Speicher- management Tunnelbau

Technik News - Netzwerkmagazin
G46392
November 2002
D a s
N 11
12. Jahrgang
thema des monats
DATA SECURITY
Speichermanagement
SAN- und NAS-Technologien
im Fibre Channel
NETWORK SECURITY
Tunnelbau
Teil 2: IP-VPN
Interoperabilität
im Praxis-Test
p r a x i s n a h e
N e t z w e r k m a g a z i n
AKTUELL
• Spezialisierung für Cisco VPN / Security
3
Herausgeber: COMPU-SHACK
NEWS
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Allied Telesyn: Layer 3/4+ Core Switching mit AT-9800
Allied Telesyn: Layer 2 Switches erweitern Familie AT-8000
IBM: 168 Prozessoren im Rack
Novell: ZENworks for Handhelds v5 senkt Kosten
APC: PowerChute Personal Edition 1.3
BinTec: BinGO! DSL und neue X-Router-Modelle
Nortel Networks: BayStack 470 mit 48 Ports
Microsoft - HP: Berührungspunkte im Dot NET Business
Computer Associates: eTrust Security Command Center
KOBIL Systems: Terminals für SecOVID und KOBIL Smart Key
Cisco: Modulare Catalyst Switches 4500
SonicWALL: Internet Security
Cisco: Kompatibilität der Storage Technologien
Citrix: Secure Gateway für Sun Solaris
Netgear: 12 Port Gigabit Switch für High-Speed
Tandberg Data: StorageCab um NAS erweitert
Tobit Software: David XL in neuer Version
Hewlett Packard: Strategien für adaptive Speicherinfrastrukturen
WatchGuard: Firebox SOHO 6 und SOHO 6 tc
Newsticker
4
5
5
6
6
7
7
8
8
9
10
11
11
12
12
13
14
14
15
16
THEMA DES MONATS
Speichermanagement
Tunnelbau
Teil 2: IP-VPN Interoperabilität im Praxis-Test
COMPU-SHACK.COM
Redaktion: Heinz Bück
Hotline und Patches: Jörg Marx
Verantwortlich
für den Inhalt: Heinz Bück
Technische Leitung: Ulf Wolfsgruber
Erscheinungsweise: monatlich 1 Heft
Bezugsquelle: Bezug über
COMPU-SHACK
Electronic GmbH
Jahres-Abonnement
zuzüglichMWSt.:
Inland: 60,84 €
Ausland: 86,41 €
Druck: Görres-Druckerei,
Koblenz
18
Lektorat: Andrea Briel
Anja Dorscheid
Abo-Versand: Wolanski GmbH,
Bonn
30
HOTLINE
•
•
•
•
•
•
•
•
•
•
•
•
Telefon: 02631/983-0
Telefax: 02631/983-199
Electronic Mail: TECHNEWS @
Layout und Titelbild: Marie-Luise Ringma
SAN- und NAS-Technologien im Fibre Channel
Waren Speichernetzwerke vormals eher den großen Rechenzentren vorbehalten, so zwingen die
exponential steigenden Datenmengen längst auch
mittlere und selbst kleine Unternehmen, geeignete
Massenspeicherlösungen zu finden. Neueste SANund NAS-Technologien gehen inzwischen auf die
Überholspur.
Electronic GmbH,
Ringstraße 56-58,
56564 Neuwied
Empfohlene Novell und Microsoft Patches
Empfohlene BinTec Patches
Empfohlene Veritas Patches
Neue Patches in der Übersicht: Veritas
Neue Patches in der Übersicht: Novell, Microsoft
BinTec: X-Router Software v6.22, Teil 3: Die wichtigsten Bugfixes
Cisco: VPN-Client 3.6
Microsoft: Windows 2000 Terminal Server Lizenzen
Microsoft: Probleme beim Klonen unter Windows 2000/XP
Novell: NetWare 6 und ihre Protokolle
Novell: SNAPIN-Probleme beim Novell Bordermanager
Novell: Interessante Tips der Deutschen Netware FAQ
35
36
37
38
39
41
42
44
45
46
48
50
Reproduktionen aller Art (Fotokopien, Mikrofilm,
Erfassung durch Schrifterkennungsprogramme)
- auch auszugsweise - nur mit schriftlicher Genehmigung des Herausgebers.
Wir möchten uns nachträglich bei all denen bedanken, die durch die freundliche Zusammenarbeit das Erscheinen dieser Zeitung ermöglicht haben. Als Informationsquelle dient uns auch das
Internet. Wenn Sie speziell über Ihre Erfahrungen
referieren möchten, bieten wir Ihnen dies unter der
Rubrik “Hotline” an.
www.technik-news.de
Selbstverständlich kann COMPU-SHACK die einwandfreie Funktion der vorgestellten Patches und
Tips nicht garantieren und übernimmt keinerlei
Haftung für eventuell entstehende Schäden.
PRAXIS
•
•
•
•
•
Do IT Dot NET, Teil 8: Internet Security and Acceleration Server 2000
Wireless Security: IP-Sec in WLAN-Umgebung
Wireless Security: Dynamische Schlüssel im Enterasys WLAN
Nortel Networks: Alteon ACEdirector Web Switch Module
BinTec: Teil 2: IPsec Setup Wizard
52
54
56
58
60
SOLUTIONS
• Training, Support und Projekte
Die Liste aktueller Updates zu
Novell, Microsoft und BinTec
finden Sie auf Seite 40,
neueste Patches zu Veritas
Backup Exec auf Seite 38
51,59,62
VORSCHAU
11
• Messen, Roadshows, Termine
2
63
Ausgabe 11/2002
a
AKTUELL
TRAINING
Netzwerke erfolgreich sichern
Spezialisierung für Cisco VPN / Security
Von Heinz Bück
Ausgewählte Kurse zu den Sicherheitstechnologien der führenden Herstellerpartner flankieren die Security Offensive der Compu-Shack. So bietet Compu-Shack Training in Kooperation mit Cisco-Systems jetzt eine besonders hochwertige Zertifizierung, um Netzwerke erfolgreich zu sichern. Die anspruchsvolle Cisco VPN / Security Spezialisierung
qualifiziert Sicherheitsexperten auf höchstem Niveau.
Die personengebundene Spezialisierung für Cisco VPN / Security erweitert bereits erworbene Kenntnisse im
Bereich Netzwerksicherheit und bildet Cisco Fachleute zu Security-Experten aus. Mit dieser Spezialisierung
erwerben IT-Manager und Administratoren ein umfassendes Know-how,
um das ihnen anvertraute Netzwerk
vor Angriffen zu schützen. Unter der
Berücksichtigung der besonderen
Prozeßabläufe im Netz lernen die
Kursteilnehmer, Firewalls, Intrusion
Detection Systeme und VPNs zu integrieren, um ein sicheres und professionelles Netzwerk entwerfen zu
können, das den höchsten Anforderungen der Sicherheitstechnologie
entspricht.
Wege zur Sicherheit
Netzwerksicherheit ist derzeit unbestritten das allüberherrschende Thema der Branche. Nicht umsonst stand
Network Security - auch unter dem
Aspekt der Sicherheit im Wireless
LAN - im Mittelpunkt der vergangenen Systems 2002 in München. Bereits seit Mitte des Jahres verstärkt
Compu-Shack konsequent ihre Offensive im Bereich der IT Security und
verstärkt ihr ausgewähltes SicherKurs
Cis ICND
Cis MCNS
Cis PFA
Cis IDS
Cis VPN
heitsportfolio mit bewährten und
neuen Herstellerpartnern. Die
Consulting- und Support-Dienstleistungen der Compu-Shack Solution
begleiten diese Initiative, um den
Fachhandelspartnern eine möglichst
breite Unterstützung beim Aufbau eigener Sicherheits-Services zu bieten.
Gleichzeitig unterstützt CompuShack Training die Netzwerker und
Administratoren vor Ort mit speziellen Security-Trainings und Workshops bei den besonderen Herausforderungen, die das moderne Security
Management an sie stellt. Ein aktuelles Beispiel ist die Zertifizierung
zum Cisco VPN / Security Spezialisten.
Security Fachleute
Wer sich zum Cisco VPN / Security
Spezialisten ausbilden lassen möchte, kann jetzt auf ein anspruchsvolles
Seminarangebot der Compu-Shack
Training zurückgreifen und anschließend die entsprechenden Prüfungen
absolvieren. Als Voraussetzung dient
ein fünftägiger Kurs Cis ICND zum
Thema “Interconnecting Cisco Network Devices”. Für die Zertifizierung
werden zudem die nebenstehenden
Trainings empfohlen. Mit dem BesteDauer
5 Tage
5 Tage
4 Tage
3 Tage
4 Tage
Interconnecting Cisco Network Devices
Managing Cisco Network Security
Cisco Secure PIX Firewall Advanced
Cisco Secure Intrusion Detection System
Cisco Secure Virtual Private Network
11
Ausgabe 11/2002
3
hen der insgesamt fünf Pflichtexamen
für die VPN/ Security Spezialisierung
wird ein außerordentlich hohes Knowhow nachgewiesen. Es befähigt die
zertifizierten Security Fachleute, verantwortliche Sicherheitsaufgaben in
den Hauptbereichen der Netzwerkplanung und Administration zu übernehmen. Es erlaubt die Beurteilung
der komplexen Technologien, Detailplanungen für VPN-Strukturen, die
Definition von Leistungsanforderungen sowie die Administration und
Beurteilung der Infrastrukturen und
ihrer potentiellen Sicherheitsrisiken.
Die richtige Wahl
Compu-Shack Training bietet Fachhändlern wie Administratoren eine
zunehmend größere Auswahl an herstellerspezifischen Trainings im Bereich Netwerksicherheit, beispielsweise auch zu Microsoft, Novell und
WatchGuard. Aktuelle Themen sind
u.a. das Management des Microsoft
Internet Security and Acceleration
Server oder das Sicherheits-Design im
Microsoft Windows 2000 Netzwerk.
Im Bereich Novell wird derzeit das
Internet Security Management mit der
BorderManager Enterprise Edition
intensiv geschult, brandaktuell auch
die Kurse zu WatchGuard Firewall
und VPN. Denn jüngst noch hat
WatchGuard ihr Portfolio für kleinere Büros und Unternehmen erweitert.
Detaillierte Informationen zu den
aktuellen Trainings, Terminen und
Preisen finden Sie im neuen InternetPortal unter: www.training.
compu-shack.com.
AKTUELL
D
n
NEWS
ALLIED TELESYN
Aggregation
Layer 3/4+ Core Switching mit AT-9800
Allied Telesyn stellt ihre neue AT-9800er Serie vor. Mit hoher Performance und in kompaktem Format sind die Core
Layer 3/4+ Gigabit Ethernet Switches hervorragend geeignet zur Aggregation in mittleren Unternehmen, Gebäudenkomplexen, Campus- oder Universitäts-Netzwerken und Serverfarmen.
D
NEWS
Die neuen AT-9800-Switches von
Allied Telesyn werden in zwei flexiblen Konfigurationen angeboten. Der
AT-9812T verfügt über 12 feste
1000BaseT-Ports und 4 x 1000BaseX
GBIC-Slots. Der AT-9816GB hat 16
1000BaseX GBIC-Slots. Beide
Switches werden höchsten Ansprüchen von Netzwerk-Services mit großem Performance-Bedarf gerecht. Im
direkten Vergleich im High-End-Bereich sind Allied Telesyn AT-9800Switches extrem leistungsstarke Geräte und werden zudem zu sehr attraktiven Einstiegspreisen angeboten.
Der AT-9812T hat den jüngsten
2002er Interoperabilitäts-Test der
Tolly-Gruppe für LAN-Switches erfolgreich abgeschlossen und kann
somit eine unabhängige Bewertung
vorweisen.
Gigabit Switch Fabric
Die GBIC-Schnittstellen bieten eine
hohe Port-Flexibilität und unterstützen beliebige Kombinationen von
Kupfer- und Glasfaser-Gigabitmedien
mit kurzen und langen Reichweiten.
GBIC-Schnittstellen sind HotSwaping-fähig, und eine optionale
redundante Stromversorgung sorgt
für noch größere Zuverlässigkeit. Im
1,5 HE Standard-Rack verfügt die AT9800er Serie über eine non-blocking
32 Gbps Switch Fabric mit einer Performance von 24 Mbps. Die Switches
kombinieren Hardware-basiertes
Wirespeed Switching und IP/IPXRouting mit erweiterter, Policy-basierter Quality of Service, weitreichender Multicast-Unterstützung
und einem umfangreichen Satz an
Konfigurations- und Managementfunktionen.
Service Level
Die Quality-of-Service-Mechanismen der AT-9800er ermöglichen programmierbares Traffic Shaping, basierend auf physikalischen Layer-toLayer 4+ Paketmerkmalen. Die daraus resultierenden 128 verschiedenen Übertragungsklassen ermöglichen flexible, Policy-basierte ServiceLevel-Abkommen mit Zuordnung
von minimaler und maximaler Band-
breite. Durch Verwendung von IEEE
802.1Q/p, DiffServ, RSVP und Hardware-basiertem Switching sind die
AT-9800er Switches eine ideale Lösung für die High-End-Aggregation,
Multicasting und kombinierte
Sprach-, Video und Datenanwendungen. Die AT-9800er Serie bietet
eine hervorragende Auswahl an Layer
2- und Layer 3-Funktionen, inklusive statischem Routing, Routing-Protokollen (RIP/RIPv2, OSPF, BGP4,
IS-IS), Multicast-Protokollen (IGMP,
IGMP Snooping, DVMRP, PIM-SM,
PIM-DM), IP, IPX und AppleTalk,
4096 VLANs, sowie flexibler LinkAggregation.
Monitoring
Alle Funktionen, die die beiden Geräte anbieten, sind leicht konfigurierbar und einfach zu steuern. Die
Switches haben einen eingebauten
DHCP-Server, TFTP für Konfigurations-Downloads und sind Network
Time Protocol Client- und Server-fähig. Erweiterte, anpassungsfähige
Trigger mit einem E-Mail-Client bieten eine hohe Flexibilität beim
Event-Monitoring und -Controlling.
Außerdem stehen normale CLI- und
GUI-Tools zur Gerätekonfiguration
zur Verfügung, sowie voll SNMP- und
MIB-unterstütztes Netzwerkmanagement, mit In-Band- oder Out-ofBand-Zugriff über eine RS232-Konsole. Die bedienerfreundlichen AT9800-Switches sind mit einem einjährigen Net.Cover Basic Plus Servicespaket ausgestattet. Vorab-Austausch
bis zum nächsten Werktag, SoftwareUpdates und Online-Support in Notfällen geben zusätzliche Sicherheit.
11
Ausgabe 11/2002
4
ALLIED TELESYN
IBM
Enhanced Stacking
Big Blade
Layer 2 Switches erweitern Familie AT-8000
168 Prozessoren
im Rack
Zwei Neuzugänge bei der Enhanced Stacking Switch Familie bieten mehr
Flexibilität beim Aufbau hochwertiger Unternehmensnetze. Allied Telesyn
wartet mit weiteren Layer 2 Switches ihrer AT-8000-Familie auf. Die Switches
AT-8016F und AT-8024M beruhen auf dem innovativen Enhanced StackingKonzept von Allied Telesyn, mit dem die Steuerung und Verwaltung von 24
Switches unter einer einzigen IP-Adresse möglicht ist.
IBM will im November BladeServer ausliefern, die bis 168
Intel Xeon-Prozessoren im Standard-Rack unterbringen. Durch
eine vertikale Ausrichtung der
Server-Blades und die Funktionsverlagerung in Chassis von 7
Höheneinheiten hat IBM die
Hardware-Packungsdichte des
eServer xSeries BladeCenter optimiert.
D
B
Bei den neuen Switches AT-8024M
und AT-8016F handelt es sich um
Layer 2 Switches mit 24 10/100TXPorts bzw. 16 100BaseFX-Ports mit 2
Uplink-Modulen für Gigabit oder
Fast Ethernet Backbone-Anschlüsse.
Sie positionieren sich zwischen den
SNMP-managebaren stackable Layer
2 Switches der AT-8300er Familie und
dem Basismodell AT-8024. Die beiden Geräte sind besonders auf Kunden ausgerichtet, die Flexibilität im
Aufbau und erweiterte Sicherheitsmaßnahmen, zum Beispiel ein redundantes Power Supply wünschen.
Uplink-Module
Das Betriebssystem ist sehr bedienerfreundlich und wird ständig weiterentwickelt. Es ist innerhalb der AT8000-Familie kompatibel. Software
Updates sind über die technische
Hotline von Allied Telesyn sowie
online verfügbar. Das Modell AT8016F ist in den zwei Fiber-Steckervarianten SC und MT-RJ erhältlich.
Die in beidenVersionen vorhandenen
Uplink-Module sehen, ebenso wie
beim ModellAT-8024M, Optionen für
10/100/1000T-Anschlüsse oder
GBIC, Fast Ethernet 100FX bzw.
Stacking mit Twisted Pair-Anschluß
vor.
SNMP Management
Die Enhanced StackingSwitches sind
mittels Telnet und GUI im LAN und
WAN einfach zu konfigurieren. Für
komplexe Management-Architekturen ist AT-View Plus, die neue von
Allied Telesyn entwickelte SNMP
Management Applikation vorgesehen. Diese ist in die meisten derzeit
verwendeten Management-Plattformen integrierbar. AT-8024M und AT8016F sind mit einer 9,6 Gbps
Switchingmatrix ausgestattet, die den
beachtenswerten Durchsatz von bis
zu 6,5 Millionen Paketen pro Sekunde gewährleistet. Für die gesamte
Reihe der managebaren Layer 2
Switches gilt ein dreijähriger Net.Cover Basic Plus Servicevertrag, mit
Vorab-Austausch von defekten Geräten sowie technischem Support über
die kostenlose Allied Telesyn Hotline. Die neuen Switches können ab
sofort geliefert werden.
11
Ausgabe 11/2002
5
Das eServer xSeries BladeCenter
ist auf höchste Kompaktheit ausgelegt. Denn jedes Chassis kann
bis zu 14 Blades aufnehmen. Dabei kommen in den Einschüben
bei IBM ein oder zwei IntelXeon-Prozessoren mit 2,0 oder
2,4 GHz zum Einsatz. Jedes einzelne Blade nimmt zudem zwei
auswechselbare IDE- oder SCSIFestplatten auf und unterstützt
bis zu 8 GByte Speicher. Zwei
Gigabit-Ethernet-Controller verbinden jeden Server einzeln mit
dem Netzwerk. Ein eigener Management-Controller ist für die
Fernwartung und Kontrolle der
Hot-Swap-Einschübe gedacht.
Die Chassis enthalten auf der
Rückseite redundante Module
für Diagnose, Fernwartung oder
die Stromversorgung, aber auch
für FibreChannel-Switches, um
die Blade-Server an ein Storage
Area Network anschließen zu
können. In jedes Chassis sind ein
Disketten- und ein CD-Laufwerk
für die Software-Installation eingebaut. Spätere Versionen sollen
mit Adaptern ausgerüstet werden
können, die besondere Clusterund Storage-Verbindungen beschleunigen.
n
NEWS
NOVELL
APC
For Handhelds v5
Designed for Windows XP
ZENworks senkt Kosten
Die American Power Conversion hat die neue Version 1.3 der PowerChute
Personal Edition vorgestellt. Die Power-Management-Software wurde speziell für Windows XP optimiert und stellt zusätzlich Features für den Desktop
bereit.
Novell hat ZENworks for Handhelds
5 auf den Markt gebracht. Die neue
Software ermöglicht das zentrale
plattformübergreifende Management von Handheld-Konfigurationen und -Inhalten. Die automatisierte Administration für Palms, Windows CE oder Pocket PCs hilft Kosten einzusparen.
NEWS
D
Die Anzahl und
Bedeutung von
Handhelds
in Unternehmen
steigt beständig,
doch gleichzeitig erhöhen sich Managementkosten und Sicherheitsrisiken. Dank
der Inventarisierungsfunktion von
ZENworks for Handhelds 5 stehen
den Administratoren stets aktuelle Informationen über die Handheld-Geräte im ganzen Unternehmen zur Verfügung. Von ihrem Arbeitsplatz aus
können sie Anwendungen zentral
aufspielen und an alle Handhelds
verteilen. Weil die Managementaufgaben für Palms, Windows CE oder
Pocket PCs automatisiert werden,
können Unternehmen die Gesamtbetriebskosten für Handhelds deutlich verringern. Darüber hinaus
schützt ZENworks mit zentralisierten
Regeln für das Paßwort- und Dateienmanagement deren sensible Daten
und sorgt dafür, daß Informationen
nicht in falsche Hände gelangen.
Novell ZENworks for Handhelds 5 ist
ab sofort im Novell Fachhandel erhältlich.
PowerChute Personal Edition 1.3
D
Die PowerChute Personal Edition
dient der Online-Verwaltung der APC
USV-Anlagen mit USB-Anschluß und
bietet unter den gängigen Betriebssystemen ein Maximum an Sicherheits- und Informationsdiensten. Das
mit einer übersichtlichen Bedieneroberfläche ausgestattete Softwarepaket ist speziell für den SOHO-Bereich
konzipiert. Einfach zu installieren
und sofort betriebsbereit, sorgt es im
Falle einer längeren Unterbrechung
der Netzstromversorgung für die automatische Datensicherung und das
korrekte Herunterfahren des jeweiligen Betriebssystems.
Für XP optimiert
Unter Windows XP versetzt die Software den Rechner in den Ruhezustand, anstatt das Betriebssystem bloß
herunterzufahren. Die spezielle
Windows XP Funktion speichert ein
genaues Abbild der Arbeitsumgebung
inklusive aller geöffneten Dateien
und Anwendungen auf der Festplatte. Anschließend werden Peripheriegeräte wie Bildschirm, Festplatte oder
Drucker und dann der Rechner ausgeschaltet. Nachdem die Spannungsversorgung wiederhergestellt ist, fährt
das System automatisch wieder hoch.
Die aktuelle Arbeit kann fortgesetzt
werden.
Neue Funktionen
Die Personal Edition stellt vom Betriebssystem unabhängige Funktionen zur Verfügung. Ein spezieller Performance-Bericht erfaßt Stromversorgungsprobleme und weist die
Gesamtleistungshistorie aus. In Verbindung mit der APC Back-UPS CS
Familie läßt sich die akustische
Alarmfunktion auch ausschalten,
etwa um Ruhestörungen im privaten
Umfeld zu vermeiden. Die Desktop
Stromschutzlösungen der APC BackUPS CS Familie Serie wurden ebenfalls für den SOHO-Markt und die
Büroumgebung entwickelt. Die USVGeräte bieten permanenten Stromschutz für Rechner und Peripherie und
stellen zusätzliche Leistungsmerkmale wie den Überspannungsschutz
der Telefon- oder Modem-Leitung
bereit. DerAnschluß erfolgt über USB
oder die serielle Schnittstelle. Die
PowerChute Personal Edition V1.3
kann kostenfrei im Internet heruntergeladen werden: www.apcc.com/
tools/download.
11
Ausgabe 11/2002
6
BINTEC
NORTEL NETWORKS
Interessante Variante
BinGO! DSL und neue X-Router-Modelle
Neue
Dimensionen
BinTec hat auf der Systems neben aktuellen Varianten ihrer X-Router die
neuen Modelle X2402 und X2404 präsent sowie eine BinGO! Variante mit
DSL-Schnittstelle. Außerdem wurde das neue Release der Stateful Inspection
Firewall gezeigt, die die Sicherheitsfunktionen der X-Router erweitert.
BayStack 470
mit 48 Ports
Der neue BayStack 470 ergänzt das
Portfolio der erfolgreiche BayStackReihe von Nortel Networks. Dieser
leistungsstarke Layer-2-Switch präsentiert sich als das neue Flagschiff
von Nortel Networks im SME-Markt.
F
Für den kostengünstigen Internetzugang hat BinTec
ihren BinGO! auf
High Speed DSL
ausgelegt. Zum
Remote Access in
kleinen Unternehmen
oder in Remote oder Home Offices
bietet sich damit eine wahrhaft flotte
Lösung. Die Konfiguration kann mit
Hilfe des Configuration Wizard
schnell und einfach durchgeführt
werden. Über die integrierte ISDNSchnittstelle ermöglicht Bin GO! DSL
ein automatisches Backup über ISDN
und ist zudem mit umfangreichen Sicherheitsmechanismen gegen unberechtigten Zugriff ausgestattet. Übrigens gelang BinTec laut Gartner /
Dataquest vom Juni 2002 im 1. Quartal dieses Jahres erstmals der Sprung
an die Spitze des SOHO Router-Marktes in Deutschland.
X-Router-Varianten
Zwei neue Router der BinTec X2400Serie waren erstmals auf der Systems
im Einsatzszenario zu sehen. Die
G.SHDSL-Router X2402 und X2404
wurden speziell für High-SpeedInternet-Zugänge und VPN-Verbindungen in kleinen und mittleren Unternehmen entwickelt. Aufgrund sehr
hoher Datenübertragungsgeschwindigkeiten sowie umfangreicher
Sicherheitsmerkmale eignen sie sich
für vielerlei Business-Anwendungen
wie etwa das Hosting von Web- und
E-Mail-Servern, Videokonferenzen
oder zur Anbindung von Unternehmens-Filialen. Für den Einsatz in
Büroumgebungen
präsentiert sich auch der X2300is als
Ausstattungsvariante mit integriertem
4-Port Switch für bis zu vier PCs
gleichzeitig. Der modulare Enterprise
Access Router X8500-S3 richtet sich
in der neuen 3-Slot Variante eher an
mittlere bis große Unternehmen. Mit
seinen drei Steckplätzen für Kommunikationsmodule zeichnet er sich
durch hohe Performance aus und läßt
sich über eine kostenpflichtige Hardware-Lizenz einfach auf die 8-Slot
Version X8500-S8 aufrüsten.
Inspection Firewall
Gleichzeitig erweiterte BinTec mit
der Stateful Inspection Firewall die
umfangreichen Sicherheitsfunktionen in den Routern der X-Generation
und bietet damit einen hohen Sicherheitsstandard für Firmennetze. Zum
einen verhindert die Software den
unbefugten Zugriff auf das interne
Unternehmensnetz, zum anderen
kontrolliert sie parallel den jeweiligen Status der bestehenden Verbindung in das Internet. Die Firewall
wurde erstmals auf der Systems präsentiert und ist mit dem neuen Release 6.2.5 seit Mitte Oktober 2002
verfügbar. Das neue Release kann
kostenlos downgeladen werden:
www.bintec.de.
11
Ausgabe 11/2002
7
D
Das augenfälligste Merkmal des
BayStack 470 ist seine Kompaktheit.
Auf nur einer Höheneinheit bietet er
48 10/100-TX-Ports und spart mit
dieser geringen Bauhöhe eine Menge Platz im Datenschrank. Vorteilhaft
ist zudem, daß die Gigabit-Module
als bewährte Komponenten der
BayStack und Passport-Serien ohne
Einschränkung auch im neuen 470er
einzusetzen sind. Ähnlich wie beim
BayStack 420 ist das Kaskademodul
bereits integriert, so daß lediglich die
speziellen Kaskadekabel als Ergänzung notwendig werden. Umfangreiche Features wie Datenpriorisierung
auf Layer 3-4 und die Möglichkeit,
ihn problemlos in einen Business
Policy Switch-Stack zu integrieren,
eröffnen vielfältige Einsatzmöglichkeiten, ob als Stand-alone-DesktopSwitch, ob als reiner BayStack 470Stack mit bis zu 8 Geräten oder als
kombinierter Stack mit Business
Policy Switches. Durch umfangreiche
Sicherheits-Features schützt er das
Netzwerk, optimiert den Datenverkehr und unterstützt verschiedene
Applikationen und Usergruppen.
n
NEWS
MICROSOFT - HP
COMPUTER ASSOCIATES
.NET
Business
Ganzheitlich
Berührungspunkte
Microsoft und Hewlett-Packard wollen die Entwicklung der neuen Generation von IT-Lösungen auf der
Basis von .NET beschleunigen. Ein
Team von Beratern und System-Architekten soll sich ausschließlich auf
.NET-Lösungen spezialisieren.
eTrust Security Command Center
Computer Associates stellt mit eTrust Security Command Center die erste
Sicherheits-Management-Konsole mit integrierten Softwarelösungen vor. Sie
umfaßt die Zugangskontrolle, die Erstellung und Verwaltung von Benutzerprofilen sowie den Schutz vor internen und externen Bedrohungen in einem
Threat Management.
NEWS
I
Im Rahmen einer gemeinsamen Initiative werden beide Unternehmen
mehr als 50 Millionen US-Dollar investieren, um den Aufbau von .NETLösungen und Web Services zu unterstützen. Die Initiative kombiniert
die IT-Infrastrukturtechnologie und
die Dienstleistungskompetenz von
HP mit den .NET-Softwarelösungen
von Microsoft. Sie hat das Ziel, Unternehmen dabei zu unterstützen, ihre
Informationen, Mitarbeiter, Systeme
und Endgeräte mit .NET-Lösungen
und Web Services zu verknüpfen.
Diese werden über ein umfassendes
Portfolio von HP Hardware-Plattformen angeboten. Dazu werden eigens
geschulte Berater insbesondere weltweit tätige Unternehmen unterstützen, die neuen Lösungen einzusetzen.
HP bildet mehr als 5.000 Vertriebsmitarbeiterinnen und -mitarbeiter in
.NET aus, zertifiziert 3.000 ServiceMitarbeiter für .NET und bildet ein
neues Team von .NET Lösungs-Architekten.Außerdem baut HP ein weltweites Vertriebsteam mit Unterstützung durch Systemingenieure auf, das
sich schwerpunktmäßig mit dem Vertrieb und der Implementierung von
Microsoft .NET-Lösungen beschäftigt. Umgekehrt unterstützt Microsoft
HP als weltweiten ”Prime Integrator”
für die.NET-Technologien. HP besitzt
langjährige Erfahrung als Anbieter
von IT-Infrastrukturlösungen auf
Windows 2000, Exchange, BizTalk
und anderen .NET Server Produkten.
M
Mit einem ganzheitliche Ansatz integriert CA ihre bewährten eTrustLösungen und Partner-Technologien
zum neuen eTrust Security Command Center. Über dieses Portal können alle sicherheitsrelevanten Prozesse in einem umfassenden Konzept für
ein Unternehmen organisiert werden.
Anfälligkeiten lassen sich durch die
Integration verschiedener Sicherheitsfunktionen beheben. Aufwendige Administrationsprozesse für optimierte Sicherheitsverfahren werden
dadurch gestrafft.
Gefahrenausschluß
Das neue eTrust Security Command
Center führt drei Sicherheitsfunktionen in einer zentralen Managementkonsole zusammen. Das eTrust Identity Management organisiert die Erstellung, Modifizierung und das Löschen von User Accounts je nach
Gültigkeit der Anwenderrechte und
schließt die vereinfachte Benutzeranmeldung für Geschäftsapplikationen
mit ein. Das eTrust Access Management sorgt für Richtlinien-basierten
Schutz von Unternehmensressourcen
und ermöglicht eine erhöhte Verfügbarkeit geschäftskritischer Systeme.
Das eTrust Threat Management
schützt als dritte Komponente das
Netz vor internen und externen Bedrohungen durch bösartigen
Programmcode oder Denial-of-Service-Attacken.
Command Center
Das neue eTrust Security Command
Center ermöglicht die integrierte Verwaltung und Darstellung aller
Sicherheitsfunktionen im Stil eines
Web-Portals. Neben der Unterstützung der gesamten eTrust-Linie von
CA bietet es über ein Software Development Kit offene Schnittstellen für
die optimale Einbindung von Sicherheitslösungen anderer Anbieter. Dazu
gehören Intrusion Detection-Systeme
ebenso wie Firewalls und NetzwerkTools. Das “CA Smart Solution Certification Program” fördert die standardmäßige Integration der Produkte von Fremdanbietern. eTrust-Lösungen lassen sich auch mit den CA-Technologien Unicenter, BrightStor und
CleverPath integrieren. Damit können optimierte Sicherheitsverfahren
auch auf Infrastruktur-, Speicher- und
Informationsmanagement-Prozesse
ausgedehnt werden.
11
Ausgabe 11/2002
8
KOBIL SYSTEMS
Große Klasse
Terminals für SecOVID und KOBIL Smart Key
KOBIL Systems führt als Anbieter Smart Card basierter Security Lösungen drei Produktlinien. Neben dem Einmalpaßwortsystem SecOVID und der PKI-Lösung KOBIL Smart Key stehen die Smart Card Terminals in vier verschiedenen Sicherheits-Klassen. Die Anwendungsbereiche und Einsatzmöglichkeiten reichen von Internet Security mit PKILösungen und Digitaler Signatur über das eBanking und eGovernment bis zu Payment-Lösungen bei Geldkarten im
Internet oder Homebanking-Lösungen.
D
Die Smart Cards und zugehörigen
Terminals von KOBIL Systems sind
prädestiniert für Security-Lösungen,
da Schlüssel auf der Smart Card hochsicher gespeichert werden können.
Die einzige Verbindung zur äußeren
Welt bei Smart Cards bzw. Chipkarten ist die serielle Schnittstelle. Es
gibt keine andere Möglichkeit des
Datenaustausches. Deshalb benötigt
man ein zusätzliches Gerät, das die
elektrische Verbindung zur Chipkarte herstellt. Die Grundfunktionalität
eines solchen Terminals ist es, die
Smart Card bzw. Chipkarte elektrisch
zu versorgen und eine datentechnische Verbindung herzustellen.
KOBIL bietet dazu neben stationären Smart Card Terminals auch solche für den mobilen Einsatz an, bspw.
USB Token oder PCMCIA-B1-Leser.
Die Terminals KAAN Standard Plus,
KAAN Professional sowie B1 Professional sind E2 hoch-evaluiert. Das
Portfolio von KOBIL bietet Smart
Card Terminals der Klassen 1 bis 4.
Diese Terminals bilden hardwareseitig auch die Grundlage für die
Smart Card basierten Sicherheitslösungen SecOVID und KOBIL Smart
Key.
Klasse 1 und 2
Bei der Einteilung der Smart Card
Terminals in die Klassen 1 bis 4 gilt
prinzipiell, daß mit zunehmender
Klassenzahl die Sicherheit und die
Intelligenz im Smart Card Terminal
steigen. Klasse 1 ist im wesentlichen
eine einfache Kontaktiereinheit, die
nur die elektrische Verbindung zwi-
noch ein Authentifikationsmodul.
Terminals dieser Klasse verfügen zusätzlich über eine eigene Identität.
Durch das eingebaute Sicherheitsmodul, welches für jedes Terminal
einmalige Private Schlüssel eines
asymmetrischen Kryptoverfahrens
beinhaltet, kann das Terminal digitale Signaturen erstellen, die ihm eindeutig zugeordnet werden können.
Paßwort oder PKI
schen PC und Chipkarte herstellt.
Kobil Terminals in dieser Klasse sind
KAAN Twin, PCMCIA Reader B1,
KAAN SIM. Die Klasse 2 hat gegenüber der Klasse 1 ein zusätzliches
PINpad. Der Vorteil ist, daß die PIN
für die Chipkarte über das PINpad des
Terminals eingegeben wird. So wird
verhindert, daß beispielsweise ein
Trojaner die PIN abhört, die Karte freischaltet und deren Funktion nutzt, um
mißbräuchlich eine digitale Signatur
zu erzeugen. Die Terminals dieser
Klasse sind KAAN Standard und
KAAN Standard Plus
Klasse 3 und 4
Klasse 3 hat zusätzlich noch ein Display. Auf diesem werden authentisch
Texte dargestellt. Durch die Fähigkeit
eigene Applikationen intern auszuführen, bietet ein Smart Card Terminal der Klasse 3 ein Höchstmaß an
Sicherheit. Dies sind die Terminals
KAAN Professional und B1 Professional. Klasse 4 besitzt neben all dem
11
Ausgabe 11/2002
9
Das Einmalpaßwort-System SecOVID
generiert für jeden Zugriff auf VPNs,
Firewalls, Webserver, LANs oder andere wertvolle Netzwerkressourcen
ein neues Kennwort. Berechnet werden diese dynamischen Paßwörter
mittels Chipkartenterminal und Smart
Card oder Hardware-Token, nachdem
der Nutzer seine PIN eingegeben hat.
