docDie Luft ist rein?
download 
Report Transcription
Die Luft ist rein?
Technik News - Netzwerkmagazin G46392 April 2003 D a s N 04 13. Jahrgang thema des monats SECURITY IM WLAN Die Luft ist rein? WEP und EAP, VPN und IPsec im Wireless LAN CISCO Angriffserkennung Teil 2: Erweiterte Sicherheitsfunktionen und Intrusion Protection p r a x i s n a h e N e t z w e r k m a g a z i n AKTUELL • CeBIT Review: Im Bann der Test-Hacker 3 Herausgeber: COMPU-SHACK NEWS • • • • • • • • • • • • • • • • • • • • • • Electronic GmbH, Ringstraße 56-58, 56564 Neuwied Polycom: Audio-Konferenz 3Com: SuperStack 3 Switch 4228G mit Gigabit Uplink 3Com: Update für SuperStack 3 Webcaches Novell: GroupWise 6.5 Allied Telesyn: Netzwerklösungen für jedes Unternehmen AVAYA: Stapelbare Konvergenz und WLAN bis 54 MBit/s AVAYA: CRM in IP Office BinTec: VLAN für die VPN Gateways der X-Generation BinTec: X2400 Router-Familie AVM: Mehr Speed für FRITZ!Card DSL Enterasys Networks: Business-Driven Networks Cisco: Catalyst 2955 für Werkhallen und Produktion Cisco: Single-Rack-Unit-Router 7301 Cobion: No Spam, no Overblocking LANCOM Systems: 54 MBit/s Funknetzwerkadapter SonicWALL: VPN-Sicherheit für Netzwerke aller Größen GN Netcom: Schnurlose 9000 Digital Headsets Tobit Software: David One abgekündigt Tobit Software: Effizienz in kleinen Unternehmen mit David SL WatchGuard: Firebox 500 und Vclass V60L Microsoft: Zweiter Betatest für Office Newsticker 6 6 7 7 8 9 9 10 10 11 11 12 13 13 14 14 15 16 16 17 17 18 THEMA DES MONATS Redaktion: Heinz Bück Hotline und Patches: Jörg Marx Verantwortlich für den Inhalt: Heinz Bück Technische Leitung: Ulf Wolfsgruber Erscheinungsweise: monatlich 1 Heft Bezugsquelle: Bezug über COMPU-SHACK Electronic GmbH Jahres-Abonnement zuzüglichMWSt.: Inland: 60,84 € Ausland: 86,41 € Druck: Görres-Druckerei, Koblenz WEP und EAP, VPN und IPsec im Wireless LAN Lektorat: Andrea Briel Anja Dorscheid 20 Abo-Versand: Wolanski GmbH, Bonn Reproduktionen aller Art (Fotokopien, Mikrofilm, Erfassung durch Schrifterkennungsprogramme) - auch auszugsweise - nur mit schriftlicher Genehmigung des Herausgebers. Wir möchten uns nachträglich bei all denen bedanken, die durch die freundliche Zusammenarbeit das Erscheinen dieser Zeitung ermöglicht haben. Als Informationsquelle dient uns auch das Internet. Wenn Sie speziell über Ihre Erfahrungen referieren möchten, bieten wir Ihnen dies unter der Rubrik “Hotline” an. Angriffserkennung Teil 2: Erweiterte Sicherheitsfunktionen und Intrusion Protection COMPU-SHACK.COM Layout und Titelbild: Marie-Luise Ringma Die Luft ist rein? Wireless LANs sind überall im Aufwind. Schneller und weiter denn je lassen sich im freien Äther die Datenpakete per Luftpost verschicken. Doch wie steht es dabei um die Abhörsicherheit der Daten? Weil niemals gewährleistet ist, daß die Luft wirklich rein ist, sind Sicherungsmechanismen unverzichtbar. Telefon: 02631/983-0 Telefax: 02631/983-199 Electronic Mail: TECHNEWS @ 30 HOTLINE • • • • • • • • Neue Patches in der Übersicht Enterasys: Einbruchssicherung, Teil 4: Enterasys Dragon Computer Associates: Probleme beim Einloggen über den ARCserve Manager Cisco: LAN Switching, Teil 3: Trunking im VLAN Microsoft: Windows XP Service-Pack 1 auf Boot-CD Novell: Switches und Parameter beim Boot-Vorgang Network Associates: Sniffer Technologies: Monitoring, Expertise und Decode SonicWall,Teil 3: Installation der SGMS Managementsuite 30 32 33 34 36 37 38 40 www.technik-news.de Selbstverständlich kann COMPU-SHACK die einwandfreie Funktion der vorgestellten Patches und Tips nicht garantieren und übernimmt keinerlei Haftung für eventuell entstehende Schäden. PRAXIS • Microsoft: Get Secure - Stay Secure, Teil 3: Patch-Verwaltung • Nortel Networks, Teil 2: Tips zu VLANs bei den Passport 8000ern • Über VoIP gesprochen, Teil 1: TK- Anlagenverbund auf Messenständen 46 50 51 Die Liste aktueller Updates zu Novell, CA, Microsoft und BinTec finden Sie auf Seite 30 SOLUTIONS • Training, Support und Projekte 45,50 VORSCHAU 04 Ausgabe 04/2003 • Messen, Roadshows, Termine 2 50 a AKTUELL CEBIT REVIEW Security im Fokus Im Bann der Test-Hacker Von Heinz Bück Wenngleich die CeBIT einen Besucherrückgang von siebzehn Prozent zu verzeichnen hatte, so konnte sich CompuShack über mangelnden Zulauf in Hannover wirklich nicht beklagen. Zahlreiche Interessenten und langjährige Geschäftspartner fanden den Weg in die Halle 13, wo der Netzwerkdistributor sein 20-jähriges Bestehen feierte. 20 Jahre Partnerschaft Vom Auftakt an nahm die CeBIT 2003 in Hannover für Compu-Shack einen sehr erfreulichen Verlauf. Zusammen mit führenden Herstellerpartnern demonstrierte Compu-Shack eindrucksvoll die aktuellen Schlüsseltechnologien im Netzwerkmarkt. Ein besonderer Fokus lag auf den neuen eTools für rationelle eCommerce-Lösungen im Netzwerkgeschäft rund um die cs:mall24. Netzwerksicherheit und Wireless LAN, Storage und Voice over IP standen als Key-Technologien mit hohem Innovationspotential im Mittelpunkt. Auf den abendlichen Messeparties mit führenden Netzwerkherstellern feierte die Compu-Shack mit ihren vier Geschäftseinheiten aus Distribution, Solution, Marketing und der CS Production ihr rundes Geschäftsjubiläum, gemeinsam mit ihren Fachhandels- und Herstellerpartnern, die seit nunmehr 20 Jahren im IT Business mit der Compu-Shack verbunden sind. Security im Fokus Zu den richtungsweisenden Netzwerk-Technologien zählten auf der diesjährigen CeBIT vor allem auch die Sicherheits-Lösungen. CompuShack bietet mit ihrer Security Offensive gerade für diesen Technologieschwerpunkt ein umfangreiches Portfolio an Produkten und Dienstleistungen, die die IT-Sicherheitslücken in Unternehmen schließen helfen. Dazu wechselte die Compu-Shack Consulting in Hannover vor vollem Haus die Seiten und startete mit ihren Testhackern beispielhafte Angriffe auf ausgewählte Topologien. Die täglich stattfindenen Hack-Attacks wurden zur besonderen Attraktion für die Netzwerker und zogen zahlreiche Security-Fans an. Die Zuschauer konnten live mitverfolgen, wie Sicher- 04 Ausgabe 04/2003 3 heitslücken in Netzwerken entlarvt werden, und waren beim Angriff auf die offengelegten Schwachstellen mit dabei, aufrichtig beeindruckt, wie einfach es für einen “richtigen” Hacker ist, sich in das Unternehmensnetzwerk einzuschleichen und an kritische Daten zu gelangen. Hack Attack on Stage Entscheider wie Techniker profitierten von wirklich eindrucksvollen Sessions, die in ihrer verblüffenden Art und Weise bestens geeignet sind, um praxisnahes Security-Know-how anschaulich zu vermitteln. Zweierlei machten die Hack Attacks jedenfalls sehr deutlich. Nicht allein der Einsatz der richtigen Security-Komponenten ist heutzutage unabdingbar. Auch Investitionen in entsprechendes Know-how sind unverzichtbar, damit durch eine fachgerechte Ausbildung des IT-Personals, das schließlich für die Netzwerksicherheit verantwortlich ist, genügend Sicherheits-Expertise aufgebaut werden kann. Sollten Sie die Hack Attack auf der CeBIT verpaßt haben, so bieten sich bereits im April weitere Gelegenheiten an den Live Hacking Sessions der Compu-Shack Consul-ting teilzunehmen (Terminkalender S.51). Der Preis beträgt pro Person nur 249,- Euro zzgl. MwSt. Informationen finden Sie unter www.portal.-compu-shack.com. Anmeldungen können auch telefonisch unter 02631-983-345 beim Compu-Shack Consulting Team vorgenommen werden. AKTUELL E Ein besonderer Publikumsmagnet auf dem Compu-Shack Messestand waren die täglich viermal stattfindenden Hack Attacks, live on stage. Sie wurden zum besonderen Highlight für die technisch Interessierten, ein Anziehungspunkt für Fachhändler und Endkunden gleichermaßen. Mit ihren Live-Demonstrationen “David gegen Goliath - Linux versus Microsoft” und dem Vortrag “VPN - trügerische Sicherheit?” schlugen die TestHacker der Compu-Shack Consulting die Zuschauer in ihren Bann. n NEWS POLYCOM 3COM Sound Station Preiswert in die Gigabit-Klasse Audio-Konferenz SuperStack 3 Switch 4228G mit Gigabit Uplink Die Polycom SoundStation Premier setzt neue Maßstäbe für eine kristallklare Sprachqualität, mit einfacher Bedienung bei Vollduplex-Audiokonferenzen. Echos, Ausblendungen und Nachhalleffekte gehören der Vergangenheit an. 3Com ergänzt ihr Produktportfolio an stapelbaren SuperStack 3 Switches der Reihe 4200 um das neue Modell 4228G mit dazugehöriger Software-Version 2.0. Bei den 4200ern handelt es sich um die führenden 3Com-Produkte im 10/ 100 Layer 2-Bereich. Zu erschwinglichen Preisen eröffnen diese managebaren Geräte weitreichende Netzwerkressourcen für Gigabit Ethernet. D D Die SoundStation besticht neben ihrer außergewöhnlichen Klangqualität durch ihre praktischen Details. So werden auf dem 16 Zeichen großen LCD die Tageszeit und Anruflänge angezeigt. Die Konsole hat Tasten zum Halten von Anrufen, zur Wahlwiederholung und zur Stummschaltung und wird mit einem Kabel an das Universalmodul angeschlossen. Die Tastatur ähnelt der eines normalen Telefons. Dank Infrarot-Fernsteuerung und ausziehbaren Mikrofonen mit separaten Tasten zur Stummschaltung können sich die Teilnehmer frei im Raum bewegen. Der moderne Lautsprecher füllt den Raum mit klarem, voluminösem Klang. Der SuperStack 3 Switch 4228G kommt nun als 28-Port Wirespeed Switch mit 24 10/100 Ports auf den Markt, mit zwei eingebauten Gigabit Kupfer Ports sowie zwei GBIC-Steckplätzen für weitere Gigabit-Anbindungen über Kupfer- oder Glasfaserleitungen. Er eignet sich besonders für Ethernet-Netze, die hervorragende Switching-Leistung und die gebotene Flexibilität von Glasfaser- oder Kupfer-Gigabit Uplinks mit festen 10/ 100/ 1000 oder GBIC-Ports benötigen, ohne die sonst übliche Komplexität und zu einem geringeren Preis. Die 24 10/100 Kupfer-Ports mit Autosensing-Funktion ermöglichen die flexible Einbindung von Arbeitsplätzen und ganzen Workgroups. Die zwei Autosensing 10/100/1000 KupferPorts können entweder für das Stapeln von bis zu drei weiteren Geräten der 4200 Swtich-Familie nach Plug&play-Manier oder für Gigabit Ethernet Backbone- und Server-Verbindungen verwendet werden. Die Audio-Produktlinie von Polycom umfaßt SoundStation, SoundStation Premier- auch für das Avaya ECLIPSPortfolio- VoiceStation und Sound Point Pro. Die VoIP-Konferenz- und Desktop-Telefone sind aufgrund von Partnerschaften mit führenden IPPBX- und Softswitch-Anbietern für alle gängigen VoIP-Plattformen und Protokolle geeignet. Zu denVoIP-Produkten zählen das Konferenztelefon SoundStation IP 3000, die DesktopTelefone SoundPoint IP 400 und 500 sowie SoundStation IP 3000. Zudem unterstützt Polycom die Integration in NBX-Plattformen von 3Com. NEWS Spitzensound Die Familie der stapel- und managebaren 3Com SuperStack 3 4200 Switches unterstützt alle Möglichkeiten der Gigabit Ethernet-Anbindung. Sie bietet überzeugende Management-Attribute sowie ein herausragendes Preis-Leistungs-Verhältnis. Software-Version 2.0 Die Software-Version 2.0 für die SuperStack 3 Switch 4200-Familie bietet integriertes Stack-Management mit einer einzigen IP-Adresse, erweiterte Managementfunktionen sowie verbesserte Attribute hinsichtlich Ausfallsicherheit und Bündelung von Verbindungen. Mit dieser Version ist die automatische Konfiguration von Aggregated Links (LACP) für eine höhere Ausfallsicherheit möglich. Der neue 4228G ist ab sofort verfügbar. Während er bereits mit der Software Version 2.0 ausgeliefert wird, werden die bereits bestehenden Switches 4250T und 4226T im Laufe des Monats April mit integrierter Software im Handel erwartet. Als Multi-Port Ethernet Switches mit insgesamt 50 beziehungsweise 26 Ports ermöglichen die SuperStack 3 Switches 4250T und 4226T Wirespeed Layer 2Switching bei einfacher Installation und außergewöhnlicher Zuverlässigkeit. Beide besitzen 10/100 KupferPorts mit Autosensing-Funktion mit 48 bzw. 24 Anschlüssen. Die beiden Autosensing 10/100/1000 KupferUplinks ermöglichen Gigabit Ethernet Backbone- oder Server-Verbindungen. Mit den auf der Vorderseite eingebauten Ports können bis zu vier Switches der 4200-Produktfamilie miteinander kombiniert werden. 04 Ausgabe 04/2003 4 3COM NOVELL Filterung von Web-Inhalten Gesichert Update für 3Com SuperStack 3 Webcaches Das Novell Highlight der CeBIT 2003 war die offizielle Vorstellung von Novell GroupWise 6.5, der nächsten Generation des erfolgreichen Messaging- und Collaboration-Systems. Ein weiterer Schwerpunkt lag auf dem sicheren Identitätsmanagement für One Net-Umgebungen mit Hilfe von Novell Nsure. GroupWise 6.5 3Com kündigt die Verfügbarkeit der neuen Content-Scheduling- und -FilteringUpgrades für ihre SuperStack 3 Webcache Produktfamilie an. Deren Merkmale sind speziell auf die Anforderungen im Bereich der Aus- und Weiterbildung zugeschnitten. Ihre Erweiterungen zielen auf Unternehmen, die aufgrund großer Internet-Nutzung verstärkte Kontrolle der WAN-Bandbreiten und eine Regulierung der aufgerufenen Web-Inhalte wünschen. E Ein Update für die 3Com SuperStack 3 Webcache-Familie schafft kontinuierlichen Web-Zugriff mit EthernetGeschwindigkeit und bietet WebsiteFilter für die unternehmensseitige Inhaltskontrolle. Die SuperStack 3 Webcache-Produkte erlauben die Regulierung der WAN-Bandbreitennutzung und garantieren gleichzeitig den schnellen Zugriff auf beliebte und dennoch seriöse Internet-Seiten. Die SuperStack 3 Webcaches 3000 und 1000 speichern häufig abgefragte Web-Inhalte und ermöglichen dem Nutzer, mit Ethernet-Geschwindigkeit im Internet zu surfen. MehrfachAnfragen nach der gleichen Information werden vermieden. Die Bandbreitennutzung im WAN kann 3Com zufolge bis zu 50 Prozent gesenkt werden. Scheduler und Filter Der 3Com Web Scheduler ist ein leicht zu bedienendes Plug-In für den Internet Explorer, das zum Patent angemeldet ist. Er erlaubt selbst technisch weniger versierten Anwendern, bestimmte Internet-Seiten und Content bereits im Vorfeld für eine spätere Nutzung einzustellen. Auf vordefinierte Inhalte kann praktisch unmittelbar zugegriffen und somit die Download-Zeit erheblich verkürzt werden. Zu den Content FilteringEigenschaften der SuperStack 3 Webcaches ist ein Jahresabonnement der SurfControl Content Database erhältlich. Im Service inbegriffen sind 20 leicht zu verwaltende Filter-Kategorien, die die Konfiguration und Bedienung vereinfachen. Die Kombination aus Expertenkontrollen, modernsten und vollautomatisierten Anwendungen garantiert nach den Vorgaben des Kunden die Aktualität des Inhalts. Filtereinstellungen können durch die Vergabe von Paßwörtern und manuelle Zugangskontrollen zu Internet-Seiten angepaßt werden. Webcaches Der 3Com SuperStack 3 Webcache 3000 eignet sich speziell für große Ausbildungsstätten, Unternehmen oder Organisationen, die eine hohe Ausfallsicherheit, Skalierbarkeit und Leistung erfordern. Die zwei integrierten Festplatten, mit Platz für eine optionale dritte, unterstützen 1.000 aktive Internet-Nutzer. Der 3Com SuperStack 3 Webcache 1000 ist für Einrichtungen mit 50 bis 1.000 Internet-Nutzern bestimmt. Dieses Einstiegsprodukt eignet sich für kleinere Schulen, Unternehmen oder Zweigstellen, die kostengünstige Bandbreite, verbesserte Browser-Leistung sowie erhöhte Produktivität für Web-basierte Business-Applikationen oder Studentenaktivitäten benötigen. Der 3Com SuperStack 3 Webcache 1000 und 3000 ist ab sofort verfügbar. 04 Ausgabe 04/2003 5 Die neue GroupWise-Generation sorgt für eine erhöhte Sicherheit in der Unternehmenskommunikation. GroupWise 6.5 verfügt über integriertes, sicheres Instant Messaging (IM) innerhalb der Unternehmens-Firewall. Die neue Version bietet eigene Spam-Filter sowie eine erheblich verbesserte Unterstützung von Anti-Virus-Produkten. Eine neue, intuitive Bedienoberfläche für E-Mail, Terminplanung, Kontakt- und Dokumentenmanagement runden die Funktionspalette ab. GroupWise 6.5 arbeitet plattformübergreifend unter Novell NetWare und Windows NT/2000. Im Lieferumfang sind bereits umfangreiche Mobiloptionen enthalten: Der integrierte GroupWise Web Access für den Web-Zugriff auf die Mailbox wurde weiter verbessert. Außerdem unterstützt GroupWise 6.5 mobile Geräte wie Handys sowie HandheldRechner unter Palm OS und Windows CE/Pocket PC. Novell stellte auf der CeBIT mit Novell Nsure ihre Lösungsfamilie rund um das sichere Identitätsmanagement (SIM) vor. Sie vereinfachen das Management von Anwenderidentitäten innerhalb und außerhalb des Netzwerkes. Die breite Palette an Produkten deckt Authentifizierung, Zugriffskontrolle, Provisioning sowie das Registrieren und An- und Abmelden von Anwendern ab. Die Nsure-Lösungen bauen auf dem plattformübergreifenden Novell eDirectory auf. n NEWS ALLIED TELESYN Komplettanbieter Netzwerklösungen für jedes Unternehmen Allied Telesyn präsentierte sich in Hannover mit vielen Produktneuheiten als Komplettanbieter im Netzwerk-Markt. Das Portfolio ermöglicht die Realisierung anspruchvollster Netzwerkdesigns in allen Unternehmensbereichen, in denen Zuverlässigkeit, Skalierbarkeit, Flexibilität und Sicherheit groß geschrieben werden. M Mit neuen Netzwerklösungen für Großunternehmen, kleine bis mittlere Betriebe, Gebäudekomplexe und das Metropolitan Area Networks (MAN) kam Allied Telesyn auf die CeBIT. In Live-Demonstrationen wurden die Möglichkeiten für VideoStreaming, VoIP, High-SpeedInternetzugang und Wireless Access Lösungen dargestellt. Mini-Chassis Das neue modulare Mini-Chassis der AT-8400er-Serie für Layer2-Lösungen ist Teil der Enhanced-StackingFamilie von Allied-Telesyn-Switches. Diese Lösung gibt dem großen bestehenden Portfolio von Enhanced Stacking Switches zusätzliche Flexibilität zu einem extrem günstigen ProPort-Preis. 96 Fast Ethernet Ports, 12 Gigabit-Ports oder beliebige Kombinationen unterstützen sowohl Kupfer- als auch Fiberoptikverbindungen. Der AT-8400 mit Mini-Chassis ist eine offene Plattform und auf die Unterstützung neuer Technologien wie VDSL ausgelegt. NEWS QoS-Management Die neue L2/L4-Switching-Lösung der AT-8700er konzentriert sich verstärkt auf Lösungen für Unternehmen und Service Provider. Sie ermöglicht erweitertes QoS-Management für die Netzwerk-Außenbereiche, mit Wirespeed-Filtering, Definition und Identifikation von Bandbreitenklassen sowie Priorisierung in 4 Stufen. Außerdem gehören Bandbreitenbegren- zung, DiffServ-Überwachung, Zuweisung von bis zu 255 VLANs, Konfigurierung von VRRP, OSPF, Linkaggregation, Multicast-Überwachung und -Management zu den Möglichkeiten dieser Baureihe. Ziel ist die Bereitstellung erweiterter Netzwerkfunktionen für den Netzwerkrand, mit einem effektiveren Verkehrsmanagement. Konnektivität Die Familie der ATI ADSL-Lösungen wird größer. AT-AR250 und ATAR255 sind die neuen ADSL-Router für kleine bis mittlere Unternehmen. Im günstigen Preis enthalten ist die ATI-eigene Stateful-InspectionFirewall. Allied hat zudem einen kompletten Satz an Lösungen für die drahtlose Konnektivität entwickelt, für zuhause, bei Unternehmen und in öffentlichen Bereiche. Ein kompletter Satz neuer Endpunkt-Sender, Access Points und Authentifizierungs-Software unterstützen die volle Mobilität der Netzwerknutzer. Metropolitan Mit der AT-WD1000er-Serie verbessert Allied Telesyn die Leistung von Glasfasernetzwerken mit einer neuen externen Managed Media Conversion Platform. Die neuen Lösungen werten Netzwerkanwendungen im MAN auf. Die neue CWDM-Lösung für das Coarse Wave Division Multiplexing dient dazu, verschiedene elektromagnetische Wellenlängen zur Übermittlung von Signalen über ein einzelnes Paar Glasfaserleitungen zu verwenden. Die CWDM-Technologie ist eine Schlüsselkomponente beim Aufbau von Ethernet-MANs, da sie die Betriebskosten der Glasfaser-Infrastruktur wesentlich reduziert. Die “Ethernet Everywhere” Lösung von Allied Telesyn eliminiert die Kosten, Komplexität und Latenzverzögerungen, die für bestehende Transfermechanismen wie Synchronous Digital Hierarchy (SDH) oder Asynchronous Transfer Mode (ATM) charakteristisch sind. VoIPTalk-Serie Ein neuer Baustein für Allied Telesyns VoIP-Lösung ermöglicht eine Komplettlösung, die neue Kundenbedürfnisse abdeckt und strategisch offen ist für das neue SIP-Protokoll. Die neue Residential-Gateways-Serie RG210 unterstützt VLANs, IGMP und Port Rate Limiting sowie die RG600er Serie, die auf L3-Funktionen für Breitband-Anwendungen basiert, darüber hinaus aber auch VoIP PICs für die bestehenden AR400erund AR700er-Serien von Allied Telesyn für Unternehmensanwendungen. Der SIP-Server ES500 bietet die Management-Unterstützung für das SIP-VoIP-Protokoll auf mittleren bis großen Unternehmensnetzwerken. Weitere Informationen unter www.alliedtelesyn.de. 04 Ausgabe 04/2003 6 AVAYA AVAYA Flexibilität Perspektiven Stapelbare Konvergenz und WLAN bis 54 MBit/s CRM in IP Office Auf der diesjährigen CeBIT präsentierte sich AVAYA auf dem Compu-Shack Stand in Halle 13 mit ihren innovativen Produkten aus den strategischen Technologiebereichen DataVoice und Wireless. Gezeigt wurde das gesamte Produktportfolio, das in dieser kompletten Form nur über Compu-Shack als Distributor zu beziehen ist. AVAYA und Microsoft Business Systems planen die Bereitstellung eines gemeinsamen CRM-Lösungssystems. Es besteht aus Microsoft Customer Relationship Managements und entsprechender Hardware der IP Office. N Neben neuen Wireless-Komponenten bringt AVAYA mit dem neuen ISTS ein integriertes, stapelbares Telefonsystem, das speziell für kleine Niederlassungen und Filialen entwickelt wurde. Als konvergentes System für bis zu 450 Anwender bietet die ISTSLösung komplett integrierte IPTelephonie sowie IP-Switching und Routing. Es vereint führende AVA YA-Produkte wie den Cajun P330TPWR Switch, den S8300 Media Server, das G700 Mediagateway, die MultiVantage Software sowie IP-Hardund Soft-phones. Als Remote-OfficeKonfiguration eingesetzt, ermöglicht die Lösung für Firmen mit verteilten Standorten ein einheitliches Management ihrer Sprach- und Datenkommunikation. Das ISTS-System läßt sich als reine IP-Lösung oder aber erweitert um analoge und digitale Module als hybrides System einsetzen. Drahtlos bis 54 Mbps AVAYA Wireless bietet mit dem AP 3 als erweiterbarem Allround AccessPoint die hochperformante Lösung zur drahtlosen Kopplung von LANSegmenten, die bereits jetzt die neuesten Wireless-LAN-Standards (802. 11a) unterstützt. Der AP 3 ermöglicht einen einfachen High-Speed-Netzzugang für mobile Benutzer (ClientAccess) und erleichtert so die Bildung von Arbeitsgruppen an schwer zu verdrahtenden Stellen. Zusätzlich zum aktuellen WLAN-Standard 802.11b unterstützt der AVAYA Wireless AP 3 den WLAN-Standard 802.11a mit max. 54 Mbit via 5 GHz bereits serienmäßig. Die sanfte Migration ist mit dieser AP 3-Produktplattform mittels einfachem Austausch der AP-3-Sendekarten möglich. Die Architektur mit PCMCIADoppelsteckplätzen ermöglicht gleichzeitig über den zweiten PCMCIA-Kartenslot den Aufbau eines drahtlosen Backbone-Netzes mit einer Bridging-Funkverbindung zwischen zwei AP 3. Dies kann den Ausbau einer BackboneVerkabelung überflüssig machen. 