Aus reifem Holz geschnitzt Switch on VoIP
Transcription
Aus reifem Holz geschnitzt Switch on VoIP
Technik News - Netzwerkmagazin G46392 Halle 13, Stand C37 Februar 2003 D a s N 02 13. Jahrgang thema des monats VERÄSTELT Aus reifem Holz geschnitzt Teil 1: Vom Spanning Tree zum Rapid STP 802.1w ANWENDUNGEN Switch on VoIP Teil 2: Auf den Einsatz kommt es an! p r a x i s n a h e N e t z w e r k m a g a z i n AKTUELL • CS: cs:publish24 schafft versandfertige Publikationen im Handumdrehen 3 Herausgeber: COMPU-SHACK NEWS • • • • • • • • • • • AVM: Bluetooth ISDN Access Point AVM: Access Server und NetWAYS/ISDN v6.0 RightVision: Eyebox MAX Internet Appliance Cobion: Content Security mit Cobion OrangeBox Web Cisco: Multi-Layer-Schnittstellenkarte für ONS 15454 Cisco: Broadband und Network Processing Engines Computer Associates: BrightStor ARCserve Backup v.9 für NetWare LANCOM: Hochwertige Firewall im Router Upgrade Microsoft: Content Management Server 2002 3Com: Distributed LAN Core mit Pay-as-you-grow-Ansatz Newsticker 4 5 6 7 8 9 9 10 10 11 12 THEMA DES MONATS Telefon: 02631/983-0 Telefax: 02631/983-199 Electronic Mail: TECHNEWS @ COMPU-SHACK.COM Redaktion: Heinz Bück Hotline und Patches: Jörg Marx Verantwortlich für den Inhalt: Heinz Bück Technische Leitung: Ulf Wolfsgruber Erscheinungsweise: monatlich 1 Heft Aus reifem Holz geschnitzt Bezugsquelle: Bezug über COMPU-SHACK Electronic GmbH Jahres-Abonnement zuzüglichMWSt.: Inland: 60,84 € Ausland: 86,41 € Teil 1: Vom Spanning Tree zum Rapid STP 802.1w Es knackt im Geäst des guten alten Spanning Tree. STP ist alt geworden. Es ist schneller Konvergenz, die nicht nur Voice oder Video over IP von ihm fordern, nicht mehr gewachsen. Mit dem Standard 802.1w wurde daher das Rapid STP verabschiedet. Geschnitzt aus reifem, alten Holz vom Baum der Erkenntnis, daß ein schnelles, fest verwurzeltes Protokoll sich den Datenstürmen beugen muß, um stand zu halten. Electronic GmbH, Ringstraße 56-58, 56564 Neuwied 14 Layout und Titelbild: Marie-Luise Ringma Druck: Görres-Druckerei, Koblenz Lektorat: Andrea Briel Switch on VoIP Teil 2: Auf den Einsatz kommt es an! Anja Dorscheid 23 Abo-Versand: Wolanski GmbH, Bonn HOTLINE • • • • • • • • • • • Empfohlene Novell und Microsoft Patches 28 Empfohlene ARCserve und BinTec Patches 29 Neue Patches in der Übersicht: ARCserve 30 Neue Patches in der Übersicht: Novell, Microsoft, BinTec 31 Cisco: Einbruchssicherung, Teil 2: IDS-Konfiguration auf Cisco Routern und PIX 3 2 Cisco: LAN Switching, Teil 1: Grundlagen der Switch-Technologie 34 G+H: Tree Commander im Novell eDirectory 37 SonicWall: GBS, Teil 1: Security Features und Anforderungen 38 SonicWall: Support nach Maß 41 WatchGuard: Enterprise Level Security 42 Novell: Interessante Tips der Deutschen Netware FAQ 44 PRAXIS • • • • Microsoft: Get Secure - Stay Secure, Teil 1: Common Criteria for Security Nortel Networks, Teil 3: Praxis-Tips zu Contivity Switches BinTec: Teil 5: Mit dynamischen und statischen IP-Adressen Enterasys: Kommandobrücke, Teil 2: VLAN-Management mit NetSight Atlas 38,40,48,54 VORSCHAU • Messen, Roadshows, Termine www.technik-news.de Selbstverständlich kann COMPU-SHACK die einwandfreie Funktion der vorgestellten Patches und Tips nicht garantieren und übernimmt keinerlei Haftung für eventuell entstehende Schäden. 46 48 50 52 SOLUTIONS • Training, Support und Projekte Reproduktionen aller Art (Fotokopien, Mikrofilm, Erfassung durch Schrifterkennungsprogramme) - auch auszugsweise - nur mit schriftlicher Genehmigung des Herausgebers. Wir möchten uns nachträglich bei all denen bedanken, die durch die freundliche Zusammenarbeit das Erscheinen dieser Zeitung ermöglicht haben. Als Informationsquelle dient uns auch das Internet. Wenn Sie speziell über Ihre Erfahrungen referieren möchten, bieten wir Ihnen dies unter der Rubrik “Hotline” an. Die Liste aktueller Updates zu Novell, Microsoft und BinTec finden Sie auf Seite 31 neueste Patches für ARCServe auf Seite 30 54 02 Ausgabe 02/2003 2 a AKTUELL COMPU-SHACK Echtzeitmarketing cs:publish24 schafft versandfertige Publikationen im Handumdrehen Von Heinz Bück C cs:publish24 wurde entwickelt, um die Kommunikation zwischen Herstellern, Vertrie bspartnern und Endkunden auf eine völlig neue Basis zu stellen und entscheidend zu verbessern. Mit Hilfe der Technologieplattform cs:publish24 erstellten Marketingbeauftragte über das Internet zu jeder gewünschten Tageszeit und selbst ohne spezielle Vorkenntnisse hochwertige Printmedien in Echtzeit. Mit cs:publish24 ist eine Publikation in nur wenigen Schritten minutenschnell erstellt. Nach der Produktauswahl bestimmt der Anwender Design und Text aufgrund vordefinierter Muster, wählt das Format seiner Drucksache aus und fügt der Vorlage individuelle Textbausteine hinzu. Die vorgeschlagenen Preise brauchen nur noch übernommen oder modifiziert zu werden, schon erstellt cs:publish24 das druckreife Dokument. Alle Ergebnisse sind sofort verfügbar, können in Echtzeit erzeugt und direkt kontrolliert werden. Im Handumdrehen entstehen personalisierte Datenblätter und Preislisten, CI-konforme Angebote oder Flyer im Design eines ausgewählten Herstellers. Die fertigen Dokumente können auf Knopfdruck an eine Druckerei nach Wahl weitergeleitet und mit Hilfe eines Fullfillment-Partners versendet werden. Natürlich können die Pu- blikationen auch direkt gefaxt oder per Mail als Newsletter verschickt werden. Marketing Know-how Compu-Shack setzt cs:publish24 hausintern in der Katalogerstellung und im Internet-Shop-System cs:mall24 ein. Durch jahrelange Erfahrungen verfügt das Compu-Shack Marketing über einen hohen Sachverstand in der Organisation von Geschäftsprozessen und in der Produktion komplexer Printmedien. Dieser Know-how- Vorsprung, eine breite, dokumentierte Produktpalette und langjährige Erfahrung bei InternetTechnologien ermöglichten es Compu-Shack, ihren Partnern diese ausgereifte Software-Entwicklung zur Verfügung zu stellen. Das interaktive Publishing befähigt den Fachhandel, seine Kunden mit individuellen Angeboten in kürzester Zeit zu versorgen und Produkte gezielt zu bewerben. cs:publish24 ist damit das ideale Marketinginstrument für die B2B- und B2C-Kommunikation. Es eröffnet völlig neue Möglichkeiten bei der zeitnahen Kundenansprache. Drucksache Das Echtzeitmarketing mit dem neuen cs:publish24 vermag die Unternehmenskommunikation auf eine neue Stufe zu stellen, Prozesse zu beschleunigen und strapazierte Mar- 02 Ausgabe 02/2003 3 keting-Etats spürbar zu entlasten. Denn bislang stehen Publikation jeder Art zeitlich, ter minlich und kostenseitig unter unablässigem Druck. cs:publish24 ist bran-chenneutral und für viele Anwendungen einsetzbar. Es versetzt Fachhändler, Filialen oder Franchise-Nehmer in die Lage, druckreife Dokumente selbst zu erstellen. Vorbei die Zeiten, wo man Tage oder Wochen warten mußte, bis endlich alle Änderungen von externen Dienstleistern eingearbeitet waren. Der Anwender kann alle inhaltlichen Korrekturen direkt vornehmen und auch das Design mit Hilfe vorhandener Vorlagen in Echtzeit selbst verändern. Für die Nutzung fallen vergleichsweise sehr geringe Kosten an, denn cs:publish24 kann gemietet werden. Auch kann die Abrechnung auf der Basis produzierter Dokumente erfolgen. Bei der Benutzung über das Internet fallen zudem keinerlei Wartungsaufwendungen an. cs:publish24 erhöht die Marktdurchdringung allein schon aufgrund seiner enormen Verarbeitungsgeschwindigkeit. Tagesaktuelle und zielgerichtete Marketingaktivitäten entfalten sich nun auch dort, wo ehedem noch Kostenrahmen und Zeitfenster Engpässe schufen. Ihr Ansprechpartner Stavros Ntioudis: 02631 / 983-141 AKTUELL Für die Erstellung tagesaktueller Marketingunterlagen präsentiert Compu-Shack mit cs:publish24 ein universelles Werkzeug zur Veröffentlichung personalisierter, werblicher Publikationen. Es gibt CompuShack Partnern ein hochwertiges Tool für die professionelle Ansprache ihrer Kunden an die Hand. Aus vorgefertigten Layouts entstehen individualisierte, CI-konforme Unterlagen für den Direktversand. Fachhändler wie Hersteller können sich auf der CeBIT 2003 in Halle 13, Stand C37 von der Effizienz des Echtzeitmarketing überzeugen. n NEWS AVM BlueFRITZ! Bluetooth ISDN Access Point Mit dem weltweit kleinstem Bluetooth ISDN Access Point ist AVM seit dem Jahreswechsel im Handel. Drahtloses Netzwerk ist jetzt mit allen BlueFRITZ!-Produkten möglich. Als BlueFRITZ! ISDN-Set ist der neue ISDN Access Point auch zusammen mit einem BlueFRITZ! USB Client erhältlich. Der BlueFRITZ! AP bietet alle ISDN-Leistungsmerkmale bei kabelloser Übertragung bis 100 Meter. N Nicht größer als ein Schokoriegel und nur 35 Gramm leicht, präsentiert sich AVMs BlueFRITZ! AP als der weltweit kleinste ISDN Access Point mit Bluetooth-Technologie. Der APISDN wird einfach an den ISDN-Anschluß gesteckt, ohne daß eine separate Befestigung oder ein externes Netzteil notwendig wäre. Ohne weitere Einstellungen können bis zu sieben PCs oder andere Bluetooth-Geräte kabellos auf ISDN-Komfort zugreifen. Und das bis zu 100 Meter weit. BlueFRITZ! APISDN unterstützt vom Start weg das Personal Area Networking Profile und schafft so die Basis für ein kabelloses Netzwerk. Zeitgleich mit der Markteinführung des Access Points bietet AVM das PAN-Profil übrigens auch für ihre anderen Bluetooth-Produkte zum kostenlosen Download an. NEWS AP-ISDN Für den Start in die kabellose Kommunikation bietet sich der kleine Access Point BlueFRITZ! AP-ISDN geradezu an. Eine bestehende ISDNInstallation zu Hause oder im Büro läßt sich einfach um die kabellose Variante für das Notebook oder den Zweit-PC ergänzen. Der Access Point wird an den ISDN-Anschluß (NTBA) oder an eine Nebenstelle mit S 0Schnittstelle gesteckt. Die Stromversorgung erfolgt ebenfalls über NTBA, ein eigenes Netzteil ist demzufolge nicht notwendig. Abhörsicher Mit einer standardisierten und sicheren Funkverbindung überträgt der transparent-blaue BlueFRITZ! APISDN Sprache und Daten zwischen ISDN und Client. Die standardmäßig aktivierte 128-Bit-Verschlüsselung und ein bis 1600-mal pro Sekunde bis zu 240 kBit/s. Über das standardisierte Bluetooth CIP-Profil (Common ISDN Access Profile) kann der AP mit kompatiblen Gegenstellen alle ISDN-Leistungsmerkmale wie Datenkompression, Kanalbündelung oder D-Kanal-Kommunikation vollständig über Bluetooth übertragen. Das CIP-Profil ermöglicht darüber hinaus den Einsatz aller ISDN-Anwendungen für Daten, Sprache und Fax, wie sie beispielsweise von der FRITZ!Card PCI, dem weltweit meistgekauften ISDN-Controller, bekannt sind. PAN Profile stattfindender Frequenzwechsel auf 79 Funkkanälen bieten dabei höchste Abhörsicherheit beim Datenaustausch. Die Daten werden bis zu 100 Meter weit kabellos übertragen. Das werkseitig voreingestellte BluetoothKennwort des ISDNAccess Points, das der Anwender jederzeit ändern kann, garantiert, daß nur berechtigte Bluetooth-Geräte auf den AP zugreifen können. Zusätzlich begrenzen frei einstellbare Gerätelisten den Zugang. Über Bluetooth BlueFRITZ! AP-ISDN bietet alle ISDN-Anwendungen wie Internetzugang, Datentransfer, PC-Fax und Videotelefonie. Fast Internet over ISDN sorgt für das schnelle Surfen mit Mit dem P ersonal Area Networking Profile (PAN) können Anwender bis zu sieben Clients zu einem kabellosen Ad-hoc-Netzwerk auf Ethernet-Basis verbinden. Windows-Anwendungen zur Datei- und Druckerfreigabe sowie Internet-Zugang sind somit ohne komplizierte LAN-Verkabelung einsatzbereit. Die Integration von PAN ermöglicht auch die Übertragung von DSL über Bluetooth. Neben dem CIPund dem PAN-Profil ist BlueFRITZ! AP-ISDN vom Start weg auch mit dem Dial-up Networking Profile ausgestattet. Mit diesem für analoge Modems konzipierten Profil ermöglicht BlueFRITZ! AP-ISDN anderen Bluetooth-Produkten, die nicht von Haus aus ISDN unterstützen, einen direkten Zugang zum ISDN. So können sich auch PDAs kabellos ins Internet einwählen. BlueFRITZ! und das ISDN Start Set sind im Handel. 02 Ausgabe 02/2003 4 AVM Fernzugriff Access Server und NetWAYS/ISDN v6.0 AVM ist mit neuen Produkten für den Fernzugriff auf den Markt gekommen. Der AVM Access Server und NetWAYS/ ISDN v6.0 sorgen für eine kostengünstige und sichere Geschäftskommunikation über VPN und ISDN, gerade auch für mittelständische Unternehmen und Einzelarbeitsplätze. M Mit einer innovativen Lösung für Remote Access und die LAN-LANKommunikation vereinfacht AVM den Zugriff auf Firmennetze. Der neue AVM Access Server und die neue ClientVersion des NetWAYS/ISDN erfüllen insbesondere die Anforderungen mittelständischer Unternehmen nach kostengünstigen Verbindungen und geringem Administrations-Aufwand. Auf Unternehmensseite wird dazu der AVM Access Server eingesetzt. Die Software verbindet entfernte PC-Arbeitsplätze und -Netzwerke nahtlos mit dem unternehmenseigenen LAN, sowohl über Direktverbindungen als auch über Virtuelle Private Netzwerke. Firewall und VPNTunneltechnologie schützen dabei wirkungsvoll das eigene Netzwerk wie auch die Kommunikation. Access Server Die Windows-konforme Bedienoberfläche des Access Servers erleichtert mit ihren zahlreichen Assistenten die Installation und erfordert keine besonderen Kenntnisse der VPN-Technologie. Die Verbindung zum LAN kann über eine direkte ISDN- und GSM-Einwahl oder über das Internet mit Hilfe eines Virtuellen Privaten Netzwerkes erfolgen. Zusätzlich realisiert der Access Server die DSL- und ISDN-Anbindung des lokalen Netzwerkes an das Internet. Die Konzeption als Software-Router bietet eine Skalierbarkeit von bis zu 120 ISDNKanälen bei gleichzeitigem unbegrenzten VPN-Zugriff. Die Möglichkeit, vorhandene PC-Standard-Hardware zu nutzen, reduziert die Kosten deutlich. Der Access Server ist abge- lichkeit, bei Remote Access alternativ zur ISDN- oder GSM-Direkteinwahl auch eine Internet-Verbindung einzusetzen. Zum Schutz des eigenen Netzwerkes und der zu übertragenden Daten erfolgt die Verbindung über ein VPN mit wirkungsvoller Authentifizierung und Datenverschlüsselung. IP Security stimmt auf die AVM Controller FRITZ!Card DSL, B1, C2, C4, T1 und T1-B. Kommen KEN! oder KEN! DSL zum Einsatz, bietet der Access Server die optimale Erweiterung für den Fernzugriff. So können beispielsweise Nachrichten auf dem KEN!-Mailserver von zu Hause aus einfach und kostengünstig über das Internet abgerufen werden. NetWAYS/ISDN v6.0 Mit AVM NetWAYS/ISDN v6.0 kommt als Gegenstück eine professionelle Lösung für den sicheren Zugriff von Einzelplätzen auf das LAN zum Einsatz, für Außendienstmitarbeiter, Niederlassungen oder Heimarbeitsplätze. Mittels VPN kann dabei eine kostengünstige und sichere Verbindung über das Internet aufgebaut werden. Der neue Remote Access Client ermöglicht es, zentrale LANRessourcen wie Mail- oder Terminalserver, SAP oder Datenbanken wahlweise über ISDN, DSL, GSM und HSCSD zu nutzen. Neu ist die Mög- 02 Ausgabe 02/2003 5 Für sichere Internet-Verbindungen mit Verschlüsselung integrierte AVM IPSec in die neuen Remote Access Produkte. AVM setzt hierbei neben den Standardverfahren DES und 3DES auch auf den Ad vanced Encryption Standard, der Schlüssellängen von bis zu 256 Bit ermöglicht. Auch wenn Internet-Anbieter dynamische IP-Adressen mit jeder Teilnehmeranwahl neu vergeben, kann der Access Server einen VPNTunnel aufbauen. So lässt sich auch von einem DSL-Anschluss zu einem anderen DSL-Anschluß eine Verbindung aufbauen. Das Internet Key Exchange Protocol und IPSec sorgen für die VPN-Interoperabilität zu den Produkten anderer Hersteller. Für schnelle VPN-Verbindungen nutzen die neuen AVM Remote Access Produkte Datenkompressionsverfahren im gesamten Internet-Tunnel. Neben dem Kompressionsverfahren Fast Internet over ISDN auf PPP-Ebene wird nun erstmals IP Payload Compression (IPComp) unterstützt, das auf IP-Ebene ansetzt und somit unabhängig vom Internet-Anbieter ist. Es beschleunigt den Datenverkehr im VPN-Tunnel um bis zu 200 Prozent. AVM Access Server und AVM NetWAYS/ISDN v6.0 sind im Fachhandel erhältlich. n NEWS RIGHTVISION Reduziert aufs Maximum Eyebox MAX Internet Appliance RightVision bietet mit der Eyebox MAX einen Internet Telematik-Server, der eine verblüffend hohe Vielfalt an Features auf einer einzigen anwenderfreundlichen Plattform kostengünstig vereint. Wo früher jeweils separate Installationen und Appliances notwendig waren, erhalten kleine bis mittlere Unternehmen ein Maximum an Sicherheit und Services in nur einem Gerät. Für Web-Access, Mailverwaltung und Website-Hosting, für Workgroupgenerierung und Datensicherung, und versehen mit zusätzlichen Firewalling-Funktionalitäten. B Bisher behalfen sich kleine und mittlere Unternehmen für die Anbindung an das Internet mit Router-Lösungen. Allerdings werden viele sicherheitsrelevante Aufgaben damit noch nicht gelöst. Intelligente Services für EMail, Firewall, Virenschutz und Internetfilter müssen im Normalfall zusätzlich implementiert werden, um die Möglichkeiten der öffentlichen Kommunikation sicher zu nutzen. RightVision präsentiert mit der Eyebox MAX eine Komplettlösung für genau dieses Szenario. Sie vereint fast alle Kommunikationsformen eines modernen Betriebes und bietet darüber hinaus noch die zugehörigen Security-Mechanismen für ISDN und DSL, für LAN und WAN. NEWS MAXimum Hinsichtlich des Leistungsumfanges hebt sich die Eyebox MAX deutlich hervor. Der integrierte ISDN / ADSLRouter, der Proxy Cache und der EMail-Server mit Trend Micro AntiVirus Mailscanner bieten ein multifunktionales Software-Featurepacket, das in Kombination mit der integrier- ten NAT-Firewall die Sicherheitsaspekte von Anfang an berücksichtigt. Ein DNS- und ein RAS-Server gehören ebenfalls dazu. All diese Services sind wohl aufeinander abgestimmt und bieten von vorne herein den größtmöglichen Schutz des Netzwerks nach modernstem Stand der Technik. Eye-box MAX ist über SetUp-Wizards oder Browser einfach zu bedienen. Ein kostengünstiger Support steht ebenso zur Verfügung wie eine innovative Update-Technologie. Security Durch einen eigenen lokalen CacheServer wird der Internet-Zugang im LAN um bis zu 35% beschleunigt, bei entsprechend verringerten Verbindungskosten. Der Proxy Server fordert auf Wunsch vom Benutzer ein Paßwort für den Web-Zugang. Die Internet Firewall schützt das lokale Netz vor fremden Zugriffen. Alle internen LAN-PCs werden im öffentlichen Netz durch IP Masquerading bzw. NAT verborgen. Ein externer Zugriff auf Rechner mit interner IPAdresse wird blockiert. Die Firewall beruht auf IP-basierter Packet-FilterTechnologie. E-Mail wird spamsicher über AV-Mailproxy mit Antivirenfilter empfangen. Alle gängigen E-Mail Clients wie Outlook oder Outlook Express, Exchange, Netscape Messenger, Eudora etc. können verwendet werden. Über RAS besteht ein sicherer Zugriff von unterwegs auf das Firmennetz. Eyebox MAX bietet einen oder mehrere ISDN Dial-in Ports für den transparenten LAN-Zugang. Sicherheit ist gewährleistet durch Überprüfung der anrufenden MSNNummer. Auf Wunsch kann ein Rückruf angefordert werden. Ein Log-File protokolliert die Zugriffe. Über den 30-tägigen kostenlosen InstallationsSupport hinaus gibt es eine kostengünstige Support-Rufnummer. Webaccess Auch bei dieser RightVision-Lösung sorgt das Linux-Betriebssystem durch seine bewährten Eigenschaften nicht nur für einen stabilen dauerhaften Betrieb im Internetworking, sondern gewährt auch ein transparentes und nachvollziehbares Verhalten im Netz. Zudem kennt Linux keine Beschränkung der User-Anzahl. Die Integration an den einzelnen Arbeitsplätzen erfolgt gänzlich ohne zusätzliche Treiber. Eyebox MAX fügt sich hervorragend in jede WindowsNetzwerkumgebung. Für die IP-LAN/ WAN-Kopplung können ISDN-Wählleitungen mit 64 / 128 Kb verwendet werden. Weiterhin kann T-DSL (PPPoE) oder X-DSL bzw. Kabelmodem alsAnschluß dienen. Die Verbindung zum Internet wird nach Bedarf automatisch aufgebaut und kann nach frei wählbarer Zeit terminiert werden. Authentifizierung beim Provider erfolgt durch PAP oder CHAP. Die Eyebox MAX bietet aber auch die Möglichkeit, Internet-, Intranet- oder gar Extranetsites über den integrierten Apache-Webserver zu hosten. Die Dateiübertragung erfolgt entweder extern oder lokal via Datei-Manager oder FTP. 02 Ausgabe 02/2003 6 COBION Ich surfe was, was Du nicht siehst Content Security mit Cobion OrangeBox Web Unbeschränkter Internet-Zugang stellt für manche Mitarbeiter eine große Versuchung dar, das Web für nichtgeschäftsrelevante Zwecke zu nutzen, ob für Homebanking, Job-Suche oder Erotik-Angebote. Cobion OrangeBox Web erfüllt alle Anforderungen, die Unternehmen an ihre Content Security stellen. Die Cobion Datenbank OrangeFilter mit 14 Millionen indizierten Webseiten garantiert einen umfassenden Schutz vor unerwünschten Webseiten, rechtlichen Problemen und sinkender Produktivität von Mitarbeitern. Risiken D Das Ab lenkungspotential des Internet-Zugangs am Arbeitsplatz ist hoch. Untersuchungen zufolge nutzen drei von vier Mitarbeitern ihren Dienst-PC auch zum privaten Surfen. Sie schreiben nicht nur E-Mails oder lesen neueste Nachrichten, auch private Geschäfte werden oftmals vom Arbeitsplatz aus abgewickelt. 31 % derjenigen, die den Online-Zugang im Büro für private Zwecke nutzen, buchten Reisen oder reservierte Plätze. 28 % der Befragten regelten im Büro ihre Bankgeschäfte. Solch private Nutzung soll die deutsche Wirtschaft schätzungsweise dreistellige Millionenbeträge jährlich kosten. Mit OrangeBox Web bietet Cobion eine Content Security-Lösung, die einen umfassenden Schutz gegen derart fehlgeleitete Mitarbeiterproduktivität und unerwünschte WebInhalte bietet, als Software-Lösung oder auf eigener Hardware-Plattform. Als offenes System unterstützt die Cobion OrangeBox Web alle wichtigen Betriebssysteme und Schnittstellen. Wenngleich in liberalen Führungsstrukturen private Aktivitäten im vielzitierten “vernünftigen Rahmen” toleriert werden, so sind die meisten Unternehmen strikt gegen die Zweckentfremdung ihrer Infrastrukturen durch Mitarbeiter, insbesondere innerhalb der Arbeitszeit. Dabei werden die juristischen Risiken die beim unerlaubten Surfen entstehen, oftmals ganz übersehen. Doch ein Unternehmen haftet, wenn z.B. am Arbeitsplatz urheberrechtlich geschützte Bilder, pornografisches oder extremistisches Material aus dem Internet geladen, weiterverbreitet oder sogar Minderjährigen zugänglich gemacht werden sollten. Schadenersatzforderungen und ein möglicher Imageverlust können im Extremfall zu einer ernsthaften Bedrohung werden. Prävention OrangeBox Web kommt als hochintelligente Bild- und Textanalyse zum Einsatz, bei der verschiedene Sicherheitsverfahren kombiniert werden. Vollautomatische Webcrawler durchsuchen rund um die Uhr das World Wide Web. Monatlich werden 60 Millionen neue Seiten ausgewertet. Das macht täglich etwa 100.000 neue Einträge im OrangeFilter, der CobionDatenbank. Diese enthält aktuell 14 Millionen indizierte Webseiten, was 1,9 Milliarden ausgewerteter Webseiten und Bilder entspricht. Damit ist die Cobion-Datenbank das weltweit größteVerzeichnis dieserArt. Mit Klassifizierungen in 58 Kategorien, 02 Ausgabe 02/2003 7 einer multilingualen Filterliste in 11 Sprachen und regelbasierten Blackund White-Listen bietet Cobion höchste Aktualität bei größtmöglicher Sicherheit gegen unzumutbaren Web Content. Media-Type-Filter, individuell definierbare Regeln und Aktionen und das Monitoring sorgen für eine Anpassung an die unternehmenspezifischen Richtlinien. Content Security Netzwerksicherheit genießt Umfragen zufolge in vier von fünf Unternehmen hohe Priorität. Die Sensibilität ist in jüngster Zeit merklich gestiegen. Immerhin setzen fast alle Unternehmen inzwischen Antivirensoftware und Firewalls ein. Zu einem wirksamen Schutz gegen die Risken ungehemmter Internetaktivitäten und dem damit einhergehenden Produktivitätsverlust gehört jedoch auch die Content Security. Die Herausforderung bei Filter-Lösungen für InternetZugänge am Arbeitsplatz liegt darin, den größtmöglichen Schutz mit geringstmöglichen Einschränkungen zu verbinden. Kontrollstrategien werden von den Mitarbeitern als Drohung empfunden und sorgen für Unzufriedenheit. Um Interessenkonflikten aus dem Weg zu gehen, bietet sich eine Unternehmens-Richtlinie an, die den Online-Gebrauch für alle Mitarbeiter verbindlich regelt. Cobion OrangeBox Web überprüft alle aufgerufenen Web-Inhalte, Texte wie Bilder. Sie toleriert alle akzeptierten Aktivitäten, blockiert aber zuverlässig unerwünschte Webseiten. n E NEWS CISCO SONET auf COMET Multi-Layer-Schnittstellenkarte für ONS 15454 Cisco erweitert ihr Metro-Optical-Ethernet-Portfolio mit einer Multi-Layer Schnittstellenkarte für die Multiservice Provisioning Platform ONS 15454. Sie sorgt für die Übertragung von Ethernet-/IP-Multipoint-Diensten mit einer Geschwindigkeit von mehreren Millionen Datenpaketen pro Sekunde über die optische Transportplattform. NEWS D Die neue Multi-LayerSchnittstellenkarte ist die erste Technologie im Rahmen der Multiserviceover-SONET/SDH-Strategie (MSOS) von Cisco. Service Provider werden mit den MSOS-Technologien und deren Multiservice-Lösungen über Syn-chronous Optical Net-work/Synchronous Digital Hierarchy rentabler, da sie hochwertige Datendienste flexibel und skalierbar anbieten können. MSOS baut auf dem COMET-Portfolio für optische Netzwerklösungen auf, eine leistungsstarke Produktpalette für Complete Opti-cal Multiservice Edge and Transport, auf. Service Provider optimieren damit ihre Ethernet-, IP- und Storage-Dienste über SONET/SDH-Netzwerke und verbessern ihren QoS Standard, um die geforderten Service Level Agreements (SLAs) einhalten zu können. DieWertigkeit der SONET/ SDH-Netzwerke erhöht sich durch Packet Multiplexing für eine bessere Netzwerkleistung und die Datenoptimierung der Transportschicht. VLAN und IP-Netz Die Transport-Plattform ONS 15454 MSSP bietet in Verbindung mit der Multi-Layer-Schnittstellen- für Dienste wie Ondemand-Services definieren sich durch QoSund diverse Class-ofService-Kriterien. Mit dem Cisco Transport Manager oder dem Cisco Transport Controller erreichen Service Provider eine hohe Management-Effizienz für die ONS-15454-Plattform und die MLSchnittstellenkarte. IOS-integriert karte zahlreiche Vorteile in MetroOptical-Ethernet-Netzwerken. Die hohe Übertragungsgeschwindigkeit sowie Layer-2 Ethernet Switching und Layer-3 Packet Multiplexing sorgen in einer integrierten MultiLayer-Lösung für einen außerordentlich hohen Datendurchsatz. ONS 15454 kann für die Bereitstellung von Private-Line-Ethernet- und Switched-Ethernet-Diensten genutzt werden. Der Einsatz ist sowohl auf VLAN- als auch auf IP-Basis möglich. Die Unabhängigkeit von der Netzwerkarchitektur hat den Vorteil erstklassiger QoS-Standards für Voice-over-IP, VPN und InternetAccess-Dienste. Hochwertige SLAs Die neue Schnittstellenkarte hat eine 2-PortGigabit-Ethernet- und eine 12-Port-10/100BASE-T-Schnittstelle. Sie unterstützt mehrere Paket-Priorisierungen mittels 802.1p, beziehungsweise den IP-Type-of-Ser vice-Bereic hen (TOS). Mit dieser Klassifikation sortiert und terminiert sie Datenpakete in verknüpften SONET/SDH Circuits. Zudem verfügt die MLSchnittstellenkarte über eine IOSSoftware-Implementierung von Internet Class bis zu Carrier Class ONS 15454 Packet Processing. Mit ihrer Kompatibilität zu Cisco IOS ergänzt die Schnittstellenkarte auch bestehende Cisco Edge Router, um eine höhere Effizienz in der Bereitstellung der Services zu erzielen. Diese IOS-Eigenschaften gelten auch für VLAN- und IP-Architekturen. 