Die PKI-Lösung KOBIL Smart Key
löst die Sicherheitsproblematik hinsichtlich der Hinterlegung von privaten Schlüsseln, die hochsicher auf
einer TCOS-Chipkarte gespeichert
werden. SecOVID und KOBIL Smart
Key können mit allen gängigen VPNs
genutzt werden, ob mit Cisco oder mit
Windows 2000. Damit bestehen sichere Lösung en beim Windows
Login, für Citrix Metaframe oder
Windows-Terminalsserver-Umgebungen. Ob für einen sicheren Remote
Access oder den Zugriff auf unternehmensweite ASP-Anwendungen, aus
der Zwei-Faktor-Authentifizierung,
die sich aus dem Besitz der Karte und
dem Wissen um die PIN ergibt, resultiert eine verläßliche Netzwerksicherheit.
n
NEWS
CISCO
Mid-Range Serie erweitert
Modulare Catalyst Switches 4500
Cisco Systems erweitert das Portfolio an modularen Mid-Range Switches um die Catalyst 4500er Serie. Für kleinere,
mittelständische und große Unternehmen stehen drei neue Geräte mit modularen Einschüben bereit, die Ausfallsicherheit, erweiterte Netzwerkkontrolle sowie eine integrierte Inline-Stromversorgung liefern.
D
sorgt so für höhere Skalierbarkeit und
Leistung. Mit dem Catalyst 4507R
erreichen mittlere Unternehmen einen
ausfallsicheren Netzbetrieb im
Backbone. Die Supervisor Engine IV
ist zum Catalyst 4006 und zu allen
Switching Line Cards für die 4000er
Serie kompatibel, unterstützt das
NetFlow Services Modul und liefert
Flow-basierte VLAN-Statistiken zur
Bestimmung und Auswertung der
Netzwerk-Performance.
Die intelligenten Mid-Range-Switches der Catalyst Serie 4500 bringen
mehr Leistung und Verfügbarkeit bei
erweiterten Sicherheits- und Management-Funktionen. Alle Line Cards
und Supervisor Engines der Cisco
Catalyst 4000er Serie sind zu den
neuen Geräten kompatibel, so daß
Kunden von ihrem Investitionsschutz
profitieren. Zusätzlich stellt Cisco
mit der Supervisor Engine IV ein neues Kontrollmodul für Switches der
4000er Serie vor. Die Engine ist für
den Einsatz in konvergenten Netzen
konzipiert und erhöht Skalierbarkeit
und Leistung.
Von klein bis groß
NEWS
Die Catalyst 4500er Serie setzt auf
der Architektur der 4000er Switches
auf. Sie wurde sowohl für den Einsatz im Etagenbereich von Konzernen wie auch als integrierte Lösung
für kleinere und mittelgroße Unternehmen oder Zweigstellen entwikkelt. In Konzernen eignen sich die
neuen 4500er Switches überall dort,
wo intelligente Dienste und hohe
Ausfallsicherheit erforderlich sind.
Als preisgünstiges Gerät für den
Backbone von mittleren Unternehmen bietet der Switch Übertragung
von Daten, Sprache und Video sowie
einen integrierten WAN-Zugang, dessen Bandbreite skalierbar ist.
Drei Modelle
Die neue Serie besteht aus drei Produkten. Der Catalyst 4507R bietet
sieben modulare Einschübe mit integrierter Supervisor Redundanz. Damit steht ein Backbone Switch mit
Security-Dienste
hoher Ausfallsicherheit und Erweiterbarkeit zur Verfügung, die bislang nur
vom Catalyst 6500 erreicht wurde.
Der Catalyst 4506 weist sechs Einschübe auf, der Catalyst 4603 drei.
Alle Geräte können auf bis zu 240
Ports für 10/100BASE-T, 100BASEFX Fast Ethernet, 1000BASE-LX
oder 10/100/1000BASE-T Gigabit
Ethernet skalieren. Um Unternehmen
die Migration zu Gigabit Ethernet zu
erleichtern, hat Cisco für das 48 Port
10/100/1000BASE-T Modul, das für
die Catalyst Serien 4500 und 4000
bestimmt ist, die Preise um rund 40
Prozent gesenkt. Die Geräte bieten
redundante 1+1-Stromversorgung
und liefern integriertes Power-overEthernet für den Einsatz von Cisco
Wireless Access Points 1200 und für
die Cisco IP Telefone 7940 und 7960.
Supervisor Engine IV
Die neue Supervisor Engine IV stellt
für die Switches der Catalyst 4500er
und 4000er Serie alle intelligenten
Layer 2-4-Funktionen sicher und
Um den unbefugten Zugang zum
Netzwerk zu verhindern, bieten die
neuen Catalyst 4500 Switches und
die Stackable Catalyst 2950er und
3550er Serie erweiterte Sicherheitsfunktionen wie Private VLAN und
Access Control Listen, Address
Notification zur Benachrichtigung
der Administratoren über neue Benutzer und 802.1x Authentisierung auf
Benutzerebene. Diese Funktionen
gehen weit über die bekannte Port
Security hinaus, weil Unternehmen
über frei verfügbare Tools wie Dsniff
auch von intern angreifbar sind, was
über eine Firewall alleine nicht abgesichert werden kann. Alle Dienste
werden im Layer-2/3/4-Switching
abgebildet, mit 48 Millionen Paketen pro Sekunde. Dazu gehören Funktionen für Policy-basierte QoS und
Traffic Management zur Klassifizierung und Priorisierung von Paketen.
CiscoWorks stellt einen sicheren,
Web-basierten Zugang bereit, über
den alle Ports, Benutzer und Services
kontrolliert werden können. Die neuen Catalyst wie auch die Supervisor
Engine IV sind ab sofort erhältlich.
11
Ausgabe 11/2002
10
SONICWALL
CISCO
Internet Security
Im StorageMarkt
SonicWALL Network Anti-Virus
Der SonicWALL Network Anti-Virus Protect ist in allen SonicWALL Security
Appliances integriert und kann durch Erwerb einer entsprechenden Lizenz
auch nachträglich freigeschaltet werden. Er bietet speziell den kleineren
Unternehmen mit 5 bis 50 Arbeitsplätzen eine kostengünstige All-in-OneLösung, die ohne weitere Administration auskommt.
E
Ein installierter Virenschutz ist zwar
bei vielen Unternehmen vorhanden,
aber oft nicht up-to-date oder entsprechend installiert. Anti-Virus-Lösungen sind nur so gut wie die entsprechenden Musterdateien in der AntiViren-Datenbank und die notwendigen durchgeführten Updates. Mit
mehr als 300 neuen Viren, die Monat
für Monat entdeckt werden, ist jede
Anti-Virus-Lösung, die sich auf die
Intervention eines Administrators zur
entsprechenden Aktualisierung der
Updates verläßt, verwundbar. Sonic
WALL Network Anti-Virus stellt deshalb eine Lösung bereit, die ohne jede
Administration auskommt, und die
automatisch alle Aspekte eines
desktop- basierenden Virenschutzes
managed.
Proaktiv
SonicWALL Network Anti-Virus ermöglicht einen proaktiven Viren-
schutz, der in Zusammenarbeit mit
McAfee, dem Marktführer im Bereich
der Viren-Schutz-Lösungen für den
Geschäftsbereich, entwickelt wurde.
Die SonicWALL Internet Security
Appliances sind allesamt mit diesem
Virus Protect ausgestattet, der mit der
entsprechenden Lizenz auch im
Nachhinein freigeschaltet werden
kann. Der Anti-Virus ist für 5, 10, 50
oder 100 User mit einer Lizenzlaufzeit
von jeweils 12 Monaten erhältlich.
Er stellt sicher, daß jeder PC, der auf
das Internet zugreifen möchte, automatisch immer die aktuellste AntiVirus-Software installiert und aktiviert hat, um das Netzwerk effizient
gegen die Verteilung neuer Viren zu
schützen.
Automatisch
Die automatische Verteilung der
Client Software auf allen Systemen,
die auf das Internet zugreifen, bietet
einen verläßlichen Virenschutz mit
direkter Aktualisierung bei Verfügbarkeit von Virus Updates. Bösartige
E-Mail-Anhänge können bereits an
der Firewall abgestreift werden, noch
bevor Updates vorliegen, ein kostenloser zusätzlicher Service mit kurzen
Reaktionszeiten von etwa 4 Stunden.
SonicWALL bietet neben der Client
Lösung auch eine Option für das
Gateway an. Dieser SonicWALL Server-Anti-Virus ist eine eigenständige
Software-Lösung. Beide Produktvarianten stehen einzeln oder als kostengünstige Kombination zur Verfügung.
11
Ausgabe 11/2002
11
Kompatibilität der
Technologien
Cisco Systems hat eine Initiative ins
Leben gerufen, um die Kompatibilität von Storage-Produkten verschiedener Kategorien voranzutreiben.
Dafür konnte der Netzwerkspezialist
eine Reihe von Herstellern aus der
Storage-Industrie gewinnen. Es geht
um neue Industriestandards.
I
Intensive Kooperationsbemühungen
von Cisco zielen darauf, die Kompatibilität ihrer kürzlich eingeführten
Storage-Lösung Cisco MDS 9000-Serie mit den Produkten anderer Kategorien zu erreichen. Hierzu zählen
Host-Bus-Adapter, Storage-Bausteine
und Magnetband-Archive, aber auch
Storage-Management-Anwendungen, Replizierungs-Services und
Back-up Software. Darüber hinaus
fördert Cisco die Entwicklung von
Standards in der Storage-Industrie
und hat eine führende Rolle bei der
Autorisation der Normenentürfe übernommen. Dabei geht es in erster Linie um den FC-SC Entwurf für sichere Fibre-Channel-Kommunikation innerhalb T11 und die Co-Autorisation des Internet Small Computer Systems Interface (iSCSI) innerhalb
Internet Engineering Task Force.
Cisco ist an einer optimierten Handhabbarkeit der Lösungen durch die
Definition neuer Fibre Channel, SCSI
und iSCSI MIBs (Management Information Bases) interessiert. Denn
durch Industriestandards sinkt der
Bedarf an Kompatibilitätstests. Dadurch finden Lösungen eine höhere
Akzeptanz, da Kunden eine kompatible Infrastruktur für Storage-Lösungen wie die der Cisco MDS 9000-Familie vorfinden.
n
NEWS
CITRIX
NETGEAR
Sicherheit für
MetaFrame
Gigabit-Kupfer
Secure Gateway für Sun Solaris
Citrix hat ihre Verschlüsselungssoftware Secure Gateway
für Solaris Betriebssystem-Umgebung von Sun
Microsystems vorgestellt. Das Sicherheitsprodukt für
MetaFrame XP und MetaFrame für UNIX-Umgebungen
arbeitet jetzt auch nahtlos mit Solaris auf der SPARC
Plattform.
D
Das Citrix Secure Gateway
(CSG) bietet sicheren, einfachen Applikationszugriff
für Außendienstmitarbeiter,
Kunden und Händler, unabhängig vom Standort, Gerät
oder von der NetzwerkVerbindung. Als Komponente der Application
Server Software Citrix
MetaFrame sichert CSG den
MetaFrame Datentransfer über das Netzwerk mit dem Industrie-Standard SSL/TLS (Secure Socket Layer, Transport Layer Security). Das Verschlüsselungs-Protokoll hat
eine Schlüssellänge von bis zu 168 bit. Die Erweiterung
auf die Solaris Betriebssystem-Umgebung erlaubt es nun,
CSG auf der Sun Plattform zu nutzen, um die Sicherheit
des Datentransfers zwischen MetaFrame-Server und Endgerät durch Verschlüsselung und Authentifizierung zu erhöhen. CSG fungiert als Internet Gateway zwischen den
MetaFrame-Servern und den ICA-Clients und stellt damit einen zentralen, sicheren Zugang zur Citrix Server
Farm zur Verfügung.
NEWS
Sicher durchs Internet
Der CSG-Server wird in der Demilitarisierten Zone zwischen Internet und unternehmensinternem Netzwerk eingesetzt. CSG bietet eine Authentifizierung durch die Integration mit der Application Portal Software NFuse
Classic. Dadurch ist CSG in der Lage, zeitlich begrenzte
Tickets zur Authentifizierung der Anwender am MetaFrame-Server zu nutzen. Dies erhöht die Sicherheit zusätzlich. Citrix Secure Gateway ist als Produkterweiterung
in MetaFrame XP und MetaFrame für UNIX integriert und
kann nicht als alleinstehendes Produkt erworben
werden.CSG v1.1 für Solaris Betriebssysteme steht für
Citrix Subscription Advantage Kunden im Citrix Secure
Portal kostenlos zum Download zur Verfügung.
12 Port Switch für High-Speed
Netgear kündigt einen neuen managebaren Gigabit
Ethernet Switch an. Der GSM712 verfügt über zehn 10/
100/1000 MBit/s Gigabit-Kupfer-Ports und zwei Gigabit-Interface-Connector Slots für den optionalen Ausbau eines Hochgeschwindigkeits-Netzwerkes.
N
Netgears GSM712 wurde für den Einsatz in Netzwerken
und Workgroups konzipiert, in denen besonderer Wert
auf Geschwindigkeit und das problemfreie Transportieren großer Datenmengen gelegt wird. Der GSM712 ist für
eine dedizierte Bandbreite von bis zu 2000 Mbps Datendurchsatz pro Port im Vollduplex-Betrieb ausgelegt. Mit
dem neuen Gerät will Netgear ihre Marktposition bei
Layer 2 Gigabit-Ethernet-Switches weiter ausbauen und
bietet überdurchschnittlich viel Leistung für wenig Geld.
Der managebare Gigabit Ethernet Switch bietet an jedem
Port Auto-Negotiation von 10/100/1000 MBits/s sowie
von Halb- und Vollduplex. Zusätzliches Leistungsmerkmal ist die Auto-Uplink Funktion, die den Einsatz spezieller Crossover-Kabel überflüssig macht.
Modular
Erweiterte Flexibilität erhält der FSM712 durch die beiden GBIC-Slots. Mit dem AGM712F-Modul für GibabitGlasfaser- bzw. dem AGM712T für Gigabit-Kupfer-Verbindungen kann der Switch problemlos weiter aufgerüstet werden. Im Lieferumfang enthalten ist ein RackMount-Kit für den Einbau in einen 19-Zoll-Schrank. Dem
Administrator bietet der GSM712 zwei Möglichkeiten
des Managements. Der Switch kann gleichermaßen über
ein Browser-basiertes oder ein Kommandozeilen-orientiertes Interface eingerichtet werden. Die verwaltbaren
Funktionen umfassen dabei unter anderem SNMP, RMON,
QoS, Port-Trunking, Spanning Tree und Port Mirroring.
Datenflußsteuerung auf Basis des IEEE 803.x-Standards
vermeidet Paketverluste. Durch integrierte LEDs wird der
aktuelle Status der Ports jederzeit angezeigt. Der GSM712
kann aber auch als Unmanaged-Switch von Mitarbeitern
ohne spezifische IT-Kenntnisse installiert werden. Die
Garantiezeit beträgt fünf Jahre.
11
Ausgabe 11/2002
12
TANDBERGDATA
StorageCab um NAS erweitert
Speichererweiterung im Handumdrehen
Die für den Einsatz als zentraler Massenspeicher in kleinen und mittleren Netzwerken entwickelte StorageCabFamilie hat Zuwachs bekommen. Alternativ zu den JBOD- und JBOD-/Tape-Systemen, die über SCSI-Schnittstellen
direkt an Applikations- oder Fileserver anzuschließen sind, stehen inzwischen alle Modelle auch als NAS-Lösungen
zur Verfügung. Sie ermöglichen Speichererweiterungen mit minimalem Konfigurationsaufwand.
als Puffer, welche die portionsweise
ankommenden Daten aus dem Netz
zwischenspeichern, um sie später
streamergerecht zu übergeben. Bei
Störungen sind die Daten in dieser
Konfiguration sehr schnell wieder
hergestellt, da sic h die Vortagesversion stets auf dem Plattenverbund
befindet.
Aufrüstbar
Die neuen NAS-Lösungen der StorageCab-Familie ermöglichen
Speichererweiterungen im Handumdrehen. Innerhalb von 15 Minuten
sind alle erforderlichen Einstellungen
getätigt. Die Verbindung zwischen
den JBOD- bzw. JBOD-/Tape-Geräten
und der 10/100 Mbit-Ethernetschnittstelle stellt der auf Linux basierende Tandberg StorageCabServerV her. Er organisiert intern den
Festplattenverbund auf einem vom
Anwender definierbaren RAID-Level,
wobei er zugleich als RAIDController fungiert.
Als JBOD-Systeme stehen zwei
Towerversionen mit maximal 6 oder
12 SCSI-Festplatten-Shuttles und
eine Rackmountausführung mit bis
zu 12 Disk Shuttles zur Wahl. Die
Grundmodelle sind jeweils zur Hälfte mit Disk Shuttles und hochwertigen 36- oder 73-GB-Festplatten von
Seagate bestückt und lassen sich
schrittweise aufrüsten, bei 12 Disk
Shuttles bis auf 876 GB. Die JBOD/
Tape-Lösungen beinhalten auf Basis
der 12-Shuttle-Modelle maximal 6
Festplatten und ein Tandberg-SDLTLaufwerk mit einer Kapazität von
110/220 GB unkomprimiert/ komprimiert.
Autark
Verfügbar
Bei den kombinierten NAS-Systemen
übernimmt der Linux-Server über
eine zweite SCSI-Schnittstelle außerdem die Sicherung der im Festplattenverbund gespeicherten Daten. Die
Speicher-/Backup-Lösungen arbeiten vollkommen autark und rekonstruieren die Daten im Fehlerfall automatisch. Sie lassen sich auch als
dezidierte Backup-Server einsetzen.
In diesem Fall dienen die Festplatten
Das Produktkonzept von StorageCab
ist auf höchste Datenverfügbarkeit
und Betriebssicherheit ausgelegt. Die
Disk Shuttles mit den SCSI-Festplatten sind Hot-Swap-fähig. Defekte
Einheiten lassen sich somit im laufenden Betrieb ersetzen. Bei entsprechend gewähltem RAID-Level rekonstruiert der RAID-Controller die Daten automatisch, so daß der Server
nicht heruntergefahren werden muß
D
11
Ausgabe 11/2002
13
und die Anwender im Netz stets Zugriff auf alle Daten haben. Die Modelle mit 12 Einschubplätzen bzw. 6
Plätzen plus Tape sind darüber hinaus mit zwei Hot-Swap-fähigen, redundanten Netzteilen und 6 Lüftern
ausgerüstet. Der Anschluß dieser Systeme über zwei separate SCSI-Kanäle erhöht die Betriebssicherheit und
Leistung zusätzlich.
Sicher
Die NAS-Lösungen arbeiten unter
dem TCP/IP-Protokoll und können
somit einfach in vorhandene
Windows-, NetWare- und Unix-Umgebungen integriert werden. Die
SManager-Software überwacht die
einzelnen Hardwarekomponenten
und die Betriebstemperatur bei allen
StorageCab-Lösungen kontinuierlich. Bei Abweichungen von der
Norm wird der Administrator entweder durch eine Fehlermeldung informiert oder es ertönt ein akustischer
Alarm. Als weitere Sicherheitsvorkehrung sind die Disk Shuttles stets mechanisch verriegelt und lassen sich
nur mit dem beigefügten Schlüssel
öffnen. Der Lieferumfang beinhaltet
ein bzw. zwei SCSI-Kabel gemäß
U160 SCSI Spezifikation, 68pol HD/
VHD, ein COM-Kabel für die serielle
Kommunikation sowie eine ManualCD, die in einem speziellen ServiceShuttle hinterlegt sind. Neben einer
dreijährigen Garantie gewährt Tandberg Data für die StorageCab-Lösungen eine kostenlose Hotline und technischen Support. Hinzu kommt ein
im ersten Garantiejahr kostenloses
Vor-Ort-Serviceprogramm.
n
NEWS
TOBIT SOFTWARE
HEWLETT PACKARD
Flaggschiff
David XL in neuer Version
Noch in diesem Jahr will Tobit Software mit David XL eine neue Version von
David, der Informationszentrale für Unternehmen, auf den Markt bringen.
Kern der Entwicklung von David XL war die Integration von Technologien,
die dem Anwender ganz neue Möglichkeiten bieten und das Arbeiten im Unternehmen erleichtern, beschleunigen und deutlich rationeller gestalten.
M
Mit David XL kommt nach drei Jahren ohne Major Release erstmals wieder eine neue Version heraus, die eine
ganze Reihe wichtiger Neuerungen
und Weiterentwicklungen enthält,
die helfen sollen, effizienter und wirtschaftlicher zu arbeiten. David XL
wurde auf der Systems erstmals der
Öffentlichkeit vorgestellt und ist im
November als Startpaket für Neukunden im Fachhandel erhältlich.
David 6.6 wird auch nach der Einführung von David XL erhältlich sein
und mit einer kostenlosen UpDateGarantie auf XL ausgeliefert. Somit
gibt Tobit Kunden wie Fachhändlern
Planungssicherheit bei laufenden Angeboten und Ausschreibungen. Die
UpDate-Garantie gilt sogar rückwirkend für alle Kunden, die ihr David
6.6 oder David Professional 6.6 nach
dem 01. Juli 2002 installiert haben.
NEWS
Neuerungen
Im Bereich Messaging wird bei David XL neben der Integration der
Briefpost ein besonderes Augenmerk
auf den einfacheren Umgang mit den
einzelnen Medien gelegt. So wird das
Erstellen und Versenden von personalisierten Fax- und E-Mail-Rundsendungen per Knopfdruck direkt aus
dem Tobit InfoCenter möglich, ohne
in eine Textverarbeitung wechseln zu
müssen. Dank eines neuen Editors
wird auch das Bearbeiten und Weiterleiten von Fax- und Sprachnachrichten mit David XL stark vereinfacht. Die Gruppen- und Teamarbeit
wird mit David XL stark ausgebaut.
Neben gruppenspezifischen Ein- und
Ausgangsbüchern, Archivstrukturen
und einer personenübergreifenden
Terminplanung wird auch die gemeinsame Planung von Aufgaben
möglich sein. Die Verknüpfung von
Aufgaben und Terminkalender
schafft Transparenz und Übersicht
und verhilft Unternehmen zu einer
Steigerung ihrer Effizienz.
PC - Mobile - TV
Mit David XL wird auch das Tobit
InfoCenter deutlich ausgebaut, in verschiedenen Varianten für unterschiedliche Geräte und Funktionen. Das
Tobit InfoCenter PC als der Nachfolger des in David 6.6 enthaltenen
Tobit InfoCenters XP, ist für das Arbeiten am Rechner die ideale Benutzeroberfläche. Es beherrscht neben EMail, Fax, Sprach- und SMS-Nachrichten nun auch den Umgang mit
Newsgroups. Das InfoCenter Mobile
wird serienmäßig mit David XL ausgeliefert und ist speziell für
Notebooks konzipiert. Es erlaubt das
komfortable Arbeiten auch ohne eine
Verbindung zum David Server. Mit
dem InfoCenter TV wird eine spezielle Client-Software für Fernsehgeräte mitgeliefert, die ideal für das Abspielen von Videos geeignet ist.
Darüber hinaus bietet Tobit Software
mit dem InfoCenter Web, dem
InfoCenter WAP und dem InfoCenter
WebPDA weitere Clients für den universellen Zugriff auf die persönlichen
Nachrichten an. Vereinfachte Installation und Administration komplettieren das Paket an Neuerungen zu
David XL.
ENSA
extended
Strategien für
adaptive Speicherinfrastrukturen
Speicherinfrastrukturen durch intelligentes Management zu automatisieren und an veränderte Gegebenheiten anzupassen ist das Ziel
von ENSAextended. Diese Weiterentwicklung der inzwischen breit
akzeptierten Enterprise Network
Storage Architecture (ENSA) von
HP bietet signifikante Vorteile für
die Unternehmensinfrastruktur, innerhalb derer nun maßgeschneiderte Speicherservices etabliert
werden können.
S
Seit fast vier Jahren ist ENSA in modularen, netzwerkbasierenden Speicherumgebungen im Praxiseinsatz
erfolgreich. HP wurde in dieser Zeitspanne Marktführer bei NetzwerkSpeicherlösungen. Über die mit
ENSA erreichten Vereinfachungen
bei der Verwaltung des Speichers
hinausgehend, bietet HP jetzt mit
ENSAexten-ded eine End-to-EndApplikationsintegration. Sie ist
regelbasiert und ermöglicht dadurch kontrollierbare, flexible und
erweiterbare Lösungen. Durch den
Aufbau modularer, hochverfügbarer
und skalierbarer Storage Networks
eröffnet ENSA die Möglichkeit,
Speicher als allgemein verfügbaren
Dienst, im Sinne eines Storage
Utility, anzubieten. Die Merkmale
von ENSAextended werden im
Lauf der nächsten drei Jahre Schritt
für Schritt umgesetzt.
ENSA auf dem Weg
Während ENSA 1998 noch auf Platten und Bandlaufwerke im selben
11
Ausgabe 11/2002
14
WATCHGUARD
SAN beschränkt war, ein SAN-basierendes Backup- und RecoverySystem entwarf und die erste umfassende Lösung dieser Art vorstellte, kamen 1999 SAN-basierende
Datenre-plikation und neuartige
modulare Arrays hinzu. Im Jahr
2000 wurde das Management optimiert, mit SAN-Speicher-Allocation und Reporting. Schon 2001
konnte ein metropolenweites Verlagern von Daten in einem SAN mit
Hilf e des StorageWor ks Data
Replication Managers (DRM) und
von ”OpenSAN Supported”-Lösungen realisiert werden. Gleichzeitig kam es zum Aufbau des
Supported Solution Forums innerhalb der Storage Networking
Industry Association (SNIA).
HP ENSAextended
Die Weiterentwicklung HP ENSA
extended bietet dem Anwender
maßgeschneiderte Speicherservices, die auf spezifische Attribute,
abhängig von Softwareumgebung
und Nutzeranforderungen, eingehen und die Bereitstellung von
Speicher daraufhin anpassen. Die
wichtigsten Leistungsmerkmale
sind Universal Networked Storage,
Virtualisierung, Data Services und
Applikationsintegration.
Um expandierbare Lösungen für
die Einbindung aller Speicherelemente realisieren zu können,
läßt eine Virtualisierung die heterogenen Speicherinfrastrukturen
effektiver und besser nutzen.
Leistungsoptimierung, Datenarchivierung, Replikation und Migration werden flankiert von Angeboten der HP Network Storage Services. Das Speichersystem berücksichtigt anwendungsspezifische
Anforderungen und kann auf Veränderungen reagieren.
Ein Schlüsselelement von ENSAextended ist intelligentes Management, das die Steuerung von
Daten und Ressourcen der IT-Umgebung durch ein Regelwerk erleichtert.
Mehr Performance
für Sicherheit
WatchGuard Firebox SOHO 6 und SOHO 6 tc
WatchGuard Technologies hat mit ihren neuen ICSA-zertifizierten IT-Security
Appliances Firebox SOHO 6 und SOHO 6 tc ihre Produktpalette auf den
SOHO-Bereich zugeschnitten. Denn Network-Security ist längst nicht mehr
nur die Angelegenheit von großen Unternehmen.
M
Mit neuen Features zielen die Watch
Guard Firebox SOHO 6 und SOHO 6
tc Appliances auf kleine Unternehmen, Filialen und Remote User, die
Firewall-Lösungen und sichere Internet-Kommunikation benötigen. Die
hochperfomanten Firebox Appliances treffen den Bedarf solch kleinerer
Büros von 10 Usern umso mehr, da
diese so eine verläßliche IT-Security
Lösung auf einem kosteneffizienten
Weg implementieren können. Die für
den geschäftlichen Bereich entwikkelten Firebox SOHO 6 Appliances
kombinieren Watch Guard´s bewährte
SOHO Security Features mit deutlich
höherer Performance.
Durchsatzstark
Die Hardware Plattform liefert eine 75
Mbps Firewall mit 20 Mbps VPNDurchsatz. Die Firebox SOHO 6
Appliances bieten zudem einen Central Office Management Access mit
3DES Security. Für den Austausch
von E-Mails und Dateien können bis
zu 10 Computer miteinander verbunden werden, um Breitband-Internet,
eine Druckerverbindung oder andere
Peripheriegeräte gemeinsam zu
nutzen. Von den sechs 10/100 Fast
Ethernet Interfaces sind vier als LANund zwei als WAN-Ports ausgelegt.
Die SOHO 6 Fireboxes haben außerdem einen Auto-Crossover Detection
4-Port 10/100 Switch, der die Installation in kleineren Netzwerken einfach
und flexibel macht. Das zweite WANInterface kann für zukünftige Firebox
11
Ausgabe 11/2002
15
SOHO 6 Software Releases, Upgrades
und Erweiterungsmöglichkeiten
genutzt werden.
Sicherheit aktuell
Die Firebox SOHO 6 sichert Netze
durch erweitertes Dynamic Stateful
Packet Filtering, Application Level
Gateways und optionalem Web Content Filtering. Die Appliances unterstüzen alle führenden Systeme und
bieten neben den Paket- und Web
Content Filtern dynamisches NAT,
IPSec Branch Office und Mobile User
VPN. Die Subskription für den einzigartigen WatchGuard Live Security
Service ist für 15 Monate inbegriffen.
Danach kann der Live Security Service, der neben Software Updates und
Patches auch eine Benachrichti-gungsservice via email bezüglich neuer Gefahren aus dem Internet enthält, um
ein oder zwei Jahre verlängert werden.
Weitere Optionen
Zudem bietet WatchGuard eine Garantierverlängerung um jeweils weitere 12 Monate für die SOHO6 Kunden an, die ihre Appliances durch
aktiven WatchGuard LiveSecurity
Service immer auf dem aktuellen
Sicherheitsstand halten. Weitere
optionale Module sind das Upgrade
auf 25 User sowie das Web Blocker
Modul, welches das Management
von Webzugriffen für Mitarbeiter
oder Mitarbeitergruppen zeitlich und
inhaltlich reglementiert.
n
NEWS
...Auf großer Fahrt
Mobiler Router an Bord: Cisco Systems stellt
einen neuen Mobile Access Router vor, der IP-Netzwerke in Fahrzeugen, Schiffen oder Flugzeugen unterstützen soll. Der kompakte Cisco 3200 Mobile Access
Router stellt auch während der Fahrt eine ständige
Internet-Verbindung über das gerade verfügbare Funknetzwerk her. Nach Angaben von Cisco ist der Router
für die mobile Verwendung bei Einsatzorganisation,
Regierungsstellen oder Transportunternehmen geeignet
und benötigt kaum mehr als eine Stellfläche von 8,9
mal 9,7 Zentimeter, um zum Beispiel in einem Zug ein
ganzes Netzwerk von internetfähigen Geräten zu unterstützen. Dabei operiert der Router mit jedem standardisierten Funknetzwerk wie WLAN und GSM/GPRS. Laut
Cisco ermöglicht das Gerät das nahtlose Roaming zwischen den unterschiedlichen Funknetzen. Cisco hat in
das Gerät Zusatzfunktionen wie eine Firewall und VPN
integriert. Der Cisco 3200 Series Mobile Access Router
soll vor allem Systemintegratoren für ihre mobilen
Kommunikationslösungen und Netzwerke angeboten
werden. Cisco arbeitet zurzeit mit Lufthansa Systems
und Lufhansa Technik zusammen, um das System für
den Einsatz in Flugzeugen zu adaptieren.
...Hot Docs
XML Web Services am Desktop: Unter dem
Codenamen XDocs arbeit Microsoft an einer brandneuen Applikation für die Office-Produkte, das voll auf XML
setzt. Es soll für die Erstellung von umfangreichen, dynamischen Formularen und damit für mehr Effizienz bei
der Sammlung von Informationen sorgen. Durch die Unterstützung kundenspezifischer XML-Schemata und
durch die Integration von XML Web Services können
die gesammelten Informationen mit Hilfe von XDocs in
eine Vielzahl von Geschäftsprozessen eingebunden werden, angefangen bei Customer Relationship Management, über Enterprise Resource Planning oder Supply
Chain Management bis hin zu Prozessen auf WorkgroupEbene für Projekt-Status- undAbteilungsreports. XDocs
trägt dazu bei, Daten schneller zu erfassen, gemeinsam
zu nutzen, auszuwählen und gezielt weiterzuverwerten.
Microsoft hat XDocs im Oktober für Mitte nächsten Jahres angekündigt.
NEWS
...Mit Energie
Ticker
USV Demo-Datencenter:Die American Power
Conversion eröffnet mit PowerStruXure ein Demo-Datencenter mit kostenfreien Aus- und Weiterbildungsangeboten für Händler und Kunden in München, Amsterdam
und vier weiteren europäischen Städten an. Diese
Präsentations- und Testcenter zeigen die neuesten Ent-
wicklungen rund um die systematisch skalierbare Server- und Datencenter-Architekturlösung PowerStruXure.
Mit einem begleitenden Aus- und Weiterbildungsangebot widmet sich APC dem Ausbau einer entsprechend
qualifizierten Händlerbasis. Ein spezielles
Akkreditierungsprogramm soll Fachhändler bei der Abwicklung von Aufträgen und bei der Mitarbeit an Großprojekten unterstützen. Den APC Partnern wie auch den
Kunden dienen die Demozentren als Informationsforen
für eine optimierte Gestaltung von Datencenter-Infrastrukturen. Diese lassen sich durch die Modularität der
PowerStruXure Produktreihe im Sinne einer “Pay-asyou-grow” Strategie systematisch und langfristig ausbauen. Von der Primärstromverkabelung, den voll kompatiblen USV-Einheiten bis hin zur per manenten
Monitorfähigkeit der gesamten Installation kann sukzessive eine Sicherheitslandschaft entstehen, die sich
vollständig an den Kundenbedürfnissen ausrichtet.
...Intelligent Phones
IP-Telefonie im neuen Design: Avaya bietet mit Interactive Voice Response (IVR) 9.0 Telefonie
Anwendungen für einen sprachgesteuerten, dialogfähig en Self-Service im Internet an, die die Voice
Extensible Markup Language (VXML 2.0) nutzen. Firmen können damit sprachfähige Web- und TelefonieAnwendungen einführen, womit Anwender über jedes
Telefon per Sprachanweisung oder Tasteneingabe Zugriff auf Web-basierte Informationen haben. Neue IPPhones und digitale Telefone von Avaya sorgen gleichzeitig für mehr Mobilität und Zugriff auf die Sprachanwendungs-Software Avaya MultiVantage. Avaya hat ihr
Portfolio um diverse professionelle Kommunikationsgeräte in neuem Design erweitert. Dazu gehören zwei
IP-Telefone 4620 und 4602, das Avaya IP Softphone in
der Version 4 und ein digitales Telefon mit Zubehör. Die
Geräte ergänzen Avayas ECLIPS-Portfolio der Enterprise
Class Internet Protocol Solutions, zu dem Screenphones,
Softphones - auch für Pocket PCs - sowie die Avaya
eConsole gehören. Sie greifen auf die mehr als 500
Sprachanwendungs-Funktionen der Avaya MultiVantage
zu, die eine intelligente Sprachkommunikation über IPNetzwerke, leitungsvermittelte Netze oder Hybridnetze
erlaubt.
...Web Services
Integrationslösungen:Computer Associates
unterstützt das Microsoft .NET Compact Framework mit
umfassenden Management- und Integrationslösungen.
