYS/ISDN
ISDN
AVM Access Server
Computer mit Netzwerkkarte und ISDN-Controller
Lokale Benutzer im Netzwerk
Computer mit Netzwerkkarten und
Client-Software für Netzzugriff
Anwendungssoftware
IPX/SPX
TCP/IP
NDIS
Netzwerkkartentreiber
Vergleich von konventionellem Computer im LAN und Computer, der
über ISDN angebunden ist
Auf der Seite des LANs oder des Internets sind als Gegenstelle zu NetWAYS/ISDN die marktführenden Remote-AccessServer von AVM oder RAS-Produkte anderer Hersteller, die
PPP over ISDN (Point-to-Point Protocol = Punkt-zu-Punkt-Protokoll) unterstützen, einsetzbar.
Auf dem entfernten Computer können alle typischen LAN-Anwendungen genutzt werden. Dazu gehören Client-Software
für Microsoft- oder NetWare-Netzwerke, ein Browser für das
Internet, E-Mail-Programme oder Terminalemulation.
NetWAYS/ISDN leistet jedoch im Zusammenspiel mit der Gegenstelle wesentlich mehr als ein gewöhnlicher Treiber für
Netzwerkkarten. Das Programm bietet umfangreiche Funktionen, die richtungsweisend im Bereich des Fernzugriffs sind:
l
Reduzierung der Verbindungskosten
l
Steigerung der Übertragungsgeschwindigkeit
l
Erhöhung der Sicherheit
7
Kostenmanagement
Kostenmanagement
Ein Hauptanliegen bei der Konzeption von war die Reduzierung der ISDN-Verbindungskosten. NetWAYS/ISDN verwendet praxisbewährte und auf ISDN abgestimmte Verfahren,
um die Verbindungskosten auf ein Minimum zu senken. Damit ist die Wirtschaftlichkeit des Fernzugriffs gewährleistet.
Mit Hilfe des so genannten Short-Hold-Modus wird die ISDNVerbindung abgebaut, wenn keine Daten übertragen werden.
Bei Bedarf, das heißt wenn Nutzerdaten zu übertragen sind,
wird die ISDN-Verbindung automatisch wieder aufgebaut.
Gebühren fallen dadurch nur für das übertragene Datenvolumen und nicht für die Dauer einer Sitzung an.
NetWAYS/ISDN erkennt automatisch den von der Tageszeit
abhängigen Gebührentakt und stellt den Short-Hold-Modus
dementsprechend ein – das ist aufgrund der komplexen Tarifstruktur der ISDN-Netzbetreiber besonders kostensparend. Zudem unterdrücken NetWAYS/ISDN und die RemoteAccess-Server von AVM den verzichtbaren Hintergrund-Datenverkehr des Netzwerkbetriebssystems auf der ISDN-Leitung. In der Praxis erprobte und optimierte Protokoll-Filter
und Spoofing-Technologien kommen hierbei zum Einsatz.
NetWAYS/ISDN unterstützt das Leistungsmerkmal „Kostenübernahme“. Mit diesem Leistungsmerkmal können Sie festlegen, welche Seite für die ISDN-Verbindungsgebühren aufkommt. So kann beispielsweise definiert werden, dass die
Zentrale alle entstehenden Verbindungskosten übernimmt,
unabhängig davon, welche Seite eine Verbindung aufbauen
möchte.
NetWAYS/ISDN gibt den Benutzern eine Übersicht der Verbindungskosten durch monatliche Nutzungsabrechnungen
und Gebührenbudgets.
8
Geschwindigkeit
Geschwindigkeit
ISDN liefert mit 64 KBit/s genügend Bandbreite für heutige
Client/Server-Anwendungen. Durch Datenkompression während der Übertragung und Header-Kompression erreicht NetWAYS/ISDN zusätzlich eine Leistungssteigerung. In Abhängigkeit von den übertragenen Daten sind dadurch Geschwindigkeiten von bis zu 240 KBit/s realisierbar. Zur weiteren
Steigerung der Bandbreite können zwei ISDN-B-Kanäle gebündelt werden.
DSL ermöglicht den schnellen Internetzugang über die normale Telefonanschlussleitung . Die Übertragung von Daten
beim Herunterladen kann mit bis zu 6 MBit/s erfolgen, in der
Gegenrichtung sind bis zu 640 KBit/s möglich.
Sicherheit
Auch dem Thema Sicherheit wurde mit NetWAYS/ISDN wirksam Rechnung getragen. Noch bevor auf Netzwerkebene Datenpakete zwischen der entfernten Seite und dem LAN-Server ausgetauscht werden, findet eine Echtheitsbestätigung
statt. NetWAYS/ISDN unterstützt dies auf zwei Arten: PAP
(Password Authentication Protocol) oder CHAP (Challenge
Handshake Authentication Protocol). Als weiteren Sicherheitsmechanismus wendet NetWAYS/ISDN die „Rufnummernüberprüfung“ an. Auf Seiten des LANs lassen sich mit
AVM-Produkten Zugriffsbeschränkungen und Paket-Filter einsetzen. Zusätzlich wirken noch die Sicherheitsmechanismen
der Netzwerk-Betriebssysteme auf Benutzerebene.
VPN
Der Fernzugriff auf ein LAN kann in NetWAYS/ISDN auch über
eine VPN-Verbindung erfolgen. Mit IPSec als Netzwerkprotokoll werden dabei die folgenden Sicherheitsanforderungen
erfüllt:
l
Vor dem Verbindungsaufbau findet eine Echtheitsbestätigung statt, um sicherzustellen, dass die Daten nur
von berechtigten Personen kommen (Authentizität).
l
Der Datenaustausch findet verschlüsselt statt, so dass
kein Dritter mithören kann (Vertraulichkeit).
9
Interoperabilität
l
Durch eine Signatur wird gewährleistet, dass die Daten
während der Übertragung nicht von Dritten verändert
werden können (Integrität).
Interoperabilität
Auf Netzwerkseite eignet sich als Remote-Access-Server für
NetWAYS/ISDN besonders der AVM Access Server.
Darüber hinaus gewährleistet NetWAYS/ISDN Interoperabilität mit Remote-Access-Servern, die PPP over ISDN unterstützen. Nutzer von NetWAYS/ISDN werden vor allem die Möglichkeit begrüßen, mit Hilfe dieses Standards auch InternetAnbieter zu erreichen. NetWAYS/ISDN verarbeitet neben IPProtokoll-Paketen auch IPX-Protokoll-Pakete direkt über PPP.
Die PPP-Echtheitsbestätigung mit Hilfe von PAP oder CHAP
wird voll unterstützt.
Der Interoperabilitätsstandard PPP over ISDN wird in so genannten RFCs (Request for Comments) beschrieben. Eine
Auflistung der von NetWAYS/ISDN unterstützten RFCs finden
Sie im Kapitel „NetWAYS/ISDN für den Administrator“ ab
Seite 49. Diese Verfahren sind in NetWAYS/ISDN sowie im
AVM Access Server eingebunden.
Statistik- und Protokollfunktionen
Umfassende Statistik- und Protokollfunktionen liefern jederzeit ausführliche Informationen zur aktuellen und zu vergangenen Verbindungen und erlauben damit eine exakte Auswertung aller Aktivitäten mit NetWAYS/ISDN.
Einfache Installation und Bedienung
Die Installation von NetWAYS/ISDN ist mit dem Installationsassistenten einfach durchzuführen. Zudem kann die Installation von einem Administrator automatisiert werden, so dass
vordefinierte Standorte und Ziele ohne Benutzereingaben
nach der Installation in das Programm integriert werden.
NetWAYS/ISDN kann nach dem Computerstart ohne weitere
Benutzereingaben eine Netzwerkverbindung aufbauen. Die
grafische Benutzeroberfläche ermöglicht den Anwendern eine intuitive Bedienung von NetWAYS/ISDN. Für Spezialan10
Lieferumfang
wendungen steht darüber hinaus eine Programmierschnittstelle (API = Application Programming Interface) zur Verfügung. Nähere Informationen zu der in NetWAYS/ISDN integrierten Programmierschnittstelle erhalten Sie im Kapitel
„NetWAYS/ISDN für den Administrator“ ab Seite 49.
1.2 Lieferumfang
Folgendes ist im Lieferumfang von NetWAYS/ISDN enthalten:
l
1 CD-ROM NetWAYS/ISDN v5.0
l
1 Handbuch NetWAYS/ISDN v5.0
Sollte eines dieser Teile fehlen, wenden Sie sich bitte an Ihren Händler.
Falls der Computer, für den Sie die NetWAYS/ISDN-Lizenz erworben haben und auf dem Sie NetWAYS/ISDN installieren
möchten, nicht über ein CD ROM-Laufwerk verfügt, können
Sie die benötigte Software für diesen nichtkommerziellen
Zweck auf Disketten kopieren. AVM liefert die NetWAYS/ISDN-Software nicht auf Disketten aus.
Registrieren Sie NetWAYS/ISDN bei AVM. Lesen Sie dazu den
Abschnitt „Registrierung“ auf Seite 60.
11
Installation und erste Schritte
2 Installation und erste Schritte
Dieses Kapitel beschreibt die Installation, das Starten und
Beenden und die Deinstallation von NetWAYS/ISDN. Außerdem erfahren Sie im Abschnitt „Erste Schritte“, wie Sie eine
Testverbindung zum AVM Data Call Center aufbauen und welche Voraussetzungen für den Aufbau einer Internetverbindung erfüllt sein müssen.
2.1 Systemvoraussetzungen
Zur Installation von NetWAYS/ISDN müssen folgende Voraussetzungen erfüllt sein:
Hard- und Software des NetWAYS/ISDN-Computers
l
Industriestandard-PC mit mindestens 32 MB RAM
l
Intel Pentium 90 oder vergleichbare CPU
l
Windows XP, 2000, NT oder Windows Me/98. Für Windows XP, 2000 und NT benötigen Sie das aktuelle
Microsoft Service Pack
l
AVM ISDN-Controller oder AVM FRITZ!Card GSM
l
Für DSL: AVM FRITZ!Card DSL oder externes DSL-Modem
über Ethernet oder PPPoE
Vor der Installation von NetWAYS/ISDN muss der AVM ISDNController bereits installiert sein. Die Treibersoftware muss
beim Starten von Windows automatisch geladen werden! Informationen dazu erhalten Sie im Handbuch Ihres ISDN-Controllers.
Beachten Sie bei der Installation von NetWAYS/ISDN in Windows XP, 2000 und NT unbedingt, dass Sie vorher das aktuelle Microsoft Service Pack auf Ihrem Computer installieren
müssen. Eine Installation des Service Packs ist nach jeder
Konfiguration oder Installation notwendig, die es erforderte,
die Windows NT-CD-ROM einzulegen.
12
NetWAYS/ISDN – 2 Installation und erste Schritte
Hard- und Software auf dem Remote-Access-Server
Hard- und Software auf dem Remote-AccessServer
l
Windows XP-/2000-/NT-Server mit AVM Access Server
und AVM ISDN-Controller B1, T1, T1-B, C2 oder C4
l
Beliebiger Remote-Access-Server, der PPP over ISDN unterstützt
2.2 Installation von NetWAYS/ISDN
Zur Installation von NetWAYS/ISDN gehen Sie wie folgt vor:
1.
Legen Sie die NetWAYS/ISDN-CD in Ihr CD-ROM-Laufwerk ein.
Die CD-Intro wird automatisch gestartet.
2.
Wählen Sie zunächst die Sprache aus, in der Sie NetWAYS/ISDN installieren wollen.
3.
Wählen Sie im Begrüßungsfenster „NetWAYS/ISDN v6.0
installieren“, um das Installationsprogramm zu starten.
4.
Klicken Sie im Begrüßungsfenster des NetWAYS/ISDNInstallationsprogramms auf „Weiter“, um die Installation fortzusetzen.
5.
Geben Sie im nächsten Fenster den NetWAYS/ISDN Product Identification Code ein. Der NetWAYS/ISDN Product Identification Code befindet sich auf der CD-Hülle.
6.
Geben Sie im Fenster „Zielpfad wählen“ den Ordner an,
in den NetWAYS/ISDN installiert werden soll.
Als Standard wird der Pfad C:\PROGRAMME\AVM\
NETWAYS vorgeschlagen. Mit der Funktion „Durchsuchen“ können Sie einen anderen Ordner angeben.
7.
Wenn Sie bereits eine Version von NetWAYS/ISDN auf
Ihrem Computer installiert haben, können Sie im nächsten Fenster angeben, ob Sie die bestehende Adressdatenbank übernehmen möchten. Bestätigen Sie die
Übernahme der bestehenden Datenbank mit „Ja“.
13
Standardkonfiguration
8.
Im Fenster „Kopiervorgang starten“ werden alle Ihren
bisherigen Angaben zusammengefasst dargestellt.
Wenn Sie die Angaben ändern möchten, erreichen Sie
mit „Zurück“ die Eingabefenster.
Sind alle Angaben korrekt, starten Sie mit „Weiter“ den
Kopiervorgang für die Installation von NetWAYS/ISDN.
Die Programmdateien für NetWAYS/ISDN werden nun
installiert.
Bei der Installation in Windows XP wird der Kopiervorgang durch einen Warnhinweis des Betriebssystems
unterbrochen. Die Warnung bezieht sich auf den Windows-Logo-Test. Ignorieren Sie den Hinweis und setzen
Sie die Installation fort.
9.
Starten Sie im Anschluss an die Installation Ihren Computer neu.
Mit dem Neustart des Computers ist die Installation von NetWAYS/ISDN abgeschlossen. Im Programmordner des Startmenüs befindet sich der neue Ordner „NetWAYS/ISDN“. Er
enthält eine Verknüpfung zur Datei „NetWAYS/ISDN“, über
die Sie die NetWAYS/ISDN-Oberfläche aufrufen, und zur Datei „Readme“, die aktuelle Informationen zu NetWAYS/ISDN
enthält.
Informationen zum Starten und Beenden von NetWAYS/ISDN
erhalten Sie im Abschnitt „NetWAYS/ISDN als Systemdienst“
auf Seite 52.
2.3 Standardkonfiguration
NetWAYS/ISDN wird im Computer als Netzwerkkartentreiber
eingebunden. Dies geschieht bei der Installation automatisch. Folgende Einstellungen werden im Netzwerk von Windows standardmäßig vorgenommen:
14
l
Automatische Bindung des Netzwerkprotokolls TCP/IP
an NetWAYS/ISDN.
l
Bindung des Netzwerkprotokolls IPX/SPX an NetWAYS/ISDN, wenn IPX/SPX vor der Installation von NetWAYS/ISDN installiert wurde.
Erste Schritte
Nach der Installation von NetWAYS/ISDN steht Ihnen das von
der AVM vorkonfigurierte Ziel „Fast Internet over ISDN“ zur
Verfügung. Folgende Einstellungen sind gegeben:
l
Als Filter- und Spoofing-Mechanismen sind die IP-Optionen aktiviert.
l
Für die Datenkompression ist „Automatisch aushandeln“ eingestellt.
l
Die Header-Kompression ist aktiviert.
l
Der physikalische Verbindungsabbau findet nach 50
Sekunden statt.
l
Der logische Verbindungsabbau findet zusammen mit
dem physikalischen Verbindungsabbau statt.
l
Für die Kanalbündelung ist „Manuell“ eingestellt.
l
Die Kostenübernahme ist auf „Anrufer“ eingestellt.
l
Es findet keine Rufnummernüberprüfung statt.
l
Die Anmeldung auf dem ADC findet mit dem Benutzernamen „Gast“ und ohne Eingabe eines Passwortes
statt.
2.4 Erste Schritte
Nachdem Sie NetWAYS/ISDN installiert und gestartet haben,
können Sie mit dem vorkonfigurierten Ziel eine Testverbindung zu einer extra eingerichteten Gegenstelle im AVM Data
Call Center (ADC) aufbauen.
Bevor Sie eine Testverbindung zum ADC oder zu den Internetseiten von AVM aufbauen können, müssen Sie in NetWAYS/ISDN ein Standortprofil anlegen. Ausführliche Informationen dazu erhalten Sie in der Online-Hilfe.
Möchten Sie eine bestehende Verbindung und ihren Verlauf
beobachten, haben Sie in NetWAYS/ISDN zwei Möglichkeiten:
1.
Wählen Sie im Menü „Monitor“ den Befehl „Statistik“.
Das Statistikfenster wird geöffnet. Hier erhalten Sie umfangreiche Informationen zur aktuellen Verbindung.
15
Erste Verbindung zum Testen von TCP/IP
oder
2.
Wählen Sie im Menü „Monitor“ den Befehl „Cockpit“.
Das Cockpit-Fenster wird geöffnet. Hier können Sie sehen, ob eine aktuelle Verbindung besteht, wann eine
physikalische Verbindung abgebaut wird und wie viele
B-Kanäle aktiv sind.
Erste Verbindung zum Testen von TCP/IP
Führen Sie die folgenden Schritte aus, um mit dem Netzwerkprotokoll TCP/IP eine Verbindung zum ADC herzustellen:
1.
Starten Sie
WAYS/ISDN.
die
Programmoberfläche
von
Net-
2.
Markieren Sie das Zielsymbol „Fast Internet over ISDN“.
3.
Rufen Sie im Menü „Datei“ den Befehl „Verbindung aufbauen“ auf.
Bei erfolgreichem Verbindungsaufbau erscheint in der
Statuszeile des NetWAYS/ISDN-Fensters die Statusangabe „Physikalisch Verbunden“.
4.
Rufen Sie einen Web-Browser auf und tragen Sie in die
Befehlszeile „Adresse“ entweder die Adresse des
WWW-Servers oder des FTP-Servers der AVM ein:
http://www.avm.de
ftp://ftp.avm.de
Von den WWW-Startseiten und der Startseite des FTP-Servers
aus haben Sie jetzt die Möglichkeit, sich auf den Internetseiten der AVM und in dem Verzeichnis des FTP-Servers zu bewegen.
Mit NetWAYS/ISDN in das Internet
Vor dem Start in das Internet müssen seitens des InternetAnbieters und in den Einstellungen von NetWAYS/ISDN einige Voraussetzungen erfüllt sein.
16
Voraussetzungen beim Anbieter
l
Der Anbieter muss über ISDN- und/oder DSL-Zugänge
verfügen.
l
Der Zugang sollte das „synchrone PPP“ nach dem Standard RFC 1618 unterstützen.
l
Die Anmeldung beim Internet-Anbieter kann sowohl per
Rufnummernüberprüfung als auch per Authentisierung
erfolgen.
l
Für Verbindungen zu Ihrem Internet-Anbieter kann
wahlweise eine statische oder dynamische IP-Adresse
verwendet werden. Es wird empfohlen, IP-Masquerading zu verwenden.
Voraussetzungen auf lokaler Seite
Bei der Erstellung eines Zieles für Ihren Internet-Anbieter beachten Sie bitte die folgenden Hinweise:
l
Deaktivieren Sie das Netzwerkprotokoll IPX/SPX in den
Zieleinstellungen von NetWAYS/ISDN.
l
Die Zeitspanne bis zum physikalischen Abbau sollte
länger als 10 Sekunden sein. Ein Verbindungsaufbau zu
einem Internet-Anbieter kann aufgrund der oft stark frequentierten Server eine Weile in Anspruch nehmen. Mit
der höher gesetzten Zeitspanne gehen Sie sicher, dass
der Verbindungsaufbau nicht wegen einem zu niedrigen
Wert in den Einstellungen abgebrochen wird.
l
Bei einigen Internet-Anbietern müssen Sie Proxy-Server
und dazu gehörende Ports angeben. Nähere Informationen erhalten Sie von Ihrem Systemadministrator oder
von Ihrem Internet-Anbieter.
l
Achten Sie auf die korrekte Eingabe der Rufnummer,
des Benutzernamens und des Passwortes.
17
Einrichten eines Internetziels
1.
Wählen Sie im Menü „Einstellungen“ den Eintrag „Ziele/Ziel neu...“ aus. Der NetWAYS/ISDN-Assistent zum
Einrichten einer Internetverbindung wird gestartet.
2.
Wählen Sie im Dialog „Art des Netzwerkes“ die Option
„Internet“ aus.
3.
Wählen Sie im nächsten Dialog die Art des Internetanbieters aus.
4.
Wählen Sie einen Internetanbieter aus.
Dieser Auswahldialog erscheint nur, wenn Sie im vorangegangenen Dialog „Internetanbieter mit Anmeldung“
oder „Internetanbieter ohne Anmeldung“ ausgewählt
haben.
5.
Übernehmen Sie die vorgeschlagene Bezeichnung für
den Internetanbieter oder ändern Sie den Vorschlag.
6.
Geben Sie die Zugangsdaten für Ihren Internetanbieter
ein.
7.
Beenden Sie die Konfiguration mit „Fertig stellen“.
In der NetWAYS/ISDN-Oberfläche wird die Internetverbindung als Symbol dargestellt.
Import einer mit dem AVM Access Server erstellten VPNVerbindung
Am AVM Access Server gibt es die Möglichkeit, die Konfiguration eines VPN-Benutzers als Datei zu exportieren und auf einer Diskette zur Verfügung zu stellen. Die Datei kann dann
am NetWAYS/ISDN-Computer importiert werden. Mit dem
Import dieser Datei erfolgt die automatische Konfiguration
des VPN-Ziels.
18
1.
Legen Sie die Diskette mit der am AVM Access Server erstellten Exportdatei in das Diskettenlaufwerk.
2.
Wählen Sie im Menü „Datei“ den Eintrag „VPN-Verbindung importieren“ aus. Der Dateiauswahldialog von
Windows wird geöffnet.
Deinstallation von NetWAYS/ISDN
3.
Wählen Sie von der Diskette die Datei mit der Endung
.EFF aus und bestätigen Sie Ihre Auswahl mit „OK“.
4.
Geben Sie das Kennwort ein, das beim Erstellen der Exportdatei am AVM Access Server festgelegt wurde.
Aufbau einer Internetverbindung
Zum Aufbau einer Internetverbindung gehen Sie wie folgt
vor:
1.
Starten Sie NetWAYS/ISDN.
2.
Markieren Sie im Hauptfenster das Zielsymbol für Ihren
Internet-Anbieter.
3.
Rufen Sie im Menü „Datei“ den Befehl „Verbindung aufbauen“ auf.
4.
Bei erfolgreichem Verbindungsaufbau erscheint in der
Statuszeile des NetWAYS/ISDN-Fensters die Statusangabe „Physikalisch Verbunden“.
5.
Rufen Sie einen Web-Browser auf.
Jetzt können Sie jede beliebige Seite im Internet aufrufen.
2.5 Deinstallation von NetWAYS/ISDN
Sie können die in NetWAYS/ISDN vorgenommenen Einstellungen behalten. Sichern Sie dazu alle Dateien mit den Endungen .idx und .dat. Nach der erneuten Installation derselben NetWAYS/ISDN-Version kopieren Sie diese Dateien in
das NetWAYS/ISDN-Installationsverzeichnis. Ihre Einstellungen sind nun wieder verfügbar.
Gehen Sie zur Deinstallation folgendermaßen vor:
Deinstallation in Windows XP und 2000
1.
Öffnen Sie den Ordner „Systemsteuerung“ in Windows
XP über das „Startmenü“ und in Windows 2000 über
„Start / Einstellungen“. Öffnen Sie nun den Ordner
„Software“.
19
Deinstallation in Windows Me, 98, NT und 95
2.
Wählen Sie nun in der Liste der korrekt installierten Programme „NetWAYS/ISDN“ aus und klicken Sie auf die
Schaltfläche „Ändern/Entfernen“. Achten Sie darauf,
dass in der linken Fensterspalte „Programme ändern
oder entfernen“ aktiviert ist.
3.
Bestätigen Sie die Sicherheitsabfrage mit „Ja“.
4.
Folgen Sie nun den Hinweisen auf dem Bildschirm. Beenden Sie die Deinstallation mit „OK“, sobald Sie die
Information erhalten, dass die Deinstallation erfolgreich durchgeführt wurde.
Deinstallation in Windows Me, 98, NT und 95
1.
Rufen Sie den Ordner „Einstellungen / Systemeinstellungen / Software“ im Startmenü von Windows auf.
2.
Markieren Sie auf der Registerkarte „Installieren/Deinstallieren“ den Listeneintrag „AVM NetWAYS/ISDN“ und
klicken Sie auf die Schaltfläche „Hinzufügen/Entfernen“.
3.
Beenden Sie die Deinstallation mit Klicken auf „OK“.
Die Deinstallation von NetWAYS/ISDN ist damit beendet.
20
3 Fernzugriff mit NetWAYS/ISDN
Dieses Kapitel erläutert die grundlegenden Konzepte von
NetWAYS/ISDN. Sie erhalten detaillierte Informationen zu
Leistungsmerkmalen, Funktionen und Einstellungsmöglichkeiten.
Ausführliche Informationen zu den einzelnen Funktionen
und Parametern erhalten Sie in der Online-Hilfe.
3.1 Optimierung der Übertragungsgeschwindigkeit
Ein ISDN-B-Kanal hat eine Übertragungsgeschwindigkeit von
64 KBit in der Sekunde. Viele Anwendungen setzen heute eine höhere Bandbreite voraus. Zur optimalen Nutzung der
verfügbaren Bandbreite wurden daher unter NetWAYS/ISDN
zwei Möglichkeiten eingebunden, Datenpakete effektiv zu
komprimieren: Header-Kompression und Datenkompression.
Beim Internetzugang mit DSL kann die Übertragung von Daten beim Herunterladen mit bis zu 6 MBit/s erfolgen, in der
Gegenrichtung sind bis zu 640 KBit/s möglich.
Header-Kompression
Bestandteil jedes Datenpaketes bei der Datenübertragung
ist ein so genannter Header, der Informationen zu Absender
und Adressat enthält. Durch Kompression dieser Header wird
mit NetWAYS/ISDN die Übertragungsrate, insbesondere bei
kleinen Datenpaketen, enorm erhöht. IPX-Header können
maximal von 36 auf 2 Bytes, TCP/IP-Header von 40 auf 3
Bytes komprimiert werden.
Datenkompression
Auch die Daten eines Datenpaketes können während der
Übertragung komprimiert werden. NetWAYS/ISDN verwendet
bei der Datenkompression die Standards V.42bis, PPP-Stack
NetWAYS/ISDN – 3 Fernzugriff mit NetWAYS/ISDN
21
Kanalbündelung
LZS (RFC 1974) und MPPC (RFC 2118). Diese Verfahren ermöglichen, je nach Dateninhalt, eine Kompressionsrate von bis
zu 8:1.
Kanalbündelung
Zur Optimierung der Übertragungsgeschwindigkeit bietet
NetWAYS/ISDN neben der Kompression die Möglichkeit, beide Datenkanäle (B-Kanäle) für die Datenübertragung zu verwenden. Durch diese Kanalbündelung kann eine Bandbreite
von 128 KBit/s (2 x 64 KBit/s) erreicht werden. Sie haben bei
der Kanalbündelung folgende Konfigurationsmöglichkeiten:
Bündelungsart
Beschreibung
Keine
Es wird immer nur ein B-Kanal verwendet.
Statisch
Es werden immer zwei B-Kanäle verwendet.
Dynamisch
Der zweite B-Kanal wird automatisch dazugeschaltet, wenn die übertragene Datenmenge
es erfordert. Wenn die Datenmenge zurückgeht, wird der zweite B-Kanal automatisch abgebaut.
Manuell
Der zweite B-Kanal kann für eine bestehende
Verbindung bei Bedarf mit Hilfe eines Schalters dazugeschaltet werden.
Beachten Sie, dass bei Einsatz beider B-Kanäle auch doppelte Kosten entstehen. Prüfen Sie daher sorgfältig, ob die Datenmenge die Kanalbündelung rechtfertigt.
3.2 Kostenmanagement
Bei einer ISDN-Verbindung handelt es sich, anders als etwa
im LAN, um eine kostenpflichtige Verbindung. Sie bezahlen
für die Verbindungsdauer und nicht für die übertragenen Daten. NetWAYS/ISDN verwendet verschiedene intelligente Verfahren zur Reduzierung der ISDN-Verbindungskosten.
22
Physikalischer Verbindungsabbau
Um Verbindungsgebühren zu reduzieren, wird beim physikalischen Abbau durch den so genannten Short-Hold-Modus
eine ISDN-Verbindung automatisch abgebaut, sobald über
eine definierte Zeitspanne keine Daten mehr übetragen werden. Sobald wieder Daten zur Gegenstelle übertragen werden müssen, baut NetWAYS/ISDN die Verbindung automatisch auf. Durch die kurzen Anwahlzeiten im ISDN (1 bis 2 Sekunden) ist dieses Verhalten kaum zu bemerken.
Die Dauer bis zum physikalischen Abbau einer Verbindung
ohne Datenübertragung steuern Sie entweder über eine Zeitspanne, den so genannten Inactivity Timeout, oder über Gebührenprofile.
Zeitspanne für den physikalischen Abbau
Wenn keine Datenübertragung über einen angegebenen Zeitraum stattgefunden hat, wird die ISDN-Verbindung zwischen
dem NetWAYS/ISDN-Computer und dem LAN abgebaut. Dies
kann auf zwei Arten geschehen:
l
Fest
Sie können den Zeitraum bis zum Verbindungsabbau
als festen Wert vorgeben.
l
Selbstlernend
Der Zeitraum kann von NetWAYS/ISDN selbst eingestellt werden. Das bedeutet, dass der Zeitpunkt des
physikalischen Abbaus nicht fest ist, sondern dass NetWAYS/ISDN die Zeit bis zum physikalischen Abbau mit
Hilfe des Gebührenimpulses einstellt, der am ISDN-Anschluss übertragen wird. Die Zeitspanne bis zum physikalischen Abbau wird dann weitestgehend an den Gebührentakt angepasst, der zu dieser Tageszeit für den
entsprechenden Tarifbereich gilt. Bei NetWAYS/ISDN
wird dieses Merkmal als „Selbstlernend“ bezeichnet.
23
Logischer Verbindungsabbau
Beachten Sie, dass Sie für das Merkmal „Selbstlernend“ die
Übermittlung der Gebühreninformationen während der Verbindung von Ihrem ISDN-Anbieter freischalten lassen müssen. Auch die Weiterleitung der Gebühreninformationen in
Ihrer Nebenstellenanlage muss freigeschaltet sein.
Gebührenprofile für den physikalischen Abbau
Die Zeitspanne bis zum physikalischen Abbau der Verbindung kann mit NetWAYS/ISDN auch über Gebührenprofile
gesteuert werden. Ein Gebührenprofil enthält Informationen
zur Länge der Gebührentakte. Diese Gebührentakte sind abhängig von Tarifzeiten und vom Tarifbereich.
Für Verbindungen aus Deutschland können Sie eines der voreingestellten Gebührenprofile nutzen. Die Gebührenprofile
enthalten die üblichen Tarife eines T-ISDN Standardanschlusses der Deutschen Telekom AG.
Sie können mit NetWAYS/ISDN eigene Gebührenprofile erstellen oder schon vorhandene an Ihre eigenen Bedürfnisse
anpassen, zum Beispiel durch die Angabe von Feiertagen.
Wenn eine Verbindung auf Basis einer angegebenen Zeitspanne physikalisch abgebaut wurde, kann eine logische
Verbindung bestehen bleiben. Eine logische Verbindung
stellt sicher, dass bei einer erneuten Datenübertragung die
physikalische Verbindung mit den alten Parametern automatisch wieder hergestellt werden kann.
Den gewünschten Zeitraum für eine fortlaufende logische
Verbindung bestimmen Sie selber. Solange dieser Zeitraum
nicht überschritten wird, bleiben einige mit der Gegenstelle
ausgehandelte Verbindungsparameter aktiv und der Remote
Access Server auf der Gegenstelle reserviert einen Port und
Netzwerkressourcen für den entfernten Computer. Das kann
aber nur dann geschehen, wenn die Gegenstelle dies unterstützt.
24
Filtern und Spoofing
Erst wenn weiterhin keine Daten übermittelt werden und der
angegebene Zeitraum für den logischen Verbindungsabbau
überschritten wurde, wird der Port für andere Anwendungen
oder Verbindungen freigegeben.
Die folgende Abbildung stellt den Zusammenhang von Datenübertragung und physikalischem Verbindungsabbau zum
einen sowie physikalischem und logischem Verbindungsabbau zum anderen dar.
Logische Verbindung
Keine Gebühren
Datenübertragung
Physikalische Verbindung
Gebühren
Keine Gebühren
Datenübertragung
Physikalische Verbindung
Gebühren
Zeit
Physikalischer Abbau
(Inactivity Timeout)
Logischer Abbau
(Disconnect Timeout)
Physikalische und logische Verbindung mit festem Wert für den
physikalischen Abbau
Zusätzlich zu den Nutzdaten werden in einem Netzwerk ständig Netzwerkkontrollpakete zwischen verschiedenen Anwendungen sowie zwischen Client und Server übertragen. Dies
ist beispielsweise der Fall, wenn der Server prüft, ob noch zu
allen Clients eine Verbindung besteht.
Ebenso würden Nachrichten, die über das gesamte Netzwerk
verteilt werden, auch an den entfernten Computer übertragen werden.
Diese Mechanismen führen normalerweise dazu, dass im
Hintergrund immer wieder eine physikalische Verbindung
aufgebaut wird und dadurch permanent Kosten entstehen.
25
Damit das nicht geschieht, verwendet NetWAYS/ISDN Filter
und so genannte Spoofing-Mechanismen, die den redundanten ISDN-Datenverkehr minimieren.
Viele Netzwerkkontrollpakete und Netzwerknachrichten sind
zum einwandfreien Arbeiten des entfernten Computers im