02 Ausgabe 02/2003 8 CISCO COMPUTER ASSOCIATES Lösungen für Kabelnetze Die Neun für die Sechser Broadband und Network Processing Engines BrightStor ARCserve Backup v.9 für NetWare Cisco Systems kündigte mit der MC5X20S Broadband Processing Engine (BPE) ein Upgrade für den uBR10012 Cable Modem Termination System Router (CMTS) an. Die Lösung für High-Speed Data over Cable Service Interface Specification Processing (DOCSISTM) wartet mit hoher Portdichte und erweitertem RF Spectrum auf. Die Datensicherungslösung BrightStor ARCserve Backup Version 9 von Computer Associates ist seit Jahresbeginn für NetWare verfügbar. Das neue Produkt für das Novell Betr iebssystem verbindet Performance, hohen Bedienkomfort und Zuverlässigkeit mit vereinfachter Lizenzierung und einem attraktiven Preismodell. H D Höhere Skalierbarkeit, Performance und Verfügbarkeit unterstützen Kabelnetzbetreiber bei rapide ansteigenden Teilnehmerzahlen. Mit Platz für bis zu acht der neuen Broadband Processing Engine in einem Chassis ist der Cisco uBR10012 die derzeit dichteste am Markt verfügbare CMTS-Plattform. Nach DOCSIS und EuroDOCSIS 1.1 zertifiziert, ermöglicht der CMTS Router Kabelnetzbetreibern, mehr Teilnehmer anzubinden und höhere Bandbreiten anbieten zu können. Mit der 5X20 BPE können Multiple System Operators (MSOs) zwischen fünf und 80.000 Modems über ein einziges Carrier-Class-Chassis skalierbar verwalten. Die Version 9 von Bright Stor ARCserve Backup liefert umfassende Unterstützung für NetWare 6-Umgebungen. So bietet die Open File Agent-Technologie mit Copy on Write-Funktion die Möglichkeit, kritische Daten auch bei laufenden Applikationen ohne Unterbrechung zu sichern. Nachdem mehrere hundert Unternehmen in einem BetaTestprogramm BrightStor ARCserve unter NetWare geprüft hatten, erhielt die CA-Lösung Ende Dezember von Novell das Zertifikat ”YES, Tested and Approved for NetWare 6”. Sie stellt hohe Performance und vereinfachtes Speichermanagement für Novell-Kunden mit heterogenen Netzwerken bereit. Network Processing Zudem stellt Cisco einen neue Network Processing Engine vor, den uBR7200-NPE-G1-Prozessor, der die Geschwindigkeit des Cisco uBR7246VXR CMTS Routers mehr als verdoppelt. Cisco hat weitere Features für den Betrieb hochverfügbarer Netzwerke und die industrieweit erste integrierte OC-48-WAN-Schnittstelle für ein CMTS entwickelt. Mit dieser neuesten Network Processing Engine (NPE) für den uBR7246VXR CMTS Router können Netzbetreiber die Anzahl der Teilnehmer nochmals erhöhen und gleichzeitig eine breitere Auswahl an Mehrwertdiensten anbieten, Services wie Voice over IP, VPN oder Video Streaming. Neue Features wie Stateful Switchover (SSO) und die N+1 Failover Solution verhindern Ausfallzeiten und ermöglichen unterbrechungsfreie Breitband-Services. Auch diese Lösung für den CMTS ist derzeit einzigartig in der Netzwerkindustrie. Die neue OC-48 DPT (Dynamic Packet Transport) WAN-Schnittstelle für den CMTS senkt die Netzwerkkomplexität und gewährleistet skalierbare Internet Services und einen zuverlässigen IP-Datentransport über Glasfaser. Dem steigenden Bandbreitenbedarf im Massenmarkt für Sprachdienste und andere kommerzielle Services wird somit hinreichend Rechnung getragen. Storage Management BrightStor ARCserve Backup für NetWare sichert sowohl Daten von NetWare Servern als auch von Microsoft Windows, Linux und UNIX auf einem Novell Server, unabhängig von der NetWare-Version. Mit ihrer innovativen Speichermanagement-Lösung bietet CA den NovellKunden eine plattformübergreifende Datensicherung in heterogenen SAN-Umgebungen. BrightStor ARCserve Backup für NetWare ist auch in die kürzlich vorgestellte Windows-Version integrierbar. Die neuner Version für Linux ist zur Zeit noch in der Beta-Test-Phase, soll aber noch im ersten Quartal2003 erhältlich sein und vergleichbare Integrationsmöglichkeiten aufweisen; als eine einfach zu installierende übergreifende Datensicherungslösung. Im Preis für die aktuelle Lösung ist bereits die Unterstützung für Groupwise enthalten. 02 Ausgabe 02/2003 9 n NEWS LANCOM MICROSOFT Security erweitert XML in .NET Hochwertige Firewall im Router Upgrade Content Management Server 2002 LANCOM Systems hat zu Ende des vergangenen Jahres ihre Firmware-Version 2.80 vorgestellt. Neben der Stateful Inspection Firewall mit Intrusion Detection und Denial-of-Service Protection zählen QoS, Traffic Shaping sowie der LANCOM VPN Client zu den Highlights dieses kostenlosen Upgrades. M Mit dem Firewall-Upgrade von LANCOM Systems kann jeder LANCOM bzw. ELSA LANCOM Router oder Access-Point auf eine Sicherheitstechnologie nach neuesten Standards aufgerüstet werden. Die Stateful-Inspection Firewall überwacht alle Verbindungen. Fremde Datenpakete, die nicht zu einer bekannten Session gehören, werden verworfen. Alle für eine Verbindung benötigten Ports werden nach Bedarf dynamisch geöffnet, z.B. für FTP, Netmeeting oder H.323. Über Firewall-Regeln mit einer Richtungsabhängigkeit können nur noch Verbindungen von der Quell- zur Zieldestination aufgebaut werden. Mit Hilfe der Denial-of-Service-Protection werden gängige Hacker-Angriffe wie SYN-Flooding, Smurf, LAND, Ping of Death, Teardrop oder Bonk, aber auch Fragmentierungsangriffe wie Fragrouter usw. erkannt, protokolliert und abgewehrt. Die IntrusionDetection erkennt Port-Scans und IPSpoofing. Durch einen PING-Blocker und den TCP Stealth-Mode ist ein ”Verstecken” des Gerätes möglich. NEWS IP Quality-of-Service Eine dynamische Bereitstellung von garantierten Mindest-Bandbreiten für VoIP-Traffic oder bestimmte Dienste, Applikationen oder Stationen ist durch IP Quality-of-Service möglich. Die Mindestbandbreiten sind pro Verbindung oder global für alle Benutzer einstellbar, etwa eine Reservierung von 128 kBit/s für VoIP. Sobald sie nicht mehr benötigt wird, erhalten alle anderen Applikationen die volle Bandbreite zurück. Mit IPTraffic-Limiting ist eine Begrenzung von Bandbreiten global oder pro Verbindung, für bestimmte Dienste, Subnetze, Applikationen oder Stationen möglich. Durch ein Traffic Management mit dynamischen Mindestund Maximalbandbreiten können verschiedene Subnetze, unternehmenskritische Applikationen und Webserverzugriffe an einem Anschluß optimal ausbalanciert werden. Noch kurz vor Ende des vergangenen Jahres in die Produktion gegangen, ist der Content Management Server 2002 als das neueste Produkt der .NET Enterprise Server Familie erscheinen. Die Lösung ist eng mit Microsoft .NET integriert und unterstützt XML-Inhalte sowie XML Web Services. VPN Remote Access Der kostenlose LANCOM VPN Client für Windows 2000 und XP ermöglicht mobilen Nutzern per IPSec gesicherten Zugang zum FirmenIntranet. Im Anwendungsszenario VPN Remote Access unterstützt der LANCOM VPN Client jetzt IPSec over PPTP, damit der mobile Nutzer eine im Intranet gültige, lokale IPAdresse zugewiesen bekommt. Zusätzlich steht eine Konfigurationsvariante für das IPSec over WLAN der neuen LANCOM Wireless AccessPoint Generation zur Verfügung. Die LANCOM VPN Gateways sind durch die Unterstützung des IKE Aggressive Modes nun auch interoperabel gegenüber 3rd-Party VPN Gateways mit dynamischen IP-Adressen. Durch das Firewall-Upgrade stehen für die LANCOM VPN-5-Option nun sogar 25 gleichzeitige VPN-Kanäle zur Verfügung. Die Anzahl der konfigurierbaren VPN-Gegenstellen wurde auf 50 für VPN-5 bzw. 25 für VPN-1 erhöht. Die Firmware-Version 2.80 ist nur unter www.lancom.de im Internet verfügbar. G Gegenüber der Vorgängerversion bietet Content Management Server 2002 Features, die die Produktivität beim Erstellen und Verwalten von komplexen Web-Seiten erhöhen. Vereinfacht wurden die Administration von Webseiten und die Entwicklung von neuen Anwendungen. So ist es künftig möglich, direkt aus Microsoft Word Inhalte für das Web zu erstellen und sie zu publizieren, ohne die Word-Umgebung zu verlassen. Durch die Integration mit dem Microsoft Application Center wird es einfacher, große und komplexe Webseiten zu managen und die Pflege in vielen Bereichen zu automatisieren. Gesteuert Neue Funktionen für die verteilte Administration erleichtern das Management von globalen oder mehreren Webseiten über das Content Management System. Dabei gibt es verschiedene Levels für die Vergabe von 02 Ausgabe 02/2003 10 Administrationsrechten an einzelne Anwender oder Anwendergruppen. Die Entwicklungstools von Content Management Server 2002 sind eng mit Visual Studio .NET und dem .NET Framework integriert. Das bietet Entwicklern eine vollständige Umgebung, um leistungsfähige und geschäftskritische Webseiten mit geringem Programmieraufwand aufzubauen. Vorbereitete Steuerungselemente helfen, dynamische Webseiten im Drag-and-Drop-Verfahren zu erstellen. Über ein eigenes Software Development Kit können diese Elemente an die speziellen Bedürfnisse des Unternehmens angepaßt werden oder neue maßgeschneiderte Features entwickelt werden. Der Einsatz von Templates wird durch die Unterstützung von Source Code Management Systemen, wie Microsoft Visual SourceSafe, vereinfacht. 3COM XRN Interconnect Kit Distributed LAN Core mit Pay-as-you-grow-Ansatz Das XRN Interconnect Kit von 3Com ist verfügbar. Damit endet die erste Phase des dreistufigen Markteinführungsprozesses der innovativen XRN-Technologie. Die bereits Anfang des Jahres vorgestellte Lösung von 3Com ermöglicht den Aufbau von skalierbaren und hoch verfügbaren Unternehmensnetzwerken. XML Services Der neue Content Manager Server bietet nativen Support für das Management von XML-basierten Inhalten und unterstützt auch XML Web Services. Damit werden die Schranken von verschiedenen Entwicklungssprachen überwunden. Es gibt keine Hindernisse mehr für die Integration des Content Management Server in heterogene Umgebungen. Mit dem neuen XML Placeholder Object können Anwender XML-Inhalte erzeugen und ablegen sowie Extensible Stylesheet Language Transformation (XSLT) Stylesheets und XML Schema Definition (XSD) verwenden. So lassen sich Webanwendungen erzeugen, die effizienter mit anderen Systemen Daten austauschen und die durch offene Standards flexibel für zukünftige Einsatzmöglichkeiten bleiben. Die erweiterten Möglichkeiten für das Content Management erlauben es, Web-Inhalte oder Funktionalitäten als Web Services bereitzustellen und verteilte Lösungen zu entwickeln. Content Management Server 2002 bietet erweiterte Unterstützung für das Microsoft .NET Framework, XML Web Services und die Integration mit Microsoft Office und Visual Studio .NET. D Das Interconnect Kit besteht aus einem Interconnect Kabel und der Gigabit Multilayer Switching Software Version 3.0. Zwei unabhängige CoreSwitches werden zu einer Distributed Fabric zusammengeschlossen und können in der Folge als eine logische Einheit zentral verwaltet werden. Neben der erhöhten Netzwerkverfügbarkeit profitieren Kunden vom Schutz ihrer Investitionen durch die flexible LAN-Infrastruktur. Zusätzlich garantiert der zugrunde liegende Pay-as-you-grow-Ansatz das bedarfsabhängige Wachstum des Unternehmensnetzwerks. Erweiterungen Das XRN Interconnect Kit von 3Com kann leicht zusammen mit den festkonfigurierten Switches 4060, 4050 sowie der gesamten SuperStack 3 Switch 4900-Produktfamilie eingesetzt werden. Zwei unabhängige Switches werden zu einer SwitchingEinheit auf Layer 2- und Layer 3-Ebe- 02 Ausgabe 02/2003 11 ne gekoppelt und können zentral verwaltet werden. Diese Einheit nutzt die Leistung beider Switches und sorgt somit für einen skalierbaren, leistungsstarken und hochverfügbaren LAN Core. Die Auslieferung des neuen XRN Interconnect Kits geht einher mit der Erweiterung des 3ComPortfolios an Unternehmensprodukten, die konsequent auf Innovation, Praktikabilität und hohe Wertigkeit setzen. Das Feedback von Beta-Kunden hinsichtlich des XRN Interconnect Kits ist 3Com zufolge durchweg positiv. Für die ausstehenden beiden Entwicklungsphasen der XRN-Technologie plant 3Com die Erhöhung der Anzahl koppelbarer Switches sowie die Vergrößerung der Distanz zwischen den verbundenen Komponenten. Darüber hinaus wird die XRN-Fabric von 1 auf 10 Gigabit Ethernet skalierbar. 3Com setzt auf eine langfristige und flexible Partnerschaft zu ihren Kunden, die durch Skalierbarkeit und Netzwerkoptimierung gekennzeichnet ist. n NEWS ...Unerwünscht Verbindungen zu 0900-Nummern:Die AVM Sicherheitssoftware ISDN Watch schützt PC-Nutzer vor unerwünschten Verbindungen zu den neuen 0900-Nummern. Anfang Januar 2003 starteten die neuen 0900er Servicenummern, die bis zum Jahr 2005 die bisherige 0190 ablösen sollen. Die aktuelle Version von ISDN Watch als Teil der FRITZ!-Software berücksichttigt diese Änderung bereits. Ein Update der Software ist daher nicht nötig, lediglich die aktiven Einstellungen sollten bei Bedarf aktualisiert werden. Mit ISDN Watch lassen sich Anwahl und Rufannahme einzelner Rufnummern wie auch die mit 0900 beginnenden Rufnummern sperren. Auf Systemen mit Benutzerverwaltung wie Windows XP oder Windows 2000 können nur Anwender mit Administratorrechten die Einstellungen ändern. Somit lassen sich gesperrte Rufnummern nicht von unautorisierten PC-Nutzern freischalten. Die FRITZ!Software in der Version 3.03 einschließlich ISDN Watch steht zum Download bereit. Optimalen Schutz bietet ISDN Watch zusammen mit CAPI-Treibern ab der Version 3.10.02, ebenfalls unter www.avm.de. ...Resistente Medien Überlebensfähige Datenspeicher: Papier ist geduldig, aber als Datenspeicher für die Ewigkeit so wenig geeignet wie CDs oder Festplatten. Beruhigend für die Nachwelt, daß amerikanische Forscher besonders widerstandsfähige Bakterien als Informations-Träger entdeckt haben. Sie konnten Daten - in Form von künstlicher DNA - in Bakterien speichern und wieder abrufen. Die Forscher verwendeten dabei ihren Angaben zufolgebesonders widerstandsfähige Mikroben, die dreitausend Mal mehr Strahlung aushalten als der Mensch. Der bakterielle Datenträger sei um das Tausendfache resistenter gegen ionisierende Strahlung als jede andere Lebensform auf dem Planeten und auch besonders widerstandsfähig gegen Trockenheit und extreme Temperaturen. Beunruhigend für die Nachwelt ist allenfalls, daß die zum Backup benötigte Menschheit offensichtlich weniger resistent ist. Denn egal welche Informationen wir weitergeben wollen, nach heutiger Sicht ist es für alle Medien unverzichtbar, daß ihnen die geneigte Leserschaft erhalten bleibt. Wer schreibt schon für Bakterien ? NEWS ...Aufgewirbelt Staub im Computerhirn:Auf der Suche nach Technik-Trends und vermeintlichen Innovationen werden Wege beschritten, die wohl nur dem unbedarften Laien abseitig scheinen. Entwicklungen wie intelligenter Staub oder Roboterratten sind zwar weit davon ent- fernt, im Alltag eingesetzt zu werden. Doch glaubt man Analysten von IDC, könnten sie eines Tages dieselbe Bedeutung haben, die heute dem Mikroprozessor oder der Computermaus zugesprochen wird. Das Marktforschungsunternehmen hatte sich in Universitäten und Forschungseinrichtungen umgesehen und Entwicklungen gefunden, denen größte Aussichten auf eine künftige Marktrelevanz bescheinigt werden könne. Dabei sei man sehr unorthodox vorgegangen. Unter anderem habe man eine Ratte ausgewählt, der Mitte 2002 Sensoren ins Hirn eingesetzt wurden, weil sie zeige, daß sich Informationen zwischen Lebewesen und Computern austauschen lassen. Aufgewirbelt wurden die Computerhirne auch von intelligentem Staub, sogenanntem Smart Dust. Er fungiert als Mini-Sensor für schwer zugängliche Stellen und leitet gesammelte Informationen an Rechner weiter. Im Mikrokosmos sieht IDC die kommenden Trends, bei winzigen, nur wenige Nanometer große Röhrchen und Maschinen, bei Quantencomputer, Grid Computing oder Mini-Transistoren, die sich als Innovationen durchsetzen werden. ...Extrem Illegale Internetseiten:Nach Internet-Analysen der Cobion AG ist eine drastische Zunahme extremistischer und illegaler Internetangebote zu verzeichnen. Der jährliche Anstieg wurde mit 30 Prozent beziffert. Laut Cobion, dem Technologieführer im Markt für Content Security Produkte, ist die Zahl der Internethosts, die sich mit ungesetzlichen, extremen, rassistischen und illegalen Internetseiten befassen, auf über 100.000 angestiegen. Das entspricht mehr als sechs Millionen einzelnen Internetseiten. Im Cobion-Rechenzentrum durchsuchen 1000 PCs das Internet permanent nach neuen Seiten. Täglich werden Bilder, Grafiken und Texte von Internetangeboten vollautomatisch ausgewertet. Derzeit sind zwei Milliarden Internetseiten analysiert. Alle potentiell unerwünschten Internet-Inhalte trägt Cobion aus täglichen Analysen in ihre Filterdatenbank OrangeFilter ein. Diese ist mit 14 Millionen Einträgen die aktuellste, effektivste und leistungsfähigste InternetFilterliste weltweit. Seiten mit bedenklichem Inhalt werden einer von 58 thematischen Kategorien zugeordnet. Zu diesen zählen Extremismus und illegale Aktivitäten, extreme Pornografie wie Nekrophilie oder Sodomie, Satanismus, Okkultismus und Vampirismus, aber auch Suizidforen oder Seiten über Kannibalismus. Ferner werden Seiten, die Selbstmord oder Selbstverstümmelung propagieren oder Gewalt verherrlichen, einklassifiziert. Auch Aufrufe zu Mord oder Brandstiftung, Bauanleitungen für Waffen, Bomben und gefährlichen Gerätschaften sind einer Gruppe zugeordnet. Die FilterDatenbasis wird von Cobion AG in einem dynamischen Verfahren täglich um bis zu 100.000 Neueinträge erweitert. Ticker 02 Ausgabe 02/2003 12 ...Schneller Zugriff Content Networking:Cisco Systems hat ihr Portfolio von Content-Networking-Lösungen für Datenzentren um die Anwendung Cisco Global Site Selector 4480 und den Content Service Switch 11501 erweitert. Darüber hinaus stellte Cisco mit BEA Systems und Siebel Systems zwei zertifizierte Architekturen für ContentNetworking-Umgebungen vor. Mit den neuen Komponenten können Kunden virtuelle, verteilte Datenzentren aufbauen, die die Bereitstellung geschäftskritischer Anwendungen an alle Nutzer beschleunigen. Sie erhöhen die Verfügbarkeit des Netzwerks bei hoher Auslastung, bei Ausfällen einzelner Webseiten oder komplexen Web-Inhalten und verbessern die Qualität von Online-Diensten. Die Applikation GSS 4480 gleicht Datenverkehr zwischen verteilten Datenzentren ab. Sie fungiert als zentrale Kontrollinstanz und arbeitet mit den Cisco Content Switches zusammen, um aktuelle Kontrollfunktionen des Domain Name System (DNS) herunterzuladen und Nutzeranfragen direkt an eine frei verfügbare Ressource innerhalb der verteilten Struktur eines Datenzentrums weiterzuleiten. Der CSS 11501 ermöglicht Switching in kleinen Applikations-ServerFarmen für die Unterstützung von Internet-, Intranet- und Extranet-Nutzern. Er unterstützt mit der Kontroll-Software WebNS Unternehmen, die ein intelligentes Verkehrs-Management in kleinen Datenzentren zu einem günstigen Preis benötigen. Zertifizierte Architekturen von BEA Systems und Siebel Systems optimieren die Anwendungs-Perfomance und Verfügbarkeit für eine höhere Endnutzer-Produktivität. eine Ethernet-Verbindung am Platz zur Verfügung. Die Testphase auf der Strecke Frankfurt - Washington D.C. dauert drei Monate. Die Lufthansa plant, die gesamte Interkontinentalflotte in den nächsten zwei Jahren mit Breitband-Verbindungen auszustatten. ...Unter Strom UPS Rackmounts:APC bietet ab sofort eine Erweiterung ihrer unterbrechungsfreien Stromversorgungsproduktpalette Smart-UPS an. Die neuen Modelle SmartUPS Rackmount 1U bieten zahlreiche Zusatzfunktionen bei geringerem Platzbedarf im Rack. Die neuen SmartUPS Rackmounts in einer Höheneinheit von nur 4,45 cm sind mit 750 VA und 1000 VA verfügbar. Sie bieten zur Kommunikation sowohl USB als auch serielle Connectivity. Die USV bietet Stromschutz für Business Critical Server in komplexen Stromschutzarchitekturen für Blade Server, Appliance Server oder die neuen Itanium 2 basierenden Server im Rack. In Verbindung mit APC´s PowerChute Business Edition können Administratoren unterschiedliche Systeme sicher herunterfahren und die unterbrechungsfreie Stromversorgungen für Server und Workstations verwalten. Der in die USV integrierte Erweiterungsschacht SmartSlot kann problemlos auf alle APC Stromverwaltungsmodule zurückgreifen. Dies sind Erweiterungskarten wie die Network Management Card, die den Nutzer befähigt, die APC USV über Web, SNMP, WAP, Telnet, DHCP und Syslog zu konfigurieren, zu kontrollieren und zu überwachen. Neue Features der Steckkarten umfassen Umgebungsüberwachung oder Modem-Funktionalitäten ohne zusätzlichen SmartSlot oder die speziellen Erweiterungsgehäuse. ...Funk ´n Flug ...Im Tunnel unterwegs Breitband-Internet an Bord: Cisco Systems bringt Netzwerk-Technologien ins Flugzeug. Die Lufthansa begann am 15. Januar auf dem Linienflug von Frankfurt nach Washington D.C mit einer Testphase für ein drahtloses breitbandiges Netzwerk an Bord einer Boeing 747-400. Die Lösung ist die erste ihrer Art in der Luftfahrtindustrie. Der Zugriff auf Daten ist mit einer Übertragungsrate von bis zu 3 Mbps möglich, das Versenden mit einer Übertragungsrate von derzeit 128 Kbps, die später auf 750 Kbit/s steigen sollen. Die Infrastruktur, die eine Zwei-Wege-Daten-Verbindung zwischen dem Flugzeug und dem Boden ermöglicht, liefert Connexion by Boeing. Im Flugzeug waren fünf Access Points der Cisco Aironet 350 Serie installiert, außerdem ein Cisco 3640 Router und neun Cisco Catalyst 3548 XL Switches. Die Komponenten sind modifizierte Cisco-Standardgeräte, die von Lufthansa Technik auf ihre Flugtauglichkeit überprüft und nach den gültigen Luftfahrtregularien zertifiziert wurden. Sie unterstützen drahtlose Verbindungen nach dem 802.11b-Standard. Zusätzlich steht VPN-Sicherheit für Pocket PC: Check Point VPN-1 SecureClient ist ab jetzt Teil der Begleit-CD zum HP iPAQ h5450. Die Software ermöglicht Anwendern dieses Pocket PCs den sicheren, ortsunabhängigen Zugriff auf Ressourcen im Unternehmensnetzwerk. Durch die enge Zusammenarbeit von Check Point und HP haben Kunden die Möglichkeit, eine vollständige VPNSicherheitsinfrastruktur auf Basis von HP-Plattformen und Check Point Lösungen zu implementieren. VPN-1 SecureClient verbindet eine zentral administrierbare Personal Firewall mit VPN-Konnektivität. Durch diesen einzigartigen Ansatz stellt Check Point sicher, daß mobile Geräte den gleichen hohen Sicherheitsstandards entsprechen, die auch im Unternehmensnetz gelten. iPAQ h5450 Anwendern steht die Software von Check Point auf der HP Begleit-CD direkt zur Verfügung. Ziel der verstärkten Zusammenarbeit von Check Point und Hewlett-Packard ist die Bereitstellung nahtloser und flexibler Sicherheitslösungen bis hin zu mobilen Geräten. 02 Ausgabe 02/2003 13 thema des monats VERÄSTELT Aus reifem Holz geschnitzt Teil 1: Vom Spanning Tree zum Rapid STP 802.1w Von Markus Thelen E Es knackt im Geäst des guten alten Spanning Tree. STP ist alt geworden. Es ist schneller Konvergenz, die nicht nur Voice oder Video over IP von ihm fordern, nicht mehr gewachsen. Mit dem Standard 802.1w wurde daher das Rapid STP verabschiedet. Geschnitzt aus reifem, alten Holz vom Baum der Erkenntnis, daß ein schnelles, fest verwurzeltes Protokoll sich den Datenstürmen beugen muß, um stand zu halten. 