Neue Tools vereinfachen Life Cycle Management, Sicherheit und Datenzugriff bei XML-basierten Web Services für mobile Geräte. Die CA Produktlinien Advantage, AllFusion, CleverPath und eTrust öffnen sich damit für die Microsoft Entwicklungsplattformen .NET
11
Ausgabe 11/2002
16
Compact Framework und Visual Studio .NET. Damit erhalten die Entwickler von Web-Services für den Einsatz
bei mobilen Geräten umfangreiche Funktionen für ein
integriertes Change Management, Directory-basierte
Sicherheitslösungen sowie den Zugriff auf Legacy-Systeme und Business Intelligence-Lösungen. Diese sind
für die erfolgreiche Entwicklung, Implementierung und
das effiziente Life Cycle Management von Web Services in heterogenen Unternehmensumgebungen unverzichtbar.
...Phase zwo
Secure Routing Technology:Nortel Networks
hat den Beginn der zweiten Phase der Secure Routing
Technology (SRT) auf Contivity bekannt gegeben. Der
Netzwerkspezialist dehnt somit sein IP Sicherheitsportfolio auf wichtige Unternehmensanwendungen wie
etwa WLANs und VoIP aus. Aufgrund der Vielseitigkeit
von Contivity werden Unternehmenskunden in der Lage
sein, sichere IP-Services auf kritische Anwendungen
auszuweiten. Die Entwicklung von SRT on Contivity
dient dem Schutz aller IP-Dienstarten. Die jüngste
Contivity Software - Release 4.7 - ermöglicht es den
Contivity IP Services Gateways, als Access Router implementiert zu werden. Dies wird es den Kunden ermöglichen, das gesamte Spektrum der Datenverkehrsanforderungen abzudecken, die in zukünftigen Netzwerkstrukturen erforderlich sein werden. Gleichzeitig stellte
Nortel mit dem neuen Konzept der Unified Security
Architecture der Anwenderschaft eine große Auswahl
von Technologien und Planungs-Tools zur Verfügung,
um fundierte Entscheidungen im Hinblick auf die von
ihnen benötigten Anwendungen treffen zu können. Dazu
wurden neue Produkte vorgestellt, die diese Architektur
unterstützen, u.a. der Nortel Networks Alteon SSL 410
für SSL-Extranets und die Contivity Secure IP Services
Gateways für das Klartext-Routing.
...Neues Branding
Webbasiertes Business:Novell forciert ihre One
Net Lösungen und stellt die neuen Produktbereiche
Novell exteNd, Novell Nsure, Novell Nterprise und
Novell Ngage vor. Mit neuem Branding werden die Produkte und Services unter neuen Dachmarken zusammengefaßt. Um ihre One Net Vision weiter voran zu bringen,
konzentriert Novell ihr Marketingstrategie auf drei Kernbereiche, die für Unternehmen im webbasierten
Geschäftsalltag entscheidend sind, auf die Entwicklung
von Web-Applikationen, auf sicheres Identitätsmanagement und auf plattformübergreifende Netzwerkservices. Die drei neuen Produktfamilien Novell exteNd,
Novell Nsure und Novell Nterprise decken diese Bereich ab. Zusätzlich stellt Novell Ngage mit Consulting
und Services Kunden das nötige Know-how und die
Technologien zur Verfügung, um Unternehmensprozesse
ins Web zu verlagern und dort sicher einzusetzen.
...Optical Mäuschen
Scroll-Rad in der Westentasche: Reisefertig präsentiert sich Microsoft´s Notebook Optical
Mouse. Speziell für den platzsparenden Einsatz für unterwegs gebaut, geht sie mit Microsoft Optical
Technology mit auf die Reise. Damit kann sie aufs
Mouse-Pads- verzichten und verrichtet auf fast jeder
Unterlage ihre Dienste. Mit einem transparenten ScrollRad und ihrem ergonomisches Design ist sie sowohl für
Links- als auch für Rechtshänder geeignet.
...Im Kommen
WLAN mit VLAN: Cisco Systems hat ihre WirelessLAN-Familie um den Access Point Aironet 1100 erweitert. Die einfach zu installierende Wi-Fi-zertifizierte
Basisstation ist mit dem Standard IEEE 802.11b kompatibel und läßt sich bis zu 54 Mbps nach 802.11gStandard aufrüsten. Die Aironet 1100 Serie soll ab 2003
erstmals komplett auf Cisco IOS aufsetzen, mit deren
Hilfe intelligente Services wie Virtuelle LANs, Quality
of Service oder Proxy Mobile IP eingerichtet werden
können. Unternehmen können dann mit der Aironet 1100
Serie bis zu 16 VLAN-Segmente einsetzen, für unterschiedliche Sicherheitsfunktionen oder QoS für bestimmte Nutzer. So lassen sich z.B. der Sprach-, Videound Datenverkehr von Mitarbeitern und externen Partnern trennen, obwohl er über die gleiche Infrastruktur
läuft. Die Serie unterstützt QoS über WLAN, um zeitkritische Daten wie Sprache und Video gegenüber dem
normalen Datentransfer zu bevorzugen. Über das Proxy
Mobile IP lassen sich drahtlose Netzwerke genauso wie
die drahtgebundenen in verschiedene Segmente einteilen, um Performance, Verwaltung und Skalierbarkeit des
WLANs zu optimieren. Die Verbindungen werden dabei
nahtlos von AP zu AP weitergereicht.
...AP to date
Von LEAP zu PEAP: Eine Erweiterung des
CiscoSecure Access Control Servers in der Version 3.1
(ACS 3.1) bietet in Kombination mit den Cisco Aironet
Serien 1100e und 1200 einen sicheren Einsatz von
WLANs. Protected EAP (PEAP) heißt das neue Protokoll der Internet Engineering Task Force, das auf der
IEEE 802.11x-Sicherheitsarchitektur für die drahtlose
Authentisierung basiert und eine Unterstützung des
Extensible Authentication Protocol für den Einsatz in
WLAN-Installationen mit sich bringt. PEAP behält die
Vorteile der Lightweight Authentication (LEAP) bei und
unterstützt gleichzeitig One-Time-Token-Authentisierung sowie die Änderung von Paßwörtern.
11
Ausgabe 11/2002
17
thema des monats
DATA SECURITY
Speichermanagement
SAN- und NAS-Technologien im Fibre Channel
Von Michael Heinz
W
Waren Speichernetzwerke vormals eher den
großen Rechenzentren vorbehalten, so zwingen
die exponential
steigenden Datenmengen längst
auch mittlere und
selbst kleine Unternehmen, geeignete Massenspeicherlösungen
zu finden. Neueste
SAN- und NASTechnologien gehen inzwischen
auf die Überholspur.
Quellenangabe und Weblinks:
Storage Area Network Fundamentales
Cisco Press ISBN 1-58705-065-X
Fibre Channel Technologie Grundlagen
http://www.icp-vortex.com/download/
pdf/fcpr_d.pdf
Fibre Channel Glossary
http://www.iol.unh.edu/training/fc/fcglos
sary.html
Standard Networking Industry Association
www.snia.org
ANSI www.ansi.org
Fibre Channel Industry Association (FCIA)
www.fibrechannel.com
SCSI Trade Association (STA) www.
scsita.org
The Internet Engineering Task Force
www.ietf.org
NDMP Homepage www.ndmp.org
11
Ausgabe 11/2002
18
Nicht allein die unerschöpflichen
Möglichkeiten das Internets sind Ursache dafür, daß die Speicherkapazitäten immer wieder aufs neue aus den
Fugen zu geraten drohen. Moderne
Anwendungen im E-Commerce, Datenbanken, CAD-, Bild- und Videoapplikationen füllen allerorten die
Storagemedien in immer größeren
Mengen und immer kürzeren Zyklen.
Die Mail-Flut mit teils voluminösen
Anhängen tut ihr übriges dazu. Und
die Tendenz ist nach wie vor unbestreitbar steigend.
Dabei hängt die Wirtschaftlichkeit
heutiger Unternehmen wie nie zuvor
von der Datenverfügbarkeit ab. Grund
genug, warum Firmen nach neuen,
ausbaufähigen Storage-Lösungen
suchen.
Faktoren
Für Datenspeicher, die mit dem unaufhörlichen Wachstum Schritt halten können, spielen folgende Eigenschaften eine entscheidende Rolle:
Sie müssen eine hohe Verfügbarkeit
ohne Ausfallzeit gewährleisten. Sie
sollen die Möglichkeit offen halten,
die Storagemedien zu erweitern. Und
sie sollten mit einer einfachen Verwaltung ein wohlorganisiertes
Backup erlauben. Da in vielen Firmen die IT-Struktur sehr heterogen
aufgebaut ist, muß auch die Möglichkeit gegeben sein, daß verschiedenste Betriebssysteme auf die gleichen Storage Devices zugreifen können. Und natürlich soll das ganze
auch bezahlbar sein.
Die SAN-Technologie liefert den
Schlüssel, diesen Anforderungen gerecht werden zu können. Sie ermöglicht schnelle Datenzugriffszeiten,
einfaches Storage Management,
Skalierbarkeit, Flexibilität und Verfügbarkeit. Dabei sind erweiterte Zugriffsmöglichkeiten wie Datenduplexing, Snapshot-Technologien und
Sicherungsverfahren möglich, die die
wertvollen Prozessor-Ressourcen der
eigentlichen Applika tionsserver
schonen. Vieles ist bereits Stand der
Technik, einiges wird noch getan, um
den Storage zu optimieren und die
Datensicherheit mit Massenspeichern
für kleine wie große Unternehmen
noch wirtschaftlicher zu gestalten. Wir
wollen daher die aktuellen Fakten
und Grundlagen der gar nicht mehr
so jungen Storage-Technologie aufarbeiten. Einiges wird einem
Netzwerktechniker dabei bekannt
vorkommen. Vieles wird aber auch
komplett neu sein.
Storage Networking
In der Vergangenheit war es so, daß
jedes Storagesystem seine eigenen
Festplatten hatte. Das hieß dann kurz
und bündig SAS oder DAS: Server
bzw. Direct Attached Storage. Die
Festplatten wurden aus Gründen der
Datensicherheit gespiegelt.
Als die Datenbestände weiter anwuchsen, ersetzte man die einzelnen
Festplatten durch Festplattenstapel.
Um auch dort eine Sicherheit vor
Ausfall einer Festplatte zu haben, kam
die Raid-Technologie zum Einsatz.
Allerdings waren diese Festplattenstapel weiterhin fest an einzelne Server gebunden. Dies ist solange sinnvoll, wie eine bestimmte Anzahl von
Systemen nicht überschritten wird.
Irgendwann nimmt deren Wartung
und Pflege viel zuviel wertvolle Arbeitszeit in Anspruch. Für die Kontrolle des freien Festplattenplatzes
kamen zwar geeignete Softwaretools
auf. Doch wenn diese melden, daß zuwenig Platz zur Verfügung steht, fangen die Probleme an.
Sind noch Einschübe für Festplatten
frei? Gibt es noch Festplatten zu kaufen, die in das System passen? Was
macht mein Kontroller mit der neuen
Platte? Wie bediene ich die
Konfigurations-Utilities?
All diese Fragen machen das
Speicherproblem um so unübersichtlicher, wenn auch noch unterschiedliche Raidsysteme im Einsatz sind.
11
Ausgabe 11/2002
19
Grenzen erreicht
Bei den lokalen Storage Devices wird
meist das SCSI-Protokoll für den Zugriff auf das Storagesystem benutzt.
Dabei sind die Entfernungen, die zurückgelegt werden können, ziemlich
begrenzt. Dies wird beispielsweise
bei Systemen zum Problem, die auch
gegen Katastrophen wie Brand und
Wasser geschützt werden müssen. Sie
werden daher u.a. als Clustersysteme
ausgelegt. Daraus ergibt sich ein neues Problem. Wenn mehr als zwei
Serversysteme auf ein Storage zugreifen sollen, sind die angebotenen Produkte auf der Basis von SCSI-Technologien doch sehr begrenzt.
Die Grenzen, um ein eigenes lokales
Backup zu machen, sind bei allen
Einzel-Systemen schnell erreicht. Bei
jedem müssen das Backup kontrolliert und die Bänder gewechselt werden. Besser sind dedizierte Backupserver, die die Systeme remote sichern. Denn so müssen nur auf einem
oder wenigen Systemen die Backuplogs kontrolliert und Tapes getauscht werden. Doch leider spielt
dabei das sogenannte Backup-Fenster allzu schnell einen Streich, weil
die Zeit, die ein System benötigt, um
die Daten zu sichern, zu schnell
verrinnt. Zwar kann man durch spezielle Backupverfahren wie etwa die
differentiellen Sicherungen an den
Werktagen das Backup-Fenster verkürzen, allerdings auch nicht uneingeschränkt. Die Restore-Zeit ist jedenfalls nicht zu verkürzen. Im Gegenteil, es müssen mehrere Sitzungen
zurückgesichert werden. Ein besonderes Problem sind dabei offene Files,
vor allem dort, wo das Schließen der
Dateien finanzielle Folgen verursachen würde, weil etwa bei produktiven Datenbanken 24 Stunden am Tag
zugegriffen werden muß.
SAN
Probleme dieser Art lassen sich mit
heutigen Speicherlösungen weitge-
thema des monats
Backup-Prozesse optimieren
BrightStor ARCserve Backup in der Version 9
BrightStor ARCserve Backup v9, die jetzt im Herbst für die Betriebssysteme
Windows und Netware auf den Markt kommt, ist ein Meilenstein in der Verwirklichung der CA-Vision vom “Speichermanagement ohne Grenzen”. Die neue Lösung bietet verbesserte Datensicherung für verteilte Server mit Intel-Architektur
und zeichnet sich durch einfache Bedienbarkeit, hohe Zuverlässigkeit und Performance aus.
Routiniert
Mit neuen Funktionen von BrightStor ARCserve Backup v9 können SpeicherAdministratoren jetzt Routineaufgaben wie das Bereinigen von Festplatten oder
die Pflege von Datenbanken automatisieren. Dies funktioniert nach dem gleichen Prinzip wie die bereits übliche Planung von routinemäßigen Backups und
wird von einer intuitiven, vom Betriebssystem unabhängigen Benutzeroberfläche aus gesteuert. So können IT-Abteilungen nun deutlich mehr Ressourcen
verwalten.
Dediziert
In der neuen Version 9 wurden die Backup-Prozesse optimiert. Mit BrightStor
ARCserve Backup v9 können die Administratoren jetzt dedizierte Netzwerk-Verbindungen für die zu sichernden Daten festlegen. Somit werden die Firmennetzwerke beim Backup entlastet. Bei entsprechender Infrastruktur trennt die
CA-Lösung große Backup-Datenbewegungen vom täglichen Datenverkehr und
vermeidet somit eine unnötige Belastung von Netzwerkbandbreiten. Damit werden die daraus resultierenden schlechten Antwortzeiten für die Benutzer oder
Applikationen vermieden. Als gängiges Protokoll wird TCP/IP gefahren.
Intuitiv
Computer Associates hat BrightStor ARCserve Backup v9 ein neues, intuitives
Oberflächendesign gegeben. Hierfür wurde u.a. auch fast jede Funktion der
Installations- oder Registrierungsprozeduren überarbeitet. Erste Tests haben
inzwischen gezeigt, daß 80 Prozent aller Erst-Anwender schon innerhalb von 20
Minuten nach der Inbetriebnahme der neuen Version ihre erste Datensicherung
durchführen konnten.
Effizient
Angesichts der immer größeren Mengen an geschäftskritischen Daten bietet CA
ihren Kunden mit BrightStor ARCserve Backup v9 eine effiziente Datensicherung, die auch die Personalkosten zu senken vermag und zudem die Investitionen in die Infrastruktur schützt. So erhalten Kunden, die nach dem 5.
August 2002 eine Lizenz für die aktuellen Versionen von BrightStor ARCserve 2000 für Windows,
BrightStor ARCserve Backup 7 für NetWare oder
für Linux erworben haben, zum Zeitpunkt der allgemeinen Verfügbarkeit ein kostenloses Upgrade
auf Version 9. Auch für die Linux-Version war das
Beta-Programm schon im September angelaufen. BrightStor ARCserve Backup v9 ist über das
internationale Netz autorisierter Channel-Partner
von CA erhältlich.
hend ausschließen oder minimiern.
Für das Storage Management in den
verschiedensten Netzwerk-Umgebungen werden moderne SAN- und
NAS-Systeme angeboten, die Abhilfe versprechen. Was also hat man sich
unter SAN und NAS vorzustellen?
Ein Storage Area Network (SAN) ist
ein System von Storage Devices aus
Raidsystemen, Festplatten, CD- oder
DVD-Geräten, Streamern bzw. Wechslern, die ein gemeinsames Netzwerk
bilden. In diesem vernetzten System
von Servern und Storge Devices verfügen die Einzelkomponenten über
keine eigene Logik, um dem Endanwender Daten zur Verfügung zu stellen. Sie dienen ausschließlich dazu,
um die Serversysteme mit den benötigten Daten zu beliefern. Das SAN
kann durch unterschiedliche Devices
erweitert werden und ist damit offen
für steigenden Bedarf. Als Netzwerkprotokoll kommt meist Fibre
Channel zum Einsatz.
NAS
Als Network Attached Storage (NAS)
bezeichnet man performantes ServerSpeicherkonzept. Ein oder mehrere
dezidierte NAS-Server, auch Filer genannt, sind mit Festplatten hochgerüstet, die Daten in Tera-Byte-Dimensionen aufnehmen können. Im
Gegensatz zum SAN kann ein herkömmlicher NAS-Server aber nicht
mehr durch andere externe Komponenten erweitert werden. Bei Bedarf
werden zusätzliche Festplatten eingebaut, oder er bekommt einen Partner. Er ist vordimensioniert und wird
ausschließlich dazu genutzt, um Daten abzulegen und bereitzustellen. Da
dies seine einzige Aufgabe ist, kann
der Zugriff hochperformant ausgelegt
werden. Das offene NAS-Betriebssystem kommuniziert mit Windows-,
Unix- oder Macintosh-Clients. NAS
verwaltet die Zugriffe durch die Benutzer selbständig. Je nach Hersteller werden u.a. folgende Protokolle
unterstützt: Standard TCP/IP-Proto-
11
Ausgabe 11/2002
20
Laufzeit
Tabelle 1
SCSI
Parallele Datenübertragung
Fibre Channel
Serielle Datenübertragung
z.Z. aktuelle maximale Übertragungsrate z.Z. aktuelle maximale Übertragungsrate
160 Megabitper seconds. 320 Megabit
2 Gigabit per seconds. 4 Gigabit
sind angekündigt.
sind angekündigt.
Maximale Anzahl von Devices: 32
Im FC-AL max. 126 und an einer
Fabric 2 hoch 24
Maximale Kabellänge 25 Meter
Bei Kupferkabel ist die maximale
Kabellänge 30 Meter. Bei Fiberkabel
zwischen 500 und 10 km. Einige Hersteller supporten bis zu 70 km.
Nur bedingt Hotplug-fähig
Hotplug-fähig
Keine Möglichkeit weitere Protokolle
zu benutzen
Multiprotokollfähig
Relativ niedriger Preis pro Device
Relativ hoher Preis pro Device
Bei SCSI gibt es wenig Möglichkeiten,
ein System fehlertolerant auszulegen
Fehertoleranz ist im Standard
implementiert
Tabelle 1: Gegenüberstellung von Fibre Channel und SCSI
kolle, HTTP und FTP NFS (Network
File System) für Unixsysteme, IPX für
Netware Clients oder das Common
Internet File System (CIFS) für
Windows Clients. Dabei sollte man
genau analysieren, welches Zugriffsverfahren benötigt wird. Nicht jeder
Hersteller unterstützt alle Protokolle! Einige Hersteller unterstützen
auch bei NAS-Systemen Snapshot
und remote Spiegelfunktionen, um
Backup-Probleme zu umgehen.
sche Schreibweise ”fibre” benutzt,
nicht allein um zu zeigen, daß es sich
um ein internationalen Standard handelt, als vielmehr damit unterschieden werden kann, ob man von der
standardisierten Norm spricht (Fibre)
oder vom Übertragungsmedium (Fiber).
Im Fibre Channel (FC) werden die
Daten seriell über das Medium übertragen. Bei SCSI hingegen sind sie
auf mehreren Leitungen verteilt.
Trotzdem können mit FC höhere
Datentransverraten erzielt werden als
mit SCSI. Dies ist als solches gesehen erst einmal ein Widerspruch. Wieso können Daten über ein Medium
schneller übertragen werden als auf
mehreren gleichzeitig? Das Problem
liegt darin, daß bei paralleler Datenübertragung Laufzeitunterschiede
auf den einzelnen Leitungen auftreten. Es ist nicht wirtschaftlich, Kabel
und Stecker zu bauen, deren parallelen Leitungen alle die gleichen elektrischen Eigenschaften wie z.B. Impedanz haben. Dies ist zwar bei geringen Übertragungsraten kein Problem. Doch wenn Daten schnell transferiert werden sollen, entstehen
Laufzeitunterschiede der einzelnen
Bits auf dem Kabel. Der Empfänger
muß aber die einzelnen Bits gleichzeitig auswerten. Deshalb hilft nur,
die Signallänge zu vergrößern. Das
Verlängern des Signals wirkt sich allerdings wiederum negativ auf die
Abb.1: Beispiel für eine SAN- bzw. NAS-Topologie
Fibre Channel
Sowohl im SAN als auch bei NASSystemen wird als Übertragungsprotokoll Fibre Channel benutzt. Viele werden sich nun fragen, schreibt
man Fibre nicht Fiber? Doch dies ist
kein Rechtschreibefehler sondern der
Unterscheidung halber durchaus so
gewollt. Vor der Standardisierung
wurde tatsächlich noch der Name Fiber Channel benutzt, weil meist als
Fiberoptikkabel zum Einsatz kamen.
Allerdings ist Fibre Channel nicht
darauf angewiesen. Es gibt auch Ausführungen auf Kupferkabel. Jedenfalls wurde schließlich die französi-
11
Ausgabe 11/2002
21
thema des monats
maximale Übertragungsrate aus.
Trotz alledem hat sich SCSI in der
Praxis als Storage-Zugriffsverfahren
bei kleinen bis mittleren Systemen
durchgesetzt. In Tabelle 1 finden Sie
eine Gegenüberstellung von Fibre
Channel und SCSI
Intelligenz für
Speichernetzwerke
Multilayer Datacenter Switch-Familie MDS 9000
Mit den Intelligent Storage Switches ihrer neuen Multilayer Datacenter SwitchFamilie MDS 9000 steigt Cisco Systems in den wachsenden Markt des Storage
Area Networking ein. Die neuen Geräte erhöhen die Datenverfügbarkeit und
machen die Verwaltung im SAN effizienter.
Multilayer Switch-Familie
Die neue Cisco MDS-9000-Familie besteht aus der Multilayer-Directors-Serie
MDS 9500 und dem Cisco MDS 9216 Multilayer Fabric Switch. Die Produkte
haben Intelligenz für Fibre Channel, Internet Small Computer Systems Interfaces (iSCSI) und Fibre Channel over IP. Mit Traffic Management und integrierten
Analysemöglichkeiten führt Cisco im Storage Networking eine Skalierbarkeit
und Ausfallsicherheit ein, die dem IP Networking gleichwertig ist.
Intelligente Dienste
Die modulare Cisco MDS-9500-Multilayer-Director-Serie der Modelle 9506, 9509
und 9513 ist in 6-, 9- und 13-Slot-Versionen verfügbar. Bei einer hohen Portdichte für das SAN mit bis zu 256 Ports pro Gerät schaffen intelligente Speicherdienste eine offene Plattform für das Hosting von Fremdanwendungen, etwa für
netzwerkbasierende Virtualisierungen. Das Unified Storage Management umfaßt das Fabric Management und bietet eine offene API-Schnittstelle zur Integration der führenden SAN- und LAN-Management-Plattformen. Die neue MDS9000-Familie wurde von der jüngst durch Cisco übernommenen Andiamo entwickelt.
Fabric Storage
Der Cisco MDS 9216 ist der erste modulare Fabric Switch mit einem festen
Steckplatz und 16 Ports bei 1 der 2 Gbps über Fibre-Channel. Er hat einen freien
Steckplatz für zusätzliche Ports. Bei den MDS-9000-Modulen handelt es sich um
Fibre-Channel-Module mit 16 beziehungsweise 32 Ports für Übertragungen bei
1 oder 2 Gbps. Hinzu kommt ein IP-Storage-Modul mit acht Ports, das die Kombination der Protokolle iSCSI und FCIP unterstützt. Mit einer internen Systembandbreite von 1,44 Terabit/s bietet die Cisco MDS-9000-Familie sowohl bei
Director als auch bei Fabric Storage Networking Switches eine hohe Leistung
und Skalierbarkeit im SAN. Sie bietet bei 256 Ports pro Switch insgesamt 768
Ports pro Rack. Die
9000er-Familie unterstützt Virtual SANs
(VSAN), die für isolierte
Umgebungen mit eigenen Diensten in einer
einzigen physischen
Fabric sorgen, um ausfallsichere
und
skalierbare StorageNetzwerke zu konsolidieren.
Verkabelung
Im Fibre Channel können sowohl
Kupfer- als auch Fiberoptik-Kabel
benutzt werden. Die Kupferkabel sind
preiswert, aber nur für kurze Distanzen ausgelegt. Der Anschluß der Kabel an das Device erfolgt über einen
sogenannten GBIC, den Gigabit Interface Connector, der allen Netzwerkern von den Gigabit Switches
her bekannt ist. Als Anschlußstecker
wird bei Kupferverkabelung entweder ein DB-9-Stecker oder HSSDCAnschluß (High Speed Serial Data
Connector) benutzt.
Die GBICs mit Kupferanschluß unterscheiden sich nach zwei Typen,
den Intercabinet GBIC und den
Intracabinet GBIC. Wie der Name
andeutet, sind Intracabinet GBICs für
kurze Distanzen innerhalb eines Gehäuses gebaut, eine low cost Variante
mit maximaler Kabellänge von 13
Metern. Die Intercabinet GBICs sind
aktive Bauteile für höhere Distanzen.
Auch bei Fiber Optik erfolgt der Anschluß des Kabels per GBIC, wobei
das Format 568SC benutztwird. Wie
im LAN gibt es multimode und monomode Kabel. Auch die verwendeten
Typen sind aus der Fiber Optik LANVerkabelung her bekannt. Multimode
50µ/125µ ist für bis zu 500 Meter,
62,5µ/126µ für bis zu ca. 250 Meter
und Monomode 9µ/125µ für bis zu
10 km ausgelegt.
Nodes und Ports
Ein Device im Fibre Channel wird als
Node bezeichnet. Jeder Node hat mindestens einen Port. Da es verschiedene Möglichkeiten gibt, ein Fibre
Channel Netzwerk aufzubauen, gibt
11
Ausgabe 11/2002
22
es auch verschiedene Ports, die man
durch ihre Namen unterscheidet. Der
Node Port (N_Port) ist einer der zwei
Standard-Ports eines Fibre Channel
Endgerätes. Er wird benutzt, um daran einen anderen N_Port anzuschließen, oder um den Node mit einen
Fabricport zu verbinden. Diese sind
die Anschlüsse einer Fabric, die auch
als F_Ports bezeichnet werden. Ein
Fabricport kann nie der Endpunkt
einer Verbindung sein. An F_Ports
dürfen nur N_Ports angeschlossen
werden. Loop Ports (L_Ports) sind
einfache Ports im Fibre Channel, um
einen Fibre ChannelArbitration Loop
(FC-AL) aufzubauen. Mit dem FC-AL
werden wir uns später noch eingehend
befassen. Bei diesen Loop Ports unterscheidet man weiterhin noch in
Node Loop Ports (NL_Port) und in
Fabric Loop Ports (FL_Port). Ihr Name
verrät also, welcher Anschluß im
Fibre Channel Arbitration Loop für
einen Node und welcher für die Fabric
ist. Expansion Ports schließlich werden benutzt, um zwei Fabrics miteinander zu verbinden. Ein E_Port kann
nur an einen anderen E_Port angeschlossen werden.
Hin und wieder werden Sie auch auf
die Bezeichnung Gruppen-Port stoßen. Ein G_Port ist aber kein eigenständiger Port, sondern kann sowohl
als F_Port als auch als E_Port benutzt
werden. Das gleiche gibt es auch für
den FC-AL. Dort heißt der Port entsprechend GL_Port. Übrigens sind
Fibre Channel Hubs keine aktiven
Geräte innerhalb des Fibre Channels.
Deshalb haben deren Anschlüsse keine Bezeichnung. Abbildung 2 verdeutlicht die Portbezeichnungen.
Topologien
Im Fibre Channel sind drei
Topologien definiert. Die erste und
einfachste ist die Punkt-zu-PunktVerbindung (s. Abb. 3. Typisch für
Point-to-Point ist der Anschluß eine
Storage Devices an einen Server. Es
wird einfach der Transmit-Anschluß
des einen N_Ports mit dem Receive Anschluß des zweiten N_Ports verbunden und umgekehrt. Für diese
Kommunikation steht die komplette
Bandbreite des FC zur Verfügung.
Eine Node kann aber auch zwei
N_Ports haben, die mit anderen
N_Ports verbunden sind. Auch dann
spricht man von einer Punkt-zuPunkt-Verbindung (vgl. Abb. 4).
FC Layers
Um Netzwerkprotokolle zu vergleichen, wird üblicherweise das von ISO
zertifizierte OSI-Modell herangezogen. Ähnlich ist es auch im Fibre
Channel (s. Abb. 8). Diese sind allerdings nicht direkt mit dem OSI-Modell vergleichbar.
Abb. 2: Portbezeichnungen
Fibre Loop
Die zweite Topologie heißt Fibre
Channel Arbitration Loop (s. Abb. 5).
Im FC-AL können maximal 126
Nodes miteinander kommunizieren.
Allerdings ist dieser Wert nur theoretisch zu betrachten, da alle Devices
sich das Medium teilen. Wenn ein
Node mit einem anderen kommunizieren will, muß er dies im Ring erst
bekannt geben. Möchten mehrere
Devices dies tun, wird durch einen
Prozeß geklärt, wer kommunizieren
darf. Während der Kommunikation
wird eine Punkt-zu-Punkt-Verbindung zwischen den beiden Nodes
aufgebaut, wobei die komplette Bandbreite zur Verfügung steht. Um trotz
Ringstruktur sternförmig zu verkabeln, gibt es die Möglichkeit, in der
Mitte einen Hub einzusetzen. Der FCAL ist eine relativ preisgünstige Implementation.
Abb. 3: Punkt-zu-Punkt-Verbindung
Switched Fabric
Die dritte Topologie bezeichnet man
als Switched Fabric (s. Abb. 6). Sie
teilt den FC in viele verschiedene
virtuelle Bereiche auf. Es können
theoretisch 2 hoch 24 Nodes an eine
Fabric angeschlossen werden. Allen
Nodes steht zur Kommunikation die
komplette Bandbreite zur Verfügung.
Mehrere Fabrics können per E_Ports
verbunden werden. Des Weiteren besteht die Möglichkeit, Fabrics zu
kaskadieren und damit eine höhere
Ausfallsicherheit zu gewährleisten (s.
Abb. 7).
11
Ausgabe 11/2002
23
Abb. 4: Punkt-zu-Punkt-Verbindung mit 2 Ports
thema des monats
Daten- und Betriebssicherheit
StorageCab JBOD/Tape-Lösungen
Tandberg StorageCab-Lösungen sind für den Einsatz als zentraler Massenspeicher in mittleren und kleinen Netzwerkumgebungen entwickelt und konzipiert. Die kaskadierfähigen JBOD/Tape-Lösungen werden direkt über eine SCSISchnittstelle an File- oder Applikationsserver angeschlossen und betrieben.
NAS-Lösungen erweitern seit neuestem die StorageCab-Lösungen.
Durch die Kombination eines Tape Streamers und einer JBOD-Lösung in einem Gehäuse verknüpft Tandberg StorageCab Daten- und Betriebssicherung.
In der Grundausstattung der StorageCab-Systeme können Festplattenkapazitäten bis 219 GByte durch den Tandberg SDLT gesichert werden. Der
Betrieb erfolgt über zwei separate SCSI-Kanäle, wobei jeweils ein Kanal für den
Betrieb der JBODs und des Streamers vorgesehen ist. In der Regel betreibt ein
RAID-Controller den Festplattenverbund und ein zweiter SCSI-Controller den
Streamer, dessen Steuerung eine betriebssystemspezifische Backup-Software
übernimmt.
NAS-Lösungen
Inzwischen sind alle Modelle auch als NAS-Lösungen verfügbar (siehe News S.
11). Sie ermöglichen Speichererweiterungen mit minimalem Konfigurationsaufwand innerhalb weniger Minuten. Die Verbindung zwischen den JBOD- bzw.
JBOD-/Tape-Geräten und der 10/100 Mbit-Ethernet-Schnittstelle stellt der auf
Linux basierende Tandberg StorageCab-ServerV her. Er organisiert intern den
Festplattenverbund auf einem vom Anwender definierbaren RAID-Level, wobei
er zugleich als RAID-Controller fungiert.
Redundanzen
StorageCab 6S-Systeme können mit bis zu sechs, die StorageCab 12S-Produkte mit bis zu zwölf Festplatten-Shuttles ausgestattet werden, wodurch heute
bis zu 876 GByte an Speicherkapazität erreicht werden. Disk Shuttles und SCSIFestplatten sind HotSwap-fähig, so daß im Fehlerfall ein defekter Baustein im
laufenden Betrieb herausgenommen und durch einen fehlerfreien ersetzt werden kann. Im Falle eines Plattendefekts können bei der Nutzung eines RAIDVerbundes Daten der defekten Festplatte durch den RAID-Controller rekonstruiert werden, ohne das Systems herunterfahren zu
müssen. Der Server wird nicht vom Netz genommen, so daß den Benutzern alle Daten und Leistungen unvermindert zur Verfügung stehen.
Überwachung
StorageCab 6ST-Systeme sind als Tower oder als
Rackmount-Version verfügbar. Über die Tandberg
Software SManager, die mit einem PC über eine
serielle RS 232 (V24) COM-Schnittstelle verbunden
ist, können die StorageCab-Systeme administriert,
konfiguriert und überprüft werden. Robuste Gehäuse, hochwertige Komponenten sowie die standardmäßige Überwachung der einzelnen Bausteine und
der internen Betriebstemperatur tragen zur Betriebssicherheit bei.
FC-0 Layer
Die unterste Schicht ist der Physical
Media Layer (FC-0 Layer). In diesem
werden die physikalischen Eigenschaften definiert. Dazu zählen die
Verkabelung (Kupfer oder Glasfaser),
die optischen und elektrischen Parameter, die die Übertragungsraten kontrollieren, und die Definition der Anschlüsse. So bietet die Phy-Schicht
z.B. bei kurzen Verbindungen die
Möglichkeit, auf teure Glasfaserkabel zu verzichten und an deren Stelle Kupferkabel zu benutzen.
FC-1 Layer
Die nächste Schicht ist der Transmission Protocol Layer (FC-1 Layer). In
ihm werden die Kodierung und Dekodierung, die Fehlererkennung, die
Byte-Synchronisation und die LinkAushandlung definiert. Im FC wird
eine 8B/10B-Encoding-Methode benutzt. Dazu werden aus 8 Bit Nutzdaten 10 Bit Daten generiert, die dann
über das Netz geschickt werden. Damit kann die Bitfehlerrate des Systems auf einen Bitfehler pro 10 hoch
12 versendeten Bit heruntergesetzt
werden. Des Weiteren können bestimmte Bitfolgen als so genannte
Characters definiert werden und diesen weitergehende Aufgaben zugeteilt werden. Drei Methoden gibt es
zur Fehlererkennung.
Fehlererkennung
Die Code Violation greift, wenn ein
Character empfangen wird, der im FC
nicht definiert ist, denn dann ist die
Information korrupt. Die zweite ist die
Disparity Violation. Denn bei der 8B/
10B-Encoding-Methode wird mit
übermittelt, ob mehr Einsen oder
mehr Nullen übertragen werden. Dieser Wert wird beim Empfänger überprüft. Als drittes wird noch ein normaler Cyclic Redundancy Check
(CRC) berechnet. Bei serieller Datenübertragung ist es wichtig, daß Sen-
11
Ausgabe 11/2002
24
Layer (FC-3) definiert, wie die Daten
den einzelnen Ports zugewiesen wer-
Tabelle 2
Bytes
Feld-Beschreibung
4 Bytes
1 Byte
Start-of-Frame-Feld
Das Routing Control Field (R_CTRL) beschreibt den Frame Typ und
die Art der Informationen im Payload Field.
