DM 14,- ÖS 110,-
Sfr. 14,-
Nr. 1, Januar 2000
1
Das Magazin für Netze, Daten- und Telekommunikation
www.lanline.de
Firewalls Permanente Überwachung mit Angriffs-Tools Multicast und Sicherheit Stateful Inspection Das Magazin für Netze, Daten- und Telekommunikation Januar 2000
Januar 2000
Firewalls/Mobile Computing
Hochverfügbarkeit mit Marktübersicht Firewalls
Mobile Computing Wireless Application Protocol Palm OS und CE treffen Exchange und Domino Remote-Access-Lösungen mit Marktübersicht GSM-Adapter
QoS und Speed für Wireless-LANs Vision: 50 MBit/s und mehr
Test im LANline-Lab: Novanet Version 7 Backup-Software für Netware und NT
Elektromechanische Unterschrift Alternative zum Paßwortschutz 0 1 4 398039 714002
B 30673
ISSN 0942-4172
EDITORIAL
140. AUSGABE
Stefan Mutschler Chefredakteur
DER ETWAS ANDERE “MILLIBUG”
Jetzt sind es nur noch wenige Tage bis zum magischen Datumswechsel. Die gesamte IT-Welt zittert vor dem großen Millennium-Bug, und kaum ein IT-Techniker und -Manager in verantwortlicher Position wird dieses Sylvester entspannt genießen können. Ohne die möglichen Probleme herunterspielen zu wollen, muß ich mich allerdings doch fragen, ob der wahre Milliennium-Bug nicht vielleicht ganz woanders liegt – womöglich mitten in unseren Köpfen. Ich halte Netzwerker nach knapp 15 Jahren eigener Erfahrung im großen und ganzen für aufgeklärte und vernünftige und dabei meist weltoffene, sehr engagierte Menschen. Immerhin ist aus diesen Kreisen das entstanden, was die Welt am Ende des Jahrtausends in noch nicht gekanntem Maße umgekrempelt hat: das Internet. Und das Internet ist mehr als nur einfach irgendein elektronisches Netzwerk. Es ist auch, und vielleicht sogar zuerst, eine Philosophie der globalen Kommunikation – ohne die historischen Horizonte wie Familie, Dorf, Region oder Nation. Durch das Internet ist die Welt auf eine Größe geschrumpft, in der im Prinzip jeder mein “Nachbar” ist. Das ist heute bereits eine Tatsache, egal, ob man sich dagegen wehren, es passiv hinnehmen oder aktiv mitgestalten will. Treibende Kraft für die Weiterentwicklung der Idee des Internets ist zur Zeit sicher sehr stark das, was als E-Business, E-Commerce oder sonstige E-x kursiert. Die Potentiale für Wissenschaft, Politik, Kultur und Religion sind aber sicher nicht geringer. Außer dem globalen Ansatz gibt es in der Physik des Internets noch ein weiteres wichtiges Prinzip: Jede Ressource, die an das Netzwerk angeschlossen wird, ist eine Bereicherung für das Ganze. Jeder neue Server erweitert die Leistungsfähigkeit und die Wissensbasis des gesamten Netzwerks – egal, auf welcher Hardware und Software er läuft. Wohl kaum eines der dringenden Menschheitsprobleme läßt sich in anderen als globalen Kategorien lösen, ob Hunger/Armut, Bildung/Erziehung, Bevölkerungsentwicklung, Umweltschutz oder Friedenssicherung. Das ist ein Faktum, das sich sowohl mit dem Herzen als auch mit Vernunft “verstehen” läßt. Und wenn ich am Anfang vom Milliennium-Bug in unseren Köpfen gesprochen habe, so meine ich damit die immer noch sehr starke Abwehr wichtiger Grundsätze, die zur Lösung genau dieser Probleme erkanntermaßen unbedingt nötig sind und deren Qualität uns das Internet in der virtuellen Welt deutlich vor Augen führt: Globale Denke und das Bewußtsein, daß jede der vielfältigen “Ressourcen”, die insgesamt die Menschheit bilden, eine Bereicherung für alle ist. Wäre es nicht angebracht, auch über diesen Jahrtausend-Bug einmal näher nachzudenken? In diesem Sinne möchte ich Ihnen, liebe Leser, auch im Namen des LANline-Teams, ein frohes Weihnachtsfest und einen besonders reibungslosen Rutsch ins nächste Jahrtausend wünschen.
(
[email protected])
LANline 1/2000
3
INHALT
Wireless LANs geben Gas: Hiperlan/2 beispielsweise soll Geschwindigkeiten von 50 MBit/s und mehr bieten (Seite 10)
WAP-Handys oder WAP-Organizer wie hier der Siemens Unifer sind Renner beim mobilen Computing (Seite 108)
NETZWERKTECHNIK
NETZWERKMARKT
RUBRIKEN
Wireless LANs: Neue Standards für mehr Speed.........10
Elektromechanisch unterschreiben: Eine Alternative zum Paßwortschutz..56
Editorial.................................................3
Trends bei der Verkabelung: LWL in aller Munde...........................14
EJB für Enterprise-Applikationen: Verteilte Verarbeitung........................60
Seminarführer...................................145
Host-Connectivity: Verbesserungen im Detail..................18
LANline Tips & Tricks......................64
Im Test: Ben Hur und Team Internet: Internet und E-Mail für die ganze Firma...................................................22
Com-Navigator.................................147 Inserentenverzeichnis.......................152 Fax-Leser-Service.............................153
Marktmeldungen.................................19 NETZWERKPRODUKTE & SERVICES
Stellenanzeigen.................................132
NETZWERKPRODUKTIVITÄT City-IP-Netz in Frankfurt/Main: Fünf Administratoren für 5000 Anwender...................................70
Vorschau...........................................154 Impressum.........................................154
DM 14,- ÖS 110,-
Sfr. 14,-
Nr. 1, Januar 2000
Das Magazin für Netze, Daten- und Telekommunikation
Die Entwicklungsumgebung Vision Jade Automatisch programmieren..............28
www.lanline.de
Firewalls Permanente Überwachung mit Angriffs-Tools Multicast und Sicherheit Stateful Inspection Hochverfügbarkeit Das Magazin für Netze, Daten- und Telekommunikation
Im Test: Novanet Backup unter Netware und NT: Aus dem Land der Wizards................32 NETZWERKMARKT
WIRELESS LANS
Neue Standards für mehr Speed Mobile Datenübertragung gehört zu den derzeit interessantesten Themen in der IT-Industrie. Dies gilt nicht nur für Mobilfunknetze und Wireless Local Loop, sondern in zunehmendem Maße auch für die immer schneller werdenden drahtlosen lokalen Netze. Deren Standardisierung kommt zügig voran, und weitere Hersteller springen auf den in Fahrt
Produkt-News:....................................46
Hinweis Das Jahresinhaltsverzeichnis der LANline 1999 finden Sie in diesem Jahr ausschließlich auf unserer Homepage unter http://www.lanline.de
gekommenen Zug auf.