02 Ausgabe 02/2003 14 Voice over IP, VPN und Security sind im Moment allgegenwärtige Themen. Zwar haben wir verstanden, daß die wichtigste Grundlage für all diese neuen Dienste und Anwendungen eine zuverlässige Netzwerk-Infrastruktur ist, nutzen Bandbreiten von 1 Gbps und mehr und legen unsere Netzwerke redundant aus, doch manch einer hat vergessen, daß im Layer 2 nach wie vor ein Protokoll arbeitet, das ein komplettes Netzwerk bis zu fünfzig Sekunden komplett außer Gefecht setzen kann. Die Rede ist von Spanning Tree. STP ist alt geworden und hält den heutigen Forderungen nach schneller Konvergenz nicht mehr stand. Schon im Jahr 1990 formulierte die IEEE ein erstes Mal den Standard 802.1d, der es bis zur letzten 1998er Version auf stattliche 373 Seiten brachte. Bedarf nach einem schneller konvergierenden Protokoll war also schon lange da. Kürzlich verabschiedete das Gremium mit dem Standard 802.1w das ausgefeilte Rapid STP, einen Beschleuniger, der als Weiterentwicklung des 802.1D nun die Netzwerke erobern soll. Uns stellt sich also die Frage, wo liegen die Unterschiede und wie lassen sich die Vorteile nutzen? Wir werden uns deshalb zuerst ausgiebig mit der Logik und Arbeitsweise des STP beschäftigen, um uns dann den Vorzügen des Rapid STP zuzuwenden. Denn viele Begriffe sind beibehalten worden, vor allem das Ziel, mittels Berechnung einer Baumstruktur für ein schleifenfreies Netz zu sorgen. Ein mit STP oder RSTP berechneter Baum sieht vollkommen gleich aus. Doch optimiert RSTP diese Prozesse durch rationellere Definitionen und ausgeklügelte Algorithmen, das Verfahren ist wesentlich effizienter. Good old STP Schauen wir uns also - gleichsam im Rückblick - die Vorgehensweise des ”guten alten” 802.1d Spanning Trees an. Generelles Ziel des Protokolls ist es, für ein redundantes, dabei schleifenfreies Netz auf Layer 2 zu sorgen. Denn Schleifen sind der Tod für ein geswitchtes Netz. Die Gefahren wollen wir anhand des in Abbildung 1 dargestellten kleinen Netzwerkes näher betrachten. Sie finden in anderen Diskussionen zu diesem Thema häufig die Darstellung, daß sich die LANs zwischen den Bridges befinden. Dem war ja ”früher” auch so. Da dies in heutigen Netzen aber eigentlich nicht mehr von Interesse ist, wollen wir im folgenden ein rein geswitchtes Netz betrachten, gerade auch im Hinblick auf den Einsatz von Virtuellen LANs. Wir wollen den Verästelungen des Spanning Tree folgen und die Knackpunkte und Arbeitsweise des Protokolls am konkreten Beispiel verdeutlichen. Ohne weitere Vorkehrungen ergäben sich in dem zweifellos überschaubaren Aufbau in Abbildung 1 bereits die ersten Probleme. Broadcast Storms (4), schließlich muß ein empfangener Broadcast auf allen Ports ausgegeben werden. So erreicht der Frame dann auch Switch 3, der ihn zur Station C schickt und, wie es sich gehört, zu Switch 1 (5). Damit ist der Broadcast wieder am Beginn seiner Reise und dreht folglich ”eine neue Runde”. Was für diesen, sozusagen gegen den Uhrzeigersinn kreisenden Frame gilt, gilt konsequenterweise auch für den Frame, der ganz zu Anfang von Switch 1 zu 3 gesendet wurde. Er kreist im Uhrzeigersinn im Netzwerk umher. Es wird schnell ersichtlich, daß ein Broadcast auf diese Art ”ewig” in unserm Netz kursieren und es auf Dauer ersticken würde. Es gibt im LLC-Header auch keinen Zähler vergleichbar zum Layer 3 ”Time-to-live”, der den Frame irgendwann für ”tot” erklären und verwerfen würde. MAC Address Table Was einen Switch ausmacht, ist seine Fähigkeit, die MAC-Adressen sendender Stationen mitlesen zu können und diese in einer Tabelle seinen Zu den prinzipiellen Aufgaben eines Switches gehört es, empfangene Broadcast Frames auf allen angeschlosse- Abb. 1: An diesem Netz wollen wir unsere Betrachtungen zum nen Ports wieder auszuge- STP und RSTP vornehmen. ben. Sendet, wie in Abbildung 2 dargestellt, die Station A einen solchen Broadcast aus (1), so wird Bridge 1 diesen also an 2 und 3 weitergeben (2). Verfolgen wir den Frame weiter, der gerade an Switch 2 angekommen ist, so wird er in unserem Beispiel an Station B und an die Switches 4 und 5 geschickt (3). Damit erhalten dann in (4) auch die Stationen D und E den Broadcast. Switch 5 sieht sich natürlich genauso in der Pflicht, den Frame zu Bridge 3 weiterzuleiten 02 Ausgabe 02/2003 15 thema des monats Cajun Multiservice-Switches Bandbreitenerweiterung mit Zukunft Die AVAYA Cajun-Multiservice-Netzwerke basieren auf der SAFER-Technologie, der Switch Architecture For Extreme Resiliency. AVAYA´s innovative Hochverfügbarkeitsarchitektur sorgt für ein fehlertolerantes Switching auf höchstem Niveau. Laufend werden neue Standards und Security-Funktionen wie IEEE 802.1x, SSL und SSH in die Cajun-Produkte integriert. Mit der Bandbreitenerweiterung durch die Einführung von 10Gigabit-Modulen wurden weitere Verbesserungen der bestehenden Algorithmen umgesetzt, beispielsweise durch das schnelle Konvergenzverfahren, welches die Rapid Reconfiguration of Spanning Tree Protokoll (RSTP) nach IEEE 802.1w bietet. Schnelle Konvergenz Gerade bei Erweiterungen existierender Standards, wie etwa beim Übergang von STP nach IEEE 802.1d zu RSTP nach IEEE 802.1w, wird besonderes Augenmerk auf die Homogenität der bisherigen Konfiguration gelegt. Eine Änderung der Netzinfrastruktur ist bei AVAYA deshalb nicht notwendig. Die Geräte erkennen selbständig, ob angebundene Systeme RSTP unterstützen. Diese Funktionen werden von den Produkten der Cajun Serie durchgängig unterstützt. Deren High-Speed-Multilayer-Switches P130, P330, P580 und P882 zeichnen sich durch ihre herausragende Leistungsfähigkeit und hochperformanten Systemfunktionen aus. Multi-Layer-Switches Bereits in den Basisversionen ermöglichen die modularen AVAYA Cajun-Switches den Aufbau von Netzwerken, die Sprach-, Video- und Datenanwendungen gemeinsam auf einer Infrastruktur mit höchsten Qualitätsansprüchen bereitstellen. Die Palette umfaßt flexible Systeme für unterschiedliche Konfigurationen zu einem ausgezeichneten Preis-/ Leistungsverhältnis. Die P130 Serie basiert auf einem kosteneffizienten Layer-2 Switch, der sich durch die Anzahl der möglichen Ports und entsprechende Performance für die Workgroup empfiehlt, als Einzelkomponente oder Erweiterungseinheit im Stack betrieben. Das stapelbare System P330 bietet hochleistungsfähige Multi-Layer-Switches für große Port-Dichte und höchste Ansprüche an Qualität und Funktionalität Multiservice-Switches Der Multiservice-Routing-Switch P580 ist ein multilayerfähiges Hochleistungs-Ethernet-Switching-System für eine Gigabit-skalierte Campus-Vernetzung. Ein kompaktes Chassis und sechs E/A-Module ermöglichen das Switching auf Schicht 2 sowie das IP- und IPXRouting auf Schicht 3, mit Störungsausgleich und Fehlertoleranz. Als hochleistungsfähiger GigabitEthernet-Backbone-Switch gewährleistet der P882 Spitzenleistungen für Multiservice-Netzwerke und die Gewißheit, daß die heute installierte Infrastruktur auch in Zukunft die End-to-End-QoS liefert, die verzögerungssensitiver Datenverkehr erfordert. Ports zuzuordnen. Nur daraufhin ist ein gezieltes Frame-Forwarding möglich. In der Praxis ist es denn auch wirklich das allererste, was ein Switch mit einem empfangenen Frame macht, er lernt die MAC-Adresse der sendenden Station und trägt den Tupel MAC-Adresse X= Port Y in seine MAC-Adreßtabelle ein. Üblicherweise behält der Switch diesen Eintrag 5 Minuten bei, selbst wenn die Station ab jetzt keinen Frame mehr sendet. Empfängt die Bridge einen Frame einer bereits bekannten Station, resettet sie jedesmal den laufenden Timer dieses Tupels. Es kann selbstverständlich auch sein, daß sich ein Switch mehrere MACAdressen auf einem einzigen Port einträgt. Immerhin könnte an diesem Port ein Hub oder Switch angeschlossen sein, oder es handelt sich gar um den aktiven Uplink-Port des Switches. Auch hier ist STP essentiell. Ein Frame wird nie auf dem Port ausgegeben, über den er erhalten wurde. Inkonsistenz Schauen wir uns dies wieder in unserem Beispiel an. Kurz nach dem Einschalten hat noch keiner der fünf Switches eine MAC-Adresse einer Station gelernt. Nun sendet Station A einen Unicast an Station E, woraufhin sich also Switch 1 die MACAdresse von A auf Port 1 einträgt und anschließend den Frame auf den Ports 2 und 5 aussendet, da er (noch) keine Ahnung hat, über welchen seiner Ports die Station E zu erreichen ist. Jetzt erhalten auch Switch 2 und 3 diesen Frame und tragen sich zuerst ebenfalls die MAC-Adresse von A jeweils auf dem Port ein, auf dem sie den Unicast gerade erhalten haben. Sie wissen im Umkehrschluß ab jetzt, über welchen Port Station A erreich- 02 Ausgabe 02/2003 16 bar ist. Beide Switches 2 und 3 haben jedoch noch nie von Station E gehört und müssen folglich den Frame wieder auf allen Ports ausgeben. Damit lernt nun Switch 5 von zwei Quellen über eine Station A. Auf welchen Port soll er sich die MAC-Adresse von A eintragen? Da die beiden Frames nicht absolut gleichzeitig beim Switch 5 eintreffen, wird er die aktuellste Information über Station A - also den zuletzt erhaltenen Frame in seine MAC-Adreßtabelle eintragen. Er selbst hat aber auch noch keinen Frame von E empfangen und sendet daraufhin den Unicast wiederum auf allen Ports aus. Der Frame erreicht nun erneut die Switches 2 und 3, die nun ihre alte Information über Station A verwerfen und stattdessen deren MAC-Adresse jeweils auf dem Port eintragen, auf dem sie gerade den Frame erhalten haben. Sie haben also gelernt, daß sie Station A erreichen, indem sie alle Frames für diese Station auf den Link zu Switch 5 hinausschicken - und das ist natürlich falsch. Die MAC-Adreßta bellen der Switches werden durch die Schleife im Netz falsch aufgebaut. Mehrfachkopien Auf Layer 2 gibt es im Ethernet kein Verfahren, die zu sendenden Frames ”durchzunumerieren”. Somit besteht keine Kontrolle von empfangenen Frames auf der Empfängerseite und keine Möglichkeit, doppelt erhaltene Frames zu verwerfen. Wenn nicht darüber liegende Layer dies überwachen, könnten Applikationen mit doppelt erhaltenen Frames Probleme bekommen. Schauen wir uns das wieder am Beispiel an.Angenommen, die Switches seien gerade wieder eingeschaltet worden, und keiner habe eine MAC-Adresse einer Station gelernt. Nun möchte Station A einen UnicastFrame an B senden. Switch 1 erhält den Frame und leitet ihn aufgrund der leeren MAC-Adreßtabelle auf allen Ports weiter. Damit erreicht der Frame nun auch Switch 2, der diesen wieder aufgrund einer leer en MACAdreßtabelle auf allen Ports weitergibt. Der Frame gelangt nun bereits ein erstes Mal an die Station B. Dagegen läuft der Frame, der von Switch 1 an 3 geschickt wurde, weiter durch das Netz. Er erreicht Switch 5, der ihn aufgrund seiner ebenfalls leeren MAC-Tabelle wieder auf allen Ports weiterleitet. Sie ahnen es schon. Der Frame erreicht erneut Switch 2, der den Frame also jetzt ein zweites Mal an die Station B leitet. Dies muß kein Problem darstellen, immerhin gibt es noch weitere Layer im OSI-Modell, die sich darum kümmern könnten. Aber definitiv wird das Netzwerk mit unnötigem Traffic belastet. Und daran ändert auch ein darüber liegender Layer nichts. Baumstruktur den übrigen Bridges ausgewertet und um ihre eigenen Informationen erweitert, wiederum an die an sie angeschlossenen Switches ”nach unten” weitergeleitet werden. Ein Switch wird also erst bei Erhalt eines BPDUs dazu veranlaßt, selbst ein BPDU zu generieren und es max. 2 Sekunden später auszusenden. Beim Einschalten geht zunächst einmal jeder Switch davon aus, er selbst sei Root-Bridge und sendet eigene BPDUs. Gleichzeitig hört er aber auch bereits auf eintreffende BPDUs und entscheidet anhand einer Bridge-ID, ob und wo es vielleicht bereits eine Wurzel zur Berechnung seiner Topologie gibt. Root-Bridge Diese Bridge-ID setzt sich zusammen aus der MAC-Adresse eines jeden Switches und einer vorangestellten Priorität, die im Auslieferungszustand aller Geräte auf hexadezimal 8000 eingestellt ist, aber verändert werden kann. Je kleiner dieser Wert, desto höher die Priorität. Bei gleicher Priorität entscheidet also die MAC-Adresse des Switches: je ”kleiner”, desto Die Probleme wären behoben, wenn STP eigenständig und dynamisch einen Link zwischen den vier Switches 1,2,3 und 5 ”abschalten” könnte. Die Schleife wäre unterbrochen, es gäbe für Frames nur noch einen ein-eindeutigen Weg zwischen allen Stationen. Um dies zu gewährleisten, geht STP an Abb. 2: Ein von Station A gesendeter Broadcast läuft endlos durch das Netz. Man spricht von einem Broadcaststorm. die Wurzeln des Übels und berechnet ausgehend von einem Switch, der sogenannten Root-Bridge, eine Baumstruktur, die alle Switches überspannt, und dem Protokoll seinen Name gibt. BPDU Damit die Switches die Topologie des Netzwerks kennenlernen können, versendet die Root-Bridge defaultmäßig alle 2 Sekunden sogenannte Bridge Protokoll Data Units (BPDU). Das sind kleine Multicast-Frames, die von 02 Ausgabe 02/2003 17 thema des monats Catalyst High Performance Switches for Voice, Video and integrated Data Alle Switches der Cisco Catalyst Serie nutzen zur Minimierung von Ausfallzeiten und zur Erhöhung der Betriebszeit den Rapid Spanning Tree Algorithmus nach IEEE 802.1w. Die Catalyst Serie bietet hochperformante Switching-Lösungen gerade auch dort, wo Netzwerke auf integrierte Sprach-, Video- und Datenanwendungen vorbereitet werden. Leitungsgeschwindigkeit Der Catalyst 2950SX-24 z.B. ist ein Standalone-Switch mit Festkonfiguration, der neben 24 10/100-Ports über zwei zusätzliche 1000BASE-SX Fibre Ports verfügt. Er ist über die Cisco Cluster Management Suite einfach zu installieren, ein web-basiertes Management-Tool, das zur Konfiguration und Fehlerbehebung von bis zu 16 Catalysts unter einer einzigen IP-Adresse dient. High-SpeedDatenverkehr und Wire-Speed-Performance läßt sich an allen Ports realisieren. Sprache, Video und Daten Der neue Cisco Catalyst 3550-24 PWR mit Layer 3/4-Diensten sorgt für leistungsstarkes IP-Routing von der Desktop-Umgebung bis zum Backbone. Er bietet sich als Lösung an, wo integrierte Sprach-, Video- und Datenanwendungen gefragt sind, um neben dem reinen Datenverkehr auch Voice-Optionen zu übernehmen. Der Multilayer Switch verfügt über 24 10/100-Ports und zwei eingebaute Gigabit Ethernet-Slots. Die integrierte Inline-Stromversorgung liefert Gleichstromspannung an alle Geräte, die Spannung über herkömmliche UTPKabel aufnehmen können, wie etwa die Cisco 7900-IP-Telefon-Familie oder die Aironet Access-Points der Serie350. Next Generation Die Cisco Catalyst 4500 Familie beinhaltet drei neue Chassis. Catalyst 4503 mit 3 Slots, Catalyst 4506 mit 6 und Catalyst 4507R mit 7 Slots. Alle drei unterstützen die neue Supervisor Engine IV mit integriertem non-blocking Layer 2/3/ 4 Switching. Diese Elastizität ermöglicht eine Redundanz der Supervisor Engine des Catalyst 4507R mit Supervisor IV. Mit intergrieter In-Line Power für IPTelefonie, softwarebasierender Fault Tolerance und Power Supply Redundanz stellt er eine Key Komponente mit für die Cisco Architekture for Voice, Video and integrated Data dar. Auch die Modelle der Catalyst 6500 Serie sind Multilayer Switches, die nach dem OSI-Modell Layer 2, 3 und 4 unterstützen. Layer 4 Switches können höhere Informationen aus dem Datenpaket auslesen und beispielsweise Applikationen nach UDP- oder TCP-Portnummern erkennen, für intelligente QoS-Steuerung und Priorisierung des Datenverkehrs. Ein Zusatzmodul für die Line Card unterstützt die Stromversorgung gemäß dem IEEE 802.3af Inline-Power-Standard. Die Switches liefern damit integriertes Powerover-Ethernet für den Einsatz von Wireless Access Points und für IP-Telefone. Fragen zu RSTP und den Cisco Catalyst Switches beantwortet das Business Team Cisco bei Compu-Shack unter 02631/983-445 oder auf E-Mail-Anfrage an sales-cisco.compushack.com. höher die Priorität. Es macht Sinn, die Entscheidung, ”wer wird Root-Bridge”, nicht den Switches zu überlassen, sondern aktiv Prioritäten zu setzen. Wählen Sie einen Switch, der möglichst zentral liegt, nicht ständig rebootet wird und leistungsfähig ist. Jeder der übrigen Switches kann nun mit Hilfe der von der Root gesendeten BPDUs einen Weg zu dieser Wurzel bestimmen. Gibt es mehrere Wege, werden die ”schlechteren” eben abgeschaltet, indem der Port in den sogenannten Blocking State übergeführt wird. Um diese Wege überhaupt beurteilen zu können, werden die Pfadkosten auf den Links zur Root aufsummiert (es gilt Tabelle1). Forwarding Um selbst einzelne Ports untereinander bewerten zu können, ist eine PortPriority definiert. Angenommen, zwischen zwei Switches sind zwei Verbindungen gesteckt. Dann entscheidet diese Port-Priority darüber, welcher Port in den Blocking-State übergeht. Auch hier gilt: Je kleiner die Port-ID, desto höher die Priorität. Natürlich kann auch dies per Konfiguration geändert werden. Bei der Root-Bridge hingegen gilt stets, daß sie alle Ports im Forwarding State hat. Ports, an die weitere Segmente - in weitesten Sinne also ein weiterer Teil des Netzwerks, konkret: ein Switch - angeschlossen sind, bezeichnet man allgemein als Designated Ports, denn sie sind sozu- Tabelle 1 Ethernet FastEthernet GigabitEthernet 10GigabitEthernet ”alte” Norm 100 10 1 1 aktuell 100 19 4 2 Tabelle 1: Mit zunehmender Bandbreite wurden die Pfadkosten bereits in 802.1d an aktuelle Netzwerke angepaßt. 02 Ausgabe 02/2003 18 sagen ”dazu ernannt”, in das an sie angeschlossene Segment Frames zu forwarden. Schauen wir uns wieder im Beispiel an, wie sich der oben beschriebene Algorithmus in unserem Netzwerk auswirkt. Wir haben Switch 1 mit Hilfe der Priorität gezielt zur Root-Bridge ernannt. Dank der BPDUs der Root wissen die Switches 2 und 3 nach spätestens 2 Sekunden, daß Switch 1 eine niedrigere Bridge-ID besitzt, als sie selbst. Somit ist für sie Switch 1 die Root und beide merken sich schon mal vor, den jeweils zur Root-Bridge zweigenden Port in den ForwardingState zu schalten. Den Port eines Switches, der den besten Pfad zur Root-Bridge hat, nennt man Root-Port. Listening-State Standardmäßig sind Switches so konfiguriert, daß sie auf einem Port nach ”Link up” erst einmal 15 Sekunden lang ausschließlich BPDUs empfangen und auswerten, alle übrigen auf diesem Port empfangenen oder zu sendenden Frames werden verworfen. 15 Sekunden heißt, daß eine RootBridge bei der standardmäßig verwendeten Hello-Time von 2 Sekunden bis zu sieben Switches entfernt sein kann und ihre BPDUs trotzdem garantiert beim letzten Switch ankommen, bevor irgendein Port eines Switches forwardet. Diese Phase nennt man Listening-State. Die Switches 2 und 3 haben sich ja aufgrund des von der Root erhaltenen BPDU bereits für ihren Root-Port entschieden. Beide schicken nun, getriggert durch den Erhalt der RootInformationen, nach spätestens 2 Sekunden ihre ”eigenen” BPDUs mit den zusätzlichen Pfadkosten von 19 auf den übrigen Ports weiter. Switch 2 schickt also an 4 und 5, Switch 3 an Switch 5. Für Switch 4 ist die Entscheidung, wie er die Root des geswitchten Netzwerks erreicht, einfach. Ihm bleibt nur ein einziger Port. Anders jedoch Switch 5, dessen Spanning-Tree Alg orithmus nun ebenfalls einen (!) Root-Port bestimmen muß. Der übrige Port muß dann zwangsläufig in den Blocking-State übergehen. Der Algorithmus bestimmt aufgrund der Port-Priority, Port 3 von Switch 5 werde zum RootPort. Also muß Port 6 in den BlockingState gebracht werden. Learning-Phase die Root-Bridge eines Netzwerks down geht. Schauen wir uns dazu Switch 5 an. Switch 1 sei so konfiguriert, daß er Root-Bridge ist, auf Switch 3 sei die nächstkleinste Bridge-ID konfiguriert, er ist die sogenannte Backup-Root. Der STP-Algorithmus hat Port 3 auf Bridge 5 zum Root-Port ernannt und Port 6 in den Blocking-State geschaltet. Schalten wir nun die Root-Bridge 1 ab, dauert es insgesamt fünfzig Sekunden, bis Port 6 an Switch 5 Frames forwardet. Fast eine Minute vergeht also, bis das daran befindliche Segment bzw. sämtliche Stationen an Switch 3 wieder Zugang zum übrigen Netz haben. Dank der Philosophie, daß eine RootBridge eben sieben Switches entfernt sein darf, toleriert Switch 5 also insgesamt 14 Sekunden, die zwischen dem Versand einer BPDU aus der Root und dem Eintreffen beim Switch verstreichen dürfen. Nun wird er nicht gleich aufgrund einer einzigen fehlenden BPDU eine neue Topologie berechnen. Er akzeptiert drei fehlende BPDUs, ergo weitere 6 Sekunden. Erst jetzt, nach 20 Sekunden - der Standard nennt diesen Timer MaxAge - schaltet er seinen bis dato Dies alles geschieht sehr schnell. Unser Netzwerk ist bereits nach kurzer Zeit, genau genommen nach maximal 4 Sekunden, kurz nachdem alle BPDUs zugestellt worden sind, konvergiert. Es sieht jetzt wie in Abbildung 3 dargestellt aus. Trotzdem vergehen dank der bei 802.1d recht ”konservativen” Timer, weitere 11 Sekunden, in denen wirklich nicht viel passiert. Der Zeitraum ist wie gesagt nur dazu da, um zu garantieren, daß selbst für eine sieben Switches entfernte Root genügend Zeit bleibt, ihr BPDU ”zuzustellen”. Doch selbst nach dieser 15 Sekunden Abb. 3: Das Netzwerk ist konvergiert. Es gibt für die Frames der langen Listening-Phase Stationen nur noch einen eindeutigen Weg durch das Netz. geht der Port noch nicht ins Forwarding über. Statt dessen tritt er nun für weitere 15 Sekunden in die sogenannte Learning-Phase ein, in der nach wie vor keine Frames weitergeleitet werden. Zumindest aber die darin enthaltenen Absende-MAC-Adressen empfangener Frames werden mitgelesen und in die Switch-interne MACAdreßtabelle eingetragen. Bridge down Der ”schlimmste” Fall im Spanning Tree ist der, daß 02 Ausgabe 02/2003 19 thema des monats HP Procurve Switches Durchsatzstärke und Ausfallsicherheit Die HP Procurve Switches 5300, 4100, 6108 und 2650 belegen das Bestreben von HP, modernste Netzwerktechnologien zu äußerst attraktiven Preisen zum Anwender zu bringen. Alle diese Switches haben neben den bekannten HPMerkmalen wie hohem Durchsatz, umfangreicher Ausstattung und günstigsten Pro-Port-Preisen auch schon das Zukunfts-Feature Rapid Spanning Tree nach IEEE802.1w implementiert. Downtime down Spanning Tree sucht beim Ausfall eines präferierten Links als Alternative den zweitbesten Weg zum ursprünglichen Ziel. Rapid Spanning Tree macht genau dasselbe, jedoch mit einer wesentlich höheren Geschwindigkeit. Um die Ausfallzeiten auf höchstens eine Sekunde zu minimalisieren und die Netzwerksbetriebszeit zu erhöhen, nutzen die HP-Switches 4104 und 4108 wie auch die Modelle 5304 und 5308 Rapid Spanning Tree nach IEEE 802.1w. Hohe Durchsatzgeschwindigkeiten, umfangreiche Konfigurationsmöglichkeiten - bei 41xx im Layer 2, bei 53xx im Layer 3 - sind Garanten für sicheres Arbeiten mit der sprichwörtlichen HP-Qualität. Beide Gerätereihen eignen sich für mittlere bis große Umgebungen, ob als reine Gigabit-Switches für Serverfarmen, oder als zentrale Switches für bis zu 192 10/100er-Workstations wie bei den 8-ModulGeräten. Beide Gerätereihen haben eine Führungsrolle in ihrem Marktsegment übernommen, nicht zuletzt durch die hohe Flexibilität ihrer Netzwerkmodule, die seit dem 1.1.2003 abermals erweitert wurden. Neueste Procurve Switches Zu den neuesten HP Procurve Geräten zählt u.a. auch der 6108. Dieser HighPerformance Switch hat sechs feste 10/100/1000-Ports und zwei DualPersonality-Ports, die für Gigabit-Kupfer wie auch als GBIC-Uplinks für GigabitFiber verwendet werden können. Durch eine Backplane-Geschwindigkeit von 16 Gbps wird er höchsten Anforderung in Netzwerken gerecht, wo ein Backbone Switch für die Server verlangt wird. Ebenfalls neu ist der HP Procurve 2650 mit 48 Ports für 10/100 und zwei Dual-Personality-Ports. Bei einer Bauhöhe von nur einer Höheneinheit weist er branchenweit die höchste Portdichte in nur einer HE auf. Für mittelgroße Netzwerke, die z.B. über zwei Server und eine hohe Anzahl Workstations verfügen, sorgt dieser Switch mit einer Backplane-Geschwindigkeit von 13,6 Gbps für zügigen Durchsatz. Unterstützt wird dies durch eine blockierungsfreie Wire-Speed-Architektur für Durchsatz mit einer niedrigen Latenzzeit. Dazu paßt, daß der HP Procurve 2650 wie auch der 6108 RSTP nach 802.1w realisieren. Über die besondern Merkmale und Vorzüge der HP Procurve Switches mit Rapid Spanning Tree informiert Sie das Compu-Shack Team PM-Server-Networking, telefonisch unter 02631 / 983 455 oder auf E-Mail-Anfrage an: [email protected]. im Blocking befindlichen Port 6 in den Listening-State. Inklusive der jetzt folgenden Listening- und Learning-Phasen kommen die 50 Sekunden zustande, bis Port 6 im Forwarding-State ist. Allgemein läßt sich dieser Algorithmus mit dem in Abbildung 4 dargestellten Flußplan darstellen. Für eine Vielzahl von Ports kann man diese lange Zeit jedoch erheblich verkürzen. Verallgemeinernd gilt die Aussage, daß STP für jeden Port überprüft, ob er zu einer Schleife im Netz führen würde. Dies kann aber doch für alle Ports, an denen lediglich eine Workstation oder ein Server angeschlossen ist, prinzipiell ausgeschlossen werden. Also macht es Sinn, diese Ports aus der Betrachtung des STP herauszunehmen. Das bedeutet, die Ports gehen nach dem Ereignis Link Up augenblicklich in den Forwarding-Zustand und verkürzen damit die Out-Time von 30 auf 0 Sekunden. Cisco bietet hierzu das Feature Portfast, bei dem STP nicht abgeschaltet, Frames jedoch ebenfalls direkt geforwardet werden. Der Port sendet auf jeden Fall immer noch alle 2 Sekunden BPDUs und berichtet eine Topologie Change Notification (TCN) an seine Root. Topologie-Change Der Standard 802.1d definiert ein Topologie-Change-Verfahren. Vereinfacht gesagt tritt ein Topologie Change dann ein, wenn ein im ForwardingState befindlicher Port in den Blocking-State übergeht oder umgekehrt. Der Switch, der diesen Topologie Change erkennt, schickt dazu eine Topologie Change Notification (TCN) auf seinem Root-Port hinaus, um der Root-Bridge die Änderung mitzuteilen. Eine TCN ist nichts anderes als ein BPDU, in dem ein entsprechendes Bit gesetzt ist. Jeder Switch auf dem Weg zur Root schickt bei Erhalt des Frames sofort ein 02 Ausgabe 02/2003 20 Acknowledgement zurück, um den Empfang des ganz speziellen Frames zu bestätigen und gibt es selbst auf seinem eigenen Root-Port weiter. (vgl. Abb. 5) Einmal beim Root-Switch angekommen, wird diese als Kopf des ganzen Netzwerks diesen TopologieChange nun über eine Zeit von Max_Age + For-warding_delay (üblicherweise also 35 Sekunden) ins gesamte Netz hinein schicken, um alle Switches zu informieren (vgl. Abb. 6) Wozu das Ganze? Wir haben weiter oben erwähnt, daß die Switches einen Timer von 300 Sekunden haben, nach dessen Ablauf erst ein Eintrag einer MAC-Adresse aus der MACAdreß-tabelle entfernt wird. Würde sich die Topologie unseres Netzwerks ändern, würde Spanning Tree also einen neuen Baum über die Switches spannen. Aber das allein reicht nicht für eine schnelle Konvergenz des Netzes. Schauen wir uns das in einem Beispiel an. Aging-Timer STP habe in einem Netzwerk für den in Abbildung 3 dargestellten Aufbau gesorgt. Die Kommunikation zwischen C nach E verläuft über Bridge 1 und 2. Switch 5 hat die MAC-Adresse von Station C auf Port 3 gelernt. Switch 3 weiß Station E über seinen Port 2 zu erreichen. Nehmen wir nun an, der Link zwischen Switch 1 und 2 ginge down. STP hätte innerhalb von 30 Sekunden eine neue Topologie gefunden und den Port 6 von Bridge 5 vom Blocking in den Forwarding State umgeschaltet. Trotzdem könnten die Stationen E und C für insgesamt 5 Minuten nach wie vor nicht miteinander kommunizieren. Denn ein Frame, der von Station E nach Station C geschickt werden soll, würde aufgrund der Informationen der MACAdreßtabelle von Switch 5 weiterhin auf Port 3 ausgegeben werden. Switch 2 wird diesen Frame nun verwerfen, da er keinen Pfad mehr zu Station C hat. Umgekehrt wird ein Frame, den Station C an E schicken will, von chen ausgeführt. (vgl. Abb. 7) OffenSwitch 3 aufgrund seiner MAC- sichtlich entstünde jetzt in VLAN 1 Adreßtabelle weiterhin auf Port 2 ausgegeben, Abb. 4: Jeder Port durchläuft in 802.1d mindestens einmal die Das führt dazu, daß dargestellten Phasen. Switch 1 diesen Frame erhält und verwirft, da kein Pfad mehr zu Station E vorhanden ist. Erst nach fünf Minuten, wenn auf Switch 3 und 5 die Timer für die MAC-Adressen der Stationen C bzw. E abgelaufen sind, wird der nächste Frame geflooded und ein k orrekter MACAdreßtabelleneintrag ermöglicht. Das Problem ist also der zu lange Timer der Abb. 5: Switch ”B” stellt eine Änderung eines Ports fest und muß MAC-Adreßtabelle. Für Abhilfe sorgt nun der dies mittels TCN seiner Root-Bridge berichten. Alle Switches ”dazwischen” bescheinigen den Erhalt eines TCN mit TCA. oben erwähnte TopologieChange. Es gilt die Aussage, daß ein Switch, erhält er einen TC seiner RootBridge, den Aging-Timer seiner g esamten MACAdreßtabelle auf Max_ Age + Forwarding_Delay reduziert, in aller Regel also auf 35 Sekunden. So wird gewährleistet, daß die Einträge der MAC-Adreßtabelle zwar schneller gelöscht, aber daraufhin eben auch durch Flooding sehr schnell wieder aktua- Abb. 6: Erst die Root-Bridge sendet bei Erhalt eines TCN für 35 Sekunden die Meldung TC ins Netzwerk. Alle Bridges setzen lisiert werden. daraufhin den Aging-Timer der gesamten MAC-Adreßtabelle herab. Virtuelles LAN Zusätzlich zu diesen langen Zeiten hat 802.1d noch ein weiteres Problem. In einem geswitchten Netz mit 802.1q VLANs sei folgendes konfiguriert. Zwischen zwei Switches verläuft ein Trunk, der VLAN 1, 2 und 3 beinhaltet. Zusätzlich sei für VLAN 1 noch eine weitere Verbindung zwischen den Swit- 02 Ausgabe 02/2003 21 thema des monats Einfach anders InterSwitchTrunk beim Passport 8600 Der Passport 8600 ist das Flagschiff der Backbone Switches von Nortel Networks. Das Chassis wird als Ausführung mit 3, 6 und 10 Slots angeboten. Nortel Networks hat für den Passport 8600 eine Technik entwickelt, mit der zwei Backbone Chassis mit einem sogenannten InterSwitchTrunk verbunden werden, ohne daß Loops in der Netzwerktopologie entstehen oder das Spanning Tree Protokol (STP/RSTP/802.1W) erforderlich wird. Split Multi Link Trunk Um Loops in der Netzwerktopologie zu vermeiden, folgt Nortel Netwoks einer eigenen Philosophie. Die dazu eingesetzte Technik heißt Split Multi Link Trunk. Durch den Einsatz von Multi Link Trunks wird die