3 Bytes
Source Address (S_Add) enthält die Adresse des Absenders
3 Bytes
Destination Address (D_Add) enthält die Adresse des Empfängers
1 Byte
Das Type Feld gibt Informationen über das im Payload benutzte
Protokoll
3 Bytes
Im Frame Control Field (F_CTRL) werden Informationen übertragen,
die Rückschlüsse auf die gerade laufende Übermittlungssequenz
geben.
1 Byte
Data Field Control (D_CTRL) beinhaltet Optionale HeaderInformationen
2 Bytes
Sequence Identifier (Seq_ID) enthält die fortlaufende Nummer zur
Identifizierung einer Sequenz
2 Bytes
Sequence Count (Seq_Cnt) enthält die fortlaufende Nummer des
Frames innerhalb der Sequenz
2 Bytes
Originator Exchange ID (OX_ID) enthält die fortlaufende Nummer
zur Identifizierung eines Exchange
2 Bytse
Response Exchange Identifier (RX_ID) enthält die fortlaufende
Nummer zur Identifizierung einer Antwort eines Exchange
4 Bytes
Die Aufgabe dieses Parameter Feldes ist anhängig vom benutzten
Frame-Type
64 Bytes
Optional Header
2112 Bytes Die Byte-Zahl gibt den max. Payload der variablen Nutzdaten vom
FC-3 Layer an
4 Bytes
Cyclic Redundancy Check (CRC)
4 Bytes
End of Frame (EOF) definert das Rahmenende
Abb. 5: Fibre Channel Arbitration Loop
Abb. 6: Switched Fabric
Tabelle 2: Die Bedeutungen der einzelnen Felder.
der und Empfänger den gleichen Takt
benutzen. Diese Clock Information
wird in den Datenstrom hineincodiert.
Der Link wird durch spezielle
Characters ausgehandelt.
FC-2 Layer
Im Framing and Signalling Protocol
Layer (FC-2) werden Segmentation
und Reassembly der Daten im Frame
sowie deren Format definiert, außerdem das Sequence und Exchange
Management, der Flow Control,
Classes of Service sowie Login/Logout-Topologien. Den Aufbau im FC
Frame sehen Sie in Abbildung 9. Das
Start-of-Frame-Feld ist 4 Bytes lang
und bezeichnet den Anfang des Rahmens. Danach kommt der 24 Byte lange Frame Header, dann 64 Bytes Optional Header, gefolgt von maximal
2112 Bytes Payload, 4 Bytes für den
Cyclic Redundancy Check (CRC)
und nochmals 4 für das Rahmenende
(vgl. Tab. 2).
Für das Verständnis des FC Layer 2
Frames sind die Begriffe Sequence
und Exchange wichtig. Unter einer
Sequence versteht man ein oder mehrere Frames, die in einer Richtung
übertragen werden. Diese bilden logische Einheiten innerhalb einer
Übertragung. Unter Exchange versteht man ein oder mehrere Sequenzen innerhalb einer Übertragung. Im
Gegensatz zu einer Sequence kann
ein Exchange Datenübermittlungen
in beidseitiger Richtung enthalten.
Für die weiteren Aufgaben dieses
Layers sind spezielle Protokolle definiert, deren Aufzählung den Rahmen dieses Artikels sprengen würde.
FC-3 Layer
Da jeder Node im FC mehrere Ports
haben kann, wird Common Service
11
Ausgabe 11/2002
25
Abb. 7: Switched Fabrics kaskadiert
thema des monats
Skalierbare Kapazitäten
den, beziehungsweise wie die Daten
von den Ports an den nächsten Layer
weitergegeben werden.
FC-4 Layer
HP StorageWorks NAS b2000 mit Ausbauqualitäten
Probleme bei NAS-Systemen entstehen meistens aus der Tatsache, daß
Einstiegsgeräte unflexibel in der Skalierbarkeit und der Performance sind. Will
man heutige Einstiegsgeräte erweitern, bleibt meist nichts anderes übrig, als
einen zweiten NAS-Filer zu kaufen. Für größere Systeme, die ein weiteres
Wachstum ermöglichen, muß man einiges mehr investieren. Doch mit dem HP
StorageWorks NAS b2000 hat Hewlett Packard ein Produkt auf den Markt
gebracht, das wachsende alle Ansprüche kostenwirksam erfüllt.
Erweiterbar auf 9,3 TB
Mit 218 GB Speicherplatz, einem 1,4 GHz PIII und mit 512 GB Memory ist bereits
die Basisversion des HP StorageWorks NAS b2000 gut gerüstet. Das
Betriebssystem befindet sich auf zwei 18 GB Festplatten im RAID 1 Verbund.
Erweiterbar ist der b2000 auf 2 Prozessoren, auf bis zu 6 GB RAM und auf bis zu
9,3 TB Speicherplatz. Der Ausbau der Speicherkapazität wird in verschiedenen
Stufen erreicht. An die externe SCSI Schnittstelle des intergrierten Smart Array
SCSI-Controllers kann man 1 Festplatten-Enclosure anschließen. Bestückt mit
72GB Festplatten bietet es 1TB Speicherkapazität brutto.
Windows Powered OS
Zusätzlich zu dem integriertem SCSI Controller können bis zu 2 Smart Array
5300 Controller eingebaut werden, die jeweils 4 SCSI Anschlüsse für insgesamt
8 weitere Enclosures besitzen. Als Betriebssystem dient ein speziell auf FileServing zugeschnittenes Windows Powered OS. Auf dessen Grundlage
ermöglicht der b2000 auch Multi-Protokoll Support für Microsoft Windows (CIFS),
Unix/Linux (NFS), Novell NetWare (NCP), Macintosh (Apple Talk), FTP und HTTP.
Einfaches Management
Für die einfache Installation, Verwaltung und das Management des NAS Heads
dienen aus der ProLiant Welt bekannte Tools wie Smart Start, Remote Insight
Board Lights-Out Edition und Insight Manager XE. Um die einzelnen
physikalischen Platten zu einem Speicherpool zusammen fassen zu können,
kommt hp OpenView Storage Virtual Replicator zum Einsatz. Mit dieser Software
lassen sich virtuelle Festplatten bis zu 1 TeraByte erstellen. Dieses
Virtualisierungstool ermöglicht zudem Online-Wachstum und SnapshotFunktionalitäten. Für große Datensicherheit dienen nicht nur die redundant
ausgelegten Komponenten. Auch die optional erhältliche Software hp NAS Data
Copy ermöglicht einen höheren Grad an Sicherheit. Die Replikation der Daten
über das IP Netzwerk auf einen alternativen NAS-Filer sorgt für ruhigen Schlaf.
Nähere Informationen
erhalten Sie beim
Business Team Storage
unter Telefon 455 oder
per E-Mail an [email protected].
Der oberste Layer (FC-4) wird als
Upper Layer Protocol Mapping Layer
bezeichnet. In dieser Schicht wird die
Verbindung zu den höher liegenden
(nicht FC spezifischen) Protokollen
hergestellt. Hier wird sicher gestellt,
daß an beiden Seiten der FC Nodes
das gleiche Protokoll (z.B. IP oder
SCSI) gesprochen wird. Folgende,
sogenannte Upper Layer Protokolle,
werden unterstützt: das Small Computer System Interface (SCSI), das
Internet Protocol (IP), das High Performance Parallel Interface (HIPPI),
der Asynchronous Transfer Mode mit
Adaption Layer 5 (ATM-AL5), zudem das Intelligent Peripheral Interface 3 (IPI-3) für Disk und Tape, die
Single Byte Command Code Sets
(SBCCS) sowie IEEE 802.5 (Token
Ring).
Classes of Service
Jede Kommunikation hat bestimmte
Eigenschaften. Schauen wir uns einmal eine normale Kommunikation
an. Sie wird von verschiedenen Kriterien bestimmt, von der Übertragungsgeschwindigkeit (Bandbreite)
etwa, und davon, wer diese kontrolliert. Benutzen alle Beteiligten das
gleiche Medium? Kommen alle Informationen in der gleichen Reihenfolge an, wie sie auch versendet wurden? Wie groß ist die Zeitverzögerung
zwischen den einzelnen Informationen? Wird der Sender über den Empfang der Daten informiert? Je nachdem, welche Daten übertragen werden, sind unterschiedliche Eigenschaften wichtig . Bei Video- und
Audiodaten beispielsweise spielt die
Zeitverzögerung zwischen den Paketen eine große Rolle, bei einer Übertragung einer Datei hingegen keine.
Um den vielen Eigenschaften einer
11
Ausgabe 11/2002
26
Kommunikation gerecht zu werden,
sind im FC verschiedene Klassen der
Datenübertragung definiert.
Class 1 und 2
In der ersten Service-Klasse wird eine
direkte Verbindung zwischen zwei
Nodes geschaltet. Diese können dann
die volle Bandbreite des Mediums
nutzen. Die Informationen kommen
in der gleichen Reihenfolge und auch
mit der gleichen Geschwindigkeit an.
Es gibt deshalb nur eine Kontrolle der
Geschwindigkeit an den Endpunkten. (End to End Flow Control). Keine Fabric muß ihren Ein- und Ausgangspuffer (Buffer-to-Buffer Flow
Control) kontrollieren, da die Informationen mit der gleichen Geschwindigkeit weitergegeben werden. Es
werden keine Informationen bestätigt. Falls welche fehlen, informiert
der Empfänger den Sender, und dieser schickt sie noch einmal. Die Klasse 1 wird benutzt, wenn die Informationen zeitkritisch sind wie z.B. Video oder Sprache.
In der zweiten Service-Klasse wird
keine direkte Verbindung aufgebaut.
Die Bandbreite des Mediums wird
mit anderen Verbindungen geteilt. Es
ist nicht garantiert, das die Informationen in gleicher Reihenfolge ankommen, in der sie verschickt wurden. Es können unterschiedliche
Übertragungsgeschwindigkeiten benutzt werden. Deshalb ist in der Fabric
sowohl ein Buffer-to-Buffer- als auch
ein End-to-End Flow Control notwendig. Alle Pakete werden bestätigt.
Jedem Netzwerker werden diese Eigenschaften bekannt vorkommen.
Deshalb wird sich auch keiner wundern, daß diese Klasse hauptsächlich
für LAN-Traffic benutzt wird.
Klasse auch als Datagramm Service
bezeichnet. Als Upper Layer Protokoll wird meist SCSI benutzt.
Wie in Class 1 wird auch in Klasse 4
eine direkte Verbindung aufgebaut,
der eine definierte Bandbreite zur
Verfügung steht. Die Informationen
kommen in gleicher Reihenfolge an.
Allerdings können in Service-Klasse
4 mehrere virtuelle Verbindungen
(Virtual Circuit, kurz VC) zu unterschiedlichen anderen Nodes aufgebaut werden. Jeder virtuellen Verbindung steht eine definierte Bandbreite zur Verfügung. Allerdings wird die
Gesamtbandbreite durch die Anzahl
der virtuellen Verbindungen geteilt.
Buffer-to-buffer Flow Control muß
Abb. 8: Fibre Channel Layer
Abb. 9: Fibre Channel Layer 2 Frame
Class 3 und 4
Die dritte Service-Klasse entspricht
bis auf eine Ausnahme der zweiten
Klasse. Es werden nämlich keine Pakete bestätigt. Deshalb wird diese
11
Ausgabe 11/2002
27
für jede virtuelle Verbindung einzeln
berücksichtigt werden.
Class 5 und 6
Die fünfte Service-Klasse befindet
sich noch in der Entwicklung. Sie soll
vor allem weitere Vorteile für Audio
und Video bieten.Die sechste Klasse
entspricht in etwa der ersten mit dem
Zusatz, daß Multicast-Verbindungen
möglich sind. Es können direkte Verbindungen zu mehreren Gegenstellen
aufgebaut werden. Die Kommunikation kann in beidseitiger Richtung erfolgen. Sie sehen, wie flexibel und
durchdacht die im FC gesammelten
Standards sind.
thema des monats
FC-Komponenten
Microsoft Multipath I/O
Schneller Zugriff auf Speichersysteme
Mit Multipath Input/Output (I/O) stellt Microsoft eine neue Technologie vor, die die
Verfügbarkeit, Zuverlässigkeit und Interoperabilität von Speichersystemen
verbessert. Denn die verschiedenen Storage-Systeme können dabei über
mehrere physikalische Leitungen gleichzeitig angesprochen werden. Damit
steigen Geschwindigkeit und Ausfallsicherheit beim Systemzugriff. Multipath I/
O wird sowohl von Windows 2000 Server als auch vom künftigen ServerBetriebssystem Windows .NET Server 2003 unterstützt werden.
Alternative Pfade zum Speicher
Multipath I/O ermöglicht es, mehr als nur einen physikalischen Pfad für den
Zugriff auf ein Speichersystem zu nutzen. Zusammen mit hoher Fehlertoleranz
und Load Balancing wird Microsoft zufolge eine verbesserte Zuverlässigkeit
und Verfügbarkeit des Systems entstehen. Microsoft Multipath I/O stellt einen
standardisierten Weg für die Kommunikation zwischen den Speichersystemen
und den Windows Servern zur Verfügung. Im Storage-Management, wo ja der
Schutz von Daten die zentrale Herausforderung ist, bietet Multipath I/O zusätzliche
Features, die vor Datenverlust und Systemausfällen schützen.
Optionale Wege zur Interoperabilität
Mit einer Plattform, die die vielfältigen Speicherlösungen der diversen Anbieter
zuverlässig verbindet, erhalten Microsoft Kunden für ihr Netzwerk demnächst
größere Wahlmöglichkeiten beim Aufbau eines hochverfügbaren
Speichersystems. Sie sollen die Komponenten ihrer Wahl - auch von
unterschiedlichen Herstellern - flexibel in eine offene Speicherinfrastruktur
integrieren und zusammen verwalten können.
Offene Speicherarchitekturen
Führende Anbieter von Speicherlösungen bereits haben angekündigt, Microsoft
Multipath I/O zu unterstützen und entsprechende Produkte auf den Markt zu
bringen. Dazu zählen u.a. Hewlett-Packard, Seagate Technology oder Veritas
Software. Als führender Hersteller von Festplatten begrüßte beispielsweise
Seagate ausdrücklich das Engagement von Microsoft. Anbieter, die Multipath I/
O verwenden, werden sich in einem offenen Speichernetzwerk erhöhte
Ansatzchancen versprechen dürfen. Denn die Multipath I/O Strategie eröffnet
Möglichkeiten einer herstellerübergreifenden Interoperabilität, wie sie in offenen
Speicherarchitekturen für Hersteller und Kunden nur wünschenswert sind.
Informationen über Speicherlösungen für Windows Server finden Sie im Internet
unter http://www.microsoft.com/windows2000/technologies/storage.
Im folgenden möchte ich auf einzelne Komponenten und die Devices
eingehen, die im SAN Umfeld zum
Einsatz kommen. Der Host Bus Adapter (HBA) beispielsweise stellt die
Verbindung, zwischen dem Bussystems des Servers - z.B. PCI- und
dem des FC-Netzwerkes her, ähnlich
wie die Netzwerkkarte die Verbindung zum LAN herstellt. Es gibt mittlerweile eine große Anzahl von Herstellern die HBAs anbieten, von HP/
Compaq, IBM bis ICP-Vortex.
Anschlüsse
Eine große Bedeutung im Fibre
Channel kommt den Kabelanschlüssen zu. Es gibt die schon erwähnten GBICs, die es ermöglichen,
Kupfer- oder Fiber-Optik-Kabel entweder an eine Fabric oder einen HBA
anzuschließen. GBICs sind hot
pluggable, d.h. sie können, ohne das
Device zu rebooten, gewechselt werden. Im Gegensatz dazu sind Gigabaud Link Modules (GLMs) nicht hotplug-fähig. Sie stellen eine Low Cost
Variante der GBICs da. Um verschiedene Verkabelungen zu verbinden
gibt es Transceiver. Allerdings können diese nicht Kupfer und FO Kabel
verbinden. Dafür werden sogenannte
Media Interface Adapter (MIA) angeboten.
Hub, Switch, Router
Um einen FC-AL aufzubauen, und
trotzdem sternförmig zu verkabeln,
kommt ein FC Hub zum Einsatz. Er
steht im Zentrum eines FC-AL. Es
gibt managed und unmanaged Hubs.
Will man aber einen FC-AL an eine
Fabric anschließen, so benötigt man
einen FC Loop Switch zwischen den
FC-AL und dem Anschluß an den sogenannten Fabric Switch. Ein Fabric
Switch nimmt aktiv am FC Protokoll
teil und ermöglicht, daß die an ihm
angeschlossenen Devices mit der
11
Ausgabe 11/2002
28
kompletten Bandbreite untereinander
kommunizieren können. Als Highend-Switches kommen nur Director
Switches in Frage, die Backboneswitches des Fibre Channel. Sie ermöglichen hohe Bandbreite, Austausch
von Komponenten im laufenden Betrieb und eine hohe Verfügbarkeit.
Gelegentlich hört man von 5 Minuten Nichtverfügbarkeit innerhalb eines Jahres! Um Verbindung mit artverwandten Protokollen aufzubauen,
werden FC Bridges benutzt. Die wohl
bekannteste ist die FC-to SCSI-Bridge. Falls diese Protokolle zu weit von
einander abweichen, kommen Router
zum Einsatz. Storage Router stellen
u.a. die Verbindung von Ethernet
(ISCSI) zu FC her.
Storage Devices
Es gibt Disk Arrays, JBODs (Just A
Bunch Of Disks), Tape Librarys und
Storage Server Systeme. Disk Arrays
sind Plattenstapel, die mit Hilfe eines
Raid Controllers redundant auf den
Ausfall einer Festplatte reagieren. Sie
bieten eine hohe Performanz und den
Schutz vor dem Ausfall einer Festplatte. JBODs hingegen sind reine
Festplattensysteme, die zwar keine
zusätzliche Ausfallsicherheit haben
und auch nicht die Performance eines
Disk Arrays bieten, die allerdings in
erschwinglicheren Preisregionen
liegen und damit für kleinere Unternehmen sicherlich ein gute Alternative bieten. Auch Tape Libraries werden dort eingesetzt, wo Daten auf ein
möglichst preisgünstiges Medium
gespeichert werden, um Daten
auszulagern oder zu sichern. Am
Ende der Skala stehen die Storage
Ser ver, beispielsweise CD/DVD
Towersysteme oder die MO Tower.
Zone und LUN
Im Storage Area Network macht es
natürlich keinen Sinn, daß alle Systeme auf alle Devices zugreifen können. Deshalb kann man den Fibre
Channel segmentieren. Dieser Ansatz
nennt sich Zoning. Dabei wird der FC
Switch in kleinere logische Switches
aufgeteilt. Dies entspricht in etwa
dem Bilden von portbasierenden
VLANs in den LAN Switches. Die
Segmentierung ist portbezogen.
Wenn ein Storage Device an einem
Port angeschlossen ist, gleichzeitig
aber zwei Server auf zwei logische
Festplatten auf diesem Device zugreifen sollen, hilft auch das Zoning nicht
weiter. Da ausgeschlossen werden
muß, daß beide Server versuchen, auf
alle Devices des Arrays zuzugreifen,
kommt das sogenannte LUN Masking
zum Einsatz. Logical Unit Numbers
(LUN) sind logische Nummern, die
den Storage Devices oder Partitionen
zugeteilt werden. So bilden zum Beispiel LUNs im SCSI-Protokoll Untereinheiten zu den SCSI IDs. Mit dem
LUN Masking kann definiert werden,
welcher Server auf welche LUN zugreifen darf und welcher nicht. Alle
ausgesparten LUNs bleiben für ein
solches Serversystem unsichtbar.
Gute Aussichten
Eine erfolgversprechender Ansatzpunkt der Weiterentwicklung der
SAN-Technologie ist ISCSI. Unter
ISCSI versteht man die Verbindung
zweier Protokolle, die schon längst
ihre Zuverlässigkeit in der Praxis bewiesen haben, nämlich IP und SCSI.
Der ISCSI Standard ist allerdings
noch nicht verabschiedet. Angeblich
steht er aber kurz davor.
Zugegeben, zwei sehr gute Protokolle ergeben zusammen nicht unbedingt ein gutes drittes, aber die Aussichten scheinen dennoch vielversprechend. Mit ISCSI wird ist es möglich, Storage Devices über IP anzusprechen. Daraus ergeben sich Kostenvorteile, weil die Fibre Channel
Technologie eine nicht unerhebliche
Investition verlangt und die Unterschiede der SAN-Struktur gegenüber
der LAN-Technologie auch entspre-
11
Ausgabe 11/2002
29
chendes Know-how verlangt. Bestehende Erfahrung mit TCP/IP und
Ethernet, das ja inwischen auch mit
10Gbit-Tec hnologien aufwarten
kann, läßt sich damit auch für HighPerformance bei Storage-Lösungen
nutzen. So bietet z.B. Cisco mit dem
SN 5420 einen Storage Router an, der
sowohl einen FC- als auch einen
Ethernet-Anschluß besitzt. Auf dem
Server wird auf eine Ethernetkarte ein
ISCSI Treiber gebunden, der per
ISCSI über den Router im Fibre Channel die Storage Devices ansprechen
kann. Im Endausbau wird es dann so
sein können, daß die Storage Devices
einen Ethernet Anschluß haben, über
den mit ISCSI zugegriffen werden
kann. Die Unterstützung der Betriebsystem-Hersteller ist gegeben. Novell
hat bereits angekündigt, ISCSI im
nächsten Release der NetWare zu
supporten.
NDMP
Zentraler Aspekt für SAN-Technologien ist die Datensicherung. Deren
Verwaltung mag in einem großen Netz
schnell zum Alptraum eines Netzwerkverantwortlichen werden, wenn
beispielsweise verschiedene Betriebssysteme in verschiedenen Standorten gesichert werden müssen. Und nicht selten müssen dafür sogar verschiedene
Backupsoftware-Lösungen benutzt
werden. Das NDMP-Protokoll soll
diese Probleme vereinfachen. NDMP
ist eine Client Server Architektur, die
zwei Protokolle voraussetzt. TCP/IP
dient als Übertragungsprotokoll und
XDR (External Data Representation)
erlaubt das Ausführen von Diensten
auf entfernten Systemen. Damit wird
es überflüssig, auf allen Servern einen Backup Agent zu installieren. Die
Daten werden mit NDMP angefordert
und gesichert, auch Hardware-Hersteller können NDMP benutzen, um
direkt auf das Storage zuzugreifen.
Das macht z.B. bei NAS-Systemen
Sinn. Beim Storage Area Networking
ist viel in Bewegung.
thema des monats
NETWORK SECURITY
Tunnelbau
Teil 2: IP-VPN Interoperabilität im Praxis-Test
Von Detlev Reimann
F
Für den Aufbau einer IPsecbasierenden Verbindung
gibt es aus der bisherigen
Darstellung folgend drei
mögliche Varianten. Erstens
kann eine solche Verbindung mittels manueller
Schlüssel aufgebaut werden.
Der Vorteil liegt in der Beschränkung auf Authentifizierung und Verschlüsselung mittels symmetrischer
Schlüssel. Über diese Möglichkeit läßt sich eine BasisSicherung aufbauen und die
Komplexität weiterer Protokolle vermeiden. Nachteilig
ist allerdings die beschränkte Zeit der Sicherheit durch
eine äußerst geringe Frequenz des Schlüsselwechsels. Der Wechsel muß
zusätzlich über einen anderen Weg wie Telefon oder
Post erfolgen und hat entsprechende organisatorische
Zwänge.
Zweitens sind IPsec-Tunnel
mit Hilfe von ISAKMP und
einem Preshared Key aufbaubar. ISAKMP ist ein zusätzliches
Protokoll, welches entsprechend konfiguriert wird. Aus der Sicht der Protokolle wird die Implementation dadurch komplexer. Im Vergleich zur
Variante mit Manual Keying sinkt
jedoch das Sicherheitsrisiko und der
administrative Teil des Schlüsselwechsels drastisch. Die Gesamtzahl
der Mißkonfigurationen sinkt. Denn
Unternehmensweit
wenn die beiden Partner die korrekten Parameter haben und die IPsecVerbindung erfolgreich getestet wurde, sind kaum spätere Änderungen
erforderlich. Die Schlüsselwechsel
laufen automatisch. Der Preshared
Key dient nur dazu, einen zusätzlichen Parameter, ein gemeinsames
Geheimnis der beiden Partner, für die
Identifizierung zu nutzen.
Für die Verbesserung der
Ausbaufähigkeit einer unternehmensweiten IP-VPN Infrastruktur mit LAN-LANVerbindungen und der Anbindung von Remote
Clients dient die dritte Variante. Der Preshared Key wird
gegen Zertifikate ausgetauscht. Dieser Lösungsansatz wurde bisher nur angedeutet (vgl. Main Mode). Das
Prinzip besteht darin, daß die
IPsec-Partner ein eigenes
Schlüsselpaar generieren
und für den Public Key ein
Zertifikat von einer Certificate Authority (CA) beantragen. Die CA ist eine Instanz,
der beide Partner vertrauen.
Sie wird bevorzugt in einer
Public Key Infrastructure
(PKI) betrieben. Wenn beide
Peers der CA vertrauen, vertrauen sie sich auch gegenseitig, so lautet die Regel.
Jeder Knoten hat somit zwei
Zertifikate gespeichert, eines
mit dem Public Key der CA und eines mit dem eigenen Public Key. Beide Zertifikate sind von der CA mit
deren Private Key signiert. Jeder
IPsec-Knoten authentifiziert sich bei
seinem Partner mit seinem PublicKey-Zertifikat. Der Partner kann anhand der Signatur prüfen, ob das Zertifikat von der CA ausgestellt wurde,
der er auch vertraut. Das Verfahren ist
11
Ausgabe 11/2002
30
Tabelle 1
Parameter
NAT
DNS Server
DNS Domain
Host Name
IP Address
Peer
AH
AH Hash Algorithm
ESP-A
ESP Hash Algorithm
ESP-E
Encryption
Inbound Key
Inbound SPI
Outbound Key
Outbound SPI
Traffic
Bemerkung
NAT auf der Host-Seite
zugehöriger DNS Server
eigene DNS-Domäne
eigener Systemname
eigene IP-Adresse
Adresse des Partners
Authentication Header
MD5-HMAC, SHA1-HMAC
ESP Authentication
MD5-HMAC, SHA1-HMAC
ESP Encryption
DES, 3DES, AES, DES-CBC (RFC 1829), …
Schlüssel für die eingehende IPsec-SA
SPI für die eingehende IPsec-SA
Host A
ja
123.123.123.111
hosta.de
hosta
192.168.1.10
185.185.185.2
nein
/
ja
MD5-HMAC
ja
DES
ab12cd34ef56
1002
12ab34cd56ef
1010
TCP 3200-3299
TCP 3600-3699
TCP 1527
Welcher Datenverkehr soll mittels
IPsec gesichert werden?
Host B
nein
185.185.185.111
hostb.de
hostb
185.185.185.2
64.43.1.10
nein
/
ja
MD5-HMAC
ja
DES
12ab34cd56ef
1010
ab12cd34ef56
1002
(SAP)
(Message Server)
(Oracle Listener)
Tab. 1: Beispiel einer Peer-Verbindung
allerdings komplexer im Design und
in der Konfiguration. Es sei hier auf
die Literatur verwiesen. Zusammenfassend lassen sich über eine PKI sehr
gut erweiterbare und flexible Strukturen aufbauen, die jederzeit mühelos weitere VPN-Partner aufnehmen
können. Vorteilhaft ist, daß eine PKI
keineswegs für VPNs vorbehalten ist.
SSL-Verbindungen, Single-Sign-On
usw. sollen dazu nur als Stichworte
dienen. Oft wird allerdings der Aufwand gescheut, solche Strukturen zu
planen.
VPN in der Praxis
Für die oben dargestellten Lösungsvarianten soll nun die Frage der
Interoperabilität untersucht werden.
Praktisch ist es angebracht die notwendigen Parameter in einer
Konfigurationsmatrix zu planen. Obwohl sich Hersteller an die Standards
halten, können unter Umständen
IPsec-Verbindungen nicht aufgebaut
werden. Die folgende Matrix hilft, die
Gründe dafür zu finden. Zunächst
werden die Regeln für eine IPsec-Ver-
bindung mit manuellen Schlüsseln
zusammengetragen, Host A und Host
B seien Beispiel-Peers dieser Verbindung (vgl. Tab. 1).
SAP-Anwendung
Da sich ein Host in einem privaten
Netzwerk hinter einem NAT-Device
befindet, wird auf AH verzichtet.
Wichtig ist, daß dabei die Peer-Adresse die öffentlich erreichbare Adresse
ist. Im Beispiel (vgl. Tab. 2) soll eine
SAP-Anwendung zwischen zwei
Netzwerken gesichert werden. Im
nächsten Schritt wird die Übersicht
verändert, um eine IPsec-Verbindung
mittels ISAKMP und Preshared Key
vorzubereiten.
Auf den ersten Blick scheint die Kon-
Tabelle 1
Parameter
Inbound Key
Inbound SPI
Outbound Key
Outbound SPI
ISAKMP Method
Preshared Key
IKE-A
IKE-E
IKE-Lifetime
IPsec-Lifetime
Bemerkung
entfällt
entfällt
entfällt
entfällt
Authentication Method
Authentication Hash
Ecryption
Time limit
Time limit
Volume limit
Name oder Adresse
abhängig von Identity
Diffie-Hellman Group
Identity
IKE-Peer
Key Exchange
PFS
Phase 1
Phase 1 Mode
Host A
Host B
preshare
_pumuckl
MD5
DES
86400 sec
86400 sec,
8192 kByte
name
hostb.hostb.de
1
nein
Main Mode
preshare
_pumuckl
MD5
DES
86400 sec
86400 sec
8192 kByte
name
hosta.hosta.de
1
nein
Main Mode
Tab. 2: Beispiel einer Peer-Verbindung, erweitert um ISAKMP.
11
Ausgabe 11/2002
31
thema des monats
figuration aufwendiger. Sie hat jedoch den Vorteil, daß mindestens alle
24 Stunden fehlerfrei der Schlüssel
gewechselt wird. Das ist manuell
kaum realisierbar. Wenn die Sicherheit nicht ausreichend ist, können stärkere Mechanismen genutzt werden.
Dazu gehören Verkürzung der
Lifetime, anderer Hash-Algorithmus,
stärkere Verschlüsselung. Bedingung
ist allerdings, dass beide Seiten die
ausgewählte Methode auch unterstützen. Auch w enn beide Partner
standardkonform IPsec nutzen, kann
genau an diesem Punkt die Kommunikation scheitern. Die Tabelle hilft,
den ”kleinsten gemeinsamen Nenner” der Interoperabilität zwischen
den Hosts zu finden. Die Hersteller
benutzen zum Teil verschieden Begriffe für einen Parameter. In der Übersicht können diese Informationen
verglichen werden.
Nutzung einer CA
In der letzten Matrix soll das Beispiel
um die Nutzung einer CA verändert
werden (vgl. Tab. 3). Das ist bezüglich ISAKMP schnell geschehen.
IPsec wird davon nicht mehr betrof-
Tabelle 3
Parameter
ISAKMP-Method
Preshared Key
Bemerkung
Host A
RSA-Signature
Host B
RSA-Signature
entfällt
Tab. 3: Beispiel für die Nutzung einer CA verändert
fen, da dort für die Verwaltung der SA
auf ISAKMP verwiesen wird.
Eine zusätzliche Aufgabe ist die Generierung eines eigenen Schlüsselpaares oder auch von Schlüsselpaaren, wenn für die Authentifizierung ein anderes Paar genutzt wird
als für die Verschlüsselung. Sehr oft
ist das bereits nicht mehr nötig, da
die IPsec-Hosts, bereits solche Paare
für SSH- oder auch HTTPS-Verbindungen für das Remote Management
nutzen.
Für die Funktion ist noch der Aufbau
der Kommunikation mit einer CA erforderlich. An dieser Stelle gibt es
sehr unterschiedliche Verfahren. Das
ist zum einen vom jeweiligen Hersteller bzw. Betreiber der CA und vom
Hersteller des Gerätes abhängig. Hier
sollen daher wichtige Parameter aufgeführt werden (vgl. Tab. 4).
Zertifikate
Die konkreten Vorgehensweisen sind
sehr verschieden. Erfahrungsgemäß
existiert jedoch ein Weg, um über
Copy and Paste relativ umständlich,
jedoch für jeden Administrator beherrschbar, Zertifikate anzufordern
bzw. diese zu installieren. Auch hier
gilt, der scheinbar hoheAufwand wird
nur einmal pro Device bzw. pro Person benötigt. Sobald sich Geräte der
gleichen Vertrauensstruktur ”privat”
verbinden wollen, können sie das
ohne weitere Eingriffe tun. Die Identifizierung erfolgt über die Zertifikate. Es ist dann egal, ob 10, 20 oder
mehrere 100 Außendienstmitarbeiter
an eine Zentrale angebunden werden.
Die Problemsituationen, für jeden IPVPN-Partner einen Preshared Key zu
verwalten oder das Sicherheitsrisiko
Tabelle 4
Parameter
Name des CA-Servers
Typ des CA-Servers
Administrator
Enrollment-URL
Certificate Exchange
Zeitserver
CRL-URL
CRL-Option
CA-Chain
Protocols/Certificates
Registration
Bemerkung
Domain Name des CA-Servers
Hersteller (Baltimore, Entrust …)
Kontaktinformation
Web-Adresse zur Beantragung der
Zertifikate
Protokoll zum Enrollment
NTP-, SNTP-Server (IP-Adresse, DNSName), intern oder extern
LDAP-Directory für die Certificate
Revocation List
mandatory, optional
Speicherung der Zertifikate der CAServer, die hierarchisch zu einander
aufgebaut sind
Protokolle, die die Hosts unterstützen
Stelle zur Identitätsprüfung CA oder RA
(Registration Authority)
Beispiel
ca-server.entrust.com
Entrust
Telefonnummer etc.
http://ca-server.entrust.com/cgi-bin/…
SCEP
ntp.nist.gov, 195.145.90.88
ldap:// ca-server.entrust.com
optional
Hierarchie (chain)
PKCS#x, RSA-Keys,
X509v3-Certificates
RA
Tab. 4: wichtige Parameter für PKI
11
Ausgabe 11/2002
32
eines einzigen Preshared Keys für
alle, unterbleiben. Ein Vorteil besteht
darin, daß die Zertifikate auch zur
Verschlüsselung von E-Mails oder
zur Autorisierung am SAP-Server usw.
nutzbar sind.
Skripte zur Konfiguration der
BinTec- und SonicWALL Tele 3Komponenten finden Sie auf der
aktuellen TN- Monats-CD im Verzeichnis IP_VPN. Dort ist auch
eine Beispiel-Konfiguration für
eine Cisco-PIX aus unserem Lab
und ein zugehöriges Log-File
hinterlegt.
Labor-Tests
Im Compu-Shack Labor wurde die
Interoperabilität zwischen Geräten
der Hersteller BinTec, Cisco und
SonicWALL getestet. Die Tests beschränkten sich auf den erfolgreichen
Aufbau von IPsec-Verbindungen mit
Pre-shared Key und die Übertragung
von Daten einschließlich der nebenher notwendigen Schlüsselwechsel.
Alle Tests waren erfolgreich. Die Kon-
figuration zwischen Bintec X.1200
und SonicWALL Tele 3 soll hier beispielhaft erläutert werden. Die Abbildung 1 zeigt den physikalischen Aufbau und die wesentlichen Konfigurationsdaten für diese Aufgabenstellung.