LAN nicht unbedingt erforderlich und können deshalb herausgefiltert werden.
Welche Datenpakete und Netzwerkprotokolle durch Filterund Spoofing-Mechanismen gefiltert werden, hängt von den
Leistungsmerkmalen des Remote Access Servers ab. Der
AVM Access Server unterstützt alle hier beschriebenen
Merkmale.
Für die Protokolle IPX und IP stehen Ihnen mit NetWAYS/ISDN die folgenden Filter zur Verfügung:
l
SNMP
SNMP (Simple Network Management Protocol) ist ein
weit verbreitetes Protokoll für das Netzwerk-Management. SNMP-Pakete werden zur Überwachung von Netzwerk-Ressourcen eingesetzt. Diese Pakete übertragen
z.B. Status- und Alarmmeldungen von Netzwerkelementen wie Workstations, Servern oder Routern. SNMP-Informationen können u.a. auch über IP- und IPX-Pakete
übertragen werden. Ist dieser Filter aktiv, werden Pakete vom Typ SNMP über IP oder IPX gefiltert und nicht
über ISDN übertragen.
l
NetBIOS
NetBIOS ist ein Befehlssatz, den manche Programme
und Netzwerke zur Kommunikation nutzen. NetBIOS
kann sowohl über IP als auch über IPX übertragen werden und stellt die Grundlage für die Datei- und Druckerfreigabe in Windows dar. Um die Übertragung dieser Pakete über ISDN zu verhindern, muss der NetBIOS-überIPX- oder -IP-Filter eingeschaltet sein.
Wenn sich im LAN Windows XP-, Me-, 2000-, 98-, NT- und
95-Computer befinden, dann müssen Sie immer den Transport von NetBIOS-Paketen zulassen, damit ein Zugriff auf
26
diese Server möglich ist. Die Kommunikation in MicrosoftNetzwerken erfolgt zwar unabhängig vom Transportprotokoll, aber stets mit NetBIOS.
Spoofing
Manche Pakettypen, die zwischen dem Client und dem Server ausgetauscht werden, verlangen eine Bestätigung der
Gegenseite und dürfen nicht einfach aus dem Datenstrom
herausgefiltert werden. Ansonsten würde die Kommunikation zwischen dem entfernten Computer und dem Server nicht
mehr einwandfrei funktionieren. Mit Hilfe des Spoofing-Mechanismus, können der Remote Access Server und der entfernte Computer solche Datenpakete abfangen und selbst
die Antwort an den LAN-Server schicken, der die Anfrage gestartet hat. Auf diese Weise findet kein Austausch dieser Pakete über ISDN statt. Eine bestehende logische Verbindung
bleibt trotzdem erhalten.
Lokales Netzwerk (LAN)
Benutzerdaten:
Dateien, etc.
Benutzerdaten: E-Mails, etc.
Netzwerkdatenpakete:
Watchdog, SPX, ARP,
NetBIOS, SNMP und NCP
Remote Access Server
Filter- und SpoofingMechanismen
AVM Access Server
Benutzerdaten:
Dateien, etc.
Benutzerdaten:
E-Mails, etc.
Benutzerdaten:
Dateien, etc.
ISDN
Benutzerdaten:
E-Mails, etc.
Entfernter Rechner
mit NetWAYS/ISDN
NetWAYS/ISDN
Filter- und
SpoofingMechanismen
Benutzerdaten:
E-Mails, etc.
Benutzerdaten:
Dateien, etc.
Netzwerkdatenpakete:
NetBIOS, SNMP und NCP
Filter- und Spoofing-Mechanismen bei der Datenübertragung
Abhängig von dem gewählten Protokoll, IPX oder IP, stehen
Ihnen für das Beantworten der Kontroll- oder Nachrichtenpakete im LAN die folgenden Spoofing-Mechanismen zur Verfügung:
27
l
Watchdog-Spoofing
NetWare-Server senden in regelmäßigen Abständen so
genannte Watchdog-Pakete, um zu überprüfen, ob die
am Server angemeldeten Clients noch existieren. Diese
Watchdog-Pakete werden im LAN durch den AVM Access Server abgefangen. Der Remote Access Server simuliert eine Bestätigung des entfernten Computers, ohne dass zu diesem eine Verbindung aufgebaut wird.
l
SPX-Spoofing
Viele Anwendungen verwenden IPX/SPX. In diesem Fall
werden in regelmäßigen Abständen „Keep alive“-Pakete zwischen Server und Client ausgetauscht, um die Aktivität einer bestimmten Anwendung zu überprüfen.
SPX-Pakete müssen auf beiden Seiten beantwortet werden, um die logische Verbindung aufrechtzuerhalten.
Wenn das SPX-Spoofing aktiviert ist, werden SPX-Pakete des Remote Access Servers lokal im LAN beantwortet
und nicht über ISDN an den Client (Ihren Computer) gesendet. SPX-Pakete, die vom Anwendungsprogramm
auf dem Client erzeugt werden, werden durch NetWAYS/ISDN beantwortet und nicht zur Gegenstelle gesendet.
l
NCP-Spoofing
NCP-Spoofing (NetWare Core Protocol) verhindert die
ISDN-Übertragung von NCP-Anfragen wie „Get directory
path“ oder „End of job“, die von Windows-Anwendungen beim Öffnen einer Dateiübersicht (z.B. bei Aufruf
des Befehls „Datei öffnen“ in Microsoft Word) ausgesendet werden. Ist das NCP-Spoofing aktiv, verhindert
der entfernte Computer die Übertragung von überflüssigen NCP-Anfragen (z.B. Aktualisierungsanfragen) zu allen Servern, mit denen der Client über Laufwerkszuweisungen verbunden ist. Diese Anfragen werden damit lokal beantwortet.
28
Rückrufoptionen und Kostenübernahme
l
ARP-Spoofing
ARP (Address Resolution Protocol) bietet eine dynamische Zuweisung von IP-Adressen zu den entsprechenden Hardware-Adressen (MAC-Adressen).
Das ARP sendet bei IP normalerweise alle sechs Minuten eine Nachricht über das Netzwerk, um die Zuordnung von IP- und MAC-Adressen zu ermitteln. Als Antwort auf eine ARP-Anfrage wird die IP-Adresse mit der
entsprechenden Hardware-Adresse übertragen. Bei der
Anbindung von Clients über ISDN kann dies hohe Verbindungskosten verursachen, da bei jeder ARP-Anfrage
eine ISDN-Verbindung aufgebaut werden würde. Um
dies zu vermeiden, bietet der AVM Access Server ARPSpoofing, mit dem die angeforderte Hardware-Adresse
lokal geliefert wird. In NetWAYS/ISDN und dem AVM Access Server ist das ARP-Spoofing automatisch aktiviert.
Eine Standard-Anwendung von NetWAYS/ISDN ist die Integration von Telearbeitsplätzen in das firmeneigene LAN. Bei
Telearbeitsplätzen ist es oft üblich, dass eine Seite – meist
die Firmenzentrale – die ISDN-Verbindungskosten trägt. NetWAYS/ISDN stellt in diesem Zusammenhang die Funktionen
„Rückrufanforderung“ und „COSO“ (COSO=Charge One Site
Only) bereit, mit denen sich Kostenübernahme und Rückruf
durch die Gegenstelle optimal realisieren lassen.
Rückrufanforderung
Mit der Funktion „Rückrufanforderung“ kann der entfernte
Computer dem Remote Access Server signalisieren, dass er
zurückgerufen werden möchte, damit zukünftig die ISDN-Verbindungskosten vom Remote Access Server übernommen
werden.
Bei jedem Verbindungsaufbau wird zwischen dem Remote
Access Server und dem entfernten Computer die Art des Verbindungsaufbaus, einschließlich der Rückrufanforderung,
ausgehandelt. Der entfernte Computer ruft den Remote Access Server an und die Aushandlungen werden vorgenom-
29
men. Wenn die Rückrufanforderung erfolgreich ausgehandelt
werden konnte, dann lehnt der Remote Access Server die
Verbindung ab und ruft den entfernten Computer zurück.
Dies gilt auch dann, wenn nach einem physikalischen Verbindungsabbau wegen Inaktivität wieder Daten vom entfernten Computer zur Gegenstelle übertragen werden müssen.
Die jeweils erste (physikalische) Verbindung muss vom entfernten Computer aufgebaut und bezahlt werden, da zuerst
alle Verbindungsparameter (einschließlich Rückrufanforderung) ausgehandelt werden müssen.
Kostenübernahme (COSO = Charge One Site Only)
Zur Festlegung der Kostenübernahme unterstützt NetWAYS/ISDN das Leistungsmerkmal „COSO“ (COSO=Charge
One Site Only). Mit Hilfe dieser Funktion können Sie bestimmen, welche Seite für die Verbindungskosten aufkommt. Der
entfernte Computer und der Remote Access Server können
so eingestellt werden, dass eine Seite die Kosten übernimmt, unabhängig davon, welche Seite den Verbindungsaufbau signalisiert hat.
Das Leistungsmerkmal „Kostenübernahme“ muss von beiden Seiten unterstützt und aktiviert werden. Kostenübernahme mit COSO arbeitet mit PPP over ISDN.
Die Kostenübernahme durch COSO arbeitet in NetWAYS/ISDN folgendermaßen:
Bei Einstellung „Anrufer“ werden die Verbindungskosten von
der Seite getragen, die die Verbindung signalisiert. Übernehmen Sie auf jeden Fall diese Einstellung, wenn die Gegenstelle die Kostenübernahme nicht unterstützt.
Bei Einstellung „Lokale Seite“ übernimmt die lokale Seite
die gesamten Verbindungsgebühren. Einkommende Rufe
werden von NetWAYS/ISDN abgelehnt. NetWAYS/ISDN ruft
sofort zurück und baut selbst die Verbindung zum Ziel auf.
Bei Einstellung „Gegenstelle“ übernimmt die Gegenstelle die
gesamten Verbindungsgebühren. Müssen Daten zum entfernten Netzwerk übertragen werden, signalisiert Net-
30
WAYS/ISDN den Verbindungswunsch über den D-Kanal. Die
Gegenstelle lehnt den Verbindungsaufbau ab und ruft zurück.
Bei den beiden Einstellungen „Lokale Seite“ und „Gegenstelle“ wird die Rufnummer der anrufenden Seite im D-Kanal
übertragen. Dazu muss die Übertragung der D-Kanal-Rufnummer von Ihrem ISDN-Anbieter auf der anrufenden Seite
freigeschaltet sein.
In den meisten Ländern ist die Signalisierung des Rückrufwunsches über den D-Kanal gebührenfrei. Erkundigen Sie
sich, ob das auch für Ihren ISDN-Anbieter zutrifft.
Sind die Einstellungen für die Kostenübernahme von NetWAYS/ISDN und Gegenstelle nicht aufeinander abgestimmt,
ist es möglich, dass trotz signalisierten Verbindungswunsches die Verbindung nicht aufgebaut wird.
In diesem Fall wird eine entsprechende Meldung im Ereignisprotokoll ausgegeben und die Kostenübernahme auf „Keine
ausgehenden Rufe“ gestellt. In diesem Modus sind keine
ausgehenden Rufe zu diesem Ziel mehr möglich. Nur die Gegenstelle kann die Verbindung aufbauen.
COSO-Parameter lassen sich in Verbindung mit dem AVM Access Server auch zeitabhängig konfigurieren. So kann beispielsweise eingestellt werden, dass eine Zentrale tagsüber
alle ISDN-Gebühren übernimmt, während in den Abend- und
Nachtstunden jeweils die entfernten Computer die Gebühren
tragen.
Die folgende Grafik veranschaulicht die Kostenübernahme
für den Fall, dass die Kostenübernahme auf „Gegenstelle“
eingestellt ist.
31
Festverbindungen
AVM Access Server
Entfernter Computer
D-Kanal
Datenpaket für
das entfernte
Netzwerk
Signalisierung des
Verbindungswunsches
Identifizierung des
Anrufers anhand
D-Kanal-Rufnummer
D- und B-Kanal
Annehmen des
einkommenden
Rufes nach evtl.
Authentisierung
D- und B-Kanal
Übertragung von
Datenpaketen in
beide Richtungen
Ablehnen des
Verbindungswunsches.
Rückruf und dadurch
Kostenübernahme durch
Remote Access Server.
Abbau der ISDNVerbindung nach
Inaktivität
D- und B-Kanal
Annehmen des
einkommenden
Rufes nach evtl.
Authentisierung
D- und B-Kanal
Datenpaket für
den entfernten
Benutzer, z.B. Mail
Übertragung von
Datenpaketen in
beide Richtungen
Rückruf und Kostenübernahme mit COSO (Charge One Site Only)
durch die Gegenstelle
Festverbindungen
Neben Wählverbindungen erlaubt ISDN zusätzlich die Unterstützung von Festverbindungen. Wenn das Datenaufkommen
am entfernten Computer oder am NetWAYS/ISDN-Arbeitsplatz so hoch wird, dass der Einsatz einer Festverbindung
wirtschaftlicher als der Betrieb mit Wählverbindungen ist,
kann eine Festverbindung eingesetzt werden. Zusätzliche
Hardware ist nicht erforderlich.
NetWAYS/ISDN unterstützt Festverbindungen mit einem
B-Kanal (Deutsche Telekom Digital 64S). Darüber hinaus unterstützt NetWAYS/ISDN auch ISDN-Anschlüsse, an denen
ein B-Kanal als Festverbindung und der andere B-Kanal als
Wählverbindung geschaltet ist.
32
Sicherheit
3.3 Sicherheit
Der Schutz vor unberechtigtem Zugriff auf den Remote Access Server und auf den NetWAYS/ISDN-Computer ist beim
Fernzugriff auf ein LAN von großer Wichtigkeit. NetWAYS/ISDN bietet dazu mehrere Mechanismen an, die jedoch auch der Remote Access Server unterstützen muss.
Die Sicherheitsüberprüfungen, die beim Zugriff auf einen Remote Access Server greifen können, werden durch die folgende Abbildung veranschaulicht.
Entfernter Rechner
ISDN
Ausgehende Rufe Remote Access Server
D-Kanal
Überprüfung der
D-Kanal-Rufnummer
B-Kanal
Nach Rufannahme
Authentisierung
mit PAP oder CHAP
Name/Passwort
D- u. B-Kanal
Ggf. Verbindungsabbau und
Sicherheitsrückruf
durch Remote Access
Server
D- u. B-Kanal
Weitere PPP-Aushandlungen, z.B.
IP/IPX-Adresse,
Spoofing,
Kanalbündelung
D- u. B-Kanal
Übertragung von
Nutzdaten, z.B.
E-Mails, Datenbankinformationen,
dynamischer Aufund Abbau der
ISDN-Verbindung
Sicherheit beim Zugriff auf Remote Access Server
Rufnummernüberprüfung
Wenn sich ein entfernter Computer in ein Netzwerk einwählt,
entscheidet der Remote Access Server, ob er die Einwahl akzeptiert oder nicht. Der entfernte Computer wird anhand der
Rufnummer, die im D-Kanal übertragen wird, identifiziert und
der Remote Access Server vergleicht diese Nummer mit den
Einträgen in der Datenbank. Nur bei Übereinstimmung der
Rufnummer wird eine Verbindung zugelassen.
33
Benutzername und Kennwort
Die Übertragung der D-Kanal-Rufnummer (CLI = Calling Line
Identification) ist ein ISDN-Leistungsmerkmal, das von NetWAYS/ISDN zum Schutz vor unberechtigten Zugriffen und für
die Kostenübernahme verwendet wird.
Für das Merkmal „Rufnummernüberprüfung“ muss die
Übertragung der D-Kanal-Rufnummer durch den ISDN-Anbieter freigeschaltet sein.
Benutzername und Kennwort
Die Überprüfung der Echtheit von Benutzernamen und Kennwort ist ein weiterer Sicherheitsmechanismus von NetWAYS/ISDN. Bei der Authentisierung wird geprüft, ob Benutzername und Kennwort mit den jeweils registrierten Benutzernamen und Kennwörtern übereinstimmen. Ist dies der
Fall, wird die Netzwerkverbindung aufgebaut.
Mit Hilfe der Authentisierung wird sichergestellt, dass nur
berechtigte Anwender auf ein System zugreifen können. Benutzername und Kennwort werden Ihnen vom Netzwerkverwalter mitgeteilt.
Die Überprüfung von „Benutzername“ und „Kennwort“ findet statt, wenn das Protokoll PPP over ISDN verwendet wird.
Das PPP-Protokoll verfügt über zwei Mechanismen zur Authentisierung:
l
PAP (Password Authentification Protocol)
l
CHAP (Challenge Handshake Protocol)
Mit PAP/CHAP findet eine Authentisierung bei ausgehenden
Rufen (Outbound Authentification) sowie bei eingehenden