mögliche Entstehung von Loops also von vornherein unterbunden. Die Verbesserung von STP mit Umschaltzeiten zwischen 30 und 60 Sekunden zu RSTP mit maximal einer Sekunde ist also nur der Anfang einer Lösung, die Nortel perfektioniert hat. Beim Einsatz von Split Multi Link Trunk können Trunks von den Etagenverteilern auf zwei separate Backbone Switches aufgeteilt werden. Multi Link Trunk ist zudem eine ideale Migrationstechnik für die redundante Anbindung von Geräten, die kein STP beherrschen, weder nach 802.1d noch nach 802.1w. Redundanzen Die Ausfallsicherheit wird signifikant erhöht, da neben der Leitung auch der Passport selbst redundant vorhanden ist. Sollte es trotz dieser hohen Redundanz zu Ausfällen kommen, so schafft das Split Multi Link Trunk eine Umschaltzeit von weniger als einer Sekunde. Diese einzigartige Lösung hatte die Tolly Group im Mai 2002 getestet und als bahnbrechenden Schritt zu höchster Ausfallsicherheit bezeichnet, weil bisher nicht gekannte Umschaltzeiten gemessen wurden. Sind bisher durch Spanning Tree bedingte Umschaltzeiten von 30 bis 60 Sekunden der Tod jeder geschäftskritischen Applikation oder Session, so begegnet Nortel Networks dieser Gefahr mit Umschaltzeiten von 0,38 bis 0,91 Sekunden. Hierbei “merkt” keine SAP Session, daß sie nun auf einem anderen Gerät läuft. Technologie-Vorreiter Der Passport 8600 stellt Schnittstellen für 10/100Base TX und 100Base FX bereit, bedient 1000Base SX und TX und macht selbst vor 10 GBit Ethernet nicht Halt. Durch die Möglichkeit bis zu drei Netzteile und zwei CPUModule einzusetzen, erreicht der Passport ein Höchstmaß an Ausfallsicherheit. Durch diese innovative Technik stellt Nortel Networks erneut ihren Anspruch als Vorreiter in Technologiesektor unter Beweis und festigt ihrer Führungsposition im Markt der hochverfügbaren Backbone Switches. Über die Besonderheiten des Split Multi Link Trunk und über Passport Switches informiert Sie das Compu-Shack Team PM-Nortel, telefonisch unter 02631 / 983 451 oder auf E-Mail-Anfrage an: [email protected]. Abb. 7: 802.1d berechnet den STP nur in VLAN1. Der Trunk zwischen beiden Switchen wird geblockt und für VLAN 2 und 3 gibt es keine Verbindung mehr. eine Schleife. Doch 802.1d berechnet nun nach den oben dargestelltenden Regeln seinen Tree ausschließlich in VLAN1, was dazu führt, daß der Port 4 auf Switch 2 aufgrund der höheren Port-ID in den BlockingState übergeführt wird. Sehr zum Nachteil für die VLANs 2 und 3, denn dieser Port war für diese VLANs die einzige Verbindung zwischen den beiden Switches. Umgekehrt ist konsequenterweise vorstellbar, daß eine Schleife innerhalb dieser VLANs genauso wenig erkannt würde und zu all den eingangs dargestellten Problemen führen würde. Bisher gingen alle Hersteller einen eigenen Weg, um dieses Problem mit proprietären BPDUs und einem eigenen Spanning-Tree-Prozeß pro VLAN zu lösen. Bei Cisco beispielsweise kannte man dies unter dem Namen PVST (Per VLAN-Spanning-Tree). Der Vorteil eines optimalen Spanning Tree pro VLAN wird dabei mit dem Nachteil erkauft, eine höhere CPUBelastung eines jeden Switches hinzunehmen, sowie eine höhere Netzwerkbelastung in Kauf zu nehmen, da natürlich auch jeder STP-Prozeß seine eigenen BPDUs schickt. Dies ist nun mit einigen Änderungen standardisiert worden, und zwar im Protokoll 02 Ausgabe 02/2003 22 802.1s, dem Multiple Spanning-TeeProtokoll MSTP, dem prinzipiell auch RSTP zugrunde liegt. Man berechnet jedoch einen Spanning Tree für eine Gruppe von VLANs. So könnte beispielsweise für VLAN 1 bis 10 ein eigener Tree berechnet werden, für VLAN 11 bis 20 hingegen ein anderer. Dazu faßt man Switches in Regionen zusammen, die alle die gleiche Konfiguration besitzen müssen, Regionname, Revisionnummer und VLAN-Tabelle. Über diese Informationen wird eine ”Quersumme” gebildet. Ist die Quersumme eines erhaltenen BPDUs gleich der eigenen Berechnung, wird der Nachbar-Switch als Mitglied der gleichen Region akzeptiert. Dies aber sei hier aber nur in einem groben Exkurs erwähnt. Nachdem wir uns nun ausgiebig mit STP beschäftigt haben, wollen wir uns in der nächsten Ausgabe eingehend dem neuen RSTP befassen. Viele Begriffe sind beibehalten worden, vor allem aber das Ziel, mit Berechnung einer Baumstruktur für ein schleifenfreies Netz zu sorgen. Ein mit STP oder RSTP berechneter Baum sieht vollkommen gleich aus. Beide Protokolle haben nach getaner Arbeit die gleichen Ports im Blocking-Zustand – nur das Verfahren ist wesentlich effizienter. ANWENDUNGEN Switch on VoIP Teil 2: Auf den Einsatz kommt es an! Von Elmar Horst In der letzten Ausgabe hatten wir einen Überblick über die Technologie gegeben und anhand von Einstiegs- und Migrations-Szenarien potentielle VoIP-Implementationen aufgezeigt. In diesem zweiten Teil wenden wir uns den innovativen Applikationen zu, die häufig den eigentlichen Mehrwert von VoIP ausmachen, denn auf den Einsatz kommt es an! Während die Entscheidung, ein neues Kommunikationssystem anzuschaffen, in der Vergangenheit primär von Kosten und Leistungsmerkmalen beeinflußt wurde, gewinnen heute eher die Auswirkungen auf Betriebsabläufe und Geschäftsprozesse an Bedeutung. Produktivität, Flexibilität, Effektivität und Kommunikationsoptimierung aufgrund neuer technischer Möglichkeiten sind viel häufiger die ausschlaggebenden Kriterien geworden. Dank Internet, Standortvernetzung und VPN können Mitarbeiter, Geschäftspartner und Kunden über eine einzige Kommunikationsplattform auf ihre Anwendungen zugreifen und sich untereinander austauschen. Es ist völlig unerheblich geworden, welche Art von Gerät der Benutzer verwendet, oder wo er sich gerade befindet. Er hat stets Zugriff auf die gesamte Funktionalität der Bürokommunikationsmittel und die entsprechenden Anwendungen. Applikationen In einer durchgängig konvergenten VoIP-Lösung sind alle Kommunikationsfunktionen eines Unternehmens auf einer IP-basierten Plattform zusammengeführt. In dieser Infrastruktur können die verschiedenen 02 Ausgabe 02/2003 23 Kommunikationsarten wie Telefon, Fax, E-Mail oder Web bis hin zu Video over IP bereitgestellt werden. Anwendungen wie gemeinsame Adreßbücher und Kalender stehen heute schon IP-basiert zur Verfügung. Da alle Arten der Kommunikation nun über dieses konvergente Netzwerk ausgeführt werden können, ergibt sich eine Vielzahl von neuen Anwendungen, die sich die gewonnene Interaktivität dieser Kommunikationsmittel zunutze machen können, beispielsweise das Unified Messaging. Zuordnungen Lassen Sie uns zunächst jedoch noch einmal die Begrifflichkeiten in den richtigen Zusammenhang bringen. Sehr häufig werden Technologie , Technik, Produkt, Leistungsmerkmal und Organisationsformen, mit Abkürzungen belegt, in einem Atemzug genannt. Ist Call-Center beispielsweise ein Produkt, eine Technologie oder eine Organisationsform? Bedeutet Call-Center immer auch ComputerTelefonie-Integration (CTI) oder verhält es sich umgekehrt? Ist CTI ein Produkt, eine Schnittstelle oder eine Technologie? Was ist TAPI und was TSAPI und wozu brauche ich überhaupt Voice-Systeme? Call-Center, CTI-Anbindungen und thema des monats Applikationen, IP-Telefonie und Voice-Systeme sind wesentliche Bausteine einer modernen Kommunikationslösung. Dabei hat jede der Lösungen ein anderes Gesicht, abgestimmt auf das jeweilige Unternehmen mit all seinen Kommunikationsanforderungen und -situationen. In unserem Überblick wollen wir deshalb nicht nur die Applikation benennen, sondern auch die vielfältigen Möglichkeiten innerhalb einer Lösung aufzeigen und zuordnen. CC und ACD Die Grundlage einer Kommunikationslösung stellt das moderne TKSystem. Es sollte bereits die notwendigen Leistungsmerkmale zum Aufbau eines Call-Centers beinhalten. Ein Call-Center bzw. Contact-Center ist zunächst nichts anderes, als eine Organisationsform, die unter Zuhilfenahme von Hard- und SoftwareKomponenten einen effizienten kundenorientierten Telefonverkehr oder allgemein Kundenkontakt ermöglichen soll. Das in der TK-Anlage enthaltene Leistungsmerkmal der automatischen Anrufverteilung, kurz ACD für Automatic Call Distribution, bildet hierbei das zentrale Element. Damit können Anrufe anhand der identifizierten Rufnummer automatisch zu einem entsprechenden freien Mitarbeiter, dem Agenten, vermittelt werden. Organisatorisch werden diese Agenten zu Gruppen zusammengefaßt, die sich nach bestimmten Kriterien wie Sachkenntnisse oder bestimmten Kundenbeziehungen unterscheiden. Je nach Telefonaufkommen lassen sich zentral weitere Mitarbeiter in diese ACD-Gruppen einbinden. Logisch Neben der Zuordnung einer physikalischen Rufnummer für ein Endgerät bringt eine logische Rufnummernzuordnung für einen Telefonie-Teilnehmer oder einen Agent des Call-Cen- ters zusätzliche Möglichkeiten und auch höhere Flexibilität mit sich. Er wird nicht mehr nur über eine Endgerätedurchwahl, sondern primär über eine logische Agenten-Nr. bzw. Teilnehmer-Nr. identifiziert. Über dieser UserID und Paßwort/PIN meldet er sich an einem beliebigen Teilnehmerplatz Abb. 1: Grafische Tools helfen, Prioritäten zu am Telefonie-System an. verwalten und situationsabhängige Routen zur Das kann auch in einer automatischen Anrufvermittlung zu entwerfen. anderen Lokation oder gar zuhause sein. Damit ist er unab- re für Verkauf. Warten jetzt beispielshängig davon, an welchem Endgerät weise zwei Anrufer für Verkauf und und wo er sich gerade befindet, er- einer für Hotline, so bekommt unser reichbar, sobald er sich “eingeloggt” Agent als erstes den priorisier-ten Hotline-Anrufer, während Agenten hat. mit hoher Verkaufspriorität bevorSkill based zugt die Anrufer für den Verkauf zuIn Analogie zu den Benutzerprofilen gestellt bekommen. Hierüber kann und Policies der Datenwelt verfügt sichergestellt werden, daß einAnrufer also auch der Telefonie-Teilnehmer stets an einen geeigneten bzw. mögüber seine individuell zugeordneten lichst an einen richtigen Agenten auLeistungsmerkmale, Telefonierechte tomatisch vermittelt wird. Liegen und besondere Eigenschaften. So läßt keine Anrufe für Hotline vor und ist sich innerhalb des Call-Centers ein der Verkauf ausgelastet, so können Regelwerk definieren, welches ein- auch Anrufe für Vertrieb an unseren kommende Anrufe gezielt nach be- Hotline-Agenten übermittelt werden. stimmten Kriterien verteilt. Diese Kri- Die hierfür erforderlichen Applikatioterien können bestimmte Fähigkeiten nen verfügen meist über Tools, mit und Kenntnisse einzelner Agenten denen sich nicht nur die Agenten, ihre sein, beispielsweise Fremdsprachen- Skills und die entsprechenden Priooder Produktkenntnisse. Nach den ritäten verwalten lassen, sondern auch Prinzipien dieses Skill based Routing situationsabhängige Routen zur aukönnen über Prioritätenlevel bzgl. der tomatischen Anrufvermittlung meist Fähigkeiten oder der gewünschten grafisch entwerfen lassen (s. Abb. 1 Auslastung Routen für eine Anruf- und Box auf S.25). verteilung hinterlegt werden, die es ermöglichen, beispielsweise einen Automatisiert hochqualifizierten Spezialisten weiAuto Attendant und Custom Call ter hinten in der Rufverteilung zu positionieren, um ihn nicht mit einfa- Routing bezeichnen die Entgegenchen Anfragen auszulasten, sondern nahme und automatische Verarbeidie erforderliche Qualität bei Bedarf tung von Anrufen. Neben der höchst vorteilhaften Möglichkeit der Anzu Verfügung zu haben. ruferidentifikation anhand der übermittelten Rufnummer (CLIP) und Prioritäten dementsprechender Weiterleitung Ein Agent kann eine hohe Priorität kann eine bestimmte Agentengruppe für Hotline haben und eine niedrige- aber auch gezielt über Sammelruf- 02 Ausgabe 02/2003 24 nummern erreicht werden. Ebenso gibt es Weiterleitungsmöglichkeiten nach einer vorgeschalteten Ansage durch Ziffernwahl mittels DTMF (Dual Tone Multiplexed Frequency) oder sogar durch Spracherkennung. Der Anruf wird automatisch entgegengenommen und über eine Ansage werden weitere Optionen vorgegeben. Wir kennen sie mittlerweile aus den verschiedensten Telefonkontakten zu Dienstleistern jeder Art. ”Für Preisinformationen drücken Sie die 1!”, heißt es dann oder: ”Bitte geben Sie Ihre Kundennummer ein!” Hier können auch entsprechende Kriterien für ein ”Skill Based Routing” wie oben beschrieben abgefragt werden. Ein Automatischer Vermittlungsplatz - neudeutsch: Auto Attendant - ist eine Applikation, welche die Bearbeitung von eingehenden Anrufen über nimmt, so wie sie ein Telefonist durchführen würde. DerAnrufer erhält über eine Sprachaufforderung eine Reihe von Optionen, die er durch Drücken der entsprechenden Taste seines MFV-Telefons selektieren kann. Wurde die gewünschte Option ausgewählt, wird der Anrufer je nach Implementierung des Auto Attendant an eine Nebenstelle, Mailbox oder an die Zentrale weitervermittelt. Beim Custom Call Routing (CCR) schließlich handelt es sich um eine sogenannte Sprachmenü-Anwendung, welche mit dem Ein-ZiffernZugriff dem Anrufer eine ganze Reihe von Sprachansagen und Transferoptionen zurVerfügung stellt. Je nach Realisierung des Custom Call Routing erhalten Anrufer die Möglichkeit, sich zu einem bestimmten Mitarbeiter weiterverbinden zu lassen oder weiterführende Informationen zu erhalten. Reporting Um den Call-Center-Betrieb zu optimieren, sollte die Lösung über geeignete Management-Applikationen verfügen, mit deren Hilfe die Daten ausgewertet werden können. Echtzeitstatistiken erlauben den Zugriff auf aktuelle Call-Center- und Agent-Daten, um z.B. den Status der Leitungen und Queues in Realtime abfragen zu können. Weiterhin kann die Auslastung der Agenten überwacht werden, um eventuelle Überlastungen durch den Einsatz weiterer Kollegen abzufangen. Die Managementapplikationen stellen neben der Realtime-Auswertung der Daten auch historische Auswertungen für die Planung der Ressourcen zur Verfügung. Zeichnet man z.B. über einen längeren Zeitraum dieAuslastung auf, läßt sich eine sicherere und effizientere Planung bzw. eventuell erforderliche Anpassung bzgl. Personaleinsatz und - bedarf durchführen. Komponenten Call-Center-Bausteine wie CTI, UM, Voice Mail oder IVR-Systeme können, müssen aber nicht zwangsweise in die Organisation einbezogen werden. Entscheidend ist die Zielsetzung. Die Frage nach dem: ”Was will ich erreichen“, bestimmt sowohl denAufbau als auch die Auswahl der zu verwendenden Komponenten. War die Hauptzielsetzung ursprünglich die Verbesserung der Erreichbarkeit des Unternehmens, so werden heute vielfältige Zusatzaufgaben und erweiterte Zielsetzungen mit Call-CenterLösungen realisiert. Die ehemalige Bezeichnung als “telefonische Bestellannahme” verdeutlicht sehr gut, worum es in den CallCentern der frühen Jahre vornehmlich ging. Gestiegene Ansprüche der Anwender, veränderte Märkte und Wettbewerbssituationen sowie technische Weiterentwicklungen ermöglichen es aber heutzutage, nicht nur eingehende (In-Bound), sondern auch ausgehende Anrufe (Out-Bound) in einem Call-Center abzuarbeiten. Der 02 Ausgabe 02/2003 25 Aufbau einer Kundenbindung sowie die Nutzung verschiedener Kommunikationsmedien sind die zentralen Aufgaben, die heute von einem Call-Center abgedeckt werden müssen. Einsatzbereiche Wo liegen die Vorteile und was sind Einsatzbereiche für Call-Center? Neben einer Verbesserung der Erreichbarkeit und Optimierung der Servicequalität, was letztlich auch zu einer höheren Kundenbindung führt, werden ein effizienterer Personaleinsatz und damit verbundene Kosteneinsparungen erzielt. Selbstverständlich bietet das CallCenter mit all seinen Tools die besten Voraussetzungen. Nicht allein für eine hochwertige Kundenbetreuung im Sinne von Customer Relationship Management (CRM), da sich sämtliche Informationsflüsse zentral steuern und verwalten lassen, das CallCenter ist ebenso prädestiniert für effiziente Neukundenacquise. Diese Situationsgerecht Anrufsteuerung Innerhalb einer Call-Center-Applikation lassen sich die unterschiedlichsten Situationen und Statusinformationen abfragen und auswerten, um eine automatisierte Anrufverteilung vorzunehmen: • Tageszeit • Vorwahl oder Rufnummern-ID des Anrufers • Tonwahlerkennung (DTMF) • VIP-Rufnummer • Anzahl der aktiven Anrufe • Anzahl der verfügbaren Agenten • Anzahl der Anrufer in Warteschlangen • Durchschnittliche Antwortzeit • Erwartete Antwortzeit • Auslastung weiterer Standorte thema des monats Call Center in a Box Applikationen in kompakter Form Mit der MultiVantage Applikationssoftware und dem leistungsstarken MediaServer S8300 und dem Media Gateway G700 stellt AVAYA eine äußerst kompakte und flexible Call-Center-Plattform mit modularem Systemkonzept vor, Es entfaltet seine Stärken bereits in kleinen und mittleren Implementationen. Damit eröffnen sich VoIP-Technologien auch jenen Unternehmen, für die eine solche Investition bisher nicht wirtschaftlich schien. Multitalent für Daten und Sprache Die Kombination aus Media-Server und modularem Media-Gateway mit der MultiVantage-Software schafft ein multifunktionales IP-System. Es realisiert neben der nahtlosen Verschmelzung von Daten- und Sprachnetzwerken umfangreiche Call-Center-Applikationen. Design, Implementierung und Betrieb sind durch die kompakte 19”-Form und die umfangreichen Call-Managementfunktionen äußerst komfortabel umzusetzen. S8300 und G700 vereinen modernste VoIP-Telefonie, Router- bzw. Switch-Technologie und LAN/WAN-Applikationen in einer Plattform. In Kombination mit den AVAYA Cajun Switches lassen sich Stack-Konfigurationen realisieren, ohne Signalkonvertierungen durchführen oder gar Performance-Einbußen befürchten zu müssen. MultiVantage nach Maß Die AVAYA MultiVantage-Software stellt umfangreiche Dienste in diversen Konfigurationen auf unterschiedlichsten Hardware-Plattformenr zur Verfügung. Ihre Call-Center-Applikationen unterteilen sich je nach Bedarf in die Varianten Basic, Elite und Delux. Schon die Basis-Version bietet Automated Call Distribution, Multiple Call Handling und Auto Attendant. Mit dem Campaign Manager und dem Call Recording, mit Call- und Priority- Queuing stehen umfangreiche Steuerungs, Analyse- und Auswertewerkzeuge zur Verfügung. Vom TK-System zum Call Center Durch Einfügen des Server-Moduls wird das Media-Gateway zum Media-Server. Das flexible Systemdesign ermöglicht vielfältige Konfigurationen, z.B. die Verknüpfung von Zweigstellen mit der Zentrale unter Beibehaltung entsprechender Fall-Back-Szenarien. Das System vereint die Funktion eines kompletten Layer2-Switches mit einem integrierten leistungsstarken VoIP-Prozessor. Ebenso kann es mit Cajun P330-LAN/WAN-Router-Modulen und verschiedenen digitalen oder analogen Media-Modulen ausgestattet werden. Das S8300-ServerModul enthält neben Funktionalitäten für Routing- und Sprachsignalisierung die AVAYA MultiVantage-Software und umfangreiche Messaging-Applikationen für Sprache, E-Mail oder Fax. Traditionelle Telefongeräte können mit IP-Endgeräten Seite an Seite betrieben werden, wobei Ihnen uneingeschränkt alle MutiVantage-Applikationen zur Verfügung stehen. Organisationsform hat heute beispielsweise schon längst bei Banken, Versicherungen, Energieversorgern, Medieneinrichtungen (Presse, Funk, Fernsehen) und im Versandhandel Einzug gehalten, bei denen Kundenbetreuung und -beratung schon sehr lange einen hohen Stellenwert haben. Aber auch in kleinen bis mittelständischen Unternehmen wie Reisebüros, Transport- und Logistikunternehmen, in größeren Arztpraxen, Anwaltskanzleien, Steuerberatungskanzleien, Telemarketingagenturen, Hotels u.v.m. sind die Vorteile von Call-Center-Lösungen gefragt. Voice-Mail Weitere Standardapplikationen, die für VoIP-Lösungen von elementarer Bedeutung sind Voice-Mail-Systeme. Mit ihnen ist ein Unternehmen rund um die Uhr für seine Anrufer da, auch außerhalb der Bürozeit. Insbesondere für kleinere TK-Systeme im SmallBusiness-Bereich, können VoiceMail-Systeme bei erhöhtem Kommunikationsaufkommen in Spitzenzeiten die Erreichbarkeit eines Unternehmens sichern. Kleine Lösungen ersetzen oft nur den klassischen Anrufbeantworter, nehmen also lediglich die Sprachnachrichten der Anrufer auf, verteilen die Nachricht ggf. in ein UM-System bzw. geben diese später wieder. Für die Call Center-Anwendung stehen dabei das Bereitstellen von Informationen über Sprachausgabe (- etwa das Abspielen von verschiedenen Ansagetexten - im Vordergrund, oder Fax on Demand und die Überlauffunktion, die eine Speicherung von Rückrufwünschen bei Lastspitzen oder Anrufen außerhalb der Servicezeiten vornimmt. Der Anrufer kann sich informieren und Wünsche, Bestellungen oder auch Reklamationen einsprechen. Das System stellt alle Nachrichten in Boxen zusammen, die später von Mitarbeitern abgearbeitet werden. 02 Ausgabe 02/2003 26 Voice-Box Durch ein zentrales Voice-Mail-System, das für jeden Mitarbeiter eines Unternehmens eine Voice-Box zur Verfügung stellt, ist gewährleistet, daß eine Nachricht genau an denjenigen gelangt, für den die Nachricht bestimmt ist. Für jedeVoice-Box können unterschiedliche Ansagetexte aufgesprochen werden, so daß der Anrufer erfahren kann, ob der Angerufene für längere Zeit abwesend ist, sich zum Beispiel im Außendienst befindet. Für letzteren Fall besteht für den Inhaber einer Voice-Box die Möglichkeit, sich ab einer vordefinierten Anzahl von Nachrichten in seinem Voice-Mail-System von dieser, zum Beispiel auf seinem Handy anrufen zu lassen und durch Eingabe seines PIN-Codes die für ihn bestimmten Nachrichten abzuhören. Somit erreichen den Angerufenen auch Nachrichten, die ein sofortiges Handeln erfordern, obwohl er außer Haus ist. Sprachnachrichten lassen sich durch ein Voice-Mail-System nicht nur von unterwegs abrufen, sondern auch weiterleiten, verteilen, modifizieren und/oder archivieren. Unified Messaging Durch das Unified Messaging erhält der Anwender die Möglichkeit, seine gesamten Sprach-, E-Mail- und Faxnachrichten mit Hilfe eines Multimedia-PCs oder Notebook zentral und effizient zu verwalten. Es stellt damit die konsequente Weiterentwicklung vom Voice-Mail-System zu einer einheitlichen Messaging-Plattform für alle gängigen Kommunikationsarten dar. Alle Nachrichtentypen können direkt am Desktop-System angesehen bzw. abgehört werden, und zwar unabhängig von Zeit und Ort. Hierdurch wird eine verbesserte und organisierte Kommunikation ermöglicht, die zu einer höheren Produktivität des Anwenders führt und schnellere Reaktionszeiten für den Kunden mit sich bringt. Investitionen, die bereits für das Unternehmensnetzwerk getätigt wurden, können voll ausgenutzt werden, da die Nachrichtenverw altung über das LAN bzw. IP durchgeführt wird. Als mögliche Client-Systeme für Unified Messaging steht meist schon MS-Exchange bzw. MS-Outlook, Lotus Notes oder Novell GroupWise zur Verfügung. Dabei fügt sich idealerweise das UM-System nahtlos in die angesprochenen Client- Abb. 2: Aufbau der Infrastruktur nach der Implementierung Systeme ein. Hinsichtlich der des Unified Messaging Verarbeitung und Beantwortung von Nachrichten etwa findet eine auswertung kann über ein Managevollständige Integration in die ge- ment-Tool automatisiert und elektrowohnte Benutzeroberfläche statt. nisch weiterverarbeitet werden, z.B. Aber auch bei der Administration er- durch Export in Excel oder die Angeben sich wesentliche Vorteile. An- bindung an Datenbanken. Idealerstelle mehrerer unterschiedlicher Sy- weise lassen sich die gesamten Komsteme mit jeweils eigenen Ver- munikationsdaten und -arten eines zeichnisdiensten und Speicherorten Kunden oder Geschäftspartners einlassen sich bei einem UM-System gehend wie ausgehend zuordnen und idealerweise alle Kommunikations- auswerten, womit eine auf ihn bezonachrichten in einem System verwal- gene Kostenbewertung realistisch ten und pflegen. Damit ergibt sich für und objektiv wird. den Administrator ein Single Point of Maintenance. Durch dieseVereinheitlichung lassen sich die Kosten für den IT-Support reduzieren. Anhand der Applikationen läßt sich überzeugend aufzeigen, wie vielfältig und ausgereift die Möglichkeiten Billing-System von modernen VoIP-Lösungen inzwiEin Verbindungsdaten-Management- schen sind. Sie finden schon breite System hält die Gesprächs- bzw. Verwendung zur Steigerung der EffiVerbindungsdaten eines Kommuni- zienz und Produktivität. Insofern ist kationsnetzes fest. Es ermöglicht die Überlegung weniger die, ob ein Kostentransparenz und damit die Er- Unternehmen mit VoIP starten soll, kennung von Einsparpotentialen. sondern eher wann. Die Frage, die es Dienst- und Privatgespräche lassen für jedes Projekt neu zu beantworten sich getrennt erfassen. Die Auswer- gilt, lautet daher, welches sind hier tung der Gesprächsdaten und evtl. des die geeigneten Killerapplikationen Voice-IP-Aufkommens insbesondere gegenüber klassischer Telefonie. Die bei VoIP-Lösungen mit IP-Billing- Vorteile und der Mehrwert von VoIP system erlaubt eine Verteilung der sind individuell. Denn auf den EinKosten im Unternehmen auf Kosten- satz kommt es an. stellen bzw. auf externe Aufträge und Projekte, Mandanten usw. Auch Fak- In unserem letzten Beitrag wollen wir turieren der Kommunikations-Ser- Komponenten für individuelle CTI viceleistung wird hiermit leicht ge- Lösungen vorstellen, u.a. die Telefonmacht. Die gesamte Gesprächsdaten- manager und Softphones. Fazit 02 Ausgabe 02/2003 27 h Technik News Patch-CD Februar 2003 HOTLINE Stand: 15. Januar 2002 NetWare NW 6.0 299913.exe AFP101Q.exe AFPLIC2.exe CONONE133SP1.exe DNSDHCP1.exe DSAUDIT.exe ES7000.exe FIXNAMES.exe FLSYSFT7.exe HTTPSTK1.exe NAASUPD3.exe NAAUPD2.exe NAT600D.exf NETDRV41.exe NFAP1SP2.exe NICI_U0.exf NIPP105.exe NSSCHECK.exe NW56UP1.exe NW6_ISS.txt NW6NBI1A.exe NW6NSS2B.exe Windows Clients Win 95/98 dt. NC332SP1.exe NPTR95B.exe W98332E.exe LOGN3321.exe Win 95/98 engl. NPTR95B.exe W98332E.exe NC332SP1.exe LOGN3321.exe NW6SMS1A.exe NDP2SP2C.exe NW6SP2.exe NWFTPD6.exe NWPAUP2.exe SNMPFIX.exe TCP605o.exe TRUST110.exe XCONSS9F.exe NW 5.1 299913.exe 4PENT.exe AFNWCGI1.exe COMX218.exe CONONE133SP1.exe DLTTAPE.exe DNSDHCP1.exe DS760C.exe DS880D_a.exe DSAUDIT.exe DSBROWSE.exe FLSYSFT7.exe FP3023A.exe Win NT/2000/XP dt. 291562.exe LOGN4831C.exe NC483SP1.exe FP3023S.exe HDIR501C.exe IDEATA5A.exe JVM133SP1.exe NAT600D.exe NDP21P4.exe NDP2SP2C.exe NESN51.exe NFAP1SP2.exe NICi_U0.exf NIPP104.exe NMASPT2.exe NW51_ISS.txt NW51FS1.exe NW51SP5.exe NW56UP1.exe NWFTPD6.exe NWPAUP2.exe OPLOC514.exe PKI202B.exe PSRVR112.exe SBCON1.exe SLP107G.exe ZENworks NDPC4831.exe NDPC4831.exe WNT483G.exe Win NT/2000XP engl. 291562.exe NC483SP1.exe 298848.exe NDPC4831.exe LOGN4831C.exe WNT483E.exe Miscellaneous Updates NW SAA 4.0 NW4SAA.exe SAA40020.exe SAA4PT1.exe iChain 2.0/2.1 IC20SP2.exe IC21SP1.exe GroupWise 6.6 GW62AOT.exe GW6SP2M.exe GW6TOMCAT_NT.exe GW6WASF.exe GWCSRGEN2.exe GWIA6SP1.exe GWPDLOCK.exe GWPORT32.exf WAVIEW71.exf SNMPFIX.exe STRMFT1.exe TCP581o.exe TRUST110.exe TSA5UP10.exe XCONSS9F.exe NW 4.2 DECRENFX.exe DS617.exe GROUPFIX.exe IPG4201.exe IPGSN10A.exe LONGNAM.exe NAT600D.exe NLSLSP6.exe NW4SP9.exe NW4WSOCK.exe NWIPADM.nlm ODI33G.exe SNMPFIX.exe TRUST110.exe