Das grundlegende Problem war erwartungsgemäß der unterschiedliche
Sprachgebrauch und Implementierungsweg der Hersteller. Die zuvor
erstellte Matrix ließ es zu, die korrekten Parameter schnell zuzuordnen.
Die Menüführung der Konfigurationstools war anfänglich unter Umständen etwas gewöhnungsbedürftig,
je nachdem mit welchem System die
Testperson vorher vertraut war.
Fehlerfinder
Im Falle eines Verbindungsfehlers
hatten die Geräte ein sehr unterschiedliches Niveau zur Unterstützung der
Fehlersuche. Bei BinTec gab es nahezu keine hilfreichen Hinweise in
den Log-Informationen.
Die SNMP-Konfigurationsdatei war
mit 48 A4-Seiten sehr groß und unübersichtlich. Das ist der Preis einer
umfangreichen Vorkonfiguration der
IKE- und IPsec-Proposals. Eine gute
Abb. 1: Labor-Aufbau für Interoperabilitätstest zwischen SonicWALL Tele 3 und
BinTec X1200
Idee, aber in diesem Falle der Fehlersuche etwas hinderlich.
Die Logdaten von SonicWALL waren da wesentlich informativer, während die Cisco-Geräte beim Logging
geradezu geschwätzig waren, denn
mit knapp zwei A4-Seiten ließ sich
die Konfiguration schnell überblikken und mit den Anforderungen vergleichen. Die Tests mit den CiscoGeräten in der Kombination waren am
schnellsten erfolgreich beendet.
Clients
Die getesteten Szenarien hatten alle
gemeinsam, daß sie ”feste” IP-Adressen der Peers voraussetzten. Dieses
gilt nicht für Clients, die sich über
einen Provider in das Firmennetz via
IPsec einwählen. Das Hauptproblem
dieser IPsec-Partner sind ihre wechselnden Identitäten durch die dynamischen IP-Adressen. Ein wenig Abhilfe kann dynamisches DNS schaffen. Die richtige Lösung ist das noch
nicht. Darauf haben die Hersteller und
nicht der Standard bisher reagiert. Das
Ergebnis sind sehr unterschiedliche
Lösungsansätze. Microsoft löste die
Problemstellung beispielsweise mit
einer Identifizierung des Clients über
ein Layer 2 Protokoll. Der Varianten
gibt es viele. Dieser mangelnden
Interoperablität auf der Client-Seite
versuchen Hersteller teilweise dadurch zu begegnen, daß sie auf der
zentralen Seite spezifische Ansätze
anderer Hersteller abbilden.
Protokolle
Ein anderes Problem ist die Handhabung der relativ komplexen Protokolle durch den Anwender. Die Konfiguration von IPsec-Rules unter
Windows 2000 Professional sind für
viele Benutzer unlösbar. Besser sind
schon die Ansätze, Konfigurationen
von IPsec-Clients via Datei einzuspielen. Diese Daten können zentral
generiert werden und werden dann an
die Anwender verteilt. Noch besser ist
11
Ausgabe 11/2002
33
thema des monats
die Möglichkeit, Proposals zentral zu
verwalten. Der Anwender muß nur
wenige Daten kennen, den DNS-Namen des VPN-Hosts in der Zentrale und
seine Benutzer-Identität im System,
die sich auch mittels Zertifikat abbilden lässt.
VPN-Client Version 3.x bietet mit
dem Log-Viewer dazu bereits ein
praktikables System mit drei einstellbaren Log-Levels in verschiedenen Kategorien (vgl. Abb. 2). Die
mitgeschriebenen Informationen
kann der Anwender dann in eine Datei speichern und dem Administrator
zur Verfügung stellen.
Fazit
Abb. 2: Einstellung der Log-Parameter
bei einem Cisco VPN-Client.
Support
Daran knüpft sich das Thema Support
an. Wenn mit der Verbindung Probleme auftauchen, sollte der Anwender
und der Administrator entsprechende
Informationen erhalten. Das Spektrum
reicht von unzureichender Information über den aktuellen Verbindungsstatus (Nokia-CheckPoint-Client) bis
zur ausführlichen Überfrachtung des
Anwenders (Cisco VPN-Client 1.1,
Log-Monitor).
Wünschenswert ist ein abgestuftes
System, das über aktuelle Zustandsänderung wie Verbindungsaufnahme
oder -abbruch so informiert, daß ein
Nutzer auch ohne VPN-Grundwissen
eine Einschätzung seiner Verbindungen vornehmen kann. Bei auftretenden Fehlern sollte der Anwender mit
Hilfestellungen auf den möglichen
Grund hingewiesen werden, indem der
Client von sich aus geeignete Parameter prüft. Für den Administrator besteht dann immer noch die Möglichkeit, sehr ausführliche Log-Informationen ”einzusehen”, die ihm den
Remote-Support erlauben. Der Cisco-
Die IPsec-Protokolle sind essentielle Bestandteile beim Aufbau geschützter Verbindungen, um das Geschäft eines Unternehmens abzusichern. Sie sind dabei veränderliche
Objekte in einer Sicherheitslösung
des Unternehmens. Diese Dynamik
hat ihre Ursache in den sich ständig
verändernden Bedingungen, aber
auch in dem relativ offenen und
generischen Charakter ihrer Definition. Entscheidend für die Sicherheit
der Daten eines Unternehmens ist jedoch nicht allein die einzelne technische Lösung, so wie sie in diesem
Artikel betrachtet wurde, sondern das
gesamte Sicherheitskonzept des Un-
ternehmens. Aus der täglichen Praxis
wird immer wieder deutlich, daß sich
Administratoren um die Sicherheit
der ihnen anvertrauten Daten bemühen, sich dabei auf technische Details
wie die Einrichtung eines IP-VPN fokussieren und sich deshalb nur allzu
leicht in der Frage nach dem besten
VPN-Gateway verlieren. Die getestete Interoperabilität der VPN-Lösungen gepaart mit dem Wissen um die
Technologien gibt aus dieser Sicht
mehr Freiraum, sich auf Grundprozesse zur Sicherstellung des Geschäftes zu konzentrieren.
Es ist der Arbeitsgruppe 5 der Initiative D21 zuzustimmen, daß die Unternehmensleitung eindeutig die Verpflichtung hat “geeignete Maßnahmen zum Schutz gegen IT-Sicherheitsrisiken einzuführen. [...] Es reicht
daher nicht aus, tätergesteuerte Angriffsszenarien zu betrachten: Viren,
Hacken, Spionage, Sabotage. Im Rahmen der IT-Risikoanalyse müssen
auch Risiken wie die Kritizität der ITProzesse [...] untersucht werden.” (vgl.
IT-Sicherheitskriterien der Initiative
D21)
Bibliographie
• Federal Information Processing Standards Publication 197,
Announcing the Advanced Encryption Standard (AES), 2001
• Vincent Rijmen, Joan Daemen, AES Proposal: Rijndael,
The Rijndael Block Chypher, 1999
• Jörg Buckbesch, Rolf-Dieter Köhler, VPN Virtuelle Private Netze, 2001
• Frank Bitzer, Klaus M. Brisch, Digitale Signatur, 1999
• Albrecht Beutelspacher, Jörg Schwenk, Klaus-Dieter Wolfenstetter,
Moderne Verfahren der Kryptographie, 3. Auflage 1999
• Bruce Schneier, John Kelsey, Doug Whiting, David Wagner, Chris Hall,
Niels Ferguson, The Twofish Encryption Algorithm: A 128-Bit - Block
Cipher, 1999
• Patric Fell, Schlüssel für die Sicherheit: PKI, Technik News 5/2001 ff
• IT-Sicherheitskriterien im Vergleich, Initiative D21,
Arbeitsgruppe 5, 42 Seiten, Stand 20.12.2001
Informationsquellen im Web
• www.ietf.org
• www.nist.gov
• www.bintec.de
• www.cisco.com
• www.rsasecurity.com
• developer-forums.novell.com
• projekte.compu-shack.com
11
Ausgabe 11/2002
34
h
HOTLINE
Stand: 14. Oktober 2002
Technik-News Patch-CD November 2002
NW 6.0
299913.exe
AFPLIC2.exe
CONONE133SP1.exe
DNSDHCP1.exe
DSAUDIT.exe
ES7000.exe
FLSYSFT7.exe
HTTPSTK1.exe
NAAUPD2.exe
NAT600D.exf
NETDRV41.exe
NFAP1SP2.exe
NICI_U0.exe
NIPP104.exe
NSSCHECK.exe
NW56UP1.exe
NW6_ISS.txt
NW6NBI1A.exe
NW6NSS1A.exe
NW6SMS1A.exe
NW6SP2.exe
NWFTPD6.exe
Windows Clients
SNMPFIX.exe
TCP604S.exe
TRUSTEE.exe
XCONSS9F.exe
NW 5.1
299913.exe
4PENT.exe
AFNWCGI1.exe
COMX218.exe
CONONE133SP1.exe
DLTTAPE.exe
DNSDHCP1.exe
DS760A.exe
DS880D_a.exe
DSAUDIT.exe
DSBROWSE.exe
FLSYSFT7.exe
FP3023A.exe
FP3023S.exe
HDIR501C.exe
IDEATA5A.exe
JVM133SP1.exe
NW 4.2
DECRENFX.exe
DS616.exe
GROUPFIX.exe
IPG4201.exe
IPGSN10A.exe
LONGNAM.exe
NAT600D.exe
NLSLSP6.exe
NW4SP9.exe
NW4WSOCK.exe
NWIPADM.nlm
ODI33G.exe
SNMPFIX.exe
TRUSTEE.exe
XCONSS9F.exe
NAT600D.exe
NDP21P4.exe
NESN51.exe
NFAP1SP2.exe
NICi_U0.exe
NIPP104.exe
NMASPT2.exe
NW51_ISS.txt
NW51FS1.exe
NW51SP5.exe
NW56UP1.exe
NWFTPD6.exe
PKI202B.exe
PSRVR112.exe
SBCON1.exe
SLP107G.exe
SNMPFIX.exe
STRMFT1.exe
TCP590S.exe
TRUSTEE.exe
TSA5UP10.exe
XCONSS9F.exe
ZENworks
Win 95/98 dt.
NC332SP1.exe
NPTR95B.exe
W98332E.exe
Win NT/2000/XP dt.
276794.exe
NC483SP1.exe
WNT483G.exe
Win 95/98 engl.
NPTR95B.exe
W98332E.exe
NC332SP1.exe
Win NT/2000XP engl.
276794.exe
311632.exe
298848.exe
NC483SP1.exe
309392.exe
WNT483E.exe
298848.exe
309392.exe
311632.exe
Miscellaneous Updates
NW SAA 4.0
NW4SAA.exe
SAA40020.exe
SAA4PT1.exe
iChain 2.0
IC20SP1.exe
GroupWise 6.6
GW62AOT.exe
GW6SP1.exe
GW6TOMCAT_NT.exe
GW6WASF.exe
GWCSRGEN2.exe
GWIA6SP1.exe
GWPDLOCK.exe
GWPORT32.exf
WAVIEW71.exf
Deutsche Updates
Windows NT 4.0 Windows 2000
DEUQ300972I.exe ENPACK_WIN2000ADMIN_GER.exe
SP6I386G.exe
Q299956_W2K_SP3_X86_DE.exe
Q311967_W2K_SP3_X86_DE.exe
Q318593_W2K_SP3_X86_DE.exe
Q324096_W2K_SP4_X86_DE.exe
Q324380_W2K_SP4_X86_DE.exe
W2KSP2SRP1D.exe
W2KSP3.exe
Englische Updates
eDirectory 8.x
AM210PT2.exe
AM210SNP.exe
AMW2KP2A.exe
AMW2KSP1.exe
C1UNX85A.exe
DSRMENU5.tgz
DSX86UPG.tgz
EDIR8527.exe
EDIR8527.tgz
EDIR862.exe
EDIR862.tgz
EDIR862SP2.exe
EDIR862SP2.tgz
EDIRW32.exe
NDSUNIX4.tgz
PWDSCH.exe
SIMPLE862UP.tgz
UNIXINF1.tgz
UNIXINS2.tgz
Windows NT 4.0 Windows 2000
MPRI386.exe
ENPACK_WIN2000ADMIN_EN.exe
PPTPFIXI.exe
Q299956_W2K_SP3_X86_EN.exe
RRASFIXI.exe
Q311967_W2K_SP3_X86_TWE.exe
SP6I386.exf
Q316094_W2K_SPLl_X86_EN.exe
Q318593_W2K_SP3_X86_EN.exe
Q324096_W2K_SP4_X86_EN.exe
Q324380_W2K_SP4_X86_EN.exe
W2KSP2SRP1.exe
W2KSP3E.exe
Tools / DOCs
ADMN519F.exe
CFGRD6B.exe
CRON5.exe
DBGLOG1.zip
DSDIAG1.exe
ETBOX7.exe
HIGHUTIL1.exe
LOADDLL1.exe
MIGRTWZD.exe
NCCUTIL5.exe
NLSDLL.exe
NWSC1.exe
ONSITB8.exe
STUFKEY5.exe
TBACK3.exe
TCOPY2.exe
ZENworks for Desktops 3.0
278415.exe
ZD322K2.exe
ZD32NOTF.exe
ZD32DUPW.exe
ZD32SCAN.exe
ZD32NW.exe
ZD32ZIDS.exe
ZD3XWSREG.exe
ZD3WSMG.exe
ZD3XWUOL.exe
ZD3XZISW.exe
ZENINTG.exe
ZFD3SP1A.exe
ZF3INVMP.exe
ZENworks 3.0 Server
NICI24CPK.exe
ZFS3SP1.exe
ZFS3SP1MANW5.exe
ZS3SCH.exe
Bordermanager 3.5/3.6
ADMATTRS.exe
BM37VPN2.exe
BM35ADM7.exf
BMAS3X01.exe
BM36C02.exe
PXY031.exe
BM36SP1A.exf
PXYAUTH.exe
BM37FLT.exe
RADATR3A.exe
BM37UPN2.exe
SETUPEX.exe
Cluster Services
CS1SP4.exe
CVSBIND.exe
Windows XP
xpsp1_de_x86.exe
Microsoft .NET
NDP10SP357.exe
Internet Explorer 6.0
IE6SETUPG.exe
Q313675.exe
Q316059D.exe
Exchange 2000
EX2KSP2_SERVER.exe
Q320436ENUI386.exe
Exchange 5.5
SP4_550G.exe
Windows XP
Q315000_WXP_SP1_x86_NEU.exe
WM320920_8.exe
xpsp1_en_x86.exe
Internet Explorer 6.0
IE6SETUPE.exe
Q316059D.exe
Microsoft .NET
NDP10SP317396.exe
Exchange 2000
Q278523ENGI.exe
11
Ausgabe 11/2002
35
Exchange 5.5
SP4_550E.exe
HOTLINE
NetWare
Patches
h
HOTLINE
Bintec Router Software
Bingo!
Brick XS/Office
Brick X.21
X8500
BGO521.bg
BRK512.xs
BRK495.x21
B6202.x8a
Bingo! Plus/Professional
BRK521P2.xs2
Brick XL/XL2
X4000
BGO494.bgp
Brick XMP
BRK521P1.xl
B6205P01.x4a
Bingo! DSL
BRK521P1.XP
Netracer
X3200
B6205P01.bgd
Brick XM
NR494P1.zip
B6205P01.zip
BrickWare u. Configuration Wizard
BRK511.xm
XCentric
X2100/2300
BW625.exe
BRK521P1.xm2
XC533.xcm
B6205P01.x2c
MODULE14.xcm
X1000 / 1200
NLMDISK.zip
B6205P01.x1x
NetWare Administrator Snap-In-Modul
HOTLINE
Mit dem Backup Exec Snap-In-Modul können Sie administrative Funktionen über das NetWare-AdministratorDienstprogramm von Novell vornehmen. Das Snap-InModul wird während der Backup Exec-Serverinstallation
installiert. Mit seiner Hilfe können Benutzer mit
NetWare-Administratorstatus Backup Exec-Administratoren zuweisen, sich Informationen zu Backup ExecObjekten anzeigen lassen oder Objekte entfernen sowie das Schema erweitern
Zuweisen von Backup Exec-Administratoren
Backup Exec-Administratoren sind Benutzer mit umfassenden Berechtigungen für das Backup Exec System.
Nur NetWare-Administratoren können Backup Exec-Administratoren zuweisen. Dies ist vor allem dann nützlich, wenn Benutzer erweiterte Berechtigungen benötigen, jedoch keine NetWare-Administratorrechte erhalten sollen. Die Backup Exec-Administratoren wiederum haben keine erweiterten NetWare-Rechte, jedoch
können sie Auftragsprotokolle und Kataloge, die nicht
ihnen gehören, anzeigen, ohne NetWare-Administrator
sein zu müssen. Die Backup Exec-Administratoren können auf alle Auftragsprotokolle zugreifen, ihre eigenen
Medienrotationsaufträge senden, Sicherungsaufträge
mit der Auslagerungsmethode senden und auf alle
Kataloginformationen zugreifen. Die Backup Exec-Administratoren werden im Dialogfeld Eigenschaften für
das Backup Exec-Warteschlangenobjekt hinzugefügt.
Backup Exec-Objekte
Es gibt zwei Backup Exec-Objekte, das Auftragsserverobjekt und das Auftragswarteschlangen-Objekt. Diese
werden im NDS-Modus in demselben Kontext wie das
Serverobjekt erstellt. Im Bindery-Emulationsmodus werden sie im ersten, in der Aussage Set Bindery
Context der Datei AUTOEXEC.NCF aufgelisteten Kon-
text erstellt. Wenn mehr als ein Medienserver-Objekt im
Kontext vorhanden ist, wird nur ein einziges Backup Exec
Auftragsserverobjekt erstellt. Hingegen werden mehrere Auftragswarteschlangen-Objekte erstellt, eines pro
Medienserver. Dateiserver, die sich in diesem Kontext
befinden und keine Medienserver sind, werden nicht
mit Backup Exec Objekten verknüpft.
Löschen Sie das Backup Exec Auftragsserverobjekt oder
Backup Exec Auftragswarteschlangen-Objekt nur dann,
wenn Sie vom Technischen Support dazu aufgefordert
werden.
Erweitern des Schemas
Das Schema muß in jeder NDS-Struktur erweitert werden, in der Backup Exec installiert werden soll, bevor
die Auftragsserver- und Auftragswarteschlangen-Objekte erstellt werden können. Die Schemaerweiterung ist
Teil des Installationsprozesses. Sollte jedoch bei der
Installation ein Problem auftreten und dieser Prozeß
nicht abgeschlossen werden, so können Sie das Schema in der NDS-Struktur manuell für die Auftragsserverund Auftragswarteschlangen-Objekte erweitern.
Nach dem Erweitern des Schemas muß die NDS-Struktur synchronisiert werden, bevor Backup Exec zum ersten Mal ausgeführt werden kann. Weitere Informationen zur Synchronisierung finden Sie in der NetWareDokumentation. Um das Schema mit NWAdmin bei installiertem Backup Exec-Snap-In zu erweitern, wählen
Sie im Menü Extras die Option Backup Exec Dienstprogramme / Schema erweitern aus. Sie können das
Schema jeder NDS-Struktur erweitern, für die Sie
Schreibrechte zum Basisverzeichnis haben. Ist das
Schema bereits erweitert worden, wird eine Meldung
angezeigt, die alle bereits erstellten Erweiterungen enthält. Wird ein Fehlercode zurückgegeben, sollten Sie
die NetWare Administrator-Hilfe konsultieren.
Patches
11
Ausgabe 11/2002
36
Für Windows v. 8.6
Für Windows v. 8.5
Für NetWare v. 8.5
Installation
Installation
Installation
BNT86I02_241044.EXE (3878) (dt.)
BNT85I02_23585.EXE (dt.) (3572 rc9)
B85P00_245899.EXE (194.1)
BNT86I03_241035.EXE (3878) (engl.)
BNT85I03_235770.exe (engl.) (3572 rc9) EXECV3176ENG_245515.EXE (engl.)
RAIDDIRECTOR_233163.EXE
EXECV3176DEU_245538.EXE (dt.)
X420021031U2_251237.CAB
Patches
Patches
BNT86LNCALL_249879.EXE (3878)
DAT-4228_251238.ZIP
OFO_237_BENW_247849.EXE
BNT86GRMFIX_249358.EXE (3878)
X420021031U2_251237.CAB
BESRVRUP.EXE (engl.)
BNT86SHRPT_248868.EXE (3878)
PSMKEY_246315.EXE
BNT86SELECTFIX_246764.EXE (3878)
BNT85XCHFIX_244073.EXE (3572 rc9)
Treiber
BNT86IDRSP2_249305.EXE (3808 + 3878)
BNT85SYSFIX_242765.EXE (3572 rc9)
B850DV15_248047.EXE
BNT86IDRFIX_249618.EXE (3878)
BNT8XVIRUPD_240051.EXE
TIMEOUT.EXE
BNT86BEMCMD_249735.EXE (3878)
BNT85OFOFIX_239866.EXE (3572 rc9)
Patches
BNT86BEMCMD_248869.EXE (3878)
BNT85CATFIX_238991.EXE (3572 rc9)
Agenten
BNT86INMPART_248864.EXE (3878)
BNT85SSOFIX_236423.EXE (3572 rc9)
NLS_AGNT_242465.TAR
BNT86INFX_248589.EXE (3808 rc5)
MEDIAFIX_234341.EXE (3571)
NLS_AGNT_241420.TAR
PSMKEY_246315.EXE
POST3571_232826.EXE
BEORANW_241399.EXE
BNT86OFOFIX2_245401.EXE (3878)
Treiber
OS2AGENT.EXE
BNT86XCHFIX_243897.EXE (3878)
BNT85IDRV29a_237727.EXE
DOSAGENT.EXE
3808HF9_241122.EXE (3808 rc5)
BNTIDRV29_236293.EXE
MACAGENT.EXE
BNT86SQLFIX_239493.EXE (3808)
Agenten
Utility
BNT86SYSFIX_239551.EXE (3808 rc5)
AGORACLE_242760.EXE
ALLTOOLS_247493.EXE
BNT86TSMFIX_239160.EXE (3808 rc5)
NLS_AGNT_241420.TAR
BENTTOOL_240872.EXE
BNT86CMDFIX_239162.EXE (3808 rc5)
NWAA191_236656.EXE
BNT86SQLFIX2_246317.EXE (3878)
WIN9X_AGENT_239813.EXE
BNT86OFOFIX_239867.EXE (3808 rc5)
AG9X021_234221.EXE
Dokumente
AG9X021E_234213.EXE
WINNTAGT_230560.EXE
Utility
247712.PDF
BENTTOOL_240872.EXE
ADMIN_241115.PDF
AGORACLE_242760.EXE
Dokumente
AGENT_ACCEL_WP_233287.PDF
NLS_AGNT_241420.TAR
EXPORERFINE_233486.OPR
NWCLUSTER_233285.PDF
Treiber
BNT86IDRV34_250034.EXE
Agenten
247711.PDF
BNT86NW6_246316.EXE
ADMIN_241117.PDF
NWAA191_236656.EXE
Für NetWare v. 9.0
Utility
Installation
Treiber
BENTTOOL_240872.EXE
B90PNLS_249557.EXE (4172.2)
B90PV128TC7200_250461.EXE (4172)
EXECV3176ENG_245515.EXE (engl.)
B90DV02_249913.EXE (4172)
EXECV3176DEU_245538.EXE (dt.)
Agenten
NLS_AGNT_241420.TAR
Patches
Nur die neusten NW und
NT Versionen, nur Intel
CPU’s (kein Alpha), nur
englisch und deutsch,
wenn vorhanden.
rot
grün
SECPATCH_249722.EXE (4019/4170)
Utility
OFO_237_BENW_247849.EXE
ALLTOOLS_247493.EXE
BENTTOOL_240872.EXE
seit unserer letzten Veröffentlichung neu
hinzugekommen
Technik News Service-CD
blau
gelb
11
Ausgabe 11/2002
37
aus Platzgründen nicht mehr auf der Monats-CD
auf der letzten Service CD
h
HOTLINE
Neue Patches in der Übersicht
Backup Exec 8.5 und 9.0
für Novell NetWare
B90PV128TC7200_250461.EXE (4172) (NLS)
In dieser Datei ist ein Device Treiber Update für das
Driver Set 02 enthalten, welches ein Problem bei Dell
PV-128t und HP C7200 Fibre Atteched Tape Libraries
löst. Die Fehlermeldung lautet: The on-media
catalog detected an invalid set map.
(24618). Die Probleme treten nur in Verbindung mit
den Firmeware Versionen 1.31.D, 1.36.D und 1.40.D
bei Libraries mit integrierter Fibre to SCSI Bridge auf.
B90DV02_249913.EXE (4172) (NLS)
Dieses ist das aktuelle Driver Set nur für die Version 9
Build 4172.
Backup Exec 8.5 und 8.6
für Windows NT /2000
X420021031U2_251237.CAB (8.5/8.6)
In dieser Datei befindet sich der Backup Exec Virus
Protection File für Oktober. Um die Datei zu extrahieren, müssen die über die Kommando Zeile die Syntax
Extractcab /Y /e <Dateiname> eingeben. Für
ein automatisches Update muß eine Internetverbindung
bestehen. Über den Menüpunkt Tools in Backup Exec
kann man dann auf Update Virus Protection
Files gehen, um die Aktualisierungen down zu laden.
BNT86LNCALL_249879.EXE (3878) (NLS)
HOTLINE
Der Hotfix Nr. 34 für die Version 8.6 Build 3878 behebt
die Meldung Unable to attach to Server
name c:. The item could not be opened
while in use.” Der Fehler tritt auf bei dem Versuch, einen Lotus/Domino Notes Server zu sichern. Die
enthaltene Date Lnrpcsrv.dll ist auf dem Media
Server bzw - wenn verwendet - auf dem Remote Server
zu ersetzen.
BNT86GRMFIX_249358.EXE (3878) (NLS)
Der Hotfix Nr. 13 für die Version 8.6 Build 3878 behebt
den Fehler, daß ein Archive Job die Dateien löscht, die
über einen Mount Point erreicht werden.
BNT86IDRV34_250034.EXE (NLS)
In dieser Datei ist sowohl das aktuelle Device Treiber
Release 20020812 als auch das aktuelle Autoloader
Release 34 für Backup Exec Version 8.6 enthalten. Nach
dem Aufruf der Datei haben Sie die Möglichkeit, über
Update Tape Device Drivers sowie Update
Robotic Library Drivers die Treiber zu aktualisieren. Wenn die Intellegent Disaster Recovery (IDROption) verwendet wird, muß auch diese über den neuen DRPrepWizard.exe aktualisiert werden.
BNT86IDRSP2_249305.EXE (3808 + 3878) (engl.)
Der Hotfix Nr. 32 für die Version 8.6 Build 3808 und
3878 behebt den Fehler, daß ein System-Wiederherstellen fehlschlägt, wenn ein IDR Bootbares Medium mit
Windows 2000 Service Pack 2 verwendet wird. Der
Hotfix muß eingespielt werden, bevor das Bootmedium
erzeugt wird.
BNT86INMPART_248864.EXE (3878)
Der Hotfix Nr. 9 für die Version 8.6 Build 3878 behebt
das Problem, daß die Sicherung hängt, wenn mehrere
Instanzen von Lotus Domino/Notes Servern gesichert
werden.
BNT86SHRPT_248868.EXE (3878) (NLS)
Der Hotfix Nr. 25 für die Version 8.6 Build 3878 behebt
ein Connection Lost, wenn man SharePoints wiederherstellen möchte und dieses über ein Umleiteten
geschieht. Außerdem kann man nach Einsetzen des
Hotfixes vom Media Server aus wieder das Netzwerk
durchsuchen, ohne die Datei Bedsmdoc.dll umbenennen zu müssen.
Tip: Um den Kommunikations-Timeout zu erhöhen, muß
via Regedit unter
HKLM\Software\
VERITAS\Backup Exec\Engine\Exchange folgendes eingetragen werden:
Value = SPS Timeout
Radix = Decimal
Data Type = (REG_DWORD)
Data = in milliseconds
Wenn der SharePoint Portal Server ein Remote Server
ist, muß der Remote Agent Timeout angepaßt werden,
Dieses geschieht unter den Registry Einträgen:
HKEY_LOCAL_MACHINE\SOFTWARE\VERITAS\Backup
Exec\Engine\Agents\ReceiveTimeout
HKEY_LOCAL_MACHINE\SOFTWARE\VERITAS\Backup
Exec\Engine\Agents\SendTimeout
Weitere Hinweise zu diesem Problem finden Sie unter:
http://seer.support.veritas.com/docs/
236368.htm sowie http://seer.support.veri
tas.com/docs/247489.htm.
Patches
11
Ausgabe 11/2002
38
298848.exe 279 KB
Patch für den Novell Client 4.83 für
Windows NT/2000 und XP verhindert, daß Druckereinstellungen bei
einer erneuten Druckerverteilung
überschrieben werden. Es konnten
keine Windows Dr uckereigenschaften für ZenWorks NDPS-Drukker gespeichert werden. Fehler beim
Anzeigen aller Drucker und Probleme mit korrupten Konfigurationsdateien sind behoben.
309392.exe 97 KB
Dieser Patch soll Performance Probleme des Novell Clients 4.8.3 SP1
für Windows NT/2000 und XP mit
Pure IP beheben, insbesondere für
Datenbanken über IP, IP-Drucker
und generelle Performance Probleme unter Pure IP (s. TID 10072565).
311632.exe 292 KB
Neue Version des NWFS.sys vom
30. August 2002 für den Novell
Client 4.8.3 SP1 für Windows NT/
2000 und XP.
AFPLIC2.exe 345 KB
Dieses Update korrigiert Verbindungsproblem zu Macintosh Usern,
die mittels AFP auf einen NW 6 Server mit SP2 zugreifen.
BM37UPN2.exe 1506 KB
Patch für das URL-Filtering des
Bordermanager 3.7 für den
DrittaAnbieter N2H2 Surf Control.
DNSDHCP1.exe 1040 KB
Patch für den Novell DNS/DHCPServer. Folgende Fehler werden be-
hoben. Beim Datenexport wurden
nicht alle IP-Adressen übernommen.
Es fehlten die Adressen, bei denen
das dritte Octet identisch war zur
vorherigen Adresse in der gleichen
Zone. Wenn Sie eine manuell zugewiesene IP-Adresse anlegen, welche
zwischen zwei bereits definierten
Bereichen liegt, wird diese in
ConsoleOne nicht mehr angezeigt.
PKI202B.exe 447 KB
Dieses PKI Update für die Netware
5.1 nur einspielen, wenn Sie Web
Sphere Standard (von der NW 5.1)
auf OnDemand v1.0 installiert haben. In diesem Fall werden älteren
Versionen des P K I . n l m und
PKIAPI.nlm vom System verwendet. Oder aber wenn Sie einen NW
5.1 Server in einem gemischten Tree
installieren möchten, und der neue
Server eine NDS 8 hat, denn dann
kann es am Ende des File Copy zu
einem Installation Error
kommen: An error occurred
while
getting
the
required information from
the server that hosts the
Certificate Authority...
NAASUPD2.exe 784 KB
Update für Novell Advanced Audit
Service der NW 6.0 nach SP 1.
NETDRV41.exe 5629 KB
Mit NetDrive können Sie Laufwerke auf einem NW 6 oder iFolder
Server mappen, ohne Novell Client
installiert zu haben. Mit dieser Version 4.1 lassen sich auch Laufwerke zu iFolder Server v2.0 mappen.
NICI24CPK.exe 4337 KB
Dieses Update der NICI-Services für
eine erweiterte Verschlüsselung für
ZenWorks for Servers 3.0 ist nur
dann nötig, wenn mit Solaris oder
Linux Servern gearbeitet werden
soll.
NIPP104.exe 2566 KB
Diese neue Version 1.04 des iPrint
Clients behebt ein Problem auf einem Windows XP Rechner mit SP1.
Es konnte kein Drucker installiert
werden wie in TID 10074952 beschrieben. Weiterhin wurden behoben: Probleme mit Dokumentennamen oder Namen mit mehr als
1024 Zeichen sowie Fehler -267 bei
einem HP Deskjet 950C auf
Windows 2000.
NW51_ISS.txt
Bugreport Datei des SP 5 der
Netware 5.1.
NW6NBI1A.exe 125 KB
Update des Modules NBI.nlm nach
der Installation des SP2 der NW6
behebt das Problem eines CPU HOG
Abends auf Cluster Enabled NW6
Servern.
Z3INVMP.exe 744 KB
Patch für den ZenWorks for
Desktops 3.2 Inventory Agent. Dieser hatte Probleme auf NW Servern
mit Multiprozessor-Technik und
mehreren gemounteten Volumes.
ZFS3SP1MANW5.exe 165 KB
Server Management Agent NLM für
ZenWorks for Servers v3.0 mit SP1.
Q324096_W2K_SP4_X86_DE.exe 874 KB
Q324380_W2K_SP4_X86_DE.exe 236 KB
Das Security Update für Windows 2000 in der deutschen
Version behebt Buffer Overrun in SmartHTML
Interpreter.
Das Security Update für Windows 2000 in der deutschen
Version behebt Cryptographic Flaw in RDP.
Q324380_W2K_SP4_X86_EN.exe 234 KB
Q324096_W2K_SP4_X86_EN.exe 871 KB
wie zuvor für englische Version
wie zuvor für englische Version
11
Ausgabe 11/2002
39
h
HOTLINE
B6205P01.bgd 969 KB
B6205P01.zip 138 KB
Mit Patch 1 der System Software
Version 6.2.5 für BinGO! DSL wurde die Firewall Funktionen des
Safernet um Stateful Inspection erweitert. Hiermit geht der Status einer Verbindung mit in die
Routingentscheidung ein. Verbindungen ins Internet können nur aus
dem eigenen Netz gestartet werden.
wie zuvor für Bintec X3200
B6205P01.x1x 139 KB
wie zuvor für Bintec X1000 und
X1200
B6202P01.x2x 164 KB
wie zuvor für Bintec X2100 und
X2300
B6202P01.x4x 164 KB
wie zuvor für Bintec X4000
BW625.exe 9104 KB
Auf der CD zu BRICKware for
Windows Release 6.2.5 bzw. in der
BRICKware finden sich neue Funktionen bei der HP-OpenView-Integration und dem Activity Monitor.
Änderungen wurden vorgenommen
bei dem Setup, der Wizard-Unterstützung, den Lizenzen in Release 6.1.2
und höher sowie bei den DIME
Tools. Die Companion CD kommt
mit Acrobat Reader 5. In Release
6.2.1 und 6.2.5 der BRICKware for
Windows wurden Probleme mit
Activity Monitor und DIME Tools
(ISDN Trace) gelöst.
Bekannte Probleme
Der Activity Monitor im Release
6.2.1 zeigt unter Windows XP folgende Fehlverhalten. Die Icons in
der Taskleiste werden nicht korrekt
dargestellt. Aktiviert man die Ausblendung inaktiver Router, so können auch die Icons aktiver Router
aus der Taskleiste entfernt werden.
Bei der Verwendung der Schnellen
Benutzerumstellung (Fast User
Switching) unter Windows XP kann
der Activity Monitor zwar von allem Benutzern gestartet werden, die
Informationen werden aber nur einem der Benutzer angezeigt.
Hardware: Wechsler und Travan-Geräte
HOTLINE
Wechsler müssen so konfiguriert sein, daß der Transportarm die erste ID einnimmt und die Laufwerke im
Wechsler IDs in aufsteigender Reihenfolge haben. Alle unabhängigen Laufwerke müssen außerdem SCSIIDs haben, die vor der ID des ersten Transportarms liegen. Bei LUN-basierten Wechslern hat der Transportarm dieselbe SCSI-Adresse wie das Laufwerk, jedoch eine unterschiedliche LUN. Wenn Sie einen solchen
benutzen, müssen Sie sicherstellen, daß NWASPI.CDM nicht geladen ist, andernfalls nimmt es den Transportarm voll in Anspruch, und Backup Exec sieht den Transportarm gar nicht.