04 Ausgabe 04/2003 7 A AVAYA wird die CRM-Lösung von Microsoft Business Systems lizenzieren und in die eigene Kommunikationslösung IP Office integrieren. Erste Resultate werden im zweiten Quartal erwartet, das vollständig integrierte Produkt gegen Ende 2003. Es richtet sich speziell an kleine und mittlere Unternehmen, die ihren Kunden durchgehende Serviceleistungen bieten möchten. Mit dem Begriff CRM verbindet man traditionell Call Center von Unternehmen, deren geschäftlicher Erfolg stark von der Kundenansprache per Telefon abhängt. Das Avaya-System wird die Telefoniefunktionen mit CRM-Daten koppeln und ermöglicht damit neue Anwendungen für das durchgängige Management sämtlicher Kundenbeziehungen. Diese Technologie wird damit auch für kleinere, kundenzentrierte Unternehmen nutzbar. IP Office bietet umfassende Daten- und Sprachanwendungen mit einfacher Bedienerführung, Remote LAN-Zugang und Highspeed-Internet-Zugang, die Office-Funktionalitäten wie Outlook-Integration, Voicemail oder auch kleine SelfserviceSzenarien zur Verfügung stellen. Das CRM-Portfolio der IP Office umfaßt neben der Call Center-Software eine kompakte Berichtslösung, ein ausführliches Reporting- und Supervising Tool sowie Campaign-Management-Funktionalitäten. In Verbindung mit der CRM-Lösung erhält der Mittelstand ein komplettes LösungsBundle, um seinen Vertriebs- und Kundenservice zu unterstützen. n NEWS BINTEC Security und Redundanz VLAN für die VPN Gateways der X-Generation Auf der CeBIT präsentierte die BinTec Access Networks GmbH ihr erweitertes Redundanzkonzept für mehr Ausfallsicherheit bei den Router-Familien X2000, X4000 und X8500. Mit einer neuen VLAN-Funktion läßt sich nun eine Gruppe von Netzknoten zu einer autonomen, sicheren Domain zusammenfassen. Darüber hinaus stellte BinTec eine Webbasierte Benutzeroberfläche zur einfachen Konfiguration der Router und VPN Gateways vor. N Neue Sicherheits-Funktionen für die Router-Familien X2000, X4000 und X8500 stehen nun mit dem Release 6.3. zur Verfügung. BinTec sorgt für Redundanz in der Kompaktklasse. Mit dem BinTec Router Redundancy Protocol (BRRP) stellte BinTec auf der CeBIT ihr neues Konzept für die modularen Router-Familien X4000 und X8500 sowie für die kompakten Router der X2000-Familie vor. Das neue Protokoll bietet die Möglichkeit, zwei Geräte redundant und im Load-Sharing-Modus zu betreiben. Sollte eines ausfallen, sorgt das zweite Gerät dafür, daß der Datenverkehr uneingeschränkt aufrecht erhalten wird. Damit ermöglicht BinTec eine stabile, hoch verfügbare und ausfallsichere Netzwerkanbindung, wie sie bei der Übertragung geschäftskritischer Daten von höchster Bedeutung ist. BinTec bietet diese Funktion seit Mitte März mit dem Release 6.3 auch für die Router ihrer Kompaktklasse an. NEWS Virtual LAN Ein Highlight ist die VLAN-Funktion für die Router-Familien X2000, X4000 und X8500. Mit diesem Feature kann eine Gruppe von Netzknoten bzw. LAN-Segmenten zu einer autonomen, sicheren Domain als virtuelles Netz zusammengefaßt werden. Der Vorteil von VLANs für Router und VPN-Gateways ist, daß der Netzwerkadministrator ein Netzwerk flexibler planen, gestalten oder ändern kann, da es physikalisch nicht umstrukturiert werden muß. Eine Web-basierte Benutzeroberfläche erleichtert die Konfiguration. Das Graphical User Interface (GUI) ist seit März mit dem Release 6.3 in die Router der X-Generation implementiert. Damit können selbst komplexe Konfigurationen einfach vorgenommen werden. So lassen sich z.B. bei der Stateful Inspection Firewall über 70 vordefinierte Services sperren oder freischalten. IPSec und Radius Auch im Bereich der IPSec-Implementierung bietet BinTec Erweiterungen. Mit dem Software Release 6.3 verfügen die BinTec Router über das Simple Certificate Enrolment Protocol (SCEP). Damit läßt sich auf komfortable Weise eine Public Key Infrastructure (PKI) aufbauen, da die Bin Tec-Geräte Zertifikate nicht nur verwalten, sondern diese von einer Zertifizierungsbehörde über eine authentisierte Verbindung auch anfordern können. Um eine Migration von Radius-basierten Netzwerken hin zu IPSec-basierten VPN zu ermöglichen, unterstützt die IPSec-Implementierung die Funktion Radius im IPSec. So können Benutzerdaten weiter wie bisher über den Radius Server verwaltet werden. Die Kosten der Migration werden minimiert und potentielle Fehlerquellen verringert. BINTEC SHDSL X2400 Router-Familie BinTec stellte mit der X2400 ihre neue SHDSL-Router-Familie für High-speed Internet vor. Sie bringt Geschäftskunden symmetrische Bandbreite für schnelle Internet-Zugänge und VPN-Verbindungen Die neu gegründete BinTec Access Networks GmbH präsentierte sich erstmals auf der CeBIT in Hannover als Spezialist für flexible Netzwerkzugangslösungen. Als fortschrittliche Neuerungen für High-speed Internet und VPN wurden u.a. auch die neuen Router der X2400 Familie auf dem Messestand im Einsatzszenario vorgestellt. Die SHDSL-Router X2402 und X2404 wurden speziell für den schnellen Internet-Zugang in kleinen und mittleren Unternehmen entwickelt. Aufgrund sehr hoher Daten-übertragungsgeschwindigkeiten sowie umfangreicher Sicherheitsmerkmale bei VPN-Verbindungen eignen sich die Router ideal für Business-Anwendungen wie das Hosting von Webund E-Mail-Servern, Videokonferenzen oder zur Anbindung von Unternehmensfilialen. 04 Ausgabe 04/2003 8 AVM ENTERASYS NETWORKS DSL Traffic Shaping Effektiv Mehr Speed für FRITZ!Card DSL Business-Driven Networks Mit DSL Traffic Shaping von AVM läßt sich nun die gesamte Bandbreite des DSL-Anschlusses voll ausschöpfen. DSL Traffic Shaping behebt ab sofort Geschwindigkeitsverluste und Engpässe. Die FRITZ!Card DSL-Produkte integrieren als einzige DSL-Endgeräte diese Funktion. Ein Upgrade ist für die derzeitigen Anwender kostenfrei. A Anwender der FRITZ!Card DSL können ab sofort bei gleichzeitigem Upund Download die gesamte DSLBandbreite ausschöpfen. AVM stellt dazu ein Software-Upgrade kostenfrei bereit, das mit der neuen Funktion DSL Traffic Shaping die Datenströme optimiert. So ist beispielsweise ein Mailversand möglich, ohne daß ein laufender Download einbricht. AVM integriert als einziger Hersteller von Endgeräten DSL Traffic Shaping in seine Produkte. Kanal frei ! Bei herkömmlichen ADSL-Modems verringert ein Datenversand - beispielsweise das Senden von Mails oder eDonkey- File-Sharing - die Geschwindigkeit eines gleichzeitig stattfindenden Downloads spürbar. Weil bei einem Download der PC dem Absender der Daten regelmäßig den Empfang von Datenpaketen über seinen Upload-Kanal bestätigen muß, bevor weitere Pakete verschickt werden können, werden Empfangsbestätigungen langsamer verschickt, wenn gleichzeitiges Surfen oder Mailen den Upload-Kanal bereits auslastet. Damit wird der Download ausgebremst. DSL Traffic Shaping analysiert alle Daten und managt deren Versand. Bestätigungsdaten erhalten Vorrang und sichern damit den weiteren Download mit voller Bandbreite. Unter http:// www.avm.de/DSLTrafficShaping verdeutlicht AVM in einem Video den Geschwindigkeitsvorteil. Upgrade kostenfrei DSL Traffic Shaping kann mit allen FRITZ!Card DSL-Produkten genutzt werden. Die neue Funktion steht ab sofort zum kostenfreien Download unter http://www.avm.de/FRITZdsl/ service bereit. Dort finden Anwender auch weitere Tips und Tricks, beispielsweise zur Firewall-gesicherten Internet-Einwahl. Nach dem Upgrade läßt sich DSL Traffic Shaping einfach im FRITZ!web DSL-Menü mit der Option Datenfluss optimieren einstellen. 04 Ausgabe 04/2003 9 Die CeBIT stand für Enterasys im Zeichen ihrer neuen Strategie des Business-Driven Networks. Im Rahmen ihres Messeauftritts präsentierte Enterasys neue Lösungen aus den Bereichen Konvergenz, Sicherheit, Switching/Routing sowie WLAN. Das Gesamtkonzept des BusinessDriven Networks gründet auf den drei Säulen Sicherheit, Produktivität und Flexibilität. Enterasys will damit Unternehmen zielgenau dabei unterstützen, die Produktivität zu erhöhen, Kosten zu reduzieren und Know-how zu schützen, um gleichzeitig die ITVerwaltung zu vereinfachen und neue Geschäftschancen zu realisieren. Durch die präzise Anpassung der Netzwerkstrukturen an die Anforderungen des Unternehmens werden Geschäftsprozesse und die Leistungsfähigkeit der eingesetzten IT-Lösungen optimiert. Enterasys stellte der Öffentlichkeit erstmals die neue Konvergenz-Strategie EFFECT vor, das Enterprise Framework For Evolutionary Convergence. Ziel dieses Ansatzes ist es, eine umfassende Konvergenz zu verwirklichen, wobei nicht nur Sprache und Video, sondern auch beliebige Dienste auf einem IP-basierten Netzwerk integriert werden. Im Rahmen von EFFECT ist Enterasys gelisteter Partner des HiPath Ready Net Zertifizierungsprogramms der Siemens AG. Als Neuheit im WLAN zeigte Enterasys eine Weiterentwicklung des RoamAbout R2. Der neue Access Point unterstützt neben den Standards 802.11b und 802.11g nun auch 802.11a für die Datenübertragung bis 54-Megabit im 5-GHz-Band von 5,15 bis 5,875 GHz. Seit Ende letzten Jahres dürfen die 11a-Systeme mit Einschränkungen auch in Deutschland betrieben werden. n E NEWS CISCO Work Bench Switch Catalyst 2955 für Werkhallen und Produktion Cisco Systems stellt mit der Cisco Catalyst 2955er Serie robuste Industrial Ethernet Switches vor. Für den Einsatz in Werkhallen von Betriebs- und Produktionsumgebungen ist das kompakte Gerät mit passiver Kühlung und Relay Output Signalling auf rauhe Betriebsumgebungen ausgelegt. Es arbeitet bei Temperaturen zwischen -40 und 60 Grad Celsius, auch in Umgebungen mit extremer Vibration und Schockimpulsen. NEWS M Mit einem Industrieroboter als Blickfänger hatte Cisco auf ihrem CeBITStand den Besucherinnen und Besuchern den Weg zu den neuen Lösungen im Industrial Ethernet gewiesen. Dabei geht es um die Standardisierung und Konsolidierung der verschiedenen Netzwerkarchitekturen in der industriellen Produktion. Denn bislang haben viele produzierende Betriebe drei verschiedene Netzwerke im Einsatz: das Unternehmensnetz für die Verwaltungsaufgaben, das Control-Level-Netzwerk, das die Maschinen in der Fertigungshalle überwacht und das Device-LevelNetzwerk, das die Maschinen miteinander verbindet. Ethernet ist aber nur als Standard für das Unternehmensnetz bekannt. Die Migration der beiden anderen Netzwerke auf diesen Standard erhöht die Effizienz und senkt Kosten, weil zum Beispiel die Echtzeit-Übertragung von Informationen zu und von Maschinen möglich wird. Mit dem Catalyst 2955 bietet Cisco dazu einen kompakten 12Port LAN-Switch an, der Fast- und Gigabit-Ethernet-Konnektivität mit intelligenten Switching-Diensten für Sicherheit, Verfügbarkeit und Quality of Service verbindet. Die Vorteile einer standardisierten EthernetInfrastruktur gelangen damit in die Werkhallen und Fertigungsstraßen der Industrie, um die Produktivität und den Informationsfluß zu verbessern Industrieumfeld Zu den besonderen Sicherheitsfunktionen im Industriebereich gehören Zugangskontrolle zu Automations-Netzwerken. Für hohe Verfügbarkeit sorgen redundante Stromversorgung, Netzwerk-PerformanceMonitoring sowie ein einfacher Austausch von Ausrüstung. MulticastTraffic-Management und Quality-ofService-Funktionalitäten sichern fest- gelegte Performance von wichtigem Netzwerkverkehr. Mit seinen kompakten Abmessungen paßt der Switch in Industrieanlagen und Schaltkästen. Durch passive Kühlung und Relay Output Signalling ist die Catalyst 2955 Serie auf rauhe Betriebsumgebungen mit extremer Vibration und Schockimpulsen sowie für Temperaturen zwischen -40 und 60 Grad Celsius ausgelegt. Das Cisco IOS ermöglicht eine Endezu-Ende-Lösung mit anderen CiscoKomponenten wie Drahtlos-Equipment, das sich in Werkhallen ja durchaus empfiehlt. Intelligente SwitchingDienste werden vom I/O- oder Monitoring-Gerät zum Kern des Netzwerks geführt und durch das Wide Area Network erweitert. Der Switch kann mit der Embedded Cluster-Management-Suite-Software (CMS) leicht verwaltet werden. Für größere Installationen unterstützt die Catalyst 2955er Serie SNMP-basierende Netzwerk-Management-Plattformen wie Cisco Works. Sie ist seit März verfügbar. ...Launch in der Lounge Ticker Drahtloser Internetzugang auf Bahnhöfen:Rechtzeitig zur CeBIT launchte die Deutsche Bahn auch in der DB-Lounge am Hauptbahnhof Hannover den rail & mail. Service Die Deutsche Bahn erweitert damit den drahtlosen Zugang ins Internet an ausgewählten Bahnhöfen, über Cisco Access Points Aironet 1200 und Router der 2600er Serie. Der Service steht Bahnreisenden auch in den DB Lounges am Kölner Hauptbahnhof, Frankfurt/Main Flughafen und auf dem Hauptbahnhof Frankfurt/Main zur Verfügung. Die Abrechnung erfolgt über eine im voraus bezahlte Guthabenkarte, die in den DB Lounges erhältlich ist. Über Frühbucherrabatte ist nichts bekannt. 04 Ausgabe 04/2003 10 CISCO COBION Router 7301 OrangeBox Mail 2.0 Mehrwert am Rande No Spam, no Overblocking Cisco hat mit dem 7301 einen kompakten Single-Rack-Unit-Router auf den Markt gebracht Das neue Gerät eignet sich für den Einsatz als Internet/Campus-Gateway oder für Managed Services von Service Providern. Zudem ist eine neue Port Adapter Carrier Card für die 7304 Router verfügbar. Mit der OrangeBox Mail 2.0 präsentierte Cobion auf der CeBIT ihren neuartigen Komplettschutz für ein- und ausgehenden E-Mail Verkehr. Highlight ist der integrierte Anti-Spam Schutz. Durch kombinierte Verfahren der Text- und Bilderkennung wird relevanter E-Mail-Verkehr zuverlässig von irrelevantem Spam unterschieden. Dabei wird ein versehentliches Filtern von E-Mails ausgeschlossen. D Der Router 7301 ist Teil der Cisco 7300-Serie, die für flexible, funktionsreiche Dienste mit Internet-Protokoll/ Multiprotocol Label Switching an der Schnittstelle zwischen Unternehmens- und Service-Provider-Netz ausgelegt ist. Das Gerät ermöglicht es Service Providern, Kunden am Rand des Unternehmensnetzes zusätzliche Managed Services wie High-Speed Internet-Zugang, IP-VPN und Metro/WAN-Konnektivität zu bieten. Zudem kommt eine neue Port Adapter Carrier Card, mit der Cisco 7304 Router nun auch bestehende Port-Adapter der 7000-Serie akzeptieren. Kunden können die vorhandenen Port Adapter mit der neuen Generation von Hardware-beschleunigten Routern der 7300er- und 7600er-Serien ebenso nutzen wie mit Routern der Serien 7200, 7400 und 7500. Die neue Karte sichert die Investitionen in die PortAdapter der Cisco 7000-Serie. Die Cisco Router 7301 und 7304 sowie die neue Carrier Card sind ab sofort erhältlich. I Insgesamt wendet Cobion zur Spam-Erkennung mehr als zehn unterschiedliche Verfahren zur sicheren Analyse und Filterung an. So wird das Unternehmensnetz effektiv vor unerwünschten E-Mails geschützt und ein zeitraubendes, manuelles Löschen von nicht gewollter elektronischer Post überflüssig. Spam- und Junk-Mails, Viren oder der mißbräuchliche Versand von vertraulichen Informationen sind potenzielle Gefahren der E-MailNutzung am Arbeitsplatz. Daher sollte unbedingt eine Lösung wie die OrangeBox Mail, die alle EMails und Dateianhänge in Echtzeit auf unerwünschte und verbotene Inhalte und nach unterschiedlichen Verfahren prüft, genutzt werden. anderem auch die Liste der Bundesprüfstelle für jugendgefährdende Schriften enthalten. Die zugrundeliegende Datenbasis, der Orange Filter umfaßt über 15 Millionen Einträge - die größte auf dem Markt erhältliche Filterliste. Zur Generierung wurden bislang über 2,1 Milliarden Internetseiten auf ihren Inhalt hin untersucht und eingeordnet. Um unbefugtes Löschen oder Umgehen der Sicherheitssoftware zu verhindern, ist Cobion eine Kooperation mit dem Desktop-Sicherheitsexperten Datapol GmbH eingegangen, der durch eine patentierte Technologie sicherstellt, daß die vorgenommenen Filtereinstellungen unverändert bleiben. Cracksichere Heim-PCs Hervorzuheben ist für deutsche Benutzer, daß die OrangeBox Web Home im Gegensatz zu anderen Lösungen auch einen Schwerpunkt auf deutsche Internetangebote legt. Viele der erhältlichen Schutzprogramme stammen bislang von USHerstellern und filtern in erster Linie nur nach englischen Schlüsselworten. Sie blockieren daher wenig effektiv europäische und deutsche Internetangebote. Die Software unterstützt zudem alle gängigen Browser und funktioniert somit einwahlunabhängig, was Familien als Zielgruppe schätzen werden. Die zweite Messeneuheit war die OrangeBox Web Home 1.0. Die weltweit größte Filterdatenbank ist ab sofort auch für kindersicheres Surfen im Privatbereich erhältlich. Die OrangeBox Web Home ist der erste funktionierende und nicht umgehbare Internetfilter für Familien. Die Software ist einfach zu installieren und sperrt ebenso effektiv wie die Enterprise-Version der OrangeBox Web Internetseiten, die nicht erwünscht oder gar illegal sind.. Insgesamt stehen 59 Inhaltskategorien zur Auswahl, die unter 04 Ausgabe 04/2003 11 Schlüsselwörter n NEWS LANCOM SYSTEMS SONICWALL AirLancer zertifiziert ChannelKonzept 54 MBit/s Funknetzwerkadapter Die von der LANCOM Systems GmbH auf der CeBIT 2003 vorgestellten AirLancer-Funknetzwerkkarten AirLancer MC-54ab und AirLancer PCI-54a sind seit Ende März verfügbar. Sie wurden jüngst entsprechend der Vorgaben der Regulierungsbehörde für den Betrieb in Deutschland zertifiziert. L NEWS LANCOM Systems erfüllt als einer der ersten europäischer Anbieter die Anforderungen der Regulierungsbehörde für automatische Leistungsregelung (TPC) und Frequenzwahl (DFS), die die RegTP bei der Allgemein-Freigabe des 5GHz-Frequenzbandes festgelegt hat. Die neuen Funknetzwerkadapter ermöglichen die drahtlose Vernetzung von Notebooks oder Desktop-PCs mit dem Unternehmensnetzwerk mit bis zu 54 MBit/ s Übertragungsrate. In Verbindung mit den Dual-Band LANCOM 3050 Wireless-Basisstationen können die PCs auf ein bestehendes kabelgebundenes Ethernet und über die DSL-RoutingFunktion auch auf das Internet zugreifen. Standards a und b Die PC-Card AirLancer MC-54ab beherrscht die beiden WLAN-Standards IEEE 802.11a mit 54 MBit/s und IEEE 802.11b mit 11 MBit/s. Sie ist damit für Notebook-Anwender geeignet, die ein Höchstmaß an Flexibi- lität benötigen. Die Umschaltung zwischen den Funkstandards erfolgt auf Wunsch automatisch und stellt damit jederzeit die schnellstmögliche Verbindung zur Verfügung. So kann beispielsweise die Verbindung zum Firmennetzwerk mit bis zu 54 MBit/s erfolgen, während auf Reisen die Kompatibilität zu Public-Hot-Spots mit bis zu 11 MBit/s Übertragungsrate gewahrt bleibt. Die Funknetzwerkkarte ist seit Ende März verfügbar. VPN-Sicherheit für Netzwerke aller Größen Auf der CeBIT hat SonicWALL in einem gemeinsamen Auftritt mit Compu-Shack ihr Channel-Konzept präsentiert. Auf dem Compu-ShackMessestand wurden die Besucher über die Produktneuheiten der Internet Security Appliances PRO 230, PRO 330 und Tele3 TZX und der aktuellen Firmware 6.4 informiert. Dabei wurde auch das neue SonicWALL Medallion Partnerprogramm für Reseller vorgestellt. Dual-Band Access Points Zertifiziert wurde ebenfalls die Erweiterung der LANCOM 3050 Wireless Basisstationen, die durch einfaches Einschieben der AirLancer MC54ab Karten dem IEEE 802.11a Standard folgt und mit bis zu 54 Mbit/s Übertragungsrate arbeitet. LANCOM 3050 Wireless-Basisstationen werden damit zu Dual-Band Access Points, die gleichzeitig die Funkstandards entsprechend IEEE 802.11b und IEEE 802.11a unterstützen. Für die Funkausstattung von stationären Desktop PCs bietet LANCOM Systems mit der Airlancer PCI-54a eine PCI-Steckkarte nach dem IEEE 802.11a Standard. Zum Lieferumfang der Produkte gehören eine externe Antenne (nur Air Lancer PCI-54a), Treiber für Windows 98 SE / ME / 2000 / XP, umfangreiche Dokumentation sowie Managementund Diagnose-Software. SonicWALL bringt die neuen Internet Security Appliances PRO 230 und PRO 330 auf den Markt. Die Geräte bieten u.a. eine erweiterte und verbesserte Firewall sowie neue, flexiblere Features für Virtual Private Networks. Für alle Unternehmensgrößen stehen damit sichere, zuverlässige und hochverfügbare Konnektivitäts-Lösungen bereit, die zu attraktiven Preisen erhältlich sind. Die PRO 230 und PRO 330 sind jetzt zu einem stark verbesserten Preis-Leistungsverhältnis verfügbar. Die PRO 330 schützt das Business-Netzwerk mit der FirewallTechnologie vor böswilligen Angriffen und verbindet Außenstellen oder extern arbeitende Büros mit Hardware-beschleunigten VPNFunktionen. Die SonicWALL PRO 04 Ausgabe 04/2003 12 GN NETCOM 230 stellt eine kostengünstige Sicherheitslösung dar, die End-toEnd-Sicherheit und Fernzugriff für Netzwerke aller Größen bietet. Bewegungsfreiheit mit Komfort Internet Security Mit der SonicWALL TELE3 TZX kann ein Unternehmen Firmensicherheit und Datenschutz auf Heimarbeitsplätze ausdehnen. Denn die TELE3 TZX schafft eine sogenannte Trusted Zone der Netzwerksicherheit zwischen dem Unternehmen und dem Telearbeiter. Sie schützt ein Firmennetzwerk so vor den Gefahren, die durch die gemeinsame Breitbandverbindung für den Arbeitscomputer aus der privaten Computernutzung entstehen können. Die Trusted Zone stellt sicher, daß böswillige Eindringlinge über ein Heimnetzwerk nicht in das Firmennetzwerk gelangen können, und daß auch unauthorisierte Anwender über die angebundene Außenstelle keinen Zugang zum Firmennetzwerk erhalten. Auch mit dynamischen IP-Adressen ist mit den SonicWALL Internet Security Appliances der Aufbau einer sicheren VPN-Verbindung möglich. Dieses Feature ist mit dem Einsatz der Firmware 6.4 erhältlich. Partner Programm Das auf der CeBIT vorgestellt SonicWALL Medaillon Partnerprogramm unterstützt Fachhändler individuell nach Größe und Geschäftsausrichtung in ihren Aktivitäten, von der Marketingunterstützung bis zum technischen Support. Das Medaillon Partnerprogramm hilft dem Fachhandel, Kunden mit den Sicherheitslösungen von SonicWALL vertraut zu machen und Unternehmen in Sachen Internet Security zu unterstützen. Die Partnerstufen bieten je nach Größe und Engagement differenzierte Leistungen und Anforderungen für dedizierte Sonic WALL Approved Reseller, Silverund Gold-Partner. Schnurloses Digital Headset GN 9120 GN Netcom - einziger Hersteller digitaler schnurloser Headsets - hat zur CeBIT ihr Produktportfolio um die schnurlose Lösung GN 9120 ergänzt. Sie ist eine Weiterentwicklung des bewährten GN 9000 und besticht durch ein elegantes Design sowie neue Funktionen und Fähigkeiten. Dabei ragen die erhöhte Reichweite von 100 m und eine exzellente Qualität der Sprachwiedergabe besonders heraus. D Das schnurlose GN 9120 eröffnet alle Freiheiten, die Profis in einer modernen Büroumgebung benötigen. Die neue Headset-Lösung ohne störendes Kabelgewirr ist mit einem aufladbaren, leistungsstarken Lithium-Akku ausgestattet. Damit können sich Anwender bis zu 100 m im Umkreis frei bewegen und bis zu 8 Stunden durchgängig telefonieren. Beim GN 9120 stehen drei verschiedene Mikrofonarme zur freien Auswahl. Flex-Boom und Midi-Boom sind mit einem geräuschreduzierendem (NC) Mikrofon ausgestattet, perfekt, um störende Hintergrundgeräusche auszublenden. Der mit einem Standard-Mikrofon (Omni-Direktional) ausgestattete Mikro-Boom eignet sich für ruhigere Arbeitsbereiche. Tragekomfort nach Wahl Anwender können zwischen einem Überkopfbügel mit weichen Lederohrkissen und einem biegsamen Ohrhaken wählen. Beide Trageformen garantieren 04 Ausgabe 04/2003 13 einen hohen Komfort über den ganzen Tag. Für ungestörte Telefonate sorgt die Online-Anzeige des GN 9120. Kollegen sehen sofort, daß gerade telefoniert wird. Über die Stummschaltetaste können jederzeit Rückfragen gestellt werden, ohne daß der Gesprächspartner mithört. Die individuelle Regelung der Übertragungsund Empfangslautstärke ermöglicht eine hervorragende Klangqualität. Die elegante, stilvolle Form des GN 9120 integriert sich ideal in jede Büro-Umgebung, um bequem und flexibel an Telefonkonferenzen teilzunehmen und zugleich die Hände frei zu haben für Notizen. Mit dem GN 9120 können sich bis zu 4 Teilnehmer mit je einem GN 9120 Headset an einer Basisstation anmelden. n NEWS TOBIT SOFTWARE TOBIT SOFTWARE Abgekündigt David SL Ohne David One Tobit hat zum 1.4.2003 den Vertrieb von David One eingestellt und führt damit eine Bereinigung ihres Produktportfolios durch. Anwender von David One werden recht unkompliziert auf die David Produktlinie SL oder David Home wechseln können. D David One ist seit Ende März nicht mehr erhältlich. Gleich zwei brandneue Alternativen stehen den David One-Anwendern zukünftig zur Auswahl. Denn David SL und auch David Home werden den heutigen Anforderungen besser gerecht. Dazu bietet Tobit ihren Kunden die Möglichkeit, ihre ausgemusterte Software in Zahlung zu geben. Effizienz in kleinen Unternehmen Unter dem Namen David SL war auf der CeBIT erstmals der Nachfolger des Senkrechtstarters David DSL zu sehen. In Anlehnung an die neuen Features von David XL wurde der kleinere David mit vielen neuen Funktionen ausgestattet, die die Effizienz kleiner Unternehmensnetzwerke nochmals deutlich erhöhen. D David SL ist ein echtes Client-/Server-System, mit dem kleine wie auch große Büros arbeiten können. Ein Schwerpunkt der Entwicklung war die nahtlose Integration einer leistungsstarken Aufgabenplanung. Diese bietet nun optimale Möglichkeiten für eine verbesserte Arbeitsorganisation jedes einzelnen Mitarbeiters. Auch die Koordination der Zusammenarbeit in Teams oder Gruppen steht bei David SL im Vordergrund. So weiß jeder im Team, in welchem Status sich ein gemeinsames Projekt befindet und wer sich um die Bearbeitung kümmert. NEWS Mobilitätsgewinn Die Einführung von David DSL vor gerade einmal neun Monaten hat Tobit zufolge deutlich gezeigt, daß die Kunden auf eine moderne, komfortablere und kompaktere Lösung setzen. Kunden, die ihren David One gerne in ein aktuelles Produkt verwandeln möchten, können also umsteigen und ihre nicht mehr benötigte Lizenz in Zahlung geben. Hierfür sollte voraussichtlich Anfang April ein Trade-InProgramm im Club Tobit geschaffen werden. Mit dem integrierten InfoCenter Mobile sind die Mitarbeiter nun in der Lage, auch ohne direkte Anbindung an den David SL-Server alle Funktionen des Tobit InfoCenters zu nutzen. Damit haben die Mitarbeiter ihre Informationen auch unterwegs im Blick. Sie können bequem offline weiterarbeiten und beim nächsten Datenabgleich mit dem Server ihre Daten übertragen. Der Datenabgleich selbst kann bereits über jede beliebige InternetVerbindung erfolgen. Für das derzeit beliebteste Kommunikationsmedium Mail erhielt David SL eine neue AntiSpam-Funktion sowie die Möglichkeit, personalisierte eMail-Rundsendungen zu erstellen. Auch personalisierte Fax-Rundsendungen sind nun direkt aus dem Tobit InfoCenter möglich. Bislang mußte man dazu auf eine Textverarbeitung zurückgreifen. David mit Plus Zusätzlich zum Leistungsumfang des neuen Startpakets wird es ein Erweiterungspaket David SL AccessPlus geben, das Tobit zufolge grenzenlose Mobilität und Flexibilität verspricht. Neben dem InfoCenter Web- und WAP und dem Mail Access Server enthält das David SL AccessPlus Pack die komfortablen Replication Services, mit denen Kunden die Daten zwischen zwei David SL-Servern abgleichen können. So ist z.B. die Anbindung eines Home Offices problemlos möglich. Natürlich können Kunden auch mit der Kombination von David SL und dem David SL Access Plus Pack eine kleine Filiale oder Büro an ein größeres Unternehmensnetzwerk, das z.B. David XL einsetzt, kostengünstig anbinden. Das bislang als PlusPack bekannte Erweiterungspaket wird übrigens in Zukunft David SL ScalePlus heißen. Es umfaßt die reine Erweiterung von David SL um weitere fünf Benutzer sowie einen zusätzlichen Kommunikationsport für z.B. Fax oder den Anrufbeantworter. David SL wird seit dem 14. März 2003 ausgeliefert. Ein Update auf David SL für bestehende David DSLKunden wird ab Anfang April kostenlos über den Club Tobit angeboten werden. Kunden, die das InfoCenter Web oder das InfoCenter WAP für den Fernzugriff auf ihre Nachrichten nutzen, können mit ihrem UpDate das David SL Access PlusPack bis zum 30. Mai 2003 vergünstigt dazubestellen. Zusätzliche User und Ports aus dem ehemaligen David DSL PlusPack werden automatisch übernommen. 