Rufen (Inbound Authentification) statt.
Sicherheitsrückruf
Zur weiteren Erhöhung der Sicherheit kann der Remote Access Server nach der Authentisierung durch Kennwort und
Benutzernamen den entfernten Computer zurückrufen. Dafür
wird die D-Kanal-Rufnummer verwendet. Falls die D-Kanal-
34
Datenverschlüsselung
Rufnummer nicht vollständig übertragen wird, kann der Sicherheitsrückruf mit einer explizit beim Remote Access Server angegebenen Rufnummer erfolgen.
Datenverschlüsselung
Damit Datenpakete während der Übertragung vor unberechtigtem Zugriff geschützt sind, können sie verschlüsselt gesendet werden.
Die Verschlüsselung der Daten erfolgt auf der Ebene des
Transportprotokolls (PPP) nach dem RFC-Standard. Da auch
die Datenkompression auf dieser Ebene stattfindet, können
die Daten zuerst komprimiert und dann verschlüsselt werden.
Verschlüsselt wird mit dem Twofish-Algorithmus, der symmetrisch nach dem so genannten Secret-Key-Verfahren verschlüsselt. Symmetrisch bedeutet, dass zum Ver- und Entschlüsseln der gleiche Schlüssel verwendet wird. Nur der
Sender und der Empfänger kennen den Schlüssel.
Der Schlüssel wird beim Verbindungsaufbau mit einer Länge
von 128 bis 256 Bit (Zufallswert) generiert und ist damit dem
Sender bekannt. Damit auch der Empfänger den Schlüssel
kennt, muss er zum Empfänger übertragen werden. Auf dem
Weg vom Sender zum Empfänger muss der Schlüssel geheim
bleiben, weshalb der Schlüssel selbst chiffriert wird. Die
Chiffrierung des Schlüssels erfolgt im Crypt Provider. Zusammen mit NetWAYS/ISDN wird der Crypt Provider „AVM Crypt
Services for NetWAYS/ISDN“ als Dienst installiert. Um den
Dienst starten zu können, müssen einige Vorbereitungen getroffen werden. Detaillierte Angaben dazu sind in der OnlineHilfe von NetWAYS/ISDN enthalten.
Der standardmäßig installierte Crypt Provider kann durch einen anderen ersetzt werden (Smart Card, PIN, Biometrie
usw.). Die Crypt Provider API ist die Schnittstelle zu NetWAYS/ISDN. Die zur Kodierung der übertragenen Daten verwendeten Schlüssel werden mit jedem Verbindungsaufbau
neu erzeugt und zur Gegenstelle übertragen.
35
Internet-Verbindungen
Eine ausführliche Beschreibung der Crypt Provider API ist
auf dem ADC (AVM Data Call Center) verfügbar: \NETWORKS\
NETWAYS\UTIL\API\AVMNWAPI\CRYPTAPI.DOC.
3.4 Internet-Verbindungen
Für Verbindungen mit dem Internet bietet NetWAYS/ISDN zusätzlich das kostengünstige AO/DI-Verfahren und den
schnellen DSL-Zugang an. Mit AO/DI können Sie eine permanente und kostengünstige Internetverbindung über den DKanal herstellen. Für den schnellen Zugriff auf das Internet
können Sie DSL-Verbindungen nutzen.
IP-Masquerading ermöglicht bei Verbindungen ins Internet
die Nutzung des Short-Hold-Modus und ist ein zusätzlicher
Sicherheitsfaktor.
AO/DI
Das Verfahren AO/DI (Always On/Dynamic ISDN) nutzt den
ISDN-D-Kanal für Verbindungen mit dem Internet. Die Datenkommunikation im D-Kanal arbeitet paketorientiert mit dem
X.25-Protokoll. Somit stehen der NetWAYS/ISDN-Computer
und das Internet über den D-Kanal permanent in Verbindung
(Always On). Für die Übertragung kleiner Datenmengen, zum
Beispiel E-Mails oder Chats, ist die Kapazität des D-Kanals in
der Regel ausreichend und es fallen keine Verbindungskosten an. Den zu- und abnehmenden Datenmengen entsprechend schaltet AO/DI einen oder mehrere B-Kanäle dynamisch zu und ab (Dynamic ISDN).
Mit AO/DI können bei Internet-Kommunikation mit geringer
Datenmenge Verbindungsgebühren eingespart werden, da
der Aufbau einer kostenpflichtigen B-Kanalverbindung nicht
erforderlich ist.
Die Nutzung des Verfahrens AO/DI ist nur dann möglich,
wenn es sowohl von Ihrem Internet-Anbieter als auch von Ihrem DSL/ISDN-Anbieter unterstützt wird.
36
DSL
DSL
DSL (Digital Subscriber Line) ist eine Technologie, die den Internetzugang mit einer hohen Bandbreite über die normale
Telefonleitung ermöglicht. ISDN und DSL nutzen unterschiedliche Frequenzbereiche, wodurch der ungestörte Parallelbetrieb gewährleistet ist.
Die Übertragung von Daten beim Herunterladen an einem
DSL-Anschluss kann mit bis zu 6 MBit/s erfolgen, in der Gegenrichtung sind bis zu 640 kBit/s möglich. Wählverbindungen zu anderen DSL-Teilnehmern sind nicht möglich.
NetWAYS/ISDN unterstützt die Protokolle PPP over Ethernet
(PPPoE) und PPP over ATM (PPPoA). Wenn für die DSL-Kommunikation die FRITZ!Card DSL eingesetzt wird, dann können
beide Protokolle genutzt werden. Findet die DSL-Kommunikation mit Hilfe einer Netzwerkkarte und einem externen
DSL-Modem mit Ethernet-Anschluss statt, dann kann nur
PPPoE genutzt werden. Für die Nutzung von DSL gibt es die
beiden voreingestellten Standorte „FRITZ!Card DSL“ und
„DSL-Modem PPPoE“.
IP-Masquerading
Das IP-Masquerading-Modul von NetWAYS/ISDN überschreibt in den TCP-, UDP- und ICMP-Paketen die AbsenderIP-Adressen mit der von der Gegenstelle zugewiesenen offiziellen IP-Adresse. Der Einsatz von IP-Masquerading in NetWAYS/ISDN bietet folgende Vorteile:
l
Bei Verbindungen zum Internet-Anbieter wird dem Computer bei jedem automatischen Verbindungsaufbau
nach physikalischem Verbindungsabbau (Short-HoldModus) eine neue IP-Adresse zugewiesen. Wegen des
IP-Masquerading ist es nicht erforderlich, bei jedem
Wechsel der offiziellen IP-Adresse, die Routingtabelle
des Computers zu aktualisieren. Das IP-MasqueradingModul versieht die Datenpakete während der gesamten
logischen Verbindung auf dem Weg ins Internet immer
mit der gerade aktuellen offiziellen IP-Adresse.
37
VPN-Verbindungen
l
IP-Masquerading akzeptiert standardmäßig keine einkommenden IP-Verbindungen. Eingehende Pakete, die
nicht von einer Anwendung angefordert wurden, werden verworfen. Damit wird die Sicherheit für eingehende Verbindungen erhöht.
3.5 VPN-Verbindungen
Mit NetWAYS/ISDN können Sie Verbindungen über VPN (Virtual Private Network) herstellen. Räumlich entfernte Einzelplatzcomputer können über eine VPN-Verbindung kostengünstig ans Firmennetz gekoppelt werden. Standardmäßig
benutzt man eine direkte Wählverbindung oder eine Festverbindung über ein öffentliches Netz (zum Beispiel ISDN oder
GSM), um räumlich entfernte Systeme miteinander zu verbinden. Die bei der Direkteinwahl entstehenden Kosten nehmen mit der Entfernung zu, besonders internationale Verbindungen können sehr teuer werden. Über VPNs lassen sich
räumlich entfernte Systeme sehr kostengünstig miteinander
verbinden.
VPN – Allgemein
Ein räumlich entfernter Einzelplatzcomputer wird über das
Internet mit Hilfe eines virtuellen privaten Netzes mit dem
Firmennetz verbunden.
Firmennetz
Entfernter
Einzelplatzcomputer
mit NetWAYS/ISDN
Internet
Tunnel
Anwendungsbeispiel einer VPN-Verbindung über das Internet
38
VPN – In NetWAYS/ISDN
Die Verbindung, die zwischen den beiden Kommunikationspartnern durch das Internet hergestellt wird, nennt man Tunnel. Über den Tunnel findet der Datenaustausch statt. Eine
Vernetzung im physikalischen Sinn findet zwischen dem entfernten Einzelplatzcomputer und dem Firmennetz nicht statt,
die Vernetzung ist virtuell. Es handelt sich bei dem virtuellen
Netz um eine übergeordnete Struktur, die die vorhandenen
öffentlichen Strukturen des Internets nutzt. Die beiden auf
diese Weise verbundenen Systeme und die darauf laufenden
Anwendungen werden davon nicht beeinträchtigt. Die Verbindung ist kostengünstig, weil für beide Seiten lediglich die
Kosten für die Verbindung zum Internetanbieter entstehen.
VPN – In NetWAYS/ISDN
Der Begriff VPN besagt lediglich, dass Systeme oder Netze
über öffentliche Strukturen gekoppelt werden. Welche Mechanismen dazu benutzt werden, spielt dabei keine Rolle.
VPN-Verbindungen, die mit NetWAYS/ISDN hergestellt werden, setzen auf eine bestehende Internet-Verbindung auf, indem sie die Infrastruktur des Internet-Anbieters nutzen. Für
den Aufbau der VPN-Verbindung und somit für die Kopplung
der Systeme ist der Internet-Anbieter jedoch nicht zuständig.
NetWAYS/ISDN verfügt über die notwendige Software, um eine VPN-Verbindung aufzubauen. Die Server-Seite, zu der Verbindungen hergestellt werden, muss ebenfalls mit entsprechender Software ausgestattet sein (z.B. AVM Access Server). Da der Aufbau der VPN-Verbindung unabhängig vom Internet-Anbieter ist, kann sie über nahezu jeden InternetAnbieter hergestellt werden.
Es wird eine Art Tunnel durch das öffentliche Netz geschaffen, durch den Daten, am besten verschlüsselt, übertragen
werden. Die VPN-Software in NetWAYS/ISDN und auf der Server-Seite sorgt für die transparente Einbindung in das Netz,
für die Authentisierung der Kommunikationspartner und die
Verschlüsselung der Daten.
Nach dem erfolgreichen Aufbau des Tunnels wird auf der Anwendungsebene nichts mehr von einem Tunnel oder dem Internet als Medium bemerkt.
39
Sicherheit
Sicherheit
Durch die Verbindung über das Internet besteht die Gefahr,
dass unberechtigte Dritte auf die Verbindung zugreifen.
Durch entsprechende Sicherheitsmechanismen müssen die
folgenden drei Sicherheitskriterien gewährleistet werden:
l
Vertraulichkeit: Der Datenaustausch muss verschlüsselt stattfinden, so dass kein Dritter mithören kann.
l
Authentizität: Vor dem Verbindungsaufbau muss eine
Authentisierung stattfinden, um sicherzustellen, dass
die Daten nur von berechtigten Personen kommen (Anti-Replay).
l
Integrität: Es muss sichergestellt werden, dass die Daten auf ihrem Weg durch das Internet nicht von Dritten
verändert werden können (Man-in-the-Middle-Attecken).
IPSec als VPN-Protokoll
Für den Aufbau von VPN-Verbindungen ist ein Protokoll mit
den folgenden Eigenschaften erforderlich:
l
Die Unterstützung von Sicherheitsmechanismen, so
dass die drei oben genannten Sicherheitskriterien gewährleistet sind.
l
Die Fähigkeit, eine Verbindung zu tunneln.
IPSec erfüllt diese beiden Forderungen und wird deshalb in
NetWAYS/ISDN als VPN-Protokoll eingesetzt.
IPSec arbeitet auf der Netzwerkebene (Layer 3) und ist somit
unabhängig von der benutzten Infrastruktur. Allerdings ist IPSec dadurch auf IP beschränkt, das heißt, es können nur IPDaten getunnelt werden.
IPSec kann in zwei unterschiedlichen Modi betrieben werden, dem Tunnelmodus und dem Transportmodus. Im Transportmodus wird kein Tunnel aufgebaut und somit kein virtuelles privates Netz hergestellt. Für VPN-Verbindungen ist nur
der Tunnelmodus interessant.
40
Im Tunnelmodus wird ein öffentliches Netz durchtunnelt, das
heißt, die IP-Datenpakete werden nochmals verpackt und
dann erst übertragen. Jedes IP-Paket einschließlich dem IPHeader wird in ein neues IPSec-Paket verpackt. Das neue Paket erhält einen neuen IP-Header. Auf diese Weise lassen
sich Einzelplatzcomputer und ganze Netze mit IP-Adressen
aus privaten Adressräumen koppeln.
Das Originalpaket
Neuer IP-Header
IPSec
IP-Header
Nutzdaten
IP-Header
Eventuell verschlüsselte Nutzdaten
Das Originalpaket und das Tunnel-Paket mit neuem IP-Header
In der folgenden Abbildung ist beispielhaft eine VPN-Verbindung im Tunnelmodus dargestellt. Ein entfernter Einzelplatzcomputer wird an das Firmennetz gekoppelt.
Firmennetz
Netz-Adresse: 172.16.0.0 /16
Entfernter
Einzelplatzcomputer
mit NetWAYS/ISDN
IP-Adresse: 172.16.0.1
Tunnel
Internet
AVM Access Server
Öffentliche IP-Adresse: 193.96.242.157
Interne IP-Adresse: 172.16.0.254
Öffentliche IP-Adresse: wird vom
Internet-Anbieter dynamisch
zugewiesen
Virtuelle IP-Adresse: 172.16.0.10
Beispiel: VPN-Verbindung im Tunnelmodus
Die IP-Adressen im obigen Beispiel haben unterschiedliche
Bedeutungen:
l
Firmennetz
Das Firmennetz hat die Netz-Adresse 172.16.0.0/16. Die
Client-Computer im Firmennetz haben alle eine IPAdresse aus dem Adressraum der Netz-Adresse. Es
handelt sich dabei um private IP-Adressen, die im Internet keine Gültigkeit haben. Sie dienen der Kommunikation innerhalb des Firmennetzes.
41
l
AVM Access Server
Der Computer mit dem AVM Access Server gehört auch
zum Firmennetz und hat eine öffentliche, das heißt im
Internet gültige IP-Adresse sowie eine interne IP-Adresse, die nur innerhalb des Firmennetzes gültig ist. Die
AVM Access Server-Anwendung ist das Gateway zum Internet.
l
Entfernter Einzelplatzcomputer mit NetWAYS/ISDN
Der entfernte Einzelplatzcomputer verfügt während des
Bestehens der VPN-Verbindung über zwei IP-Adressen:
die offizielle, im Internet gültige IP-Adresse und die virtuelle IP-Adresse. Die offizielle IP-Adresse wird bei den
meisten Internet-Anbietern bei jedem Verbindungsaufbau dynamisch zugewiesen, d.h. sie kann sich mit jedem Verbindungsaufbau ändern. Die virtuelle IP-Adresse ist während einer VPN-Verbindung die private IPAdresse des Computers innerhalb des Firmennetzes.
Sie wird dem Computer von NetWAYS/ISDN vor dem
Aufbau der Verbindung zugewiesen.
Auf dem Weg vom NetWAYS/ISDN-Computer zum AVM Access Server werden die unterschiedlichen IP-Adressen in den
IP-Headern der Originalpakete und der Tunnel-Pakete folgendermaßen verwendet:
IP-Adressen im Originalpaket
Empfänger
Die private IP-Adresse des Computers im Firmennetz,
mit dem kommuniziert werden soll.
Absender
Die virtuelle IP-Adresse des entfernten Einzelplatzcomputers.
IP-Adressen im Tunnel-Paket
Empfänger
Die offizielle IP-Adresse des AVM Access Servers.
Absender
Die offizielle IP-Adresse des entfernten Einzelplatzcomputers.
In der folgenden Abbildung werden beispielhaft IP-Adressen
für Empfänger und Absender eingesetzt:
42
Die Transportprotokolle von IPSec
Empfänger IP-Adresse: 172.16.0.1
Absender IP-Adresse: 172.16.0.10
Das Originalpaket
Nutzdaten
IP-Header
Neuer IP-Header
IPSec
IP-Header
Nutzdaten evtl. verschlüsselt
Das Tunnel- Paket mit neuem IP-Header im Tunnelmodus
Empfänger IP-Adresse: 193.96.242.157
Absender IP-Adresse: vom Internet-Anbieter
zugewiesene IP-Adresse
IP-Adressen im Originalpaket und im Tunnel-Paket
Die Transportprotokolle von IPSec