Wenn Sie NetWare 6 benutzen und BECDM.CDM oder NWASPI.CDM entladen, müssen Sie manuell eine Anfrage
zum Durchsuchen nach neuen Geräten an die Konsole schicken, bevor Sie das CDM neu laden. Wenn dies
nicht geschieht, sieht Backup Exec den Wechsler nicht, und beim Starten wird SureStart-Fehler 1056 ausgegeben: Beim Warten auf die Initialisierung von BESRVR.NLM trat eine Zeitüberschreitung
auf. Einige ältere Travan-Geräte unterstützen die Blockgröße 2048 Byte nicht, die eine Mindestvoraussetzung
für Backup Exec for NetWare 9.0 ist. Es wurden Änderungen vorgenommen, so daß Backup Exec diese Geräte
weiterhin unterstützt. Daten älterer Versionen von Backup Exec können jedoch nicht mit der vorliegenden
Backup Exec-Version wiederhergestellt werden. Eine detaillierte Liste der betroffenen Geräte finden Sie in der
Liste der unterstützten Hardware unter http://support.veritas.com/.
Microsoft
Q324096_W2K_SP4_X86_DE.exe 874 KB
Q324096_W2K_SP4_X86_EN.exe 871 KB
Q324380_W2K_SP4_X86_DE.exe 236 KB
Q324380_W2K_SP4_X86_EN.exe 234 KB
Novell
298848.exe 279 KB
309392.exe 97 KB
311632.exe 292 KB
AFPLIC2.exe 345 KB
BM37UPN2.exe 1506 KB
BW625.exe 9104 KB
DNSDHCP1.exe 1040 KB
NAASUPD2.exe 784 KB
NETDRV41.exe 5629 KB
NICI24CPK.exe 4337 KB
NIPP104.exe 2566 KB
NW51_ISS.txt
NW6NBI1A.exe 125 KB
PKI202B.exe 447 KB
Patches
Z3INVMP.exe 744 KB
ZFS3SP1MANW5.exe 165 KB
BinTec
B6202P01.x2x 164 KB
B6202P01.x4x 164 KB
B6205P01.bgd 969 KB
B6205P01.x1x 139 KB
B6205P01.zip 138 KB
11
Ausgabe 11/2002
40
BINTEC
X-Router Software v6.22
Teil 3: Die wichtigsten Bugfixes
Von Hardy Schlink
Wir haben Ihnen die neuen Sicherheits-Features und die Neuerungen der System-Software 6.22 vorgestellt. Nachzutragen wären noch die Bugfixes. Wir haben die wichtigsten Fehlerbehebungen zusammengestellt und sagen Ihnen
kurz und knapp, was inwischen wieder klappt.
I
Im Zusammenhang mit der Verarbeitung von SNMP-Requests ergab sich
durch eine Schwachstelle im SNMPProtokoll eine gewisse Anfälligkeit
unter der System-Software 6.12. Die
Ausnutzung der Schwachstelle konnte zum Absturz bzw. Reboot der
Router führen. Sie ist nun behoben.
Info hierzu unter: h t t p : / /
www.cert.org/advisories/CA2002-03.html.
Syslog-Level
Wurde in der Router-Konfiguration
der Wert Debug als Syslog-Level eingestellt, so stürzte das Gerät nach dem
Empfang sogenannter All-Zero-Pakete ab. Behoben wurde dieses Problem
in den Syslog-Messages.
Backroute Verification
Es bestand bislang die Möglichkeit,
daß die Backroute-Verification-Funktion IPSec-Pakete ausgesonderte. Als
Quell-Interface eines IPSec-Paketes
wurde fälschlicherweise diejenige
Schnittstelle angenommen, von der
das ursprüngliche Paket stammte.
Wurde das IPSec-Paket über ein anderes Interface als das Quell-Interface
geroutet, und IPSec-Pakete werden
über alle verfügbaren Interfaces übertragen, so kam es zu jener Konfliktsituation mit der Backroute
Verification. Dieses Fehlverhalten
wurde dahingehend beseitigt, daß
nun ein Routing von IPSec-Paketen
in jedem Fall über beliebige Interfaces möglich ist.
Flash-ROM
Bislang konnte es zur Beschädigung
der Daten im Flash-ROM des Routers
kommen, wenn die Stromversorgung
bei den Geräten X8500 und X4000
getrennt oder neu hergestellt wurde.
Gelöst wurde das Problem, indem nun
die entsprechenden Daten durch Sector-Lock-bits geschützt werden.
Logik-Update
Es konnte vorkommen, daß bei einem
Logik-Update die MAC-Adresse der
Ethernet-Schnittstelle, die Seriennummer und ein Teil der Konfiguration des Routers gelöscht wurde. Die
genannten Bereiche bleiben nun unangetastet, so daß keine Daten mehr
entfernt werden.
Kompatibilität
Nach einem Update auf die SystemSoftware 6.22 war es bisher nicht mehr
möglich, wieder ein älteres Image einzuspielen. Die Ursache dieses Problems liegt am Schreibschutz der
Release 6.22. Ältere Software war
nicht in der Lage, Daten der Version
6.22 zu modifizieren.
Auch dieses Problem wurde behoben,
indem die Update-Shell und der
Boot-Monitor nun die Software-Version überprüfen, und nur noch die
Daten der 6.22 mit einem Schreibschutz versehen.
11
Ausgabe 11/2002
41
SNMP-Shell
Sollte das Einloggen in die SNMPShell mit einer nicht vorgesehenen
SNMP-Community (admin, read,
write) durchgeführt worden sein, so
wurde anschließend eine Endlostabelle mit Nullen angezeigt. Der
Fehler wurde beseitigt. Ab sofort erfolgt die Anzeige einer Fehlermeldung, die besagt, daß die spezifizierte Community nicht existiert.
IP PMTU Discovery
Wurde das IP-Accounting auf einem
BinTec-Router eingeschaltet, so funktionierte die PMTU Discovery (Path
Maximum Transfer Unit) nicht ordnungsgemäß. Verursacht wurde das
Problem, weil der PMTU-Discovery
Prozeß bei fragmentierten Paketen z.B. bei Access-Control oder NAT nicht davon ausging, daß diese auf
der Verbindung wieder zusammengefügt werden. Aus diesem Grund kam
es zu Schwierigkeiten mit dem Don´tFragment-Bit, welches Verwendung
findet, um kleinere Einheiten als die
errechnete PMTU zu markieren. Dadurch, daß nun dieses Bit beim Zusammenfügen der Paketfragmente
gelöscht wird, existiert der erwähnte
Fehler nicht mehr.
Zur Systems stellte BinTec mit der
Stateful Inspection Firewall eine
abermalige Erweitertung der
Sicherheitsfunktionen in den Routern
der X-Generation vor. Die Firewall
wird bereits mit dem kommenden Release 6.2.5 verfügbar sein, das bei Redaktionsschluß für Mitte Oktober angekündigt war.
h
HOTLINE
CISCO
Tunnel-Anschluß
Cisco VPN-Client 3.6
Von Jörg Marx
Die Cisco IOS-Software unterstützt elementare und erweiterte Funktionen für die umfassende Netzwerksicherheit.
Dazu zählen u.a. Zugriffskontrolllisten, Benutzerauthentisierung oder die Autorisierung. Uns stehen dabei diverse
Protokolle und Services zur Verfügung, z.B. PAP/CHAP, TACACS+ und RADIUS sowie eine umfassende Unterstützung
für VPNs mit Verschlüsselung. Wir wollen Ihnen zeigen, wie Sie den VPN-Client konfigurieren müssen, um mit einem
Cisco IOS Router sicher zu kommunizieren.
U
Um die Sicherheit zu erhöhen, schützt die integrierte Cisco
IOS-Firewall interne LANs mit Hilfe von Context-Based
Access Control (CBAC) vor Angriffen. IPSec mit Data
Encryption (DES) oder Triple DES (3DES) stellt eine
standardbasierte Lösung dar, die bei Datenströmen, die
durch ein öffentliches Netzwerk geleitet werden, Vertraulichkeit, Integrität und Authentizität gewährleistet. Das
Layer 2 Forwarding (L2F) und Layer 2 Tunneling Protocol
(L2TP) bieten in Verbindung mit der IPSec-Verschlüsselung eine sichere Multiprotokolllösung für FernzugriffsVPNs, für IP, IPX, AppleTalk oder IBM SNA. Mobile Benutzer wählen den lokalen Point of Presence (POP) eines
Serviceproviders an, wobei die Daten zurück zum Cisco
Router getunnelt werden. Denn sie werden innerhalb eines zweiten Protokolls wie etwa L2TP verkapselt, damit
über das Internet sicher auf das Unternehmensnetzwerk
zugegriffen werden kann.
HOTLINE
Features des Cisco VPN-Client 3.6
- Support für Windows 95 (OSR2+), 98, ME, NT 4.0, 2000, XP,
sowie Linux (Intel), Solaris (UltraSparc 32- bzw. 64-bit) and
MAC OS X 10.1
- MSI (WIN Installer) Pakete verfügbar für NT, 2000, und XP
- Intelligent Peer Availability Detection
- Simple Certificate Enrollment Protocol (SCEP)
- Datenkompression (LZS)
- Command-line Option für Verbindungsstatus
- Konfigurationsdatei mit Option-Locking
- Support für Microsoft Network Login (alle Plattformen)
- Domain Name System mit DDNS/DHCP Computernamen
Population, Split DNS, Windows Internet Name Service (WINS),
und IP Adreßzuweisung
- Load Balancing und Backup-Server-Unterstützung
- Policies (inkl. Backup Server List)
- Integrierte Personal Firewall (Stateful Firewall):
Zone Labs Technology (nur Windows-Version)
- Personal Firewall Enforcement: Zone Alarm, BlackIce
(nur Windows-Version)
- Integration der iPass Remote Access Client Software, mit
One-Click (single sign-on), VPN Auto-Teardown, und Windows
Pre-Login support (nur Windows-Version)
- Auto-Initiation des Client Login für Wireless-LAN
VPN Remote Clients
Ein Remote Client ist ein Notebook oder ein einzelner
Rechner, der sich in das Internet einwählt, und der über
einen VPN Tunnel die Verbindung in das zentrale Netzwerk herstellt. Hierzu wird auf dem System einVPN Client
benötigt, der die Verschlüsselung durchführt. Microsoft
liefert mit dem Windows Betriebssystem einen PPTP VPN
Client direkt mit. Auf diese Weise können VPN mit MS
Windows Remote Systemen sehr bequem mit PPTP aufgebaut werden. Für das sicherere IPSec wird eine speziell
zu installierende Client Software benötigt, die in der Regel von den Herstellern der jeweiligen zentralen VPN
Gateways geliefert wird. Viele IPSec Remote Clients bieten zusätzlich eine ”private” Firewall-Funktionalität für
den Einzelrechner.
Cisco VPN-Client
Die meisten IPSec Clients funktionieren nicht mit
Gateways anderer Hersteller als Endpunkt. Es gibt allerdings universelle IPSec Client Software, die mit allen
gängigen Routern, Firewall Systemen und Standalone
Gateways klar kommt. Die Version 3.6 des Cisco VPNClient unterstützt alle drei VPN-Lösungen von Cisco. Das
sind namentlich die Cisco VPN 3000 Series Concentrator
Version 3.0 und folgende, dann die IOS Software-based
Platforms der Version 12.2(8)T und folgende sowie die
PIX Firewall Version 6.0 und folgende. Wir wollen im
folgenden sehen, wie wir den VPN-Client konfigurieren
müssen.
Konfiguration
Der erste Schritt ist die Konfiguration des Cisco Routers.
Sie sollten darauf achten, daß die IOS-Version mindestens
die 12.2(8)T ist. Weiterhin sollte im Feature Pack wenigstens eine DES-Verschlüsselung enthalten sein, besser ist
natürlich 3DES.
11
Ausgabe 11/2002
42
Cisco Router
VPN-Client
Kommen wir zur eigentlichen Konfiguration im IOS. Die
folgenden Kommandos zeigen lediglich die Änderungen
für die VPN-Client-Konfiguration. Der erste Befehl aktiviert die AAA User- und Gruppen-Authentifikation. Die
User-Datenbank wie auch die User-Gruppen werden auf
dem Cisco Router selbst geführt. Es folgt die Definition
eines lokalen Users, in unserem Beispiel der User cisco
mit dem Paßwort cisco.
Der Client wird installiert durch Aufruf der Setup-Routine. Während dieses Vorgangs werden Sie lediglich aufgefordert, den IPSEC Policy Agent von Windows 2000 zu
beenden. Das müssen Sie auch tun, da sonst die Installation des Cisco VPN-Clients abbricht. Gehen Sie nun über
Start / Programme auf den Cisco VPN-Client. Hier
erzeugen Sie mit dem VPN-Dialer einen neuen Eintrag. In
den ersten beiden
Fenstern wird der Abb. 1: Eintragen des Dialer-Namen
Name des Dialer und
die IP-Adresse des
Outside Interface des
Cisco Routers der
Zentrale eingetragen
(vgl. Abb. 1 und 2).
Im nächsten Fenster
werden die VPNGruppeninformationen hinterlegt, das sind der
VPN-Gruppenname - in unserem Fall 3000
client - und
das Paßwort
(vgl. Abb. 3).
Jetzt können Sie
die Konfiguration des neuen
Dialer abschließen, über Fertig stellen
wird der Eintrag
Abb. 2: Eintragen der IP-Adresse der Ziel-Router
angelegt. Beim
Anwählen des Dialer werden Sie noch nach einem UserNamen und einem Paßwort gefragt. In unserem Beispiel
war das der User cisco mit dem Paßwort cisco.
Nun befinden Sie sich mittels eines VPN-Tunnels mit Ihrem Remote PC im Netzwerk der Zentrale. Über den Punkt
Options auf dem
Dialer haben Sie die Abb. 3: Definition des Gruppennamens und
Möglichkeit, weite- des Keys
re Einstellungen an
dem Client vorzunehmen. Zum einen
läßt sich hierüber
die implementierte
Statefull Firewall
schalten, der Default
ist ”an”. Zum anderen können wir hier
den Zugriff auf die
lokalen Laufwerke
des Client erlauben
oder verbieten, Default ist ”verboten”.
aaa new-model
aaa authentication login userauthen local
aaa authorization network groupauthor local
aaa session-id common
username cisco password 0 cisco
Nach dem Anlegen der Internet Security Association und
des Key Management Protocol (ISAKMP) folgt die Policy
für Phase 1 für den Zugang des VPN 3.6 Clients. Die Verschlüsselung ist auf 3DES eingestellt, das Key Management ist Pre-Share:
crypto isakmp policy 3
encr 3des
authentication pre-share
Beim Anlegen einer Gruppe 2 für den BVPN-Client-Zugang, werden in dieser Gruppe der WINS-Server, die DNS
Server, die Adresse und der Pre-Shared Key bestimmt:
group 2
crypto isakmp client configuration
group 3000client
key cisco123
dns 10.10.10.10
wins 10.10.10.20
domain cisco.com
pool ippool
Es folgt die Definition des Transform-Sets für die Phase 2:
crypto ipsec transform-set
myset esp-3des esp-md5-hmac
Nach dem Anlegen der Dynamic Map für den VPN-Client
und dem Festlegen des zu verwendenden Transform-Set
werden User und Gruppen zur Crypto-Map zugewiesen:
crypto dynamic-map dynmap 10
set transform-set myset
crypto map clientmap client
authentication list userauthen
crypto map clientmap isakmp
authorization list groupauthor
crypto map clientmap client
configuration address respond
crypto map clientmap 10
ipsec-isakmp dynamic dynmap
Die Crypto-Map selbst wird auf das Outside Interface zugewiesen:
interface Ethernet0/0
ip address 12.18.12.159 255.255.255.0
half-duplex
crypto map clientmap
Zum Schluß wird der IP-Adreß-Pool für die Zuweisung
der VPN-Clients angelegt.
ip local pool ippool 14.1.1.100 14.1.1.200
Damit haben wir alle Konfigurationspunkte abgedeckt,
die zur Einwahl des VPN-Clients 3.6 nötig sind. Kommen
wir jetzt zur Installation und Konfiguration des Cisco VPNClients Version 3.6.
11
Ausgabe 11/2002
43
h
HOTLINE
MICROSOFT
Vergeben und vergessen ?
Windows 2000 Terminal Server Lizenzen
Sicherlich haben auch Sie schon vor der Aufgabe gestanden, daß Lizenzen der Windows 9x Stationen wieder freigegeben werden sollten, damit andere diese benutzen können. Doch so einfach stellt sich die Sache unter den Windows
2000 Terminal Services leider nicht dar. Zwar wird für jede einmal am Terminal-Server angemeldete Workstation eine
Lizenz vergeben, aber diese ist gar nicht so einfach wieder frei zu bekommen.
M
Microsoft Terminal Server gebärden
sich in Lizenzangelegenheiten recht
eigenwillig. Wenn Sie beispielsweise das Betriebssystem eines TerminalServer Client neu installieren, der sich
vorher bereits in die Terminal-Services eingeloggt hat, so werden Sie
nach der Neuinstallation feststellen,
daß die Workstation nun sogar zwei
Lizenzen belegt. Vergeben und vergessen! Denn in solchen Fällen kann
Ihnen nur noch das Microsoft Clearinghouse weiterhelfen. Nur dort ist
man in der Lage, die Terminal Server
Lizenzen nachträglich wieder freizugeben, oder neue zu erhalten, wenn
es Probleme mit dem Einspielen einer offiziellen Lizenz gibt.
HOTLINE
Per Telefon
Sie können das Microsoft Clearinghouse über Telefon, Fax oder Internet
erreichen. Wir empfehlen Ihnen den
telefonischen Kontakt, da hier je nach
Problemstellung ein Gespräch den
Sachverhalt besser klären kann als
über den elektronischen Weg. Hieraus resultiert auch eine schnellere
Bearbeitungszeit. Wir wollen Ihnen
daher zeigen, wie Sie das Microsoft
Clearinghouse telefonisch erreichen
können. Denn auch das will gewußt
sein. Und zwar je nachdem, ob Ihr
Terminal-Services-Licensing-Server
aktiv ist oder nicht.
Aktiv
Wenn Sie bereits den Terminal-Services-Licensing-Server aktiviert haben, gehen Sie wie folgt vor, um die
entsprechende Rufnummer des
Microsoft Clearinghouse passend
zum Land oder zur Region zu finden. Aktivieren Sie über Start /
Programme / Verwaltung die
Terminaldienstelizenzierung.
Führen Sie einen Rechtsklick auf das
Server-Object im rechten Feld des
Programmes aus und selektieren Sie
die Option Eigenschaften. Als
Verbindungsmethode ist dort Telefon auszuwählen. Wählen Sie das
entsprechende Land oder die Region aus und füllen Sie die erforderlichen Felder bezüglich der Firmendaten aus. Zum Abschluß bestätigen
Sie die Eingabe mit OK.
Nach erneutem Rechtsklick auf das
Server-Object selektieren Sie nun die
Option Lizenzen installieren und fahren mit Weiter fort. Die
Rufnummer des Microsoft Clearinghouse wird nun auf dem Bildschirm
angezeigt. Notieren Sie sich die Telefonnummer und beenden die Aktion durch Betätigen des Button Abbrechen.
Wenn Sie die Aktivierungsmethode
wieder in den Originalzustand bringen möchten, so führen Sie einen
Rechtsklick auf das Server-Object aus
und ändern den Wert der Verbindungsmethode entsprechend. Die
Aktion wird mit dem Betätigen des
Menüpunktes OK abgeschlossen.
Nicht aktiviert
Wenn Sie den Terminal-ServicesLicensing-Server nicht aktiviert haben, kommen Sie so an die Rufnummer des Microsoft Clearinghouse Ihres Landes oder Ihrer Region. Sie starten wie oben die Terminaldienstelizenzierung. Nach dem Rechtsklick
auf das Server-Object im rechten Feld
des Programmes selektieren Sie die
Option Server aktivieren, gefolgt von einem Next. Als Verbindungsmethode ist nun Telefon auszuwählen, weiter geht es mit dem
Button Next. Wählen Sie das entsprechende Land bzw. die Region aus.
Nach einem Klick auf Next wird Ihnen die Telefonnummer des Microsoft Clearinghouse angezeigt, welches für Sie zuständig ist. Notieren
Sie sich die Telefonnummer für Ihren
Anruf bei Microsoft Clearinghouse.
Leichter ist doch wohl kein Service
erreichbar, für Fehler, die Sie nicht
verschuldet haben.
11
Ausgabe 11/2002
44
MICROSOFT
SysPrep
Probleme beim Klonen unter Windows 2000/XP
Sie haben von Ihrer Windows 2000 oder Windows XP Installation ein Image-File angelegt, z.B. mit Ghost. Nachdem
Sie das Image auf eine Festplatte der gleichen Workstation, die aber an einem anderen IDE-Controller angeschlossen
wurde, oder auf eine Festplatte in einem anderen System, zurückgespielt haben, wird der nachfolgende Startvorgang
mit einer Fehlermeldung abgebrochen. Das Utility SysPrep kann helfen.
D
DieINACCESSIB LE_BOOT_DE
VICE erscheint, wenn Windows 2000
oder Windows XP nicht in der Lage
sind, Zugriff auf die Festplatte zu erhalten, weil es einen Unterschied
zwischen den Treibern des Quell- und
Destination Computer gibt. Folgende Situationen sind dafür typisch.
Die Quell-Workstation verfügt über
ein Laufwerk, welches nicht auf der
Destination-Workstation existiert.
Versucht nun Windows den ”alten”
Treiber zu laden, so kann es die entsprechende Festplatte für diese Treiber nicht finden, und zeigt obige Fehlermeldung an.
Der Destination-Computer besitzt
Festplatten oder Controller, die nicht
im Quell-Computer installiert sind.
Wenn Windows nun einen Versuch
startet, die neuen Komponenten anzusprechen, so werden diese nicht
gefunden, da die hierfür benötigten
Treiber nicht installiert sind.
Sowohl der Quell- als auch der Destination-PC benutzen denselben Treiber, die Systempartition des Destination-Computer befindet sich aber auf
einer Festplatte, die an einem anderen IDE-Kanal angeschlossen ist, als
im Source-Rechner. Der Zugriff auf
das Laufwerk scheitert, weil die Treiber für den anderen IDE-Kanal noch
nicht installiert sind.
Lösungen
Sie installieren und konfigurieren die
Hardware der Destination-Workstation genau wie die des Quell-Computers, und zwar vor dem eigentlichen
”Klonen”. Eine Alternative ist die
Anwendung des Windows Utility
Sysprep vor dem Klonen, mit dessen Hilfe Sie eine Konfigurationsänderung vornehmen. Für dessen Installation auf dem Quell-Rechner benutzen Sie die SysPrep-Version, die
passend für das Betriebssystem des
Quell-PC ist (Source Drive).
Wenden Sie nicht die SysPrep
Version 1.0 an, die sich auf der
Windows 2000 Installations-CD
befindet. Verwenden Sie stattdessen SysPrep v1.1 für Windows
2000.
Legen Sie eine Sicherungskopie der
Datei SysPrep.inf an, zu finden
im Ordner SysPrep unterhalb des
Windows-Verzeichnisses. Editieren
Sie nun die SysPrep.inf in einem
beliebigen ASCII.Editor. Sollte sich
Ihr Problem auf den IDE-Kanal beziehen, an welchem die Festplatte
angeschlossen ist, so tragen Sie bitte
die folgenden zwei Lines unter der
Sektion [SysprepMassStorage]
ein:
Primary_IDE_Channel =
%windir%\inf\mshdc.inf
Secondary_IDE_Channel =
%windir%\inf\mshdc.inf
Ist die Ursache der Fehlermeldung ein
neuer Festplatten-Controller, so fügen Sie diesen Controller in der genannten Sektion ein. Für die korrekte Syntax benutzen Sie bitte die entsprechenden Dokumentationen des
Festplatten-Controller und SysPrepUtility. Speichern Sie nun die editierte
Datei ab und führen Sie anschließend
SysPrep aus. Legen Sie mit Hilfe
von Ghost das entsprechende Image
an. Als nächster Schritt erfolgt das
Restore des Image auf die neue Festplatte.
Medienserver für Remote Agent for Windows
Für den Einsatz von Remote Agent for Windows NT/2000/XP mit Backup
Exec for NetWare muß Ihr Medienserver die IP-Adresse von Remote Agent
feststellen können. Falls DHCP auf Ihrem Netzwerk benutzt wird, sollen
Sie DNS auf Ihrem NetWare-Medienserver konfigurieren und die entfernten Windows NT/2000/XP-Server hinzufügen. Andernfalls müssen Sie die
IP-Adressen der Windows NT/2000/XP-Systeme in der Datei HOSTS auf
Ihrem NetWare-Medienserver angeben. Wenn sich die Adresse des
Windows NT/2000/XP-Computers ändert, muß die Hosts-Datei aktualisiert werden, bevor der Medienserver wieder mit Remote Agent verbunden
werden kann.
11
Ausgabe 11/2002
45
h
HOTLINE
NOVELL
Ärger mit dem Protokoll?
NetWare 6 und ihre Protokolle
Von Jörg Marx
In der NetWare 6 bietet Novell bei der Installation eines Servers immer noch IP und IPX an. Hat man nun bei der
Installation des NetWare 6 Servers IPX nicht mit aktiviert, bekommt man Probleme, es nachträglich in Betrieb zu
nehmen. Und auch die Änderung des TCP/IP-Protokolls unter NetWare 6 ist schwierig, wenn man nicht weiß, in
welchen Dateien und Konfigurationen eine bereits vergebene IP-Adresse denn überhaupt steckt.
W
HOTLINE
Wurde während der Installation eines
NetWare 6 Servers das Protokoll IPX
nicht aktiviert, wird es im Nachhinein schwierig. Normalerweise würde
man über das Programm INETCFG
einfach den entsprechenden Frame
laden und darauf das IPX-Protokoll
binden. Anschließend würde man das
System reinitialisieren oder ein Server Reboot durchführen, doch beides
würde in der folgenden Fehlermeldung enden: Error: Module
IPXRTR.NLM load status
AUTO FAIL - Public symbol
errors loading IPXRTR.NLM
at boot up. Das hat folgende Ursache. In dem Moment, wo der Server
als IP-Only installiert wird, steht in
der A U T O E X E C . n c f keine
SERVERID. Ohne diese kann man
kein IPX-Protokoll laden, denn sie
wird für die interne IPX-Adresse des
Servers verwendet. Um nun auch IPX
an eine Netzwerkkarte binden zu können, fügen Sie in die AUTOEXEC.ncf
hinter dem FILE SERVER NAME
die Zeile SERVERID xxxxxxx ein
(vgl. Abb. 1). Diese ID muß einzigartig in ihrer IPX-Umgebung sein. Anschließend muß der Server rebooted
werden. Jetzt können Sie wie gewohnt
das IPX mittels INETCFG an eine
Netzwerkkarte binden.
TCP/IP-Adresse ändern
Implementierung des TCP/IP-Protokoll unter der NetWare 6 ist schon
etwas aufwendiger. An diesem Protokoll hängen sehr viele Serverprozesse
und Applikationen. Bei der Installation haben Sie die Möglichkeit, dem
Server bis zu vier IP-Adressen für unterschiedliche Dienste zuzuordnen.
Was aber nun,
wenn sich eine
Abb. 1: Eintragen der Server ID in der Autoexec.ncf
dieser Adressen ändert,
weil Sie z.B.
den Server in
einer
Testumgebung mit
einer Test-IPAdresse installiert haben
und diese nun
ändern müssen. Das berei-
tet ziemliche Kopfschmerzen, da keiner so recht weiß, in welchen Dateien
und Konfigurationen die bereits vergebenen IP-Adressen überall stecken,
so daß ein Ändern schon fast unmöglich erscheint. Hier finden Sie nun
eine Auflistung sämtlicher Dateien
und Konfigurationen in denen eine
IP-Adresse enthalten ist. Mit deren
Hilfe sind Sie in der Lage, die IPAdresse eines NetWare 6 Servers und
der daran angeschlossenen Services
zu ändern. Doch diese Vorgehensweise gilt nicht für NetWare 6 Small Business!
INETCFG
Hier müssen Sie alle TCP/IP-Bindungen ändern. Die statischen bzw.
Default-Routen müssen angepaßt
werden. Statische NAT-Einträge
(Network Address Translation) müssen geändert und der Eintrag des
DNS-Resolvers überprüft werden.
Betriebssystem
Folgende Betriebssystem-Dateien
beinhalten die IP-Adresse des Servers: S Y S : e t c \ h o s t s und
S Y S : e t c \ h o s t n a m e , die
SYS:etc\resolv.cfg kann
auch über die INETCFG konfiguriert
werden, außerdem ist die SYS:NI\
UPDATE\DATA\PortResolverIn
stalled.properties zu chekken. Die SYS:ETC\TRAPTARG.
CFG und die SYS:SYSTEM\TIME
SYNC.CFG verdienen je nach Installation ebenfalls Beachtung.
11
Ausgabe 11/2002
46
AUTOEXEC.ncf
In der AUTOEXEC.ncf müssen Sie
folgende Eintrage prüfen bzw. ändern:
zum einen die Bindings auf die
Netzwerkkarten, die nicht über
INETCFG geregelt werden, zum anderen eventuell vorhandene DefaultRouten und alle Secoundary IP-Adressen auf den Netzwerkkarten.
FTP und DNS/DHCP
Folgende FTP-Server-Dateien beinhalten die IP-Adresse: SYS:ETC\
FTPSERV.CFG und SYS:ETC\
FTPREST.TXT. In der DNS/DHCP
Management Console müssen Sie nur
die entsprechende IP-Range löschen,
die zu der geänderten IP-Adresse des
Servers gehörte. Es gibt keine direkte
Möglichkeit, den DHCP-Server direkt
auf der NetWare Konsole zu editieren.
Doch sind sonst auch keine weiteren
Änderungen hier nötig. Wenn Sie keinen DNS-Server verwenden, müssen
Sie in der Datei SYS:\WEBAPPS\
WEBADMIN\SEVERS.xml die IPAdresse ändern. Auch die SYS:\
WEBAPPS\WEBACCESS\WEBINF\PORTALSERVLET.properties
sollte geändert werden, wenn kein
DNS konfiguriert ist.
Novell Search und
Apache
Bei Novell Search gehen sie an die
SYS:NSEARCH\SITELIST.properties,
bei Apache an die SYS:\APACHE\
CONF\ADMINSERV.conf, in der es
7 Stellen gibt, an der die IP-Adresse
auftaucht und zu ändern ist. Sie finden die Adresse meist im Zusammenhang mit den Kommandos Listen,
Securelisten und Redirect.
Ifolder
Für Ifolder unter SYS:\APACHE\
IFOLDER\SERVER\ sind in der
Datei HTTPD.conf zwei Stellen, an
denen die IP-Adresse zu finden und
zu ändern ist, auch hier finden Sie diese immer im Zusammenhang mit den
Kommandos Listen und Securelisten.
Außerdem ist die HTTPD_ADDITIO
N S _ N W . c o n f zu prüfen. Das
FIXUP.NLM wird benötigt, um die IPAdresse der bereits installierten
iFolder Clients zu ändern. Näheres
hierzu finden Sie in der TID 10068551.
Die Datei SYS:\APACHE\IFOLD
ER\DOCUMENTROOT\HTML\IFOLDER_
NAV.html ist zu ändern, wenn Sie
kein DNS verwenden.
Hinweis: Nähere Informationen, was
bei Netscape Enterprise Server zu ändern ist, finden Sie in der TID
100067790.
Novell Cluster Services
Cluster Resource IP-Adressen unbedingt auch in dieses neue Subnetz
verlegt werden. Bei den Clients, die
auf die virtuellen Cluster-Laufwerke
mittels IP-Adresse verbinden, müssen
Sie diese im Loginscript anpassen.
LDAP/SSL
Mittels ConsoleOne müssen Sie das
LDAP-Server-Objekt neu erzeugen
und dem LDAP-Group-Objekt neu
zuweisen. Ebenfalls muß dem LDAPServer-Objekt ein neues SSL KMOObjekt zugewiesen werden. Sollte der
LDAP-Server Name beim Neuanlegen
geändert worden sein, müssen die
Zertifikate neu erzeugt werden: SSL
CertificateIP (Regardless) und
SSL CertificateDNS (nur wenn
der DNS-Name geändert wurde)
Zu den Novell Cluster Services finden Sie auf den Servern selbst kein
Dateien, in denen die IP-Adresse auftaucht. Alle Konfigurationsinformationen werden in der NDS abgelegt,
so daß Änderungen nur über die
ConsoleOne erfolgen können. Jeder
Node innerhalb des Cluster Container
NDS und SLP
bedarf einer Änderung der IP-Adres- Nach dem Ändern der IP-Adressen
se mittels ConsoleOne. Diese ist über führen Sie an der Konsole ein set
die Properties Page des Node Objek- dstace=*L aus, anschließend über
tes zu ändern. Wenn jedoch die Node DSREPAIR ein Repair ServerAddress.
IP-Adresse geändert wurde, muß auch Wenn Sie in Ihrem Netzwerk einen SLPjede Ressource, die dieser Node zu- DA konfiguriert haben, können Sie in
gewiesen ist, geändert werden. Auch der SLP-Scope Liste alle Services, die
das wird über die Properties Page des auf die alte IP-Adresse referenzieren,
entsprechenden Objektes im Cluster löschen.Anschließend machen Sie an
Container mittels ConsoleOne durch- der Konsole auf dem Server, auf dem
geführt. Wenn nun die Adressen ge- der DA geladen ist, ein SET SLP
ändert wurden, müssen Sie noch die RESET = ON. Am Client muß die
Master IP-Address Resource ändern, Directory Agent List angepaßt werund zwar auf dem Cluster Container- den.
Objekt unter dem Management Tab.
Sollten irgendwo noch pyhsikalische
SCMD
DNS-Einträge eingebaut worden sein,
müssen auch diese angepaßt werden. SCMD liegt immer auf einer dedizierDamit alle Änderungen aktiv werden, ten IP-Adresse. Diese müßte somit
müssen Sie den Cluster einmal herun- ebenfalls noch geändert werden (vgl.
ter- und wieder hochfahren. Hierzu Abb. 2).
nutzen Sie die
K o m m a n d o s Abb. 2: Einstellungen des SCMD-Service
ULDNCS zum
Downfahren
und LDNCS, um
ihn wieder zu
starten. Wenn
die Adreßänderung in ein
komplett anderes Subnetz
wandert, dann
müssen alle
11
Ausgabe 11/2002
47
h
HOTLINE
NOVELL
Eingeschnappt
SNAPIN-Probleme beim Novell Bordermanager
Von Jörg Marx
Bei der Installation des Novell Bordermanager kommt es häufiger vor, daß es Probleme mit den Snapins gibt. Diese
sind nötig, um den Bordermanager zu konfigurieren bzw. zu administrieren. Manchmal kommt die Meldung, die
Snapins seien nicht installiert, manchmal werden sie nicht korrekt kopiert. Was ist zu tun?
Im Normalfall ruft man auf der
Workstation, von der aus man den
Bordemanager konfigurie-ren
bzw. administrieren möchte, das
Setup Tool aus dem Verzeichnis
SYS:\PUBLIC\BR DRMGR\
SNAPINS auf. Anschließend hat
man im NWadmin die nötigen Erweiterungen für den Bordermanager. Sollten Sie nun beim
Starten des NWadmin die Meldung bekommen, daß die Snapins
nicht installiert sind oder die entsprechenden Erweiterungen im
NWadmin nicht zu finden sind, so
sollten Sie erst einmal die folgenAbb. 1: Bodermanager Lizenz Objekte
den Punkte prüfen:
Patchlevel
HOTLINE
Prüfen Sie, ob der Bordermanager den
aktuellen Patchlevel besitzt. Wir haben Ihnen hier eine kleine Matrix
zusammengestellt, welche Bordermanager-Version derzeit welche
Patches benötigt (vgl. Tab. 1). Wichtig hierbei ist, daß Sie auf jeden Fall
die Nwadmin-Version aus dem Patch
ADM519F.exe verwenden, da hiermit sehr viele Probleme behoben sind
(siehe auch TID 2955955).
www.sysinternals.com/
listdlls.htm. Mit diesem Tool
können Sie alle DLLs dumpen, die
mit Windows-Applika tionen verknüpft sind. Bei den Bordermanager
Snapin-Problemen kann es sehr hilfreich sein, wenn Sie prüfen können,
von wo aus welches DLL verwendet
wird (vgl. Tab. 2). Ein einfacher Weg,
um sicherzugehen, daß alle DLLs am
richtigen Platz stehen, ist der, daß Sie
Lizenzen
Probleme bekommen Sie, wenn
der Bordermanager keine gültige Lizenz besitzt. Der einfachste
Weg, das zu prüfen, geht über den
Tab Bordermanager Alert.