04 Ausgabe 04/2003 14 WATCHGUARD MICROSOFT VPN Performance Im Office Firebox 500 und Vclass V60L Zweiter Betatest Zur CeBIT hat WatchGuard zwei neue Sicherheitslösungen für mittlere Unternehmen vorgestellt, die WatchGuard Firebox 500 mit Proxy-Funktionalität für Stand-Alone Offices und die Firebox Vclass V60L mit hochperformanter VPN-Funktionalität. Weitere Neuheiten sind das Dual ISP Port Upgrade und das VPN Force Port Upgrade für die Firebox SOHO6. Microsoft hat die zweite Betaversion des nächsten Office Systems fertiggestellt. Weltweit sollen rund 500.000 Partner und Kunden die kommende Version evaluieren und testen. D Die WatchGuard Firebox 500, besonders geeignet für Stand-Alone Offices mit Anbindung von Mobile User Clients, besticht durch starke Firewall-Features wie einerAnwendungsProxy mit 5Mbps Durchsatz, einem Stateful Packet-Filter mit 75 Mbps bzw. 5 Mbps 3DES-Durchsatz. Die WatchGuard Firebox 500 ist für bis zu 250 authentifizierte User empfohlen. PKI-Zertifikate, die von der internen Zertifikatsinstanz von Watch Guard ausgestellt werden, authentifizieren die VPN-Tunnel. Die Secure Management-Software für die Firebox ermöglicht sichere Verwaltungssitzungen mit 3DES-Verschlüsselung, mit denen man die Sicherheitsfunktionen beruhigt innerhalb oder außerhalb des vertrauten Netzwerkes konfigurieren kann. Zu jeder Firebox 500 gehört ein umfassendes SoftwarePaket mit Verwaltungs- und Überwachungs-Tools, mit fünf IPSec-Lizenzen für die Mobile User Clients sowie dem LiveSecurity-Service, mit dem das gesamte System auf dem neuesten Stand gehalten wird. Maximal 50 weitere IPSec Client-Lizenzen, ein SpamScreen zum Blockieren von Junk-Mails und ein McAfee Antivirus Upgrade sind separat erhältlich. Firebox Vclass V60L Die neue WatchGuard Firebox Vclass V60L ist für mittlere Unternehmen gedacht, die mittels VPN bis zu 100 Remote User anbinden wollen. Sie bietet eine intelligente ASIC-Architektur mit hochskalierbarem VPNSupport und eine Authentifizierung mittels PKI. Server Load Balancing, Quality of Service, VPN Tunnel Switching sind neben Dynamic Routing und Multi-Tenant Security Management die herausragenden Features. Die Vclass V60L besticht durch einen hochperformanten Stateful Packet-Filter mit 100 Mbps Durchsatz bzw. 50 Mbps bei 3DES. Sie ist für bis zu 250 authentifizierte User empfohlen. Der WatchGuard Central Policy Manager, weitere Mobile VPN Client-Lizenzen sowie das McAfee Antivirus Upgrade lassen sich auch hier optional ergänzen. Port Upgrades für SOHO6 Ein neues Dual ISP Port Upgrade für die SOHO6 garantiert eine konsequente Failover Protection. Wenn die primäre ISP-Verbindung ausfällt, übernimmt der Failover Port die Verbindung, um die VPN-Tunnel wiederherzustellen. Das ebenfalls neu vorgestellte VPNforce Port Upgrade für die SOHO-6-Reihe verstärkt die Corporate Policy für Telecommuters und Branch Offices mit einer Firewall zwischen dem Trusted Interface (4 Port Switch) und dem OPT-Port. Außerdem können sich die Benutzer einen Breitbandzugang teilen. Es wird dabei ein separates Subnetz zur Verfügung gestellt. Damit bietet Watch Guard innovative Network Security für jede Unternehmensgröße. 04 Ausgabe 04/2003 15 Z Zum kommenden Microsoft Office System gehören Anwendungsprogramme, Server-Applikationen und Services, die Anwender und Unternehmen noch besser mit Informationen und Geschäftsprozessen vernetzen. Das Evaluationskit umfasst sieben Anwendungen des Office Systems, darunter die Beta 2-Version der neuen Microsoft Office Suite mit Word, Excel, Outlook, PowerPoint und Access sowie die Beta 2 von Front Page, InfoPath, OneNote, Publisher und SharePoint Portal Server 2.0. Die finalen Versionen erscheinen voraussichtlich Mitte des Jahres. Mit XML und dem neuen Aufgabenbereich für Informationsrecherchen in den Office-Anwendungen bekommen Anwender eine umfassendere Übersicht über Unternehmensinformationen. Das Office System bietet die Möglichkeit, sogenannte Smart Documents zu erstellen, um Arbeitsabläufe schneller anpassen zu können. Die SharePoint Produkte und Technologien wurden weiterentwikkelt und integriert. Darüber hinaus kommen neue Werkzeuge wie das Information Rights Management hinzu. Anwender und Unternehmen können dadurch die Zusammenarbeit effizienter gestalten. Die neuen Handschriftfunktionen können im gesamten Office System genutzt werden. Microsoft OneNote ermöglicht die Erfassung und Weiterverarbeitung digitaler Notizen. Outlook hilft bei der Aussortierung von Spam-Mails. Außerdem unterstützt das Microsoft Office System besonders die mobilen Anwender. n NEWS ...Multiplex Optische Plattform für SAN:Cisco erweitert die ONS 15530 Multiservice Aggregation Platform um neue Funktionen für das Dense Wave Division Multiplexing (DWDM). Dazu gehören die ONS 15530 8-Port-Fibre-Channel-/Gigabit-Ethernet-AggregationsKarte, die ONS 15530 2,5 Gbit/s-ITU-Trunk-Karte und neue Protection-Switch-Module für die ONS 15500er Serie. Konzerne können damit die Kapazität ihrer Netzwerke skalieren und den Netzwerkverkehr für Storageund IP-Anwendungen zusammenlegen. Mit den DWDMErweiterungen in Storage Area Networks können geschäftskritische Anwendungen und Dienste in eine Infrastruktur integriert werden. Die DWDM-Technologie ist gerade für wachsende SAN-Umgebungen geeignet, um Kapazitätserweiterungen, zusätzlichen Durchsatz sowie Transparenz der Bit-Rate und Protokolle zu erhalten. DWDM erfüllt die hohen Anforderungen an Bandbreite und niedrige Latenzzeiten für Anwendungen, auf deren Ausfallsicherheit der Betrieb des gesamten Unternehmens basiert. ...SAN nach Plan Design im Speichernetzwerk:Computer Associates hat Netreon, einen kalifornischen Anbieter von SAN-Software übernommen. Das CA Portfolio deckt mit dem SANexec Designer von Netreon jetzt die Verwaltung des gesamten Storage-Life-Cycle ab, um die Rentabilität von Speichertechnologien zu optimieren. SANexec Designer von Netreon wird unter dem Namen BrightStor SAN Designer in CA´s SpeichermanagementFamilie BrightStor integriert. Die Netreon-Technologie ermöglicht eine schnellere Planung, Implementierung, Veränderung und Dokumentation von neuen und bestehenden Speichernetzwerken. Unternehmen reduzieren damit ihre Kosten, optimieren die Effizienz und garantieren den vollen Schutz wichtiger Informationsressourcen. NEWS ...Centrino Mobiltechnologie:Intel präsentierte auf der CeBIT ihre Mobiltechnologie für die neue Generation von Notebooks. Diese ermöglicht längere Batterielaufzeiten und hohe Performance sowie kleinere und leichtere Notebooks. Die integrierte Wireless-LAN Funktionalität bietet drahtlosen Zugang in Funknetze, ohne Kabel oder zusätzliche Netzwerkkarten. Eine weltweite Zusammenarbeit mit Service Providern soll die Verbreitung von Hotspots beschleunigen. Im deutschsprachigen Raum bestehen dazu neuerdings auch Vereinbarungen mit T-Mobile. Die jeweilige WLAN-Infrastruktur soll optimal auf die Intel Centrino Mobitechnologie abge- stimmt werden. Diese besteht aus einem neuen Mobilprozessor, Chipsätzen und einer drahtlosen Netzwerktechnologie, die dem etablierten Wi-Fi Standard entspricht. Alle Komponenten sind hochintegriert und auf geringen Stromverbrauch optimiert, um eine längere Akku-Laufzeit und leichtere Notebooks zu ermöglichen. ...Mit dem Strom Power over Ethernet: 3Com hat für April die Verfügbarkeit eines neuen Switches mit Power over Ethernet sowie neuer NBX IP-Telefone angekündigt. Zusammen mit den innovativen Produkten der Network Jack-Familie bilden die 3Com-Lösungen ein umfassendes Portfolio an Netzwerkkomponenten nach der IEEE P802.af-Spezifikation (Draft). Ein einziges Kabel reicht aus, um eine zuverlässige Stromversorgung und den Datenzugriff zu gewährleisten. Jede Kombination aus PoE-fähigen Produkten läßt sich uneingeschränkt in die Infrastruktur integrieren und ermöglicht Administratoren durch die Identifizierung stromversorgter Komponenten die zentrale Verwaltung eines hochverfügbaren Netzwerks. Diese Fähigkeiten, kombiniert mit einer normalen Stromversorgung, garantieren, daß die 3Com Produkte nahtlos mit anderen P802.af-konformen Produkten eingesetzt werden können. Herzstück dieses Ansatzes, beim Aufbau von Netzwerken die Stromversorgung gleich mitzuliefern, ist der neue SuperStack 3 4400 PWR, ein 24-Port 10/100 In-Line Power over Ethernet Switch mit einer Vielzahl an Gigabit Uplink-Möglichkeiten. 3Com kündigte außerdem die Verfügbarkeit der erweiterten NBX Networked Telephony Produktfamilie an, die den Standard IEEE P802.3af unterstützt. ...Klein und günstig DSL-Internet-Zugang im SOHO: BinTec bietet mit dem BinGO! DSL einen preisgünstigen Router für den SOHO-Markt, zum Remote Access mit HighSpeed Internet-Zugang über DSL. Mitarbeiter in kleinen Unternehmen oder im Home Office können auf das Internet wie auch auf Netzwerke entfernt gelegener Unternehmensstandorte zugreifen und Fax- und Netzwerkdienste, E.Mail oder Filetransfer superschnell nutzen. Von unterwegs können Außendienstmitarbeiter über ISDN oder Mobiltelefon (V.110, V.120) in den Router einwählen und arbeiten dann, als wären sie vor Ort. Die Ausstattung geht weit über reine RoutingFunktionalitäten hinaus. Um zu verhindern, daß Informationen von Unberechtigten abgerufen oder manipuliert werden, sind im BinGO! DSL umfangreiche Firewall-Mechanismen implementiert. Besonderen Wert legte BinTec neben der Sicherheit auf das Kostenmanagement und die Wartung. Hochwertige Tools erleichtern die Konfiguration und ermöglichen die Fernwartung. Ticker 04 Ausgabe 04/2003 16 ...Flotte für Schnelle ...Auf schlankem Fuß Kabel/DSL Wireless-Router:Netgear baut ihre WLAN-Router-Flotte weiter aus und kündigte die Verfügbarkeit des Kabel/DSL Wireless-Routers MR814 mit 4-Port 10/100 MBit/s-Switch und integriertem Access Point an. Der auf IEEE 802.11b-Standard basierende Wireless-Router ist speziell für Home Offices und SmallBusiness konzipiert. Der integrierte 4-Port-Switch dient zum Anschluß von PCs und internetfähigen Geräten, die eine Ethernet-Verkabelung erfordern. Die vier geswitchten RJ45-Fast-Ethernet-Ports erkennen die Bandbreite automatisch und optimieren die NetzwerkGeschwindigkeit mit bis zu 200 MBit/s im Voll-DuplexBetrieb. Der flotte Wireless-Router zeichnet sich durch eine breite Palette von Leistungsmerkmalen aus, u.a. NAT-Firewall-Funktionalität, VPN-Passthrough oder 40/ 64 bzw. 128-bit-Verschlüsselung zur Sicherheit der kabellos übertragenen Daten. Bis zu 253 Anwender im Netz können Breitband-Multimedia-Applikationen und Echtzeit-Anwendungen wie NetMeeting oder VideoConferencing mit voller Geschwindigkeit nutzen. Für den permanenten Schutz der Daten sorgen zahlreiche Sicherheitsfunktionen. Neben URL-Content-Filter und der tageszeitabhängigen Freigabe von Online-Richtlinien, bietet der MR814 mit Denial of Service Attack Prevention fortschrittlichen Schutz des Netzwerkes. DHCP, DNS, DMZ, E-Mail Alerts und die gängigen Internetprotokolle runden den Funktionsumfang ab. Das Gerät ist ab April erhältlich Platzsparende Stromschutzlösung: American Power Conversion erweitert ihre Back-UPS Produktfamilie um ein leistungsstarkes, platzsparendes Modell. Die APC Back-UPS RS 500 mit USB und seriellem Anschluß ist für den professionellen Bereich konzipiert und schützt Unternehmen vor spannungsbedingten Geräteausfällen. Das zuverlässige Batterie Backup bietet eine lange Überbrückungszeit und kann zusätzlich Kommunikationsleitungen vor Überspannungen schützen. Die batterieschonende, automatische Eingangspannungsregulierung des Modells wie auch seine hohe Bedienerfreundlichkeit reduzieren gleichermaßen die Wartungskosten. Die leistungsstarke Back-UPS mit 500VA bzw. 300 Watt Leistung hält eine Überbrückungszeit von bis zu 43 Minuten aufrecht und bietet Anschluß für vier Endgeräte. Die erweiterte Eingangstoleranz von 166 bis 278 Volt schont den Batterieeinsatz und sorgt für eine hohe Verfügbarkeit. Die Akkus lassen sich auf einfache Weise während des Betriebs durch den Anwender selbst austauschen. Die serienmäßige Software PowerChute Plus Personal Edition führt im Falle eines länger anhaltenden Stromausfalls eine automatische Datenspeicherung durch, beendet geöffnete Anwendungen und leitet falls erforderlich durch die Shut-Down Software ein zuverlässiges Herunterfahren des jeweiligen Betriebssystems ein. PowerChute Plus ist leicht zu bedienen und bietet dennoch umfangreiche Einstellungsoptionen für das Strommanagement. ...Doppelt ausgelegt ...Ausgegliedert Funk-Steckplätze a und b:3Com kündigt eine neue Reihe von modularen Wireless LAN Access Points und Upgrade Kits an, die sowohl die Konnektivität von 802.11b als auch die höhere Übertragungsgeschwindigkeit von 802.11a unterstützen. Die Wireless LAN Access Points 8200 mit 802.11b-Funkmodul, 8500 mit 802.11a-Modul und 8700 mit a- und b- Modul enthalten zwei konfigurierbare Steckplätze, so daß Funkmodule aufgerüstet oder getauscht werden können, um sie an neue Technologien und gestiegene Anforderungen eines Unternehmens anzupassen. Das 3Com Wireless LAN Upgrade Kit ist für 802.11b oder 802.11a verfügbar und wird mit einem Funkmodul, einem Antennenbauteil und weiterem notwendigen Zubehör ausgeliefert, mit dem das Upgrade einfacher im Access Point installiert werden kann. Die neuen Access Points unterstützen 40-bit WEP and 128-bit Shared Key Encryption, IEEE 802.1x, EAP-MD5, EAP-TLS, EAP-TTLS und PEAP Authentifizierung und bieten somit umfangreichste Sicherheitsleistungen. Zur User-Authentifizierung unterstützen sie RADIUS Server. Zusätzlich bieten die Access Points Power over Ethernet nach dem vorläufigen Industriestandard IEEE P802.af. Connection für Connector:Tobit Software hat zum 1. April 2003 den DvISE Connector for Lotus Notes dem Spezialisten Conats GmbH mit Sitz in Landstuhl übertragen. Dessen Mitarbeiter entwickeln und supporten seit über 10 Jahren Anwendungen im IBM Lotus Notes und Lotus Domino-Umfeld. Conats wird den DvISE Connector for Lotus Notes weiterentwickeln und vermarkten und in Zusammenarbeit mit Tobit Authorized Resellern und Tobit Solution Partnern die Betreuung der Kunden mit IBM Lotus Domino Plattformen übernehmen. Da Conats Tobit zufolge auch einen sehr guten Service im IBM-Projektgeschäft biete, den Tobit als Hersteller von Standardsoftware in dieser Form kaum leisten könne, seien bestehende und potentielle Kunden dort in den besten Händen. Der DvISE Connector for Lotus Notes ermöglicht den Einsatz der Server Engine des Messaging Servers David als Messaging Backend von IBM Lotus Dominoservern. Mit dem Connector werden die Funktionen des Dominoservers um die Nachrichtendienste Fax, Voice, CTI und SMS erweitert. Dabei erfolgt der Empfang, der Versand und die Verteilung aller Nachrichten direkt im Lotus Notes Client. 04 Ausgabe 04/2003 17 thema des monats SECURITY IM WLAN Die Luft ist rein? WEP und EAP, VPN und IPsec im Wireless LAN Von Michael Hünten W Wireless LANs sind überall im Aufwind. Schneller und weiter denn je lassen sich im freien Äther die Datenpakete per Luftpost verschicken. Doch wie steht es dabei um die Abhörsicherheit der Daten? Weil niemals gewährleistet ist, daß die Luft wirklich rein ist, sind Sicherungsmechanismen unverzichtbar. 04 Ausgabe 04/2003 18 Neue Normen wie 802.11a/h und 802.11g sowie neue Durchsatzgeschwindigkeiten bis 54 Mbit/s werden dafür sorgen, daß die drahtlosen Netzwerke noch ”weitere” Verbreitung finden als bisher. Mit der Freigabe der High-Speed-Standards durch die RegTP werden allerorten noch größere Datenmengen über Funk versendet werden, froh, frank und frei, die bestehenden Netzwerk-Strukturen mit WirelessLANs nun endlich ungehindert durchbrechen zu können. Bei all dem euphorischen Wachstum stellt sich aber um so mehr die Frage nach der Sicherheit der Daten, deren Geheimnisse im frei zugänglichen Äther oftmals nur allzu arglos gelüftet werden. Die Erinnerung aber an geknackte WEP-Verschlüsselungen ist den Systemadministratoren, die auch für die Sicherheit im Wireless-Bereich geradestehen, immer noch im Gedächtnis. Wireless Security hat zurecht höchste Priorität. In unserem Beitrag beleuchten wir daher nicht nur die WEP-Verschlüsselung mit all ihren Erweiterungen, von 40/64 zu 128, WEPPlus und Dynamic WEP. Uns interessieren vor allen Dingen auch die Eigenschaften von IEEE 802.1x und dem damit verbundenen Extensible Authentication Protocol. Dabei werden die Untergruppen EAP-TLS, EAP-TTLS oder EAP-MD5 ebenso behandelt wie die Authentifizierung der Clients über RADIUS-Server. Die Frage, was es mit der SSID auf sich hat, und wie sicher VPN und IPsec in Verbindung mit Wireless LANs sind, wird gleichfalls erörtert. Ein Ausblick auf die neuen Übertragungsraten, die auf den deutschen Markt zukommen, gibt zudem eine kurze Übersicht über all die neuen Normen der IEEE, die unter den Buchstaben ”a”, ”h”, ”b” und ”g” gefaßt sind. Denn waren bislang für den europäischen Raum die IEEE b-Lösungen auf eine Datenrate von 11 MBit/s begrenzt, so bahnen für 2003 neue Standards nun endlich auch den Weg, für 54 MBit/s. Sicher durch die Luft Wireless LANs sind nicht nur auf dem Vormarsch, sie sind bereits überall zugegen. Ob an den sogenannten Hot Spots in Flughäfen, Bahnhöfen oder öffentlichen Gebäuden, ob im privaten und gewerblichen Netzwerk oder sogar bei der drahtlosen Standortverbindung im Metropolitan Area Network. Nachdem die 11 Mbit/sNetzwerke nach IEEE 802.11b für einen sprunghaften Anstieg durch den günstigen Einstieg in WLAN gesorgt haben, werden die jüngst zugelassenen Geschwindigkeiten bis 54 Mbit/ s nach 802.11a, h und g nun auch diejenigen in die Luft gehen lassen, die sich bislang aufgrund des geringen Tempos noch zurückgehalten haben. Mit in die Höhe steigen werden aber auch die Schwachstellen, wenn nicht konsequent auf Security im WLAN geachtet wird. Die Hersteller haben bereits viel unternommen, um die drahtlosen Netzwerke vor Angriffsversuchen zu schützen. Layer 2 Um Ihnen einen kleinen Überblick über die Möglichkeiten eines sicheren Wireless LANs zu geben, nennen wir Ihnen die wichtigsten Methoden. Die nachfolgenden Verfahren und Merkmale setzen auf den Data Link Layer auf, der Sicherungsschicht des OSI-Modells der ISO. Während der Layer 1 lediglich für den reinen physikalischen Transport und das Sendeverfahren - z.B. FHSS und DSSS zuständig ist, wird auf dem Data Link Layer 2 eine erste Zugangskontrolle möglich. SSID Die erste Stufe im Wireless LAN ist die SSID, der Service Set Identifier, und behandelt nichts anderes als einen Netzwerknamen. Nur wenn der Client 04 Ausgabe 04/2003 19 diesen hat, kann er sich ins entsprechende Netz einklinken. SSID steht nicht für Security, sondern lediglich dafür, ein Netzwerk durch logische Netzwerknamen zu unterteilen oder einzuteilen. Denn SSID beinhaltet keinerlei Privacy- oder Authentifizierungsregeln und kann zudem recht leicht geknackt werden. ACL Aus diesem Grunde greift die nächste Stufe hier ein, mit der Access Control List. In der Zugangsliste des Access Points (AP) werden die MAC-Adressen der zugelassenen Clients hinterlegt, so daß nur bestimmte Clients zugreifen können. Mittlerweile gibt es eine ganze Reihe Möglichkeiten, MAC-Adressen zu fälschen, so daß dies keine wirklich hohe SecuritySchwelle mehr ist. Der Nachteil ist, daß die MAC-Adresse die Identität des Users nicht eindeutig festlegt, denn MAC-Adressen sind physikalisch an ein Gerät und nicht an einen bestimmten Anwender gebunden. Sie ignorieren den, der das Gerät benutzt. Spätestens, wenn mehrere Mitarbeiter denselben Rechner als Arbeitsgerät verwenden - z.B. ein gemeinsam genutzter Laptop aus einem Rechnerpool - verliert die MAC-Adresse die durch die ACL beabsichtigte Bedeutung als Identifizierungsmerkmal. WEP Eine höhere Sicherheitsstufe wird mit der WEP-Verschlüsselung (Wired Equivalent Privacy) angestrebt. Der sogenannte WEP-Schlüssel besteht aus zwei Teilen. Der erste Teil ist vom Hersteller des Equipments vorgegeben, der sogenannte Initialisierungsvektor (IV), der eine Länge von 24 Bit hat. Beim WEP 40/64 besteht der zweite Teil aus einer 40-Bit-langen Zeichenkette, die vom Anwender eingegeben wird. WEP 128 geht darüber hinaus und verlangt eine 104-Bit-lange Zeichenkette. thema des monats AVAYA Wireless Wired Equivalent Privacy Sichere drahtlose Ethernet-Netzerweiterung Bei der WEP-Verschlüsselung werden die zu versendenden Daten (Dataframe) mit einer Checksumme versehen, die über ein CRC-32-Verfahren ermittelt wird (vgl. Abb. 1). Die Checksumme wird an den Datenframe angehängt. Mit dem RC4-Algorithmus wird nun dieser neue Frame verschlüsselt, in dem der Initialisierungsvektor und die 40- bzw. 104-Bit-lange Zeichenkette zu Hilfe genommen werden. Das Resultat hieraus wird mit den Frames verbunden, die die Checksumme beinhalten. Der IV wird ebenfalls mit den Frames verbunden und der Empfänger erhält dieses verschlüsselte Paket. Die AVAYA Wireless-Komponenten ermöglichen eine drahtlose Kommunikation zwischen Servern, Clients und angeschlossenen Peripheriegeräten. Nach 802.11b sind bis zu 11 Mbit/s zwischen 2,4 und 2,48 GHz möglich. Maximal zulässig ist in Deutschland derzeit eine Sendeleistung von 20dBi. Um den Versorgungsbereich von Ethernet-Netzen über die herkömmlichen Verdrahtungsmöglichkeiten hinaus zu erweitern, ist mit dem AVAYA Wireless Access Point 3 eine Wi-Fi-zertifizierte Plattform mit einer hochleistungsfähigen drahtlosen Anschlußtechnik für Ethernet erhältlich. Secure Client-Access und Wireless Backbone AVAYA Wireless bietet mit dem AP 3 als erweiterbarem Allround Access-Point eine hochperformante Lösung zur drahtlosen Kopplung von LAN-Segmenten. Der AP 3 ermöglicht sicheren Client-Access für mobile Benutzer und erleichtert die Bildung von Arbeitsgruppen. Die Kombination mit VPN-Lösungen bietet aber erst den gewünschten höheren Sicherheitslevel durch Unterstützung von ”WAN Quality IP Data Security”. WEP-Plus standardmäßig Mit dem WEP-Plus Release verbessert AVAYA die Sicherheit der schwachen WEP Schlüssel und entschärft dadurch einen zentralen Angriffspunkt. Die WEP-Plus genannte Abwandlung in den Access Points ist mit den neuesten Software Releases verfügbar und mit Standard-WEP kompatibel. Von erhöhter Sicherheit profitieren jedoch nur Systeme im Netz, die gleichfalls WEPPlus einsetzen. Zusätzlich können alle AVAYA Access-Points mit Paßwörtern vor unbefugtem Zugriff geschützt werden. Mit IP-Sec über VPN Für drahtlose Standardanwendungen genügt zwar WEP 128, im Unternehmensumfeld und bei erhöhten Sicherheitsanforderungen ist jedoch eine VPN-Software oder ein mediumunabhängiges Verschlüsselungsverfahren wie AVAYA VPNet oder der WatchGuard IPSec-Client empfehlenswert. Ein VPN auf IPSec Basis sichert den drahtlosen LAN-Zugriff durch eine 3DES-Verschlüsselung. Die Sicherheit steht und fällt jedoch mit dem Schutz der involvierten Private Keys, so daß man hiermit äußerst sorgfältig umgehen sollte. Auf Multiuser-Systemen sind die Lese- und Schreiberechte auf diese Dateien daher entsprechend zu beschränken. Zusätzlichen Schutz bieten Smartcards, die den Private Key unantastbar aufbewahren und RSA-Signaturen direkt auf dem Chip erstellen. Während die meisten Windows-Clients den Einsatz von Chipkarten bereits unterstützen, ist dies bei FreeS/WAN vorerst nur angedacht. Entweder integriert man daher die VPN-Funktionen in die Firewall selbst, oder diese leitet die für IPSec relevanten Pakete unverändert an ein dahinterliegendes Gateway aus der AVAYA-Produktreihe VPNet weiter. Der AVAYA Wireless AP 3 bietet dabei langfristigen Investitionsschutz aufgrund seiner Flexibilität und Interoperabilität. De-Chiffrierung Auf der Empfängerseite funktioniert das Prinzip umgekehrt. Der IV wird herausgelöst und dient auch auf dieser Seite zusammen mit dem Shared Key der 40- oder 104-Bit-langen Zeichenkette zur Dechiffrierung der übertragenen Daten. Der am chiffrierten Frame beigefügte Checksummenanhang wird nun von der Empfängerseite mit einer eigens ermittelten