Das neue Jahrtausend soll auch das Marktsegment der Wireless LANs (WLAN) beflügeln. Dies sagen sämtliche Forschungsinstitute voraus. Nach Angaben von IDC etwa liegt der Umsatz im Jahr 2000 bei etwa 840 Millionen Dollar und wird auf 1,3 Milliarden Dollar im Jahr 2003 ansteigen. Der Grund für den Boom dürfte allerdings nicht im Überspringen der Jahrtausendmarke, sondern vielmehr in handfesten technischen Weiterentwicklungen liegen. Dabei stehen ausgereifte, auf internationalen Standards basierende Produkte mit an erster Stelle – Produkte, die eine deutlich höhere Bandbreite zur Verfügung stellen als bislang und dadurch neue Anwendungen wie Multimedia ermöglichen. Die Grundlage für den Aufschwung von WLANs wurde dabei bereits vor etlichen Jahren gelegt und seit diesem Zeitpunkt ständig er-
10
L AN line 1/2000
weitert. Dazu zählt die Spezifikation ETS 300328, mittels derer die technischen Voraussetzungen für das ISM-Band zwischen 2,4 und 2,4835 GHz definiert und die
greifende Anlagen, wobei die betreffenden Grundstücke keine wirtschaftliche Einheit bilden müssen. Funk-LANs sind anmeldeund gebührenfrei, und die Bedingung für die Zulassung ist lediglich ein bestandener Test bei einem unabhängigen, akkreditierten Testlabor oder in Deutschland auch das Bundesamt für Post und Telekommunikation. Im Jahre 1997 wurde mit IEEE 802.11 der wohl bedeutendste Fortschritt erzielt, nämlich endlich ein Standard für drahtlose LANs verabschiedet. Dieser umfaßt drei Technologien zur drahtlosen Datenübertragung: – 2,4 GHz Frequency Hopping Spread Spectrum (FHSS), 1 und 2 MBit/s, – 2,4 GHz Direct Sequence Spread Spectrum (DSSS), 2 MBit/s sowie – Infrarot.
Die Vision über die Jahrtausendwende hinaus: Hiperlan/2 soll Übertragungsgeschwindigkeiten bis über 50 MBit/s ermöglichen
Zulassungskriterien für Datenfunksysteme in diesem Frequenzband festgelegt wurden. Mitte der 90er Jahre erfolgte die Ausdehnung des Gültigkeitsbereichs für den Betrieb von Funk-LAN-Systemen auf grundstücksüber-
Doch vor allem in der relativ geringen Übertragungsgeschwindigkeit sahen Marktuntersuchungen – neben nicht immer nachgewiesener Interoperabilität zwischen den Lösungen verschiedener Hersteller – den Hemmschuh
für ein schnelleres Wachstum. Dies hat sich zwischenzeitlich geändert. ÜBERTRAGUNGSRATEN VERVIELFÄLTIGEN SICH So
hatte bereits im Frühjahr 1999 Proxim Produkte gemäß dem ETSI-Standard Hiperlan Typ 1 (Wireless Ethernet) angekündigt, der sowohl für Europa als auch in den USA anwendbar ist. Nach Aussagen des Unternehmens wurde dieser Standard vor allem entwickelt, um eine vergleichbare Wireless-Leistung wie bei leitungsgebundenen LANs, zum Beispiel Ethernet, zu realisieren. Außer der hohen Datenrate von 24 MBit/s sollen die Spezifikationen allerdings noch wesentlich mehr bieten. Dazu gehöre in erster Linie die Unterstützung von Sprache, Video und Datenkommunikation mit Quality of Service, um die Übertragung von zeitkritischen Inhalten für Multimedia-Anwendungen zu gewährleisten. Im Herbst dieses Jahres wurde nun das Hiperlan2 Global Forum vorgestellt, ein Konsortium zur Entwicklung des neuen Breitbandstandards Hiperlan2. Das Ziel ist es, bis zu Beginn des Jahres 2002 interoperable Produkte auf den Markt einzuführen. Hiperlan2 wird dabei nach Aussagen der in dem Forum vetretenen Unternehmen, zu denen unter anderem Bosch, Dell, Ericsson und Nokia gehören, im 5-GHz-Band arbeiten und bis zu 54 MBit/s an Übertragungsgeschwindigkeit bieten. Es soll darüber hinaus auch eine nahtlose Verbin-
Januar 2000
Serie: Einführung in die Netzwerkanalyse (Teil 2): Tools für die Analyse und Statistik....38
10
mit Marktübersicht Firewalls
Mobile Computing Wireless Application Protocol Palm OS und CE treffen Exchange und Domino Remote-Access-Lösungen mit Marktübersicht GSM-Adapter
QoS und Speed für Wireless-LANs Vision: 50 MBit/s und mehr im Plan
L AN line 1/2000
Elektromechanische Unterschrift Alternative zum Paßwortschutz 0 1 4 398039 714002
B 30673
ISSN 0942-4172
NETZWERKPRODUKTE & SERVICES
BACKUP UNTER NETWARE UND NT MIT NOVANET
Aus dem Land der Wizards Bei Novanet 7 Backup für Netware und Windows NT handelt es sich um ein Datensicherungsprodukt, das sich durch einfache Bedienung, effektive Sicherungsmechanismen und gute Konfigurierbarkeit auszeichnet. Administratoren von heterogenen Netzen mit Netware und Windows-NT-Rechnern sollten einen Blick auf dieses Backup-Programm werfen.
nbekannt heißt noch lange nicht unwichtig, Novastor ist ein Beweis dafür. Das Unternehmen hat ein ganzes Arsenal von Backup-Programmen, Verschlüsselungs-Software und anderen Werkzeugen für den Umgang mit Massendaten im Programm. Das LANline-Lab hat sich hier aus dem Produktportfolio Novanet Alliance 7 vorgenommen, ein Datensicherungspaket für heterogene Netzwerkumgebungen aus Netware- und Windows-Rechnern. Linux kommt laut Hersteller demnächst dazu. Novanet 7 unterstützt Netware und Windows NT in einem Produkt. Ein Un-
U
Die bevorzugte Novanet-7-Konfiguration
6
Test im LANline-Lab: Novanet Version 7 Backup-Software für Netware und NT
32
L AN line 1/2000
terschied, der im Vergleich zu den bekannteren Backup-Lösungen wie CAI Arcserve und Seagate Backup Exec von Anfang an angenehm ins Auge fällt. Installations-CD eingelegen, den Anweisungen folgen, in fünf Minuten ist das Programm installiert, geladen und sichert. Da gibt es keine Unterschied zwischen Netware und Windows NT. Novanet 7 installiert einen Manager und einen Agent. Je nachdem, ob der Manager oder der Agent gestartet wird, kann die Host-Maschine als Backup-Server/ Client oder nur als Backup-Client arbeiten. Novanet nennt das “Peer-to-Peer Ar-