IPSec arbeitet mit zwei verschiedenen Transportprotokollen,
Authentication Header und Encapsulation Security Payload.
Die beiden Protokolle können kombiniert werden und sind
sowohl im Tunnel- als auch im Transportmodus einsetzbar.
Eigenschaften des Authentication Header (AH)
l
Überprüft die Authentizität der Nutzdaten: AH verfügt
über einen Mechanismus, mit dem überprüft werden
kann, ob der Absender der Nutzdaten auch tatsächlich
der ist, der er zu sein vorgibt.
l
Überprüft die Integrität der Nutzdaten: mit demselben
Mechanismus, mit dem die Authentizität überprüft
wird, kann erkannt werden, ob die Nutzdaten nachträglich verändert wurden.
l
Gewährleistet Anti-Replay und erkennt Man-in-themiddle-Attacken: AH enthält eine fortlaufende, einmalige Nummer zum Erkennen von eingespielten Wiederholungen eines Pakets durch Dritte.
l
Verschlüsselt die Nutzdaten nicht!
43
Aushandlungen
Das Originalpaket
IP-Header
Authentication
IP-Header
Neuer IP-Header
Header
Das Paket mit Authentication-Header im Tunnelmodus
Nutzdaten
Nutzdaten
Das Paket im Originalzustand und mit AH versandtes Tunnel-Paket
Eigenschaften von Encapsulating Security Payload (ESP)
l
Verschlüsselt die Nutzdaten. Im Tunnelmodus wird zusätzlich der IP-Header verschlüsselt. Als symmetrische
Verschlüsselungsverfahren können unter anderem DES,
3DES und AES eingesetzt werden.
l
Überprüft die Authentizität der Nutzdaten: ESP verfügt
über einen Mechanismus, mit dem überprüft werden
kann, ob der Absender der Nutzdaten auch tatsächlich
der ist, der er zu sein vorgibt.
l
Gewährleistet Anti-Replay und erkennt Man-in-themiddle-Attacken: ESP enthält eine fortlaufende, einmalige Nummer zum Erkennen von eingespielten Wiederholungen eines Pakets durch Dritte.
Das Originalpaket
IP-Header
Neuer
IP-Header
ESP-Header
Nutzdaten
IP-Header
Nutzdaten
ESPESP-Trailer Authentication
verschlüsselt
authentisiert
Das Paket mit ESP im Tunnelmodus
Das Paket im Originalzustand und mit ESP versandtes Tunnel-Paket
Aushandlungen
IPSec bietet viele Optionen. Das heißt, für die Parameter, die
für eine VPN-Verbindung ausgesucht werden, gibt es viele
Kombinationsmöglichkeiten. Zum Aufbau einer gesicherten
VPN-Verbindung müssen sich die VPN-Parteien über die zu
verwendenden Parameter einigen.
Jede VPN-Partei verfügt über eine Security Policy Database,
eine Datenbank, in der der zu verwendende Authentisierungsalgorithmus, der Verschlüsselungsalgorithmus, Au-
44
Aushandlungen
thentisierungsdaten und einiges mehr abgelegt sind. Dadurch weiß jede VPN-Partei, was sie selbst kann. Mit diesem
Wissen kann die Aushandlung beginnen.
Zur Aushandlung der Parameter ist ein weiteres Protokoll
notwendig: das Internet-Key-Exchange-Protokoll (IKE). Das
Ergebnis der Aushandlung wird in der Security Association
(SA) festgehalten. Eine SA beinhaltet Folgendes:
l
die Art der Authentisierung (Zertifikate, pre-shared key
oder ein anderes Verfahren)
l
den zu verwendenden Verschlüsselungsalgorithmus
l
den Hash-Algorithmus
l
die Gültigkeitsdauer der gesamten SA
Die SAs sind Sicherheitsrichtlinien mit einer begrenzten Gültigkeitsdauer. Ist diese abgelaufen, muss die SA neu ausgehandelt werden. Für jede Richtung einer Verbindung wird eine separate SA ausgehandelt. Die SAs werden in einer Datenbank, der Security Association Database, abgelegt.
Die IKE -Aushandlung erfolgt in zwei Phasen.
IKE-Phase 1
Ziel der IKE-Phase 1 ist es, eine SA für die IKE-Phase 2 auszuhandeln. Dazu nehmen die Gegenstellen die folgenden Aktionen vor:
l
Sie authentisieren sich.
l
Sie vereinbaren einen Verschlüsselungsalgorithmus für
die Verschlüsselung der anschließenden IKE-Phase 2.
l
Sie vereinbaren eine Diffie-Hellman-Gruppe.
l
Jede Seite generiert einen privaten Schlüssel. Mit Hilfe
der Diffi-Hellman-Gruppe wird ein öffentlicher Schlüssel
berechnet, der zum privaten Schlüssel passt. Beide Seiten tauschen die öffentlichen Schlüssel aus. Mit dem
eigenen privaten Schlüssel, dem öffentlichen Schlüssel
der Gegenseite und der Diffie-Hellman-Gruppe wird der
45
Asymmetrische Verschlüsselungsverfahren
geheime Schlüssel für die Verschlüsselung der IKE-Phase 2 berechnet. Das Ergebnis ist auf beiden Seiten identisch.
l
Sie legen die Gültigkeitsdauer der SA fest.
Für die IKE-Phase 1 sind zwei Modi vorgesehen, der Mainmode und der Aggressive mode. Im Main-mode werden mehr
Nachrichten ausgetauscht als im Aggressive mode. Wenn am
NetWAYS/ISDN-Computer die öffentliche IP-Adresse dynamisch vom Internet-Anbieter zugewiesen wird und somit
nicht bekannt ist, dann muss die IKE-Phase 1 im AggressiveModus stattfinden.
IKE-Phase 2
In der IKE-Phase 2 werden die SAs für die Verschlüsselung
der Nutzdaten ausgehandelt. Diese Aushandlung erfolgt verschlüsselt, basierend auf den Parametern der SA, die in Phase 1 vereinbart wurde. Folgendes wird ausgehandelt:
l
das IPSec-Transportprotokoll (AH und/oder ESP)
l
der Verschlüsselungsalgorithmus für die Nutzdaten, die
über die VPN-Verbindung ausgetauscht werden (beispielsweise DES, AES, 3DES)
l
der Hash-Algorithmus für die Gewährleistung der Integrität der Nutzdaten
l
der IPSec-Betriebsmodus (Tunnel- oder Transportmodus)
l
die Gültigkeitsdauer der SA
l
das zufällig generierte Schlüsselmaterial für den Verschlüsselungs- und Authentisierungsalgorithmus
Nach Abschluss der IKE-Aushandlung kann die IPSec-Kommunikation beginnen.
Asymmetrische Verschlüsselungsverfahren
Verschlüsselungsverfahren, die mit einem Schlüsselpaar arbeiten, nennt man asymmetrische Verschlüsselungsverfahren. Ein Schlüsselpaar besteht aus einem öffentlichen und
46
Kompressionsverfahren (IPComp)
einem privaten Schlüssel. Daten, die mit einem Schlüssel
verschlüsselt wurden, können nur mit dem zweiten zum
Schlüsselpaar gehörenden Schlüssel entschlüsselt werden.
Ein Beispiel hierfür ist das populäre PGP (Phil’s Pretty Good
Privacy), das zum Verschlüsseln von E-Mails eingesetzt wird.
Der öffentliche Schlüssel des Empfängers kann von jedem
eingesehen werden und dient der Verschlüsselung der EMail. Entschlüsselt werden kann die Nachricht jedoch nur
mit dem geheimen privaten Schlüssel des Empfängers. Es
muss also, anders als bei symmetrischen Verschlüsselungsverfahren, kein Schlüssel ausgetauscht werden, der nicht
ohnehin öffentlich ist.
Es kann auch sinnvoll sein, mit dem privaten Schlüssel zu
verschlüsseln, so dass jeder mit dem öffentlichen Schlüssel
wieder entschlüsseln kann. Diese Richtung wird bei digitalen
Signaturen angewandt: Ein Hash-Wert, der über eine Nachricht gebildet wurde, wird mit dem privaten Schlüssel verschlüsselt. Die mitgelieferte Signatur kann nun von jedem
mit dem öffentlichen Schlüssel des Senders entschlüsselt
werden und mit dem vom Empfänger selbst berechneten
Hash-Wert verglichen werden. Stimmen beide Werte überein, so muss der Absender im Besitz des privaten Schlüssels
gewesen sein.
Allerdings eignen sich asymmetrische Verschlüsselungsverfahren nicht zur Übertragung großer Datenmengen, da die
verwendeten Schlüssel sehr lang sind (derzeit typisch: 1024
Bit) und damit der Rechenaufwand sehr hoch ist. Außerdem
darf der Eingabewert nicht länger als der verwendete Schlüssel sein. Bekannte asymmetrische Verschlüsselungsverfahren sind beispielsweise RSA und Diffie-Hellmann.
In NetWAYS/ISDN wird das asymmetrische Diffie-HellmannVerfahren für den Schlüsselaustausch in der IKE-Phase 1 eingesetzt.
Verschlüsselte Daten können nicht mehr komprimiert werden. Kompressionsverfahren nutzen in der Regel die Tatsache, dass bestimmte Teile einer Nachricht sich wiederholen.
Bei Auftreten der Wiederholung wird ein kürzeres Symbol anNetWAYS/ISDN – 3 Fernzugriff mit NetWAYS/ISDN
47
statt des sich wiederholenden Teils verwendet. Ein guter Verschlüsselungsalgorithmus vermeidet jedoch weitgehend
Wiederholungen. Es wäre sonst sehr einfach, mittels statistischem Wissen über die verschlüsselte Nachricht (beispielsweise die Sprache eines Textes und damit die häufigsten
Buchstaben) die Nachricht zu entschlüsseln. Falls dennoch
komprimiert werden soll, so muss die Kompression vor der
Verschlüsselung stattfinden. Hier bietet sich IPComp an. Innerhalb von IPComp sind drei Kompressionsverfahren möglich:
l
Deflate (RFC 2394)
l
LZS (RFC 3051), wird auch bei der Stac-Compression
(RFC 1974) verwendet.
l
LZJH (RFC 2395), entspricht V.44 und wird beispielsweise auch bei dem Modemübertragungsverfahren V.92
verwendet.
In NetWAYS/ISDN sind alle drei Verfahren implementiert.
48
NetWAYS/ISDN für den Administrator
4 NetWAYS/ISDN für den
Administrator
Dieses Kapitel enthält für den Systemadministrator zusätzliche Informationen über Funktionen, die es ermöglichen,
NetWAYS/ISDN individuell zu installieren, zu konfigurieren
und zu verwalten.
4.1 Automatisieren der NetWAYS/ISDN-Installation
NetWAYS/ISDN bietet dem Administrator die Möglichkeit,
die Installation von NetWAYS/ISDN so zu automatisieren,
dass allgemeine Einstellungen ohne Benutzereingaben in
das Programm integriert werden.
Zur weiteren Arbeitserleichterung erlaubt NetWAYS/ISDN die
Übernahme von vorkonfigurierten Standorten, Zielen, einer
Feiertagsliste und Gebührenprofilen.
Detaillierte Informationen zum Erstellen von Standorten,
Zielen, der Feiertagsliste und Gebührenprofilen erhalten Sie
in der Online-Hilfe.
NetWAYS/ISDN konfigurieren
Mit NetWAYS/ISDN kann der Administrator die Installation
vollständig ohne Benutzereingabe durchführen. Dies erleichtert ihm die Arbeit erheblich, wenn auf mehreren Einzelplatzcomputern schnell und einfach NetWAYS/ISDN installiert
werden soll.
Um diese Möglichkeit zu nutzen, muss eine Datei mit dem
Namen SETUP.CFG erstellt und in das Installationsverzeichnis von NetWAYS/ISDN kopiert werden. Diese Datei ist eine
ASCII-Datei und enthält alle Informationen, die üblicherweise bei der Installation von NetWAYS/ISDN einzugeben sind.
Beim Aufruf der NetWAYS/ISDN-Installation prüft die Installationsroutine, ob die Datei SETUP.CFG im Installationsver-
NetWAYS/ISDN – 4 NetWAYS/ISDN für den Administrator
49
Übernahme vorkonfigurierter Ziele und Standorte
zeichnis vorhanden ist. Wenn diese Datei vorhanden ist,
dann wird die Standardinstallation ohne Benutzerinteraktion
eigenständig durchgeführt.
Beachten Sie, dass die im Folgenden angegebenen Werte
Beispielwerte sind.
Die Datei SETUP.CFG sollte folgendermaßen aussehen:
CDKey_NETWAYS=XXXXXXXXXXXXXXXX
PIC (Product Identification Code), Angabe in Großbuchstaben, ohne
Punkte oder Striche
InstallDirectory=c:\netways
Installationsverzeichnis
Node=000000000908
Knotennummer bei Benutzung von IPX/SPX, 12 Ziffern,
000000000002=automatische Knotenadressvergabe,
000000000000= feste Knotenadresse
AutoInstall=1
0=Manuelle Installation, 1=Automatische Installation (1)
InstallMode=1
1=NetWAYS/ISDN wird als Systemdienst automatisch gestartet,
0=NetWAYS/ISDN wird nicht automatisch gestartet
KeepDatabase=1
0=alte Datenbanken löschen, 1=alte Datenbanken übernehmen
Übernahme vorkonfigurierter Ziele und Standorte
NetWAYS/ISDN ermöglicht dem Administrator, die Übernahme vorkonfigurierter Ziele und Standorte zu automatisieren.
Dazu ist es notwendig, die Ziele und Standorte einmal in
NetWAYS/ISDN zu konfigurieren. Erstellte Ziele und Standorte werden im Installationsverzeichnis von NetWAYS/ISDN in
den folgenden Dateien abgespeichert:
Ziele-Dateien:
50
l
TARGET.DAT
l
TARGETI.IDX
Übernahme vorkonfigurierter Profile
l
TARGETN.IDX
l
TARGETU.IDX
Zuweisung der Gebührenprofile zu Zielen und Standorten:
l
TTIMER.DAT
l
TTIMERCE.IDX
l
TTIMERID.IDX
l
TTIMERL.IDX
Standort-Dateien:
l
LOCATION.DAT
l
LOCATIONI.IDX
l
LOCATION.IDX
Zur Übernahme erstellter Ziele und Standorte müssen diese
Dateien auf allen entfernten Computern in das Installationsverzeichnis von NetWAYS/ISDN kopiert werden. Die Dateien
werden dann bei der Installation automatisch übernommen,
so dass beim Starten von NetWAYS/ISDN die vorkonfigurierten Ziele und Standorte ohne weitere Benutzereingaben sofort zur Verfügung stehen.
Für die Übernahme der vorkonfigurierten Ziele und Standorte müssen diese Dateien immer zusammen kopiert werden.
Übernahme vorkonfigurierter Profile
NetWAYS/ISDN ermöglicht dem Administrator die Übernahme vorkonfigurierter Gebührenprofile und einer Feiertagsliste.
Dazu ist es notwendig, die Profile und die Feiertagsliste einmal in NetWAYS/ISDN zu erstellen. Erstellte Gebührenprofile
und die Feiertagsliste werden im Installationsverzeichnis von
NetWAYS/ISDN in den folgenden Dateien abgespeichert
Dateien, in denen Feiertage eingetragen sind:
l
HOLIDAY.DAT
51
Einstellungen schützen
l
HOLIDAY.IDX
Dateien, in denen die Gebührenprofile eingetragen sind:
l
CPROFILE.DAT
l
CPROFILE.IDX
4.2 Einstellungen schützen
Der Administrator kann mit Vergabe eines Passwortes sicherstellen, dass vorkonfigurierte Standorte, Ziele, Profile und
die Feiertagsliste nicht von NetWAYS/ISDN-Anwendern verändert werden können. Der Übergang in den so genannten
geschützten Modus wird mit Vergabe eines Passwortes realisiert. Die Oberfläche kann mit der Eingabe dieses Passwortes sowohl für die Dauer einer Sitzung als auch dauerhaft
freigegeben werden.
4.3 NetWAYS/ISDN als Systemdienst
NetWAYS/ISDN wird als Systemdienst installiert. Dies bietet
folgende Vorteile:
l
NetWAYS/ISDN wird automatisch beim Starten von Windows gestartet. Sobald NetWAYS/ISDN beendet wird,
wird eine bestehende Verbindung abgebaut.
l
Die ISDN-Verbindung zur Gegenstelle kann schon vor
der Windows-Anmeldung aufgebaut werden. Die über
ISDN angeschlossenen Clients verhalten sich auf diese
Weise weitestgehend wie Clients in einem lokalen Netzwerk.
l
Der Systemdienst erleichtert die Anwendung von
NetWAYS/ISDN beim Anmelden in Windows NT-Domänen und Novell NetWare NDS-Umgebungen.
NetWAYS/ISDN als Systemdienst starten