XCONSS9F.exe eDirectory 8.x AM210PT2.exe AM210PT4.exe AM210SNP.exe AMW2KP2A.exe AMW2KSP1.exe C1UNX85A.exe DSRMENU5.tgz DSX86UPG.tgz EDIR862.exe EDIR862.tgz EDIR862SP3.tgz EDIR862SP3.exe EDIRW32.exe NAM21SP1.tgz NDSUNIX4.tgz NOVLNIUO-2.4.2.z PWDSCH.exf SIMPLE862UP.tgz UNIXINF1.tgz UNIXINS2.tgz WCNICIU0.exf ZENworks for Desktops 3.0 255099.exe ZD32SYBK.exe ZD3XJVM.exe ZDF32SP1CLIENT.exe ZDF32SP1SERVER.exe ZF3INVMP.exe ZFD3SP1A.exe Tools / DOCs ADMN519F.exe C1.exg CFGRD6B.exe CRON5.exe DBGLOG1.zip DSDIAG1.exe ETBOX7.exe HIGHUTIL1.exe LOADDLL1.exe MIGRTWZD.exe NCCUTIL11.exe NLSDLL.exe NWSC1.exe ONSITB8.exe STUFKEY5.exe TBACK3.exe TCOPY2.exe ZENworks 3.0 for Server NICI24CPK.exe ZFS3SP1.exe ZFS3SP1MANW5.exe ZFS3SP1MANW5.exe ZS3SCH.exe ZENworks for Desktops 4.0 ZFD4AGENTMSI.exf Bordermanager 3.6/3.7 ADMATTRS.exe BM37UPN2.exe BM35ADM7.exf BM37VPN2.exe BM36C02.exe BMAS3X01.exe BM36SP2A.exf NBMICSA1.exe BM37FLT.exe PXY031.exe BM37SP1.exe PXYAUTH.exe RADATR3A.exe SETUPEX.exe Cluster Services CS1SP4.exe CVSBIND.exe Deutsche Updates HOTLINE Windows NT 4.0 DEUQ300972I.exe DEUQ328145i.EXE GERQ323172i.exe SP6I386G.exe Windows 2000 ENPACK_WIN2000ADMIN_GER.exe Q299956_W2K_SP3_X86_DE.exe Q311967_W2K_SP3_X86_DE.exe Q318593_W2K_SP3_X86_DE.exe Q810649_W2K_SP4_X86_DE.exe Q329170_W2K_SP4_X86_DE.exe W2KSP2SRP1D.exe W2KSP3.exe Windows XP xpsp1_de_x86.exe Q329390_WXP_SP2_x86_DEU.exe Q329170_WXP_SP1_x86_DEU.exe Microsoft .NET NDP10SP357.exe Exchange 2000 EX2KSP2_SERVER.exe Q320436ENUI386.exe Internet Explorer 6.0 IE6SETUPG.exe Q313675.exe Q316059D.exe Q324929G.exe Windows XP Q315000_WXP_SP1_x86_NEU.exe WM320920_8.exe xpsp1_en_x86.exe Q329390_WXP_SP2_X86_ENU.exe Q329170_WXP_SP2_X86_ENU.exe Microsoft .NET NDP10SP317396.exe Exchange 2000 Q278523ENGI.exe Internet Explorer 6.0 IE6SETUPE.exe Q316059D.exe Q324929E.exe Exchange 5.5 SP4_550G.exe Englische Updates Windows NT 4.0 Windows 2000 MPRI386.exe ENPACK_WIN2000ADMIN_EN.exe PPTPFIXI.exe Q299956_W2K_SP3_X86_EN.exe Q323172i.exe Q311967_W2K_SP3_X86_TWE.exe Q328145i.exe Q316094_W2K_SPLl_X86_EN.exe RRASFIXI.exe Q318593_W2K_SP3_X86_EN.exe SP6I386.exf Q810649_W2K_SP4_X86_EN.exe Q329170_W2K_SP4_X86_EN.exe W2KSP2SRP1.exe W2KSP3E.exe Patches Exchange 5.5 SP4_550E.exe 02 Ausgabe 02/2003 28 ARCserve 2000 englisch Basis Produkt Updates QO30918.CAZ (SP4) QO29368.CAZ (SP4 QO31854) QO29003.CAZ (SP4 QO31854) QO27942.CAZ (SP4) QO27941.CAZ (SP4) QO27928.CAZ (SP4) QO27920.CAZ (SP4) QO23827.CAZ (SP4) QO22113.CAZ (SP4) QO20824.CAZ (SP4) QO19741.CAZ (SP4) QO19666.CAZ (SP4) QO19251.EXE QO19353.CAZ (SP4 QO19352.CAZ (SP4) QO19351.CAZ (SP4) QO05692.CAZ (SP4) LO85115.CAZ (SP3) QO23524.CAZ (SP4) r Client Agenten QO29236.CAZ QO28844.CAZ QO24149.CAZ (SP4) QO19337.CAZ LO86966.CAZ Device Support QO31854.CAZ (SP4) Agent for Open Files QO27937.CAZ Disaster Recovery QO30557.CAZ (SP4) QO28649.CAZ (SP4) QO27924.CAZ (SP4) QO20404.CAZ (SP4) Exchange QO22840.CAZ (SP4) LO94975.CAZ Lotus Notes QO22886.CAZ (QO22616) QO21794.CAZ (SP4) QO10195.CAZ SQL LO91562.CAZ Image Option QO17318.CAZ Oracle QO23524.CAZ (SP4) Serverless Backup QO20992.CAZ (SP4) ARCserve 2000 deutsch ARCserve 2000 ASO ARCserve 7.0 NetWare QO30918.CAZ (SP3) QO29368.CAZ (SP3 QO31854 ) QO29003.CAZ (SP3, QO31854 ) QO27942.CAZ (SP3) QO27941.CAZ (SP3) QO27928.CAZ (SP3) QO27920.CAZ (SP3) QO22619.CAZ QO22113.CAZ (SP3) QO20824.CAZ (SP3) QO19741.CAZ (SP3) QO19668.CAZ (SP3) QO15579.CAZ (QO15176) QO15331.CAZ QO15176.CAZ (SP3) QO09494.CAZ QO06336.CAZ QO04949.CAZ (SP3) QO00944.CAZ (SP3) QO00943.CAZ (SP3) QO30918.CAZ QO29368.CAZ (QO31854) QO29003.CAZ (QO31854) QO22113.CAZ QO20824.CAZ QO19741.CAZ (QO15178) QO19353.CAZ QO19352.CAZ (QO15178) QO19351.CAZ (QO15178) QO15579.CAZ (QO15178) QO15571.CAZ QO15331.CAZ QO15178.CAZ QO10201.CAZ QO08105.CAZ QO05189.CAZ QO00944.CAZ QO00943.CAZ LO98929.CAZ QO31736.CAZ (QO24373) QO31093.CAZ (QO20942) QO29270.CAZ (QO24239) QO28648.CAZ (QO05996) QO27406.CAZ (QO05996) QO24763.CAZ (QO08364) QO24478.CAZ (QO12831) QO24373.CAZ (QO20942) QO24239.CAZ (QO16426) QO23731.CAZ (QO05996) QO20942.CAZ (QO05996, QO12831, QO16426) QO20907.CAZ (QO05996) QO19341.CAZ (QO12831, QO05996) QO17320.CAZ (QO05996) QO16426.CAZ (QO05996, QO12831) QO15463.CAZ (QO05996) QO12831.CAZ (QO05996) QO11242.CAZ (QO05996) QO08364.CAZ (QO05996) QO06599.CAZ (QO05996) QO05996.CAZ ohne QO19339.CAZ QO28844.CAZ QO19337.CAZ QO31854.CAZ (SP3) QO31854.CAZ (SP4) QO32110.CAZ (QO05996) QO27937.CAZ QO27937.CAZ LO90527.CAZ QO30072.CAZ QO27924.CAZ QO27924.CAZ QO16630.CAZ QO13758.CAZ (SP3) QO06202.CAZ (SP3) LO85115.CAZ (SP3) QO19351.CAZ (QO15176) QO22831.CAZ (SP3) QO13760.CAZ QO22840.CAZ Groupwise Agent QO11943.CAZ Storage Area Network QO14907.CAZ LO98879.CAZ QO15790.CAZ QO10199.CAZ LO89345.CAZ QO10201.CAZ LO95010.CAZ (SP3) ohne QO10618.CAZ QO10618.CAZ QO23524.CAZ (SP3) QO23524.CAZ QO12765.CAZ QO20992.CAZ (SP3) QO06297.CAZ (SP3) QO20992.CAZ QO06297.CAZ Tape Library Option LO98883.ZIP (QO05996) ARCserve 9.0 Windows BABv9WP1.EXE CAZIPXP.EXE für alle Dateien zum Entpacken der .CAZ Dateien. Bintec Router Software Bingo! BGO521P1.bg Bingo! Plus/Professional BGO494.bgp Bingo! DSL B6205P04.bgd BrickWare u. Config. Wizard BW628.exe NLMDISK.zip rot Brick XS/Office BRK512.xs BRK521P2.xs2 Brick XMP BRK521P1.XP Brick XM BRK511.xm BRK521P1.xm2 seit unserer letzten Veröffentlichung neu Ausgabe hinzugekommen 02/2003 grün Technik News Service-CD Brick X.21 BRK495.x21 Brick XL/XL2 BRK521P1.xl Netracer NR494P1.zip XCentric XC533.xcm MODULE14.xcm blau gelb 29 X8500 B6205P04.x8a X4000 B6205P04.x4a X3200 B6205P04.zip X2100/2300 B6205P04.x2c X1000 / 1200 B6205P04.x1x aus Platzgründen nicht mehr auf der Monats-CD auf der letzten Service CD 02 h HOTLINE Brightstor ARCServe Backup v9 für Windows BABv9WP1.EXE (engl.) Diese Datei beinhaltet den ersten kumulativen Patch für die ARCserve Version 9 für Windows und die aktuelle Geräteunterstützung. Er behebt ein Problem mit der Disaster Recovery Option, wenn von ARCserve 2000 auf die Version 9 upgedatet wurde, der Windows Backup Agent jedoch nicht mit aktualisiert wurde. Dieser Patch stellt dann die Abwärtskompatibilität wieder her. Doch kann auch der Windows 2000 Agent mit SP4 auf die Version 9 aktualisiert werden, um die Funktion wiederherzustellen. Nach Einspielen des Patches muß ein Vollbackup gefahren werden, die Bootdisketten müssen neu erstellt werden. Zum Installieren muß die Datei einfach auf jedem Backup Server aufgerufen werden, das Programm findet dann automatisch die installierten Komponenten und führt das Update durch. Für manche Patches wird der vorherige Einsatz von Service Packs oder früherer Patches vorausgesetzt Die Beschreibung nennt die Voraussetzungen, in den Listen der empfohlenen Patches stehen sie in Klammern. Die aktuelle Liste unterstützter Geräte finden Sie unter esupport.ca.com. bzw. unter http:// support.ca.com/techbases/basb9/ basb9_cdl.html. QO31854.CAZ (dt. / engl.) Neben der Unterstützung für die neuesten Bandlaufwerke und Changer, behebt dieser Patch neun verschiedene Fehler, die unter bestimmten Umständen auftreten. Bei der Disaster Recovery (IDR) müssen nach Einspielen des Patches neue Bootdisketten erstellt werden. Voraussetzung: SP4 (engl.), SP3 (dt.), keine für ASO. QO30557.CAZ (engl.) Ein Problem mit Disaster Recovery tritt auf, wenn man ein von der CD bootbares Image (CD basierende Methode) auf einem NT 4.0 Server erstellen möchte und versucht, ein Disaster Recovery durchzuführen. Der Wizard kopierte beim Erstellen der Cdboot.iso die DLLs in den falschen Pfad bootdisk statt bootdisk.w2k. Daraufhin schlägt die Disaster Recovery fehl, da es kein Medium lokalisieren kann. Voraussetzung ist SP4. QO27924.CAZ (dt./engl.) Dieser Patch verhindert, daß die Disaster Recovery Informationen gesichert werden, obwohl kein komplettes Backup vorhanden ist. Nach dem Einspielen des Patches muß zuerst wieder ein komplettes Backup vorliegen, dann erst kann die Disaster Recovery Information gesichert werden. Voraussetzung: SP4 (engl.), SP3 (dt.), keine für ASO. Englisch wenn nicht anders deklariert) Die Dateien mit der Endung CAZ müssen mit dem Programm und der Syntax Cazipxp.exe –Dateiname entpackt werden ARCserve 2000 QO30918.CAZ (dt./engl.) Die Fehler E8511 und E8512 treten auf, wenn ein Backup Job, bei dem die NDS zum Sichern ausgewählt wurde, verändert wurde und dann erneut aufgegeben wird. Voraussetzung: SP4 (engl.), SP3 (dt.), keine für ASO. ARCserve 7 für NetWare QO31736.CAZ Mit Einsatz dieses Patches wird die Zeit verringert, die benötigt wird, um die Anzeigebildschirme beim Backup oder Device Manager zu erneuern (refresh). Voraussetzung: Patch QO24373. HOTLINE QO29368.CAZ (dt./engl.) Das Problem unable to connect to group begegnet uns, wenn ein Auftrag zum Wiederherstellen von Daten startet. Wenn die Tape Engine in den Debug Mode geschaltet wurde, wird die Meldung Error in connecttotape(), The Tape in the slot xx is different from what the enduser wanted in das Tape.log geschrieben. Der Auftrag wird nicht durchgeführt. Voraussetzung: SP4 (engl.), SP3 (dt.), kein SP für ASO, jedoch für alle Versionen der neue Patch QO31854 (s.u.). QO31093.CAZ Dieser Patch ermöglicht beim Durchsuchen großer NDS-Bäumen, die NDS Objekte wieder zu expandieren. Voraussetzung: Patch QO20942. QO32110.CAZ Neben der Unterstützung für die neuesten Bandlaufwerke und Changer ist in dieser Datei der Testfix T11B200 enthalten, wenn Asdb.nlm und Capeer.nlm nicht entladen werden können. Die beiden NLM referenzierten aufeinander und verlangten, daß das jeweils andere zuerst entladen werden solle. Voraussetzung: Patch QO5996.CAZ. Patch-Listen auf der Monts-CD Die Listen der empfohlenen und neu erschienenen Patches und Updates finden Sie nun als offene Excel Dokumente auf der Monats-CD im Verzeichnis _PatchListen. Demo-Version von G+H TreeCommander auf der Monats-CD Patches 02 Ausgabe 02/2003 30 255099.exe 192 KB Ein Patch für ZenWorks for Desktops 3.x behebt das Hängenbleiben bei der Installation auf einem NW 4.11 Server. AFP101Q.exe 188 KB Patch für das Novell Native File Access Pack, der den AFP-Sleep Mode unterstützt. Probleme mitAbends, Directories und Commnad-Line Optionen wurden behoben BM37SP1.exe 3505 KB SP1 für Bordermanager 3.7 mit Updates für den gesamten Lieferumfang. EDIR862SP3.exe 14463 KB Das SP3 für eDirectory Services 8.6.2 für alle Novell und Microsoft Plattformen in der internatonalen Version darf nicht auf NW 4.x und 5.0 oder NDS 6.x, 7.x, 8.x, 8.5.x, 8.7.x installiert werden. ModulVersionen in diesem Update: DS 10350.12, DSREPAIR 10250.34 und NLDAP 10350.08. EDIR862SP3.tgz 8016 KB SP3 für eDirectory 8.6.2 für Solaris und Linux in der internationalenVersion mit den Modulversionen: NDSD 10350.11, NDSREPAIR 10250.33 und LDAP 10350.07. Das Update bitte nicht auf einer NDS Version 8.x, 8.5 oder 8.7 installieren! Client geladen werden konnten (s. TID 10073624 ). Patch-Listen auf der Monts-CD Die Listen der empfohlenen und neu erschienenen Patches und Updates finden Sie nun als offene Excel Dokumente auf der Monats-CD im Verzeichnis _Patch Listen. LOGN4831C.exe 454 KB Multiple Login und GINA-Probleme des Novell Clients 4.83 werden behoben. NCCUTL11.exe 839 KB Mit den Tools NCCREAD.exe und NCCSCAN.exe kann man Netware Clients monitoren und analysieren. NDP3SP2C.exe 3623 KB Diese Update enthält den iPrint Client aus der Datei NIPP105.exe und die Snapins für den NWadmin, um Printer Agents mit dem neuen Novell Gateway konfigurieren zu können. Diesen Patch nur auf Servern verwenden, die mit SP2 für NW 6 bzw. SP5 für NW5.1 gepatcht wurden. NDPC4831.exe 280 KB Das NDPS Update für den Novell Client 4.83 behebt das Problem, daß der Drukkertreiber nicht via NDPS RPM auf den NT483PT4.exe 403 KB Die wichtigsten Updates des Novell Clients 4.83 wurden zusammengefaßt: NWFS.sys, NWDHCP.sys, NWDNS.sys, NWSAP.sys, SRVLOC.sys und NWVPNUP.exe. NWPAUP2.exe 229 KB Das NWPA.nlm aus dem SP2 der NW6 und dem SP5 der NW5.1 wurde aus den Service Packs einzeln herauskopiert, da einige Installationen auf bestimmten Hardware-Plattformen ohne Service Pack Probleme zeigten. PWDSCH.exf 95 KB Patch für das Novell Account Management zur Passwort Synchronisation in einer Multi-Tree-Umgebung. In der Standard Version önnen Sie Paßworter vom Activ Directory oder einer NT-Domäne bislang mit nur einem NDS-Tree synchronisieren, hiermit geht´s nun auch mit mehreren. ZFD4AGENTMSI.exf 41205 KB Diese Dateien und Anweisungen benötigen Sie, um mit dem Applikation Launcher die ZenWorks for Desktops Management Dateien Agent.msi an die Arbeitsplätze zu verteilen. BW628.exe 8883 KB Die BRICKware for Windows r. 6.2.8 hat neue Funktionen bei HP-OpenView-Integration sowie dem Activity Monitor (Namensauflösung und Kommandozeilenargumente). Änderungen wurden vorgenommen beim Setup, der Wizard-Unterstützung, den Lizenzen in Release 6.1.1 und höher sowie den DIME Tools. Probleme bei Activity Monitor und dem DIME Tools ISDN Trace wurden gelöst. Der Activity Monitor zeigt unter Windows XP Fehlverhalten, denn Icons in der Taskleiste werden nicht korrekt dargestellt.Aktiviert man die Ausblendung inaktiver Router, so können auch die Icons aktiver Router aus der Taskleiste entfernt werden. Bei der Schnellen Benutzerumstellung (Fast User Switching) unter Windows XP kann der Activity Monitor zwar von allem Benutzern gestartet werden, die Informationen werden aber nur einem der Benutzer angezeigt. Q810649_W2K_SP4_X86_EN.exe 3537 KB (engl) Q810649_W2K_SP4_X86_De.exe 3547 KB (dt.) Das Update für Windows 2000 bietet bessere Unterstützung anderer Browser, so daß man nicht mehr gezwungen wird, den Internet Explorer zu verwenden. Q329390_WXP_SP2_x86_ENU.exe 283 KB (engl.) Q329390_WXP_SP2_x86_DEU.exe 285 KB (dt.) Das Security Update für Windows XP beseitigt einen Fehler des SMB-Signals, der dazu führte, daß einAngreifer die Group Policy modifizieren konnte. Q329170_W2K_SP4_X86_EN.exe 1167 KB (engl.) Q329170_W2K_SP4_X86_DE.exe 1172 KB (dt.) Aktuelles Security Update vom Dezember 2002 für Windows 2000. Q329170_WXP_SP1_x86_ENU.exe 516 KB (engl.) Q329170_WXP_SP1_x86_DEU.exe 519 KB (dt.) Das Security Update für Windows XP behebt den Fehler eines nicht geprüften Buffers in der Windows Shell. Hierdurch kann der Angreifer die Kontrolle über den Rechner bekommen. 02 Ausgabe 02/2003 31 h HOTLINE CISCO Einbruchssicherung Teil 2: IDS-Konfiguration auf Cisco Routern und PIX Von Jörg Marx Wir haben letztens das Cisco Intrusion Detection System für IOS Router und Cisco Pix skizziert und gesehen, welche Gegenmaßnahmen bei Denial-of-Service-Attacken getroffen werden können. Nun wollen wir daran gehen, die Konfiguration des IOS bzw. des Pix IDS vorzunehmen. C Cisco Systems hat IDS-Funktionen in ihre IOS Router ab der Version 12.0.5(T) und in die Pix Firewall seit der Version 5.2.(1) implementiert. Prinzipiell ist die Arbeitsund Funktionsweise dieselbe. Das IDS kann Pakete löschen und Sitzungen zurücksetzten, wenngleich es Alarme lediglich an einen normalen Syslog Server senden kann, aber nicht an den Cisco Secure Policy Manager oder den IDS Director. IOS IDS und Pix IDS verfügen beide über 59 Standardsignaturen. Unterschiede gibt es in den eingeschränkteren Konfigurationsmöglichkeiten der Pix. Hinweis: Wir werden im Schwerpunkt der kommenden TN 03/2003 zum Thema “Intrusion Detection Systeme” die Problematik und die verfügbaren IDS-Strategien und -Techniken im Detail darlegen. Bei der Konfiguration des Cisco IOS möchten wir uns auf den Teil beschränken, der auf dem Router bzw. auf der Pix vorgenommen werden muß. Die eventuell dahinterliegende IDS-Managementlösung wird nicht Bestandteil dieses Artikels sein. Es wird ein Lösungsansatz vorgestellt, der davon ausgeht, daß der IOS Router bzw. die Cisco Pix den Traffic ins Internet regelt und als Firmenschnittstelle zum Internet dient. Zuerst zeigen wir Ihnen die Einstellungen für IOS Router mit IDS. HOTLINE Cisco IOS IDS In dem von uns verwendeten Beispiel hat der Cisco Router die IOS-Version 12.2.12a mit IP, Firewall, IDS und 3DES Verschlüsselung (vgl. Abb. 1). Wir verwendeten einen Cisco 1720, auf dem CBAC Acces-Listen definiert sind, die nur von innen initiierte Sessions zulassen. Zudem verfügt der Router über NAT, so daß von außen nicht erkennbar ist, welche IP-Konfiguration sich hinter dem Router befindet. Für die Einstellungen im IOS sind im Prinzip nur ein paar Zeilen erforderlich, die Sie der Konfiguration hinzufügen müssen: IP AUDIT NOTIFY LOG IP AUDIT NAME IDS INFO ACTION ALARM IP AUDIT IDS ATTACK ACTION ALARM DROP RESET Mit dem ersten Kommando teilen Sie dem Cisco Router mit, daß er für das IDS das Syslog Logging verwenden soll. Hierzu ist es erforderlich, daß auf dem Cisco Router ein Syslog Server definiert wurde, der im internen Netz zu finden ist. Mit der zweiten und dritten Zeile wird ein IDSProfil mit dem Namen IDS erstellt. Dieses Profil ist so ausgelegt, daß es bei Informations- und bei Angriffsnachrichten alarmiert, das Paket löscht und die Session beendet. Dieses Profil müssen Sie abschließend noch auf ein Interface binden. Hierzu geben Sie die folgenden Kommandos ein: INTERFACE ETHERNET 0 IP AUDIT IDS IN Hiermit wird das Profil IDS auf das eingehende Ethernet O Interface gesetzt. Es prüft somit jedes ankommende Paket nach den IDS-Richtlinien bzw. vergleicht diese mit den Signaturen. SHOW-Kommandos Zum Überprüfen der Einstellungen hält Cisco wie immer einige Show-Kommandos bereit. SHOW SHOW SHOW SHOW SHOW SHOW IP IP IP IP IP IP AUDIT AUDIT AUDIT AUDIT AUDIT AUDIT ALL CONFIGURATION INTERFACE NAME SESSIONS STATISTICS Um die Konfiguration zu prüfen, sollten Sie mit dem Kommando SHOW IP AUDIT CONFIGURATION arbeiten. Hier erhalten Sie alle wichtigen Einstellungen zum IDS, zum Beispiel folgende: Event notification through syslog is enabled Event notification through Net Director is disabled Default action(s) for info signatures is alarm Default action(s) for attack signatures is alarm Default threshold of recipients for spam signature is 250 PostOffice:HostID:0 OrgID:0 Msg dropped:0 :Curr Event Buf Size:0 Configured:100 Post Office is not enabled - No connections are active Audit Rule Configuration 02 Ausgabe 02/2003 32 Audit name ids info actions alarm attack actions drop reset Ist die Konfiguration des IDS auf dem Router abgeschlossen, müssen Sie noch sicherstellen, daß ein Syslog Server in Ihrem Netzwerk läuft, der die Informationen sammelt. Cisco PIX IDS In unserem zweiten Beispiel haben wir eine einfache gehostete Umgebung vor uns, in der eine Cisco Pix die Verbindung ins Internet herstellt. Auf dem Inside Interface befinden sich verschieden Server, Web-Server oder Mail-Server, die gehostet werden (vgl. Abb. 2). Auch auf der Pix finden Sie die CBAC Access-Listen, die nur einen von innen initiierten Verkehr zulassen. NAT versteckt das interne Netz nach außen hin. Um IDS auf der Pix zu verwenden, sollte mindestens die Software Version 5.2 laufen, in unserem Beispiel war es die Version 6.2.2. Auch hier arbeiten wir mit einem Syslog Server und nicht mit einem Cisco Secure Policy Manager oder dem IDS Director. Deshalb muß das Syslog bereits aktiviert sein. Hierzu benutzen Sie das Kommando LOGGING. Abb. 1: IDS auf einem Cisco Router Die IDS Konfiguration auf der Pix geht über das Kommando IP AUDIT vonstatten, wie schon zuvor im IOS, jedoch sind hier mehr Verknüpfungen erforderlich. Hier im einzelnen die Kommandos: IP AUDIT INFO ACTION ALARM IP AUDIT ATTACK ACTION ALARM IP AUDIT NAME IDSATTACK ATTACK ACTION ALARM DROP RESET IP AUDIT NAME IDSINFO INFO ACTION ALARM IP AUDIT INTERFACE OUTSIDE IDSINFO IP AUDIT INTERFACE OUTSIDE IDSATTACK Die ersten beiden Zeilen aktivieren IDS auf allen Interfaces und geben hierzu Alarme auf Info- oder Angriffssignaturen. Zeile drei und vier definiert ein IDS-Profil mit einem Namen für die Alarmmeldung und einem weiteren für die Gegenmaßnahmen, wie etwa Pakete zu löschen und die Session zurückzusetzen. Die Zeilen 5 und 6 weisen diese Profile den entsprechenden Interfaces zu. Damit ist die Konfiguration des IDS auf der Pix abgeschlossen. SHOW Kommandos Auch bei der Pix haben Sie mit Kommandos wie SHOW IP AUDIT INFO die Möglichkeit zu prüfen, welche IDS Features auf der Pix aktiv sind. SHOW IP AUDIT ATTACK zeigt an, daß die Ausgabe bei einem Angriff ein Alarm sein wird. SHOW IP AUDIT INTERFACE OUTSIDE sagt Ihnen, welche Profile dem Interface zugewiesen sind. SHOW IP AUDIT NAME IDSINFO listet den Inhalt des Profiles IDSINFO. Syslog Server Abb. 2: IDS auf einer Pix Welche Informationen der Syslog Server empfängt bzw. ausgibt, und wie diese auszuwerten sind, wird an einem Beispiel deutlich. Folgende Zeilen könnte ein Syslog Server zeigen, wenn der IDS-Sensor auf dem Router oder der Pix eine Auffälligkeit erkannt hat. %PIX-4-400027: IDS:3041 TCP SYN+FIN flags from 134.135.12.12 to 152.146.14.14 on interface outside. Diese Zeile zeigt an, daß die IP-Adresse 134.135.12.12 einen Aufklärungsangriff auf die IP-Adresse 152.146.14.14 gestartet hat. Dieser Vorgang wird als Angriff gewertet, das Paket gelöscht und die Session zurückgesetzt. Die Meldung %PIX-4-400027: IDS:2001 ICMP unreachable from 134.135.12.12 to 152.146.14.14 on interface outside zeigt an, daß jemand versucht hat, die Paketfilterung zu umgehen. Auch hierbei handelt es sich um eine Angriffsmeldung. Erscheint %PIX-4-400027: IDS:2001 ICMP echo reply from 134.135.12.12 to 152.146.14.14 on interface outside, so besagt diese Meldung, daß von der IP-Adresse 134.135.12.12 eine erfolgreiche ICMP-Echo Meldung (Ping) an die IP-Adresse 152.146.14.14 gesendet wurde. Hierbei handelt es sich jedoch um eine bloße Information, bei der keine weitere Gegenmaßnahme eingeleitet wird. 02 Ausgabe 02/2003 33 h HOTLINE CISCO LAN Switching Teil 1: Grundlagen der Switch-Technologie Von Jörg Marx Die Switching-Technologie hat die LANs erobert. Fast alle Netzwerke sind heutzutage geswitcht. Entstanden aus dem Bedarf nach immer höheren Bandbreiten, kamen mit der neuen Technologie auch Herausforderungen und Probleme auf die Netzwerkadministratoren zu, die es in den vormals Hub-gestützten Netzwerken nicht gab. Wir möchten Grundlagen und Praxis des LAN Switching aus Sicht des Herstellers Cisco näher beleuchten. W Wir werden etwas weiter ausholen, um die Grundregeln des LANSwitching und die Umsetzung der Technologie bei den verschieden Cisco Switches zu erklären. Es geht uns am Anfang dieser Artikelserie um die Standard-Techniken. Darauf aufbauend werden wir die erweiterten Technologien der wichtigsten CiscoKomponenten vorstellen. HOTLINE Bridge und Switch Ein Hub, wir erinnern uns, ist ein reiner Verteiler und Signalverstärker. Er selbst besitzt keine eigene Intelligenz, um die Performance zu optimieren. Ein Paket, das an ihn geschickt wird, kann von jedem angeschlossenen Teilnehmer gesehen werden, denn im Hub findet kein Verteilprozeß statt. Anfangs gab es die gute alte Ethernet Bridge, die erstmals eine Lastaufteilung und Segment-Verlängerung vornahm. Vom Prinzip her macht ein Switch nichts anderes, wenngleich heutzutage wesentlich schneller und hochperformant. Er überwacht dabei alle durchlaufenden Pakete, um die MAC-Adresse der am Port angeschlossenen Geräte zu erfahren. Mit diesen Informationen füllt der Switch seine eigene Datenbank, denn nach einem Reboot ist diese immer erst einmal leer. Erst wenn über jeden verbundenen Port ein Paket gesendet wurde, ist die Datenbank vervollständigt. MAC-Adresse Anhand seiner Adreß-Datenbank ist der Switch in der Lage, jedes eingehende Paket anhand seiner Quell- und Zieladresse bestimmten Ports zuzuordnen. Somit kann er das eingehende Paket direkt an den Port weiterleiten, an dem das Bestimmungsgerät mit seiner Ziel MAC-Adresse angeschlossen ist. Oder andersherum ge- sehen, alle anderen Ports, die das Paket nichts angeht, sehen es auch nicht. Diese Verfahren wird als Frame Filtering bezeichnet. Was ist aber, wenn die Ziel-MACAdresse nicht in der Switch-Datenbank vorhanden ist? In diesem Fall wird das Paket im Flooding-Verfahren über sämtliche Ports weitergeleitet, bis der Switch an einem bestimmten Port die gewünschte MAC-Adresse findet und sie in die Datenbank eintragen kann. Heutzutage ist dieser Vorgang besonders schnell, weil die Entscheidungsprozesse fast ausschließlich in der Hardware (ASIC) des Switches ablaufen. Daraus ergibt sich die um ein Vielfaches erhöhte Performance gegenüber der althergebrachten Ethernet Bridge, annäherungsweise in Wirespeed. Um solch rasend schnelle Switching-Prozesse zu realisieren, bietet Cisco drei unterschiedliche Verfahren an, das Store and Forward, das Cut-Through und das Fragment-Free-Verfahren. Store and Forward Beim Store-and-Forward-Verfahren liest der Switch das ankommende Paket komplett ein und legt es in seinem Buffer ab. Als erstes führt er eine Überprüfung im Layer 2 durch und prüft, ob das Paket fehlerhaft ist oder nicht. Ist es fehlerhaft, wird es verworfen. Wird kein Fehler festgestellt, schaut der Switch in seiner Forwarding-Tabelle nach, um den entsprechenden Port (bei Unicast) oder gleich mehrere (bei Multi- oder 02 Ausgabe 02/2003 34 Broadcast) zu finden, an den die Pakete weitergeleitet werden sollen. Der Vorteil dieses Verfahrens liegt in der Fehlerüberprüfung der Pakete, der Nachteil in den höheren Latenzzeiten, da jedes Paket erst komplett eingelesen werden muß. Denn dadurch sinkt die Performance des Switches. Cut-Through Das Cut-Through-Verfahren liest im Gegensatz zum Store-and-ForwardVerfahren nur die ersten 6 Bytes des Paketes ein. Darin befinden sich die Quell- und Zieladresse. Wichtig ist dem Switch aber nur das Ziel, sobald er die Zieladresse ausgelesen hat, sieht er in seiner Forwarding-Tabelle Abb. 1: Netzwerk mit Schleifen nach, um den oder die Ziel-Ports zu finden und das Paket direkt dorthin weiterzuleiten. Der Vorteil liegt in der geringeren Latenzzeit, da der Switch das Paket nicht komplett einlesen muß, um es weiterzuleiten. Hierdurch gewinnt er deutlich an Performance. Der Nachteil des Cut-Through-Verfahrens ist, daß keine Fehlerprüfung der Pakete stattfindet, so daß auch fehlerhafte Pakete häufiger weitergeleitet werden können. Fragment-Free Beim Fragment-Free-Verfahren wird ein Kompromiß zwischen dem Store and Forward und Cut Through gewählt. Hierbei liest der Switch die ersten 64 Byte ein, bevor über die Forwarding Table den entsprechende Port adressiert. In diesen ersten 64 Byte kann somit zumindest eine Kollisionsprüfung durchgeführt werden. Hiermit hat der Switch eine besserer Fehlerüberprüfung als beim Cut-ThroughVerfahren mit minimalen Performance-Verlusten in Form. Abb. 2: Netzwerk, nachdem Spanning Tree abgearbeitet wurde Spanning Tree Ein wichtiger Punkt bei der Konfiguration eines Switches ist das SpanningTree-Protokoll. STP wird verwendet, um eine Schleifenbildung zu verhindern, wenn es mehrere Pfade zu einem Ziel gibt. Unser 02 Ausgabe 02/2003 35 Schwerpunktthema RSTP beschreibt die Prinzipien des STP im Detail. Deshalb wollen wir hier die wesentlichen Begrifflichkeiten und Apekte zu STP, die für unsere praktische