Checksumme - nach dem gleichen Prinzip wie beim Senderverglichen. Sollten die Checksummen hierbei nicht übereinstimmen, so wurde der Frame entweder unterwegs verändert, oder es liegt nicht derselbe Shared Key vor. An dieser Stelle sei darauf hingewiesen, daß beide Seiten, also Sender und Empfänger, denselben Verschlüsselungslevel haben müssen. So wird eine WEP128-Seite niemals den WEP40/ 64-Sender verstehen können. Beide müssen demzufolge entweder auf 40/ 64-Ebene oder eben ohne Verschlüsselung miteinander reden. WEP verwendet den RC4-Algorithmus, der seit 1987 verfügbar ist. 04 Ausgabe 04/2003 20 Angreifbar WEP ist vor allen Dingen durch die Tatsache angreifbar geworden, daß sich der IV- und WEP-Schlüssel, die nach dem RC4-Algorithmus berechnet werden, nach einer gewissen Zeit wiederholt. Daher kann sich im Prinzip jemand hinsetzen und ohne großen technischen Aufwand den ganzen Datenverkehr mitsniffen. Daten, die hierbei belauscht werden, können in aller Ruhe durchgesehen werden. Bei der Durchsicht einer gewissen Datenmenge fällt zwangsweise die Regelmäßigkeit des IV auf. Dazu kommt, daß der abgehörte Datenverkehr ja Sender und Empfänger betrifft und beide denselben 40/64- oder 128Bit-Schlüssel haben. Der Rest ist dann ”nur noch” eine Rechenaufgabe, um den Schlüssel in Klartext zu erhalten. Da in einer Wireless Umgebung die Clients meist denselben Schlüssel verwenden, wird die Entschlüsselung umso einfacher gemacht. WEPPlus WEPPlus ist eine Evolutionsstufe des WEP, welche vor allem von Agere Systems ersonnen wurde. Hierbei wird im gesamten Netz der Initialisierungsvektor von WEP Plus und nicht von WEP vorgenommen. WEP Plus soll verhindern, daß „schwache“ IVs im Netz auftauchen. Zwar sind WEPPlusKomponenten abwärtskompatibel zu WEP, doch um WEPPlus zu nutzen, muß jeder Teilnehmer dieses auch unterstützen. Dynamisches WEP Der statische Schlüssel bei der WEPVerschlüsselung ist ein Angriffs- Abb. 1: Prinzip der WEP-Verschlüsselung punkt, den man mit den beiden Verfahren ”dynamisches WEP” und ”PerPacket Keying” beseitigen möchte. Beim dynamischen WEP soll der Schlüssel unregelmäßig gewechselt werden, damit die Angriffsfläche kleiner wird. Das Per-Packet-Keying geht hier sogar noch einen Schritt weiter, indem jedes Paket seinen eigenen Schlüssel erhält. Nur wenn der Client die richtigen Schlüssel in der richtigen Reihenfolge kennt, kann er sie entziffern. Es wird somit schwerer, die Übertragungen zu knacken. Wichtig ist, daß alle Access Points und Clients dies im Netzwerk unterstützen. Layer 3 Im Network Layer, der Vermittlungsschicht auf Ebene 3 des OSI-Modells, können effektivere Methoden eingesetzt werden, um eine Datenübertragung zu schützen und durch eine möglichst hohe Schwelle den Zugang zu erschweren. Da es generell möglich ist, den Funkverkehr abzuhören und aufzuzeichnen, geht es in erster Linie darum, den Datenverkehr so zu chiffrieren, daß eine Entschlüsselung so aufwendig wird, daß sie sich schlicht nicht mehr rentiert und nur mit erheblichem Zeitaufwand zu bewerkstelligen ist. Zusätzlich bieten sich die Möglichkeiten der Authentifizierung an. Authentifizierung Abb. 2: Grundprinzip der Authentifizierung unter 802.11 Wir sollten uns zunächst einmal das Grundprinzip einer ”sauberen” Authentifizierung unter 802.11 vor Augen halten, bevor wir zu den speziellen Authentifizierungsmechanismen im Wireless LAN kommen (vgl. Abb. 2). Als erstes sendet der Client einen Probe Request, bis ein Access Point ihn mit einem Probe Response erwidert. Nach Erhalt des Response schickt der Client seinen Authentication Request und gibt sich zu erkennen. Auch hier erhält er einen 04 Ausgabe 04/2003 21 thema des monats Getunnelt über Funk und Kabel Sichere Kommunikation mit VPNline tuxGate Für kabelgebundene wie für drahtlose Netzwerke bietet die neue tuxGate der Compu-Shack Production eine universelle Kommunikationslösung mit Firewall Security, User-Authentifizierung und Virtual Private Networking mit 128 Bit AES Encryption auch im Wireless LAN. Die Embedded-Appliances realisiert hohe VPN-Sicherheit beim Netzwerkzugriff wie auch beim WLAN Access, für über 300 verschlüsselte Tunnel gleichzeitig. Universelle Sicherheitskonzeption Mit der Kommunikationsplattform tuxGate ist eine universelle Sicherheitskonzeption für Enterprise-Netzwerke gelungen, die unabhängig von der Infrastruktur für kabelgebundene wie für drahtlose Netzwerke alle notwendigen Security Features gleich mitbringt: RADIUS-Server, eine integrierte Firewall mit Stateful Inspection und Network Address Translation und performante AES Encryption. Die tuxGate vereint maximale Stabilität und hohe Sicherheitsstandards, sorgt für einfachste Bedienbarkeit über Web-Management und schafft Transparenz über eine grafische Netzwerkmatrix. 128-Bit AES Security im WLAN Durch den Einsatz der tuxGate kann nun auch den erhöhten Sicherheitsansprüchen im WLAN-Bereich entsprochen werden. Denn auch beim InternetZugang über Wireless LAN nutzt die tuxGate die RADIUS-Authentifizierung. Der Funk-Datenverkehr läuft über VPN, mit 128-Bit AES wirksam verschlüsselt. Unterstützt werden IPSec, IKE, RSA, PFS, 3DES und AES sowie eine eigene CA zum Generieren von x.509v3-Keys. Hierdurch wird ein Sicherheitsstandard erreicht, den herkömmliche, auf WEP basierende Access Points nicht bieten können, so daß auf die bislang üblichen, schwächeren Sicherheitsfunktionen WEP oder TKIP, wie sie herkömmliche Access Points bieten, verzichtet werden kann. Wireless Backbones zur gebäudeübergreifenden Kommunikation können mit einer sicheren Verschlüsselung versehen werden, ohne daß Performance-Einbußen entstehen. Kommunikation in jede Richtung Das Einsatzgebiet der Embedded-Appliance tuxGate reicht von Kabel- und Funknetzwerken über die VPN-Vernetzung von sicherheitssensitiven Bereichen bis zu öffentlichen Hot-Spot-Installationen oder dem Internet-Zugang über Wireless-LAN. Durch die integrierte Benutzerverwaltung können Zugangsmöglichkeiten für jeden wireless Client individuell festgelegt werden. Der integrierte Proxy Server optimiert den Internet-Zugang und stellt eine Authentifizierung bereit. Ein zentraler E-Mail Server für beliebig viele Domains bietet zudem E-Mail-Versand über SMTP und SMTP-AUTH, adressenbezogene Mail-Auswertung, LDAP-Server und Abwesenheitsbenachrichtigung. Der Virenscanner wird täglich online aktualisiert und schützt ein- und ausgehenden EMails vor Virenattacken. Response vom AP. Sobald der Client diesen Response erhalten hat, sendet er seinen Association Request an den Access Point, der im günstigsten Falle mit einem Association Response antwortet und Zugang zum Netz gewährt. RADIUS Eine unverzichtbare ”Autorität” in einem sicheren Netz, eine Instanz, bei der die Fäden zusammenlaufen, ist RADIUS-Server, in RFC 2865 detailliert beschrieben. Er verlangt Gewißheit über Client-Name, MAC-Adresse, das digitale Zertifikat und andere Mechanismen, mit denen - auch ein Wireless - LAN gesichert werden muß. Der RADIUS-Server verwaltet diese sicherheitsrelevanten Informationen und gewährt oder verweigert den Zugriff auf ein LAN oder WLAN. Dies geschieht im Wireless LAN dadurch, daß der Server in direktem Kontakt und permanenter Kommunikation mit allen Access Points steht, die im WLAN angeschlossen sind. Insofern wird er seinem Namen gerecht als Remote Authentication Dial-In User Service. Radius ist der unumgängliche Dienst, bei dem sich alle User einwählen müssen. Im WLAN geschieht dies über einen Accesspoint, der die Verbindung herstellt. IEEE802.1x Um diverse Sicherheitslücken zu schließen, wurde der IEEE-Standard 802.1x entwickelt. Es ist ein Authentifizierungsvorgang, der ursprünglich für das verkabelte LAN entworfen wurde. Der Standard schreibt vor, wie eine portbasierende Authentifizierung zu funktionieren hat (vgl. Abb. 3). Dies macht er im Zusammenspiel mit dem Extensible Authentication Protocol (EAP, siehe unten) und einem Authentifizierungsserver. Die Idee von 802.1x ist die, den Verschlüsselungscode so schnell und zufällig zu wechseln, daß ein 04 Ausgabe 04/2003 22 absichtliches Eindringen oder Hakken des Zuganges quasi unmöglich wird. Da anfänglich nur für Kabelnetzwerke gedacht, waren originär keine großen Sicherheitsansprüche vorgesehen, denn dort war es notwendig, physikalisch Zugang zum Netz zu erhalten. 802.1x bedeutet ”Port Based Network Access Control”, was im verkabelten Netz ja auch möglich ist. Aus diesem Grunde wurden nachfolgende Protokolle implementiert, um 802.1x auch im WLAN effektiv zu machen. Dabei muß betont werden, daß 802.1x als ein Framework konzipiert wurde, welches den Zugang zu Frame-basierenden Netzen auf PortEbene regelt, also für Ethernet, TokenRing, FDDI und auch für Wireless LAN. Wie beim EAP (siehe unten) kann hier kein Layer festgelegt werden. EAP Das Extensible Authentication Protocol (EAP) setzt auf dem Pointto-Point-Protocol (PPP) auf, um eine Authentifikation zu ermöglichen. PPP richtet die Verbindung zwischen Anfangs- und Endpunkt ein und ermöglicht es innerhalb seiner eigenen Protokollstruktur, daß eine optionale Authentifizierung startet, bevor die Network-Layer-Session startet. RFC2284 behandelt Point-to-Point EAP. Da EAP bereits im Layer 2 ansetzt und mit der Erweiterung TLS gar in den Layer 4, die Transportschicht, ”hineinragt”, kann im Grunde nicht genau festgelegt werden, zu welcher Schicht die EAP-Gruppe gehört. Insofern gibt es durchaus geteilte Meinungen, ob EAP überhaupt bei den Layer 3-Protokollen aufgestellt werden soll. Da aber EAP ein Bestandteil von 802.1x ist, scheint es sinnvoll, es unter dessen Erklärung einzufügen. EAP over LAN AAA Vom Extensible Authentication Protocol wird kein spezieller Authentifizierungsmechanismus während der Link Control Phase ausgewählt. Dies erlaubt dem Authentifizierungsserver, mehr Informationen zu sammeln, bevor er sich für einen bestimmten Mechanismus entscheidet. Der Standard 802.1x und EAP sind laut IEEE in der Lage, nahezu jede bestehende Authentication-Authorisation-AccountingInfrastruktur (AAA) einzubinden. Ihr Design ist so offen, daß sie im Grunde überall eingesetzt werden können. Voraussetzung hierfür ist natürlich, daß der Server mehrere Mechanismen unterstützt. Sollte er nur einen bein- Abb. 3: Client-Authentifizierung nach 802.1x 04 Ausgabe 04/2003 23 halten, so ist die Auswahl bedenklich eingeschränkt. Nachdem die Link-Verbindungsphase abgeschlossen ist, beginnt der Authentikator, der Radius-Server also, mit dem eigentlichen Authentifizierungsvorgang. Es werden ein oder mehrere Requests an den Client gestellt. Innerhalb des Request-Frames befindet sich ein Feld mit den Informationen, um welche Art von Request es sich hierbei handelt, z.B. MD5Challenge. Das EAP hat den Vorteil, daß es verschiedene Authentifizierungs-Mechanismen unterstützt und von vornherein, während der Link-AufbauPhase, mit Informationen versorgt ist. Es ist seiner Struktur nach offen für Erweiterungen und Ergänzungen. EAP muß jedoch nochmals ummantelt sein, um über das physikalische Netzwerk geschickt werden zu können. Dies geschieht mit der Erweiterung ”EAP over LAN”, kurz EOL. Dieser Zusatz sorgt für den Transport über das kabelgebundene wie auch über das drahtlose LAN. Einen Nachteil gibt es bei EAP jedoch. Nur der Authentifizierer, also der RADIUS-Server, und der Switchport bzw. der Access Point sind eindeutig authentifiziert, wenn der Vorgang startet. Der Sender oder der Client wird erst nach Abschluß des ganzen Vorgangs eindeutig zugeordnet. Der Nachteil also besteht, daß der Client, der den Zugang sucht, durch die Kommunikation mit dem Authentifizierungsserver eine ganze Reihe von Informationen erhält. Er erfährt, wo z.B. der AP ist, der ihm die Pakete weiterleitet, und eventuell auch näheres über den Authentifizierungsmechanismus, der hinter der Anmeldung steht. Aber genau dies macht sich auch gerne ein Eindringling zunutze. Mit einem eigenen Wireless Client sendet er Signale durch die Gegend, die von thema des monats WLAN-Sicherheit erweitert Wireless Access Point der HP ProCurve-Familie Mit dem neuen HP ProCurve Wireless Enterprise Access Point 520wl unternimmt HP ProCurve Networking, die HP Business-Unit für Netzwerklösungen, einen weiteren Schritt zur Vervollständigung der Netzwerk-Produktpalette. Der für mittlere und große Netzwerke konzipierte Access Point bietet dem Anwender die Möglichkeit, sein Netzwerk um eine mobile, drahtlose Plattform mit VLAN-Sicherheit zu erweitern. Von 802.11b zu 802.11a Der neue HP Access Point unterstützt nicht nur den 802.11b Standard mit 11 Mbit, sondern ist auch für künftige Funkstandards wie zum Beispiel 802.11a mit 54 MBit/s vorbereitet. Dazu ist er mit zwei Steckplätzen für Funkkarten ausgestattet, wodurch der betreffende Standard durch die jeweils eingesteckte Access Point-Karte gewählt werden kann. Sicherheits-Features Um die hohen Sicherheitsanforderungen der Industrie zu erfüllen, ist der HP ProCurve 520wl unter anderem mit diversen Sicherheits-Features ausgestattet. Die port-basierte Zugriffskontrolle nach IEEE 802.1x authentifiziert den Anwender, bevor er Zugriff zum Netzwerk erlangt. Durch ein Rotationssystem generierte, dynamische WEP-Schlüssel schützen die Daten. Dies garantiert eine optimale Absicherung des Datenverkehrs bei gleichzeitiger Vereinfachung des Netzwerkzugangs durch den Wegfall von Paßworteingaben. Zwei VLANs erweitern die logischen Netzwerke auf Layer-2 Ebene und bieten damit eine erweiterte Zugriffskontrolle auf Netzwerk-Ressourcen. Offen für Konvergenz Für den HP ProCurve 520wl gibt es als Zubehör die HP ProCurve Wireless 802.11b Access Point Card 150wl sowie die externe Antenne 100wl zur Vergrößerung der Reichweite. Der HP ProCurve 520wl ist eine wichtige Komponente der HP ProCurve Adaptive EDGE Architektur. Diese ermöglicht es Unternehmen, komplexe Applikationen für Mobilität, Sicherheit und Konvergenz durch die Nutzung intelligenter Technologie an der Netzwerk-Peripherie effektiver und kostengünstiger zu verwalten. Die Adaptive EDGE-Architektur trägt zur Aufhebung der bisherigen Trennung von Sprache und Daten im Netzwerk bei. Der HP ProCurve Access Point 520wl kann mit kostenlosen SoftwareUpdates aus dem Internet immer auf den neuesten Stand gebracht werden. Der Kaufpreis beinhaltet einen telefonischen Support sowie eine einjährige Garantie. Die Netzwerklösungen von HP werden im Internet unter http://www.hp.com/de/procurve ausführlich vorgestellt. einem Access Point entgegengenommen werden. Der AP und der Authentifizierungsserver starten dabei ihre Standardkommunikation und geben die Informationen an den Client weiter. Zwar wird der Eindringling abgelehnt, doch bis zu diesem Zeitpunkt sind schon eine ganze Reihe Pakete durch die Luft gesendet worden, die der ”aufdringliche” Client aufgenommen hat und die nun mit Arglist analysiert werden können. EAP-MD5 Was also kann gegen diese verbliebene Schwachstelle getan werden? Ein erster Ansatz ist die Ergänzung der EAP-Kommunikation mit einem MD5-Hash Algorithmus. Dieser kodiert ausgetauschte Daten. Der Empfänger der kodierten Nachricht wird zudem auch selbständig authentifiziert. Jedoch bleibt dies beim Sender der Daten aus. Auch wird dynamisches Schlüsselmanagement bei EAPMD5 nicht unterstützt bzw. verstanden. Dies hat zur Folge, daß die Möglichkeit einer ”Dictionary-Attacke” besteht, bei der ein Eindringling die Kommunikation vom Sender der Daten abfängt. Da der Sender die Daten nicht kodiert, erhält der Angreifer etliche Hinweise zum Netzwerk. Unterm Strich ist diese Methode nicht wirklich sicher. Es bestehen zu viele Möglichkeiten, an empfindliche Daten zu kommen. Ein großer Nachteil ist, daß die dynamischen Schlüsselvergaben eben nicht unterstützt werden. Denn dies wäre ein sehr wichtiger Ansatz gewesen, es Eindringlingen schwerer zu machen. EAP-MD5 wird in RFC2284 behandelt und ist dort festgelegt. Layer 4 Der Transport Layer, die Transportschicht des OSI-Modells, zeichnet sich dadurch aus, daß sie Sicherheitsfilter (Paketfilter) unterstützt. Die Transportschicht bestimmt die Art des Dien- 04 Ausgabe 04/2003 24 stes, der höheren Schichten zur Verfügung gestellt wird. Sie ist die erste echte „Ende-zu-Ende“-Schicht, da die Protokolle in den unteren Schichten nur zwischen benachbarten Maschinen bestehen. Aus diesem Grunde eignet sich die Transportschicht hervorragend für den Auf- und Abbau, sowie für die Überwachung einer Verbindung. EAP-TLS TLS steht für Transport Layer Security. Dieses in RFC2716 behandelte Protokoll ist ein von Microsoft unterstützter Authentifizierungs-Algorithmus. Das TLS-Protokoll nach RFC2246 bildet dessen Unterbau. TLS ist ein recht sicheres Authentifizierungs-Schema. Es ist in zwei Methoden unterteilt, in eine serverseitige und eine clientseitige Authentifizierung (vgl. Abb. 4). Der Vorgang ist folgender. Als erstes sendet der Client eine ”EAP-Start-Nachricht” an den Access Point. Dieser antwortet mit der Frage nach der Client-Identität. Daraufhin sendet der Client seinen Network Access Identifier (NAI), der seinen Usernamen beinhaltet, in- nerhalb einer ”EAP-ResponseMessage”. Diese Nachricht wird jetzt vom AP an den RADIUS-Server weitergeleitet, als ”RADIUS Access Request Message”. RADIUS Access Vom RADIUS-Server erhält der Client über den Access Point das digitale Zertifikat des RADIUS-Servers. Der Client vergleicht es mit seiner Datenbank und sendet es mit seinem eigenen Zertifikat zurück an den RADIUS-Server. Auch hier folgt zunächst noch ein Vergleich des Zertifikates mit der Datenbank. Zwischen Client und Server wird dann, mittels der Kommunikation über den Access Point, die Verschlüsselung vereinbart. Der AP erhält jetzt auch vom RADIUS-Server eine ”RADIUS Accept” Message, die den WEP-Schlüssel des Clients enthält. Eine ”EAP Success”Meldung geht dann vom AP zum Client, sie beinhaltet auch den Broadcast Key mit der Key Länge, verschlüsselt mit dem WEP-Key des Clients.Der Vorteil hierbei ist die umfangreiche Kommunikation zwischen Abb. 4: EAP-TLS Authentifizierung den drei Beteiligten: Access Point, Client und Server. Jedoch ist dies auch gleichzeitig ein Nachteil, denn es entsteht ein hoher Datenverkehr und ein Overhead. Durch die ständige Authentifizierung und das Senden der Zertifikate kann es zu Engpässen bei der Bandbreite kommen, auch weil die Zertifikate, wenn sich ein Client abgemeldet hat oder nicht mehr erreichbar ist, stetig über das Wireless LAN widerrufen werden. Ein weiterer Nachteil ist, daß der Client die EAP-Start-Nachricht unverschlüsselt sendet und auch die Identität nicht sehr geschützt wird. Ein Eindringling entdeckt hier beim Sniffen des Datenverkehrs den Beginn der Kommunikation und kann den gesamten Vorgang abhören und speichern. Zwar wird es eine erhebliche Zeit brauchen, um Zugang zum Netz zu erhalten, doch kann man auch mit unzähligen ”EAP-Start-Nachrichten” den AccessPoint an seiner Arbeit hindern. EAP-TTLS Die Tunneled Transport Layer Security (TTLS) wurde entworfen, um ältere Authentifizierungsmethoden zu unterstützen und dennoch die recht starke Verschlüsselung des TLS zu nutzen. Als erstes wird beim TTLS ein TLS-Tunnel etabliert, bevor mit den entsprechenden Authentifizierungsmaßnahmen die eigentliche Erkennung der Teilnehmer begonnen wird, die somit getunnelt stattfindet. EAPTTLS liegt als RFC-Draft vor. VPN im WLAN Wir haben nun die modifizierten Mechanismen kennengelernt, die ein Wireless-LAN vor fremdem Zugriff schützen sollen und für den allergrößten Teil der drahtlosen Netzwerke sind sie - im Bewußtsein der entsprechenden Sicherheitsstufe - auch vollkommen ausreichend. Dennoch gibt es sehr empfindliche Strukturen, die nach 04 Ausgabe 04/2003 25 thema des monats Wireless Security mit IPSec Firebox SOHO6 tc als VPN-Gateway im WLAN Bei der Erstellung eines Security-Konzepts sollte ein Wireless LAN prinzipiell als ein öffentliches Netzwerk angesehen werden. Da die WEP-Verschlüsselung bekanntlich nicht sicher ist, lassen sich Funkverbindungen erst mit IPsec durch die Kombination von WLAN- und VPN-Technologien wirkungsvoll absichern. Die WatchGuard Firebox SOHO6 tc gewährleistet deren Interoperabilität, die durch den WiFi-Standard bei Wireless LAN und die Einhaltung der RFCs bei IPSec gegeben ist. Firewall und VPN-Gateway WatchGuards Internet-Sicherheitslösung Firebox SOHO6 tc ist eine einfach anzuwendende und leicht zu administrierende Kombination aus einer Stateful Packet Inspection Firewall mit einem Durchsatz von 75 Mbps und einem VPNGateway für Tele- und Heimarbeiter sowie für kleinere Filialen, die schnellen und sicheren Zugriff auf die Netzwerkressourcen ihres Unternehmens benötigen. Dank ihrer intuitiven Benutzeroberfläche verringert die WatchGuard Firebox SOHO6 tc Zeit und Kosten beim Installieren und Verwalten sicherer Zugriffsverbindungen und verwirklicht mit 3DES VPN bei 20 Mbps eine hochperformante Security-Lösung, welche den Wireless Stand 802.11b abdeckt. Content Filter und Failover Protection Der einzigartige LiveSecurity Service garantiert regelmäßige Software Updates, Gefahrenmeldungen, technische Unterstützung und aktuelle Neuigkeiten und Ratschläge. Optional kann die WatchGuard Firebox SOHO6 t c von 10 auf 25 User erweitert werden. Ein Mobile User Client und ein Web Content Filter - der SOHO6 WebBlocker - sind ebenfalls erhältlich. Das Dual ISP Port Upgrade garantiert eine konsequente Failover Protection für das Netzwerk. Wenn die primäre ISP-Verbindung ausfällt, übernimmt die zweite Verbindung automatisch die Wiederherstellung des VPN-Tunnels. VPNforce Port Upgrade für sichere Verbindungen Der VPN IPSec-Tunnel wird von den Wireless Clients zum OPT-Port augefbaut. Dadurch ist eine Absicherung gegenüber dem Internet und dem lokalen Netzwerk gegeben. Das VPNforce Port Upgrade verstärkt die Corporate Policy für Telecommuters und Branch Offices mit einer Firewall zwischen dem Trusted Interface am 4 Port Switch und dem OPT-Port. Außerdem können sich die Benutzer einen Breitbandzugang teilen. Dabei wird ein separates Subnetz zur Verfügung gestellt. einem nahezu perfekten System verlangen. Hier greift das virtuelle private Netzwerk (VPN), welches sich in einem öffentlichen Netz wie dem Wireless LAN eine ”private Nische” sichert und nur bestimmten Anwendern einen Zugang zu den Daten erlaubt. VPN und IPsec Ein User, der einen VPN- oder IPsecClient implementiert hat, kontaktieren einen Access Point, indem er ihm seine Kennung mitteilt, z.B. SSID oder Mac-Adresse. Der AP leitet diese Anfrage an das Wired-Netz weiter, wo ein Gateway mit VPN- oder IPsec-Client steht. Dieses Gateway steht in Kontakt mit Radius-Server, der dem Gateway mitteilt, ob der User X mit der Kennung Y bekannt ist, und ob man eine Kommunikation erlauben darf. Sobald die Freigabe da ist, beginnt das Gateway, mit dem Client eine Verschlüsselung auszuhandeln, und im Anschluß daran erst mit dem eigentlichen Datenverkehr. Zusätzlich zum aufgebauten Tunnel kann auch jedes einzelne Datenpaket verschlüsselt werden, oder ein Hash mittels eines private Key einem Datenpaket vor- oder hintangestellt werden. Sobald ein Hacker ein solches Paket abfängt und verändert, wird auch der Dateninhalt verändert und die Authentifizierungsgegenstelle lehnt das Paket ab. Die zusätzliche Sicherheit durch VPNTechnologien, zieht in der Regel einen größeren Overhead und Management nach sich. Wie bei den verschiedenen, zuvor genannten Verschlüsselungstechnologien wird auch hierbei die Bandbreite beschnitten. Beispielsweise bremst der IPsec-Header. Eine Alternative dafür gibt es nicht, doch ist der Geschwindigkeitsverlust nur marginal. Schaltet man andere Verschlüsselungsmechanismen aus, da man ja bereits einen VPN-Tunnel aufgebaut hat, erhält man wieder etwas mehr Bandbreite zurück. Es gilt 04 Ausgabe 04/2003 26 aber generell die Faustformel: Bruttoübertragung (11 Mbit/s) minus Verschlüsselung minus bidirektionale Kommunikation = effektive Bandbreite. Das ABC der IEEE Zum Abschluß soll Ihnen ein kurzer Ausblick auf die alten und neuen Übertragungsraten, die auf den deutschen Markt zukommen, eine kurze Übersicht über das ABC der verschiedenen Normen der IEEE geben, die unter den Buchstaben ”a”, ”h”, ”b” und ”g” gefaßt sind, mit Ausblick auf "e" und "i". IEEE 802.11a und b Seit 1999 sind die Normen IEEE 802.11a und 802.11b verabschiedet. Während 802.11a zuerst nur eine Option blieb, die bis zu 54 Mbit/s im 5 GHz-Band vorsieht, aber erst noch verwirklicht und dann auch noch langwierig zugelassen werden mußte, konnte 802.11b von Beginn an einen wahren Siegeszug angetreten. Denn im zulassungsfreien 2,4 GHz-Band sind 11 Mbit/s auf 13 Kanälen möglich. Da auch immer mehr Firmen erkannt haben, daß sie mittels dieser Technik auch nahe Filialen und Nebenstellen anbinden können, ohne z.B. eine teure Laserverbindung oder Telefonleitung zu mieten, hat sich 802.11b auch im Outdoor-Bereich einen Namen gemacht. Hierzulande sind bei 11 Mbit/s etwa 2 bis 2,5 Kilometer bei direkter und freier Sichtverbindung machbar. Ende 2001, Anfang 2002 kamen dann in den USA die ersten schnellen Equipments für 802.11a auf den Markt, die 54 Mbit/s wireless übertragen können. In Europa war es hingegen bis Ende 2002 nicht ohne weiteres möglich, diese Artikel einzusetzen. Zum einen besetzte das europäische Hiperlan2 große Teile der Kanäle von 802.11a und zum anderen gab und gibt es in den oberen Frequenz- bereichen Überschneidungen, die unter anderem auch militärische Anlagen - vor allem Radar- störend beeinflussen können. Dennoch wurde es zumindest beim Hiperlan2 dermaßen ruhig, daß sich sogar dessen großer Protagonist Ericsson genötigt sah, auf 11a umzusteigen. IEEE 802.11a/h Erst Ende 2002 wurde es endlich auch in Deutschland möglich, 802.11a wie in den europäischen ETSI-Ländern einzusetzen. Jedoch nur unter der Prämisse, daß ausschließlich die ersten 4 Kanäle verwendet werden dürfen und die Sendeleistung 100 mW nicht übersteigt (vgl. dazu auch TN 03/2003). Dies hat aber zur Folge, daß es gerade für den Outdoor-Bereich kaum interessant ist, da großen Entfernungen nicht überbrückt werden können. Um endlich über die vollständige Frequenzbreite auch in Europa verfügen zu können, arbeitete die IEEE mit den europäischen Gremien eine Harmonisierung aus, die unter dem Namen 802.11h bekannt ist. Im Laufe von 2003 könnte es hier zu einer Einigung kommen. Pikanterweise ist mittlerweile auch aus den Ländern, die 802.11a uneingeschränkt nutzen, bekannt geworden, daß es dort Probleme mit den militärischen Anlagen gibt. IEEE 802.11g Neben 11a/h gibt es ebenfalls im Laufe von 2003 die IEEE-Norm „802.11g“. Sie soll ebenfalls 54 Mbit/ s erreichen, jedoch im bekannten 2,4 GHz-Band, in dem auch das bisherige 11b arbeitet. Die Vorteile sind hierbei, daß 11g kompatibel zu 11b ist, so daß alte Clients von den neuen APs verwaltet und verstanden werden können. Bei 11a/h ist dies jedenfalls nicht möglich. Hier werden sich viele Hersteller damit behelfen, daß sie Access Points mit zwei Kartenslots ausrüsten. Der eine kommuniziert mit den neuen Clients, der andere mit 11b-Clients. 