chitecture” und meint damit, daß jeder Rechner ein Backup-Server sein kann, wenn nur ein Datensicherungsgerät angeschlossen ist und die entsprechenden Treiber geladen sind. Die von Novanet bevorzugte Konfiguration besteht aus – Storage-Management-Server, – Storage-Management-Database-Server, – anderen Servern oder Arbeitsplatzrechnern mit oder ohne angeschlossenes Datensicherungsgerät. Der Storage-Management-Server ist so etwas wie die zentrale Verwaltungskonsole und für die Betreuung der BackupProzesse reserviert. In der Storage-Management-Datenbank hebt Novanet 7 alles auf, was es über den aktuellen Zustand der Datensicherungsumgebung weiß. Wird der Management-Agent oder der Backup-Agent an einem Rechner geladen, werden die aktuellen Daten dieses Rechners in die Storage-ManagementDatenbank eingetragen, und der Rechner steht Novanet mit allen angeschlossenen Sicherungsgeräten zur Verfügung. Die Datenbank ist offensichtlich robust. Das LANline-Lab hat während eines Sicherungslaufs den Datenbankrechner abgeschaltet. Der Agent war in der Lage, die Datenbank beim Neustart erfolgreich wieder zu reparieren. Jedes Gerät kann nur in einer “Storage Management Database” eingetragen sein, aber es kann viele Datenbanken in einer Novanet-Installation geben. Jede Datenbank wird im Netz als “StorageManagment-Zone” propagiert. Der Datensicherungs-Agent ordnet beim Start das Gerät einer Storage-ManagementZone zu. Wichtig am Novanet-Konzept ist, daß die Storage-Management-Datenbank immer auf einem Rechner liegen sollte, der kein Sicherungs-Server ist. Das stellt sicher, daß im Falle des Unglücks entweder Sicherungs-Server oder die Datenbank nicht mehr im Zugriff sind, aber nur im Falle großen Unglücks beide zur gleichen Zeit. Novanet ist der Meinung, daß das Bandlaufwerk, wenn irgend möglich, an dem Gerät hängen sollte, dessen Daten
32
SCHWERPUNKT: FIREWALLS Vom Paketfilter zum integrierten Firewall-Router: Firewall-Technologien.......................................................72 Security wird oft vernachlässigt: Einsatz von Multicast in Unternehmensnetzen.................80 Zentrale Systeme müssen laufen: Hochverfügbarkeitslösungen für Firewalls........................88 Hochverfügbare Sicherheit: Eine Frage der Stabilität.....................................................92 Sicherheitskonzepte überprüfen: Abwehrstrategien fürs Internet...........................................96 Marktübersicht: Firewalls................................................102 Anbieterübersicht: Firewalls............................................107
SCHWERPUNKT: MOBILE COMPUTING Wireless Application Protocol: Endgeräte und Anwendungen..........................................108 Im Test: IBM Mobile Connect 2.2: Palm-OS und CE treffen Domino und Exchange...........114 Im Test: Compaq Aero 8000 und HP Jornada 820E: Zwei Giganten mit Windows CE.....................................119 Im Test: Symantec Mobile Essentials: Guter Geist für mobile Benutzer......................................121 Datensicherung außerhalb des Netzes: Mobile Daten müssen sicher sein....................................122 Remote-Access-Lösungen: Herausforderung oder Managementproblem..................125 Der mobile Administrator: Server-Überwachung mit dem Handy.............................128 Marktübersicht: GSM-Adapter........................................130 Anbieterübersicht: GSM-Adapter....................................131
NETZWERKTECHNIK
ELEKTROMECHANISCH UNTERSCHREIBEN
Eine Alternative zum Paßwortschutz Das Internet, der Fernzugriff von entfernten Mitarbeitern und die An-
kann jedes Sicherheitssystem zunichte machen, etwa: wenn der Anwender mit seinem Paßwort nicht richtig umgehen kann, ihm seine Identifikation gestohlen wird oder wenn er seine Identifikationen zu unsicher verwahrt. Deshalb sucht die Branche nach Systemen, die die Person wirklich identifizieren können, weil sie beispielsweise auf unverwechselbaren nicht zu fälschenden biometrischen Merkmalen basieren.
bindung von Filialen erschweren es dem Administrator, das UnternehDIE VORGABEN DER ITSEC Die EU legte mit ITSEC “Kriterien für die Bewertung der Sicherheit von Systemen der Informationstechnik” fest, mit ihnen soll eine europaweit einheitliche Bewertung von IT-Systemen möglich sein. Dabei ist die IT-Sicherheit als eine “Kombination aus Vertraulichkeit, Integrität und Verfügbarkeit” definiert. Das Vertrauen in sicherheitsspezifische Funktionen bezeichnet ITSEC als den Kollegen die Codes zu erfahren. Oder Vertrauenswürdigkeit, und diese soll soder Interessent erfährt durch Zufall oder wohl für die Korrektheit als auch für geschicktes Fragen die Geburtstage von die Wirksamkeit sicherheitsspezifischer Frau und Kindern, den Hochzeitstag, die Funktionen gelten. Da die meisten IT-NutNamenstage der wichtigsten Verwandten zer nicht in der Lage sind, die Sicherheit und ähnliche Daten. Auch wird niemand der eingesetzten Systeme und Produkte zu prüfen, sollen dies neutrale Stellen übernehmen. ITSEC sieht dabei vor, daß das Prüfungsverfahren, Evaluation genannt, objektiv und nach genau definierten Kriterien verlaufen soll. Die ordnungsgemäße Evaluation wird nach ihrem Abschluß von einer ZertifizieDruckverläufe von drei Unterschriften für ein Kennfeld Sensor 1 bis Sensor 4 von oben nach unten Quelle: Hesy rungsstelle wie beispielsweise dem BSI (Bundesamt für die einen Kollegen oder Freund des Raums Sicherheit in der Informationstechnik) beverweisen, wenn er die PIN eingibt. Mit stätigt. Bei dieser Evaluation wird auch geCodes ist es nicht anders. Von einer ver- prüft, inwiefern ein Sicherheitsmechanissteckten Kamera sei erst gar nicht die Re- mus (egal, ob Hard- oder Software-Löde. Der kriminellen Phantasie sind dabei sung) einem direktem Angriff Widerstand keine Grenzen gesetzt und dem Leichtsinn leisten kann. Hierzu definierte ITSEC die im Umgang mit PIN und Code auch nicht. drei Vertrauensstufen niedrig, mittel und Die Sicherheitsmechanismen mögen noch hoch. Wird die Stärke eines Mechanismus so sicher sein – der menschliche Faktor nach der Vertrauenstufe “hoch” geprüft,
mensnetz vor unbefugtem Zugriff zu schützen. So müssen sich die Anwender authentifizieren, um auf unternehmenskritische Bereiche im
Netz zugreifen zu können. Hierzu gibt es die unterschiedlichsten Ver-
fahren, und die meisten basieren auf Paßwörtern oder PINs (personenbezogene Identifikationsnummern). Doch es gibt auch Verfahren, die
sich sicherer verwalten lassen und komfortabler für den Anwender sind.