NetWAYS/ISDN ist ein Systemdienst. Das heißt, das Programm wird automatisch beim Starten von Windows gestartet und beim Beenden von Windows beendet.
52
NetWAYS/ISDN manuell starten und beenden
Sobald NetWAYS/ISDN beendet wird, wird auch eine bestehende Verbindung abgebaut.
Die Programmoberfläche von NetWAYS/ISDN ist entkoppelt
vom Systemdienst. Wenn Sie möchten, dass die Programmoberfläche von NetWAYS/ISDN beim Computerstart erscheint,
dann kopieren Sie eine Verknüpfung zu NetWAYS/ISDN in
den Ordner „Autostart“.
NetWAYS/ISDN manuell starten und beenden
l
Zum manuellen Aufruf von NetWAYS/ISDN wählen Sie
den Menüpunkt „Programme / NetWAYS/ISDN /
NetWAYS/ISDN“ im Startmenü von Windows. Das
Hauptfenster von NetWAYS/ISDN erscheint.
l
Zum manuellen Beenden wählen Sie im Hauptfenster
von NetWAYS/ISDN im Menü „Datei“ den Befehl „Beenden“.
Bevor Sie NetWAYS/ISDN beenden, sollten Sie eine bestehende Verbindung zu einer Gegenstelle abbauen.
Auswählen eines Ziels für den automatischen
Verbindungsaufbau beim Systemstart
Wollen Sie beim Systemstart immer eine Verbindung zu einem bestimmten entfernten Netzwerk aufbauen, markieren
Sie das Ziel mit der Maus und wählen Sie im Menü „Datei“
den Befehl „Automatischer Aufbau bei Computerstart“.
Möchten Sie, dass dieses Ziel beim Starten von Windows in
Verbindungsbereitschaft ist, markieren Sie das Ziel mit der
Maus und wählen im Menü „Datei“ den Befehl „Automatische Bereitschaft bei Computerstart“.
Beim Starten von Windows baut NetWAYS/ISDN nun automatisch eine Verbindung zu diesem Ziel auf bzw. aktiviert
den Bereitschaftsmodus.
53
Die Programmierschnittstellen von NetWAYS/ISDN
4.4 Die Programmierschnittstellen von
NetWAYS/ISDN
Für die individuelle Anpassung der Funktionen Verbindungssteuerung, Routing and Remote Access und Verschlüsselung
bietet NetWAYS/ISDN jeweils eine API (Application Programming Interface) an.
API für die Verbindungssteuerung
Über diese API kann von einem externen Programm aus die
Verbindungskontrolle zum lokalen LAN und von
NetWAYS/ISDN selbst übernommen werden.
Die API ist in die Datei NETWAPI.DLL eingebettet, die bereits
bei der Installation von NetWAYS/ISDN in das Systemverzeichnis von Windows kopiert wird.
Für 32-Bit-Anwendungen, die mit einem C/C++-Dialekt erstellt werden, benötigen Sie nur die Header-Datei NETWAPI.H und die Datei mit der Code-Bibliothek NETWAPI.LIB. Beide Dateien befinden sich auf dem ADC (AVM Data Call Center) unter \NETWORKS\NETWAYS\UTIL\API. In dem Unterordner \NETWAPI\VC_SAMPLE befindet sich auch ein
Beispielprogramm, das die Möglichkeiten der API verdeutlicht.
Neben der Unterstützung für C/C++-basierende Programmiersprachen ist auch eine Implementierung in Visual BasicProgramme möglich. Die Visual Basic-Deklaration
NETWAPI.BAS für die NETWAPI.DLL befindet sich im Unterordner \NETWAPI\VB_SAMPLE. Im selben Ordner sind auch
ein weiteres Beispielprogramm (MAIN.FRM) und ein lauffähiges Testprogramm. Für das Testprogramm benötigen Sie die
Visual Basic Runtime-DLL (VB40032).
Mit der API ist es möglich, die komplette Verbindungskontrolle zu übernehmen und den Status der Verbindung und von
NetWAYS/ISDN selbst abzufragen. Eine gleichzeitige Nutzung dieser API durch mehrere Anwendungen ist nicht möglich. Sie sollten also sicherstellen, dass Ihr Programm beim
Starten korrekt registriert wird und beim Beenden korrekt bei
NetWAYS/ISDN abgemeldet wird.
54
Routing and Remote Access API
Wird NetWAYS/ISDN mit einer API betrieben, kann der Anwender das Programm nicht mehr direkt steuern. Ein anderes Programm kann sich jedoch über die API der
NETWAPI.DLL bei NetWAYS/ISDN registrieren. Dieses Programm kann dann NetWAYS/ISDN steuern und so zum Beispiel logische und physikalische Verbindungen aufbauen
oder den Status von NetWAYS/ISDN abfragen.
Die API unterstützt nur jeweils ein Programm zu einem Zeitpunkt. Damit sich ein Programm bei NetWAYS/ISDN registrieren kann, muss NetWAYS/ISDN aktiv sein.
Die Routing and Remote Access API von AVM ist eine Programmierschnittstelle, die die Steuerung von NetWAYS/ISDN
durch Software ermöglicht. Mit dieser API können bestimmte
Aufgaben bzw. Abläufe mit Funktionen von NetWAYS/ISDN
kombiniert und automatisiert werden. Beispiele dafür sind
die Definition von Rundruf-Routinen zur automatischen
Übertragung von Datenbank-Updates an Außenstellen zum
günstigsten Tarif oder die Einbindung von zusätzlichen Sicherheitsmechanismen wie Chip-Karten und damit ein Eingriff in die PPP-Authentisierung.
Umfangreiche Informationen zur Nutzung der Routing and
Remote Access API sind auf dem ADC unter \NETWORKS\
NETWAYS\UTIL\API\AVMNWAPI verfügbar.
Crypt Provider API
Die Crypt Provider API ist eine Programmierschnittstelle zur
anwenderspezifischen Anpassung der Datenverschlüsselung. Die zur Kodierung der übertragenen Daten verwendeten Schlüssel werden mit jedem Verbindungsaufbau neu erzeugt und zur Gegenstelle übertragen. Diese Schlüssel müssen aus Sicherheitsgründen chiffriert übertragen werden.
Die Chiffrierung erfolgt im Crypt Provider, der anwendungsspezifisch programmiert werden kann (Smart Card, PIN, Biometrie usw.). Die Crypt Provider API ist die Schnittstelle zu
NetWAYS/ISDN, die auf die Algorithmen im Crypt Provider zugreift.
55
Unterstützte Standards
Umfangreiche Informationen zur Nutzung der Crypt Provider
API auf dem ADC unter \NETWORKS\NETWAYS\UTIL\API\
AVMNWAPI verfügbar.
4.5 Unterstützte Standards
Die Protokolle PPP over ISDN und IPSec basieren auf international anerkannten und offenen Standards. Diese Standards
sind in so genannten RFCs (Requests for Comments) definiert und beschrieben. Anhand der RFCs können Sie entscheiden, ob die Gegenstelle mit NetWAYS/ISDN kompatibel
ist. In den folgenden beiden Tabellen sind die RFCs eingetragen, die von NetWAYS/ISDN unterstützt werden.
PPP over ISDN
56
RFC 1144
Compressing TCP/IP Headers for Low-Speed Serial Links - Headerkompression IP
RFC 1332
PPP Internet Protocol Control Protocol (IPCP) - dynamische IP-Adresse
RFC 1334
PPP Authentication Protocols (PAP)
RFC 1552
PPP Internetwork Packet Exchange Control Protocol (IPXCP) - dynamische Node-Adresse
RFC 1553
Compressing IPX Headers over WAN Media (CIPX)
- Headerkompression CIPX
RFC 1570
PPP LCP Extensions
RFC 1618
PPP over ISDN
RFC 1631
The IP Network Address Translator (NAT)
RFC 1661
Point-to-Point Protocol (PPP)
RFC 1662
PPP in HDLC-like Framing
RFC 1962
PPP Compression Control Protocol (CCP)
RFC 1968
PPP Encryption Control Protocol (ECP)
RFC 1974
PPP Stack LZS Compression Protocol
RFC 1989
PPP Link Quality Monitoring
RFC 1990
PPP Multilink Protocol (MP)
RFC 1994
PPP Challenge Handshake Authentication Protocol (CHAP)
RFC 2118
Microsoft Point-to-Point Compression (MPPC) Protocol
RFC 2125
PPP Bandwith Allocation Protocol (BAP)/PPP
Bandwith Allocation Control Protocol (BACP)
RFC 2131
Dynamic Host Configuration Protocol (DHCP)
RFC 2516
A Method for Transmitting PPP Over Ethernet
(PPPoE)
IPSec
RFC 1829
The ESP DES-CBC Transform
RFC 1851
The ESP Triple DES Transform
RFC 2104
Keyed-Hashing for Message Authentication
(HMAC)
RFC 2394
IP Payload Compression Using DEFLATE
RFC 2395
IP Payload Compression Using LZS
RFC 2401
Security Architecture for the Internet Protocol
RFC 2402
IP Authentication Header (AH)
RFC 2403
The Use of HMAC-MD5-96 within ESP and AH
RFC 2404
The Use of HMAC-SHA-1-96 within ESP and AH
RFC 2405
The ESP DES-CBC Cipher Algorithm With Explicit
IV
RFC 2406
IP Encapsulating Security Payload (ESP)
RFC 2407
The Internet IP Security Domain of Interpretation
for ISAKMP
RFC 2408
Internet Security Association and Key Management Protocol (ISAKMP)
RFC 2409
The Internet Key Exchange (IKE)
RFC 2410
The NULL Encryption Algorithm and Its Use With
IPsec
RFC 2412
The OAKLEY Key Determination Protocol
RFC 2451
The ESP CBC-Mode Cipher Algorithms
RFC 3051
IP Payload Compression Using ITU-T V.44 Packet
Method
RFC 3173
IP Payload Compression Protocol (IPComp)
57
58
RFC 3268
Advanced Encryption Standard (AES) Ciphersuites for Transport Layer Security (TLS
Draft
Extended Authentication Within ISAKMP/Oakley
(XAUTH)
Draft
The ISAKMP Configuration Method (config mode)
Informationen, Updates und AVM-Support
5 Informationen, Updates und
AVM-Support
AVM bietet Ihnen zahlreiche Informationsquellen, die Sie bei
der täglichen Arbeit mit NetWAYS/ISDN nutzen können. Für
den Fall, dass Sie Hilfe bei der Lösung evtl. auftretender Probleme benötigen, können Sie sich an den AVM-Support wenden.
5.1 Informationsquellen
Informationen zu NetWAYS/ISDN erhalten Sie wie folgt:
Dokumentation
NetWAYS/ISDN enthält eine umfangreiche Dokumentation in
unterschiedlichen Formaten:
l
Das vorliegende Handbuch finden Sie im PDF-Format
auch auf der CD. Sie können die PDF-Datei entweder
über die Einführungshilfe, die beim Einlegen der CD automatisch gestartet wird, öffnen oder direkt vom Ordner
NETWAYS\INSTALL aus.
Das Handbuch enthält detaillierte Informationen zum
Konzept und zu Einsatzmöglichkeiten von NetWAYS/ISDN, Installationsvoraussetzungen, Installationsbeschreibung und Bedienung von NetWAYS/ISDN.
Der Anhang des Handbuchs bietet ein ausführliches
Glossar.
Falls Sie nicht über den Adobe Acrobat Reader zum Lesen von PDF-Dokumenten verfügen, können Sie diesen
über die Einführungshilfe, die beim Einlegen der CD automatisch gestartet wird, installieren oder direkt aus
dem Ordner UTILS\ACROBAT\DEUTSCH.
l
Die umfassende, kontextsensitive Online-Hilfe bietet
detaillierte Informationen zu allen Konfigurationsparametern von NetWAYS/ISDN.
NetWAYS/ISDN – 5 Informationen, Updates und AVM-Support
59
Updates
5.2 Updates
Updates für NetWAYS/ISDN stellt Ihnen AVM kostenfrei über
das Internet oder über das AVM Data Call Center bereit.
Internet
Zum Herunterladen von Updates aus dem Internet rufen Sie
bitte folgende Adresse auf:
www.avm.de/download
Nutzen Sie zum Herunterladen auch den FTP-Server von
AVM. Sie erreichen den FTP-Server im Download-Bereich
über den Link „FTP-Server“ oder unter folgender Adresse:
www.avm.de/ftp
Das AVM Data Call Center (ADC)
Aktuelle Informationen zu allen AVM-Produkten, die neuesten Treiber für die AVM ISDN-Controller und kostenlose Erweiterungen zu AVM-Produkten erhalten Sie über das AVM
Data Call Center und von den Internetseiten der AVM.
AVM Data Call Center (ADC)
+49 (0)30 / 39 98 43 30
(Fast Internet over ISDN)
5.3 Registrierung
Registrieren Sie NetWAYS/ISDN auf den AVM-Internetseiten.
AVM kann Sie dann über neue Produkte und Produktaktualisierungen benachrichtigen. Und für den Fall, dass Sie den
AVM-Support in Anspruch nehmen, sind Sie dort bereits bekannt.
Verwenden Sie zur Online-Registrierung das Formular unter
der folgenden Adresse:
www.avm.de/register
Halten Sie dazu auch Ihren „Product Identification Code“ bereit, der sich auf der Rückseite der CD-Hülle befindet.
60
Unterstützung durch den Support
5.4 Unterstützung durch den Support
Bitte nutzen Sie zuerst die oben beschriebenen Informationsquellen, bevor Sie den Support kontaktieren.
Haben Sie mit den bisherigen Hinweisen und mit Hilfe der diversen Informationsquellen Ihr Problem nicht lösen können,
wenden Sie sich für weitere technische Unterstützung an den
AVM-Support. Sie erreichen den Support per E-Mail oder Telefax.
Support per E-Mail
Sie können eine Support-Anfrage per E-Mail an AVM versenden. Nutzen Sie dazu bitte unser E-Mail-Formular auf den
AVM-Internet-Seiten.
1.
Geben Sie die Adresse der AVM ein:
http://www.avm.de/support
2.
Wählen Sie auf dieser Seite im Feld „Software“ den Eintrag „NetWAYS/ISDN“ in der Produktliste aus.
3.
Klicken Sie nun auf die Funktion, bei der Ihr Problem
auftritt. Ein E-Mail-Formular wird geöffnet.
4.
Füllen Sie das Formular aus und schicken Sie es über
die Schaltfläche „Senden“ zum AVM-Support.
Support per Telefax
Wenn Sie keinen Internet-Zugang haben, erreichen Sie den
Support per Telefax unter folgender Rufnummer:
+49 (0)30 / 39 97 62 66
Bereiten Sie bitte folgende Informationen für Ihren Berater
vor:
l
Mit welcher Version von NetWAYS/ISDN arbeiten Sie?
Die Versionsnummer können Sie in der Readme-Datei
nachlesen, die sich im Installationsverzeichnis von NetWAYS/ISDN befindet.
61
Support per Telefon
l
Welches Betriebssystem ist auf dem Computer installiert, auf dem der NetWAYS/ISDN installiert ist – Windows XP, Me, 2000, 98, NT oder 95?
l
Mit welchem Microsoft Service Pack arbeiten Sie?
l
Mit welchem Netzwerkprotokoll arbeiten Sie?
l
Welchen ISDN-Controller verwendet der NetWAYS/ISDNComputer? Mit welcher Treiberversion und mit welchem
Build arbeiten Sie?
Sie erhalten die Treiberversion und das Build von AVM
ISDN-Controllern aus der Datei „Readme“ im Installationsverzeichnis des ISDN-Controllers. Wenn Sie FRITZ!
auf dem NetWAYS/ISDN-Computer installiert haben, erhalten Sie die Treiberversion auch durch Aufruf von
„Start / Programme / FRITZ! / FRITZ!Version“. Klicken
Sie dann in dem Fenster „FRITZ!Version“ auf die Schaltfläche „Systeminformationen“.
l
Wird Ihr ISDN-Controller an einer Nebenstellenanlage
betrieben?
l
Ist es möglich, mit dem ISDN-Controller erfolgreich eine
Testverbindung über das vordefinierte Ziel „Fast Internet over ISDN“ zum AVM Data Call Center (ADC) aufzubauen?
l
An welcher Stelle der Installation oder an welcher Stelle
in der Anwendung erscheint eine Fehlermeldung?
l
Wie lautet der genaue Wortlaut der Meldung?
Support per Telefon
Auch per Telefon können Sie den Support erreichen. Bereiten
Sie dazu ebenfalls die im Abschnitt „Support per Telefax“ genannten Informationen vor. Sie erreichen den Support per
Telefon werktags von 9.00 Uhr bis 17.00 Uhr unter folgender
Rufnummer:
+49 (0)30 / 39 00 44 22
62
Support per Telefon
Wenn Sie diese Informationen zusammengestellt haben,