04 Ausgabe 04/2003 27 IEEE 802.11 e und i Zum Schluß unseres Themas bleibt natürlich auch die Frage, was die Zukunft für die Security im WirelessLAN bringt? Nun, hier wartet man auf IEEE 802.11i. Hiermit sollen die bekannten Sicherheitslücken geschlossen und die künftigen Sicherheitsmaßnahmen geregelt werden. Auch IEEE 802.11e dürfte interessant werden, möchte man doch damit Quality of Service für WLANs regeln. Das dürfte vor allen Dingen künftige Sprachübertragungen betreffen, die ebenfalls schon möglichst bald über die drahtlosen Netzwerke laufen sollen. Spannende Zeiten also für Wireless LAN. Fazit Ein sicheres Wireless LAN ist möglich, sofern man weiß, welche Risiken vorhanden sind, und sich im Klaren ist, welchen Sicherheitsansprüchen man gerecht werden will. Natürlich ist ein Mehr an Sicherheit mit einem Mehr an Aufwand verbunden. Doch meisten ist der Aufwand gerechtfertigt, denn er schützt vor unangenehmen Überraschungen. Beratung, Bedarfsermittlung und auch eine Implementierung der Wireless-Komponenten durch ein erfahrenes Consulting-Unternehmen ist zum Schutze - auch der eigenen Investitionen - das Geld wert. Damit Sie sicher sein können, auch wenn die Luft nicht ganz rein ist. Know-how im WLAN Ein eintägiges WLAN-Seminar der Compu-Shack Production behandelt neueste Highspeed-Entwicklungen, den Einsatz von Antennen und WLAN-bezogene Sicherheitsaspekte. Neuwied: 6., 7. und 8. Mai Potsdam: 13., 14. und 15. Mai München: 3., 4. und 5. Juni Schulungsunterlagen sowie Verpflegung sind im Preis von 299,- € enthalten. Informationen erhalten Sie unter www.cs-production.de. thema des monats CISCO Angriffserkennung Teil 2: Erweiterte Sicherheitsfunktionen und Intrusion Protection Wir hatten im Schwerpunkt der letzten Ausgabe Intrusion-Detection-Systeme vorgestellt. Während dessen hat Cisco Systems ihr Portfolio an Sicherheitsprodukten um weitere IDS-Lösungen ergänzt und um neue Intrusion-ProtectionSysteme erweitert. Sie unterstreichen die integrierte Sicherheitsstrategie von Cisco ihre Netzwerk- und SicherheitsServices eng miteinander zu verbinden, um geschäftskritische Prozesse zu schützen. Unternehmen sehen sich nicht nur einer Vielzahl von wirklich ernstzunehmenden Gefahren ausgesetzt, sondern stehen bei der Angriffserkennung leider manchmal auch falschen Alarmen gegenüber. Der Wert der IntrusionDetection-Technologie ist unbestritten, doch manch einer befürchtet, zuviel Zeit darauf zu verwenden, falsche von echten Attacken unterscheiden zu müssen. Was also tun, wenn die sprichwörtliche Warnung vor dem Wolf, der da kommt, sich nicht bewahrheitet? Cisco reagiert auf diese Herausforderung mit der Vorstellung von neuen Intrusion-Detection-Lösungen. Schnelle Reaktion Mit der Cisco Threat-Response-Technologie (CTR) können falsche Alarm um bis zu 95 Prozent reduziert und echte Angriffe besser erkannt werden, um unnötige Eingriffe zu verhindern. Die intelligenten Angriffser kennungs-Techniken von CTR führen adhoc detaillierte Systemüberprüfungen durch, sichern Beweise und automatisieren den traditionell manuellen Proz eß der Ang riffserkennung für schnelle und kosteneffiziente Ergebnisse. Zwei neue Intrusion-Protection-Systeme erhöhen zudem die Leistungsfähigkeit von Netzwerk-IDS-Umgebungen. Der Cisco IDS 4250-XL Sensor bringt Gigabit-Performance in einem flexi- Erweiterungen blen Konfigurations-Chassis, das Intrusion Detection System Service Modul (IDSM-2) für die Cisco Catalyst 6500 Serie bietet hochperformanten, in das Netzwerk integrierten, Schutz mit 600 Mbit/s. IDS Software v.4.0 Die Cisco IDS Software bietet in der Version 4.0 erweiterte Erkennungsund Klassifizierungsmöglichkeiten für Angriffe gegen das Netzwerk. Dazu gehören unter anderem Stateful Pattern Recognition und die Erkennung von Protokoll- oder VerkehrsAnomalien. So können Angriffe exakter als bisher erkannt und entschärft werden. Die neue Version ermöglicht darüber hinaus einen durchgängigen Software-Einsatz auf allen Cisco IDSPlattformen inklusive der integrierten Catalyst Switch-Security-Module (IDSM-2). Neue Funktionen für das Intrusion Detection-Management, beispielsweise die verbesserte IDSPolicy-Sprache, reduzieren die Komplexität, vereinfachen den Betrieb. Das einheitliche Security-Monitoring umfaßt Security Event Correlation und Reporting sowie umfassende Konfigurationsfunktionen für eine durchgängige Verwaltung des gesamten Netzwerks. Eine Cisco PIX Firewall Software in der Version 6.3 und Hardware-basierende VPN-Beschleunigungs-Module bieten hochperformante, integrierte Security Services für konvergente Daten-, Sprach- und Video-Umgebungen. Die neue PIX Software bietet Unterstützung für Open Shortest Path First Routing (OSPF) und Virtual Local Area Networks (VLAN). Das erlaubt die vollständige Teilnahme an Load-Balancing-, Fast-Route-Konvergenz und Layer-2-Networking für erhöhte Verfügbarkeit, Performance und Integration. VPN-Performance Die VPN Acceleration Card+ (VAC+) verbessert die VPN-Performance um bis zu 400 Prozent. Die Karte unterstützt denAdvanced Encryption Standard (AES) mit Schlüsseln bis zu 256Bit-Länge und setzt so neue PreisLeistungs-Standards für Firewall-Lösungen in Unternehmen. Erweiterungen zum Cisco PIX-Easy-VPN-Service ermöglichen eine neue Ebene von Device- und Nutzer-Authentifizierung sowie erhöhte Skalierbarkeit mit verbesserter VPN-Flexibilität, wenn sie in den Cisco VPN 3000 Series Concentrator integriert werden. Zusammen verbessern diese neuen Ressourcen die Sicherheit und Produktivität, maximieren die VPN-Betriebszeit und reduzieren Kosten. 04 Ausgabe 04/2003 28 Cisco PIX Firewall Die Cisco PIX ermöglicht den sicheren Einsatz von VoIP- und Multimedia-Anwendungen mit verbesserter Unterstützung von acht VoIP-Protokollen. Außerdem werden sichere dezentrale Anruf-Bearbeitungs-Umgebungen unterstützt, wie sie von Service Providern durch den neuen Media Gateway Control Protocol Standard (MGCP) angeboten werden. Die Version 3.0 des PIX Device Manager (PDM) verbessert die Erkennung von Sicherheitsbedrohungen durch Datensammlung auf getesteten oder getriggerten Security Policies sowie Log Message Management. Vereinfachtes Remote-Management von Cisco PIX Firewalls über VPNVerbindungen erhöht die Effizienz und reduziert die Total Cost of Ownership. Seit März zu haben Die Cisco IDS Software Version 4.0 ist ab sofort für alle netzwerkbasierenden IDS-Lösungen erhältlich, kostenlos für Kunden mit SMART Net-Verträgen. Die Cisco Threat Response Technology (CRT) ist für alle netzwerkbasierenden IDS-Lösungen kostenlos. Neue Intrusion-Protection-Mangement-Funktionen stehen als Update zur CiscoWorks VPN/ Security Management Solution (VMS) zum Download bereit. Der Cisco IDS 4250-XL Sensor ist seit März erhältlich, ebenso das Catalyst 6500 IDSM-2-Modul für die Catalyst 6500-Serie. Auch für die Cisco PIX Firewall-Lösungen gibt es seit März etliche Neuerungen. So ist die Software Version 6.3 über die PIX Firewall Appliance Line für Kunden mit SMARTNet-Verträgen kostenlos zu haben. Die VAC+ Card ist als kostenlose Option für bestimmte PIX 515E, 525 und 535 Firewalls erhältlich, der Cisco PIX Device Manager in der Version 3.0 ist wiederum kostenlos für SMARTNet-Kunden. CITRIX Metaframe XP mit AVAYA Wireless Sichere Lösungen für mobile Clients und Workstations Compu-Shack macht mobil und bietet mit Citrix Metaframe XP und AVAYA Wireless bis Ende April - auch preislich - ein attraktives Komplettpaket, um das Arbeiten über Wireless LANs noch performanter zu gestalten. Compu-Shack schnürt dazu flexible und erweiterbare Bundles aus der Infrastruktur-Software Citrix Metaframe XP und AVAYA Wireless für den mobilen Client-Zugriff auf Anwendungen, Informationen und Web-Access. Anwender profitieren von einer hochleistungsfähigen Produkt-Kombination zur Steigerung der Kapazität ihres WLANs. Remote Computing at its best Diese Lösung für einen sicheren und schnelleren Zugriff auf Applikationen basiert auf den Microsoft Terminal Services unter Windows 2000 und verbindet das Citrix-Netzwerkprotokoll der Independent Computing Architecture (ICA) mit dem drahtlosen Netzwerk über den AVAYA Access-Point AP 3. Sie bietet damit für mobile Clients und Workstations außerordentliche Leistungswerte. Denn Anwender können mit der Software Citrix MetaFrame XP bandbreitenschonend via WLAN-Technologie auf bereitgestellte Daten im internen LAN zugreifen. Zudem können an öffentlichen Hot Spots über das Web beliebige Applikationen oder Informationen zu jeder Zeit und von jedem Ort abgerufen werden. Performance und Sicherheit Die WLAN-Technologie im Standard IEEE 802.11b begrenzt die Bandbreite für Übertragungen auf maximale 11MBit/s brutto. Somit sind ein aufwendigerer Datenaustausch oder hohe Client-Anzahlen pro Access-Point generell schwer realisierbar. Durch die Kombination der Wireless-Technik von AVAYA mit der Server-Client-Architektur von Citrix bietet sich aber die Möglichkeit, einen schnelleren und sichereren Wireless Client-Access zu realisieren. Citrix MetaFrame XP verbessert die Performance beim drahtlosen Zugriff auf Anwendungen, da nicht mehr komplette Applikationen über das Netzwerk transportiert oder heruntergeladen werden müssen, sondern die gesamte Anwendungslogik auf einem zentralen Server ausgeführt wird. Zwischen den mobilen Endgeräten - wie Notebook, Tablet PC oder PDA - und dem Server müssen ausschließlich Tastatureingaben, Mausklicks und BildschirmUpdates übertragen werden. Der Bandbreitenbedarf reduziert sich auf wenige kBit/s. Gleichzeitig wird durch Citrix Metaframe XP die Sicherheit des mobilen Zugriffs erhöht, da keine Daten auf dem Endgerät gespeichert werden. Zudem integriert Citrix Metaframe XP mit dem Secure Gateway eine robuste Authentifizierungs- und Verschlüsselungskomponente. Informationen zu den Komplettpaketen aus Citrix Metaframe XP und AVAYA Wireless finden Sie im Compu-Shack Fachhandels-Portal unter www.compu-shack.com. 04 Ausgabe 04/2003 29 h HOTLINE Aufgeräumt Patch-Service im Überblick Mit offenen Patch-Listen und der Patch-Suchfunktion auf der Monats-CD wollen wir etwas mehr Ordnung in das ausufernde Patch-Work bringen. Dazu haben wir - nach Herstellern getrennt - die Listen der empfohlenen und neu erschienenen Patches und Updates auf der Monats-CD abgelegt. Sie finden sie seit neuestem als offene Excel-Dokumente im Verzeichnis _PatchListen. So hat jeder benötigten Übersichten selbst. Damit haben Technik News Leser die freie Auswahl unter den gewünschten Herstellern, den verschiedenen Betriebssystemen, unter Backup-oder Router Software. Die Dateien lassen sich ausdrucken und weiterverarbeiten und bieten damit gewiß auch einen höheren Nutzen für die tägliche Arbeit. Offene Listen Die Listen der neu erschienenen Patches und Updates werden wir jeden Monat fortschreiben, so daß im Excel-Dokument ersichtlich ist, auf welcher Monats-CD eine bestimmte Datei zu finden ist. Damit hat nun das von etlichen Lesern beklagte, undurchsichtig gewordene Farbenspiel aus Rot, Grün und Blau ein Ende, das bislang die vorhanden oder aus Platzgründen entfernten Patches unterschieden hat. Die herstellerbezogenen Patchlisten sind nach Monaten sortiert, die einzelnen Files hinter dem Dateinamen kurz und knapp kommentiert. Die Listen der empfohlenen Patches werden wie gewohnt aktualisiert. Sie sind ebenfalls nach Herstellern getrennt auf der CD und werden ab jetzt nicht mehr gesondert abgedruckt werden. Patch-Finder auf CD Wenn Sie, ohne in die Listen zu schauen, wissen wollen, auf welcher Mo- nats-CD sich bestimmte Patches oder Updates befinden, gehen Sie über die Oberfläche der Technik News-CD zum Menüpunkt Patchdatenbank und dort auf die Option Auflistung aller Patches dieses Jahr e s . Hier geben Sie im Feld Patchname die gesuchte Datei ein und erhalten eine Auswertung, auf welcher CD sie zu finden ist. Wir hoffen, daß damit der individuelle Überblick im Patch-Service zur allseitigen Zufriedenheit verbessert wurde. TN Monats-CD 04/2003 Neue Patches und Updates von A bis Z HOTLINE BinTec B6301.bgd 990 KB B6301.x1x 1379 KB B6301.x2c 1651 KB B6301.x4a 1633 KB B6301.x8a 1690 KB B6301.zip 1376 KB Microsoft Q810847_64.exe 4277 KB Q810847_64_DE.exe 4276 KB Q810847DE.exe 2054 KB Q810847EN.exe 2050 KB Computer Associates QO34539.CAZ QO34951.CAZ QO34952.CAZ QO35241.CAZ QO35241.CAZ BMMACSSL1.exe 757 KB Eine neue Version des PROXY.NLM für den Bordermanager v.3.6 und 3.7 ermöglicht die SSL-Authentication auf für einen MAC-Browser. bytes oder Loader Version, Timesync. cfg, IO$LOG.err , Serial Number, ABEND.LOG auslesen. Die in diesem Update enthaltene Version ist für NW 4.x, 5.x und 6.x. DHCPCLNT.exe 112 KB Mit diesem DHCPCLNT.NLM für die NW 5.1 mit SP5 und NW 6 mit SP2 ist es dem Server, möglich eine IP-Adresse dynamisch zu beziehen und zwar sowohl beim Bootvorgang als auch im laufenden Betrieb. NAASUPD4.exe 827 KB In diesem Update sind alle Patches für die Novell Advanced Audit Services der NW 6 enthalten, inklusive NAASUP D3.exe. FCONFIG3.exe 172 KB Mit dem aktualisierten CONFIG.NLM können Sie die wichtigsten Server-Informationen wie Volume Size in Mega- Novell BMMACSSL1.exe 757 KB DHCPCLNT.exe 112 KB FCONFIG3.exe 172 KB NAASUPD4.exe 827 KB NFSADMN2.exe 1280 KB TRUST110A.exe 108 KB UCON941.exe 197 KB ZFS3SP1.exe 111917 KB TRUSTEE.nlm für die NW 4.x, 5.x und 6.x, mit dem Sie die Trusties eines Netware Servers in eine Datei schreiben können, um diese einzeln zu sichern. Es werden Probleme mit Volumennamen, die als letztes Zeichen einen Doppelpunkt haben, behoben und Fehler beim Parameter /SAVE ALL, bei dem jetzt nicht mehr die NSS_ADMIN Volumes mitgesichert werden. NFSADMN2.exe 1280 KB Admin Guide für die NFS Services v. 3.0 mit SP1. UCON941.exe 197 KB Das Modul UNICON.NLM in der Version 9.41 ist zu verwenden auf NW 5.1 mit Unix Print Services v.2.5. TRUST110A.exe 108 KB In diesem Update finden Sie das Tool ZFS3SP1.exe 111917 KB SP1 für ZenWorks for Server v.3.0 Patches 04 Ausgabe 04/2003 30 Bintec Router Software Neues Image in der Version 6.3.1 Die BinTec Access Networks GmbH hat als Nachfolgerin der BinTec AG für die X-Router und Bingo! DSL ein neues Software-Image in der Version 6.3.1 herausgebracht. Darin sind zahlreiche neue Features, Änderungen und Fehlerbehebungen enthalten. Neue Features • Implementierung des Simple Certificate Enrollment Protocol (SCEP) • RADIUS Preset IPSec Peers Unterstützung • Trace Funktionen für DSL Trace • QoS Möglichkeiten im LAN • Implementierung von Microsoft Point to Point Compression (MPPC) • MPPE mit Hifn (Hardware Kompression mit zusätzlichem Chip) • Bridging für Frame Relay Verbindungen • Implementierung eines X.25 TCP Gateway Änderungen • Callback-Möglichkeit über RADIUS Server • DNS Performance verbessert • Implementierung eines Keepalive Monitoring • Einige Router benötigen nun keine spe- zielle Leased Line License • Unterstützung des PPTP RFC 2637 Standards • MPPE V2 RFC 3078 Unterstützung • Zeitverzögertes Löschen einer IPSEC SA • Definition der Timeouts für TCP/UDP Sessions Fehlerbehebungen • Umfangreiche Fehlerbehebung im IPSEC-Breich • Import eines PKCS #7 Zertifikats war bislang im Setup Tool nicht möglich • QoS Transmit Rate Set to 0 • Bound Transmit Rate in Setup Tool • CAPI Probleme bei hoher CAPI-Auslastung • Frame Relay : Interface State steht auf Down • TFTP Session Fails • X.25 Reboot mit Ethernet Interface • Syslog Reboot • DHCP-Relay Inoperative • DNS Proxy Load Problem • X.21 Reboot nach der Konfiguration • Anzeigefehler im IP Accounting • PPPoE Reboot mit STAC Compression • X4000 Reboot Loop mit PRI Card Update auf Version 6.3.1 B6301.x1x 1379 KB X1000 und X1200. B6301.x2c 1651 KB X2100 und X2300 B6301.zip 1376 KB X3200 B6301.x4a 1633 KB X4000 B6301.x8a 1690 KB X8500 B6301.bgd 990 KB Bingo! DSL Die Liste der empfohlenen und neu erschienenen Patches und Updates finden Sie als offene Excel Dokument auf der Monats-CD im Verzeichnis _Patch Listen. Für manche ARCserve Patches wird der vorherige Einsatz von Service Packs oder früherer Patches vorausgesetzt. In den Listen der neuen und empfohlenen Patches stehen sie in Klammern. Die aktuelle Liste unterstützter Geräte finden Sie unter esupport.ca.com. bzw. unter http://support.ca.com/techbases/basb9/basb9_cdl.html. Brightstor ARCServe Backup v9 für Windows QO35294.CAZ Kumulativer Patch 2, behebt Probleme bei der Installation, bei Manager- und Datenbank-Problemen, bei den Agenten von Exchange, SQL, Oracle und SAP Oracle sowie Disaster Recovery. Außerdem bringt er die aktuelle Geräte-Unterstützung. ARCserve 2000 QO35241.CAZ (SP4) (engl.) Verhindert Dr. Watson, wenn der ARCserve Manager längere Zeit offen ist. ARCserve 2000 ASO QO35241.CAZ (SP4) (engl.) wie zuvor bei ARCserve 2000 ARCserve 7 für NetWare QO34952.CAZ (QO33421,QO34951) Behebt Anzeige-Probleme mit dem Geräte-Manager. QO34539.CAZ (QO33421) Verhindert Abend, der beim Kopieren von Dateien zwischen NW 4.x und NW 5.1 auftreten kann. neuer Geräte, wie in der Certified Device List beschrieben. ARCserve 9 für NetWare QO35628.CAZ Behebt Probleme mit Trustee/Attributes beim Wiederherstellen. ARCserve scannt jetzt mt SMS, damit der Fehler Failed to open oder read directory behoben wird. QO35631.CAZ wie zuvor, NWAgent scannt jetzt mt SMS. QO34951.CAZ (QO33421) Aktueller Patch für die Unterstützung Q810847_64_DE.exe 4276 KB (dt.) Q810847_64.exe 4277 KB (engl.) Service Pack 1 für den Internet Explorer 6 in der deutschen bzw. englischen Version für die Windows XP 64-Bit Edition. Q810847DE.exe 2054 KB (dt.) Q810847EN.exe 2050 KB (engl.) Service Pack 1 für den Micorsoft Internet Explorer 6 in der deutschen bzw. englischen Version. 04 Ausgabe 04/2003 31 h HOTLINE ENTERASYS Einbruchssicherung Teil 4: Enterasys Dragon Von Jörg Marx Nachdem wir die IDS-Produkte von Cisco kennengelernt haben, kommen wir diesmal zu Enterasys Networks, die eine integrierte, umfassende Sicherheitslösung bietet, die Unternehmen vor internen und externen Angriffen schützt. Unter dem Namen Secure Harbour wird von Enterasys eine ganzheitliche Sicherheitsarchitektur angeboten. Mit Enterasys Dragon stehen intuitive IDS Systeme als Network und Host Sensoren zur Auswahl. Z Zu den vielfältigen Sicherheitsfunktionen von Secure Harbour zählen die Identifizierung und Filterung von schädigendem Datenverkehr und Aktivitäten - sowohl intern als auch extern - und die AnwenderAuthentifizierung an jedem Zugriffspunkt im Netzwerk. Das Intrusion Detection-System spürt mögliche Angriffe auf. Eine Bandbreitenlimitierung dient zur Kontrolle und Verhinderung von Angriffen, während globale VPN-Lösungen für hochsichere Verbindungen sorgen. Die Single-Point-Sicherheit sorgt für die Kontrolle und Überwachung des Netzwerks. HOTLINE IDS-Management Der Dragon Enterprise Management Server bietet eine graphische WebOberfläche zur Administration der Enterasys IDS-Produkte, sowohl in kleineren als auch in großen und komplexen Umgebungen, unter Microsoft Windows, Solaris, SPARC und Red Hat Linux. Über den Policy Manager können alle Netzwerk- oder Hostsensoren mit geänderten Konfigurationen oder aktuellen Signaturen automatisch versorgt werden. Signatur-Updates werden von Enterasys regelmäßig und kostenfrei geliefert, eigene Signaturen können erzeugt und Prioritäten zu bestimmten Signaturen vergeben werden. Der integrierte Event Analyzer schlüsselt alle Events der eingetragenen Sensoren verständlich auf und informiert im Klartext über Aktionen, die durch das IDS ausgelöst werden. Das Real-Time Monitoring informiert Sie in Echtzeit, was sich im Netzwerk tut. Um interne oder externe Angriffe zu verifizieren, bietet der Management Server eine Art Session Rekonstruktion an. So kann der Administrator einen Event zurückzuverfolgen und sich die komplette Session eines Angriffs bis auf Paketebene ansehen. Network Sensor Die Dragon Network Sensor Appliance ist eine All-in-one Hardware-Lösung, die den Netzwerkverkehr mitschneidet und auf Angriffsversuche hin untersucht. Sie benutzt dazu ein Standard Pattern Matching, ein Protokoll-Monitoring und eine Anomalie-Analyse. Hierzu wird die Appliance an einen Switchport angeschlossen, der als Snifferport konfiguriert ist und somit den kompletten Datenverkehr des Switches mitbekommt. Bei einem erkannten Angriff können Sessions zurückgesetzt und zugehörige Pakete über eine ACLListe geblockt werden. Alle Funktionen, die der Enterprise Management Server bereitstellt, werden unterstützt. Somit ist auch die Bedienung sehr einfach. Die Dragon Network Sensor Appliances gibt es in vier Varianten. FE50 und FE200 mit 10/100- bzw. 10/100/1000-Kupfer-Interface haben einen Datendurchsatz von 50 respektive 200 Mbit/s. GE200 und GE500 für 10/100/1000-Fiber bringen es auf 200 bzw. 500 Mbit pro Sekunde. Der Netzwerksensor ist aber auch als eine reine Software Lösung erhältlich, auf Basis von Solaris v.8/9 und Red Hat Linux Kernel 2.4 Version 7.2/7.3. Dragon Host Sensor Bei den Enterasys Dragon Host Sensoren handelt es sich um reine Softwarelösungen, die auf einem laufenden System installiert wird. Angeschlossen an den Enterprise Management Server, stellen sie die optimale Ergänzung zum Netzwerksensor dar. Der Host Sensor ist ein Programm, das im RAM eines dezidierten Rechners läuft und genau auf das darunter liegende System zugeschnitten ist. Der Host Sensor liefert seine Informationen in Form von Syslog- oder SNMPInformationen an den Management Server. Das Security Eventlog wird analysiert, wichtige Konfigurationsdateien auf ihre Integrität hin überprüft und Sicherheitslöcher im Betriebssystem aufgespürt. Der Host Sensor für Windows überprüft die wichtigsten Services auf dem System wie DNS-, Mail- und Webserver inklusive des IIS-Servers. Wichtig ist die Prüfung eines neu startenden Services, um zu prüfen, ob es sich um einen legalen Service handelt oder nicht. Die Dragon Host Sensoren sind für die Windows-Betriebssysteme sowie für Solaris, SPARC und Red Hat Linux erhältlich. 