erkömmliche Paßwörter und PINs haben als Zugangsschutz in Netzen einige gravierende Schwächen. Zwar kann sich ein Anwender mühelos eine PIN oder ein Paßwort für eine Anwendung merken – beides wählt er ja oft selbst aus. Doch mittlerweile arbeitet ein Anwender mit zahlreichen Anwendungen mit jeweils separatem Paßwort- oder PIN-Schutz. Damit sie sich diese weiterhin auswendig merken können, wählen sich viele Anwender dafür leicht nachvollziehbare Daten wie Vornamen oder Geburtsdaten aus und setzen sie womöglich noch einheitlich für alle Anwendungen ein. Hier hat ein Hacker leichtes Spiel! Der Anwender kann den Schutz zwar erhöhen, indem er verschiedene PINs und Paßwörter verwendet und diese immer wieder wechselt. Doch dann kann er sich sicher nicht mehr alle auswendig merken und wird einige “sicherheitshalber” irgendwo notieren. In diesem Fall können die PINs und Codes noch so stark verschlüsselt sein, der Hacker kann sie auf einfache Art umgehen: Denn er erfährt via “Social Engineering” die nötigen Zugangsinformationen für das Unternehmensnetz. Unter dieser Technik versteht man zum Beispiel, wenn ein Mitarbeiter versucht, durch Schnüffeln in Unterlagen, im Schreibtisch, im Zettelkasten oder unter der Tastatur des im gleichen Büro sitzen-
H
56
56
L AN line 1/2000
L AN line 1/2000
7
INHALT NACH THEMEN
TELEKOMMUNIKATION Wireless Application Protocol: Endgeräte und Anwendungen..........108 Im Test: IBM Mobile Connect 2.2 Palm-OS und CE treffen Domino und Exchange.....................114
DM 14,- ÖS 110,-
Sfr. 14,-
Nr. 1, Januar 2000
Das Magazin für Netze, Daten- und Telekommunikation
www.lanline.de
Im Test: Symantec Mobile Essentials Guter Geist für mobile Benutzer......121
Im Test: Compaq Aero 8000 und HP Jornada 820E Zwei Giganten mit Windows CE.....119
Stateful Inspection
Remote-Access-Lösungen: Herausforderung oder Managementproblem...................... 125
Das Magazin für Netze, Daten- und Telekommunikation
Hochverfügbarkeit mit Marktübersicht Firewalls
Der mobile Administrator: Server-Überwachung mit dem Handy........................................128
Mobile Computing Wireless Application Protocol Palm OS und CE treffen Exchange und Domino Remote-Access-Lösungen mit Marktübersicht GSM-Adapter
Januar 2000
Remote-Access-Lösungen: Herausforderung oder Managementproblem.............................................125 Der mobile Administrator: Server-Überwachung mit dem Handy........................................128 Produkt-News.....................................48
Marktübersicht: GSM-Adapter........130 Anbieterübersicht: GSM-Adapter....131
QoS und Speed für Wireless-LANs Vision: 50 MBit/s und mehr im Plan
Test im LANline-Lab: Novanet Version 7 Backup-Software für Netware und NT
Elektromechanische Unterschrift Alternative zum Paßwortschutz
Produkt-News.....................................52
0 1 4 398039 714002
B 30673
ISSN 0942-4172
SICHERHEIT Elektromechanisch unterschreiben: Eine Alternative zum Paßwortschutz..56 DATENENDGERÄTE Im Test: Compaq Aero 8000 und HP Jornada 820E Zwei Giganten mit Windows CE.....119 Produkt-News.....................................54
SPEICHERSYSTEME Im Test: Novanet Backup unter Netware und NT: Aus dem Land der Wizards................32
Vom Paketfilter zum integrierten Firewall-Router: Firewall-Technologien........................72 Security wird oft vernachlässigt Einsatz von Multicast in Unternehmensnetzen..........................80 Zentrale Systeme müssen laufen: Hochverfügbarkeitslösungen für Firewalls..............................................88 Hochverfügbare Sicherheit: Eine Frage der Stabilität.....................92 Sicherheitskonzepte überprüfen: Abwehrstrategien fürs Internet...........96
MESSTECHNIK
8
EJB für Enterprise-Applikationen: Verteilte Verarbeitung........................60 City-IP-Netz in Frankfurt/Main: Fünf Administratoren für 5000 Anwender...................................70
Datensicherung außerhalb des Netzes: Mobile Daten müssen sicher sein.....122
Multicast und Sicherheit
Die Entwicklungsumgebung Vision Jade Automatisch programmieren..............28
Im Test: Compaq Aero 8000 und HP Jornada 820E Zwei Giganten mit Windows CE.....119
Firewalls Permanente Überwachung mit Angriffs-Tools
SOFTWARE UND MANAGEMENT
MESSAGING Im Test: Ben Hur und Team Internet: Internet und E-Mail für die ganze Firma.........................................22 Im Test: IBM Mobile Connect 2.2 Palm-OS und CE treffen Domino und Exchange....................................114 Produkt-News.....................................51
PASSIVE KOMPONENTEN Trends bei der Verkabelung: LWL in aller Munde...........................14 Produkt-News.....................................47 HOST-ANBINDUNG Host-Connectivity: Verbesserungen im Detail..................18
Marktübersicht: Firewalls.................102 AKTIVE KOMPONENTEN
Serie: Einführung in die Netzwerkanalyse (Teil 2) Tools für die Analyse und Statistik....38
Anbieterübersicht: Firewalls............107 Datensicherung außerhalb des Netzes: Mobile Daten müssen sicher sein.....122
Wireless LANs: Neue Standards für mehr Speed.........10
Produkt-News.....................................55
Produkt-News.....................................50
Produkt-News.....................................46
L AN line 1/2000
NETZWERKMARKT
WIRELESS LANS
Neue Standards für mehr Speed Mobile Datenübertragung gehört zu den derzeit interessantesten Themen in der IT-Industrie. Dies gilt nicht nur für Mobilfunknetze und Wireless Local Loop, sondern in zunehmendem Maße auch für die immer schneller werdenden drahtlosen lokalen Netze. Deren Standardisierung kommt zügig voran, und weitere Hersteller springen auf den in Fahrt gekommenen Zug auf.
Das neue Jahrtausend soll auch das Marktsegment der Wireless LANs (WLAN) beflügeln. Dies sagen sämtliche Forschungsinstitute voraus. Nach Angaben von IDC etwa liegt der Umsatz im Jahr 2000 bei etwa 840 Millionen Dollar und wird auf 1,3 Milliarden Dollar im Jahr 2003 ansteigen. Der Grund für den Boom dürfte allerdings nicht im Überspringen der Jahrtausendmarke, sondern vielmehr in handfesten technischen Weiterentwicklungen liegen. Dabei stehen ausgereifte, auf internationalen Standards basierende Produkte mit an erster Stelle – Produkte, die eine deutlich höhere Bandbreite zur Verfügung stellen als bislang und dadurch neue Anwendungen wie Multimedia ermöglichen. Die Grundlage für den Aufschwung von WLANs wurde dabei bereits vor etlichen Jahren gelegt und seit diesem Zeitpunkt ständig er-
10
L AN line 1/2000
weitert. Dazu zählt die Spezifikation ETS 300328, mittels derer die technischen Voraussetzungen für das ISM-Band zwischen 2,4 und 2,4835 GHz definiert und die
greifende Anlagen, wobei die betreffenden Grundstücke keine wirtschaftliche Einheit bilden müssen. Funk-LANs sind anmeldeund gebührenfrei, und die Bedingung für die Zulassung ist lediglich ein bestandener Test bei einem unabhängigen, akkreditierten Testlabor oder in Deutschland auch das Bundesamt für Post und Telekommunikation. Im Jahre 1997 wurde mit IEEE 802.11 der wohl bedeutendste Fortschritt erzielt, nämlich endlich ein Standard für drahtlose LANs verabschiedet. Dieser umfaßt drei Technologien zur drahtlosen Datenübertragung: – 2,4 GHz Frequency Hopping Spread Spectrum (FHSS), 1 und 2 MBit/s, – 2,4 GHz Direct Sequence Spread Spectrum (DSSS), 2 MBit/s sowie – Infrarot.