Arbeit mit den Cisco Switches von Interesse sind, nur kurz zusammenfassen. Schleifen Die unangenehmen Begleiterscheinung der Schleifenbildung können wir uns an folgendem Beispiel noch einmal vor Augen führen (vgl. dazu Abb. 1). Wird eine Broadcast-Nachricht aus dem Segment 3 versendet, so würden die Bridges B und C diese Nachricht an das Segment 3 weiterleiten. Die Bridge A würde in diesem Fall zwei Broadcasts empfangen und diese an das Segment 1 weiterleiten. Auch die Bridge D hätte diesen Broadcast an das Segment 1 weitergeleitet. Bridge D wird jedoch nun die beiden Broadcasts von Bridge A wieder in das Segment 2 weiterleiten und so werden sich die Broadcasts so langsam hochschaukeln. Root Bridge Dieses Verhalten führt zum Broadcast Storm, der je nach Beschaffenheit das ganze Netzwerk lahmlegen kann. Um dies zu vermeiden, nutzen wir das Spanning-Tree-Protokoll. Denn aus Redundanz-Gründen ist es oftmals nötig, Parallel-Verbindungen (Schleifen) aufzubauen. STP erzeugt eine schleifenfreie Netzwerktopologie. Hierzu werden die Verbindungen, die eine Schleife verursachen, in den Blocking Mode versetzt und damit gesperrt. Im ersten Schritt wird dazu im Netzwerk die sogenannte Root Bridge benannt. Welches Gerät das sein wird, hängt davon ab, wie die verschiedenen Switches eingestellt sind. Haben alle die gleiche Bridge Priority, so wird die Root Bridge über die MAC-Adresse der einzelnen Switches ermittelt, mehr oder weniger zufällig. Möchten Sie jedoch einen bestimmten Switch zur Root Bridge machen, muß dieser mit einer höheren Bridge Priority - und das bedeutet einem niedrigen Wert - ausgestattet werden. Als Root Bridge soll- h HOTLINE te zweckmäßiger Weise ein zentraler performanter Switch ausgewählt werden. Ist dieser definiert, wählt jede andere Bridge im Netz einen ihrer Ports mit dem geringsten Pfadaufwand (Path Cost) zur Root Bridge hin. Der Pfadaufwand ist die Summe aller zu durchquerenden Interfaces bis zur Root Bridge. Kommando-Eintrag auch weggelassen werden kann. Das Spanning-TreeProtokoll IBM wird nur noch aus Kompatibilitätsgründen zu alten IBM-Geräten benötigt. Um sich die Spanning-Tree-Konfiguration anzusehen, geben Sie SHOW SPANNINGTREE ein. BPDU-Pakete Im nächsten Schritt wird die designierte Bridge ermittelt. Hierbei handelt es sich um diejenige, die in jedem LAN den geringsten Pfadaufwand nachweisen kann und somit als einzige in dieses Segment Pakete weiterleiten darf. Alle anderen Ports der anderen Bridges werden in den Blocking Mode versetzt. Diese Kommunikation geht über sogenannte BPDU-Pakete (Bridge Protokoll Data Units). Dabei handelt es sich um einen besonderen Nachrichtentyp, ein Hello-Paket, das in Spanning-TreeKonfigurationen zum Austausch von Management- und Steuerinformationen zwischen den einzelnen Bridges verwendet wird. Aus den ausgewerteten Informationen wird anschließend die Topologie des Netzwerkes erstellt. Anhand der Abbildung 2 können Sie diesen Prozeß noch einmal verfolgen. Root Bridge ist in diesem Beispiel ist Bridge A, designierte Bridge ist B. An allen Interfaces finden Sie die Pfadkosten, die zur Berechnung herangezogen werden. Wenn Sie die Bridge Priority eines Switches im laufenden Betrieb verändern und sich auch die Root Bridge ändert, ist Ihr komplettes Netz bis zu 60 Sekunden lahm gelegt. Spanning Tree führt eine komplett neue Wegewahl durch, so daß in dieser Zeit keine andere Kommunikation möglich ist. Bridge Priority Das Kommando SPANNING-TREE VLAN (vlan-id) PRIORITY (bridge priority)dient dazu, einen Switch als Root Bridge zu definieren. Der Wert der b r i d g e priority kann zwischen 0 und 65535 liegen, Default ist 32768. Je niedriger dieser Wert, um so höher die Priorität und somit die Wahrschein- lichkeit, daß dieser Switch die Root Bridge wird. Sie können bestimmte Werte verändern, beispielsweise die Max Age, Hello Time und Forward Delay. Doch sollten Sie diese Werte zunächst unverändert lassen. Wenn man an ihnen drehen möchte, muß zuvor eine Berechnung des Spanning Trees in diesem Netz durchgeführt werden. Haben Sie einen reinen IOS-Switch, läuft die Konfiguration etwas anders. Das Kommando BRIDGE (bridge-group) PROTOCOL IEEE/DEC aktiviert Spanning Tree, NO BRIDGE (bridge-group) PROTOCOL IEEE/DEC deaktiviert STP. Auch hier ist das DEC-Protokoll nur noch aus Kompatibilitätsgründen implementiert, Default ist auch hier IEEE nach dem 802.1D Standard. Anschließend muß jedes Interface in diese Bridge Group mit dem Kommando BRIDGE-GROUP (bridgegroup), auf dem Interface, eingefügt werden. Die Bridge Priority definieren Sie wie mit B R I D G E (bridge-group) PRIORITY (bridge priority). Welche Probleme zu einer Fehlfunktion des Spanning-Tree führen können, ist das Thena des nächsten Beitrags. Tips BackupToDate BrightStor ARCserve Backup v9 für NetWare Fatal Error bei Installation HOTLINE Die Konfiguration Kommen wir also nun zu den Einstellungen auf den Cisco Switches. Auf allen Switches ist Spanning-Tree defaultmäßig auf VLAN 1 aktiv. Jedes weitere VLAN auf einem Switch benötigt seine eigene Spanning-TreeKonfiguration. Zum Aktivieren ist SPANNING-TREE VLAN (vlanid) PROTOCOL IEEE/IBM einzugeben, zum Deaktivieren: N O SPANNING-TREE VLAN (vlanid) PROTOCOL IEEE/IBM. Als Default-Protokoll nutzen die Cisco Switches immer IEEE, so daß dieser Während der Installation von ARCserve 9 kann es zu einem Fatal Error kommen: A fatal error has occurred. This program will terminate. You may check D:\Program Files\Common Files\Novell\ni\data\ni.log for more details after you dismiss this dialog. Null. Um das Problem zu beheben, muß auf der Arbeitsstation der Ordner NI umbenannt und die Installation wiederholt werden. Der Ordner wird während der Installation automatisch wieder erstellt. Unter Umständen müssen Sie auch noch auf dem Server in den Verzeichnissen Sys:\Ni\Update\Data, Sys:\Ni\Update\lib und Sys:\Ni\Data alle Dateien löschen, die zuARCserve gehören. Auf NetWare 5.1 Servern kann es außerdem nötig sein, den Befehl prodsync menu an der Serverkonsole aufzurufen und darüber alle BrightStor Einträge zu löschen, die sich auf dem Server befinden. Ein Neustart des Servers ist nach dem Löschen der Dateien ebenfalls erforderlich. ARCserve kann übrigens auch an der Server Konsole direkt installiert werden. Es werden dabei die Novell Installation Services (NIS) verwendet, welche dann über die Novell GUI laufen. 02 Ausgabe 02/2003 36 G+H Beam uns rüber, Scotty Tree Commander im Novell eDirectory Die G+H Netzwerk-Design bietet auch für Administrationsaufgaben im Novell eDirectory ein leistungsstarkes Tool, das Kopiervorgänge und die Implementation von Objekten in Verzeichnisbäumen wesentlich vereinfacht. Der Tree Commander ist ein einfacher Browser für intelligente Manipulationen im eDirectory von Novell. Er besteht aus Designer und Engine. D Der Tree Commander von G+H ist beim Re-Design eines Verzeichnisbaumes genauso hilfreich wie beim Aufbau eines neuen. Beispielsweise um einen Meta-Verzeichnisbaum anzulegen, der seine Objekte aus bestehenden Trees erhalten soll. Directory Design Die Designer-Komponente des Tree Commander ermöglicht es, Objekte aus einem Verzeichnisbaum auf einfachste Art und Weise umzukopieren. Das Ziel des Kopiervorganges kann dabei derselbe, aber auch ein anderer oder ein neuer Verzeichnisbaum sein. Mittels Filteroptionen kann der Kopiervorgang nach vordefinierten Eigenschaften detailliert beschrieben werden. Alle Einstellungen erfolgen über ein grafisches Interface und benötigen somit keinerlei Kenntnis von Skriptsprachen. Szenarien Weil der Designer das Ergebnis eines Kopiervorganges zunächst nur simuliert, kann das gewünschte Resultat vorab überprüft werden. Mehrere Kopiervorgänge können zu einem Szenario zusammengefaßt werden. Ein solches Szenario kann mit allen seinen Eigenschaften gespeichert und später wieder geöffnet werden. Werden zum Beispiel Benutzer- und Gruppenobjekte innerhalb eines Szenarios verschoben, sorgt der Designer automatisch dafür, daß die zugehörigen Gruppenmitgliedschaften eines Benutzers entsprechend den neuen Gruppenlokationen im Zielverzeichnisbaum angepaßt werden. Ist ein neu entstandenes Szenario abschließend geprüft und für wohl befunden, setzt die Engine-Komponente des Tree Commander es in die Realität um. Eine genaue Trace-Ausgabe sowie Statusanzeigen und ein Simulationsbetrieb ermöglichen eine detaillierte Analyse des Kopiervorganges. Metaverzeichnisse Metaverzeichnisse dienen heutzutage als eine Art Datendrehscheibe zwischen verschiedenen Verzeichnisdiensten, beispielsweise für Anwendungen oder Datenbanken. Metaverzeichnisse sorgen automatisch dafür, daß die relevanten Daten bestimmte Verzeichnisdienste, Applikationen und Databases erreichen. Dies geschieht mittels Event-Steuerung bzw. mit einem Poll-Mechanismus. Dazu ist nicht allein die Ablage von benutzerspezifischen Daten mit Namen, Login, Paßwort oder Zugriffsrechten erforderlich, sondern auch die Synchronisation in WAN und LAN. Zudem müssen Netzwerkressourcen wie Server, Workstations oder Drukker bekannt gegeben werden. Informationen zu Volumes, Printqueues 02 Ausgabe 02/2003 37 und Policies, zu DNS, DHCP oder PKI wollen hinterlegt werden. Verzeichnis-dienste arbeiten demnach als zentraler Datenspeicher für Services und Applikation wie auch für Benutzer, Kunden- und Lieferanten. Sie erst ermöglichen diesen den Zugang und die Nutzung unterschiedlicher Anwendungen im Intra- und Extranet. Der Tree Commander hilft, die Komplexität der Systeme zu durchdringen und Strukturen neu zu gestalten. Eine Demoversion mit Produktbe-schreibung finden Sie auf der aktuellen TN Monats-CD im Verzeichnis TreeCommander. Nach dem Programmstart werden Sie dazu aufgefordert, sich mit dem angegebenen Aktivierungscode zu melden, per Mail an [email protected], via Fax oder Telefon. G+H generiert daraufhin eine Lizenzdatei, die Sie nur noch in das Programmverzeichnis kopieren müssen. Zur Installation des Tree Commander ist die folgende S/N erforderlich: PWX93-45792-8376X-XWEXX. Nach Ablauf des 30-tägigen Tests können Sie dann eine reguläre Lizenz-Datei erwerben. Info unter www.netzwerk-design.de. h HOTLINE SONICWALL Global Management System Teil 1: Security Features und Anforderungen Von Hardy Schlink Wir haben in den letzten beiden Ausgaben die Installation und Konfiguration der SonicWALL Security Appliances behandelt. Sie formen eine umfassende Sicherheitslösung, um das Netzwerk vor verschiedensten Angriffen zu schützen. Diesmal wollen wir Ihnen das SonicWALL Global Management System vorstellen, das zur zentralen Verwaltung verteilter Internet Security Appliances dient. I In dieser Ausgabe wollen wir uns zunächst allgemein mit der grafischen Management-Software für die Sonic WALL Internet Security Appliances auseinandersetzen. Sie trägt den Namen SonicWALLGlobal Management System oder kurz SGMS. Wir werden skizzieren, für welche Aufgabenbereiche die Software entwickelt wurde. Daran anschließend werden ihre wichtigsten Features vorgestellt und die unverzichtbaren Voraussetzungen für eine erfolgreiche Installa- HOTLINE Hotline Support Bei Compu-Shack erhalten Sie telefonischen Support für die breite Palette der SonicWALL SecurityProdukte. In einem professionellen CallCenter helfen Ihnen erfahrene Systemingenieure wie unser Autor Hardy Schlick bei der Lösung von akuten Problemen. Die Compu-Shack Hotliner beseitigen gemeinsam mit Ihnen Fehlerquellen direkt am Telefon. Für sporadische Anfragen wählen Sie die 0190 / 87 55 22 (1,86 EUR pro Minute). Für dauerhaften AllInclusive-Support ist die VIP-Support-Card die richtige Lösung. Kostenlose Informationen zum Leistungssprektrum des Compu-Shack Supports erhalten Sie unter 02631-983988 oder im Internet unter www.cs-support.de. tion. Sie erfordert eine funktionierende Datenbank, wobei wir einen Microsoft SQL Server 2000 benutzt haben. Dessen Vorbereitung und die eigentliche Installation der Management-Software werden Inhalt des nächsten Beitrags sein. SGMS Heutzutage stehen immer mehr Unternehmen und Service-Provider vor der Herausforderung, eine Sicherheitsstrategie in ihre verteilten Netzwerke zu implementieren. Diese setzt sich aus mehreren Bausteinen zusammen, um verschiedene Bereiche wie VPNs, Virenschutz und dasVerhindern von Hacker-Attacken abzudecken. Mit dem Anwachsen der verteilten Netzwerkstruktur und durch die Integration von Außenstellen mit der Zentrale eines Unternehmen über das Internet wächst die Komplexität des Managements der Security-Appliances, Security-Policies und Updates. Eine einzige Schwachstelle in der Implementation der Sicherheitsstrategie an irgendeinem Punkt des Netzwerkes kann die komplette Infrastruktur gefährden und somit den böswilligen Zugriff auf kritische Daten ermöglichen (vgl. dazu auch die grundsätzlichen Überlegungen der Common Criteria for Security in unserer neuen Praxis-Serie). Der Schaden durch Sicherheitslücken kann unter Umständen ein finanzielles Desaster für ein Unternehmen bedeuten. Sicherheit tut not. Security-Management Sehr oft wird das Security-Management noch auf Basis eines sogenannten ”Site by Site Managements” ausgeführt, wobei jede Außenstelle eines Unternehmen für die Einhaltung der Security-Policies sorgt. Diese Art des Management ist sehr zeitintensiv, teuer und oft auch unzuverlässig. Um die Site by Site Security der verteilten Netzwerke abzulösen und ein zentrales Management zu realisieren, stellt SonicWALL zwei Software-Suiten ihres Global Management Systems in verschiedenen Editionen zur Verfügung, die Standard Edition und die Entry Edition. Aufgabenbereich Die Standard-Edition ist für Großunternehmen oder Service-Provider gedacht, die Tausende von SonicWALL Security-Appliances von einer zentralen Lokation aus verwalten möchten. Die Entry Edition ist für kleinere bis mittlere Unternehmen und Service-Provider die bevorzugte Wahl, da das Management bereits ab fünf installierten SonicWALL SecurityAppliances möglich wird (siehe Abb. 1). Beide Software-Suiten stellen dem Administrator eine kosteneffektive, auf Browser basierende übergreifende Management Lösung zur Verfügung. Durch die Bereitstellung der entsprechenden Tools lassen sich die Security-Policies einfach konfigurieren und verwalten und VPN-Policies bis zum Benutzer verteilen. Durch 02 Ausgabe 02/2003 38 das Hinzufügen von verschiedenen Services wie etwa das Network AntiVirus und Content Filtering erhält der Anwender einen zusätzlichen Mehrwert für seine Security-Appliances. Beide Management-Applikationen helfen den Unternehmen, eine durchgehende Sicherheitslösung zu implementieren, Kosten einzusparen und das Verteilen der Security-Policies zu beschleunigen. Features Zu den wichtigsten Features des SonicWALL Global Management Systems gehören das Centralized Secure Management, die Managed VPN Services, das Distributed Security Management und das ViewPoint Reporting. Centralized Mit dem Centralized Secure Management ermöglicht SonicWALL GMS dem Administrator das entfernte Verwalten der Internet Security Appliances von einer zentralen Lokation aus. Es vereinfacht die Aufgaben der Definition und Verteilung von vollständigen, spezifischen oder gruppenbezogenen Security Policies sehr weitreichend. Nicht nur die Bearbeitung der Firewall-Funktionen ist möglich, SonicWALL erlaubt zusätzlich die Konfiguration weiterer Security-Dienste wie das genannte Network Anti Virus oder Content Filtering . SonicWALL GMS sorgt mit Managed VPN Services dafür, daß die Definition und Distribution von VPNPolicies leicht von der Hand gehen. Durch die Verwendung der Management-Software wird erreicht, daß die Anwendung der VPN-Policies auf den entsprechenden Appliances erzwungen wird, Hierdurch ist sichergestellt, daß alle Remote Sites und User mit den aktuellsten Updates und Policies arbeiten. Informationen zu den Installationsvoraussetzungen der Solaris Server Systeme finden Sie im SGMS Installation Guide unter http://www.sonicwall.com/ products/documentation/ sgms_documentation.html von Informationen in Real Time und als Historical Reports zu generieren. Diese Daten dienen einer anschließenden Analyse von Security-Events. Voraussetzungen Das Installationsprogramm des SGMS (HTML) erkennt automatisch, ob es sich beim zugrunde liegenden Betriebssystem um Windows NT/ 2000/XP oder um eine Solaris ServerPlattform handelt. Die Installationsroutine selbst ist bei allen Systemen gleich. Da die meisten Installationen wohl auf einer Windows-Plattform stattfinden, wollen wir uns im Verlauf dieses Artikels auf deren Voraussetzungen konzentrieren. Bevor Sie an die eigentliche Installation des SGMS gehen, sollten Sie sich vorab die allgemeinen Anforderungen des Programms an seine Arbeitsumgebung etwas genauer anschauen. Sie betreffen Datenbanken, Treiber und das SGMS Gateway ebenso wie Betriebssystem- und Netzwerkanforderungen. Distributed Der Verantwortungsbereich des Managements kann vom Administrator mit Hilfe des SGMS segmentiert werden. Somit können Zuständigkeiten für bestimmte Security-Appliances entsprechend definierten Anwendergruppen zugeAbb. 1: Aufbau des SonicWALL Global Management Systems ordnet werden. Durch die Vergabe von Rechten und Privilegien für einen Multi-Level-Access wird sichergestellt, daß nur eine ganz bestimmte Gruppe die SecurityAppliances managen kann. Durch die Bereitstellung eines Reporting-Systems erlaubt SGMS die grafische Darstellung der Firewall- und Netzwerkaktivitäten aller verwalteten Internet Security Appliances. Mit Hilfe von ViewPoint erhält der Administrator die Möglichkeit, eine Vielzahl ersetzen 02 Ausgabe 02/2003 39 Eine Kopie des i-net SPRINTA™ JDBC Treibers finden Sie auf der SonicWall GMS CD-ROM. Wir empfehlen Ihnen, die Datenbank aus Performance- und Sicherheitsgründen auf einem separaten Server zu implementieren. Datenbank und Gateway Um die Managementapplikation SGMS nutzen zu können, benötigen Sie entweder eine Oracle 9i Datenbank oder einen Microsoft SQL Server 2000 mit SP2. Für den eigentlichen Zugriff auf die Datenbanken wird weiterhin ein Java Database Connectivity Treiber (JDBC) gebraucht. Im Falle des SQL Servers 2000, wird der i-net SPRINTA JDBC Driver vom Setup-Programm der SGMS Installationsroutine bereits automatisch auf der ManagementMaschine hinterlegt. h HOTLINE Der Datenbank-Server muß mit wenigstens einem 750 MHz Prozessor, 512 MB RAM und 2 GB freiem Plattenspeicher die Mindestanforderungen erfüllen. Um das SonicWall Global Management System einsetzen zu können, ist es erforderlich ein sogenanntes SGMS Gateway zwischen jedem SonicWALL GMS Agent Server und den zu verwaltenden Security-Appliances zu integrieren. Das SGMS Gateway erlaubt jedem der Agent Server über VPN-Tunnels eine sichere Kommunikation mit den Appliances, entweder über Management VPN-Tunnel oder via Site-to-Site VPN-Tunnel. COMPU-SHACK TRAINING Sicherheit mit SonicWALL Security-Training mit Extra on Top Die SonicWALL-Schulungen der Compu-Shack Training bieten Administratoren, Security-Verantwortlichen und Support-Mitarbeitern praxisnahes Know-how für die Planung, Inbetriebnahme und Betreuung von Netzwerken mit SonicWALL-Komponenten. Nach Abschluß des Trainings SonicWALL Security Administrator geht die während der Schulung benutzte SonicWALL TELE3 (Not for Resale, NFR) in den Besitz des Kandidaten über, ein attraktives “Extra on Top”. Compu-Shack Training bietet ab März 2003 Schulungen zum Thema SonicWALL Security an. Interessenten können wählen zwischen der Qualifizierung zum SonicWALL Security Administrator mit Abschlußtest oder einem Intensivtraining zu SonicWALL Advanced VPN. Netzwerk HOTLINE Wie eingangs gesagt, beziehen wir uns hier auf Windows NT/2000/XPPlattformen. Um SGMS anforderungsgemäß installieren und ausführen zu können, wird ein Administrator Account benötigt. Die Betriebssystemanforderungen sind Windows NT 4.0 mit SP4 oder höher, Windows 2000 oder XP Professional. Der lokale und entfernte BrowserZugriff erfolgt über Internet Explorer oder Netsca pe 4.7. Auf jedem Windows-basierenden SGMS-Server muß für Oracle 9i ein Client installiert werden, außerdem für Oracle wie für Microsoft SQL Server der JDBCTreiber. Wir brauchen min. eine 750 MHz CPU, 512 MB RAM und 85 MB freien Speicherplatz. Security Administrator mit Extra Das 2-Tage-Seminar ”SonicWALL Security Administrator” mit Extra on Top bietet eine intensive TELE-TZX-Schulung und versetzt Sie in die Lage, die betriebsspezifische Netzwerksicherheit mit SonicWALL individuell zu planen, einzurichten und zu warten. Themenschwerpunkte sind Firewall-Technologien, grundlegende Installationsschritte, Tips und Tricks für die Praxis sowie SonicWALL IPSc VPN und Content Filter. Als Abschluß des Kurses wird der CSSA Online-Test zum Certified SonicWALL Security Administrator abgelegt. Das Besondere dabei ist, daß on Top die während der Schulung benutzte SonicWALL TELE3 (NFR) nach Abschluß des Trainings in den Besitz des Teilnehmers übergeht. Der Preis für das zweitägige Training beträgt 1450,- •. Die Termine sind der 17. bis 18. März 2003 in Neuwied und der 21. bis 22. Mai 2003 in München. Bandbreite SonicWALL Advanced VPN Design Installation und Betrieb der SGMSSoftware stellen folgende Anforderungen an das Netzwerk. Der SGMS Server benötigt direkten Zugriff ins Internet und muß über eine statische IP-Adresse verfügen. Die Netzwerkverbindung des SGMSServer muß sicherstellen, daß mindestens 1 KByte/s an Bandbreite für jede zu verwaltende SecurityAppliance zur Verfügung steht. Wenn also das Management von 100 Appliances ansteht, muß die Verbindung eine Bandbreite von 100 KByte/s unterstützen. Der Tages-Kurs ”SonicWALL Advanced VPN” vermittelt die Details beim Design von VPN-Konzepten und Technologien, einschließlich der Installation und Konfiguration. Ebenso werden IPSEC-Implementation und -Kryptographie behandelt. Weitere Schwerpunkte bilden das Design von SonicWALL-Lösungen sowie das Troubleshoooting.Der Kurs findet am 19. März 2003 in Neuwied und dem 23. Mai 2003 in München statt. Der Preis beträgt 790,- € •. Für beide Kurse sind gute TCP/IPKenntnisse und ein grundlegendes Verständnis von Netzwerkkonzepten erforderlich, insbesondere der Topologien und des OSI-Schichtenmodells. Netzwerkkenntnisse von Microsoft Windows sind hilfreich. Für den Kurs ”SonicWALL Advanced VPN” sind erste, allgemeine Kenntnisse über VPN-Tunnel von Vorteil. Für eine persönliche Beratung und Anmeldungen steht das Compu-Shack Training Team unter 02631-983-317 gerne zur Verfügung. Weitere Informationen zu Trainings, Terminen und Preisen finden Sie im Internet unter www.training.compu-shack.com. 02 Ausgabe 02/2003 40 SONICWALL Services Support nach Maß SonicWALL bietet differenzierte Support-Programme an, die darauf ausgerichtet sind, daß Kunden die bestmögliche Unterstützung für Appliances und das Global Management System erhalten. Je nach Bedarf können die Support Services während der Arbeitswoche oder rund um die Uhr in Anspruch genommen werden. Für das SGMS ermöglicht die implementierte Mandantenfähigkeit das Anbieten von Security Services durch Telekommunikationsunternehmen und Service Provider. F Für die SonicWALL Appliances besteht neben einem Hardware Vorabaustausch ein Telefon- und Web Support, mit Zugang zur Knowledge-Datenbank und zu Firmware Updates. Während der Garantiezeit von einem Jahr können diese Leistungen an 90 Tagen während der lokalen Geschäftszeiten in Anspruch genommen werden, bei Abschluß des Jahresvertrages 8x5 während des ganzen Jahres zu lokalen Geschäftszeiten und beim SonicWALL Support 24x7 sogar rund um die Uhr. Garantie-Support Die SonicWALL-Produkte sind zuverlässig, einfach zu installieren, zu konfigurieren und zu managen. Die SonicWALL-Support-Garantie enthält einen erweiterten Austausch-Service für defekte Hardware, einen 90Tage-Telefon-Service und Web-basierten Support für die Installation oder Hilfen bei der Konfiguration während der lokalen Geschäftszeiten. Die ersten 90 Tage erhalten Kunden kostenlos Software und Firmware Updates über ihren Zugang zu SonicWALLs elektronischen Support Tools. 8x5 oder 24x7 Für Kunden, die erweiterten technischen Support und weitere Vorteile durch zusätzliche Software und Firmware Updates wünschen, bietet SonicWALL den Support 8x5 an. Dieser Jahresvertrag enthält erweiterten Austausch-Service für defekte Hardware, Telefon- und Web-Support während der Geschäftszeiten sowie Zugang zu allen Soft- und Firmware Updates. Bei Kunden mit kritischen Netzwerken, die keine Ausfallzeiten dulden, erweitert der SonicWALL Support 24x7 diesen Jahresvertrag um weitere Services. Telefon- und WebSupport stehen an sie ben Tage pro Woche rund um die Uhr zur Verfügung, für eine Eskalationsintervention bei Problemen der höchsten Prioritätsstufe. SGMS Support Für das SonicWALL Global Management System, die übergreifende Software-Plattform zum zentralen Verwalten der Sicherheitsinfrastruktur einer oder mehrerer Unternehmungen, sind die Support Services während der einjährigen Garantiezeit und bei den Serviceverträgen 8x5 oder 24x7 die gleichen wie zuvor. Der Comprehensive GMS Support 8x5 und 24x7 schließt die Appliances zusätzlich mit ein. Die implementierte Mandantenfähigkeit erlaubt das Anbieten von Security Services durch Telekommunikationsunternehmen und Service Provider. Denn viele Unternehmen stehen vor der Frage, ob die über verschiedene Standorte verteilten Sicherheitssysteme wie Firewalls, VPNSysteme und Antiviren-Lösungen mit eigenen oder fremden Ressourcen verwaltet werden sollen. 