04 Ausgabe 04/2003 32 COMPUTER ASSOCIATES ARCserve für Windows v.9 Probleme beim Einloggen über den ARCserve Manager Von Armin Schmuck Bei ARCserve v.9 für Windows NT bzw. Windows 2000 gibt es hin und wieder das Problem, daß man sich nicht über den ARCserve Manager einloggen kann, obwohl doch augenscheinlich alles richtig installiert wurde. Wir wollen Ihnen verraten, woran das liegen kann, und vor allem, wie Sie das wieder hinbekommen können. A Als erstes ist zu überprüfen, ob der entsprechende Dienst läuft. Dazu gehen Sie in die Systemsteuerung unter Dienste und schauen nach, ob die Benutzer-Authentisierung für ARCserve auch wirklich läuft, der Dienst heißt BrightStor AB Domain Server. Des weiteren müssen die Dienste BrightStor AB Service Controller und CA Remote Procedure Call Server aktiv sein. Sie können auch über den Task Manager kontrollieren, ob eine Applikation mit dem Namen Caauthd läuft. Andernfalls stoppen Sie den BrightStor AB Domain Server, starten ihn erneut und versuchen dann, wieder in den Manager einzuloggen. Wenn das Einloggen immer noch nicht gelingt, öffnen Sie ein DOS-Fenster, wechseln in das Verzeichnis $BAB_HOME und geben folgendes Kommando ein: ca_auth user getall. Es sollte etwas wie folgt erscheinen: User names: caroot. Wenn nicht mindestens ein Benutzer erscheint (caroot), oder wenn eine Fehlermeldung kommt, bleibt Ihnen meist nichts anderes übrig, als Log-Dateien zu erzeugen, die dann zu CA geschickt werden müssen, um das Problem zu analysieren. Checks Sie sollten verifizieren, ob die Namensauflösung funktioniert. Pingen Sie Ihren Server unter seinem Namen an. Wenn es nicht funktioniert, tragen Sie ihn in die Datei etc\ host ein oder konfigurieren Sie Ihr DNS. Um die IP-Konfiguration überprüfen zu können, geben Sie folgendes Kommando im DOS-Fenster ein: ipconfig /all > ipconfig. log. Mit dem nächsten Kommando kann überprüft werden, ob der Portmapper auf dem System läuft: netstat -na >netstat.log. Wie folgt checken Sie, welcher ARCserve Maschinendienst sich mit dem RPC Server-Dienst auf der Client-Maschine registriert hat. rpcinfo.exe -p Maschinenname >rpcinfo.log rpcinfo.exe -t Maschinenname 395648 1" > caauthd.txt Durch das Einbringen des Parameters > wird das Ergebnis in eine Datei geschrieben und nicht bloß am Bildschirm angezeigt. Es muß folgender Registry Key gesetzt werden: HKEY_LOCA L_MACHINE\SOFTWARE\ComputerAs sociates\BrightStor ARCser ve, gefolgt von Backup\Base\ LogBrightStor\[DWORD]Debug Logs ==1. Diese erzeugt eine Datei namens Rpc.log im Verzeichnis $BAB_HOME\logs. Paßwort Wenn Sie das Paßwort für caroot geändert haben, kann auch dies ein Problem darstellen. Wenn die Fehlermeldung invalid password beim Versuch einzuloggen erscheint, kann das folgende Gründe haben. Ihr Paßwort wurde nicht beim Setup geändert, weil Ihr Server entweder erweiterte Zeichen im Namen trägt oder das Betriebssystem in einer anderen Sprache als Englisch installiert ist. 04 Ausgabe 04/2003 33 Auch hierbei müssen die erzeugten Log-Dateien zu CA geschickt werden, um das Problem zu analysieren. Wenn Sie keine BrightStor ARCserve Backup-Kommandos auf der Konsole absetzen können, weil die Fehlermeldung nicht genügend Rechte erscheint, obwohl Sie als Administrator eingeloggt sind, haben Sie eventuell kein Äquivalent zu dem Primären Benutzer caroot von BrightStor ARCserve Backup. Sie können dies überprüfen, in dem Sie folgendes Kommando eingeben: ca_auth -equiv getequiv Administrator [Machinen name]. Wenn die Ausgabe ergibt, daß Sie kein Äquivalent besitzen, geben Sie das Kommando ca_auth equiv whoami ein. Es zeigt Ihnen den aktuell verwendeten Benutzernamen z.B.: Administrator@ma [email protected]. Um ein Äquivalent zu erstellen, geben Sie das Kommando ca_auth -equiv add [ntuser] [hostname] [BrightStor ARCserve Back up User] [BrightStor ARCserve Backup_username] [password for BrightStor ARCserve Backup user]. Ein Beispiel: ca_auth -equiv add Administrator machine 1 caroot caroot password1. Beachten Sie Groß- und Kleinschreibung. Verwenden Sie für den Benutzer und den Maschinennamen exakt die Schreibweise, wie sie beim Befehl ca_auth – equiv whoami angezeigt wurde. Danach sollten Sie an der Konsole die gewünschten Kommandos absetzen können. h HOTLINE CISCO LAN Switching Teil 3: Trunking im VLAN Von Jörg Marx In den letzten Ausgaben haben wir uns um die Grundlagen beim Cisco Switching bemüht. Wir haben uns das SpanningTree und die unterschiedlichen Port-Konfigurationen angesehen. Bei der Definition eines Switch-Ports werden wir öfter mit dem Begriff Trunk konfrontiert. Was verbirgt sich hinter dem Trunking? HOTLINE D Der Begriff des ”Trunk” ist leider nicht in irgendeiner Norm abgelegt, was manchmal zu Verwirrungen führt, wenn andere Hersteller ins Spiel kommen. Wozu ist ein Trunk überhaupt zu verwenden? In der Cisco-Terminologie steht ”Trunk” für eine Punkt-zuPunkt-Verbindung zwischen zwei Cisco-Geräten, über die unterschiedliche VLANs (Virtual Local Area Network) aufgebaut werden können. Über diese Trunk-Verbindung ist man in der Lage, mehrere VLANs eines Switches über nur einen Port an einen zweiten Switch oder Router weiterzureichen, und die fehlerfreie Kommunikation innerhalb des VLANs sicherzustellen (vgl. Abb. 1 und 2). Der Vorteil der Trunklösung liegt in der Flexibilität. Würde man in dem ersten Beispiel auf dem Switch a noch ein VLAN 3 definieren, hätte das zur Folge, daß ein weiterer Port zwischen Switch a und b geschaltet werden müßte, um auch dieses VLAN auf dem Switch b verfügbar zu machen. Im zweiten Fall kann über das eine Trunk-Interface jedes an Switch a oder b angeschlossene VLAN übertragen werden. Zur Definition eines Trunks auf einem Port muß bei einem Cisco Switch die Konfiguration geändert werden, hierzu mehr im zweiten Teil dieses Artikels. Definitionssachen Cisco bietet zwei unterschiedliche Einstellungen zur Trunk-Definition an. Zum einen gibt es das Inter-SwitchLink Protokoll (ISL), eine proprietäre Cisco-Lösung, zum anderen das 802.1q Protokoll, welches dem IEEEStandard unterliegt und somit herstellerübergreifend Verwendung findet. Dennoch hat das ISL schon seine Vorteile, zumal es lange vor dem Standard 802.1q verfügbar war und in Netzwerken, die rein aus Cisco-Komponenten bestanden, schon sehr früh die Möglichkeit bot, einen Trunk zwischen zwei Switches oder Router zu definieren. Seit der Definition des 802.1q durch die IEEE hat jedoch auch Cisco dieses Protokoll eingeführt. Die aktuellen Cisco Modelle unterstützen mittlerweile sogar nur noch das 802.1q Protokoll. Daher werden wir hier nur noch auf diesen aktuellen Standards eingehen. Tagging wird. Hierbei spricht man von dem Nativ VLAN oder default VLAN. Das ist standardmäßig das VLAN 1, solange kein anderes durch Konfigurationsänderungen dazu gemacht wird. In Abbildung 3 können Sie den FrameAufbau eines Tagging-Frames erkennen. Im Ethertype-Feld finden wir für das 802.1q Protokoll den Wert 0x8100, wichtig für alle, die sich solche Pakete einmal mit einem Sniffer ansehen wollen. Das gesamte TagFeld ist 15 Bit lang und besteht aus den 12 Bit für die VLAN-ID und 3 Bit, die für das 802.1p Priority Tagging reserviert sind. Ebenfalls wichtig zu wissen ist, daß die maximum Framesize eventuell auf 1522 Byte aufgebohrt werden muß, da das TagFeld zusätzlich in den Ethernet Frame eingebaut wird. Hier schlägt das Spanning-Tree durch, denn im Standard festgeschrieben ist ein SpanningTree für alle VLANs, das sogenannte Mono Spanning Tree-Netzwerk (MST). Da das jedoch in größeren Netzwerken zu Problemen führen kann, hat Cisco sich auch hierzu et- Wichtig im IEEE 802.1q ist für unserer VLAN das sogenannte Tagging. Hierbei handelt es sich um ein weiteres Feld im Ethernet Frame, in dem wir die nötigen VLAN-Informationen finden. Somit müssen alle Pakete, die zu einem bestimmten VLAN gehören, um das Tagging-Feld erweitert werden, bis auf eine Ausnahme. Im Standard ist festgelegt, daß ein VLAN-Pa- Abb. 1 und 2 : Switch-Verbindung ohne und mit Trunk-Port ket dieses Feld nicht unbedingt enthalten muß und dennoch durch den Trunk gereicht 04 Ausgabe 04/2003 34 was einfallen lassen und zunächst das PVST-Verfahren (Per VLAN Spanning Tree) eingeführt. Hierbei fährt jedes VLAN sein eigenes Spanning-Tree. Da jedoch herkömmliche VLAN-Netze mit MST nicht mit den PVST-Netzwerken verbunden werden konnten, hat Cisco das PVST+ ins Leben gerufen. Hiermit lassen sich ohne weiteres MST- und PVST-Netzwerke koppeln (vgl. Abb. 4). Cisco hat gerade im Umfeld des Trunking einige Besonderheiten eingebaut. Mit dem Dynamic ISL (DISL) Protokoll kann eine Seite eines Trunks dynamisch erkennen, welchen Standard die Gegenseite benutzt. So kann ein solcher Port je nach Einstellung der Gegenseite mit dem Trunk-Protokoll ISL oder mit 802.1q laufen, was die Flexibilität um einiges erhöht, gerade zum jetzigen Zeitpunkt, wo es Cisco Switches gibt, die nur ISL oder nur 802.1q unterstützen. Optionen Für die Konfiguration eines Trunks auf einem Catalyst Switch sind einige Einstellungsoptionen bedeutsam. Um mit einem CatOS Switch sowohl ISL als auch 802.1q verwenden zu können, benötigen Sie mindestens die Software-Version 4.1, die jedoch noch keine DTP-Konfiguration (Dynamic Trunk Protokoll) erlaubt. Dazu muß es mindestens die Version 4.2 sein. Wie schon erwähnt, unterstützt nicht jeder Cisco Switch ISL oder 802.1q, ein Catalyst 4000 z.B. arbeitet nur nach 802.1q, während der Catalyst 6000 beide Protokolle anbietet. Um sicher zu gehen, welches Trunk-Protokoll ein bestimmter Port unterstützt, sollte man mit dem KommandosSHOW PORT CAPABILITIES und der Angabe der Portnummer überprüfen, welche Protokolle angeboten werden. Die anschließende Ausgabe enthält z.B. folgende Zeile: Trunk encap type 802.1q,ISL In diesem Fall würde der ausgewählte Port beide Protokolle unterstützen. Doch Achtung, ein Trunk Port muß mindestens ein 100Mbit-Port sein, ein 10Mbit-Ethernet-Port kann nicht als Trunk arbeiten. Trunk Modes Bei der Konfiguration eines Trunk sind immer zwei Parameter zu setzen, zum einen der Trunk Mode und zum anderen die Trunk Encapsulation. Bei der Trunk Encapsulation stehen uns je nach Gerät bis zu drei Optionen zur Verfügung, das proprietäre Cisco Abb. 3: VLAN Tagging Frame-Aufbau ISL Protokoll, das IEEE Trunk-Protokoll 802.1q oder Negotiate geprüft, um zu prüfen welche Encapsulation auf der Gegenseite eingestellt ist. Beim Einstellen der Trunk Modes stehen uns vier Varianten zur Auswahl. Mit der Einstellung Trunk Mode ON wird der Port fest als Trunk-Port definiert. Er sendet periodisch DTP Frames an seinen Gegenüber, so daß Abb. 4: Spanning-Tree-Mechanismen in größeren Netzen dieser sich durchaus in einem automatischen Zustand Der Trunk Mode Nonegotiate befinden kann. Wichtig ist, daß im stellt den lokalen Port auf Trunking Status ON keine Überprüfung stattfinein, ohne mittels DTP Frames die det, ob die Gegenseite sich tatsächGegenseite davon in Kenntnis zu setlich im Trunk Mode befindet. Das zen oder eine Art Aushandlung stattbedeutet für Sie, wenn Trunk Mode finden zu lassen. Mit der Einstellung ON gewählt wird, dann auf beiden Trunk Mode OFF wird das Trunking Seiten. auf dem Port abgeschaltet. DTP Frames Im Trunk Mode Desirable fragt werden hier nur versendet, wenn der der lokale Port den remote Port, ob es Port auf OFF umgestellt wird und der sich hier um eine Trunk-Verbindung Status auf NO-Trunking wechselt. handelt. Ist die andere Seite im State ON, Desirable oderAuto wird die Bei den obigen Einstellungen sollten Sie folgende Regeln beachten. Die Verbindung immer in einer TrunkModesON, Nonegotiate und OFF Konfiguration enden. Es wird jedoch sollten immer in nur einem bestimmerst ein Trunk gebildet, wenn er mitten, festen Zustand enden. tels DTP-Frames einen der eben geIst eine Gegenseite falsch eingestellt, nannten Zustände erkannt hat. Diese kommt es zu einem fehlerhaften Link. Einstellung empfiehlt sich immer Ein Port, der auf A u t o oder dann, wenn man sich unsicher ist, wie Desirable eingestellt ist, sendet die andere Seite eingestellt ist. und empfängt in bestimmten AbstänIm Auto Mode fragt der lokale Port den DTP Frames von seinem Trunkmittels DTP Frames den remote Port, Nachbarn. Fällt nun die Kommunikaob eine Trunk-Verbindung hergestellt tion länger als 5 Minuten aus, kehrt werden soll. Ist die Remote-Seite auf der Port in den Non-Trunking Mode ON oder Desirable eingestellt, wird zurück. die Verbindung aufgebaut. Diese Einstellung ist prinzipiell nicht zu empBeim nächsten Mal gehen wir zur fehlen, da es je nach der Einstellung Trunk-Konfiguration direkt an die auf der Gegenseite nicht zwingend zu Cisco Catalyst Switches. einer Verbindung kommt. 04 Ausgabe 04/2003 35 h HOTLINE MICROSOFT Selbst ist der Mann Windows XP Service-Pack 1 auf Boot-CD Wenn es eine bootfähige Windows XP Installations-CD mit integriertem Service-Pack 1 gäbe, so würden Sie im Falle eines System-Crashes einige Stunden an Konfigurationsaufwand und Online-Kosten einsparen. Warum also nicht selbst eine erstellen ? Z Zunächst einmal benötigt man für die CD-Daten ca. 1 GByte Speicherplatz auf einer der Festplatten des Systems. Natürlich muß die Original Windows XP Installations-CD und das deutsche Service-Pack 1 aus der Datei xpsp1_de_x86.exe griffbereit sein, um zu guter letzt über den integrierten Brenner die gewünschte CD erstellen zu können. Weiterhin müssen Sie sich eine Binär-Bootdatei für Windows XP besorgen, die Sie in verschiedenen Web-Foren unter dem Namen boot.bin downloaden können, z.B. unter www.thetech guide.com/win2kbootcd. Durch die erwähnte Datei wird der bootbare Bereich einer CD-R spezifiziert. Wie Sie richtig vermutet haben, handelt es sich bei der gerade erwähnten Datei um eine Windows-2000Version, was uns aber nicht zu stören braucht. HOTLINE Step by Step Der erste Schritt besteht im Anlegen eines Verzeichnisses - z.B. WinXP auf irgendeiner Harddisk (Partition) des PCs. Im gerade erstellten Ordner müssen nun noch drei weitere Unterverzeichnisse erstellt werden, die sinnvoller Weise die Bezeichnungen CDRoot (Windows XP komplett), WinXP-Boot (Binärdatei) und WinXP-SP1 (Windows XP ServicePack 1) tragen sollten. Als nächstes wird der gesamte Inhalt der Original Windows XP Installations-CD in das Verzeichnis CD-Root transferiert, wobei auch versteckte Dateien mit kopiert werden müssen. Das Windows XP Service Pack 1 wird direkt in die Directory WinXP befördert, wo es anschließend mit Hilfe der folgenden Syntax im Ordner WinXP-SP1 dekomprimiert wird: C:\WinXP\ xpsp1_de_x86.exe-U-X:C: \WinXP\WinXP-SP1. Achten Sie auf jeden Fall auf die korrekte Schreibweise, die Dekromprimierung selbst ist in einigen Minuten abgeschlossen. Schließlich wird noch die Datei boot.bin ins VerzeichnisWinXPBoot kopiert. Der nächste Schritt besteht in der Verschmelzung der Windows XP Daten im Ordner CD-Root, mit den Dateien des Service-Pack 1. Öffnen Sie hierzu eine Eingabeaufforderung und geben den folgenden Befehl ein: C:\WinXP\WinXP-SP1\Up date\Update.exe -s:C:\Win XP\CD-Root. Brennvorgang Bevor der eigentliche Brennvorgang gestartet werden kann, gilt es im verwendeten Programm die richtigen Einstellungen vorzunehmen. Unser Beispiel orientiert sich dabei an der Brenn-Software Nero 5. Schließen Sie gegebenenfalls den Wizard und öffnen überDatei / Neu ein Projekt. Im sich nun öffnenden Fenster Neue Zusammenstellung wird im linken Bereich CD-ROM (Boot) selektiert. Der Pfad zur Dateiboot.bin geben Sie in der Eingabezeile von Imagedatei an, die Sie im Register Startoptionen finden. Die Voreinstellung unter Booteinstellungen / Art der Emulation muß auf keine Emulation geändert werden. Die korrekte Anzahl der zu ladenden Sektionen ist 4, den Rest der Einstellungen können Sie unverändert beibehalten. Anschließend wechseln Sie zur Karteikarte ISO. Dort angekommen, muß die Konfiguration unter ISO-Restriktionen lockern angepaßt werden, indem die Pfadtiefe und die Aufhebung der Zeichenbeschränkung bei den Pfadnamen durch Setzen von zwei Häkchen entsprechend eingestellt wird. Als nächstes wird im KarteireiterTitel unter der Sektion Bezeichnung ein Namen für das Projekt vergeben, z.B. WXPSP1. Beachten Sie bitte, daß die Option CD fixieren aktiviert ist, die Sie im Register Brennen finden. Unter dem Punkt Brennmethode darf nichts verändert werden, d.h. die Voreinstellung Track at Once bleibt bestehen. Nachdem Sie die Einstellungen vorgenommen haben, kann die CD nun endlich gebrannt werden. Wichtig ist, daß nicht der gesamte Ordner „CD-Root“ in das Brennverzeichnis gehört, sondern nur dessen Inhalt. 04 Ausgabe 04/2003 36 NOVELL Schalterstunde Switches und Parameter beim Boot-Vorgang Von Jörg Marx Einen Novell Server startet man seit je aus einer DOS-Partition heraus mit dem Programm Server.exe. An diesem Zustand hat sich auch unter NetWare 6 nichts geändert. Was aber, wenn es Probleme beim Starten gibt? Um dem Administrator für diesen Fall das Leben etwas leichter zu machen, hat Novell in dieses Programm etliche Schalter eingebaut, um den Boot-Vorgang zu verändern. E Eine Menge Parameter und diverse Schalter erlauben uns, den Serverstart - sozusagen mit einem Bindestrich beim Aufruf der SERVER.exe zu beeinflussen. Davon sind viele gar nicht so geläufig. Ich möchte Ihnen die wichtigsten Schalter zeigen und erklären. Fangen wir mit den einfachen an. SERVER –KF8 : wenn der NetWare Server mit diesem Parameter gestartet wird, werden Sie Schritt für Schritt durch die AUTOEXEC.ncf geführt. Das Laden eines jeden Moduls muß manuell bestätigt werden. SERVER –S <filename>: hiermit können Sie eine spezielle STARTUP.ncf-Datei zum Starten des Servers angeben. SERVER –A <filename>: hiermit geben Sie eine spezielle AUTOEXEC.ncf-Datei an. SERVER -z“/namecache size=xxx /cachebalance=yy /numbonds=zzzzz“: oder jeden anderen Parameter, um die NSS-Startparameter zu modifizieren. SERVER –LSxxx: legt die Größe der LOGGER.txt Datei in Kb fest. SERVER –NL: Sie alle kennen sicherlich beim Booten des NetWare Servers das störende Novell-Logo, welches sich über den ganzen Bildschirm erstreckt und keinen Blick auf irgendwelche Ladevorgänge oder eventuelle Fehler zuläßt. Mit dem obigen Schalter können Sie es komplett abschalten. SERVER –NA: unter bestimmten Bedingungen kann es manchmal bes- ser sein, wenn die AUTOEXEC.ncf nicht mit abgearbeitet wird, z.B. dann, wenn man keine Netzwerkkarten laden möchte oder die Parameter aus der AUTOEXEC.ncf von Hand eingeben möchte. Hiermit wird das Laden der AUTOEXEC.ncf unterbunden und nur die STARTUP.ncf ausgeführt. SERVER –NS: dieser Parameter ist der konsequenteste von allen. Er verhindert das Ausführen der STARTUP.ncf, was zur Folge hat, daß noch nicht einmal die Festplattentreiber geladen werden und auch kein Volume gemounted wird. Dieser Parameter kommt immer dann zur Anwendung, wenn schon das Laden der Festplattentreiber Probleme macht oder das Mounten des VolumeSYS in einen Abend führt. SERVER –SI: mit diesem Wert wird das Real-Mode Interrupt Sharing der Netweare deaktiviert. Hierbei handelt es sich um das Interrupt Sharing auf PCI-Devices. SERVER –V: mittels dieses Schalters werden die erweiterten Systeminformationen des Bootvorgangs aktiviert. Hiermit lassen sich bestimmte Fehler besser eingrenzen, da das System genauere Informationen liefert. 04 Ausgabe 04/2003 37 SERVER –D: wer mit NetWare arbeitet, kennt ihn, den Klammergriff [ALT, RIGHT/SHIFT , LEFT/SHIFT, ESC], um in den NetWare Debugger zu gelangen. Das ist immer dann nötig, wenn an der Serverkonsole keine Eingabe mehr möglich ist. Mit dem Schalter – D fährt man die SERVER.exe direkt in den Debugger, wenn man Änderungen vornehmen möchte, z.B. DS-Dateien umbenennen, um hierdurch das fehlerfreie Hochfahren des Servers zu gewährleisten. SERVER –NDB: hat ein Server Probleme mit der NDS, so können Sie ihn ohne diese starten, um anschließend in Ruhe auf die Fehlersuche gehen zu können. SERVER – B <filename>:mittels dieses Parameters können Sie das DS.nlm definieren, welches geladen werden soll. Das kann Ihnen helfen, wenn z.B. die Installation eines Support Packs fehlgeschlagen ist. Anschließend bootet der Server und kommt beim DS.nlm mit der Fehlermeldung Loader can not find Public Symbol, was darauf hindeutet, daß dieses DS.nlm die falsche Version hat. Jetzt können Sie die SERVER.exe mit dem Zusatz –B <filename> starten und dabei die korrekte Version dieses NLM angeben. Über SERVER –#<loadesta ge_number> können Sie den Server über sogenannte Loadstages laden. Novell bietet auch hierzu zahlreiche Möglichkeiten, die ich beim nächsten Mal erläutern möchte. h HOTLINE NETWORK ASSOCIATES Fenster zum Netzwerk Sniffer Technologies: Monitoring, Expertise und Decode Je komplexer die Netzwerke auch werden, um so mehr steigen die Anforderungen. Jeder Administrator kennt inzwischen die Klagen der Anwender, das Netzwerk sei zu langsam oder Dienste nicht erreichbar. Intelligente Sniffer Technologien bieten rasche Hilfe, um sich den grundlegenden Problemen zuzuwenden und sie zu lösen. Z Zusätzliche Protokolle und Funktionalitäten stellen die Administratoren vor immer neue Herausforderungen. Fehler auf Layer 1 und 2, die auf fehlerhafte Verkabelung schließen lassen, sind eher selten geworden. Die Probleme liegen zusehends bei den Anwendungen oder darin, daß Netzwerkressourcen nicht verfügbar sind. Um solchen Problemen auf die Spur zu kommen und sie möglichst schnell zu beheben, bie- Abb. 1: ten der Sniffer Distributed und der Sniffer Portable von Network Associates intelligente Funktionalitäten. allerdings sollte jedoch der Datenstrom minimiert werden. Hierzu wird ein Filter auf die MAC-Adresse des Clients geschrieben. Sniffer Dashboard Im ersten Schritt der Fehleranalyse sollte überprüft werden, ob der Client vom Switch Daten bekommt. Dazu Sniffer Dashboard HOTLINE Sniff IT Sie kennen das. Ein Anwender kommt morgens an seinen Arbeitsplatz und möchte sich wie gewohnt am System anmelden. Der erste Versuch scheitert und auch bei einem zweiten Anmeldevorgang bleibt der Erfolg aus. Er meldet sich bei der IT-Abteilung und schildert sein Problem. Der zuständige Administrator hat mit den Sniffer Technologies zwei Möglichkeiten. Er nimmt einen Sniffer Portable, um die Netzwerkverbindung vom Client zum Switch-Port zu messen. Oder aber der Datenstrom des Clients wird mit Hilfe des Switches zu einem Sniffer Distributed gespiegelt (Port Mirror/SPAN). Sieht der Sniffer den Datenstrom des Clients, kann er mit der Problemanalyse beginnen. Zuvor Abb. 2: Kommunikationsmatrix öffnet man im Sniffer das Dashboard. In einem Fenster wird der vorhandene Netzwerkverkehr in einer Verlaufskurve dargestellt (vgl. Abb. 1). Werfen wir einen Blick auf die Kommunikationsmatrix (vgl. Abb. 2), da unser Anwender ja darüber klagte, daß er sich nicht am System anmelden kann, so gibt diese sofort einen Überblick, mit wem der Client eine Verbindung aufbauen möchte. Aus der Kommunikationsmatrix wird ersichtlich, daß der Client genau wie in seinen Anmeldeskripten definiert - versucht, zu den einzelnen Servern im Netzwerk eine Verbindung aufzubauen. Allerdings treten, neben den für WindowsNetzwerke normalen Paketen, auch sogenannte ICMP-Pakete auf. ICMP-Pakete enthalten wichtige Hinweise für den Empfänger. Einige Betriebssysteme empfangen diese Meldungen zwar, reagieren aber nicht auf deren Inhalt. Auch wenn ein Betriebssystem nicht in der Lage ist, solche durchaus wichtigen Informationen zu verarbeiten, so sind diese im Datenstrom sichtbar und werden nun zur Fehleranalyse herangezogen. Sniffer Expert Da unserem Admin die Monitoring-Funktion des Sniffers einen wichtigen Hinweis gegeben hat, wo er mit dem Suchen beginnen sollte, ist es an der Zeit, den Sniffer Expert zu starten. Dieser 04 Ausgabe 04/2003 38 nimmt den Datenstrom auf und vergleicht ihn mit seiner Experten-Datenbank. Darin sind mehr als 300 Symptome und Diagnosen für die unterschiedlichsten Anwendungen und Topologien hinterlegt. Der Datenstrom wird mit diesen Informationen verglichen. Im Falle eines Fehlers ordnet der Sniffer diesen der dazugehörigen Verbindung zu und informiert den Anwender. Der Aufbau des Sniffer Expert ist angelehnt an das OSI-Referenzmodell. Die einzelnen Objekte repräsentieren Stationen, die aktiv am Netzwerkverkehr teilnehmen. Wichtig hierbei ist, daß der Sniffer passiv am Netzwerk ist und alle Informationen aus den Datenpaketen herausliest. Tritt ein Problem auf, so wird dieses der jeweiligen Schicht sowie dem dazugehörigen Objekt zugeordnet. Je nach Problem wird unterschieden in Symptom und Diagnose. Werfen wir einen Blick auf den Experten, so sehen wir, daß der Sniffer die ICMP-Pakete ausgewertet hat (vgl. Abb. 3). Die kontextsensitive Hilfe gibt dem Admin eine Erklärung zu der aufgetretenen Meldung und bietet Lösungsvorschläge an. Die Portnummer 53, die der Sniffer dort aus den ICMPPaketen herausgelesen hat, steht für den Dienst der Namensauflösung. Es hat den Anschein, daß der Client an Abb. 3: Expert mit Explain Files den Dienst Anfragen stellt, dieser aber nicht verfügbar ist. Um dies zu verifizieren, steht der Decode des Sniffer zur Verfügung. Decode Sniffer Der Decode zeigt dem Administrator die Dateninformationen aufgeschlüsselt und interpretiert (vgl. Abb. 4). Derzeit werden mehr als 450 Protokolle auf unterschiedlichsten Netzwerktopologien dekodiert und in übersichtlicher Form dargestellt. Die Filterfunktionen und Navigationshilfen im Sniffer unterstützen den Admin beim Auffinden von Paketen und Fehlermeldungen. Warum sich unser Anwender nicht anmelden kann, wird nun auch schnell klar. Der Client versucht, den Namen für den Exchange-Server mit Hilfe von DNS-Anfragen aufzulösen. Er geht seine Liste durch, die ihm mittels DHCP vom Netzwerk übermittelt worden ist, und fragt jede einzelne dieser Maschinen nach der IP-Adresse des Exchange-Servers. Einige der DNS-Server haben keinen gültigen Eintrag und teilen dies dem Client in einem Fehler-Record mit. Auf dem dritten DNS-Server, der dem Client ebenfalls für die Namensauflösung zur Verfügung