Die Vision über die Jahrtausendwende hinaus: Hiperlan/2 soll Übertragungsgeschwindigkeiten bis über 50 MBit/s ermöglichen
Zulassungskriterien für Datenfunksysteme in diesem Frequenzband festgelegt wurden. Mitte der 90er Jahre erfolgte die Ausdehnung des Gültigkeitsbereichs für den Betrieb von Funk-LAN-Systemen auf grundstücksüber-
Doch vor allem in der relativ geringen Übertragungsgeschwindigkeit sahen Marktuntersuchungen – neben nicht immer nachgewiesener Interoperabilität zwischen den Lösungen verschiedener Hersteller – den Hemmschuh
für ein schnelleres Wachstum. Dies hat sich zwischenzeitlich geändert. ÜBERTRAGUNGSRATEN VERVIELFÄLTIGEN SICH So
hatte bereits im Frühjahr 1999 Proxim Produkte gemäß dem ETSI-Standard Hiperlan Typ 1 (Wireless Ethernet) angekündigt, der sowohl für Europa als auch in den USA anwendbar ist. Nach Aussagen des Unternehmens wurde dieser Standard vor allem entwickelt, um eine vergleichbare Wireless-Leistung wie bei leitungsgebundenen LANs, zum Beispiel Ethernet, zu realisieren. Außer der hohen Datenrate von 24 MBit/s sollen die Spezifikationen allerdings noch wesentlich mehr bieten. Dazu gehöre in erster Linie die Unterstützung von Sprache, Video und Datenkommunikation mit Quality of Service, um die Übertragung von zeitkritischen Inhalten für Multimedia-Anwendungen zu gewährleisten. Im Herbst dieses Jahres wurde nun das Hiperlan2 Global Forum vorgestellt, ein Konsortium zur Entwicklung des neuen Breitbandstandards Hiperlan2. Das Ziel ist es, bis zu Beginn des Jahres 2002 interoperable Produkte auf den Markt einzuführen. Hiperlan2 wird dabei nach Aussagen der in dem Forum vetretenen Unternehmen, zu denen unter anderem Bosch, Dell, Ericsson und Nokia gehören, im 5-GHz-Band arbeiten und bis zu 54 MBit/s an Übertragungsgeschwindigkeit bieten. Es soll darüber hinaus auch eine nahtlose Verbin-
dung zwischen Kommunikationsendgeräten und -netzwerken inklusive mobiler Kommunikationssysteme der dritten Generation herstellen. Um den Hiperlan2Standard zur Marktreife zu führen, arbeitet das Konsortium nach eigenen Angaben eng mit dem europäischen Standardisierungsinstuitut für Telekommunikation (ETSI), insbesondere mit der Projektgruppe BRAN (Broadband Radio Access Networks) zusammen. STANDARDS, WOHIN DAS AUGE BLICKT Doch nicht
nur bei Hiperlan geht es voran. Gute Nachrichten gibt es auch aus dem Lager der IEEE-Gremien. Eine jüngst gegründete Gruppe von sechs in diesem Markt wichtigen Unternehmen, die Wireless Ethernet Compatibility Alliance (WECA), hat sich auf einen neuen Hoch-
Sein Produktspektrum erweitert hat Artem durch die Partnerschaft mit Radiolan
geschwindigkeitsstandard verständigt. Zu den Firmen zählen 3Com, Aironet, Intersil, Lucent Technologies, Nokia und Symbol Technologies. Hinzugestoßen ist noch Breezecom. Der IEEE 802.11 High Rate (HR) homogenisiert die Technik im
gängigen 2,4-GHz-Frequenzbereich bei 11 MBit/s Komponenten. Der Standard deckt auch die RoamingFunktionalität ab. Damit ist laut WECA die Interoperabilität unterschiedlicher Produkte gewährleistet, was dem Anwender Entscheidungssicherheit und Investitionsschutz gibt. Geräte, die der Norm IEEE 802.11 HR entsprechen, dürfen das Logo Wi-Fi (Wireless Fidelity) tragen. Dies gilt beispielsweise bereits für die entsprechenden Artem-Produkte. SWAP FÜR DIE KOMMUNIKATION ZWISCHEN PC UND ELEKTRONISCHEN GERÄTEN
Um eine breite Auswahl von elektronischen Gebrauchsartikeln drahtlos untereinander zu verbinden, wurde bereits vor einigen Jahren eine spezielle Arbeitsgruppe, Home RF, geschaffen, der heute bereits mehr als 90 Hersteller angehören. Der propagierte offene Industriestandard (SWAP) soll die drahtlose digitale Kommunikation zwischen PCs und elektronischen Geräten sicherstellen. Die Spezifikation definiert dazu eine allgemein verfügbare Schnittstelle zur drahtlosen Sprach- und Datenkommunikation im Umfeld privater Haushalte. Produkte, die dem SWAPStandard entsprechen, werden, so die Gruppe, mit einer Frequenz von 2,4 GHz nach dem FH-Verfahren (Frequency Hopping) arbeiten. Mitglieder der Home RFArbeitsgruppe sind unter anderem Ericsson, HP, IBM, Microsoft, Intel und Proxim.
L AN line 1/2000
11
NETZWERKMARKT
INCUMBENTS UND NEWCOMER Nicht nur etablierte,
sondern auch neue Unternehmen sehen im WirelessLAN-Markt zunehmend Erfolgschancen. Zu den Newcomern zählt etwa 3Com, das seine Airconnect Familie für standardbasierende, drahtlose Highspeed-Netzwerklösungen im Rahmen der diesjährigen Networld+Interop-Messe in Las Vegas präsentierte – und dabei eng mit Symbol zusammenarbeitet. Die Produktfamilie für das Wireless LAN besteht aus Netzwerkkarten, PC-Cards, Empfängern und Management-Software. Das Ganze basiert auf dem zukünftigen IEEE 802.11 HR-Standard. Mit einer Geschwindigkeit von 11 MBit/s und voller Kompatibilität zu herkömmlichen, drahtgebundenen Ethernet-Netzwerken soll die Funktechnologie vielen Branchen, zum Beispiel dem Medizin-Bereich, besonders anwenderfreundliche Lösungen eröffnen. Bei der 3Com-Lösung bildet ein Airconnect Access Point (Empfänger) die Brücke zwischen dem vorhandenen Netzwerk und bis zu 63 drahtlosen Clients. Eine Verbindung in üblichen Büroumgebungen soll bis zu etwa 60 Meter problemlos möglich sein. Eine Roaming-Funktion erlaube das Wechseln zwischen den Bereichen zweier Access Points, wobei der Client immer mit dem jeweils signalstärksten Empfänger verbunden werde. Auch Nokia zählt eher zu den Debütanten im WLANMarkt. Mit den Wireless-
12
L AN line 1/2000
LAN-Komponenten Nokia A020 Access Point und Nokia C020/C021 WirelessLAN-Karten will das finnische Unternehmen auch in
wurde auf der diesjährigen Networld+Interop in Atlanta vorgestellt. Die Lösung arbeitet im 2,4-GHz-Band und soll Übertragungsraten bis
Es geht deutlich aufwärts – das prognostizieren die Marktauguren dem Wirless-LAN-Segment Quelle: IDC
diesem Segment des Mobilmarkts Fuß fassen. Die IEEE-konformen Produkte, die nach dem DS-Verfahren arbeiten, erlauben derzeit eine Übertragungsrate von bis zu 2 MBit/s und sollen sich laut Nokia allerdings einfach auf höhere Transferraten aufrüsten lassen. Die Lösung MW111, auf der diesjährigen Telecom in Genf präsentiert, soll es nach Angaben des Unternehmens erlauben, durch die Verknüpfung von ADSL und Wirless LAN den Zugang zu Internet-Services herzustellen. Das Produkt wendet sich vor allem an private Nutzer und Small Offices/Home Offices. Es ermögliche Nutzern neben der drahtlosen Internet-Nutzung den Zugriff auf gemeinsame Ressourcen im Büro oder Haus. Mit Ericsson hat ein weiteres nordisches Unternehmen den Markt für drahtlose Netze betreten. WLAN Hot Spot
maximal 3 MBit/s bieten. Als besondere Features benennt Ericsson die Integration von Standardprotokollen für eine sichere Datenübertragung. Ericsson plant – als Gründungsmitglied des entsprechenden Forums – in Zukunft aktiv an einer Hiperlan/2-Lösung zu arbeiten.