können Sie den Support kontaktieren. Wir hoffen, das Support-Team wird Ihnen bei der Lösung Ihres Problems zufriedenstellend helfen.
63
Glossar
1TR6
1TR6 ist das ältere nationale deutsche D-Kanal-Protokoll.
Seit Dezember 1993 werden in Deutschland keine neuen
ISDN-Anschlüsse mit diesem Protokoll mehr installiert. Seitdem wird nur das D-Kanal-Protokoll DSS1 für neue Anschlüsse verwendet.
ADSL (Asymmetric Digital Subscriber Line)
ADSL ist eine Technologie, die den Internetzugang mit einer
hohen Bandbreite über die normale Telefonleitung ermöglicht. Die Übertragung von Daten beim Herunterladen kann
mit bis zu 6 MBit/s erfolgen, in der Gegenrichtung sind bis zu
640 KBit/s möglich. Wählverbindungen zu anderen ADSLTeilnehmern und Dienstekennungen sind nicht möglich. Diese Technologie wird beispielsweise von der Deutschen Telekom AG unter der Bezeichnung T-DSL angeboten.
ISDN und ADSL benutzen unterschiedliche Frequenzbereiche
des Telefonkabels und können somit parallel betrieben werden.
AH (Authentication Header)
Sicherungsprotokoll innerhalb von IPSec. AH gewährleistet,
dass das Paket vom Absender und nicht von einem Dritten
stammt und dass keine Veränderungen innerhalb des Pakets
während der Übermittlung von Dritten vorgenommen wurden. AH verschlüsselt die Nutzdaten nicht.
Amtsholung
Die Amtsholung ist die Ziffer, die innerhalb einer Nebenstellenanlage vorgewählt werden muss, um eine Amtsleitung zu
bekommen. In den meisten Fällen ist dies die „0“.
64
NetWAYS/ISDN – Glossar
AO/DI
AO/DI ist die Abkürzung für Always On/Dynamic ISDN. Dieses Verfahren nutzt den ISDN D-Kanal für Verbindungen mit
dem Internet. Die Datenkommunikation im D-Kanal arbeitet
paketorientiert mit dem X.25-Protokoll. Die Verbindung besteht permanent. Für die Übertragung kleiner Datenmengen
ist die Kapazität des D-Kanals ausreichend und es fallen keine Verbindungskosten an. Entsprechend den zu- und abnehmenden Datenmengen schaltet AO/DI einen oder mehrere BKanäle dynamisch zu und ab.
AOCD
AOCD steht für Advice On Charge During Call; ein Leistungsmerkmal im ISDN. Ist dieses Merkmal an Ihrem ISDN-Anschluss freigeschaltet, werden Tarifinformationen während
der Verbindung nach dem europäischen Standard AOCD
übertragen. Informationen zu AOCD erhalten Sie bei Ihrem
ISDN-Anbieter.
ARP (Address Resolution Protocol)
Das Address Resolution Protocol (ARP) gehört zur TCP/IPProtokollsuite. ARP bildet eine IP-Adresse dynamisch auf die
zugehörige Hardware-Adresse (MAC-Adresse) ab. Dies geschieht automatisch und ist normalerweise für die Anwendung und den Benutzer unsichtbar.
Um Daten in einem TCP/IP-Netzwerk auszutauschen, muss
die sendende Station die IP-Adresse des Ziels auf die Hardware-Adresse des Ziels abbilden. Die sendende Station
schickt dazu ein sogenanntes ARP Request-Paket, das die IPAdresse des Ziels enthält. Alle ARP-fähigen Systeme im Netzwerk erkennen dieses Paket, und das System mit der fraglichen IP-Adresse schickt seine Hardware-Adresse mit Hilfe eines ARP Reply-Pakets zurück. Die Kombination IP-Adresse /
Hardware-Adresse wird im ARP-Cache der sendenden Station gespeichert.
65
Authentisierung, siehe „Echtheitsbestätigung“ auf Seite 68
Überprüfung, ob jemand die Person ist, die sie vorgibt zu
sein. In privaten und öffentlichen Computernetzen wird dazu
in der Regel ein Benutzername und ein Passwort verwendet.
Es wird angenommen, dass die Kenntniss des Passworts eine Garantie für die Echtheit des Benutzers ist. Die Registrierung jedes Benutzers erfolgt durch die Angabe eines Passworts. Bei jeder Authentisierung muss der Benutzer das
Passwort angeben. Die Schwäche dieses Systems liegt darin, dass Passwörter gestohlen, verloren oder vergessen werden können.
B-Kanal
Ein ISDN-Basisanschluss besteht aus zwei B-Kanälen und einem D-Kanal. Über die B-Kanäle werden die Daten übertragen. Sie ermöglichen eine Übertragung mit 64 Kbit/s. Um die
Übertragung zu beschleunigen, können B-Kanäle gebündelt
werden.
CAPI, siehe „COMMON-ISDN-API (CAPI)“ auf Seite 67
CHAP (Challenge Handshake Authentication Protocol)
Zur Authentisierung muss auf der Seite, die die Authentisierung verlangt, ein Name und ein Passwort für die Gegenseite
konfiguriert werden. Die Gegenseite muss diesen Namen
und das Passwort in ihrer Zielkonfiguration eingetragen haben.
Bei der Authentisierung mit CHAP generiert die Seite, die die
Authentisierung verlangt, aus dem Namen und einem Zufallswert nach einem festgelegten Hash-Algorithmus eine
Meldung, die zur Gegenseite geschickt wird. Diese generiert
aus der Meldung und dem Passwort - ebenfalls nach einem
festgelegten Algorithmus - einen neuen Wert, der zurückgesandt wird. Die erste Seite wiederum prüft nun, ob der von
ihr berechnete Wert aus ursprünglicher Meldung und Passwort mit dem übereinstimmt, was die Gegenseite zurückgesandt hat. Ist dies der Fall, wird der Anruf angenommen.
66
CLI (Calling Line Identification)
Übermittlung der Rufnummer über den ISDN-D-Kanal. CLI ist
ein Leistungsmerkmal im ISDN, das im AVM Access Server
z.B. zur Identifizierung einkommender Rufe verwendet wird.
Client
Ein Client ist ein Computer in einem Netzwerk, der die Dienste eines Servers in Anspruch nimmt, z.B. auf dessen Dateien
oder Datenbanken zugreift.
COMMON-ISDN-API (CAPI)
CAPI ist eine standardisierte herstellerunabhängige Schnittstelle zwischen ISDN-PC-Karten und ISDN-Anwendungen.
Diese Schnittstelle steht nach der Installation eines AVM
ISDN-Controllers im gesamten System zur Verfügung (aktuelle Version 2.0). Aktuelle CAPI-Treiber erhalten Sie kostenlos
über den FTP-Server von AVM (ftp://ftp.avm.de). Der NetWAYS/ISDN setzt auf der Anwendungsschnittstelle von CAPI
2.0 auf.
D-Kanal
Der D-Kanal dient zur Übertragung von Steuerungsinformationen wie z.B. die Art des benutzten ISDN-Dienstes oder der
Rufnummer des Kommunikationspartners. Die Bandbreite
beträgt 16 Kbit/s beim Basisanschluss und 64 Kbit/s beim
Primärmultiplexanschluss. Über den D-Kanal können im
ISDN Gebühreninformationen (AOCD) und die Rufnummer
der anrufenden Seite (CLIP) übertragen werden. Die Leistungsmerkmale CLIP und AOCD müssen in Deutschland separat beantragt werden.
DSL, siehe „ADSL (Asymmetric Digital Subscriber Line)“ auf
Seite 64
DSS1
Europaweit standardisiertes D-Kanal-Protokoll. Alle neueren
ISDN-Anschlüsse verwenden DSS1.
67
Echtheitsbestätigung
Echtheitsbestätigung beschreibt die Identifikation einer Seite bei einer anderen Seite. Dazu stehen die Verfahren PAP
und CHAP zur Verfügung.
In NetWAYS/ISDN kann für jedes Ziel festgelegt werden, ob
und mit welchem Verfahren sich die Gegenstelle auf dem lokalen Router identifizieren muss. Für jedes Verfahren müssen Name und Passwort eingestellt und der Gegenstelle mitgeteilt werden. Falls die Gegenseite eine Echtheitsbestätigung verlangt, können Sie dafür Namen und Passwort eingeben. Diese Angaben werden Ihnen von der Gegenseite
mitgeteilt.
ESP (Encapsulating Security Payload)
Transportprotokoll innnerhalb von IPSec. ESP ermöglicht die
Authentifizierung des Absenders und die Verschlüsselung
der Nutzdaten.
Hash-Funktion
Eine Hash-Funktion ist ein Algorithmus, der Eingabedaten in
eine kürzere Form, den Hash-Wert oder „Digest“, bringt.
One-Way-Hash-Algorithmen werden als kryptographische
Verfahren bei der Authentisierung und beim Erzeugen digitaler Unterschriften angewendet.
l
One-Way-Hash-Algorithmen
– Die Eingabedaten können beliebig lang sein.
– Die Ausgabe ist in der Regel von konstanter Länge.
– Aus dem Ausgabewert kann der Eingabewert nicht
mehr rekonstruiert werden.
– Der Algorithmus muss hinreichend kollisionsfrei
sein, das heißt, die Wahrscheinlichkeit, dass zwei
verschiedene Eingabewerte denselben Ausgabewert
liefern, ist gering.
68
l
Keyed-Hash-Funktionen
Keyed-Hash-Funktionen sind One-Way-Hash-Algorithmen, die zusätzlich zum Eingabewert noch einen
Schlüssel in die Berechnung mit einbeziehen. KeyedHash-Funktionen eignen sich somit zur Erzeugung von
Message Authentication Codes (MAC). Nur wer den
Schlüssel kennt, kann den richtigen MAC erzeugen. Die
Hash-Funktion wird dadurch noch kollisionssicherer.
HDLC (High-Level Data Link Control)
Ein Übertragungsprotokoll für Datenpakete über serielle Leitungen nach ISO. Es handelt sich bei diesem Protokoll um einen strukturierten Satz von Standards, der die Mittel festlegt, mit denen ungleiche Geräte über Datennetze miteinander kommunizieren können. HDLC ist ein bit-orientiertes und
damit code-unabhängiges Sicherungsprotokoll für Punkt-zuPunkt-Verbindungen und Mehrpunktverbindungen. HDLC ist
von der ITU-T standardisiert (ITU: International Telecommunication Union; ITU-T: ITU Telecommunication Standardization
Sector). Eine Version dieses Protokolls wird in allen X.25 Netzen innerhalb der Sicherungsschicht eingesetzt und trägt
dann die Bezeichnung LAP B. In HDLC sind bestimmte Frames festgelegt, in denen die Datenblöcke aus der Vermittlungsschicht eingebettet und über die physikalischen Verbindungen übertragen werden. Nach DIN 66 221 besteht ein
HDLC-Rahmen aus der Blockbegrenzung (Flag), dem Adressfeld, dem Steuerfeld, dem Datenfeld, dem Blockprüffeld
(FCS) und einer abschließenden Blockbegrenzung. HDLC benutzt Duplex-Betrieb und bietet die Quittierung von mehreren Blöcken, in der Regel acht. Die Zusammenfassung von
acht Blöcken zu einer Quittierungseinheit wird Fenster (Window) genannt.
Header
Jedes Datenpaket enthält einen Header, der Informationen
über Absender- und Zieladresse und verwendetes Protokoll
angibt. Um die Übertragungsgeschwindigkeiten bei der
ISDN-Datenübertragung zu erhöhen und damit Kosten zu
sparen, können Header komprimiert werden.
69
HMAC (Keyed-Hash Message Authentication Code)
Message Authentication Code (MAC), der mit einer KeyedHash-Funktion erzeugt wird. Es kann eine beliebige HashFunktion verwendet werden. Alle Authentisierungsfunktionen in IPSec basieren auf HMAC.
ICMP (Internet Control Message Protocol)
ICMP befindet sich auf derselben Ebene wie IP. Es dient zur
Übertragung von Informationen, die zur Steuerung von IP-Datenströmen dienen. Es wird hauptsächlich dazu verwendet,
Informationen über Routen und Zieladressen zu liefern.
Ein Beispiel für einen weitverbreiteten Dienst auf der Basis
von ICMP ist Ping. Das ICMP ist Bestandteil jeder IP-Implementierung und hat in seiner Eigenschaft als Transportprotokoll nur die Aufgabe, Fehler- und Diagnoseinformationen für
IP zu transportieren.
IKE (Internet Key Exchange)
Protokoll, das als Teil von IPSec für die Aushandlung der Verbindungsparameter zuständig ist. IKE ist als RFC 2490 veröffentlicht.
IP (Internet Protocol)
IP wird als Protokoll der Netzwerkschicht im Internet verwendet und stellt die Systemverbindung zwischen den Computern her. Es bietet der darüberliegenden Schicht einen verbindungslosen Dienst an.
IP-Adresse
Die IP-Adressierung ist fester Bestandteil des Internet Protocols (IP). Die Darstellung der Internet-Adressen erfolgt in dezimaler, oktaler oder hexadezimaler Schreibweise. Der NetWAYS/ISDN verwendet die dezimale Schreibweise, bei der
die einzelnen Bytes zur Kenntlichmachung der Zusammengehörigkeit durch Punkte voneinander getrennt werden. Die
Gesamtmenge der Internet-Adressen, der Adressraum, wird
in Klassen (A, B, C, D und E) getrennt. Von den fünf Adressklassen werden nur die ersten drei Klassen genutzt. Diese
70
Klassen sind durch folgende Merkmale gekennzeichnet:
Klassen
Merkmale
Netzadresse,
dezimaler Wert
Klasse-A-Adresse
Wenig Netzwerke, viele
Netzknoten
0-127
Klasse-B-Adresse
Mittlere Verteilung von
Netzwerken und Netzknoten
128-191
Klasse-C-Adresse
Viele Netzwerke, wenig
Netzknoten
192-223
Merkmale der IP-Adressklassen
Jede IP-Adresse besteht aus zwei Teilen: der Netzwerkadresse und der Computeradresse. Die Bereichsgrößen der Netzwerkadresse und der Computeradresse sind variabel, sie
werden durch die ersten vier Bits (des ersten Byte) einer IPAdresse bestimmt.
l
Klasse-A-Adressen bestehen aus einem Byte Netzwerkadresse und drei Byte Computeradresse:
;BBB
1HW]ZHUNDGUHVVH
5HFKQHUDGUHVVH
Klasse-A-Adresse
Beispiel: 88.120.5.120 (88 definiert die Netzwerkadresse, 120.5.120 die Computeradresse).
71
l
Klasse-B-Adressen bestehen aus zwei Byte Netzwerkadresse und zwei Byte Computeradresse:
;;BB
1HW]ZHUNDGUHVVH
5HFKQHUDGUHVVH
Klasse-B-Adresse
Beispiel: 130.6.2.130 (130.6 ist die Netzwerkadresse,
2.130 ist die Computeradresse).
l
Klasse-C-Adressen bestehen aus drei Byte Netzwerkadresse und einem Byte Computeradresse:
;;;B
5HFKQHUDGUHVVH
1HW]ZHUNDGUHVVH
Klasse-C-Adresse
Beispiel: 195.15.15.1 (195.15.15 ist die Netzwerkadresse,
1 ist die Computeradresse).
RFC 1918 (Address Allocation for Private Internets) beschreibt folgende Blöcke des IP-Adressraums als geeignet
für private LANs:
10.0.0.0 - 10.255.255.255 (10/8 prefix)
172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
192.168.0.0 - 192.168.255.255 (192.168/16 prefix)
IP-Masquerading
Ein Netz, eine IP-Adresse: Mit IP Masquerading reicht eine
offizielle IP Adresse für die Kommunikation zwischen privatem LAN und dem öffentlichen Internet aus. NetWAYS/ISDN
bearbeitet die IP-Adressen in den TCP-, UDP- und ICMP-Paketen so, dass effektiv zum Internet hin nur eine IP-Adresse
sichtbar ist. Also können diese Hosts eines privaten LAN interne (inoffizielle) IP-Adressen für die Kommunikation mit
dem Internet nutzen.
72
IPSec (Internet Protocol Security)
Sicherheitsstandard für die Netzwerkschicht in der Netzwerk-Kommunikation. IPSec eignet sich sehr gut für VPN-Verbindungen und den LAN-Zugriff entfernter Benutzer über
DFÜ-Netze. IPSec verwendet die beiden Transportprotokolle
Authentication Header (AH) und Encapsulating Security Payload (ESP). AH ermöglicht die Authentisierung des Absenders; ESP ermöglicht sowohl Authentisierung als auch Verschlüsselung. Die spezifischen Informationen des Transportprotokolls stehen in einem Header, der an den IP-Header angehängt wird.