02 Ausgabe 02/2003 41 Managed Services Die strategische Entscheidung, sich auf das Kerngeschäft zu fokussieren und damit Bereiche wie die IT-Sicherheit outgesourct zu betreiben, liegt im Trend. Für Carrier, Ser vice Provider und Security Outsourcing Firmen stellt sich die Frage, wie die verteilten Sicherheitssysteme der Kunden effektiv und kostengünstig betrieben werden können. Die Lösung ist der Managed Security Service, der mit Hilfe einer zentralen Sicherheits-ManagementPlattform erbracht wird, die zentral beim Service Provider oder in der internen IT-Abteilung installiert ist. Sie verbindet jede Außenstelle über einen sicheren VPN-Tunnel, durch den die für das Management notwendigen Informationen ausgetauscht werden. Reporting Informationen, Policy Definitionen, VPN Tunnel-Parameter und Konfigurationsdaten von Antiviren und URL-Filter sind in einer zentralen Datenbank abgelegt. Das Management durch unterschiedliche Administratoren erfolgt über eine Web-basierte Konsole. Hinweis Ein Compu-Shack Learning Cycle informiert im Februar zu VPNs mit SonicWALL. Das Global Management System sowie die Interoperabilität mit VPN-Produkten anderer Hersteller sind das Thema. Weitere Info in der Rubrik Vorschau. h HOTLINE WATCHGUARD Firebox Vclass Enterprise Level Security Mit der neuen Firebox Vclass Produktserie von WatchGuard erhält die High Speed Network Security Einzug in das Netzwerk. Die Systeme sind auf das Enterprise Class Business, auf Remote Offices, auf Service Provider und Data Center ausgerichtet und abgestimmt. Nachdem wir uns letztens mit den WatchGuard Fireboxes befaßt haben, wollen wir Ihnen nun auch die Features und Vorzüge der Vclass Serie vorstellen. D Die WatchGuard Firewall-Appliances der Vclass sind selbst höchsten Ansprüchen an die Skarlierbarkeit der VPN-Technologie gewachsen. Je nach Gerät können bis zu 20.000 IPSec-Tunnel aufgebaut werden. Die Integration von vier Embedded RISC-Prozessoren dient dabei zur beschleunigten Ausführung der Firewall-, NAT- und QoS-Funktionen. Gleichzeitig wird eine höhere Flexibilität erreicht. Die Firebox VclassModelle V100, V80, V60 bieten eine umfassende Kombination aus Software- und Management-Tools, für eine konsistente Netzwerk-Infrastruktursicherheit. Die Firebox Vclass V10 ist als sogenannter VPN Endpoint ausgelegt. HOTLINE Stateful Packet Filter Die Stateful Packet Filtering Technologie sorgt für das performante Scannen der IP-Header des gesamten Datenverkehrs sowie für den schnellen Zugriff auf Source/Destination Port und IP-Adresse. Der Filter verfolgt, welcher Traffic jede Workstation versendet, und welcher DatenTyp typischerweise als nächstes zu erwarten ist. Gerichtet auf das nächste zu erwartende Paket, welches zu einer normalen Session gehört, legt das Stateful Packet Filtering sofort entsprechende Accept oder Deny Rules im System an. VPN Unterstützung Das VPN Management erfährt eine Vereinfachung, indem VPN-Traffic zu mehreren Endpunkten geroutet wird, die alle einen einzelnen VPN-Tunnel benutzen. Die integrierte VPN-Software ermöglicht das Konfigurieren von Security Policies für die VPNTunnels, um die sogenannten Extranets abzusichern. Auch einzelne Remote-Mitarbeiter erhalten durch die WatchGuard Mobile User VPN Software, die einfach in die Modelle V100, V80, V60 eingebunden werden kann, einen sicheren Zugang zum Netzwerk. Die Firebox Vclass V10 unterstützt jedoch kein Mobile User VPN und WatchGuard Authentication Server SecureID. NAT Network Address Translation sorgt dafür, daß zur Kommunikation mit dem Internet nur die öffentlichen IPAdresse(n) verwendet werden. Die privaten Adressen der Server oder Workstations werden entsprechend durch die Firebox übersetzt, und sind daher im öffentlichen Netz nicht bekannt. Zusätzlich erlaubt NAT den Zugriff auf Ihre internen Servern, welche über nicht registrierte IP-Adressen verfügen. Die Vclass Firewalls supporten hierbei statische NAT und dynamische NAT, reelle One-to-one NAT, Subnet-to-Subnet NAT, Port Forwarding und Virtual IP. Policy based Mit Hilfe der Firebox Vclass Serie und QoS erhalten Administratoren die Möglichkeit, ein Policy based Traffic Management aufzubauen. Durch die Funktion des Weighted fair Queueing werden den einzelnen Policies entsprechende Prioritäten vergeben. Für ein- und ausgehenden Datenverkehr können die DiffServ Codepoint- (DSCP) und TOS-Informationen überschrieben werden, um persönliche Anforderungen zu realisieren. Das Traffic Management QoS erlaubt es den Firebox Vclass Appliances, an sogenannten Multiprotocol- (MPLS) Umgebungen teilzunehmen. Optionen Durch das Abonnieren der Anti-VirusLösung von McAfee erreichen Sie zusätzliche Sicherheit für Ihre Desktop-Systeme. VirusScan ASaP bietet den kontinuierlichen Schutz gegen bekannte Viren, Web-Attacken und EMail Intrusion. Alle Firebox Vclass Appliances beinhalten eine einmalige VirusScan ASaP Subscription, automatische Updates sind durch eine ”Live Security Subscription” einfach zu handhaben. Ein Premier Service Program wurde ins Leben gerufen, um eine erhöhte Verfügbarkeit Ihrer Firewall-Appliances sicher zu stellen. Sie erhalten damit einen 24-StundenSupport an 7 Tagen pro Woche und direkten Zugang zum Priority Support Team, mit einer garantierten maximalen Antwortzeit von einer Stunde. Network Features Über das Multi-Tenant Security Management haben Managed Service Providers (MSPs) und Co-Location Web-Server Provider die Möglichkeit, unabhängige Policies für bis zu 02 Ausgabe 02/2003 42 200 Tenants (Mieter, Pächter) zu definieren, unterstützt durch die Policybasierenden Features 802.1Q VLAN Tagging, Routing und Firewall User Authentication. In einer sogenannten Hub and Spoke-Topologie ist das VPN-Tunnel-Switching eine effektive und effiziente Methode, um Corporate VPNs zu verwalten. Der Administrator wird in die Lage versetzt, VPN-Tunnels zwischen Zentrale und Außenstellen schnell und einfach zu implementieren. Load Balancing Wenn der durch die Firebox Vclass strömende Datenverkehr auf eine bestimmte definierte Policy paßt, so wird dieser Traffic automatisch auf den Server umgeleitet, der hierfür die leistungsfähigsten Ressourcen zur Verfügung stellt. Der Datenverkehr wird zwischen den verfügbaren Servern durch sechs verfügbare Algorithmen verteilt, die da wären: Roundund Weighted Round-Robin, Random, Weighted Random, Leastund Weighted- Least_Connections. Durch High Availability Active/ Active (A/A) und die Benutzung von zwei gleichen Vclass-Appliances wird nahezu eine Verdoppelung des Durchsatzes erreicht, indem der Datenverkehr gleichzeitig durch diese hindurch geleitet wird. Zusätzlich wird ein Stateful Failover (Redundanz) der Firewalls und VPN-Verbindungen erreicht. Die Option steht durch den Erwerb einer weiteren Lizenz für die Modelle V100 und V80 zur Verfügung. Quality of Service QoS optimiert die Kontrolle eines komplexen Netzwerkes, indem den unterschiedlichen Arten von Datenverkehr für Sprache, Daten, Video und Applikationen eine bestimmte Priorität zugeordnet wird. Die Geräte der Firebox Vclass Serie verwenden hierfür die Funktion des Weighted Fair Queueing zur Priorisierung der Policies. Port Shaping erlaubt es der Appliance, den Traffic zu verlangsamen und hiermit einen Paketverlust für hierfür empfindliche Datenströme zu vermeiden. Auch die Technik des Traffic Shaping sorgt durch eine Priorisierung nach der Wichtigkeit der Daten dafür, daß keine Pakete verloren gehen. Vcontroller Management Die Firebox Vcontroller Management Software kommt zum Einsatz, wenn es darum geht, eine oder wenige Appliances zu verwalten. Hierfür stehen verschiedene Built-In Management-Tools zur Auswahl. Das Device Discovery Feature sorgt dafür, daß die IP-Adresse der Vcontroller Management Workstation nicht abgeändert werden muß, damit diese dem Subnetz entspricht, in dem die IPAdresse des privaten Interfaces der Appliance liegt. Durch den Import eines XML-Profile kann die Konfiguration der Vclass-Systeme ausgeführt werden, was sinnvoll ist, um mehrere Geräte schnell in Betrieb zu nehmen. Der Install Wizard dient einer schnellen und einfachen Installation und verringert gleichzeitig die administrativen Kosten. Durch den Schritt-für-Schritt-Prozeß gestaltet sich die erstmalige Inbetriebnahme des Systems und der Policies als denkbar einfach. Der wohlabgestimmte Prozeß vermeidet Fehler, die bei komplexen Konfigurationsprogrammen an der Tagesordnung sind. Mit Hilfe des Policy Checker können in Remote Sites konfigurierte Policies überprüft und als ausführbar deklariert werden. Weiterhin kann sichergestellt werden, daß die neuen Policies richtig geschrieben wurden und in der korrekten Reihenfolge angewendet werden. Für die Security einer Firewall spielen auch die Logging-Fähigkeiten eine Rolle. Sie können z.B. Logs zu einem Server senden, der für das Empfangen von entsprechenden Nachrichten vorbereitet wurde (Archivierung). Auch die Analyse der Log-Dateien mit Hilfe einer Third Party Software wie WebTrens sollten Sie in Betracht ziehen. CPM Management Das WatchGuard CPM Management vereinfacht dieVerteilung der Policies über eine zentrale Console, über die das Verwalten von mehreren Firebox Vclass Installationen im gesamten Enterprise-Netzwerk ermöglicht wird. Der primäre Einsatzort dieser Software ist im Enterprise-Netzwerk, Datencenter oder bei größeren Service-Providern zu finden, wo die skalierbare Management-Plattform ihre Vorteile ausspielen kann und die Skalierbarkeit sichergestellt. Die Verfügbarkeit von Lizenzen für 10 bis 200 Appliances und eine SiteLicense runden das anforderungsgerechte Angebot ab. Tips BackupToDate BrightStor ARCserve Backup v9 für NetWare Der volle Service Wenn auf einem NetWare 6 Server der Open File Agent verwendet wird, kann es vorkommen, daß eine Meldung besagt, daß offene Dateien während des Sicherns vorhanden seien. Bei NSS Volumes muß, nachdem BAOF geladen ist, der Server neu gestartet werden, um sicherzustellen, daß während des Snapshots keine Dateien offen sind. Bei traditionellen Volumes auf NetWare 6 muß das Ipxspx.nlm geladen sein. Es ist nicht nötig, IPX auf eine Karte zu binden, es reicht, das NLM zu laden. ARCserve 9 unterstützt Cluster Failover. Voraussetzung ist, daß bei NetWare 6 mindestens das Service Pack 1 installiert ist und die Novell Cluster Services 1.6 oder höher verwendet werden. Man kann auch ältere Cluster Services so wie vorher mit der ARCserve 7 Version sichern.(Sie sollten die CA Dokumente 18090 und 19133 lesen.) ARCserve 9 verwendet den GWTSA von Novell, um Groupwise 6 zu sichern. Der Groupwise Agent von ARCserve wird nur für die Vorgängerversionen von Groupwise 6 gebraucht. 02 Ausgabe 02/2003 43 h HOTLINE NOVELL FAQs und Facts Interessante Tips der Deutschen Netware FAQ Von Stefan Braunstein Mit den letzten Support Packs für NetWare 5.1 und 6.0 wurden einige NLMs verschoben. Daher muß jetzt eine angepaßte CONFIG.SYS existieren, weil einige elementare Module nicht mehr geladen werden können und der Server nicht korrekt hochfährt. Dennoch kann es vorkommen, daß Sie Public Symbol Errors sehen. Gleichzeitig hat Microsoft mit dem Windows XP Service Pack 1 eine merkwürdige Sicherheitsprüfung eingebaut. D Die JRB Utilities existieren bereits seit zehn Jahren. Alljährlich im Dezember veröffentlicht der Entwickler John Baird ein neues Update. Die Sammlung der JRB Utilities enthält viele einzelne Tools, mit denen Datei-, NDS- und Bindery- Manipulationen per Kommandozeile oder von komfortablen grafisch orientierten Programmen aus gestartet werden können. Damit werden Automatismen möglich, die zum Beispiel ganze Abteilungen in der NDS und auf einen neuen Server umziehen lassen, inklusive aller notwendigen Änderungen der Userobjekte und Verzeichnisstrukturen. Einige erstellen Listen von beliebigen NDS- oder Dateiobjekten mit vielerlei Filter- und Sortiermöglichkeiten. HOTLINE JRButils 9.00 Der Teil A, der nur 16-bit-Tools zur Manipulation der Bindery enthält, ist frei verfügbar und liegt der TN Monats-CD im Verzeichnis NWFAQ bei. Die anderen vier Teile, die 32-bit-Textprogramme für den Zugriff auf Bindery und NDS sowie die grafisch orientierten Programme enthalten, müssen bei JRB Software bezahlt werden. Auch die Dokumentation im PDF-Format muß separat erworben werden. Allerdings besitzt jedes einzelne Tool eine ausführliche Online-Hilfe, die mit dem Parameter ? angezeigt wird. Im frei verfügbaren Teil A gibt es eine Kurzbesc hreibung der Tools aus allen Teilen im JRBGUIDE.PDF. Hier ist auch eine Aufstellung zu finden, die beschreibt, welches der insgesamt 122 Tools für welche Aufgabe geeignet ist. FILES=50 BUFFERS=50 Ansonsten können einige elementare Module nicht geladen werden und der Server fährt nicht korrekt hoch. Public Symbol Error Nichtsdestotrotz kann es vorkommen, daß Sie Public Symbol Errors sehen, die sich auf das LIB0.NLM beziehen. Hierzu gibt es einen Workaround, wobei Sie eine Datei INSTAUTO.NCF in SYS:SYSTEM erstellen, in der LOAD LIB0.NLM oder LOAD LIBC.NLM enthalten sind. Diese INSTAUTO.NCF wird automatisch in der Loadstage 2 geladen und lädt ihrerseits die erforderlichen Module, bevor der Policy Manager im Loadstage 3 darauf zugreift. Wenn der Server auch nach der Installation oder Update den Namen TEMPORARY hat, existiert wahrscheinlich eine INSTAUTO.NCF in C:\NWSERVER, die dem Server in der Loadstage 2 diesen Namen verpasst. Normalerweise wird die Datei zwar gelöscht, bei einem Abbruch oder anderen Problem während der Installation oder einem Update kann es aber vorkommen, daß dies nicht klappt. Die Datei INSTAUTO.NCF bietet eine elegante Möglichkeit, CONLOG vor dem Starten der AUTOEXEC. NCF zu laden, um wirklich alle Ausgaben der AUTOEXEC.NCF mit zu protokollieren. (siehe TID 10063 364) Verschoben Seit dem letzten Support Packs für NetWare 5.1 und 6.0 sind einige NLMs von S Y S : S Y S T E M nach C:\NWSERVER verschoben. Sie werden beim Start des Servers nun von dort geladen. Aus diesem Grund muß jetzt zwingend eine CONFIG.SYS existieren, die folgenden Einträge enthält: TCP/IP Statistiken Mit den aktuellen Support Packs für NW5.1 und 6.0 können Sie übrigens an der Konsole mit den Befehlen _TCP oder _IP aktuelle Statistik-Informationen zu diesen Protokollen anzeigen. 02 Ausgabe 02/2003 44 XP Profilierung Microsoft hat mit dem Windows XP Service Pack 1 eine Prüfung eingebaut, ob das Profil auf einem Microsoft Server liegt. Wenn nicht, wird es aus “Sicherheitsgründen” nicht mehr geladen. Deaktivieren läßt sich diese vermeintliche Sicherheitsprüfung mit der Änderung eines Registry Eintrags: [HKEY_LOCAL_ MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ Cur r e n t V e r s i o n \ W i n l o g o n ] . Er lautet: „CompatibleRUP Security“=dword:00000001. Abb. 1: Statistiken des Konsolenbefehls _IP Stefan Braunstein, der Verwalter der Deutschen NetWare FAQ (www. netwarefaq.de) und der Netzwerk-UtilitySammlung (www.net ware files.de), liefert TechnikNews-Lesern allmonatlich Tips, Tricks und Tools rund um Novell NetWare und verwandte Themen. Sie erreichen den Autor über www.braunstein.de. Angesprochenen TIDs (technical information documents) und weitere englischsprachige Informationen finden Sie in der Novell Knowledge Base: http://support.novell.com/ search/kb_index.jsp. Einen direkten Link zur NetWare FAQ haben Sie auch über Technik News online: www.technik-news.de. Abb. 2: Statistiken des Konsolenbefehls _TCP Tips BackupToDate BrightStor ARCserve Backup v9 für NetWare ARCserve Manager Der ARCserve 7 und ARCserve 9 Manager können nicht gleichzeitig auf einer Arbeitsstation installiert sein. Sollte der 7er Manager installiert sein, kann er auf die 9er Version upgedatet werden. Auf einer Arbeitsstation wird ein Novell Client 32 benötigt, um über diese ARCserve 9 zu installieren. Jedoch muß sich der Novell 32 Client nicht auf der Arbeitsstation befinden, um mit dem ARCserve Manager zu arbeiten. An der NetWare Konsole läßt sich auch weiterhin eine Sicherung oder ein Wiederherstellen von Dateien direkt durchführen. Sie müssen nicht unbedingt den ARCserve Manager auf einer Arbeitsstation verwenden. Dieser ist jedoch komfortabler in der Bedienung. Durch Aufruf des TCC.NLM kann ein Tape Ceaning Job über ein Utility am Server durchgeführt werden. Sie können jedoch auch den Job Scheduler Wizard im ARCserve Manager verwenden. Über den Gerätekonfigurations-Wizard, den Sie ebenfalls über den ARCserve Manager aufrufen, können Sie ARCserve 9 so konfigurieren, daß die Sicherung anstelle eines Bandlaufwerkes eine Festplatte als Medium verwendet. ARCserve 9 funktioniert also auch ohne angeschlossenes Bandlaufwerk. Tips zu Datenbanken Der Oracle Datenbank Agent erlaubt es, eine Sicherung der Datenbank durchzuführen, ohne sie herunterfahren zu müssen. Es kann sogar weiterhin auf der Datenbank gearbeitet werden. Die Datenbankintegrität wird durch den Schutz von Transaction Log, Archive Log, JournalDateien und Daten sichergestellt. Der Qracle Agent kann individuelle Tablespaces sichern und wiederherstellen. Er unterstützt das Sichern und Wiederherstellen von entfernten System über TCP/IP. ARCserve 9 hat aber keinen MS SQL Agent, so daß es nur die Möglichkeit gibt, die Datenbank komplett als Datei zu sichern, nachdem sie zuvor heruntergefahren wurde. Dieses kann automatisch über den Sicherungsauftrag veranlaßt werden. Möchten Sie die SQL-Datenbank jedoch ohne voriges Herunterfahren ”live” sichern, müssen Sie ARCserve 9 für Windows mit dem SQL Agent verwenden. 02 Ausgabe 02/2003 45 p PRAXIS MICROSOFT Get Secure - Stay Secure Teil 1: Common Criteria for Security Von Patrick Fell Vielerlei Bedrohungen gefährden unsere Netzwerk-Ressourcen. Microsoft hat deshalb das Strategic Technology Protection Program gestartet und die Sicherheitsevaluierung “Common Criteria” für ihr Betriebssystem Windows 2000 Server erlangt. Dies wollen wir zum Anlaß nehmen, aufzuzeigen wo Sie Ihr Microsoft Netzwerk sichern können und wie Sie es in einem gesicherten Zustand halten. Denn Schwachstellen in der IT-Infrastruktur werden inzwischen nur allzu oft für Angriffe und Manipulationen ausgenutzt. Schon das Erstellen einer von Beginn an sicheren Umgebung ist nicht ganz einfach. Sobald eine Umgebung jedoch aktiv ist und genutzt wird, ist es ein ganz anderes Problem, ihre Sicherheit auch dauerhaft zu gewährleisten. Zusätzliche Maßnahmen müssen zum Schutz vor Risiken ergriffen werden, die in der weiteren Zukunft Gefahren heraufbeschwören , um effektiv reagieren zu können. PRAXIS D Das neue Schema zur Sicherheitsevaluierungs, die Common Criteria for Information Technology Security Evaluation, kurz und unausprechlich CCITSE genannt, stellt einen internationalen Standard dar, der die Evaluierung von Softwareprodukten wie etwa Betriebs- oder Firewallsysteme regelt. In diesem ersten Artikel werden wir allgemein auf das Strategic Technology Protection Program eingehen, eine Initiative, die Microsoft schon im Oktober letzten Jahres gestartet hatte, um ihre Produkte, Dienste und Support unter dem Aspekt der Netzwerksicherheit den Common Criteria anzugleichen. Wir wollen Ihnen nicht nur grundlegende Informationen zu potentiellen Sicherheitsrisiken geben, sondern in den kommenden Ausgaben auch im einzelnen all die Punkte durchnehmen, die zum Sichern Ihres MicrosoftNetzwerks abgearbeitet werden sollten. Secure Der Prozeß zur Erzeugung und zur Beibehaltung einer sicheren Netzwerkumgebung kann in zwei zusammenhängende Phasen eingeteilt werden, die mit den Begriffen “Get Secure” -Sicherheit schaffen- und “Stay Secure” - Sicherheit wahren- umrissen werden. Um den größtmöglichen Sicherheitsgrad für ein Netzwerk zu erreichen, wurden von Microsoft für die IT-Sicherheitsbeauftragten neue Möglichkeiten geschaffen, z.B. mit dem Security Baseline Analyzer. Online finden Sie sich unter www.microsoft.com/technet im Microsoft Security Toolkit eine neue Informationsquelle, um im Selbststudium tiefere Kenntnisse in Sachen Netzwerksicherheit zu erwerben. Risiko-Management Es ist es unmöglich, eine IT-Infrastruktur zu bilden, die vollständig gesichert und gleichzeitig nützlich ist. Bei der Untersuchung der Struktur müssen Sie die Risiken beurteilen können, die für Ihre besondere Umgebung bestehen. Risiken können vermindert, die Sicherheit der Infrastruktur erhöht werden, doch führt dies im Vergleich zu ungesicherten Systemen zwangsläufig zu einer Beeinträchtigung der Funktionalität. Nach dem Erkennen von potentiellen Risiken können Sie sehr wahrscheinlich sogar Sicherheit ganz bewußt reduzieren, um dafür die Funktionalität zu erhöhen oder Kosten zu senken. Daher steht am Anfang aller Sicherheitsbemühungen ein wohl kalkuliertes Risikomanagement. Um dessen Prinzipien zu verstehen, sollten wir vorweg die gebräuchlichen Begrifflichkeiten erklären, die beim Risikomanagement verwendet werden. Zu ihren analytischen Kategori- 02 Ausgabe 02/2003 46 en gehören die Ressourcen, mögliche Bedrohungen und Schwachstellen, deren Ausnutzungsmöglichkeiten sowie gegeignete Gegenmaßnahmen. Ressourcen Ressourcen sind grundsätzlich in einem Netzwerk alle Werte, die schützenswert sind. Dies können Daten und Anwendungen, aktive und passive Komponenten, ja sogar Personen sein. Durch Sicherheitsmaßnahmen soll verhindert werden, daß Ressourcen zu Schaden kommen oder aktiv angegriffen werden. Ein wichtiger Bestandteil des Risikomanagements ist es demnach, den Wert der Ressourcen zu ermitteln. Denn im allgemeinen bestimmt eine solche Bewertung, welches Maß an Sicherheit für ihren Schutz erforderlich und wirtschaftlich ist. Gefahren Bedrohungen für Ressourcen bestehen auf vielerlei Gebiet. Natürliche und physische Bedrohungen sind Naturgewalten wie Feuer, Wasser, Wind oder Erdbe ben, aber auch Stromausfall hat gravierende Folgen. Neben beabsichtigten Bedrohungen durch Angreifer, Saboteure, Industriespione oder schädlichen Code bestehen unbeabsichtigte durch uninformierte Mitarbeiter oder Kunden. Schwachstellen bezeichnen die Punkte, an denen Ressourcen anfällig für beabsichtigte oder unbeabsichtigte Bedrohungen sind. Unverschlossene Türen oder ein schadhaftes System zur Feuerbekämpfung sind physiche Schwachstellen. Bei Hardware und Software wiederum liegen sie beispielsweise in veralteten Antivirensoftware, in elektrischen Störungen oder auch in unverschlüsselten Protokolle, um von menschlichen Schwächen oder unsicheren Helpdeskverfahren ganz zu schweigen. Ausnutzung Vielerlei Bedrohungen gefährden Ressourcen allein dadurch, daß eine Schwachstelle in der IT-Infrastruktur ausg enutzt wir d. Ang riffe auf Schwachstellen werden als Ausnutzung bezeichnet und können auf verschiedenste Arten erfolgen. Die Ausnutzung technischer Schwachstellen sind eher spektakulären Brute ForceAngriffe, Wiederholungsangriffe und Sitzungsübernahmen beim Session Hijacking, aber auch Pufferüberlauf aufgrund von Konfigurationsfehlern. Mehr im Verborgenen spielt sich das Sammeln von Informationen ab, die Adreß- und Betriebssystemidentifikation, das Scannen von Ports oder Testen von Anwendungen und Diensten. Bei der Suche nach Schwachstellen analysieren Angreifer Antworten in der Kommunikation, listen Benutzer und untersuchen Dokumente. Sie fahnden regelrecht nach Sicherheitslücken, gerade auch bei Funknetzbetreibern, oder suchen sogar nach Kontakt zu Mitarbeitern. Denial-of-Service Attacken haben bei der Ausnutzung der Schwachstellen von vornherein zum Ziel, die Ressourcen physisch zu beschädigung, zu entfernen und zu ändern oder durch Überlastung lahm zu legen. Schäden Wenn eine Schwachstelle für einen Angriff auf eine Ressource ausgenutzt wird, kann dies schwerwiegende Folgen haben. Die unerfreulichsten sind nicht allein der Vertrauensverlust aufgrund unberechtigter Zugriffe und illegitimer Ausweitung von Berechtigungen, sondern für Betroffenen höchst persönliche Übergriffe, die aus einem illegalen Identitätswechsel oder Diebstahl der Kennung enstehen können. Wer Diebe im Haus hatte, weiß wovon die Rede ist. Die wirtschaftlichen Folgen durch Integritätsverlust und die Beschädigung von Daten oder durch Falschinformationen sind kaum kalkulierbar, und der Verlust der Verfügbarkeit bei Denial-of-Service ist meist ein sehr großer Schaden. In den nächsten Artikeln werden wir uns deshalb mit geeigneten Gegenmaßnahmen beschäftigen und uns um eine angemessene Verteidigung gegen die Risiken der Piraterie und der Sorglosigkeit zu kümmern. Gruppenkalender Unter DvISE steht eine Terminverwaltung als individueller Kalender zur Auswahl, wobei hier Gruppen- sowie Terminserienfunktionen integriert werden können. Durch einen Klick auf den Pfeil neben dem Symbol Gruppenkalender (sollte aktiviert sein) wird im Archivebaum des TobitInfo-Centers die Einrichtung des Gruppenkalenders durchgeführt. Im sich nun öffnenden Dialogfenster Gruppenkalender werden über den Button Hinzufügen die jeweiligen Benutzerkalender als neue Verknüpfung hinzugefügt. Es empfiehlt sich, an dieser Stelle einen aussagekräftigen Namen für die Verknüpfung auszuwählen. Bereits eingebundene Terminkalender können durch entsprechende Mausklicks nachträglich einoder ausgeblendet werden, sofern es nicht geplant ist, diese permanent anzuzeigen. Möchten Sie einen Terminkalender für immer aus der Terminverwaltung verbannen, so betätigen Sie im Dialog Gruppenkalender den Button Entfernen. Nachdem alle Terminkalender ordnungsgemäß eingebunden wurden, besitzt jedes Mitglied der Terminverwaltung die Möglichkeit, Termine weiterer Teilnehmer zu verwalten. Wenn im Kalender ein neuer Termin eingetragen wird, erscheint ein Menüfenster mit dem Namen Kalender wählen, sobald die Option Speichern und schließen ausgeführt wurde. An dieser Stelle kann nun der Kalender des Mitglieds ausgewählt werden, in dem der neue Termin abgelegt werden soll. Die eingeblendeten Termine aus anderen Kalender sind mit einem Stern gekennzeichnet (Wochen- und Monatsansicht), wobei sich deren Farbe nach der Farbe des Quellarchivs richtet. 02 Ausgabe 02/2003 47 p PRAXIS NORTEL NETWORKS Sicherheit nach Maß Teil 3: Praxis-Tips zu Contivity Switches Wir haben die verschiedenen Modelle der Nortel Networks Contivity VPN Switch Familie kennengelernt. Für die verschiedenen Anwendungsgebiete bietet das Portfolio eine differenzierte Auswahl an Geräten für Branch Offices, den Remote Access oder Extranet VPNs. Einige praktische Tips des Compu-Shack Supports werden Ihnen bei der Installation und dem Betrieb der Geräte hilfreich sein I Internet Traffic kann nicht passieren, ohne einen Allow Interface Filter zu setzen. Das LAN1 Interface (Public) der Contivities 1010, 1050 und 1100 ist standardmäßig auf DHCP eingestellt, mit einem Filter Permit all, ein Default, der sich in diesem Punkt durchaus von den Einstellungen anderer Modelle unterscheiden kann. Hierdurch wird gewährleistet, daß die oben genannten Contivities eine Verbindung ins Internet aufbauen können, damit der Versand und Empfang von Daten uneingeschränkt erfolgen kann. Sollten Sie versuchen, das LAN1 Interface (Public) anzupingen, erhält eine am LAN0 Interface (Privat) angeschlossene Workstation eine Fehlermeldung des ICMP-Protokolls, z.B. wegen Zeitüberschreitung. Um nun die Datenkommunikation zu ermöglichen, muß auf dem PublicInterface ein anderer Filter eingetragen werden. Das kann entweder der vordefinierte Permit All Filter sein, der alle Protokolle erlaubt, oder Sie legen einen zusätzlichen Filter an, der dem gewünschten Datenverkehr entspricht. Konfiguration Nortel-Networks wird den Namen Default-Filter in Deny All umbenennen, um Konfusionen von vorne herein zu vermeiden. PRAXIS Internet Traffic Sollte Ihre Connection zum ISP mit einer statischen IPAdresse oder aber mit Hilfe des Protokolls PPPoE initiiert werden, so verwendet das LAN1 Interface (Public) der Contivities 1010, 1050 und 1100 einen anderen Filter, den so genannten Default Filter. Dieser führt jedoch die Funktion Deny all aus, was zur Folge hat, daß die Datenübertragung zwischen Public und Private Interface und dem Internet erst einmal nicht möglich ist. Zuerst starten Sie Ihren Web-Browser und loggen sich nach der Eingabe der IP-Adresse mit den entsprechenden Zugangsdaten in den Contivity ein. Überprüfen Sie die Einstellung der Filterkonfiguration im Screen System/LAN. Sollte sich herausstellen, Abb. 1: Der Menüpunkt „System/LAN“ daß der Default-Filter auf dem PublicInterface gesetzt ist, so ändern Sie diesen wie oben erwähnt auf Permit all, um nicht nur TunnelTraffic übertragen zu können (s. Abb. 1). Alternativ können Sie einen eigenen verkehrsspezifischen Filter kreieren, den Sie dann auf LAN1 binden. Danach sollte die Kommunikation mit dem Private Interface und dem Internet funktionieren. Override-Filter Die sogenannten Override Filter stehen dem Public und dem Private Interface zur Verfügung. Die Verwaltung geschieht über das Menü Services/Available. Wie der Name vermuten läßt, ersetzen diese Filter diejenigen, die im Punkt System/LAN konfiguriert wurden. Die Override-Filter werden benutzt, um den Tunnelzugang zum Contivity zu ermöglichen. Ein Beispiel hierfür ist das IPSecProtokoll, welches per Default erlaubt wird. Das Resultat ist aber nun, daß diese Regel, obwohl der Interface-Filter auf Deny all gesetzt ist, zum Teil vom Override-Filter überschrieben wird, so daß die Datenübertragung über das IPSecProtokoll erfolgen kann. Unter dem Menüpunkt Ser vices/Available können jederzeit weitere Regeln hinzugefügt werden, um die Override-Rules beliebig erweitern zu können. 