Wenn dieses Feld den gleichen
Fehler aufweist wie die Tabs
Bordermanager Setup und Ac
cess Control, können Sie davon
ausgehen, daß keine Lizenz installiert oder zugeordnet ist (vgl. Abb. 1).
DLL-Verwechslungen
Stellen Sie sicher, daß keine Verwechslungen mit bestehenden Bordermanager DLLs entstehen.Viele ste-
Tabelle 1
BM 3.0 auf der NetWare 4.x
Kopierfehler
Manchmal kommt es vor, daß die
Snapins nicht korrekt kopiert werden.
Hierzu sollten Sie kontrollieren, ob
sich die Module auch im richtigen
Verzeichnis befinden. Sie können
dazu ein Shareware Tool mit dem
Namen HANDLEX.exe verwenden.
Es ist zu finden unter: http://
einfach alle nötigen DLLs einmal in SYS:\ PUBLIC\WIN32
und in S Y S : \ P U B L I C \
WIN32\ SNAPIN kopieren.
Wenn alle Dateien hier zu finden
sind, können Sie eigentlich sicher sein, daß der NWadmin korrekt geladen werden kann.
BM 3.5 auf der NetWare 4.x
BM 3.5 auf der NetWare 5.1
BM 3.6 auf der NetWare 5.1
nw4sp8a.exe, bm3sp2.exe,
bm3licfx.exe, nlslsp4b.exe,
admn519f.exe
nw4sp8a.exe, bm35sp1.exe,
nlslsp4b.exe, admn519f.exe
nw51sp3.exe, bm35sp1.exe,
admn519f.exe
nw51sp3.exe, bm36sp1a.exe,
adm519f.exe
Tab. 1: Patchlevel für Bordermanager (Stand Oktober 2002)
11
Ausgabe 11/2002
48
Tabelle 2
Verzeichnis
M:\public\win32\snapins\
M:\public\win32\snapins\
M:\public\win32\snapins\
M:\public\win32\snapins\
M:\public\win32\
M:\public\win32\
M:\public\win32\
M:\public\win32\
M:\public\win32\
M:\public\win32\
M:\public\win32\
Datei
ALERT.DLL
BSCOV.DLL
RESTRICT.DLL
NWCADM32.DLL
BRDEXT.DLL
VPNA. DLL
VPN. DLL
PROXYCFG. DLL
GSJPG32.DLL
GSWAG32.DLL
GSWDLL32.DLL
verwendet vom:
VPN.DLL
BSCOV.DLL
BSCOV.DLL
BSMON.DLL
BSMON.DLL
BSMON.DLL
Tab. 2: Lokation der einzelnen Bordermanager Snapins
hen in einer direkten Abhängigkeit
zueinander, z.B. C S C O V . D L L ,
PROXYCFG.DLL uns VPN.DLL.
Sollten hier noch Dateien von älteren Bordermanager-Versionen vorhanden sein, kommt es zu Fehlern.
DLL korrupt
Stellen Sie sicher, daß es keine korrupten Bordermanager Snapin DLLs
gibt. Am einfachsten ist eine neue Installation der entsprechenden Snapin.
Hierzu gehen Sie wie folgt vor. Löschen Sie alle DLLs wie oben beschrieben. und starten Sie die Setup
Routine aus dem Verzeichnis SYS:\
PUBLIC\WIN32\SNAPIN erneut.
Filter
Bei der Konfiguration der Bordermanager Firewall kann es schnell passieren, daß man bestimmte Dinge gesperrt hat, die eigentlich durchgelassen werden sollten. Um zu prüfen ob
ein definierter Filter etwas sperrt, was
man eigentlich durchlassen möchte,
ist das Entladen aller Filter notwendig. Hierzu sollten Sie die folgenden
Kommandos absetzen:
UNLOAD IPFLT
UNLOAD IPXFLT
UNLOAD FILTSRV
Sollte anschließend das entsprechende Paket durchgelassen werden, können Sie davon ausgehen, daß das Problem an Ihren Filterdefinitionen lag.
Wird das Paket jedoch weiterhin nicht
durchgelassen oder beantwortet, so
liegt es auf jeden Fall nicht an der
Firewall bzw. an der Filter-Definition.
Debugging
von Filtern geblockt werden. Es sind
nicht immer alle oben angegebenen
Debug-Kommandos nötig. Sie können das auch auf Ihre Bedürfnisse hin
anpassen.
Auswerten
Zum Auswerten der Debug-Informationen müssen Sie erst ein UNLOAD
CONLOG auf der Konsole eingeben.
Anschließend finden Sie im Verzeichnis
S Y S : \ E T C die Datei
CONSOLE.log, in der alle mitgeschnittenen Informationen stehen.
Durchsuchen Sie die Datei nach dem
Stichwort Discard, so daß Sie alle
Zeilen finden, in denen Pakete verworfen wurden. Wenn es Ihnen Probleme bereitet, selbst die Informationen aus der Datei brauchbar auszuwerten, hilft Ihnen der Packet Filter
Mit dem Kommando R E I N I T I
ALIZE SYSTEM auf der Serverkonsole oder über INETCFG können
Sie die Filter wieder aktivieren (vgl.
Abb. 2). Sollte es nun so
sein, daß die Filter das
Paket gesperrt haben,
muß
man
zum
Debugging übergehen.
Um sinnvoll vorgehen
zu können, sollten Sie
sich eine NCF-Datei
(Novell Control File)
zusammenstellen, in
der die Debug-Kommandos so enthalten
sind, daß man aus der
Auswertung brauchbare Abb. 2: FILTCFG Menü
Informationen ziehen
kann. Kopieren Sie diese NCF-Datei Troubleshooting and Solutions
ins Verzeichnis SYS:SYSTEM. Auf Guide unter der folgenden
dem Konsole-Prompt starten Sie die TID10018659.
NCF mittels: FILENAME.NCF. Eine Mit dem Kommando SET FILTER
NCF, um feststellen zu können, wel- DEBUG=OFF oder IPFLT_DEBUG_
cher Server oder welches Paket von OFF läßt sich das Debugging an der
der Firewall geblockt wird, sieht so Konsole wieder abschalten.
aus:
unload conlog.nlm
load conlog.nlm
IPFLT_DEBUG_ON
Set Filter Debug=on
Set ip forward filter
Set TCP Forward Filter
Set ICMP Forward
Debug=1
Set UDP Forward Filter
Set ip Discard Filter
Set TCP Discard Filter
Set UDP Discard Filter
TCP/IP Debugging
debug=1
Debug=1
Filter
Debug=1
Debug=1
Debug=1
Debug=1
Mit Hilfe der NCF können Sie prüfen, welche Ports von der Firewall bzw.
11
Ausgabe 11/2002
49
Sollte Ihnen diese Auswertung keine
brauchbaren Informationen geliefert
haben, gibt es noch das TCP/IPDebugging. Hierzu geben Sie an der
Konsole folgende Kommandos ein:
LOAD CONLOG
SET TCP IP DEBUG = 1
Anschließend wieder mittels
UNLOAD CONLOG das Log-File
schreiben und sich ans Auswerten
geben.
h
HOTLINE
NOVELL
FAQs und Facts
Interessante Tips der Deutschen Netware FAQ
Von Stefan Braunstein
Für ARCserve 7 existieren inzwischen etliche Einzelpatches, die für einen stabilen Betrieb dringend zu empfehlen
sind, wie Sie ja auch aus dem Technik News Patchservice sicher wissen. Im Umfeld der NetWare gibt es seitens des CA
Supports einige interessante Hinweise, die den Einsatz von ARCserve 7 erleichtern.
nummer global fest: HKEY_LOCAL_
MACHINE\SOFTWARE\ComputerAs
sociates\ARCserveIT\Base\.
Dort legen Sie falls nicht vorhanden
einen neuen Schlüssel Alterna
teRPCPorts an. Erstellen Sie dazu
einen Eintrag DefaultPortNum
ber als DWORD mit einem Dezimalwert, der der Portnummer in der
ASCONFIG.INI entspricht. Individuelle Port-Einstellungen für mehrere ARCserve Server finden Sie ebenfalls im zugrunde liegenden CA Dokument.
ARCserve
Patch Work
ARCserve 7 ist jetzt mittlerweile
knapp zwei Jahre alt und es existieren eine ganze Reihe von
Einzelpatches, deren Installation für
einen stabilen Betrieb auch dringend
empfohlen wird (siehe http://
support.ca.com/Download/
patches/asnw7/arcnw_7_
patch.html). Allerdings existiert
bis heute kein Service Pack, das die
manuelle Installation der einzelnen
Patches vereinfachen würde. Sie müssen beim Einpflegen unbedingt auf
die Abhängigkeiten der Patches zueinander achten und die Patchliste
von unten nach oben durcharbeiten,
damit keine neueren Patches von älteren Versionen wieder überschrieben
werden. Installieren Sie - außer dem
Patch QO06599.CAZ, der nur für
ARCserve Trialversionen gedacht ist
- am besten alle Patches, auch wenn
die Beschreibung nicht auf Ihr aktuelles Problem zutrifft.
HOTLINE
TCP/IP oder IPX?
In der TN 9/2002 habe ich beschrieben, wie man auf IPX/SPX als Protokoll zwischen ARCserve-Server und
-Client umschalten kann. Dieser
Schritt war oft notwendig, weil die
Kommunikation per TCP/IP einfach
nicht möglich war. Das Problem liegt
oft an einem Portkonflikt, wenn auf
dem Server auch NFS Dienste laufen.
Diese verwenden standardmäßig den
Port 111, den auch ARCserve zur
Client-Server Kommunikation nutzen möchte, was im Konfliktfall aber
mißlingt.
Portkonflikt
Der folgenden Lösung liegt das CA
Dokument 19103 zugrunde (siehe
CA Support Seiten). Ändern Sie in der
Datei ASCONFIG.INI den Eintrag
NLM8=SYS:\ARCSERVE\NLM\CATIRPC
ab, und erweitern Sie ihn um den Parameter -ipport=65111 . CA
schlägt hier zwar keinen bestimmten
Port vor, aber ich habe bei einer Recherche im Internet für diesen Port
keine konkrete Nutzung gefunden.
Sie können die korrekte Funktion auf
Ihrem System aber selbst testen, indem Sie das NLM zusätzlich zum
Parameter -ipport mit -D starten.
Damit wird ein separater DebugSchirm geöffnet, der angibt, ob der
Port genutzt werden kann.
Natürlich müssen Sie am Client diesen neuen Wert auch angeben. Im einfachsten Fall legen Sie die neue Port-
No Specials for NW 6
Das etwas ältere Datum des Dokuments 18088 “ARCserve 7.0 for
NetWare and Support for Novell
NetWare 6.0” vom Februar 2002 deutet bereits darauf hin, daß man für einen NetWare 6 Support neben den CA
Patches natürlich keine separaten
SMS und CLIB Patches von Novell
installieren muß, sondern einfach das
aktuelle Service Pack einsetzen kann.
Differential Job
Differential Jobs oder Differenzsicherungen sind in ARCserve 6.x
oder 7 als normale Jobs eigentlich
nicht vorgesehen. Sie sind jedoch sehr
interessant: Einmal pro Woche (oder
auch zweiwöchentlich) wird eineVollsicherung gefahren. Hier sind je nach
Datenmenge unter Umständen mehrere Bänder notwendig, zumindest
dauert sie inkl. Vergleich recht lange.
Nun wird jeden Tag eine Sicherung
durchgeführt, die nicht nur die Än-
11
Ausgabe 11/2002
50
with follo
wing warni
ng(s) - Can
not locate
FPSM.NLM:
Recommended:
v5.90a, dann
können Sie diese gänzlich ignorieren.ARCserve prüft das
Vorhandensein
von Modulen,
läuft im vorliegenden Fall
Abb1: Vollsicherung mit Löschen des Archivbits
aber problemlos
weiter. Novell
hat dieses NLM
bei den aktuellen
Support
Packs nach C:
verschoben. Um
die Fehlermeldung im ARCserve Message
Screen zukünftig zu vermeiden, können Sie
es wieder nach
SYS:SYSTEM
kopieren. NutAbb2: Filterregel für eine Differenzsicherung
zen Sie dazu
einfach einen
derungen zum Vortag enthält - das der in den letzten Technik News Ausgaben beschriebenen File Manager.
wäre eine Inkrementelle Sicherung,
sondern alle Änderungen zur letzten
Vollsicherung. In einem Recovery
Fall wäre dann nur die Vollsicherung
und die letzte Differenzsicherung zuStefan Braunstein, der Verwalter der
rückzuspielen, um alle Dateien zu
Deutschen Netware FAQ (netware
erhalten.
faq.de) und der Netzwerk-UtilityDer Trick, den das CA Dokument
Sammlung ( w w w . n e t w a r e f i
18087 beschreibt, arbeitet mit Filtern.
les.de), liefert Technik-News-Lesern
Die Vollsicherung läuft als Full (Clear
allmonatlich eine Serie mit Tips, Tricks
und Tools rund um Novell NetWare und
Archive Bit), die tägliche Differenzverwandte Themen. Sie erreichen den
sicherung dann als Full (Keep ArchiAutor über: www.braunstein.de.
ve Bit), wobei hier zusätzlich ein FilZum aktuellen Beitrag helfen Ihnen diester eingesetzt wird. Definieren Sie eimal bei Fragen zu ArcServe 7 die CA
nen Filter, der Include File Pattern mit
Support-Seiten http://support.
ca.com/asnw7supp.html weiter,
dem File Attribute Archive gesetzt
vor allem die Patchliste und die
hat (vgl. Abb. 1 und 2).
Vorgebliche Warnung
Wenn Sie während dem Pre Flight
Check (PFC) von ARCserve 7 die
Warnung E21028 mit der Meldung
erhalten: ARCserve will load
ARCserve 7 for Netware Technical
Documents. Einen direkten Link zur
NetWare FAQ haben Sie auch über
Technik News online: www.techniknews.de.
11
Ausgabe 11/2002
51
COMPU-SHACKTRAINING
SecurityTrainings
Auswahl mit Empfehlung
Aus dem aktuellen Angebot der Compu-Shack
Trainings interessieren zunehmend Kurse aus dem
Bereich Security. Wir haben aus dem breiten,
herstellerübergreifenden Trainingsportfolio die
Kurse zusammengestellt, in denen der Schwerpunkt
auf der Netzwerksicherheit liegt.
Compu-Shack Training bietet ihren Kunden in
Zusammenarbeit mit den führenden Netzwerkherstellern speziell auf Security-Themen abgestimmte
Trainings an. Bereits erworbenes Basiswissen kann
dabei erweitert werden, aber auch Einsteigern
bieten diese ausgewählten Kurse beste Möglichkeiten, die Grundlagen der Network Security zu
erlernen. Denn jedes Firmennetzwerk kann nur so
sicher sein, wie der Ausbildungsstand der Administratoren es zuläßt.
Die richtige Wahl
Schon während der betriebsspezifischen Netzwerkplanung kommt es auf aktuelles Know-how an, das
innerhalb eines komplexen und hochinnovativen
Technologiefeldes wie der Netzwerksicherheit
kontinuierlich ausgebaut und vertieft werden muß.
Compu-Shack Training bietet dazu eine fundierte
Auswahl an herstellerspezifischen Kursen zu Cisco,
Microsoft, Novell und WatchGuard, selbstverständlich zu attraktiven Preisen.
Cisco
Kurs Cis PFA
Cisco Secure PIX Firewall Advanced
Kurs Cis VPN
Cisco Secure Virtual Private Network
Microsoft
Kurs MS 2159 Deploying and Managing Microsoft
Internet Security and Acceleration Server 2000
Kurs MS 2150: Designing a Secure Microsoft Windows
2000 Network
Novell
Kurs NV 770
Internet Security Management with
BorderManager: Enterprise Edition
Kurs NV 606
TCP/IP for Networking Professionals
WatchGuard
Kurs WG 001
WatchGuard Firewall & VPN
Termine und Preise finden Sie in dieser Ausgabe
unter den Security-Highlights auf Seite 60, laufend
aktualisierte Informationen stehen im Internet unter
www.training.compu-shack.com .
p
PRAXIS
MICROSOFT
Do IT Dot NET
Teil 8: Internet Security and Acceleration Server 2000
Von Patrick Fell
Aufgrund der stark ansteigenden Business-Aktivitäten im Internet, in dem heutige Unternehmen einfach präsent sein
müssen, ist ein leistungsstarkes und leicht zu administrierendes Internet-Gateway wichtiger denn je. Dabei spielt
neben dem Aufbau einer gesicherten Verbindung ins Web die Performance eine entscheidende Rolle. Microsoft
Internet Security and Acceleration Server wird diesen Anforderungen gerecht, weil er gleichzeitig auch eine
Unternehmens-Firewall und eine komplette Web Caching Lösung zur Verfügung stellt.
W
Wir wollen uns diesmal mit den Features des Internet Security and Acceleration Server auseinandersetzen, im
besonderen mit der Firewall- und der
Web Caching-Komponente. Beide
können miteinander kombiniert oder
einzeln genutzt werden. Der ISA
Server ermöglicht es, Business Sicherheitsrichtlinien über Regeln zu implementieren, die Sites, Protokolle
und auch Inhalte spezifizieren
können (vgl. Abb. 1). ISA überwacht
dabei die Anfragen und Antworten
zwischen dem Internet und den internen Client-Maschinen, kontrolliert,
wer auf welche Computer im
Unternehmensnetzwerk zugreifen
kann, und auf welche Maschinen im
Internet zugegriffen werden darf.
Sie sich überraschen. Neben der
ICSA-Evaluierung bietet die ISA
Firewall-Engine ähnliche Funktionen, die auch andere Hersteller in ihre
Systeme integrieren, zum Teil sogar
erweiterte. Sehen wir uns die Features
der ISA Firewall-Engine einmal an.
Multilayer Firewall
ISA Server bietet Sicherheit auf drei
Leveln. IP Paketfilter (siehe Abb. 2)
bieten Sicherheit durch das
Inspizieren individueller Pakete, die
die Firewall passieren möchten.
Circuitlevel Filter kontrollieren Verbindungen, die durch die Firewall
zugelassen wurden und bieten die
Möglichkeit, sekundäre Verbindungen, die für einige Protokolle benötigt
werden, zuzulassen. Die Applicationlevel-Filter erlauben es dem ISA
Server, intelligente Überprüfungen
durchzuführen und populäre Applikationen wie HTTP, DNS und SMTP
zu sichern
PRAXIS
Stateful Inspection
Abb. 1: Policy Elemente
Firewall
Mal Hand aufs Herz, fragen nicht
auch Sie sich jetzt, was Microsoft im
Sektor Firewalling zu tun hat. Lassen
Ein dynamisches Filtern, auch
Stateful Inspection genannt, sorgt
dafür, daß Kommunikationsports nur
dann geöffnet werden, wenn der
Client diese benötigt, und danach
auch wieder geschlossen werden.
Dies r eduziert die Anzahl der
geöffneten Verbindungen, die statisch
für eingehende Verbindungen
geöffnet werden müssen. Über die
von der Client-Anfrage dynamisch
geöffneten Ports wird die FirewallEngine alle Antworten direkt dem
Client zuweisen, ohne daß hierzu
auch eingehende Ports geöffnet
werden müssen.
Es ist aus Sicherheitsgründen
nicht empfehlenswert, andere
Anwendungen neben ISA im
Firewall-Modus zu betreiben.
System Hardening
ISA Server bietet verschieden Sicherheitslevel an, um auch das darunter
liegende Serverbetriebssystem zu
sichern. Sie können zwischen drei
Einstellungen wählen. Secure wird
benötigt, wenn auf dem Computer,
der ISA-Dienste ausführt, auch andere
Dienste wie IIS, Datenbankserver
oder SMTP-Server ausgeführt
werden. Limited Services
sollten Sie verwenden, wenn ISA als
kombinierte Firewall/Web-Caching
Maschine benutzt wird, und diese
durch eine zusätzliche Firewall
geschützt wird. Dedicated sollte
unbedingt in Verwendung mit einer
dedizierten Firewall-Maschine
verwendet werden. Es sollen keine
andere interaktiven Anwendungen
nebenbei laufen!
Diese Konfiguration über Sicherheitsvorlagen ist standardmäßig in allen
Windows 2000 Server-Arten implementiert und kann über entsprechende Snap-Ins in der Microsoft Manage-
11
Ausgabe 11/2002
52
ment Console über Sicherheits
vorlagen bzw. Sicherheitskon
figuration und -analyse
manuell durchgeführt werden.
Intrusion Detection
In den häufigsten Einsatzszenarien
von Firewall-Systemen ist es unbedingt notwendig, einen unauthorisierten Zugriff zu erkennen und auch
zu vermeiden. ISA Server bietet eine
eingebaute Intrusion Detection
Funktion an, die Angriffsversuche
über bekannte Attacken auf das
dahinterliegende interne Netzwerk
erkennt. Beim Aufdecken eines
solchen Angriffs, zum Beispiel eines
Portscans, generiert der FirewallDienst ein konfigurierbares Ereignis
und gibt eine Warnmeldung heraus.
Dies kann in Form einer E-Mail,
Durch Starten einer beliebigen
Applikation oder das Herunterfahren
eines Dienstes geschehen. Folgende
ISA-Server Ereignisse werden für eine
Intrusion Detection verwendet:
- alle Portscan Angriffe
- IP half scan Angriffe
- Land Attacken
- Ping of death Attacken
- UDP bomb Attacken
- Windows out of band Attacken
Intrusion Detection Funktionalitäten beruhen auf den Technologien
der Internet Security Systems.
www.iss.net.
Application Filters
Viele Angriffe beruhen auf Attacken
von wohlbekannten Sicherheitslücken in offenen Internetanwendungen wie DNS und SMTP. Anwendungsfilter bieten eine Reihe von
intelligenten Inspektionen der Kommunikationsprotokolle, die von
populären Applikationen benutzt
werden. Sie können für diese Anwendungen nicht korrekt aufgesetzte
Kommandos abfangen, die sehr oft
für ein Eindringen ins Netzwerk
benutzt werden. Die Filter können
auch Anwendungen modifizieren
und Anwendungsprotokolle
umleiten, grade so, wie Sie es
benötigen.
Caching
Kommen wir zum Überblick
der Caching-Features. ISA
Server erweitert die grundlegende Caching-Technologie
durch folgende Features. Dabei können all diese Funktionen miteinander kombiniert
werden.
Abb. 2: Protocol Rules
Active Caching
ISA Server kann so vorkonfiguriert
werden, daß die am häufigsten benutzten Anfragen an Webseiten solange gecacht werden, bis die Inhalte
auf diesen Seiten nicht ungültig oder
veraltet sind. Denn es werden dynamische Daten verwendet. Dies
verringert die Antwortzeiten für die
Clients, da viele Anfragen direkt aus
dem lokalen Cache geliefert werden
können.
Scheduled Content
Administratoren haben die Möglichkeit, imScheduled Content Download
gerade diese Seiten, die oben beschrieben wurden, mit einem automatischen Inhaltsdownload zu fest vorgegebenen Zeiten zu versehen.Somit
wird ganz bewußt die Bandbreite
während der Benutzeranfrage hoch
gehalten, da diese Downloads oft
während der Nacht durchgeführt
werden.
Reverse Caching
Sofern Anfragen aus dem Internet auf
die eigen Web-Server abzielen, verbessert Reverse Caching die Performance. Dazu wird ISA Server zwischen dem Internet und den WebserverMaschinen plaziert, um häufig gestellte Anfragen von Internetclients
an Webseiten zwischenzuspeichern.
Der Vorteil ist auch hier, die Last ganz
bewußt von den Webservern zu nehmen und Bandbreite hinter dem ISAServer sinnvoll zu verwalten. Zudem
kann kein Internetbenutzer mehr
11
Ausgabe 11/2002
53
direkt auf die Webserver zugreifen,
da ISA hier als Proxy fungiert.
HTTP Redirector
Der transparente HTTP Redirector
fängt Anfr agen, welche normalerweise durch die Firewall bzw. den
SecureNAT Layer transferiert werden,
ab und leitet sie zum Web Proxy
Dienst um. Internet Software, die
nicht von einem Proxy profitieren
kann, hat trotzdem den Vorteil, auf die
gecachten Infos im ISA Webcache
zuzugreifen, wenn der Redirector
aktiviert ist. Das FTP Caching des ISA
Servers dehnt die Vorzüge des Caching auf das FTP Protokoll aus. Hierzu
werden dieselben Routing- und Caching-Features wie für HTTP benutzt.
Cache Array
Routing Protocol Proxy Arrays balancieren die Last durch das Verteilen
der Anfragen an gecachte Webobjekte
über mehrere Server aus. CARP nutzt
dazu ein hash-basiertes Routingprotokoll, so daß Clients, die einen
Download fahren wollen, genauestens vorausbestimmen können, wo
der Inhalt in dem Array der ProxyServer gecacht ist. Dies verringert die
Last auf den ISA Array durch Eliminierung von zusätzlichen Abfragen
der Array-mitglieder untereinander.
Routingregeln können für UpstreamAnfragen definiert werden, damit
diese an übergeordnete ISA Server
weitergeleitet oder zu einem anderen
Host - dem Proxy eines Drittanbieters
etwa - umgeleitet werden.
p
PRAXIS
WIRELESS SECURITY
Sicherheit im Test
IP-Sec in WLAN-Umgebung
Von Detlev Reimann
In der Technik-News-Ausgabe vom September wurde auf das Problem der Sicherheit im Wireless-Umfeld eingegangen. Unter allen Optionen scheint die Kombination mit VPN im Funknetz die sicherste Methode zu sein. Wir haben sie
in unserem Labor getestet.
A
Aus der Sicht der Sicherheitsregeln für Unternehmen sollte ein Wir elessLAN prinzipiell als ein öffentliches Netzwerk aufgefaßt werden. Nach meiner
Auffassung ist dies gegenwärtig der einzig korrekte
Ansatz. Aus diesem Grunde
liegt es nahe, Wireless- und VPN-Technologie zu verquicken. Ein solches
Ansinnen darf sich jedenfalls auf
Standards verlassen, die - jeder für
sich - Interoperabilitäten im jeweiligen Anwendungsgebiet gewährleisten: WiFi bei Wireless LAN und die
Einhaltung der RFCs bei IPsec.
PRAXIS
In Kombination
Die grundsätzliche Überlegung zur
Kombination beider Technologien
besteht darin, daß die Wireless-Verbindungen für Protokolle im Network
Layer 3 des OSI-Referenzmodells
transparent sind. Insofern erübrigt
sich die immer wieder gestellte Frage, ob über Wireless-Verbindungen
auch AppleTalk, IPX oder andere ”höhere” Protokolle übertragen werden
können. Darauf aufbauend liegt es auf
der Hand, die Unsicherheiten der
Wireless-Verbindungen durch
darüberliegende Protokolle zu kompensieren. Unter IP bietet sich IPsec
dafür geradezu an. Zudem gibt es gegenwärtig eine ganze Reihe von Anbietern im IP-VPN-Umfeld. Fast jeder
Firewall-Host besitzt heute grundlegende IPsec-Gateway-Funktionen.
Außerdem ist IPsec im Protokollstack
von Linux bzw. Windows 2000 bereits implementiert. Das heißt, die
Auswahl geeigneter Produkte für eine
Lösung, die den Kundenanforderungen genügt, ist relativ groß.
Roaming
In unserem Labor haben wir IP-Sec in
einer WLAN-Umgebung getestet.
Dabei sind wir noch einen Schritt wei-
tergegangen. Denn kritisch im Wireless LAN
ist unter Umständen
das Roaming. Diese Eigenschaft wird vor allem dort benötigt, wo
durch
bewegliche
Clients die bisherige
Funkzelle verlassen
und eine neue Funkzelle erreicht
wird. Dabei darf eine bestehendeVerbindung nicht abreißen, sondern die
Client-Verbindung muß vom neuen
Access-Point (AP) weitestgehend
transparent übernommen werden. Die
Entscheidung, ob ein Wechsel des AP
vorgenommen wird, ist abhängig vom
Signalpegel und nicht ursächlich eine
Funktion des Abstandes vom Client
zum AP. So kann bspw. ein näher ge-
Abb. 1: Aufbau im Compu-Shack Test-Labor
11
Ausgabe 11/2002
54
legener AP durch Interferenzen oder
bauliche Gegebenheiten im konkreten Falle schlechter erreichbar sein
als ein AP in größerer Entfernung.
Außerdem sollte der Übergang von
einem AP zu einem anderen auch
durch Schwellwerte festgelegt sein,
um im Fall gleicher Signalpegel ein
ständiges Umschalten der Verbindungen zu vermeiden. Beim Thema
Roaming trennt sich der Spreu vom
Weizen bei den verschiedenen Produkten. Das Roaming ist gegenwärtig noch nicht standardisiert. IEEE
und ETSI sind zwei Gremien, die sich
mit dieser Problemstellung befassen.
AVAYA Access Points
Breitbandige WLAN-Lösungen
AVAYA bietet mit ihrer WirelessReihe ein komplettes Portfolio
für die Einrichtung breitbandiger
Funkinfrastrukturen. Der AVAYA
Wireless Access Point AP1 erlaubt einen einfachen und sicheren Netzzugang für mobile Benutzer mit Client-Access und erleichtert die Bildung von Arbeitsgruppen. Die einzigartige Architektur mit PCMCIA-Doppelsteckplätzen bietet zusätzliche Vorteile. Denn die Plattform des
AVAYA Wireless Access Point III
ermöglicht zudem über einen
zweiten PCMCIA-Kartenslot den
Aufbau eines drahtlosen
Backbone-Netzes als BridgingFunkverbindung zwischen APs.
In großen offenen Räumen wie
Lager- oder Warenhäusern kann
somit eine drahtlose Überbrükkung sowie Client-Access gleichzeitig realisiert werden.
Labor-Test
In unserem Labor sollte zwischen dem
Client und dem Server eine FTP-Verbindung aufgebaut werden, um Daten zu transferieren, während der
Client sich durch die Funkzellen bewegt (vgl. Testaufbau in Abb. 1). Zwischen dem Client und einem IP-VPNGateway sollten die Daten zusätzlich
verschlüsselt werden, um die Privacy
und Integrity der Daten über Wireless
zu gewährleisten. Wir erwarteten, daß
die IPsec-Verbindung während des
Roaming erhalten bleibt, sofern letztere Funktion auch korrekt im Produkt
implementiert ist. Der Test bestätigte
unsere Vermutung.
Außerdem überprüften wir die Robustheit der IPsec-Verbindung über
Wireless. In einer Überlappungszone
zweier AP schalteten wir während des
Transfers den AP ab, über den der aktuelle Datenstrom übertragen wurde.
Nach ca. 1 Sekunde hatte der andere
AP die Verbindung übernommen. Der
Datentransfer stockte kurz in diesem
Zeitraum und wurde ohne weitere
Beeinträchtigungen danach fortgesetzt. Die IPsec-SAs blieben bestehen.
Ein Reconnect war nicht erforderlich.
SonicWALL TELE3
Firewall und VPN-Gateway
Die Internet-Sicherheitslösung
TELE3 ist eine einfach anzuwendende und zu administrierende
Kombination aus einer ICSAzertifizierten Stateful Packet Inspection Firewall mit einem
Durchsatz von 75 Mbps und einem VPN-Gateway für Tele- und
Heimarbeiter, die schnellen und
sicheren Zugriff auf die Netzwerkressourcen ihres Unternehmens
benötigen. Dank der Benutzeroberfläche für intuitives Web-Management und der Bedienungsassistenten, verringert die TELE3
Zeit und Kosten beim Installieren
und Verwalten sicherer Zugriffsverbindungen, mit 3DES VPN bei
20 Mbps und bis zu 6.000 Ver-
bindungen.
Node Upgrade, Netzwerk Anti-Virus und Inhaltsfilter sind interessante Erweiterungsoptionen.
Ebenso können ViewPoint, VPNClients und Authentisierungmechanismen ergänzt werden. Die
zentrale Administration kann über
das Global Management System
(GMS) erfolgen.
Wir empfehlen, die Lifetime der
IPsec- und der IKE-SA nicht zu kurz
festzulegen.
Getestet wurde mit einer SonicWALL
Tele3. Da SonicWALL bei allen
Firewalls das gleiche User-Interface
benutzt, können die Testergebnisse
auf alle Firewalls der Baureihen Soho,
TELE3 und ProX00 übertragen werden. Die Wireless-Lösung wurde von
AVAYA gewählt, da die AVAYA Acess
Points und Wireless Karten vielen
schon vorher durch ihre einfache
Handhabung und Robustheit im Betrieb auf. Dies bestätigte sich auch bei
diesen Tests.
Fazit
Wireless-Verbindungen lassen sich
mittels IPsec wirkungsvoll absichern.
Das Roaming stellt keine Implemen-
11
Ausgabe 11/2002
55
tierungshürde dar. Kritisch könnte es
werden, wenn die Neuaushandlung
einer SA zufällig in die Neuetablierung der Wireless-Verbindung
fällt. Da meist der Wert der SALifetime bei einem Tag (86.400 Sek.)
liegt, sollte die Wahrscheinlichkeit
des Zusammenfalls beider Ereignisse aber relativ gering sein. Die im Test
überprüfte Lösung bietet insofern also
einen verläßlichen Ansatz, der sich
zudem noch durch das Einbringen
von Token-, RADIUS- oder TACACSServern für die Authentifizierung beliebig ausbauen läßt.
p
PRAXIS
WIRELESS SECURITY
Rapid Re-Keying
Dynamische Schlüssel im Enterasys WLAN
Die Wireless LAN Technologien nach 802.11b mit 11 Mbit/s sind stark im Kommen. Allerdings ist die Sicherheit in
drahtlosen Netzen in der Vergangenheit sehr bezweifelt worden. Die sogenannte Wired Equivalent Privacy, die
WEP-Verschlüsselung, ist dabei in die Schlagzeilen geraten. Inzwischen haben die Hersteller weitgehende Anstrengungen unternommen, um die Sicherheitslücken zu schließen. Enterasys Networks hat dazu jüngst das Rapid ReKeying in ihre neuen RoamAbout Wireless Lösungen integriert. Wie funktioniert es?
I
Im Februar 2002 veröffentlichte die
University of Maryland einen Report
über die Unsicherheit in IEEE 802.11
Wireless-Netzen, die den Standard
IEEE 802.1x als Mechanismus zur
Authentisierung nutzen. Die in dem
Dokument untersuchten Verfahren
hatten die alte Spezifikation 802.11
zur Grundlage. Inzwischen gib es wirkungsvollere Ansätze. Wir wollen
kurz skizzieren, wie WEP und IEEE
802.1x prinzipiell funktionieren, und
wie man mit Rapid Re-Keying die
Sicherheitslücken schließt.
PRAXIS
Sicherheitsstudie
Prinzipiell ist in der Studie der Uni
Maryland von drei Klassen von Angriffen ausgegangen worden: Denial
of Service, eine Attacke, bei der bestimmte Dienste oder Komponenten
komplett lahmgelegt werden, die
Man-in-the-Middle-Attack, bei der
eine dritte Partei die Daten zwischen
den beiden kommunizierenden Endgeräten mitliest, und das Session
Hijacking, bei der eine legitimierte
Endstation komplett durch eine andere ersetzt werden kann. Es werden
dabei bestimmte Attribute der legitimierten Verbindung “gestohlen”.