wodurch das Angebotsspektrum weiter ausgebaut werden soll. Radiolan bietet Bridges mit 800 Meter und 1,6 Kilometer Reichweite und Funk-LAN-Komponenten für 10 MBit/s EthernetGeschwindigkeit. Damit verfügt Artem jetzt neben der 2,4-GHz-Produktlinie über Systeme im 5,8-GHz-Frequenzbereich, der ausschließlich von Radiolan genutzt wird. Vorteile ergeben sich nach Angaben des Unternehmens durch den sehr hohen Nettodatendurchsatz bei datenintensiven Anwendungen und durch die Verfügbarkeit eines weiteren Frequenzbands, was die räumliche Überschneidung zweier unabhängiger LANs erlaubt. Als Ergänzung seiner Wireless-Lösungen will Cabletron Systems seine neue Roamabout Wireless Bridge verstanden wissen. Die gebäudeübergreifende Bridge basiert auf dem Industriestandard IEEE 802.11. Sie minimiert laut Cabletron den Zeitaufwand und Unterbre-
Vertrauen schaffen in die neue schnelle Technologie will die Wireless Ethernet Compatibility Alliance (WECA)
NEUE KOOPERATIONEN UND PRODUKTE Zur Expo-
net’99 in Düsseldorf hat Artem seine neu eingegangene Partnerschaft mit Radiolan bekanntgegeben. Das OEMAbkommen sieht den Einsatz der 10BaseRadio-Technologie in Artem-Produkten vor,
chungen, die bei der Installation von drahtlosen Verbindungen zwischen Gebäuden auftreten können. Sie überbrücke eine Distanz von etwa neun Kilometern bei 2 MBit/s oder bis rund zwölf Kilometern bei 1 MBit/s. Darüber hinaus bietet die Brücke SNMP- und RMON-
NETZWERKMARKT
Funktionalität. Upgrades auf Produkte, die auf dem höheren 11-MBit/s-Standard basieren, würden unterstützt. Auf der diesjährigen Telecom präsentierte Breezecom sein IP Broadband Wireless Local Loop (BWLL) Datenund Sprachsystem Breezeaccess. Damit können ISPs und Service Provider laut Hersteller ihren Teilnehmern drahtlose Highspeed-Dienste mit IP-Connectivity zu attraktiven Preisen anbieten, darunter Internet-Zugang mit hohen Geschwindigkeiten, Virtual Private Networks (VPN) ebenso wie hochwertige Telefoniedienste. Breezeaccess übertra-
Web-Adressen der genannten Institutionen und Firmen: Institutionen: www.hiperlan2.com www.homerf.org www.wlif.com www.wirelessethernet.org Unternehmen: www.3com.com www.nortel-dasa.de www.lucent.de www.artem.de www.cabletron.com www.radiolan.de www.proxim.com www.lucent.de www.symbol.com www.nokia.com www.breezecom.com www.floware.com www.ericsson.com
ge drahtlos paketvermittelte Dienste, die auf den H.323Protokollen basierten. Die Teilnehmer erhielten Online-Verbindungen zum Netzwerk mit Datenraten bis 3 MBit/s und System-Ressour-
14
L AN line 1/2000
cen würden nur dann beansprucht, wenn Informationen übertragen werden müßten. Eine ähnliche Zielgruppe wie Breezecom adressiert Floware Wireless Systems mit seinem Walkair-PMPSystem (drahtloser Access über Point-to-Multipoint), ebenfalls während der Telecom in Genf zu sehen. Dabei handelt es sich allerdings um ein reines Access-System für ISPs und Telcos (Star One ist einer der Anwender dieses Systems in Deutschland. Das Unternehmen bietet seinen Kunden damit WLL-Zugänge an) und ist als solches auch in völlig anderen Frequenzbändern zu Hause. Walkair PMP – in Deutschland übrigens durch Floware-Partner Siemens vermarktet – unterstützt 3,5 und 26 GHz. Die Datenrate beträgt 2 MBit/s. Die jüngst von Proxim vorgestellte SymphonyCordless Networking Suite arbeitet im Frequenzband 2,4 GHz und nutzt die SpreadSpectrum-HF-Technologie mit Frequenzsprung. In ein und derselben Funkzelle, die innerhalb von Gebäuden eine Reichweite von bis zu 45 Metern bietet und damit für kleine Büros oder Einfamilienhäuser ausreicht, werden Datenübertragungsraten von 1,6 MBit/s erzielt. Symphony wird mit Treiber-Software für die Betriebssysteme Windows 95, Windows 98 und Windows NT 4.0 geliefert. Die Produktfamilie basiert auf Proxims Rangelan2Produkten, die im Jahr 1994 als erste Technologie für das Frequenzband 2,4 GHz auf den Markt kamen. (Thomas Schepp/sm)
TRENDS BEI DER VERKABELUNG
LWL in aller Munde Die Telecom in Genf brachte einen Innovationsschub in die Verkabelungsbranche und sorgte für viel Neues, vor allem im Bereich der Glasfaserverkabelung. Von diesen Lösungen für MANs und WANs profitieren auch die Unternehmensnetze.
So bieten mittlerweile einige Hersteller auch in Europa die in Amerika häufig verwendeten Ribbon-Kabel an. Der französische Hersteller Acome verwendet zum Beispiel für sein Glasfasersystem Oslo vier- bis achtfasrige Ribbon-Kabel für die Verteiler
kleiner und leichter als gängige Bündeladerkabel. Im Sekundär- und Campus-Bereich sind die Kabel wie gewohnt rund, enthalten aber im Kern einen Stapel solcher Ribbons (Compact Tubes). In der Regel sind das bei Acome vier Lagen mit vierfasrigen Rib-
Bisher lassen sich Singlemode-Fasern wegen ihres Wasseranteils nicht im Bereich um 1400 nm nutzen (gestrichelte Linie). Lucent erreichte durch einen besonderen Reinigungsprozeß, daß seine Allwave-Faser durchgängig im Bereich von 1280 nm bis über 1625 nm nutzbar ist.
und die Etagenverteilung. Ribbons sind Fasern, die von einem hauchdünnen Material umhüllt sind. Für die Tertiärverkabelung besitzen sie zudem eine Zugentlastung und einen Mantel und sind somit
bons, und für den Außenbereich besitzen die Kabel einen robusteren Aufbau als für den Steigleitungsbereich. Compact Tubes haben den Vorteil, daß mit ihnen Massenspleiße möglich sind, die die Spleiß-
NETZWERKMARKT
zeiten deutlich reduzieren sollen. Zudem sollen mit dieser Kabelkonstruktion Kabel mit bis zu 1400 Fasern möglich sein. Und da sich aus dem Ribbon einzelne Fasern einfach abspalten lassen, können diese auch wie herkömmliche Einzelfasern behandelt werden. Das Acome-System enthält neben den LWL-Kabeln entsprechende Anschluß-, Verteiler- und Montagekomponenten. Oslo soll sich sowohl für Unternehmens- als auch für Stadtnetze eignen. Mit dem Allwave-Advantage-System adressiert Lucent dagegen vor allem Betreiber von Stadt- (MANs) und Kabel-TV-Netzen. Kern des Ende-zu-Ende-LWL-Systems ist das Allwave-LWL-Kabel. Es basiert auf Singlemode-Fasern und der Ribbon-Technik und soll sich auch für 10GBit/s-Anwendungen eignen. Die Fasern werden bei ihrer Fertigung einem patentierten Reinigungsprozeß unterzogen und enthalten damit so gut wie keine Hydroxyl-Moleküle mehr. So kann bei ihr auch der bisher nicht nutzbare Wellenlängenbereich um 1400 nm genutzt werden. Damit stehen dem Netzbetreiber angeblich bis zu 60 Prozent mehr nutzbare Wellenlängen zur Verfügung. Das heißt, er kann laut Hersteller mehr als 120 Kanäle für das Multiplexing nutzen oder den Abstand zwischen den verwendeten Kanälen aufweiten und eine preiswertere MultiplexingTechnik einsetzen. Lucent verwendet die Faser für Ribbons und bietet sie auch als Compact-Tube-Kabel an. Zudem steht mit dem Allwave-Advantage-System
16
L AN line 1/2000
eine Anschlußtechnik zur Verfügung, bei der die Reflexionen und Dämpfungsverluste an den Verbindungsstellen minimal sein sollen, so daß das volle Spektrum von 1280 nm bis 1625 nm nutzbar ist. Info: Acome Tel.: 02102/420-0 Web: http://www.acome.de Lucent Technologies Tel.: 0228/243-2520 Web: http://www.lucent.de
AUF LWL UMSTEIGEN Zahl-
reiche neueren Produkte zielen auch darauf ab, den Umstieg von Kupfer auf Glasfaser zu erleichtern. So steht Huber + Suhner hier stellver-