02 Ausgabe 02/2003 48 Konfiguration Wenn der Contivity VPN Switch konfiguriert ist und das Administrator Password geändert wurde, dürfen Sie dieses auf keinen Fall vergessen. Für den Fall, daß das Paßwort des Administrators verloren geht oder vergessen wird, bleibt Ihnen nichts anderes übrig, als den Contivity zu NortelNetworks zu senden. Denn allein der Hersteller ist in der Lage, das System auf die Defaultwerte zurückzusetzen. Hierbei gehen allerdings alle Einstellungen und Backups verloren. NortelNetworks weist explizit darauf hin, daß es ohne System Management IPAdresse und ohneAdministrator-Paßwort keine Möglichkeit gibt, auf den Contivity-VPN-Switch zuzugreifen. kann die IP-Adresse über das IP Address Configuration Utility vergeben werden. Serielle Schnittstelle Inbetriebnahme Das serielle Schnittstellenkabel wird in den DB-9 Stecker des Switch angeschlossen, das andere Ende an die Management-Workstation. Anschließend erfolgt der Start einer TerminalEmulation, z.B. das Windows-eigene Hyper-Terminal. Jetzt können Sie die ersten Einstellungen für den Contivity vornehmen, z.B. die Management-IP-Adresse, die Subnetmaske oder die Default-Gateway-Adresse eintragen (s. Abb. 2). Welche Einstellungen Sie in der Terminal-Emulation für den seriellen Zugriff auf den VPNSwitch vornehmen müssen, entnehmen Sie dem Handbuch des Contivity. Bei der erstmaligen Inbetriebnahme muß ein Contivity VPN Switch über die sogenannte System Management IP-Adresse verfügen, um die komplette Konfiguration durchführen zu können. Für die Vergabe der genannten IP-Adresse stehen uns zwei Möglichkeiten zur Auswahl. Zum einen kann die Einstellung über die serielle Schnittstelle erfolgen, zum anderen Zur Einstellung der IP-Adresse über das IP Address Configuration Utility kann die Netzwerk-Verbindung zwischen dem Contivity VPN Switch und der Management-Workstation entweder direkt über ein Ethernet Crossover-Kabel erfolgen, oder aber Configuration Utility Technik verstehen Contivity Workshop im Bundle Compu-Shack nutzt Synergien und bündelt ihr technisches Know-how mit anspruchsvoller HighEnd Hardware von Nortel Networks. Bis zum 14.02.03 werden die Nortel Networks Contivity VPN-Switches im Bundle mit einem eintägigen Techniker-Workshop angeboten: Contivity 1010 5 Tunnel Contivity 1050 - 5 Tunnel Contivity 1100 5 Tunnel Contivity 600 30 Tunnel Contivity 1700 - 500 Tunnel Contivity Contivity Contivity Contivity 1700 2700 2700 4600 5 Tunnel 2000 Tunnel 5 Tunnel 5000 Tunnel Praxisnah umgesetzt Um die anspruchsvolle Contivity Hardware effektiv implementieren zu können, erläutern qualifizierte Techniker in einem eintägigen Workshop die Grundlagen der Contivity VPN Switches und ihre Konfiguration. Auf Wunsch können diese Workshops auf besondere Kunden-Anforderungen zugeschnitten werden. Fragen zum Workshop beantworten die Nortel Supporter der Compu-Shack Solution unter 02631/983-988. Informationen zu Contivity Switches erteilt das Business Team Nortel bei Compu-Shack unter 02631/983-451 oder per E-Mail an [email protected]. 02 Ausgabe 02/2003 49 Abb. 2: Serielle Konfiguration der System Management IP-Adresse Sie connecten die beiden Devices über einen Switch des LANs. Anschließend wird auf der ManagementWorksta tion eine Eingabeaufforderung geöffnet. Mit Eingabe des Befehls A:\ExtNetIP.exe wird das IP Address Configuration Utility gestartet. Das Programm trägt automatisch die Seriennummer des ersten verfügbaren Switches in eine Tabelle ein, die durchaus noch weitere Contivities enthalten kann. Im nächsten Schritt vergeben Sie dem VPNConcentrator die System Management IP-Adresse. Das Default Gateway ist optional und kann auch später noch konfiguriert werden. Sollten Sie über mehrere Switches verfügen, so können über den Button Search weitere Seriennummern automatisch gefunden und in die Tabelle eingetragen werden. Um zu überprüfen, ob alle Geräte erkannt wurden, können Sie die Seriennummern der Tabelle mit den Seriennummern der Geräte vergleichen. Der Barcode steht auf der Unterseite des Systems. Klicken Sie nun auf Apply, so werden die von Ihnen angegebenen Daten zu Management-IP-Adresse, Subnetmaske oder Default-Gateway auf jedem Switch konfiguriert. Wenn der oder die Switches das Update Ihrer Konfiguration beendet haben, können Sie mit Hilfe Ihres WebBrowsers auf den Contivity zugreifen, indem Sie imAdreßfeld des Browser die entsprechende IP-Adresse eingeben. Hierauf hin erhalten Sie den Welcome Screen des VPN-Switch. p PRAXIS BINTEC IPsec-Implementierung Teil 5: Mit dynamischen und statischen IP-Adressen Von Hardy Schlink Wir wollen uns abschließend mit IPSec-Konfigurationen auseinandersetzen, bei denen die BinTec Router ihre IPAdressen in statischer oder dynamischer Form erhalten. Wir werden uns auf die Konfiguration beziehen, die wir in der letzten Ausgabe mit dem IPSec Setup Wizard erstellt haben, als dynamische IP-Adressen auf beiden Seiten zur IPSec-Verbindung dienten. Insofern brauchen wir uns nur um die notwendigen Änderungen kümmern. Zu guter Letzt sollen Ihnen einige Tips zum Trouble Shooting bei Problemen weiterhelfen. E Ein Unternehmen möchte die Kommunikation zwischen zwei entfernten Netzwerken über das Internet mit IPSec realisieren. In unserem ersten Beispiel verfügt der Router in der Zentrale über eine statische IP-Adresse , die Außenstelle erhält beim Verbindungsaufbau zum ISP eine dynamische. PRAXIS Router Zentrale Für die notwendigen Konfigurationsänderungen am Router der Zentrale wechseln wir nach Aufruf des Setup Programms in das Menü IPSec / Configure Peers. Mit der Auswahl des bestehenden Eintrags gelangen wir zu den momentanen Einstellungen. Da der Router in der Außenstelle seine IP-Adresse dynamisch beim Verbindungsaufbau zum ISP bezieht, macht es keinen Sinn unter Peer Address eine feste einzutragen, da sie ja ständig wechselt. Da von der letzten Konfiguration hier noch der Hostname steht, müssen wir diesen entfernen und lassen das Feld einfach leer. Die anderen Einstellungen lassen wir, wie sie sind, und verlassen das Menü über Save (s. Abb. 1). Anschließend erfolgt der Wechsel in das IPSec-Menü IKE <Phase 1> Defaults, in dem wir den Mode von id_protect auf aggressive umstellen. Der Hintergrund ist, daß die ID Protection auch die IP-Adressen zur Identifikation heranzieht. Da aber unsere Außenstelle die ihre dynamisch wechselt, kann dieser Mode nicht verwendet werden (s. Abb. 2). Alle anderen Einstellungen werden nicht verändert. Router Außenstelle Beim Router der Außenstelle wechseln wir ebenfalls zu I P S e c / Configure Peers”. Da der Router der Zentrale über eine statische IPAdresse verfügt, tragen wir sie unter der Option Peer Address ein, z.B. 62.146.2.98. Man könnte annehmen, daß hiermit die Konfiguration der Außenstelle abgeschlossen sei. Doch Sie erinnern sich, daß wir beim Router der Zentrale den Mode auf aggressive geändert haben. Genau dies müssen wir hier jetzt auch tun, da die Einstellungen auf beiden Seiten der Verbindung gleich sein müssen. Nur der Router in der Außenstelle kann die Verbindung zur Zentrale aufbauen, da er dessen öffentliche, statische IP-Adresse kennt. Der umgekehrte Weg von der Zentrale zur Außenstelle ist nicht möglich, da deren wechselnde dynamische Adresse ja nicht bekannt ist. Innen wie außen Kommen wir zum letzten Beispiel unserer Artikelserie und einem Szenario, in dem beide Router in der Zentrale und der Außenstelle über eine öffentliche statische IP-Adresse verfügen. Die hierfür notwendigen Ändrungen in den Einstellungen der Router sind trivial, wir können es kurz machen. Unter IPSec / Configure Peers können wir bei unserem bestehenden Eintrag als P e e r Address die öffentliche IP-Adresse der Außenstelle eintragen. Im Menüpunkt IKE <Phase 1> Defaul ts können wir nun als Mode sowohl id_protect als auch aggressive verwenden, beide werden funktionieren. Damit ist die Konfiguration des Routers in der Zentrale bereits abgeschlossen. Die Modifikationen in der Außenstelle sind noch geringer, da hier nur im Menü IKE <Phase 1> Defaults der entsprechende Mode eingestellt werden muß: id_protect oder aggressive, aber in jedem Fall muß der Mode auf beiden Seiten der Verbindung gleich gewählt werden. Da beide Router über eine öffentliche statische IP-Adresse verfügen, kann jede Seite eine Verbindung zu ihrem Gegenüber aufbauen. Trouble Shooting Bei Problemen mit IPSec LAN-LAN Kopplungen über das Internet können die verursachenden Fehlerquellen vielfältig sein, besonders wenn mehrere Router zwischen den beiden IPSec-Endpunkten liegen. Wir können in diesem Artikel nicht alle 02 Ausgabe 02/2003 50 Diagnosemöglichkeiten erläutern, wollen Ihnen aber trotzdem kurz zeigen, wie Sie überprüfen können, ob eine IPSec-Verbindung überhaupt zustande gekommen ist, oder welcher Fehler einen Verbindungsaufbau verhindert. Verfügung. Durch Eingabe der Syntax i p s e c G l o b M a x S y s L o g Level=debug ändern Sie den Modus auf debug. Dadurch bekommen Sie wesentlich mehr Messages mit informativem Inhalt angezeigt . Monitoring Möchten Sie, daß der Debug-Modus auch nach einem Reboot des Routers zur Verfügung steht, muß die getätigte Modifikation über den Konsolenbefehl cmd=save abgespeichert werden. Beachten Sie, daß die CPU des Routers im Debug-Modus stärker belastet wird und dadurch weniger Zeit für die eigentlichen Aufgaben hat. Wir empfehlen daher, nur bei Problemen auf debug zu schalten. IPSec Debug Sicherlich ist Ihnen der Konsolenbefehl debug all & an der Router konsole bekannt. Sollten Sie aber erwarten, daß er Ihnen auch Messages zum IPSec-Protokoll anzeigt, so muß ich sie enttäuschen. Der Debug-Modus für das IPSec-Protokoll ist in einer SNMP-Tabelle einzuschalten. Um den Debug-Modus für IPSec zu aktivieren, wechseln Sie auf den Konsolen-Prompt des entsprechenden Routers. Hier angelangt, geben Sie den Charakter l wie ”listing” ein, woraufhin alle SNMP-Tabellen des Routers angezeigt werden. Drücken Sie solange die Enter-Taste, bis Sie zur Tabelle ipsec gelangen. Hier finden Sie den Eintrag ipsecGlobals, vor dem eine bestimmte Zahl steht, z.B. 23. Beachten Sie, daß sich diese Zahl je nach Software-Version unter scheiden kann. Beenden sie das Listing der Tabellen, indem Sie den Charakter q wie ”quit” eingeben. Geben Sie nun die Zahl ein, die vor der Tabelle ipsecGlobals stand. Hieraufhin erhalten Sie die Ausgabe all ihrer Variablen. Suchen Sie nach dem ipsecGlobMaxSysLogLevel. Per Default steht der Wert auf Info und stellt für das Trouble Shooting nicht genügend Informationen zur Fazit Wir haben gesehen, daß die IPSecImplementierung der BinTec Router alle heute möglichen Anbindungen zum Internet Service Provider unterstützt, beide Seiten mit dynamischen oder statischen IP-Adressen, eine Seite mit statischer, die andere mit dynamischer. Es gibt nicht viele Router, die diese vielfältigen Anschlußmöglichkeiten bieten, ein sicherlich nicht zu unterschätzender Vorteil der BinTec-Geräte. Nicht zuletzt wird dem Administrator durch den IPSecSetup-Wizard eine Menge Arbeit abgenommen, Konfigurationen lassen sich nachträglich leicht anpassen oder ändern. Im IPSec Menü der Router befindet sich der Punkt Monitoring, über den man in ein Untermenü mit den Optionen Global Statistics, IKE Security Associations und IPSec Security Associa tions gelangt. Unter Global Statistics finden Sie Statistiken zu den übertragenen IPSec-Paketen, z.B. AH, ESP, IP und Non IP Traffic. Interessanter für das Trouble Abb. 1: Menüpunkt IPSec/Configure Peers Shooting sind sicherlich die beiden anderen Optionen. IKE Security Associations zeigt uns Informationen über die IKE SAs an, z.B. die Local und Remote ID oder die Local und die Remote Address. An dieser Stelle lassen sich bereits Fehler ausmachen, die mit diesen Parameter zu tun haben. Interessant Abb. 2: Konfiguration der Option Mode ist auch der verwendete Algorithmus, der ja auf beiden Seiten der IPSecVerbindung gleich sein muß. IPSec Security Associations bietet uns schließlich Informationen über die Richtung der Verbindung inbound oder out bound - und den verwendeten Modus: Tun- Abb. 3: IPSec Security Associations nel oder Transport. Weiterhin können Sie hier die Local und Remote Address prüfen. Im Feld Protected Traffic ist zu erkennen, für welche IP-Netzwerke die Daten durch das IPSec-Protokoll geschützt werden (siehe Abb. 3). 02 Ausgabe 02/2003 51 p PRAXIS ENTERASYS Kommandobrücke Teil 2: VLAN-Management mit NetSight Atlas NetSight Atlas präsentiert sich als eine umfassende Managementplattform mit weitreichender Event- und AlarmProtokollierung. Wir haben bei unserem ersten Rundgang über die neue Kommandobrücke von Enterasys Networks die Atlas Console kennengelernt und wollen uns diesmal mit dem VLAN-Management beschäftigen. N NetSight Atlas bietet uns die Möglichkeit, Virtuelle LANs komfortabel zu verwalten. Sobald auf der linken Seite der Atlas Console VLAN Elements ausgewählt werden, erscheint im rechten Fenster ein erster Überblick über die Anzahl der VLAN Definitionen (vgl. Abb. 1). VLAN Definitions Um neue VLANs einzurichten oder Änderungen vorzunehmen, wird im linken Fenster VLAN Definitions angewählt, woraufhin eine Auflistung der VLANs mit ihrem zugeordneten Modell angezeigt wird. Im rechten Fenster erscheint dazu eine Liste der VLANs mit weiteren Details zu IDs oder dem Egress Status. Über den Button New kann ein neues VLAN kreiert werden. Diesem wird automatisch die nächste freie ID zugewiesen. Falls eine andere erwünscht ist, kann diese abgeändert werden. Dieses VLAN kann entweder auf alle Devices geschrieben werden - mit Write VLAN to devices - oder aber diese Funktion wird ausgeschaltet, um das VLAN individuell zuzuordnen. Empfehlenswert ist es schon, sie ausgeschaltet zu lassen und erst nachträglich alle VLANs auf die zugehörigen Switche zu verteilen. Dynamic Egress ist per Default ausgeschaltet. Nur wenn es unbedingt erforderlich ist, sollte diese Funktion eingeschaltet werden, da die zugehörige GVRP-Funktion an einige Bedingungen geknüpft ist. PRAXIS Port Templates Zu jeder VLAN-Definition die per Save gesichert wurde, wird automatisch ein Template erstellt (vgl. Abb. 2). Die Port Template Definitions ermöglichen, vordefinierte VLAN-Definitionen mit ihren Port-Einstellungen abzulegen. Das erleichtert die Konfiguration von VLANs auf den einzelnen Ports wesentlich. Denn statt pro Port eine neue Konfiguration durchführen zu müssen, kann das vorgefertigte Template einfach auf einem Port abgelegt werden. Da bei der Definition eines VLANs automatisch ein Template erzeugt wird, muß dieses auch nicht für jedes VLAN neu angefertigt werden. Außerdem ist es möglich, nachträglich Einstellungen im Template zu ändern. Jedoch sollte man aufpassen, ob dieses Template oder VLAN schon auf einem Switch verwendet bzw. konfiguriert wur- de, da sonst ein Mismatching zwischen den Templates entstehen kann. Ratsamer ist es also, bei Veränderungen einfach ein Neues zu erstellen. Dieses kann die Parameter des Alten übernehmen, wird aber unter einem neuen Namen abgelegt. Templates erstellen Um ein Template zu erstellen, wird zunächst der Button New gedrückt, dann kann dafür ein neuer Name angegeben werden. Des Weiteren kann die PVID des VLANs festgelegt werden. Allerdings läßt sich diese Funktion auch ausschalten, so daß die bestehende PVID des jeweiligen Ports, auf dem das Template abgelegt wird, nicht geändert wird. Der Egress Status wird für User-Ports im allgemeinen auf untagged und für Q-Trunks auf tagged gesetzt. Weitere Funktionen wie Ingress Filtering, Default Port Priority oder Acceptable Frame Type können pro Template eingestellt werden, auch GVRP States oder Angaben zur GARP Time. Da es aber möglich ist, daß Informationen von mehr als nur einem VLAN auf dem Port empfangen werden, kann die Egress-Liste der VLANs für dieses Template abgeändert werden. Dazu wird zuerst ein Häkchen in das Kästchen Set All Egress States gesetzt. Dann kann man für jedes angegebene VLAN mit der rechten Maustaste den Egress Status individuell auf tagged, untagged oder no egress setzen. Mit der Auswahl des Feldes Show All VIDs werden alle VIDs von 1 bis 4094 angezeigt, mit Save werden die Daten abschließend gesichert. 02 Ausgabe 02/2003 52 Device Um nun die VLANs auf den Netzwerkkomponenten zu überprüfen und neue VLANs einzutragen, wird im linken Fenster entweder auf ein einzelnes Device oder auf All Devices gewechselt (vgl. Abb. 3). Rechts kann dann in das Fenster VLAN gewechselt werden. Anschließend muß der grüne Pfeil gedrückt werden, um das Fenster zu aktualisieren. Oben rechts werden dann die gewünschten Devices mit IP-Adresse, Type, Status, Number of VLANs, VLANs not in Device, VLANs not in Model usw. angezeigt. Befindet sich vor der IP-Adresse ein rotes Doppelkreuz, so zeigt dies an, daß nicht alle VLANs, die auf dem Device existieren als VLAN-Modell auf der ATLAS Console konfiguriert sind: VLANs not in Model 6. Um VLANs, die nicht als Modell in der ATLAS Console definiert sind, zu übernehmen, gibt es die Möglichkeit, diese zu mergen. Dazu werden die VLANs im rechten unteren Fenster markiert und mit dem Doppelpfeil übernommen. Doch gibt es auch VLANs, die zwar als Modell auf der Console existieren, aber nicht auf dem Switch. In diesem Fall stimmt die Number of VLANs auf dem Device nicht mit der Anzahl der VLAN-Definitionen für das Primary Model überein. Durch Drücken des Enforce-Buttons kann dieses VLAN aus dem Modell auf den Switch übertragen werden. Um sich die Einzelheiten der Configuration Settings anzusehen, können über den Button VLAN Detail alle Informationen zu den VLAN Models angezeigt werden. Abb. 1: VLAN-Definitionen Abb. 2:VLAN Properties Basic Port Die Basic-Port-Ansicht für VLANs zeigt die Einstellungen der Ports auf den Devices. Abzulesen sind die IPAdresse, Portnummer, PVID und PVID Egress State sowie Ingress Filtering, Default Port Priority und Acceptable Frame Type. Anhand dessen kann festgestellt werden, welches VLAN für den jeweiligen Port definiert ist, ob es auf dem Port empfangen werden kann (Egress State) und ob möglicherweise ein Tagging (Frame Type) vorhanden ist. Über den Editor Button kann die Änderung von einzelnen oder Gruppen von Ports ausgeführt werden. Mit Enforce wird die Einstellung auf den Switch übernommen. Advanced Port Im Advanced-Port-Fenster muß nach Auswahl des Bereichs All Devices im linken Fenster eine Aktualisierung mit dem Pfeil stattfinden. Im rechten unteren Fenster werden die Porteinstellungen der Devices aufgelistet. Entsprechend können dann einzelne aktuelle Porteinstellungen mit vorgegebenen Templates verglichen und mit einem Merging übernommen werden. Durch Enforce können Porteinstellungen auf den Switch übertragen werden. Die Egress Details zu den verschiedenen VLANs auf dem jeweiligen Port lassen sich über den Button Egress Details aufrufen (vgl. Abb. 4). Abb. 3: LAN All Devices Abb. 4: Egress Details Beim nächsten Mal geht es um Alarme und Events, den Device Manager und Webview. 02 Ausgabe 02/2003 53 v VORSCHAU WORKSHOPS - ROADSHOWS - SEMINARE VPN Learning Cycles im Februar Die DataVoice Learning Cycles “Start with VoIP” stellen die vielfältigen Möglichkeiten vor, die sich aus der Konvergenz von Sprache und Daten im Netzwerk ergeben. Die Teilnehmer erarbeiten anhand von Lösungsszenarien mit Experten der Compu-Shack die vertrieblichen und technischen Grundlagen. Interoperabilität mit SonicWALL Im Februar stehen drei Security Workshops zu VPNs mit SonicWALL auf dem Programm. Ein zentrales Thema ist die Interoperabilität v on SonicWALL Produkten zu Routern oder WLAN-Komponenten anderer Hersteller. E Eine Einführung in die SonicWALL Produkte und das Global Manege-ment System (SGMS) eröffnet die aktuellen Learning Cycles zur VPN Security von SonicWALL. Im Praxisteil geht es um die Interoperabilität zwischen Produkten verschiedener Hersteller bei VPN-Verbindungen. Am Beispiel von AVAYA und SonicWALL demonstriert der Workshop gesicherte Verbindungen zum WLAN. Er zeigt Verbindungsaufbauten von VPN-Clients zu den SonicWALL Lösungen und von Mobil-Usern zu unterschiedlichen Lokationen. Für eine sichere Unternehmenskomunikation bei RouterVerbindungen steht eine Demonstration mit SonicWALL und BinTec Komponenten. Die eintägigen Workshops finden am 18.02. in Neuwied, am 19.02. in Potsdam und am 20.02.2003 in München statt. Die Teilnehmergebühr beträgt 149,- Euro. I Im Rahmen ihrer DataVoice-Initiative veranstaltet Compu-Shack im Februar 2003 weitere Learning Cycles zu innovativen Voice over IP Technologien. Sie richteten sich nicht nur an Geschäftsführer und Vertriebsleiter als Business-Entscheider, sondern mit ihren begleitenden Workshops auch an Techniker, die sich über dieses vielversprechende Thema einen ersten fachlichen Überblick verschaffen wollen. Die Teilnehmer lernen, wie sie durch eine gezielte Analyse der individuellen Kundenanforderungen den Mehrwert von VoIP optimal ausschöpfen. Um Technologien und Märkte richtig einschätzen zu können, klären die DataVoice Learning Cycles alle technischen und vertrieblichen Fragen, um den Einstieg ins VoIPBusiness zu meistern. Sie erläutern das aktuelle Marktpotential bei VoIP und IP-Telephony, erklären Standards und Protokolle und stellen die Komponenten vor, IP-fähige TK-Anlagen oder IP-Telefonie-Geräte. Lösungen mit AVAYA MultiVantage und IP-Office schließen die eintägigen Workshop ab, am 6.02. in Hamburg, am 11.02.in Neuwied, am 13.02. in Potsdam und am 18.02.2003 in München. Getränke, Snacks und ein Mittagessen sind im Preis von 149 Euro inbegriffen. Die Teilnehmerzahl ist begrenzt. Alle Anmeldungen zu Veranstaltungen der Compu-Shack können online unter: www.portal.compu-shack.com in der Rubrik Workshops erfolgen. Netzwerkseminare: Highlights im März/April 2003 Kursbezeichnung Kurs-Nr. Termin Veranstaltungsort Preis / € ZENworks 4 jetzt im Programm ! VORSCHAU ZENworks for Desktops 4 NV 3006 03.03. – 07.03.03 Potsdam 1.850,17.03. – 21.03.03 Neuwied 12.05. – 16.05.03 München Upgrade to ZENworks for Desktops 4 NV 3006a 05.03. – 07.03.03 München 1.190,26.05. – 28.05.03 Neuwied Cisco IP Telephony Cis CIPT 03.03.- 07.03.03 München 2.700,Cisco Internetworking Troubleshooting Cis CIT 24.03. – 28.03.03 Neuwied 2.400,Designing Cisco Network Service Architectures Cis ARCH 07.04 – 11.04.03 Neuwied 2.350,Building Cisco Multilayer Switched Networks Cis BCMSN 31.03. – 04.04.03 Neuwied 2.350,07.04. – 11.04.03 Potsdam Programming a Microsoft SQL Server 2000 Database MS 2073 03.03. – 07.03.03 Neuwied 1.850,Supporting Windows 2000 Professional and Server MS 2152 31.03. – 04.04.03 Neuwied 1.850,Supporting a Microsoft WIN 2000 Network Infrastructure MS 2153 03.03. – 07.03.03 Neuwied 1.850,10.03. – 14.03.03 München 07.04 – 11.04.03 Neuwied Das aktuelle Trainings-Programm finden Sie unter Alle genannten Preise gelten zuzüglich www.training.compu-shack.com, persönliche Beratung unter: der gesetzlichen Mehrwertsteuer. 02631-983-317 oder per e-Mail an [email protected]. 02 Ausgabe 02/2003 54 MESSEN, ROADSHOWS, SEMINARE N 03 No 03/2003 Thema des Monats März ALARMIEREND Angriffserkennung Intrusion Detection Systeme Von Jörg Marx Mit dem Wachstum des Internet sind die Übergriffe auf Netzwerke kontinuierlich gestiegen. Doch die oftmals verschwiegene Sabotage von innen heraus ist nur weniger in den Schlagzeilen als der berüchtigte Hackerangriff. Die Herausforderung der Netzbetreiber liegt aber genau darin, für Sicherheit nach innen wie nach außen zu sorgen. Als Garanten der Netzwerksicherheit haben Intrusion Detection Systeme Konjunktur. Der Markt unterscheidet zwischen drei großen Produktgruppen, dem Host IDS, dem Network IDS und dem Vulnerability Assessment Scanner. Wir wollen uns den ersten beiden zuwenden. Mit ausgeklügelten Soft- und Hardware-Lösungen schützt die Angriffserkennung gleichermaßen vor Einbrüchen und internen Übergriffen. Wir möchten Ihnen die Funktionsweise der IDS-Systeme etwas näher bringen. Ihre Hauptaufgabe besteht darin, böswillige Aktionen im Netzwerk, woher auch immer sie kommen, zu erkennen und vordefinierte Gegenmaßnahmen einzuleiten, damit Netzwerkressourcen keinen Schaden leiden. Wir zeigen Ihnen, wie ein IDS-System arbeitet, und wozu Signaturen benötigt werden. Wir werden sehen, welche Arten von Angriffen es gibt, wie heutige IDSSysteme darauf reagieren, und welche Gegenmaßnahmen eingeleitet werden. Uns interessiert, wie man die Qualität eines guten IDS-Systems feststellen kannt, welche Produkte die führenden Hersteller bieten und wie die verschiedenen Lösungen einzuordnen sind. Aus reifem Holz geschnitzt, Teil 2: Switch on VoIP, Teil 3: Rapid Spanning Tree IEEE 802.1w CTI Lösungen, Telefonmanager, Softphones Praxis: Get secure - Stay secure, Teil 2: Kommandobrücke, Teil 3: Microsoft´s Sicherheitsarchitektur Alarm und Webview in NetSight Atlas Unter http://portal.compu-shack.com finden Sie in der Medienübersicht alle verfügbaren Compu-Shack Kataloge, das TN Sonderheft “WLAN” und kostenlose Informationsbroschüren zu speziellen Technologiethemen und Services wie dem neuen cs:publish24. Der Compu-Shack Trainingskalender 2003 informiert Sie über die Schulungen und Workshops des ersten Halbjahres. Er kann unter www.training.compu-shack.com downgeladen werden. Frühbucher erhalten bei einer Anmeldung von 60 Tagen im voraus bis zu 15% Rabatt. Demo-CDs und Trials können Sie kostenlos unter www.technik-news.de bestellen. Ausgewählte Termine 05.-08.02.2003 06.02.2003 11.02.2003 13.02.2003 18.02.2003 18.02.2003 19.-23.02.2003 19.02.2003 20.02.2003 13.-20.03.2003 LearnTec CS: DataVoice Learning Cycle “Start with VoIP” CS: DataVoice Learning Cycle “Start with VoIP” CS: DataVoice Learning Cycle “Start with VoIP” CS: DataVoice Learning Cycle “Start with VoIP” CS: Security Learning Cycle “VPN mit SonicWALL Bildungsmesse CS: Security Learning Cycle “VPN mit SonicWALL CS: Security Learning Cycle “VPN mit SonicWALL CeBIT 2003 02 Ausgabe 02/2003 55 Karlsruhe Hamburg Neuwied Potsdam München Neuwied Köln Potsdam München Hannover portal 02 Ausgabe 02/2003 56