Nach dem Maryland Papier sind
Wireless Systeme anfällig für alle drei
Methoden. In der Realität ist dies
aber nicht mehr der Fall.
Wired Equivalent Privacy
Mit der WEP Funktionalität werden
alle Daten innerhalb eines WLAN
verschlüsselt. Wie in IEEE 802.11
spezifiziert wird hierzu der RC4 Algorithmus genutzt. Zur Verschlüsselung werden KEY-Paare benutzt. Sowohl der Access-Point als auch die
Endstation nutzen die gleichen Paare. Der erste Key wird in der Regel
zum Verschlüsseln der Daten benutzt,
der zweite Key zum Entschlüsseln.
WEP funktioniert nur, wenn die gleichen Schlüssel zum Ver- bzw. Entschlüsseln benutzt werden.
Das Hauptproblem von WEP ist jedoch, daß sich der verwendete
Schlüssel ganz einfach durch Abhören des Datenverkehrs in einem Funknetz ausspähen läßt. Man fängt die
übermittelten Daten ab und prüft sie
mit modernen Entschlüsselungs-
methoden, das dauert kaum mehr als
15 Minuten, bis ein 40-Bit WEPSchlüssel - entsprechender Verkehr
vorausgesetzt - entschlüsselt ist. Genau da setzt die Grundidee des Rapid
Re-Keying an. Würde man den WEPSchlüssel nach einiger Zeit wechseln,
kann eine Entschlüsselung verhindert
werden. Außerdem wird der Datenverkehr mit einem bestimmten Schlüssel dadurch eingeschränkt, daß an
jedem Access-Point eigene Sendeund Empfangsschlüsselpaare hinterlegt werden. Auch das verlängert die
zur Entschlüsselung notwendige
Zeit. Der Einsatz eigener Schlüsselpaare pro Access-Point schränkt den
Verkehr mit jedem Schlüssel weiter
ein.
11
Ausgabe 11/2002
56
Robust Security Network
Key Tumbling
Als das Standardisierungsgremium
IEEE erkannte, daß die ursprünglichen Protokolle innerhalb 802.11
nicht den heutigen Sicherheitsanforderungen entsprechen, hat es eine
neue Sicherheitsarchitektur entwikkelt. Das sogenannte Robust Security
Network (RSN) soll die wünschenswerten Attribute von 802.1x und
802.11 in einer robusten Sicherheitslösung kombinieren. Innerhalb von
RSN liefert 802.1x das Werkzeug zur
Netzwerk-Authentisierung. Die eigentliche Netzwerkverbindung wird
dabei abstrahiert auf einen “Port”, an
dem die Endstation hängt.
Das Model von 802.1x zur Implementierung sieht dabei verschiedene
Abstrahierungen vor. Supplicant ist
das Gerät, welches einen Netzwerkzugang anfordert. Authenticator ist
das Gerät, welches den Supplicant authentisiert und den Netzwerkzugang
versperrt oder freigibt.
Der Authentication Server ist das Gerät, welches den Backend-Authentication-Dienst bereitstellt. Der 802.1X
Standard liefert damit ein komplettes Framework für Port-BasedNetwork-Access-Control. Dabei sind
eine Fülle von Authentisierungsmechanismen vorgesehen, zum Beispiel Zertifikate, Smart Cards, Onetime Passwörter oder biometrische
Verfahren.
Enterasys Networks hat aufgrund der
bekannten Sicherheitslücken in
802.11 ein Verfahren entwickelt, das
als Rapid Re-Keying oder Key
Tumbling bezeichnet wird. Es erlaubt
die häufige und automatische Verteilung neuer IEEE 802.11 WEP Schlüssel. Dabei wird der Standard IEEE
802.1x zur automatischen Schlüsselverteilung und zur automatischen
Vergabe neuer Schlüssel genutzt.
Daher ist es nicht notwendig, proprietäre Verfahren einzuführen, für die
spezielle Client- und Server-Software
erforderlich wäre. Die Enterasys-Lösung setzt für 802.1x Clients und Server auf ihre strategischen Partner
Microsoft, Funk Software oder Meeting House Communications. Sie sind
entweder bereits am Markt erhältlich
oder werden in Kürze verfügbar sein.
Derzeit werden die Betriebssysteme
Windows XP, 2000, NT, ME und einige Linux-Versionen unterstützt. Der
Vorteil des Rapid Re-Keying liegt
darin, daß es die oben beschriebenen
und von den ATT Bell Labs nochmals
vorgeführten Angriffe mit ausgespähten WEP-Schlüsseln umgeht.
EAP Messages
Diese Flexibilität wird erreicht durch
die Nutzung des Extensible Authentication Protocol. EAP spezifiziert vier
Arten von Nachrichten. Die EAP
Request Message wird zur Initialisierung einer Anfrage zum Supplicant
geschickt.
Die EAP Response Message kommt
als Antwort vom Supplicant. Nun
wird die EAP Success Message zum
Supplicant geschickt, sie bezeichnet
eine erfolgreiche Authentisierung.
Andernfalls kommt eine EAP Failure
Message beim Supplicant an. Diese
EAP Messages werden eingepackt
und über das LAN verschickt. Man
spricht hier von EAP over LAN, kurz
EAPoL.
Genereller Ablauf
Der Access-Point erzeugt ein neues
Zufallsschlüsselpaar und hinterlegt es
in der Liste der Empfangsschlüssel für
das Wireless LAN. Die beiden ältesten Schlüssel werden überschrieben.
Jetzt kann der AP mit dem aktuellen
oder dem neuen Schlüsselpaar empfangen. Der Pseudorandom-Schlüsselgenerator ist von hoher Qualität.
Zur Vermeidung doppelter Schlüsselfolgen übermittelt er Daten in Echtzeit nach draußen.
Der Access-Point beginnt mit der
Übermittlung der Schlüsselpaare an
Clients und kennzeichnet dabei den
einen Schlüssel als den neuen Empfangsschlüssel, den anderen als den
neuen Sendeschlüssel. Das kann einige Sekunden dauern, während jeder Client auf den neuen Sendeschlüssel umschaltet, der bereits in
der Sendeschlüsselliste hinterlegt
wurde. Die neuen Empfangsschlüssel
werden vom Client noch nicht ver-
11
Ausgabe 11/2002
57
wendet. Die beiden ältesten Schlüssel werden überschrieben.
Sobald das neue Schlüsselpaar an alle
Clients übermittelt wurde, schaltet
der Access-Point den Wireless Sendeschlüssel auf den neuen Sendeschlüssel aus dem verteilten Schlüsselpaar
um. Das geschieht entweder durch
einfache Bestätigung oder durch zwei
bis drei Blindsendevorgänge an die
Clients. Ab jetzt wird nur noch das
neue Schlüsselpaar verwendet.
Die neuen Schlüssel bleiben solange
aktuell, bis ihre Nutzungsdauer abgelaufen ist. Das kann nach einer bestimmten Zeit sein oder nach einer
bestimmten Anzahl gesendeter oder
empfangener Datenpakete.
Diese Option legt der Nutzer bei der
Anpassung seines Netzwerks an einen optimalen Betrieb selbst fest. Ist
die Nutzungsdauer des Schlüssels abgelaufen, beginnt der Vorgang von
neuem.
Authentifizierung
Die Verteilung der Schlüssel gemäß
802.1x bedingt, daß vor einer Session EAP-TLS-Schlüssel generiert werden, um die Verteilung der WEPSchlüssel selbst zu verschlüsseln. Um
das Rapid Re-Keying zu erleichtern,
muß in regelmäßigen Abständen
auch die Authentifizierung wiederholt werden.
Das kann auch aus anderen Gründen
erwünscht sein, ebenso wie das Auffrischen der EAP-TLS-Schlüssel für
die verteilten WEP-Schlüssel. Das
Roaming von einem Access-Point
zum nächsten erfordert eine erneute
Authentifizierung. Durch die Verwendung von EAP-TLS-Zertifikaten muß
der Nutzer nun aber nicht jedes Mal
aufs neue eine Kennung oder ein Paßwort eingeben. Die erneute Authentifizierung ist komplett transparent.
Die RoamAbout Wireless Lösung
von Enterasys Networks liefert mittels Rapid Re-Keying höhere Sicherheit für den Wireless-Datenverkehr.
Das Verfahren benutzt bekannte Standards und Methoden, die sicherstellen, daß über RoamAbout verschickte Daten nur demjenigen zugänglich
werden, für den sie auch bestimmt
sind.
p
PRAXIS
NORTEL NETWORKS
Secure Web Switching
Alteon ACEdirector Web Switch Module
Bei dem Alteon Web Switch Module (WSM) handelt es sich um die erste modulare Ethernet-Switch-Produktreihe,
die speziell auf die Anforderungen von Web-Datenzentren ausgerichtet ist. Sie bietet L2- und L3-Switching sowie
moderne L4-L7-Verarbeitung mit vollem Wirespeed-Durchsatz an jedem Port.
N
Neben vollständigen L2/L3Switching-Diensten unterstützt das
Alteon WSM umfassende Verkehrsmanagementdienste. Mit Web OS
bietet das Alteon WSM lokale und
globale SLB-Funktionen, Anwendungsredirektion, aber auch Non-Server Load-Balancing z.B. für Firewalls
und Router. Hinzu kommen Bandbreitenmanagement für Aktiv-AktivHochverfügbarkeit, Class-of-Service
(Cos) und Server-Sicherheitsdienste.
Für Passport 8600
PRAXIS
Das Alteon WSM ist ein Einschubmodul für die Passport 8600
Produktreihe. Es bietet auf der Frontseite 4 Ports 1000 Base SX und 4 Ports
10/100 Base TX. Auf der Rückseite
werden über die Backplane ebenfalls
4 Ports 1000 Base SX geboten. Durch
diesen Anschluß an das Chassis stehen alle im Passport 8600 verfügbaren Ports auch zum indirekten Anschluß an das WSM zur Verfügung.
Aufgrund dieser Architektur erhöht
sich die Anzahl der maximal möglichen Ports am WSM auf 340 Ports für
10/100 Base TX oder 116 Ports für
1000 Base SX. Diese Architektur der
verteilten Verarbeitung gewährleistet
damit Leistung und Skalierbarkeit in
bisher nicht gekannten Maßen.
ASIC
Die Kerntechnologie des WSM ist
ein Web-Switching-ASIC, der umfangreiche L2-L7-Switching-Funktionen auf einem Chip integriert, einschließlich L2/3-Paket-Switching,
TCP-, UDP- und IP-Session-Switching, und dabei auch inhaltliche
Analysen sowie Bandbreiten- und
CoS-Management mit einschließt.
Um in der Zukunft neu hinzukommende Web-Switching-Funktionen
aktivieren und integrieren zu können,
sind zwei RISC-Prozessoren in den
ASIC implementiert, mit denen die
Software-Verarbeitung auf jeder Stufe des Hardware-Switching-Pfades
stattfinden kann, ohne daß dadurch
die Leistung beeinträchtigt wird.
An jedem Port
Mit dem Web-Switching-ASIC an jedem Port werden die Verkehrsmanagementdienste des Alteon WSM
mit wesentlichen Hardware-Hilfen an
mehrere Prozessoren verteilt. Diese
Architektur liefert Leistung, die weit
über die der herkömmlichen zentralisierten Prozessor-Switch-Architektur hinausgeht. Hintergrundaufgaben
wie Switch-Management, RoutingUpdates und das Bereitstellen des
Benutzerinterface werden in separaten Management-Prozessoren implementiert.
Wirespeed
Jeder Switchport des Alteon WSM
liefert vollen Wirespeed-Durchsatz
bei Layer 2, 3 und Layer 4 bis 7. Dem
Alteon WSM steht durch die Integration in den Passport 8600 auch dessen gesamte Leistungsfähigkeit zur
Verfügung. Dadurch arbeitet das Web
Switch Module auf einer Backplane
von bis zu 256 Gbit/s. Die aus dem
Passport 8600 bekannten Möglichkeiten der Redundanz, wie etwa die
drei optionalen Netzteile im Chassis
oder die doppelte CPU-Ausrüstung,
greifen durch die 100%ige Integration des WSM in den Passport 8600
auch für die Layer 4-7 Ports des Web
Switch Module.
Filter
Switch-weite Filterregeln des Passport 8600 können natürlich auch für
jeden Port des WSM definiert werden,
wobei alle oder beliebig ausgewählte Regeln auf jeden Port angewandt
werden können. Die Administratoren
können Pakete je nach den Attributen für L2, 3 und L4-7 sowie für URLs
weiterleiten oder herausnehmen. Das
WSM unterstützt das Filtern mit der
Leitungskapazität für bis zu 1.024
Filter je Port.
Durchsatz
Das Alteon Web Switch Module läuft
mit allen Web OS-Diensten. Es verbessert die Skalierung der Serverkapazität, gewährleistet höchste Verfügbarkeit der Anwendung über die
Kontrolle der Bandbreite und Serverressourcen und schützt die Server
zudem vor böswilligen Angriffen und
Eindringlingen. Jumbo-Frames beschleunigen den Datentransfer. Mit
dem Alteon WSM können EthernetFrames aller Größen, einschließlich
optionaler Jumbo-Frames bis 9.000
Bytes, automatisch und transparent
geswitcht und weitergeleitet werden.
Zusammen mit den dazu geeigneten
kompatiblen Adaptern können Jumbo-Frames die Paketverarbeitung auf
Servern um bis zu 85 Prozent reduzieren und den Durchsatz auf CPUgebundenen Systemen um mehr als
100 Prozent steigern.
11
Ausgabe 11/2002
58
Management
Da das Einschubmodul im Passport
vollständig integriert ist, hat der Administrator auf dem WSM natürlich
auch Zugriff auf die gleichen
Konfigurationsfeatures wie im Passport 8600 selber. Das WSM unterstützt Trunk-Gruppen und ermöglicht
somit die Link-Level-Redundanz
und ein Load Sharing. Die Netzwerkadministratoren können alle Funktionen des WSM über standardmäßige
Web-Browser, SNMP-Anwendungen
und CLI über den Port der Konsole
oder über Telnet konfigurieren und
überwachen. Das WSM unterstützt
vier RMON-Gruppen auf jedem Port.
Mit Port-Duplizierung kann die
Switch- und Serverleistung analysiert
werden.
PROJEKTE
Security 4 IT
In 4 Tagen zum sicheren Netz
Ein individuelles Security-Konzept ist unabdingbar, wenn ein IT-Netzwerk optimal gesichert werden soll. Um den Fachhandel dabei zu unterstützen, bietet Compu-Shack-Projektberatung ein spezielles Sicherheitspaket an, das in nur 4 Schritten die Planung und Umsetzung von SecurityMaßnahmen vornimmt sowie einen Review und eine abschließende Kontrolle der Logfiles beinhaltet.
Ein neues 4-stufiges SecurityPaket unterstützt den Fachhandel an vier Arbeitstagen dabei,
die für den Endkunden optimale Security-Lösung zu finden.
Am ersten Tag führt ein
Security-Experte der Projektberatung beim Endkunden vor
Ort eine Ist-Aufnahme und
Sicherheitsanalyse durch. Im
Rahmen dieserAnalyse wird ermittelt, welche Anforderungen der Endkunde
hat, und wo die Schwachstellen in seinem Netzwerk liegen.
Produktinformation
Unterstützte Standards
- Spanning Tree (IEEE 802.1d)
- VLAN-Tagging (IEEE 802.1q)
- Logical Link Control (IEEE 802.2)
- Flußkontrolle (IEEE 802.3x)
- SNMP (MIB-II, Ethernet, Bridge),
- RMON (RFC 1757)
- TFTP (RFC 783), Telnet (RFC 854)
- BootP (RFC 1542, RFC 951)
- IP, RIP1, RIP2, OSPF, BGP4
- DVMRP, PIM, GMRP (IEEE 802.1p),
- IGMP-gestütztes Multicast-Pruning
10BASE-T/100BASE-TX Ports
- 10/100 Voll- oder Halbduplex
- Autonegotiation
- RJ-45-Anschlüsse für UTP-Ports
1000BASE-SX Ports
- Vollduplex Gigabit Ethernet
- SC-Glasfaseranschlüsse
- Kurzwelle (850 nm)
- 62,5 µm MM Glasfaser 2 bis 275 m
- 50 µm MM Glasfaser - 2 bis 550 m
Preview
Auf Basis der ermittelten Daten erstellt das Projekt-Team am zweiten Tag
ein komplettes Security-Konzept, inklusive möglicher Optionen, die alternative Produkte oder Sicherheitsmechanismen berücksichtigen. Die
Vorschläge wägen sorgfältig ab, welche Produkte Sicherheit zum besten
Preis garantieren, und welche Security-Maßnahmen die Anforderungen
des Endkunden am besten erfüllen. Auch die Festlegung von Policies
gehört zum Paket.
Review
Am dritten Tag findet die Implementierung der ausgearbeiteten SecurityMaßnahmen vor Ort statt. Zusätzlich erhält der Endkunde eine Grundlagen-Einweisung in alle Sicherheitsmaßnahmen und deren Handhabung.
Kurz nach der Implementierung führt das Projekt-Team an einem vierten
Tag einen Review durch, in dessen Rahmen u.a. eine Kontrolle der Logfiles
stattfindet. So ist sichergestellt, daß alle getroffenen Maßnahmen und
Sicherheitsregeln greifen. Falls nötig, werden ergänzende Maßnahmen
geplant und verwirklicht. Als zusätzlicher Service besteht im Zeitraum
zwischen der Implementierung und dem Review telefonischer Support.
Fragen zum Security-Paket oder allgemein zum Thema ”Security” beantwortet das Projekt-Team unter 02631 / 983-345 oder per E-Mail-Anfrage
an [email protected]. Besuchen Sie uns auch im Internet
unter www.projekte.compu-shack.com.
11
Ausgabe 11/2002
59
p
PRAXIS
BINTEC
IPsec-Implementierung
Teil 2: IPsec Setup Wizard
Von Hardy Schlink
Wir haben Hintergründe und Details der IPsec-Implementierung in den BinTec-Routern vorgestellt und wollen sie
nun am praktischen Beispiel umsetzen. Für die Ipsec-Konfiguration bietet uns BinTec mit dem IPsec Setup Wizard ein
äußerst hilfreiches Programm, das uns die Arbeit dabei wesentlich erleichtern kann.
U
Um nicht direkt mit der Vielzahl an
Parametern der IPsec Konfiguration
konfrontiert zu werden, bietet es sich
an, die ersten Schritte mit dem IPsec
Setup Wizard durchzuführen. Wir
werden ihn Ihnen vorstellen. Denn er
begleitet Sie recht komfortabel durch
den Konfigurationsprozeß, wobei eine ganze Reihe grundlegender und
notwendiger Parameter definiert werden.
PRAXIS
Wizard - Basics
tern, was genau in verschiedenen
Einzelschritten vom IPsec Setup
Wizard durchgeführt wird.
1 NAT Settings
Der IPsec Wizard überprüft, ob die
Funktion der NetWork Addr ess
Translation (NAT) auf dem Router
aktiviert wurde. Falls notwendig,
werden automatisch die NAT-Settings
so angepaßt, daß IPsec korrekt funktioniert, und keine Datenpakete unnötigerweise gedropped werden.
Der Vorteil besonders für den Anfän2 Proposals
ger ist, daß die Komplexibilität der
IPsec-Konfiguration hinter einer über- Der IPsec Wizard legt mögliche Komschaubaren Anzahl von Menüs zu- binationen aus Verschlüsselung und
nächst einmal verborgen bleibt. Das Hash-Algorithmen an, die hier aber
bedeutet, daß die im IPsec Wizard nicht als aktuelle Konfiguration gegetätigten Eingaben vom BinTec- nutzt werden. Sie können die sogeRouter automatisch in die entspre- nannten Proposals später im Hauptchenden IPsec-Menüs eingetragen menü von IPsec auswählen. Per
werden, und Ihnen eine Menge Ar- Default wird als Kombination aus
beit erspart bleibt.
Wenn Sie den Wizard
das erste Mal starten, Abb. 1: Hauptmenü des IPsec Setup Wizard
öffnet sich das in
Abbildung 1 dargestellte Hauptmenü.
Hier starten Sie den
Konfigurationsprozeß mit start
wizard oder überspringen ihn, indem
Sie die Option Exit
auswählen und anschließend mit Return bestätigen. Im
folgenden wollen
wir Ihnen kurz erläu-
Verschlüsselung- und Hash-Algorithmen Blowfish und MD5 definiert, die
aber zu einem späteren Zeitpunkt problemlos geändert werden können.
3 Authentication
Während des Konfigurationsprozesses werden Sie vom Wizard aufgefordert, eine Authentifizierungsmethode auszuwählen. Wenn kein
Schlüsselpaar verfügbar ist, wird vom
IPsec Wizard ein Standard Public
Keypair gebildet, ein 1024 bit RSA
Key mit Public Exponent 65537, der
deshalb auch Automatic Key RSA
1024 e65537 genannt wird.
Wird preshared_keys ausgewählt,
so fahren Sie mit Step 8 fort, um Ihren
Peer mit dem notwendigen „Preshared
Key“ zu versehen. Wählen Sie eine
zertifikatbasierende Authentifizierungsmethode (DSA, RSA, RSA
Encryption), so werden zuvor die
Schritte 4 bis 7 ausgeführt, bevor die
Peer-Konfiguration beginnen kann.
4 Certificate
Enrollment
Der Wizard überprüft,
ob eigene Zertifikate
für die Keys installiert
sind, welche auf dem
Router gefunden wurden. Hat er den Schlüssel generiert, so wird
nachgefragt, ob Sie das
sogenannte Certificate
Enrollment initialisieren möchten. Wenn Sie
11
Ausgabe 11/2002
60
sich dazu entschließen, ein Zertifikat
anzufordern, so erfolgt anschließend
ein Wechsel in das Certificate
Enrollment Menü: I P S E C /
CERTIFICATE AND KEY MANAGEMENT / KEY MANAGEMENT /
REQUEST CERT.
5 Own Certificate
Haben Sie die Konfiguration des
Certificate Enrollment durchgeführt
oder auch nur übersprungen, so fragt
der IPsec Wizard, ob Sie ihr eigenes
Zertifikat downloaden möchten. Haben Sie zu diesem Zeitpunkt ihr Zertifikat noch nicht erhalten, können
Sie den Wizard an dieser Stelle stoppen und zur gegeben Zeit wieder aufnehmen. Entscheiden Sie sich jetzt
für den Import des Zertifikats, so führt
Sie der Wizard zum Menü IPSEC /
CERTIFICATE AND KEY MANAGEMENT und dort zum Unterpunkt
OWN CERTIFICATE/ DOWNLOAD.
6 CA Certificate
Nachdem das eigene Zertifikat importiert wurde, fordert Sie der Wizard auf,
ein sogenanntes CA Certificate down
zu laden. Hierbei handelt es sich um
das Zertifikat, welches die Certificate
Authority (CA), von der Sie ihr eigenes Zertifikat erhalten haben, benutzt, um sich selbst zu authentifizieren. Sie müssen eines importieren,
damit die zertifikatbasierte
Authentifizierung funktioniert. Der
IPsec Wizard wechselt hierzu im
CERTIFICATE AND KEY MANAGEMENT
zum Unterpunkt
CERTIFICATE AUTHORITY
CERTIFICATES / DOWNLOAD.
7 CRL Server/Peer
Certificate
Wenn CA- und eigene Zertifikate
importiert wurden, so erwartet der
Wizard von Ihnen, den Server zu spezifizieren, von dem sogenannte
Certificate Revocation Lists geladen
werden können. Diese Aktion ist notwendig, wenn kein CRL Distribution Point im Zertifikat selbst definiert
ist, und die RSA-Encryption als
Authentifizierungsmethode gewählt
wurde. Sollte ein CRL-Server angegeben werden, so geht es zum Unterpunkt ...CERTIFICATE SERVERS
/ ADD.
Wenn Sie keinen LDAP Server spezifiziert haben und kein CRL
Distibution Point im Zertifikat definiert und die RSA-Encryption zur
Authentication gewählt wurde, so
fordert der Wizard Sie auf, ein PeerCertificate downzuladen, der Unterpunkt dafür heißt dementsprechend
... P E E R C E R T I F I C A T E S /
DOWNLOAD.
8 Peer
Der nächste Schritt besteht in der
Konfiguration des IPsec-Peer. Hierfür
sorgt der IPsec Wizard, indem er zum
Menüpunkt IPSEC / CONFIGURE
PEERS / APPEND wechselt. Von
diesem Zeitpunkt an ist der Router
für das Bearbeiten des IPsec-Protokolles eingestellt und routet weiterhin ungeschützte Daten, nur der Verkehr, der in der Peer Traffic List eingetragen ist, wird abgesichert (siehe
Step 9).
9 Traffic List
Wenn ein Peer bereits angelegt wurde, so werden Sie gefragt, ob eine
Traffic List für einen bestimmtem
Peer konfiguriert werden soll, dies
geschieht unter ... CONFIGURE
PEERS mit EDIT/APPEND. Es gilt
dabei zu beachten, daß mit Hilfe des
Wizard nur ein Traffic-Eintrag angegeben werden kann.
Mit diesem neunten Schritt wird der
Wizard beendet. Das Resultat ist eine
funktionierende IPsec-Konfiguration, welche es erlaubt, den Datenverkehr zwischen den angelegten Peers
gegen unterschiedliche Arten von
Angriffen und Manipulationen zu
schützen. Welche Daten abgesichert
übertragen werden, hängt von der
konfigurierten Traffic List ab, die innerhalb des IPsec Setup definiert wurde.
Es gilt auf jeden Fall zu beachten,
daß dem Wizard erlaubt wird, die
ersten beide Konfigurationsschritte komplett durchzuführen.
Dies ist notwendig, damit er die
IKE- und IPsec Proposals anlegen
kann, die Sie auf jeden Fall benötigen, unabhängig davon, wie die
anschließende Ipsec-Konfiguration aussehen soll.
Beim nächsten Mal soll anhand von
Beispielkonfigurationen gezeigt
werden, welche Arten der LAN-LANKopplung über das Internet existieren, und wie die beteiligten Router
hierbei einzustellen sind.
Wireless LAN
Fibel
Mit ihrer produktbegleitenden Broschüre
”Was ist eigentlich ein Wireless LAN” hilft
die Compu-Shack Production den Anwendern ihrer WAVEline Produkte beim Einstieg
in die Technologien von Funknetzwerken.
Die kleine Wireless LAN Fibel mit Glossar
berät bei der drahtlosen Vernetzung von PCs
und Notebooks und erklärt den Aufbau von
Funknetzwerken.
Sie kann kostenlos bestellt werden, per EMail an: [email protected]
11
Ausgabe 11/2002
61
v
VORSCHAU
WORKSHOPS - ROADSHOWS - SEMINARE
3Com TechUp 2002
eXpandable Resilient Networking und Wireless Security
Im November 2002 bringt die TechUp 2002 von 3Com aktuelle Technologiefragen auf den Punkt. Zum Thema
eXpandable Resilient Networking wie auch zu Wireless LAN Security erfahren Netzwerker und Techniker Produktneuheiten und technische Details der aktuellen 3Com Technologien.
B
Bei ihrem bundesweiten Technologie Update informiert 3Com mit LiveDemos praxisnah im kleinen Kreis.
In diesen halbtägigen Nachmittagsveranstaltungen von Technikern zu
Technik ern bilden eXpandable
Resilient Networking und Wireless
LAN je eigene Themenkreise.
XRN Technologie
Im Tech-Up zu XRN geht es um innovative Wege im Backbone-Design.
Wire-Speed, Skalierbarkeit und Redundanz stehen im Mittelpunkt. Die
Netzwerkspezialisten informieren
gezielt über Produktneuheiten, Techniken und Trends. Zum Fokusthema
XRN bieten sie Hintergründe, Fachwissen und praxisorientierte Demos
zu Technologien und Grundlagen eines Distributed Switching über XRN
mit Multilayer-Redundanzkonzepten. Distributed Device Management
(DDM), Distributed Resilient Routing (DRR) und Distributed Link Ag-
gregation (DLA) sind die Kernbegriffe für ein optimales Design mit
XRN. Migrationskonzepte und die
Integration in bestehende Netzwerke
werden ebenfalls vorgestellt.
Wireless LAN Security
In einer zweiten Veranstaltungsreihe
innerhalb der Tech-Up 2002 unterrichtet 3Com gezielt über die
Produktneuheiten und Sicherheitsimplementierung im Wireless LAN.
Aufbau und Funktion von WLANs
und die technischen Details der
3Com Access Points 2000, 6000 und
8000 bilden die Grundlage. Buildingto-Building Bridges und WLANs für
jedes Ethernet System zeigen erweiterte Einsatzmöglichkeiten. Die
Sicherheitslösungen für Funknetze
werden anhand von Livedemos vorgestellt. 3Com´s Firewall- und VPNLösungen runden das Thema ab. Auskunft erteilt das Compu-Shack BusinessTeam 3Com.
Alle Anmeldungen zu Veranstaltungen
der Compu-Shack können online unter:
www.portal.compu-shack.com in der
Rubrik Workshops erfolgen.
Trainingskalender 2003
Der neue Kalender der Compu-Shack Training für das erste Halbjahr 2003 ist da. Er
informiert Sie schon heute über die kommenden
Schulungen und Workshops in den Trainingszentren
Neuwied, München, Potsdam und Frankfurt. Durch eine
vorausschauende Planung erhalten Frühbucher bei
einer Anmeldung bis 60 Tage im voraus Rabatte bis zu
15% auf die aktuellen Listenpreise. Der
Trainingskalender 2003 liegt dieser Ausgabe bei und
kann auch im neuen Internetportal downgeladen
werden: www.training.compu-shack.com.
Netzwerkseminare: Highlights im November/ Dezember 2002
VORSCHAU
Kursbezeichnung
Interconnecting Cisco Network Devices
Kurs-Nr.
Cis ICND
Termin
04.11.-08.11.02
11.11.-15.11.02
09.12.-13.12.02
Cis MCNS 16.12.-20.12.02
Cis PFA
19.11.-22.11.02
03.12.-06.12.02
Cis IDS
11.12.-13.12.02
Cis VPN
ab Januar 2003
Managing Cisco Network Security
Cisco Secure PIX Firewall Advanced
Cisco Secure Intrusion Detection System
Cisco Secure Virtual Private Network
Designing a Secure Microsoft Windows 2000 Network
Deploying and Managing Microsoft ISA Server 2000
WatchGuard Firewall & VPN
TCP/IP for Networking Professionals
Internet Security Management with
BorderManager (EE)
Alle genannten Preise gelten zuzüglich
der gesetzlichen Mehrwertsteuer.
MS 2150
MS 2159
WG 001
NV 606
NV 770
9.12 - 13.12.02
26.11 – 28.11.02
04.12 –06.12.02
20.11 – 22.11.02
18.11 – 20.11.02
Veranstaltungsort
Neuwied
Potsdam
Potsdam
Neuwied
Neuwied
Preis in €
2.290,-
Neuwied
Neuwied
München
Neuwied
München
München
Potsdam
München
2.550,2.040,-
2.290,2.040,-
1.850,1.190,1.950,1.190,1.190,-
Das aktuelle Trainings-Programm finden Sie unter
www.training.compu-shack.com, persönliche Beratung unter:
02631-983-317 oder per e-Mail an [email protected].
11
Ausgabe 11/2002
62
MESSEN, ROADSHOWS, SEMINARE
N 12
No 12/2002
Thema des Monats Dezember
ADRESSIERUNG
Anberaumt
Internet Protokoll v6
Von Detlev Reimann
Das beständige Wachstum des globalisierenden
Internet und der zunehmende Wunsch nach
weltumfassender
Kommunikation
erfordert
Anpassungen der Infrastrukturen. Im schwindenden
Adreßraum explodiert die Zahl von Benutzern,
Anwendungen, Geräten und Diensten. Deshalb wurde
IPv6 anberaumt, mit dem Ziel geeignete Mechanismen
bereitzustellen, die den gestiegenen Anforderungen
und dem erhöhten Bedarf im Internetworking gerecht
werden. Im Zentrum dieser Technologie steht die
Praxis:
Lösung des Adressierungsproblems. Doch damit
verbunden sind angrenzende Aufgabenstellungen.
Diese ergeben sich nicht nur aus dem erweiterten
Adreßraum, sondern auch aus dem Bemühen der
Designer, die Protokolle transparenter und in ihrer
Nutzung effektiver zu machen. Eines steht jetzt schon
fest: IPv6 erfordert neue Aufwendungen für Planung,
Implementierung und den Betrieb. Die Europäische
Union begegnet der Herausforderung mit dem Konzept
eEurope2005, in der IPv6 eine zentrale Rolle spielt.
Die IT-Verantwortlichen und Administratoren werden
sich schon sehr bald mit dem Thema und den
zugehörigen Migrationsstrategien beschäftigen
müssen. Erste Implementationen des Protokolls sind
bereist verfügbar. Auch wenn in den Foren noch nicht
alles ausdiskutiert ist, sind bereits wichtige Eckpfeiler
gesetzt. Der nächste Technik News Schwerpunkt stellt
das Adreßkonzept von IPv6 vor und gibt einen ersten
Einblick in das Internet Protokoll der kommende Jahre.
Wahlverbindung, Teil 1:
BinTec IPsec, Teil 3:
Do it Dot NET, Teil 8:
Nortel Networks Contivity
IPSec LAN-LAN Kopplung
Mobile Information Server
Aktuelle Demo-CDs und Trials können Sie kostenlos unter www.technik-news.de bestellen. In der Medienübersicht des Compu-Shack Fachhandelsportals unter http://portal.compu-shack.com finden Sie zudem alle verfügbaren Compu-Shack Kataloge, Printmedien und kostenlose Informationsbroschüren zu speziellen Technologiethemen und Services, u.a. das neue Technik News Sonderheft “Wireless LAN” oder die Neuauflage der WLANBroschüre. Interessante Downloads der Compu-Shack Solution befinden sich unter: www.training.compushack.com. im Bereich Downloads.
Ausgewählte Termine
12.09.2002
04.11.2002
17.-20.09.02
04.11.2002
18.09.2002
05.11.2002
19.09.2002
06.11.2002
20.09.2002
07.11.2002
23.-27.09.02
11.11.2002
23.09.2002
19.-21.11.2002
24.09.2002
25.11.2002
25.09.2002
26.11.2002
04.-06.09.02
27.11.2002
08.10.2002
28.11.2002
12.10.2002
14.-18.10.2002
19.-21.11.2002
CS Security Learning Cycle: Live Hacking Session
3Com Tech-Up 2002: WLAN
Frankfurt
Compu-Shack Production: Wireless Tour 2002
3Com Tech-Up 2002: XRN
Frankfurt
CS Security Learning Cycle: AVAYA Wireless
3Com Tech-Up 2002: WLAN
Düsseldorf
Compu-Shack und AVM: Remote Access über VPN
3Com Tech-Up 2002: WLAN
Hamburg
CS Security Learning Cycle: AVAYA Wireless
3Com Tech-Up 2002: WLAN
Berlin
Compu-Shack Production: Wireless Tour 2002
3Com Tech-Up 2002: WLAN
München
Compu-Shack und Watchguard: Security Workshop
exponet Cologne 2002
Köln
CS Security Learning Cycle: AVAYA Wireless
3Com Tech-Up 2002: XRN
Stuttgart
Compu-Shack und Watchguard: Security Workshop
3Com Tech-Up 2002: XRN
Düsseldorf
Linux Kongress
3Com Tech-Up 2002: XRN
Hamburg
CS Security Learning Cycle: Live Hacking Session
3Com
Tech-Up
2002:
XRN
Berlin
CS Security Learning Cycle: Live
Hacking Session
Systems 2002
exponet Cologne 2002
11
Ausgabe 11/2002
63
Dortmund
Nord- und Ostdeutschland
Neuwied
Potsdam
Potsdam
West- und Süddeutschland
Neuwied
München
München
Köln
Leipzig
München
München
Köln
11
Ausgabe 11/2002
64