Hersteller von aktiven Komponenten sie ohne große Probleme in ihre Standardgehäuse integrieren können. Deshalb werden diese Verbindungen auch hauptsächlich für den Anschluß der aktiven Komponenten genutzt. Huber + Suhner setzt dabei auf das MT-RJ-System. Doch der Anwender muß nicht unbedingt eine neue Verbindungstechnik einsetzen, um preiswerte aktive Komponenten mit LWLSchnittstelle zu erhalten. Surecom will mit seinem LWL-Adapter für 10/100Ethernet den Umstieg von
Gerät sowohl an Glasfasernetze als auch an Kupfernetze angeschlossen werden kann. Info: Huber + Suhner Tel.: 089/61201-0 Web: http://www.hubersuhner.com EFB Elektronik Tel.: 0521/40418-0 Web: http://www.efb-elektronik.de/ katalog/surecom.htm
MULTIMEDIANETZ IN KUPFER Da es aber trotzdem An-
wender gibt, die selbst bei Multimedia-Anwendungen nicht auf das Kupfernetz verzichten möchten, bietet Kerpen für seine Eline-600-Verkabelung (SSTP-Kabel mit vier einzelgeschirmten Adernpaaren plus Multimedia-Steckverbinder von BKS) einen Vierfach-TVBalun an. Damit können Unternehmen ihr LAN an das TVKabelnetz anschließen. Der Balun verfügt auf der einen Seite über einen StandardF-Koaxeingang und auf der anderen über vier Twisted-PairEline-600-Ausgänge (BKSMultimediasteckverbinder) und ist als Einsatz für Verteilerfelder konzipiert. Ein Patchpanel faßt bis zu acht solcher Module auf einer Höheneinheit. Info: Kerpen Tel.: 02402/17-0 Web: http://www.kerpen.com
ISDN ÜBERS LAN Ackermann ISDN Star 1/4 ist ein Exemplar der neuen ISDN-Hubs, die eine zusätzliche Verlegung des ISDN-Busses unnötig machen
tretend für viele Systemanbieter, die ein vorkonfektioniertes Fiber-to-the-Desk-System mit sogenannten Small-FormFactor-Steckverbindungen in ihr Programm genommen haben. Diese Steckverbinder und auch ihre Transceiver haben die Abmaße von RJ45Komponenten, so daß die
Kupfer auf Glasfaser sogar noch weitgehender erleichtern: Die Karte kostet beim deutschen Distributor EFB Electronic unter 230 Mark und besitzt einen Duplexanschluß für 100Base-FX-Glasfasernetze (SC oder ST) und zudem einen RJ45-Port für 10/100Base-TX, so daß das
präsentierte diesen Herbst einen ISDN-Hub für die sternförmige LAN-Verkabelung. Der S0-Hub arbeitet im Grunde wie ein Stern-4-Verteiler und eignet sich für kleine Büros oder für den Heimarbeiter. Er erspart die Verlegung eines separaten ISDN-Busses, und der Anwender schließt ihn entweder direkt an den NTBA an oder an die interne S0-Schnittstelle der TK-Anlage. Der Anwender kann dann bis zu vier
ISDN-Endgeräte oder auch Router an die vorhandenen analogen Leitungen anschließen. Der ISDN-Hub regeneriert die S0-Signale, so daß die üblichen Reichweiten eines S0Busses deutlich übertroffen werden. Versorgt wird der Hub über ein Standardsteckernetzteil. Der S0-Hub von Ackermann kostet 210 Mark. Eine ähnliche Lösung brachte auch Telegärtner mit dem ISDN Star 1/4 auf den Markt. Dieses System enthält zudem die Verkabelung inklusive Verteiler und Patch-Kabel. Ein Endgerät kann hier bis zu 180 Meter von dem NTBA entfernt sein, wird das System allerdings in die strukturierte Verkabelung integriert, sind laut Norm nur maximal 100 Meter möglich. Beim ISDN Star 1/4 erfolgt die Versorgung amtsgespeist. Der erste Anbieter auf diesem Markt war allerdings Trunknet Ingenieurbüro Schulz mit dem Ihub, den es in einer Ausführung mit vier und acht Ports für einen S0-Anschluß gibt. Zudem verfügen die Geräte über einen weiteren NT-Port (Daisy Chain), an den der Anwender ein weiteres Endgerät oder einen weiteren Ihub anschließen kann. So lassen sich laut Hersteller bis zu 64 Endgeräte an einen S0-Port anschließen. Auch bei diesen Geräten erfolgt die Versorgung über den NTBA. Die zugrundeliegende Technik ist im LANline-Sonderheft Verkabelung 1999 ab Seite 64 beschrieben. Info: Ackermann Tel.: 02261/83-0 Web: http://www.ackermann.com Telegärtner Tel.: 07157/125-100 Web: http://www.telegärtner.com Trunknet Ingenieurbüro O. Schulz Tel.: 06071/962630 Web: http://www.trunknet.de
NETZWERKSCHRÄNKE Der Schrankhersteller Schäfer stellte diesen Herbst eine komplette Schrankfamilie für Netzwerke vor. Die NTRack-Reihe bietet alles vom 60 Zentimeter hohen Untertischschrank bis zum zwei Meter hohen Netzwerkschrank. Diese kann der Anwender durch Lösen von vier Schrauben in eine vordere und hintere Rahmenhälfte trennen. Dabei bleiben Tür und 19-Zoll-Ebene in der jeweiligen Rahmenhälfte montiert. Mit dieser Lösung sollen auch schwer zugängliche Aufstellorte erreichbar sein. Die Schränke sind in 18 Größenvarianten mit unterschiedlichsten Ausstattungsmerkmalen und auch vormontiert lieferbar. Für kleine Netze und Unterverteiler enthält die Familie NT-Boxen für die Wandmontage. Auch hier wurde die Zugänglichkeit optimiert. So kann der Anwender nach dem Öffnen der Tür diese ohne Werkzeuge abnehmen und dann die Seitenwände der Box nach vorne herausziehen, so daß das Innenleben von drei Seiten zugänglich ist. Die Kabelzuführung erfolgt über Dach oder Boden durch eine Bürstenleiste. Die Boxen bieten Platz für 6 bis 18 Höheneinheiten (HE) und kosten zwischen 300 und rund 500 Mark. Die Server-Schränke der NT-Reihe sind 600 mm breit, 900 mm tief und zwischen 1200 mm (25 HE) und 2000 mm (43 HE) hoch und eignen sich zur Aufnahme von Servern, USVs, Monitoren, Monitorumschalter und Ta-
staturen. Eine Spezilität ist hierbei der ausziehbare unterste Fachboden. Da er mit einer stabilisierenden Rolle ausgestattet ist, eignet er sich auch für schwere Geräte über 100 Kilogramm. Diese Schränke kosten zwischen rund 1500 und unter 1700 Mark. Info: Schäfer Gehäusesysteme Tel.: 0351/2531-725 Web: http://www.schaefergehaeuse.de
PLATZSPARENDE ANSCHLUSSLEISTEN Die Ver-
bindungstechnik Rapid Contact von Feistkorn & Wolf soll den Platzbedarf für Verbindungen auf Telekommunikationsverteilern halbieren. Für den Anschluß einer Ader soll diese Technik kaum mehr als Leitungs-
und klemmt ihn großflächig gegen die Kontaktschiene. Durch einen Druck auf die Rastnase der Klemmscheibe ist der Kontakt wieder lösbar und kann beliebig wieder neu beschaltet werden. Die Technik eignet sich für Drahtdurchmesser von 0,4 bis 0,8 mm. Die Kontaktschiene besteht aus einer Kupferlegierung und ist beschichtbar. Das Isoliergehäuse besteht aus Kunststoff (PBT) mit Glasfaseranteil. Der Hersteller bietet für die Netzwerktechnik 10- bis 40polige Anschlußleisten an, die zu handelsüblichen Anschlußleisten kompatibel sein soll. Sie können auch komplett mit Montagewanne und Gehäuse geliefert werden. Sowohl die Anschlußleisten als auch die Patchpanels
Die Rapid-Contact-Anschlußleisten von Feistkorn & Wolf bieten die doppelte Packungsdichte wie herkömmliche Leisten
durchmesser benötigen. Zudem entspricht sie laut Hersteller den Kategorien 5 und 6. Und so funktioniert sie: Der Anwender führt das Kabel mit einem Werkzeug definiert in den Verbinder ein. Dort isoliert eine Klemmscheibe den Draht ab
sind in 19-Zoll-Technik ausgeführt und eignen sich, so der Hersteller, für den Primär-, den Sekundär- sowie den Tertiärbereich. (Doris Behrendt) Info: Feistkorn & Wolf Tel.: 0951/9649110 http://www.rapidcontact.de
L AN line 1/2000
17
NETZWERKMARKT
HOST-CONNECTIVITY
Verbesserungen im Detail Der Trend im Bereich der Großrechneranbindung geht weiterhin in Richtung einheitliche Verwaltung und Integration der diversen Emulationsprodukte. Ein weiterer Fokus liegt auf der nahtlosen Einbindung vor allem von Thin Clients in unternehmensweit eingesetzten Applikationen. Dies spiegelt sich auch in den jüngst vorgestellten neuen Releases einschlägiger Produkte wider, die dahingehend erweitert wurden.