steht, läuft der DNSDienst nicht. Die Information, daß der Dienst nicht zur Verfügung steht, teilt der Server dem Client mit der ICMP- Meldung ICMP-Port unreachab le mit. Nach einem Neustart des DNSDienstes und dem Bereinigen der DNS-Serverliste im DHCP-Server kann sich der Anwender wieder erfolgreich am Netzwerk anmelden. Fazit Dieses Beispiel zeigt, daß die Netzwerkanalyse per Sniffing aus drei mit einander verknüpften Bereichen besteht, dem Monitoring, der ExpertFunktionalität und dem Decode. Das Monitoring gibt einen Überblick über den vorhandenen Datenstrom und zeigt mögliche Engpässe grafisch an. Der Expert analysiert den Datenstrom und informiert sofort über aufgetretene Probleme. Der Deocde schließlich rundet das Ganze ab und zeigt die Paketinformationen, so wie sie auf dem Kabel aufgetreten sind. Der Sniffer Distributed und der Sniffer Portable beinhalten alle diese Funktionalitäten. Darüber hinaus kann der Sniffer Distributed aufgrund seiner RMON I/II-Möglichkeiten in vorhandene Managementsysteme integriert werden. Da die Netzwerke und Applikationen in heutigen Netzwerken immer komplexer werden, ist es notwendig, einen Blick auf die vielfältigen Protokolle und Applikationen zu werfen. Die Lösungen von Sniffer Technologies bieten ein komfortables Fenster in den Datenstrom. Windows 98: RPC Stub inkompatibel Abb. 4: Decode interpretiert die Dateninformationen Bei der Installation eines neuen Programmes oder Treibers unter Windows 98SE erhalten Sie die Fehlermeldung Error 35: Incompatible Version of the RPC Stub. Anschließend wird die Installation abgebrochen. Hervorgerufen wird dieses Problem, wenn die Systemdatei Oleaut32.dll durch eine Version ersetzt wird, die inkompatibel zu Windows 98SE ist, verursacht z.B. durch die Installation eines alten Programmes. In diesem Fall muß die Originaldatei wieder hergestellt werden, was am einfachsten mit der integrierten Systemdateiüberprüfung von Windows 98 geht, indem im Menü Ausführen der Befehl SFC ausgeführt wird. Danach wählen Sie den Menüpunkt Eine Datei von der Installationsdiskette extrahieren aus. 04 Ausgabe 04/2003 39 h HOTLINE SONICWALL Global Management System Teil 3: Installation der SGMS Managementsuite Von Hardy Schlink Wir hatten beim letzten Mal mit der Installation des Microsoft SQL Servers 2000 die Basis gelegt, um mit der Installation der Management-Software zu beginnen. Sehen wir also nun, welche Schritte unternommen werden müssen, um die Implementierung des SonicWall Global Management System für eine zentrale Verwaltung der Internet Security Appliances durchführen. D Die Installation der SonicWALL GMS Software untergliedert sich in zwei Phasen. In Phase 1 werden alle benötigten Dateien der Managementsuite auf Ihre Workstation transferiert. Phase 2 hingegen ist verantwortlich für das Setup der SGMS-Datenbank und für die Installation der Services. Zusätzlich sorgt sie für die problemlose Einbindung des JDBC-Treiber zur Nutzung des Microsoft SQL Server 2000. Bevor Sie mit der eigentlichen Installation beginnen, sollten Sie nochmals überprüfen, ob die globalen Anforderungen für SGMS erfüllt sind (vgl. TN 01/2003). HOTLINE Phase 1 Zuerst loggen Sie sich an der Windows Management-Workstation mit dem Administrator-Account ein. Sobald die SonicWall SGMS CD in Ihr Laufwerk eingelegt wird, können Sie die Installationsroutine durch Aufruf der Datei Install.htm starten. Nachdem die ersten beiden Screens durch die Betätigung der entsprechenden Buttons Start Installer und Next aufgerufen wurden, gelangen Sie zum Lizenzierungs-Screen. Durch das Akzeptieren der License Agreements und Next erreichen Sie den Bildschirm mit dem Namen Important Database Information, dessen Inhalt Sie in Ruhe durchlesen sollten. Im nächsten Schritt erfolgt die Auswahl des Installationsverzeichnis, z.B. C:\SGMS, welches Sie natürlich an Ihre Anforderungen anpassen können. Das nächste Fenster führt zu den SonicWall GMS Installation Options, wenn Sie die Auswahl Install SGMS Console System treffen. Diese Option sollte immer dann selektiert werden, wenn es sich um eine sogenannte Single Installation handelt, bei der die SGMS-Console wie auch die Agent-Systeme installiert werden. Arbeiten Sie hingegen in einem ”Distributed SGMS Deploy ment”, wird diese Option verwendet, um auf der ersten Management-Workstation die SGMS-Console zu installieren. Die dazugehörigen Agent-Systeme können dann entweder auf dem gleichen PC oder aber auf weiteren Rechnern implementiert werden. Soll der Administrator E-Mails über verschiedene Ereignisse erhalten, was durchaus eine wichtige Option darstellt, so tragen Sie unter SGMS Administrator Email 1 & 2 die entsprechenden Adressen ein. Im Feld SGMS Gateway IP erfolgt die Angabe der IP-Adresse des SGMSGateway, welches zwischen der Managementsuite und dem Netzwerk plaziert ist. Zum Abschluß gilt es noch, das SGMS Gateway Password zu definieren, danach wird über den Button Install die Kopierroutine der benötigten Dateien gestartet. Nachdem dieser Vorgang abgeschlossen ist, endet auch die Phase 1 der SGMS-Installation. Installation Options Phase 2 Durch Ausführen des Buttons Next Die Installations-Phase 2 der SGMSgelangen Sie zum SonicWall GMS Implementierung startet mit der DaInstallation Options Screen, in dem tenbank-Konfiguration. Mit Hilfe des Sie die Installation des Agent durch Windows-Explorer wird die BatchSelektieren des Menüpunktes Datei c:\<sgms_directory>\ Disable Agent Installation verhindern Abb. 1: Der SonicWall GMS Installation Options Screen könnten. Der nächste Bildschirm ermöglicht die Angabe von verschiedenen Informationen (s. Abb.1). Im Feld SMTP Server Address geben Sie die IP-Adresse oder den Hostnamen des SMTP Server an, unter Web Server Port erfolgt die Angabe des zu benutzenden Ports für den Zugriff auf den Web-Server (Default 80). 04 Ausgabe 04/2003 40 Abb. 2: Optionen der Database Setting Dialogbox bin\postInstall ausgeführt. Das sgms_directory bezieht sich hierbei auf den Installationsort der Files, den Sie wie oben beschrieben selbst angeben konnten. Anschließend öffnet sich die Database Settings Dialogbox, in der Konfigurationsdaten, wie in Abbildung 2 zu sehen ist, eingetragen werden müssen. Im Feld Database Vendor geben Sie den zu benutzenden Datenbanktyp an, in unserem Beispiel SQL Server 2000. Die IP-Adresse oder den Hostnamen des Datenbank-Servers tragen Sie unter Database Host/IP ein, beim JDBC-Treiber akzeptieren Sie bitte den Defaultwert. Auch die Voreinstellung für den JDBC-URL sollten Sie beibehalten. In den Feldern Database User und Database Password tragen Sie nun den Usernamen des SGMSManagers und das entsprechende Paßwort ein, welches Sie bei der Einrichtung des Microsoft SQL Server 2000 vergeben hatten. Nachdem alle benö- tigten Daten eingetragen wurden, starten Sie die Konfiguration der Datenbank durch Selektieren des Menüpunktes OK. Hiermit ist Phase 2 und somit auch die Installation des SonicWall SGMS abgeschlossen. Um die Funktionen der SonicWall Managementsuite nutzen zu können, ist ein Reboot der Management-Workstation notwendig. Das Installationsprogramm wird nun eine SGMS-Datenbank anlegen, die auf ein Minimum ausgelegt ist. In Abhängigkeit der zu verwaltenden Systeme kann es erforderlich werden, die Datenbankgröße zu ändern. Hierzu verwenden Sie bitte den Microsoft SQL Server Enterprise Manager. Nachdem der Rechner neu gestartet ist, überprüfen Sie, ob die folgenden SGMS-Dienste gestartet wurden: Scheduler, ViewPoint Scheduler, ViewPoint Summarizer und Web Server. Weiterhin sollten Sie kontrollieren, ob sich die Datei sgmscon fig.xml im Root-Verzeichnis der Festplatte befindet, z.B. C:\. Registrierung Bevor Sie SGMS nutzen können, muß die Software bei SonicWall über das Internet registriert werden. Voraussetzung hierfür ist eine funktionierende Internet-Verbindung der Management-Workstation. Um die Registrierung durchzuführen, rufen Sie einfach das SGMS-Icon auf ihrem Desktop durch einen Doppelklick mit der Maus auf, woraufhin die sogenannte Registration Page erscheint (s. Abb. Abb. 3: Die SGMS Registration Page 3). Anschließend tragen Sie die erforderlichen Kontaktdaten in den hierfür vorgesehenen Felder ein, zusätzlich ist es erforderlich, die Seriennummer der Management-Software anzugeben. Durch Ausführen des Button ”Update” wird nun die Online-Registrierung vorgenommen, nach deren erfolgreichem Verlauf die ”Login Page” erscheint. 04 Ausgabe 04/2003 41 In unserem Testszenario erschien nach der Eingabe der Zugangsdaten eine Meldung, daß zuerst noch ein Java Plug-In installiert werden werden mußte,und schon konnte das Login erfolgreich ablaufen. Der entsprechende Link zur Software wurde automatisch mitgegeben. Nach Installation des Java Runtime Environment in der Version 1.3.1 gelang ohne weiteres die Anmeldung in SGMS. SGMS Login Nach der Registrierung erfolgt der generelle lokale Login in die SonicWall Managementsuite durch den Aufruf des SGMS-Icon auf dem Desktop der Management-Workstation. Sollten Sie die Software aber von einer Remote Lokation starten, so geben Sie in den verwendeten WebBrowser die folgende URL ein: http://sgms_ipaddress/ sgms/login oder http:// sgms_ipaddress. Um die Anmeldung zu vollenden, geben Sie nun im erscheinenden Login-Fenster die User-ID (Default: admin) und das zugehörige Paßwort (Default: password) ein. Nachdem die Login-Daten durch Selektieren des Menüpunktes Submit übertragen wurden, erfolgt der Aufbau einer Authenticated Management Session, welche nach 10 Minuten wieder terminiert wird, sofern in dieser Zeit keine Aktivitäten stattgefunden haben. Der vordefinierte Timeout läßt sich später aber ohne Probleme an Ihre Bedürfnisse anpassen. Auch sollten Sie aus Sicherheitsgründen unbedingt das Paßwort des Administrator ändern, wobei die User-ID bis zu 24 alphanumerische Charakter enthalten kann. Wenn das Paßwort die Länge von 32 Charakter überschreitet, wird es automatisch auf 32 gekürzt. Somit ist unser Global Management Systems einsatzbereit. Damit nun mit Hilfe des SGMS die verschiedenen SonicWall Appliances verwaltet werden können, müssen diese für das Management konfiguriert und in das SGMS User Interface eingefügt werden. Beim nächsten Mal werden wir sehen, wie das geht. p PRAXIS MICROSOFT Get Secure - Stay Secure Teil 3: Patch-Verwaltung Von Patrick Fell Da Angreifer immer wieder nach möglichen Schwachstellen in der Betriebssystemsoftware suchen, ist es unmöglich, alle zukünftigen Angriffe vorherzusehen. Daher geben Unternehmen wie Microsoft immer wieder neue Patches für Schwachstellen im Code heraus, die erst nach der Veröffentlichung des Produktes aufgedeckt werden. Beschäftigen wir uns daher mit der Patch-Verwaltung von Windows 2000 Betriebssystemen. D PRAXIS Patches dienen zur Beseitigung von Bugs und zur Erweiterung der Funktionalität, schließen aber auch sehr oft aufgedeckte Sicherheitslücken in Betriebssystemen. Jedoch ist es mit Schwierigkeiten verbunden, komplex und zeitaufwendig, alle verfügbaren Patches zu verwalten. Zudem ist es nicht einfach zu bestimmen, welche Updates für die IT-Umgebung relevant sind, und kaum abzuschätzen, wie viele Tests vor der Bereitstellung durchgeführt werden können. Up to date Patch, Service Pack und Hotfix haben in ihrer Terminologie die gleiche Bedeutung und werden für - kleinere oder größere - Änderungen an der Software nach der Veröffentlichung verwendet. Der Prozeß zur Bereitstellung ist bei allen dreien gleich. Doch kann der Begriff genau- er definiert werden, denn Service Packs erhalten Erweiterungen für die Funktionalität des Computers, beheben bekannte Probleme und halten somit das Produkt auf dem neuesten Stand. Sie sind kumulativ, d.h. jedes neue Service Pack enthält alle Fixes der früheren sowie alle neuen Fixes und Systemänderungen, die seitdem empfohlen wurden. Sie müssen vor dem Installieren des neuesten Service Packs kein vorhergehendes installieren. Sicherheitspatches Hotfixes oder Codepatches werden von der Microsoft Gruppe QFE (Quick Fix Engineering) einzelnen Kunden bei schwerwiegenden Problemen zur Verfügung gestellt, sofern keine Problemumgehung (Workaround) möglich ist. Sie werden jedoch in regelmäßigen Abständen in die SPs integriert, somit allen Kun- den zur Verfügung gestellt und dann auch umfassend getestet. Sicherheitspatches schließen die Sicherheitslücken, über die Angreifer in das System eindringen können. Sie ähneln den Hotfixes, werden jedoch sehr oft als zwingend erforderlich angesehen und sollten umgehend bereitgestellt werden. Für den gesamten Prozeß der Patch-Verwaltung müssen Sie die Risiken gegen die Kosten für die entsprechenden Gegenmaßnahmen abwägen. Sie müssen das von der Schwachstelle ausgehende erhöhte Risiko abschätzen und entscheiden, welche Maßnahmen vor den Tests und der Bereitstellung eines Patches ergriffen werden sollen. Zudem sind die Patches nach Auftreten einer Lükke auch nicht immer sofort verfügbar. Security Toolkit In vielen IT-Umgebungen ist es sinnvoll, die Patches zentral über eine Maschine zur Verfügung zu stellen. Somit ist es möglich, nur diesen dedizierten Computer zu steuern und zu sichern. Beachten Sie dabei, daß diese Maschine eine hohe Verfügbarkeit besitzt, damit die aktuellsten Patches bereitgestellt werden können. Die Leistung ist eher sekundär zu betrachten. Dieser Rechner benötigt einen direkten oder indirekten Zugang ins Internet, um die neuesten Patch-Infos aus vertrauenswürdigen Quellen herunterladen zu können. Zudem muß der Computer Zugriff auf jeden Com- 04 Ausgabe 04/2003 42 puter haben, der auf dem aktuellsten Stand gehalten werden soll. Das Microsoft Security Toolkit kann hier sehr hilfreich sein. Es enthält wichtige Sicherheitsinformationen, aktuelle Service Packs sowie wichtige Sicherheitspatches für Windows NT 4.0, 2000, IIS und den Internet Explorer. Zudem beinhaltet es das Benachrichtigungstool für wichtige Aktualisierungen, das Critical Update Notification Tool. Mit diesem können Sie zur Windows Update-Site wechseln, um sicherzustellen, daß alle neuesten Patches installiert sind. Das Security-Toolkit ist über die TechNet verfügbar. Patch nach Plan Schauen wir uns die einzelnen Schritte zur Patch-Verwaltung etwas genauer an. Analysieren Sie zunächst die aktuelle Umgebung und die potentiellen Risiken und ermitteln Sie dann, welche Patches Sie bereitstellen müssen, um diese Risiken zu reduzieren. Planen Sie, welche Patches dazu bereitgestellt werden sollten. Sie sollten aber auch einen Rollbackplan erstellen. Bestimmen Sie die Personen, die die Tests und die schrittweise Bereitstellung durchführen sollen. Testen Sie alle gefundenen Patches, um sicherzustellen, daß sie in Ihrer Umgebung ohne unerwünschte Nebeneffekte ordnungsgemäß ausgeführt werden können. Machen Sie sich mit der Funktion des Patches und mit seinen Auswirkungen auf die Umgebung vertraut. Überprüfen Sie, ob der Patch wie geplant ausgeführt werden kann. Stellen Sie die richtigen Patches bereit, um die Sicherheit Ihrer Umgebung zu gewährleisten. Überwachen Sie nach dem Bereitstellen der Patches alle Systeme, um sicherzustellen, daß nicht trotzdem unerwünschte Nebeneffekte aufgetreten sind. Überprüfen Sie regelmäßig neu herausgegebene Patches sowie Ihre Umgebung und stellen Sie fest, welche Patches für Ihr Unternehmen erforderlich sind. Wenn Sie dabei neue Patches finden, die erforderlich sind, müssen Sie noch einmal bei der Analyse beginnen. Um sicherzustellen, daß alle Server fortlaufend analysiert werden und sie über die erforderlichen neuesten Patches verfügen, gibt es eine Reihe von Tools, die Sie hierfür verwenden können. Die aktuelle XML-Datenbank finden Sie unter http://download. microsoft.com/download/xml/ security/1.0/nt5/en-us/ mssecure.cab Um Hfnetchk verwenden zu können, müssen Sie über Administratorzugriff auf die Computer verfügen, die auf fehlende Patches hin überprüft werden, entweder als lokaler Administrator oder als Domänenadministrator. Hotfix Checker HKLM\Software\Microsoft\Windows Nt\Currentversion\hotfix nachzusehen. Jeder neu installierte Hotfix verfügt normalerweise über einen Schlüssel mit einem Namen beginnend mit Q, der dem Knowledge Base-Artikel zu diesem Hotfix entspricht. Kostenlose Tools Es gibt zwei weitere kostenlose Tools von Microsoft, mit denen Sie diese Informationen sammeln können. Qfecheck.exe/v gibt die Version des Service Packs und die installierten Hotfixes an und verrät zudem, ob der Patch ordnungsgemäß installiert wurde. Hotfix.exe -l zeigt die installierten Hotfixes an. Wenn Sie mehrere Hotfixes installieren, müssen Sie normalerweise den Computer vor jeder neuen Installation neu starten. Dies liegt daran, daß gesperrte oder geöffnete Dateien nicht ersetzt werden können, so daß sie in eine Warteschlange gelegt und erst nach dem Neustart des Systems ersetzt werden. QChain (aus der TechNet) ist ein Tool, mit dem Sie mehrere Hotfixes für einen einzigen Neustart miteinander verbinden können, anstatt zwischen den einzelnen Installationen einen Neustart durchführen zu müssen. Führen Sie für QChain das Hotfix-Installationsprogramm mit der Option -z aus, damit nach der Installation kein Neustart durchgeführt wird. Führen Sie anschließend QChain.exe aus, und starten Sie den Computer neu. Der H f n e t c h k , der Microsoft Network Security Hotfix Checker, ist ein Befehlszeilenprogramm (siehe Abb. 1), mit dem Sie überprüfen können, ob die aktuelle Konfiguration auf den Servern auf dem neuesten Stand ist und die Server über alle entsprechenden Sicherheits-Patches verfügen. Mit diesem Tool wird eine XMLDatenbank (Extensible Markup Language) direkt von Microsoft heruntergeladen, die eine Liste der neuesten Hotfixes enthält. Wenn Sie über keine Verbindung mit dem Internet verfügen, verwendet Hfnetchk eine lokale XML-Datenbank. Diese ist jedoch möglicherweise nicht aktuell. Wenn Sie Hfnetchk zum Überprüfen des Patch-Status verwenden, sollten Sie sicherstellen, daß es regelmäßig ausgeführt wird. In den meisten Umgebungen Abb. 1: Network Security Hotfix Checker, ein sollte ein Zeitplan für eine Befehlszeilenprogramm regelmäßige Ausführung erstellt werden (siehe auch Knowledge Base-Artikel Q303215). Wenn Sie das Tool hfnetchk in manchen Teilen der Umgebung nicht verwenden können oder möchten, können Sie auch auf andere Arte und Weise ermitteln, ob Hotfixes installiert wurden. Am einfachsten ist es, in der Registrierung unter dem Schlüssel 04 Ausgabe 04/2003 43 p PRAXIS Doch Vorsicht! Wenn nach dem Anwenden eines Service Packs oder von Patches zusätzliche Komponenten hinzugefügt werden wie etwa DNS, so müssen Sie das Service Pack und die Patches erneut anwenden, um sicherzustellen, daß die neue Komponente mit dem richtigen Patch ausgeführt wird. Sie können regelmäßig Sicherheitsbulletins von Microsoft beziehen. Unter www.microsoft.com/ technet/treeview/default. asp?url=/technet/security/ current.asp können Sie sich dazu registrieren lassen. Alle hier angesprochenen Tools sind übrigens im Microsoft Security Toolkit integriert oder können neben weiteren Security-Tools, unter http:/ /www.microsoft.com/tech net/treeview/default. asp?url=/technet/security/ tools/tools/stkintro.asp heruntergeladen werden. PRAXIS Es gibt eine Reihe von Tools, die Ihnen speziell für die Clientmaschinen bei der Patch-Verwaltung helfen. Wenn Sie eine Windows XP-Clientbasis ausführen, stellt das Windows Update eine einfache Möglichkeit dar, nach Fixes zu suchen und Fixes anzuwenden. Wenn Sie zur Windows Update-Website wechseln, wird der Computer gescannt. Sicherheitsrelevante oder Patches, die nicht installiert wurden, werden aufgelistet und können downgeladen werden. Sie müssen aber über Administratorrechte verfügen. Baseline Security Analyzer Der Microsoft Baseline Security Analyzer (siehe Abb. 2) ist eine Anwendung, die auch auf der TechNetWebsite her untergeladen werden kann. Er stellt sicher, daß Systeme unter Windows 2000 und XP auf dem neuesten Stand sind. Er scannt die Maschine(n) und gibt Hinweise auf fehlende Sicherheits-Patches, unsi- chere Kennwörter, Internet Explorer- und Outlook Express-Sicherheitseinstellungen oder Office-Makroschutzeinstellungen. Die Anwendung enthält Informationen zum vorliegenden Sicherheitsproblem und zur Behebung des Problems sowie Hyperlinks zu zusätzlichen Informationen. Abb. 2: Microsoft Baseline Security Analyzer Fazit Die meisten IT-Sicherheitsverletzungen sind auf Systeme zurückzuführen, die in Bezug auf Sicherheits-Patches nicht auf dem neuesten Stand waren. Eine zuverlässige Patch-Verwaltung ist überaus wichtig, wenn Sie die bestehenden Sicherheitsrisiken reduzieren möchten. Wenn Sie deren Verwaltung ernst nehmen, können Sie die mit Sicherheitsverletzungen verbunden Kosten vermeiden. Windows 98: Boot-Vorgang beschleunigen Nachdem eine Windows 98 Workstation in das lokale Netzwerk installiert wurde, dauert der Boot-Vorgang wesentlich länger als zuvor. Wie kann der Start des Systems beschleunigt werden? Windows 98 handelt mit anderen PCs im Netzwerk seine IP-Adresse aus, sollte kein DHCP-Server im LAN integriert sein, der normalerweise für die dynamische Vergabe der IPAdressen zuständig ist. Standardmäßig wird eine IP-Adresse aus dem 169er Bereich zugeordnet. Um nun den Bootvorgang der Arbeitsstation zu beschleunigen, sollten Sie allen PCs im Netzwerk eine eindeutige IPAdresse aus einem der reservierten privaten Bereiche zuordnen, z.B. 192.168.1.0 bis 192.168.1.254. Als Subnetmask dient in diesem Fall die Adresse 255.255.255.0. Windows XP: Domänen Eine Windows XP Professional Workstation bereitet Probleme im Zusammenhang mit einem Domänen-Controller unter Samba. Die Integration des Systems in die Domäne funktioniert noch, Benutzer können sich jedoch nicht anmelden. Verwendet man einen Windows 2000 DomänenController, so ergeben sich keinerlei Probleme. Hervorgerufen wird diese Problematik, weil unter Windows XP per Default der gesamte Netzwerkverkehr verschlüsselt wird. Es ist zwar möglich, mit der Windows XP Workstation einer Domäne unter Windows NT oder Samba beizutreten. Doch die nun folgende erste Anmeldung scheitert mit dem Hinweis, daß eine Connection zur Domäne nicht aufgebaut werden konnte bzw. das entsprechende Computerkonto nicht zu finden ist. Die Lösung des Fehlverhalten finden Sie bei den lokalen Sicherheitsrichtlinien in der Verwaltung unterhalb der Systemsteuerung. In den Sicherheitsoptionen der Lokalen Richtlinien finden Sie den Schalter Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln oder signieren ‘(immer), der standardmäßig aktiviert ist. Nach der Deaktivierung dieser Option kann sich die Windows XP Professional Workstation auch an einer Windows NT4 oder Samba Domäne ordnungsgemäß anmelden. 04 Ausgabe 04/2003 44 TRAINING Microsoft Server 2003 Windows 2003-Track und die neuen Zertifizierungen Das Warten hat ein Ende, der neue Microsoft Server 2003 ist ab dem 24. April 2003 verfügbar. IT-Fachleute können nun auch die neuen Kurse und Zertifizierungsreihen von Microsoft bei Compu-Shack Training nutzen. Neben einer Vielzahl von Kursen, die zum großen Themenfeld des kommenden Microsoft Server 2003 angeboten werden, gibt es auch bedeutsame Änderungen bezüglich der Zertifizierungsreihen. Besonders wichtig für alle IT-Fachleute, die jetzt mit einer MCSE- oder MCSA-Zertifizierung beginnen möchten, ist die Trennung von MC SE 2000 und MCSE 2003. Das bedeutet, daß Interessenten sich entscheiden können, ob sie die Zertifizierung noch komplett unter Windows 2000 machen möchten, oder aber alle Tests direkt auf Server 2003 ablegen möchten. Für diejenigen, die bereits MCSE/MCSA 2000 sind oder mit der Zertifizierung MCSE/MCSA 2000 angefangen haben, bietet Microsoft ab Juni 2003 die Möglichkeit, Update-Workshops zu besuchen, die auf zwei zugehörige Tests vorbereiten. Mit dieser Variante kann eine bestehende Zertifizierung einfach aktualisiert und mit nur zwei Test zum MCSE/MCSA 2003 ausgeweitet werden. Windows 2003-Track Derzeit bietet Compu-Shack Training folgende MOC-Kurse aus dem Windows 2003-Track an (siehe Tabelle). Weitere Kurse zum Thema Windows Server 2003 werden nach Verfügbarkeit in das Trainingsportfolio aufgenommen. Wir halten Sie in den nächsten Ausgaben der Technik News darüber auf dem laufenden. Für die Anmeldungen zu den Kursen sowie eine persönliche Beratung steht das Compu-Shack Training Team unter 02631-983-317 zur Verfügung. Aktuelle Informationen unter www.trai ning.compu-shack.com Kursbezeichnung Updating Support Skills from Microsoft Windows NT 4.0 to the Windows Server 2003 Family Kurs-Nr. MS 2270 Termin 05.05. - 09.05.03 12.05. - 16.05.03 23.06. - 27.06.03 30.06. - 04.07.03 Veranstaltungsort Potsdam München Neuwied München Preis in € 1.850,- Implementing and Supporting Microsoft Windows XP Professional MS 2272 02.06. - 06.06.03 16.06. - 20.06.03 21.07. - 25.07.03 11.08. - 15.08.03 Neuwied Potsdam München Neuwied 1.850,- Designing a Microsoft Windows Server 2003 Directory Services Infrastructure MS 2281 12.05. - 14.05.03 11.06. - 13.06.03 21.07. - 23.07.03 04.08. - 06.08.03 Neuwied Neuwied Potsdam München 1.190,- Migrating from Microsoft Windows NT 4.0 to Microsoft Windows Server 2003 Directory Services Managing a Microsoft Windows Server 2003 Environment MS 2283 MS 2275 Neuwied München Neuwied München Potsdam, Neuwied Neuwied Neuwied Neuwied Neuwied 1.190,- Maintaining a Microsoft Windows Server 2003 Environment 12.05. - 14.05.03 16.07. - 18.07.03 18.08. - 20.08.03 05.05. - 09.05.03 12.05. - 16.05.03 07.07. - 11.07.03 16.06. - 18.06.03 04.08. - 06.08.03 01.09. - 03.09.03 Implementing, Managing, and Maintaining a MS 2277 Microsoft Windows Server 2003 Network Infrastructure: Network Services 05.05. - 09.05.03 19.05. - 23.05.03 02.06. - 06.06.03 Neuwied Neuwied Neuwied 1.850,- Planning, Implementing, and Maintaining a MS 2279 Microsoft Windows Server 2003 Active Directory Infrastructure Implementing a Microsoft Windows Server MS 2276 2003 Network Infrastructure: Network Hosts 19.05. 