IPX (Internetworking Packet Exchange Protocol)
Von Novell entwickeltes Netzwerkprotokoll, mit dem Datenpakete im Netzwerk schnell und sicher zwischen zwei Netzwerkcomputern ausgetauscht werden.
Keep-Alive-Pakete
Keep-Alive-Pakete werden periodisch im gesamten Netzwerk
ausgesandt, um zu überprüfen, ob z.B. ein Client noch aktiv
ist. Erhält die sendende Station keine Antwort, unterbricht
sie die logische Verbindung.
LAN (Local Area Network)
Ein LAN ist ein räumlich begrenztes Netzwerk von Computern, wie beispielweise das Kommunikationsnetz eines Unternehmens oder einer Behörde. Entfernte Computer können
sich über ISDN oder GSM und der entsprechenden Software
(z.B. NetWAYS/ISDN) in den Remote Access Server eines LAN
einwählen.
Logische ISDN-Verbindung
Als logische ISDN-Verbindung wird der Zustand bezeichnet,
in dem sich eine Verbindung für beide beteiligten Gegenstellen als aktive ISDN-Verbindung darstellt. Während der logischen ISDN-Verbindung muss nicht permanent ein B-Kanal
aufgebaut sein. In NetWAYS/ISDN sind während der gesamten Dauer der logischen ISDN-Verbindung alle Informationen
bekannt, die beim ersten Verbindungsaufbau zwischen den
73
beiden Seiten ausgehandelt wurden. Dazu gehören das verwendete Netzwerkprotokoll, ob und auf welche Weise eine
Echtheitsbestätigung durchgeführt wird, Spoofingmechanismen und Kanalbündelung. Ist kein B-Kanal aktiv und es stehen Daten zur Übertagung an, kann sofort ein B-Kanal aufgebaut werden. Internetverbindungen kennen keine logischen
ISDN-Verbindungen, da dieser Zustand von den Internetanbietern nicht unterstützt wird.
Logische Netzwerkverbindung
Die logische Netzwerkverbindung bezeichnet die Verbindung
zwischen zwei LANs oder einem LAN und einem Client auf
Netzwerkprotokoll-Ebene. Solange eine logische Netzwerkverbindung besteht, ist die Gegenseite dem Router bekannt.
Eine logische ISDN-Verbindung entsteht mit dem ersten physikalischen Verbindungsaufbau über ISDN, mit dem auch die
Verbindungsparameter ausgehandelt werden. Diese Verbindungsparameter gelten für die Dauer der logischen ISDN-Verbindung. Dazu gehören das verwendete Netzwerkprotokoll,
ob Echtheitsbestätigung durchgeführt wird sowie Verbindungsmanagement-Parameter wie zum Beispiel durchgeführte Spoofing-Mechanismen oder Kanalbündelung. Je
nach Konfiguration wird die logische ISDN-Verbindung zusammen mit der physikalischen abgebaut oder kann darüber
hinaus bestehen bleiben, wenn dies mit der Gegenstelle
ausgehandelt werden konnte.
MSN (Multiple Subscriber Number=Mehrfachrufnummer)
Mehrfachrufnummern dienen im Euro-ISDN (D-Kanal-Protokoll DSS1) zur Unterscheidung von mehreren Endgeräten an
demselben S0-Bus oder mehreren CAPI-Anwendungen auf
demselben Rechner. Im Bereich der Deutschen Telekom AG
werden einem ISDN-Standardanschluss drei MSNs Mehrfachrufnummern zugewiesen.
74
NAT (Network Address Translation), siehe „IP-Masquerading“ auf Seite 72
NCP (NetWare Core Protocol)
Protokoll zur Steuerung der Kommunikation zwischen Client
und Server in einem NetWare-Netzwerk.
NetBIOS (Network Basic Input/Output System)
Standard für die Unterstützung der Netzwerkkommunikation, der unabhängig von den jeweiligen Transporttypen ist.
NetBIOS ist die Standardschnittstelle in Microsoft-Netzwerken. NetBIOS ist die Standardschnittstelle in Microsoft-Netzwerken und kann sowohl über IP als auch IPX transportiert
werden.
Netzwerkadresse
Siehe TCP/IP-Adressen.
PAP (Password Authentication Protocol)
Eines der beiden Protokolle für die Echtheitsbestätigung. Auf
der Seite, die die Echtheitsbestätigung verlangt, müssen ein
Name und ein Passwort für die Gegenseite konfiguriert werden. Die Gegenseite muss diesen Namen und das Passwort
in ihren Einstellungen eingetragen haben. Bei der Echtheitsbestätigung mit PAP werden der Name und das Passwort im
Klartext übertragen, und die Gegenseite prüft, ob diese mit
den eigenen Einstellungen übereinstimmen. Ist dies der Fall,
wird die Verbindung aufgebaut. Da PAP das Kennwort im
Klartext überträgt, sollte PAP nur dann zum Einsatz kommen, wenn die Gegenstelle nicht das deutlich sicherere
CHAP beherrscht.
Physikalische ISDN-Verbindung
Bei der physikalischen ISDN-Verbindung sind tatsächlich ein
oder mehrere B-Kanäle aufgebaut und es entstehen Verbindungsgebühren. Die physikalische ISDN-Verbindung baut
immer auf der logischen ISDN-Verbindung auf, d.h. die ausgehandelten Verbindungsparameter werden verwendet.
75
Ping (Packet InterNet Groper)
Programm zum Testen, ob ein Host erreicht werden kann.
Das Programm schickt eine ICMP-Anfrage an einen IP-Host
und wartet auf eine entsprechende Antwort. Mit Hilfe der Option „-w“ nach dem Befehl „ping“ können Sie festlegen, wie
viele Millisekunden das Programm auf eine Antwort warten
soll (Timeout). Da der Verbindungsaufbau über ISDN und die
Aushandlung der Gegenstelle einige Sekunden dauern kann,
sollten Sie bei einem Ping über ISDN als Timeout 5000 angeben.
PPP, siehe „PPP over ISDN (Point-to-Point-Protocol)“ auf
Seite 76
PPP over ISDN (Point-to-Point-Protocol)
Übertragungsprotokoll auf verbindungsorientierten Netzen
wie zum Beispiel ISDN, das eine protokollunabhängige Übertragung auf der ISO/OSI Schicht 2 zur Verfügung stellt. Das
Protokoll besteht aus einer Reihe von Standards und Unterprotokollen. Diese beschreiben für verschiedene Netze den
Aufbau der übertragenen Daten. Dadurch soll gewährleistet
werden, dass die Kommunikationsgeräte verschiedener Hersteller einheitliche Verfahren zur Kommunikation verwenden. PPP over ISDN ist in RFC 1618 beschrieben.
Port
Innerhalb von TCP- und UDP-Verbindungen dienen Ports der
Unterscheidung von Verbindungen. Wenn auf einem Computer mehr als eine Verbindung offen ist, reicht die IP-Adresse
alleine nicht dafür aus, Antworten, die ankommen, der richtigen Verbindung zuzuordnen. Bei ausgehenden Anforderungen oder Antworten vergibt das Betriebssystem die Portnummern fortlaufend. Im IP-Masquerading-Modul von NetWAYS/ISDN werden die Portnummern den Verbindungen zugeordnet.
Well-known ports sind Portnummern, die von der IANA (Internet Assigned Numbers Authority) bestimmten Diensten und
Anwendungen zugeordnet wurden. Well-known ports sind
aus dem Bereich von 0 bis 1023.
76
Short-Hold-Modus
Unter Short-Hold-Modus versteht man den physikalischen
Abbau inaktiver ISDN-Verbindungen nach einer festgelegten
Zeitspanne. Für physikalisch aktive ISDN-Verbindungen (BKanal belegt) fallen Gebühren an, egal, ob gerade Daten
übertragen werden oder nicht. Da der Verbindungsaufbau
über ISDN sehr schnell ist (1 bis 2 Sekunden), bietet es sich
an, die physikalische ISDN-Verbindung abzubauen, wenn
längere Zeit keine Daten mehr über die Leitung gehen. Die logische ISDN-Verbindung, d.h. die Aushandlung der Verbindungsparameter, bleibt je nach Konfiguration bestehen. Sobald dann Daten zur Übertragung anstehen, wird die physikalische Verbindung unterlagert wieder aufgebaut. Dies geschieht für den Client transparent.
SMTP (Simple Mail Transfer Protocol)
SMTP ist ein Standardprotokoll zum Austausch von elektronischer Post (E-Mail) zwischen verschiedenen Computern.
SMTP setzt unmittelbar auf TCP Port 25 auf. Es ist einfach
strukturiert und unterstützt nur den Versand von E-Mail über
ein Datennetz. Das Protokoll wurde in RFC 821 definiert.
Spoofing
Englisch „to spoof“ = verballhornen, hier im Sinne von vorgaukeln.
Erfahrungsgemäß tauschen einige Anwendungen in Netzwerken ständig Pakete aus, die bei WAN-Verbindungen über
ISDN zu häufigen und unnötigen Verbindungsaufbauten führen können. Manche Pakettypen, vor allem vor allem die der
Windows Datei- und Druckerfreigabe, verlangen eine Bestätigung der Gegenseite und dürfen deshalb vom NetWAYS/ISDN nicht einfach aus dem Datenstrom herausgefiltert werden, da sonst die Anwendung nicht mehr am Server
angemeldet ist.
Unter Spoofing versteht man das lokale Beantworten von Paketen durch einen Router. Besteht eine physikalische ISDNVerbindung, werden solche Pakete über die ISDN-Leitung geschickt. Sobald die physikalische Verbindung durch den Inactivity Timeout (Zeitspanne bis zum physikalischen VerbinNetWAYS/ISDN – Glossar
77
dungsabbau) abgebaut worden ist und die logische ISDNVerbindung noch besteht, beantwortet der Client lokal die
Pakete und täuscht somit die Existenz einer physikalischen
Verbindung zur Gegenseite vor. Nachdem die physikalische
ISDN-Verbindung durch Datenpakete wieder aufgebaut wurde, wird das Spoofing eingestellt und es werden beispielsweise Watchdog-Pakete wieder über ISDN übertragen.
Die verwendeten Spoofing-Mechanismen werden beim Verbindungsaufbau mit der Gegenstelle nach PSCP Draft ausgehandelt. Unterstützt die Gegenstelle kein Spoofing, wird diese Funktion deaktiviert.
SPX (Sequenced Packet Exchange)
Protokoll, mit dessen Hilfe zwei Arbeitsplatzcomputer oder
Anwendungen über ein Netzwerk kommunizieren. SPX greift
zur Übermittlung von Nachrichten auf NetWare IPX zurück.
Die eigentliche Nachrichtenübermittlung wird aber von SPX
sichergestellt. SPX sorgt dabei für die Einhaltung der Reihenfolge der Nachrichten im Paketstrom.
TCP (Transmission Control Protocol)
TCP ist für den Einsatz von paketvermittelten Netzwerken geeignet. Es setzt unmittelbar auf dem Internet Protocol (IP) auf
und bietet virtuelle Verbindungsdienste zur reihenfolgengetreuen, gesicherten Übertragung der Anwenderdaten. Es gewährleistet eine zuverlässige Verbindung zwischen zwei
Kommunkationspartnern. TCP ist als RFC 793 veröffentlicht.
Tunneling-Technik
Ein Verfahren, bei dem Datenpakete des einen Protokolls mit
Hilfe eines anderen Protokolls übertragen werden. Zwischen
den Endpunkten wird eine virtuelle Verbindung aufgebaut,
die man Tunnel nennt. Die Daten des einen Protokolls werden am Tunnelanfang in die Datenpakete des zweiten Protokolls verpackt. Am Ende des Tunnels werden sie wieder entpackt.
78
VPN (Virtual Private Network)
Internationale Bezeichnung für geschlossene logische Datenetze auf der Basis virtueller Verbindungen.
Unter einem virtuellen privaten Netz versteht man ein firmen- oder institutionseigenes Netz von größerer Ausdehnung, das auf die vorhandenen Strukturen eines öffentlich
zugänglichen Netzes aufsetzt.
Virtuelle private Netze nutzen die Tunneling-Technik, ein Verfahren, bei dem Datenpakete des einen Protokolls mit Hilfe
eines anderen Protokolls übertragen werden (siehe Tunneling-Technik).
X.75
X.75 ist ein Datenprotokoll mit einer Übertragungsgeschwindigkeit von 64 KBit/s.
Ziele
Der Begriff „Ziel“ wird als Sammelbegriff für Internetverbindungen und die Verbindung zu entfernten Netzwerken benutzt.
79
Index
A
G
ADC. Siehe AVM Data Call Center
AO/DI (Always On/Dynamic ISDN) 36
API (Application Programming
Interface) 54
ARP-Spoofing 29
Automatischer Verbindungsaufbau beim
Systemstart 53
AVM Data Call Center 15, 60
Gebührenprofile 24
Geschützter Modus 52
Geschwindigkeit 9
Header-Kompression
HSCSD 5
21
I
B
Benutzername/Kennwort
33, 34
C
CHAP (Challenge Handshake Authentication Protocol) 34
Charge One Site Only (COSO). Siehe Kostenübernahme
Crypt Provider API 55
D
Datenkompression 21
Datenverschlüsselung 35
Deinstallation 19
DSL 37
Erste Verbindung
...zum Testen von TCP/IP
16
F
Festverbindungen 32
Filter
NetBIOS 26
SNMP 26
Filtern und Spoofing 25
NetWAYS/ISDN – Index
Import einer VPN-Verbindung 18
Informationsquellen 59
Installation
Automatisieren 49
NetWAYS/ISDN 13
Voraussetzungen 12
Internetverbindung 16
Internetziel einrichten 18
Interoperabilität 10
IP-Masquerading 37
IPSec 40
Transportprotokolle 41, 43
K
E
80
H
21
Kanalbündelung 22
Kompressionsverfahren 47
Konfiguration 14, 49
Kostenmanagement 8, 22
AO/DI 36
Filtern und Spoofing 25
Gebührenprofile 24
Kostenübernahme 29
Physikalischer
Verbindungsabbau 23
Rückrufoptionen 29
Kostenübernahme 30
24
L
Lieferumfang 11
SPX-Spoofing 28
Watchdog-Spoofing 28
SPX-Spoofing 28
Standardkonfiguration 14
Standards 56
Systemvoraussetzungen 12
24
M
Masquerading
37
T
N
Technologie 6
Testverbindung 15
Tunnel 39, 41
NCP-Spoofing 28
NetBIOS-Filter 26
NetWAYS/ISDN
als Systemdienst 52
Deinstallation 19
für den Administrator 49
Konfiguration 49
U
Übernahme
vorkonfigurierter Profile 51
vorkonfigurierter Ziele 50
Übertragungsgeschwindigkeit 21
P
PAP (Password Authentication
Protocol) 34
V
23
R
Registrierung 60
Remote-Access-Server
Hard- und Software 13
RFCs 56
(RAPI) 55
Rückrufanforderung 29
Rufnummernüberprüfung 33
S
Sicherheit 9, 33
Benutzername/Kennwort 33, 34
Datenverschlüsselung 35
IP-Masquerading 37
Rufnummernüberprüfung 33
Sicherheitsrückruf 34
SNMP-Filter 26
Spoofing 27
ARP-Spoofing 29
NCP-Spoofing 28
Verbindung zum ADC
...testen von TCP/IP 16
Verbindungsabbau
logisch 24
physikalisch 23
Verbindungssteuerung 54
Verschlüsselungsverfahren 46
Voraussetzungen
NetWAYS/ISDN-Rechner 12
Remote-Access-Server 13
VPN
IPSec 40
Kompressionsverfahren 47
Protokoll 40
Sicherheit 40
Transportprotokolle 41, 43
Tunnel 39, 41
Verbindung importieren 18
Verbindungen 38
Verschlüsselungsverfahren 46
W
Watchdog-Spoofing
28
NetWAYS/ISDN – Index
81

starten

Transcription

Similar documents

AVM ADSL/ISDN-Controller FRITZ!Card DSL USB - Handels

AVM ISDN-Controller A1 PCMCIA

starten

Anti-Hacker

fritz!x pc

Benutzerinformation COM-ON-AIR BASIS

Handout zu VPN

Bedienungsanleitung der Telefonanlage Alcatel Premium Reflexes

Alcatel-Lucent OmniPCX Office Rich Communication Edition

Untitled

HiPath 3000 Real Time IP System - MKS

Delay bei Hochlast Thin-Wire

SUA Telenet GmbH - PhonEX ONE

Handbuch – LockingDataBase

Arbeiten mit dem Datums- und Zeitsystem von EXCEL

t@x 2011 Bedienanleitung

Kostenfreie Warteschleife

FRITZ!WLAN USB Stick v1.1