23.06. 28.07. 23.06. 17.07. 07.08. Neuwied Potsdam München Neuwied Neuwied Neuwied 1.850,- Designing Security for Microsoft Networks MS 2830 Planning and Maintaining a Microsoft MS 2278 WinServer 2003 Network Infrastructure auf Anfrage auf Anfrage MS 2274 - 23.05.03 27.06.03 01.08.03 24.06.03 18.07.03 08.08.03 04 Ausgabe 04/2003 45 1.850,- 1.190,- 790,- 1.190,1.850,- p PRAXIS NORTEL NETWORKS Ausfallsicherheit Teil 2: Tips zu VLANs bei den Passport 8000ern Ausgereifte Technik macht die Passport-Familie zu den Topmodellen unter den Backbone Switches von Nortel Networks. Hier einige Tips zum praktischen Umgang mit Virtual LANs bei den High-Performance-Switches der Passport 8600er Serie und zum Passport 8100, einem reinen Layer 2 Switch D Der folgende Tip zum Einschalten des OSPF-Protokolls in einem VLAN ohne OSPF-Neighbours bezieht sich nur auf die Passport 8600er Serie mit der Software-Versionen 3.1.x oder niedriger. Das Einschalten des OSPFProtokolls in einem VLAN, welches keine OSPF-Neighbours besitzt, ist nicht zu empfehlen. Man könnte diese Aktion zwar durchführen, um sicherzustellen, daß die IP-Subnetze des VLANs in eine OSPF-Domain publiziert werden. Dies würde aber nur zu unnötigen Verarbeitungszyklen und Speichernutzung für die CPU führen. Besser ist es, hierfür sogenannte OSPF Announce Policies zu verwenden, um IP-Subnetze zu verbreiten. Dies hat zudem den Vorteil, daß die Anzahl der Adjacencies, die der Switch anlegen muß, reduziert wird. OSPF Announce Policies PRAXIS Das Anlegen einer OSPF Announce Policy wird über die Eingabe der folgenden Befehle im Command Line Interface (CLI) durchgeführt. vid stellt dabei die VLAN-ID dar, welche vorher für OSPF konfiguriert war, pid die Policy-ID: a) config vlan <vid> ip ospf disable b) c o n f i g i p p o l i c y o s p f announce <pid>create c) config ip policy ospf announce <pid>createaction announce d) config ip policy ospf announce <pid>createremove- route-source rip e) config ip policy ospf announce <pid>createremoveroute-source static Ab der Software-Version 3.2 für die Passport 8000er Serie können Sie das Feature OSPF Passive Inter face anstelle der OSPF Announ ce Policies verwenden, um IPSubnetze ohne OSPF-Neighbours zu veröffentlichen. Hierfür ist die folgende Eingabe in der CLI notwendig: config ip ospf interface <ip address> interface_type passive. Aging Timer staffeln In der Default-Einstellung benutzen alle VLANs den gleic hen MAC Address Aging Timer. Durch diesen Wert bekommt jede MAC-Adresse eine gewisse Zeit zugeteilt, nach deren Ablauf die ARP-Tabelle auf einen zugehörigen Eintrag überprüft wird. Wenn ein ARP-Eintrag existiert, so sendet der Passport 8600 Switch ARP-Pakete aus, um zu bestätigen, daß der Eintrag nicht länger gültig ist, bevor die ARP- und MACEinträge aus der Forwarding Database (FDB) entfernt werden. Wenn nun mehrere VLANs mit dem Default Aging-Timer konfiguriert wurden, und die Forwarding Database von jedem einzelnen VLAN eine große Anzahl von MAC-Adressen und zugehör ige ARP-Einträge enthält, so können die hieraus resultierenden ARP-Broadcasts zu Spitzenbelastungen der CPU führen und negative Auswirkungen auf die komplette Netzwerk-Performance haben. Es gibt zwar keine generelle Regel, wie ein Administrator die Aging-Timer der VLANs staffeln soll, um die oben erwähnten Nachteile zu vermeiden. Doch eine gute Faustregel ist, die Timer in Abhängigkeit der Anzahl der Workstations einesVLAN zwischen einer und zwei Minuten aufzuteilen. Die Default Aging-Time für alle VLANs beträgt 300 Sekunden oder 5 Minuten. Das folgende Beispiel soll Ihnen die CLI-Kommandos zeigen, die den Timer für drei konfigurierte VLANs jeweils um 120 Sekunden erhöhen. Dabei nennt das erste Kommando den Default-Wert und dient als lediglich als Referenz. Es muß nicht ausdrücklich ausgeführt werden: config vlan 1 fdb-entry agingtime 300 config vlan 2 fdb-entry agingtime 420 config vlan 3 fdb-entry agingtime 540 IP-Interface-Zuweisung Beim Passport 8100 handelt es sich bekanntlich um einen reinen Layer 2 Switch. Beim VLAN-Management dieses Gerätes ist es aber nur erlaubt, einem VLAN die entsprechende IPAdresse zuzuweisen. Um diese Aufgabe zu erfüllen, ist im Command Line Interface deshalb lediglich der Befehl config vlan <vlan id> ip create <actual ip addres s/subnet mask> einzugeben. Informationen zu den Passport Switches hält das Compu-Shack Team PM-Nortel bereit. Es ist telefonisch unter 02631 / 983 451 oder per E-Mail an [email protected] erreichbar. 04 Ausgabe 04/2003 46 INNOVAPHONE Über VoIP gesprochen Teil 1: TK- Anlagenverbund auf Messenständen Voice-over-IP gehörte zu den Schlüsseltechnologien der diesjährigen CeBIT. Wie VoIP-Lösungen auch in größeren Szenarien problemlos umsetzbar sind, demonstrierte der Sindelfinger VoIP-Spezialist innovaphone in Hannover mit einer eindrucksvollen Installation. Viele Partner, darunter auch die Compu-Shack, wurden mit dem innovaphoneStand über IP vernetzt und bildeten so eine standortübergreifende innovaphone PBX. I In Hannover konnten Besucher und Kunden live miterleben, daß auf dem IP-Protokoll basierende PBX-Systeme mit konventionellen TK-Anlagen in punkto Zuverlässigkeit und Verfügbarkeit absolut gleichziehen. Anders als diese sind IP-basierte TK-Anlagen jedoch auch für die Anforderungen der Zukunft bestens gerüstet. Auf der CeBIT wurden in einer eindrucksvollen Praxis-Demonstration verschiedene Partnerstände mit innovaphone Telefonie ausgerüstet und über das öffentliche Internet verbunden. Sowohl die IP-Telefonie als auch die Anbindung an das öffentliche Internet wurde mit innovaphone Equipment durchgeführt. Über Internet Auf allen beteiligten Ständen der Partner stand lediglich ein DSL-Anschluß mit einer dynamischen IPAdresse zur Verfügung. Die Lösung für dieses Szenario bot sich über den Aufbau eines VPN-Tunnels zum innovaphone Headquarter in Sindelfingen. Das VoIP Gateway IP3000, das auch die Hardware für die innovaphone PBX in Sindelfingen darstellt, übernahm zusätzlich die Funktion des PPTP Servers. Die Stände wurden mit den Gateways IP400 ausgestattet. Zum Anbinden an ein DSL-Modem wurde das PPPoE Interface der IP400 aktiviert. Zusätzlich wurde noch das PPTP interface der IP400 Gateways konfiguriert, das dann den VPN-Tunnel durch das öffentliche Internet zum innovaphone Netz herstellte. Hiermit wurde auch der Schutz der standübergreifenden Gespräche durch eine 128-Bit-Verschlüsselung gewährleistet. Standortkonzept Mit dem Standortkonzept der innovaphone PBX können nahezu beliebig viele innovaphone PBXen zu einem Verbund vernetzt werden. Die IP3000, die schon als VPN Router dient, wird auch als Hardware Plattform für die Master PBX eingesetzt. Demzufolge wurde auch jeder der Partnerstände auf der CeBIT als ein eigener Standort konfiguriert. Jeder Standort in einem innovaphone PBXVerbund kann auf zwei unterschiedliche Weisen konfiguriert werden. Einerseits kann die Slave PBX in den Rufnummernplan der Master PBX integriert werden. In dieser Konfiguration sehen alle Rufnummern von intern wie von extern so aus, als würden sie einer einzigen PBX angehören, z.B. zweistellige Durchwahlen von 10 bis 99, obwohl Telefone in fast beliebig vielen unterschiedlichen PBXen und Standorten angesprochen werden können. In diesem Fall wird die Konfigurationsdatenbank zum jeweiligen Standort hin repliziert. Die Verwaltung erfolgt sehr einfach und zentral. VoIP-Carriernetz Der andere Weg, Slave PBXen zu integrieren, besteht darin, jedem Standort eine gesonderte Prefix-Nummer zu vergeben, innerhalb derer dann der Rufnummernkreis unabhängig ver- 04 Ausgabe 04/2003 47 waltet werden kann. Da in der Installation auf der CeBIT jeder Partnerstand einen eigenen Rufnummernkreis haben sollte, wurde hier die zweite Variante gewählt. Alle StandortPBXen, die auf den dort installierten IP400 VoIP Gateways laufen, funktionieren auch völlig autark, unabhängig von der Funktion des IP-Links zur Master-PBX. Durch den ISDN-Basisanschluß der IP400 dient das ISDN dann als lokales Breakout ins öffentliche Netz. Darüber hinaus wurden alle Standorte an das VoIP-Carriernetz eines Partnerunternehmens angebunden, so daß alternativ Zugriff zum weltweiten Telefonienetz rein über VoIP möglich war. Gateway, PBX und Router Alle notwendigen Komponenten für so eine Installation wie die PBX-Software, das ISDN Gateway sowie die IP, DSL- und VPN-Router sind im innovaphone VoIP-Gateway bereits integriert. Über diesen Zugang können Telefone wie auch PCs von ihrem Standort aus auf das Internet zugreifen. Alle Partnerstände waren zudem untereinander direkt über in einem zentralen Telefonbuch notierte Kurzwahlnummern anwählbar. Ein eindrucksvoller Beweis aktueller Anwendungsmöglichkeiten innovativer VoIP-Technologien. Fragen zu aktuellen VoIP-Technologien beantwortet das Compu-Shack Business Development unter:Tel.: 02631/ 983-458, eMail: [email protected] p PRAXIS SECURITY Cisco SAFE Ein Sicherheits-Framework für Unternehmensnetze Von Klaus Lenssen Fragen Unternehmen nach einem durchgängigen Sicherheitskonzept, ist eine zufriedenstellende Antwort meist vielschichtig, da es kein Standard-Sicherheitskonzept gibt. Um IT-Verantwortlichen die Orientierung zu erleichtern, hat Cisco das Security-Framework SAFE für Unternehmensnetzwerke entwickelt V Verläßliche Sicherheitslösungen müssen an die Prozesse in einem Unternehmen angepaßt werden, und die sind in der Regel auf seinen Netzwerk-Infrastrukturen - für Intranet, Extranet und Internet abgebildet. Der Wert der verwendeten Informationen und die Bedrohungen, denen Informationen ausgesetzt sind, entscheiden, welche Maßnahmen getroffen müssen, und wie diese implementiert werden. Eine Sicherheitslösung muß sich an diesen individuellen Anforderungen orientieren. Dies ist im allgemeinen eine komplexe Aufgabe, an deren Lösung viele Unternehmensbereiche beteiligt sind, um eine nahtlose und ganzheitliche Umsetzung der Sicherheitspolitik des Unternehmens zu erreichen. Sicherheit ist aber in jedem Fall Chef-Sache. PRAXIS Dokumentiert Für die Beteiligten hat Cisco das Security-Framework SAFE für Unternehmensnetzwerke entwickelt. Dabei werden Informationen zur optimalen Vorgehensweise bei der Konzeption und Implementierung sicherer Netzwerke zur Verfügung gestellt. SAFE ist eine Familie von Dokumenten [1], deren Herzstück ein Handbuch für Netzwerkdesigner ist [2]. Die Reihe wird ständig erweitert und umfaßt neben aktuellen Themen wie NIMDA- und Code Red-Abwehr auch Designvorschläge für VPNs und Intrusion Detection Systemen. Mehrschichtig Der zur Gewährleistung der Netzwerksicherheit gewählte Ansatz zeichnet sich durch tiefgreifende Abwehrmechanismen aus. Das Augenmerk richtet sich primär auf die zu erwartenden Bedrohungen und Methoden zu deren Abwendung. Es ist nicht damit getan, lediglich eine Firewall an einer Stelle und ein Intrusion Detection System (IDS) an anderer Stelle einzusetzen. Ein mehrschichtiger Ansatz ist für die Sicherheit von Netzwerken vonnöten. Da- Infos zu SAFE [ad 1] unter www. cisco.com/go/safe bzw. [ad 2] unter www.cisco.com/warp/public/ 779/largeent/issues/security/ safe.html her ist die SAFE-Architektur modular aufgebaut. Unternehmensnetze setzen sich in der Regel aus folgenden Blöcken zusammen: Enterprise Campus-Netzwerk, Enterprise-Edge und Service Provider Edge. Diese drei lassen sich weiter unterteilen. Für jeden Block werden Anforderungen und die Sicherheitsmechanismen definiert, die sie erfüllen. So kann im Rahmen der Architektur die sicherheitstechnische Beziehung zwischen den einzelnen Funktionsblöcken des Netzwerks beschrieben werden. Dieser Aufbau bietet Designern die Möglichkeit, die Sicherheitsmechanismen Modul für Modul zu bewerten und zu implementieren, ohne die gesamte Architektur in nur einem Schritt bewältigen zu müssen. Aus dem SAFELabor können Stücklisten und Gerätekonfigurationen für jeden Block bezogen werden, so daß die Integration eines SAFE-Blocks in bestehende Netze schnell und unproblematisch möglich ist. Daraus ergibt sich der genannte mehrschichtige Sicherheitsansatz, bei dem selbst beim Ausfall eines Sicherheitssystems andere Mechanismen in Reserve sind und so das Netz immer optimal geschützt ist . SAFE basiert auf den Produkten von Cisco und ihren Partnern. Grundlegend Bei der Entwicklung von SAFE wurden die funktionellen Anforderungen heutiger Unternehmensnetzwerke zu 04 Ausgabe 04/2003 48 Grunde gelegt: eine Policy-basierte Sicherheit und Angriffsabwehr - eine Sicherheitsimplementierung in der gesamten Infrastruktur und keine Single-Box Lösung - ein sicheres Management und Reporting - eine Authentifizierung und Autorisierung von Benutzern und Administratoren für kritische Netzwerkressourcen eine Angriffserkennung für kritische Ressourcen und Subnetze - und schließlich eine Unterstützung für neue Netzwerkapplikationen, wie sie durch CiscoAVVID beispielsweise für Audio, Video, Voice und Data angeboten wird. Ein Designkriterium dabei ist auch, daß Sicherheitslösungen die Anwender und die Anwendungen nicht behindern und sich möglichst transparent in die Infrastruktur integrieren. SAFE eröffnet keine spektakulären oder gar ”revolutionären” neuen Wege im Netzwerkdesign, sondern zeigt sachlich und praxisnah auf, wie Netzwerke generell gesichert werden können, und wie dazu geeignete Mechanismen zuverlässig, skalierbar und redundant implementiert werden. SAFE beschreibt damit eine generische Sicherheitsarchitektur und ersetzt in keinem Fall die Sicherheitspolitik eines Unternehmens, sondern setzt diese ganz im Gegenteil zwingend voraus. Geschützt Lassen sich einzelne Komponenten eines Unternehmensnetzwerkes nicht kompromittieren, so kann dennoch ein Angriff gegen das gesamte Netzwerk gestartet werden. DDoS-Angriffe - Distributed Denial of Service Attacks - richten sich beispielsweise gegen die Verfügbarkeit von Unternehmensnetzen. Mit der Manipulation einer Vielzahl von ungeschützten Rechnern lassen sich im Internet große Mengen an Datenverkehr mit gefälschten IP-Adressen (IP-Spoofing) produzieren, die dann gezielt auf ein Firmennetz gerichtet werden, um das gesamte Netzwerk lahmlegen zu können. Häufig verwendete Formen von DDoS-Tools arbeiten mit ICMP-, TCP-, SYN- oder UDP-Flooding. Sie zeigten in der Vergangenheit beträchtliche Auswirkungen. Netzwer- ke sollten daher generell mit Angriffserkennung, Firewalls, Logging und aktivem Monitoring ausgestattet sein, um Angriffe rechtzeitig zu erkennen. Diese Sicherheitsvorkehrungen reichen bei einem DDoS-Angriff aber nicht aus. Dennoch gibt es Möglichkeiten, Schäden zu reduzieren. QoS-Maßnahmen im Netzwerk erlauben es, die verfügbare Bandbreite Diensten individuell zuzuteilen. So läßt sich Traffic-Policing dazu verwenden, nicht gewünschten Verkehr wie ICMP-, TCP-, SYN- oder UDPEcho gezielt zu verwerfen. Dadurch erreicht solcher Traffic das Unternehmensnetz nicht mehr und kann somit auch nicht mehr zu DDoS-Zwekken mißbraucht werden. Filterung gemäß RFC 2827 und RFC 1918 schränken die Möglichkeiten für IPSpoofing weitestgehend ein und reduzieren so weiter das Risiko. Proaktiv Applikationen sind fehleranfällig. Solche Fehler können gutartig sein, etwa dann, wenn sie lediglich dazu führen, daß ein Dokument im Druck merkwürdig aussieht. Sie können aber auch schwerwiegender Natur sein, wenn beispielsweise durch einen Fehler die Kreditkartennummern auf dem Datenbankserver per Anonymus FTP abgerufen werden können. Eine Vielzahl dieser Probleme können mit Hilfe von Intrusion Detection Systemen proaktiv erkannt werden. IDS können Angriffe mit Signaturen oder mit Hilfe von Heuristiken oder künstlicher Intelligenz aufspüren. Wir haben letztens die host- und netzwerkbasierten IDS vorgestell. Das Cisco-IDS ist ein netzwerkbasiertes und verwendet eine Signatur-Datenbank mit mehr als 300 bekannten Angriffsmustern. Außer der reinen Erkennung und der sofortigen Meldung von Angriffen oder Unregelmäßigkeiten kann ein IDS auch aktiv reagieren. Im einfachsten Fall wird die verdächtige Verbindung mittels TCP-Reset beendet. Eine weitere Methode, um Angreifer auszusperren ist Shunning. Hierbei wird vom IDS eine temporäre Access Control Liste (ACL) auf dem EdgeDevice generiert, die den Verkehr von verdächtigen Quellen für einen bestimmten Zeitraum blockt. Fazit Die SAFE-Architektur bietet eine Orientierungshilfe bei der Konzeption und Implementierung sicherer Netzwerke. SAFE stellt ein Handbuch für Netzwerkdesigner dar, in dem die Sicherheitsanforderungen an ein CiscoNetzwerk berücksichtigt werden. Der zur Gewährleistung der Netzwerksicherheit gewählte Ansatz zeichnet sich durch sehr tief greifende Abwehrmechanismen und die Modularisierung aus. So können die einzelnen Untermodule sicherheitstechnisch bewertet werden und dann zueinander in Beziehung gesetzt werden. So werden auch komplexe Systeme handhabbar. Denn Sicherheit ist kein Produkt und schon gar keine Einzelmaßnahme, sondern das effiziente Zusammenspiel von vielen Komponenten in der gesamten Infrastruktur. Konflikte unter ARCserve v.9 für Windows Im Falle, daß Sie den Microsoft Service 3.0 für UNIX installiert haben, wird es einen Konflikt mit dem BrightStor ARCserve Backup Port-Mapper geben. Um das zu umgehen, rufen Sie die BABstart.bat im BrightStor AB Home-Verzeichnis über Ihren Autostart-Ordner auf, wenn Sie den Rechner starten. Sie müssen dann außerdem Ihren CA Remote Procedure Call Server-Dienst auf manuell setzen, damit er nicht immer wieder automatisch startet, bevor die BABstart.bat ausgeführt wird. 04 Ausgabe 04/2003 49 v VORSCHAU WORKSHOPS - ROADSHOWS - SEMINARE Nortel Workshop Switching und Security C Compu-Shack und Nortel Networks laden zu einem gemeinsamen Workshop “LAN-Switching und Security” ein. Nortel Networks bietet als führender Netzwerkhersteller ein komplettes Produktportfolio im Switching Bereich von kleineren bis High-EndLösungen. Detaillierte Technische Informationen und Ansätze einer aktiven Projektunterstützung sind die Themen des Workshops. Er findet voraussichtlich am 8.4. in Neubrandenburg, am 9.4. in Cottbus und am 10.4.2003 in Jena statt. Auskunft gibt das BusinessTeam Nortel Networks bei CompuShack unter 02631 / 983-451oder auf E-Mail-Anfrage an [email protected]. Aktuelle Termine zu Veranstaltungen der Compu-Shack finden Sie unter www.portal.compu-shack.com. Auch Anmeldungen können In der Rubrik Workshops online erfolgen Go for IT Live-Hacking Reseller Workshop Neue Sessions im April C Compu-Shack und Cisco laden ihre Reseller zum ersten “Go for IT” Marketing- und Konfigurations-Workshop ein. Die Halbtages- bzw. Tagesveranstaltungen erörtern das gemeinsame Endkunden-Marketing. Cisco Experten zeigen im darauf folgenden Konfigurations-Part die Features des neuen SMB Routers Cisco 836 und der PIX-515. VoIP-Academy Einstiegs-Workshops Anfang April starten die ersten Workshops im Rahmen der Compu-Shack VoIP-Academy, mit Einstiegs- und Applikations-Workshops in Potsdam. Denn auf den Einsatz kommt es an. Es folgen VoIP InfoDays in Neuwied und München (siehe Terminkalender). Weitere Veranstaltungen sind für Mai geplant. D Die Security Experten der CompuShack Consulting setzen ihre erfolgreichen Live Hacking Sessions im April fort. In diesen Anti-HackerWorkshops demonstrieren sie die Gefahren undAngriffsszenarien bei Netzwerk-Attacken. Die Teilnehmer lernen die Angreifer und deren Methoden kennen und sind live dabei, wenn es um strukturierte Angriffe geht. Besonderes Highlight ist das Hacking eines VPN-Tunnels. Die Security-Experten verraten, wie man sich in die Vorgehensweise eines Angreifers eindenken kann, um ihn optimal abzuwehren. Der Preis pro Person beträgt 249,- Euro zzgl. MwSt. werden. VORSCHAU Netzwerkseminare: Highlights im April/Mai 2003 Kursbezeichnung Kurs-Nr. Termin Watchguard Firewall & VPN WG 001 26.05.-28.05.03 Veranstaltungsort Preis / € Potsdam 1.950,- Designing a Windows 2000 Migration Strategy Building Cisco Remote Access Networks MS 2010 Cis BCRAN 27.05.-28.05.03 02.06.-06.06.03 Neuwied Neuwied 790,2.350,- Advanced NDS Tools and Diagnostics NV 991 02.06.-06.06.03 Neuwied 2.150,- Building Cisco Multilayer Switched Networks Cis BCMSN 02.06.-06.06.03 Neuwied 2.350,- Programming a MS. SQL Server 2000 Database MS 2073 02.06.-06.06.03 Neuwied 1.850,- Grundlagen der Netzwerkadministration unter Linux Lin ADM 2 Installationstechnik im Windows Umfeld (Workshop) MS WSIN 16.08.-18.08.03 16.06.03 München Neuwied 1.230,299,- Interconnecting Cisco Network Devices Cis ICND 23.06.-27.06.03 München 2.350,- Linux-Grundlagen für Administratoren Lin Grad 16.06.-18.06.03 München 1.150,- Routerpart aus dem Standard ICND-Kurs CS ICND Router 10.06.-12.06.03 Potsdam 1.475,- Alle genannten Preise gelten zuzüglich der gesetzlichen Mehrwertsteuer. Das aktuelle Trainings-Programm finden Sie unter www.training.compu-shack.com, persönliche Beratung unter: 02631-983-317 oder per e-Mail an [email protected]. 04 Ausgabe 04/2003 50 MESSEN, ROADSHOWS, SEMINARE N 05 No 05/2003 Thema des Monats Mai SERVER-BASED COMPUTING Die Citrix Metaframe Family ermöglicht ein ServerBased Computing in heterogenen IT-Umgebungenen, das gerade auch beim drahtlosen Zugriff die Performance verbessert. Durch die Kombination der Server-Client-Architektur mit WLAN-Technik bietet sich auch für Wireless Clients ein schneller Zugriff auf Anwendungen. Denn frei von der Fracht der Applikationsdaten müssen zwischen mobilen oder stationären Endgeräten und dem Server lediglich Tastatureingaben, Mausklicks und Bildschirm-Updates übertragen werden, um die Anwendungslogik auf einem zentralen Server auszuführen. Für fast alle Betriebsysteme erlaubt die Verfügbarkeit der sogenannten ICA Clients den Zugriff auf Windows- und selbst auf alte DOSApplikationen. Durch unternehmensweite Managementfunktionen wird für die nahtlose Integration der Endgeräte gesorgt, wobei konventionelle PCs, Macinstosh Systeme und Unix Workstations zum Einsatz kommen, aber auch die neue Geräte-Generation der Windows-Terminals oder der drahtlosen Systeme eingebunden werden kann. Durch das Server-Based Computing läßt sich die Total Cost of Ownership deutlich reduzieren, ein Aspekt, der gerade in der heutigen Zeit immer wichtiger wird. Am Beispiel der Citrix Metaframe XP Familie werden wir Ihnen in der kommenden Ausgabe veranschaulichen, welchen Mehrwert das Server-Based Computing für ein Unternehmen bereitstellt. Wir werden uns mit den Features und Unterschieden der verschiedenen Metaframe XP Versionen auseinandersetzen und deren Einsatzgebiete kennenlernen. Und auch die Installation und Konfiguration werden ausführlich behandelt. Praxis: Hotline: Get secure - Stay secure, Teil 4: Einbruchssicherung, Teil 5: Erkennung von Eindringversuchen Intrusion Detection Systeme Frachtfrei Citrix Metaframe XP in LAN und WLAN Von Hardy Schlink Unter http://portal.compu-shack.com finden Sie in der Medienübersicht alle verfügbaren Compu-Shack Kataloge und neue Informationsbroschüren zu IT Security und cs:publish24. Der Compu-Shack Trainingskalender 2003 informiert über die Schulungen des ersten Halbjahres. Er kann unter www.training.compu-shack.com downgeladen werden. Demo-CDs und Trials können Sie kostenlos unter www.technik-news.de bestellen. Ausgewählte Termine 01.04.2003 02.04.2003 02.04.2003 03.04.2003 03.04.2003 07.04.2003 08.04.2003 08.04.2003 09.04.2003 10.04.2003 10.04.2003 11.04.2003 14.04.2003 15.04.2003 16.04.2003 CS und Cisco: Go for IT - Marketing- und Sales-Workshop VoIP Academy: Einstiegs-Workshop CS und Cisco: Go for IT - Marketing- und Sales-Workshop VoIP Academy: Applikations- Workshop CS und Cisco: Go for IT - Marketing- und Sales-Workshop Anti-Hacker Workshop Anti-Hacker Workshop VoIP Academy: VoIP InfoDay Anti-Hacker Workshop VoIP Academy: VoIP InfoDay Anti-Hacker Workshop Anti-Hacker Workshop Anti-Hacker Workshop Anti-Hacker Workshop Anti-Hacker Workshop 04 Ausgabe 04/2003 51 Frankfurt/Main Potsdam München Potsdam Potsdam Neuwied Frankfurt Neuwied Stuttgart München München Dresden Potsdam Hamburg Essen portal CS Portal 04 Ausgabe 04/2003 52