Der Markt der MainframeAnbindung “brummt” vor allem im Segment der Web-toHost-Connectivity. Im Vergleich zum Vorjahr wuchs diese Sparte um 370 Prozent auf 112 Millionen Dollar. Das enorme Wachstum soll nach Angaben des Marktforschungsinstituts IDC auch weiterhin anhalten und bereits in vier Jahren die Schwelle von 1,2 Milliarden Dollar überschreiten. Revolutionäre Neuerungen sind bei den Produkten derzeit allerdings nicht in Sicht. Vielmehr reifen die vorhandenen Lösungen mit steigendem Release-Stand. So hat etwa Logics Software seine Web-to-Host-Software ab der Version 4.3 um Serveit (Serverbased Integration Tool) ergänzt. Mit diesem Add-on sollen sich Host-Dialoge automatisieren und für den Anwender unsichtbar direkt auf dem Server abarbeiten lassen. Alle Eingabewerte werden nach Aussagen von Logics Software
18
L AN line 1/2000
bereits dort automatisch in die entsprechende Syntax umgewandelt und in Host-Masken eingetragen. Erst wenn der Host-Dialog abgeschlossen sei und alle relevanten Daten zur Verfügung stünden, würden diese in ein HTML-Formular übernommen und über den Log-Web-Server an den ClientBrowser ausgegeben. Damit stellt Logics eine Alternative zum eigenen Tool Doit (Development Online Integration Tool) vor, das es IT-Verantwortlichen erlaube, Host-Anwendungen modifiziert darzustellen, Ablauflogiken zu vereinfachen und somit anwenderfreundlich im HTML-Format zur Verfügung zu stellen. INTEGRATION WICHTIGER VERZEICHNISSTANDARDS
Attachmate kündigte auf der diesjährigen Systems eine neue Version seines e-VantageHost-Access-Servers an, der sich nahtlos in die bestehenden Verzeichnisstrukturen von Un-
ternehmens-IT einbinden lassen soll. Dazu unterstütze der Host-Access-Server gängige Verzeichnisstandards wie das Lightweight Directory Access Protocol (LDAP), den Netware-Directory-Service (NDS), den NT-Directory-Service (NTDS) und den Network-Information-Service (NIS), so daß der Implementierungsaufwand deutlich sinke. Unternehmensdaten auf Host-Systemen ließen sich innerhalb eines Tages für Zulieferer, Partner, Mitarbeiter und Kunden zugänglich machen, wodurch ein schneller Einstieg in das E-Business möglich sei. Neben den Verzeichnisstandards ist in den Attachmate-e-Vantage-HostAccess-Server neu auch das sogenannte Hot-GUI standardmäßig integriert: Host-Screens sollen sich damit automatisch in grafische Seiten (GraphicalUser-Interface, GUI) umwandeln lassen. Dafür müsse lediglich ein Java-Applet einmalig auf den PC des Anwenders geladen werden. Unternehmen können ihre traditionellen Host-Masken damit leicht und flächendeckend in intuitiv bedienbare Benutzeroberflächen verwandeln – ohne aufwendige und kostspielige Applikationsentwicklung. Die E-BusinessLösung von Attachmate läuft sowohl unter Windows NT als auch unter Unix. Sie bietet in der Version 2.2 Support für Java-, ActiveX- und HTMLClients. Hinsichtlich der Datenverschlüsselung unterstützt der Host Access Server das HTTPS- und das SSL-Protokoll. Über eine zentrale Managementkonsole läßt sich laut Attachmate die Host-Integration zentral verwalten. Neu von Attachmate ist auch die Version 4.1 des PC-X-Ser-
vers Kea X. Neben der leistungsfähigen Unix-Connectivity ermöglicht die Lösung jetzt auch den Zugriff auf AS/400- und Mainframe-Daten sowie VT-Applikationen über Windows-95/98- und Windows-NT-PCs. Kea X 4.1 ist damit ein vielseitiges Connectivity-Paket für MultiHost-Umgebungen. Zum Umfang des Produkts gehören auch eine Vollversion von Kea 420 und eine Reihe von TCP/IP-Anwendungen. Hummingbird hat jüngst die Version 2.0 des Host-Explorer Web und Exceed Web vorgestellt. Dabei handelt es sich um Web-to-Host- und Thin-X-Lösungen, die einen erweiterten Zugriff über Internet, Intranets und Extranets bieten. Zu den neuen Funktionen gehören unter anderem die Integration der SOCKS-Technologie von Hummingbird in den Middle Tier Server Jump, welche die gesicherte Anbindung von Extranets an das unternehmensweite Netz sicherstellt, ohne dabei die Firewall-Funktion zu schwächen sowie SSL 3.0- und RSA-basierte Sicherheit. Der Host-Explorer Web kann laut Hersteller auch mit jedem vorhandenen SSL-fähigen TN3270(E)-Gateway wie Netware for SAA von Novell oder Communications Server von IBM kommunizieren. Die neuen Versionen 6.2 der Exceed-, Host-Explorer- sowie NFS- Maestro-Produktreihen sind jetzt Jahr-2000-konform und bieten zusätzliche Funktionen wie die Euro-Unterstützung und HummingbirdUpdate. (Thomas Schepp/sm) Info: www.attachmate.de www.hummingbird.com www.logics-software.de
RAD Group gründet Iprad
QS Communications startet SDSL
Als fünfzehntes Unternehmen innerhalb der israelischen RAD Group soll Iprad Produkte im Bereich IP-over-SONET/SDH entwickeln und vermarkten. Diese Produkte integrieren Sprache und Daten über öffentliche IP-Netzwerke der nächsten Generation und sind damit wichtige Bestandteile beim Bau solcher neuen Netzwerke. Die RAD Group ist eine Familie unabhängiger Unternehmen, die Lösungen für unterschiedliche Segmente der Vernetzungs- und Telekommuikationsindustrie entwickeln, produzieren und vermarkten. Im Jahre 1998 betrugen die Umsätze der Gruppe rund 320 Millionen Dollar. Zur Telekom in Genf hatte RAD Data Communications, die erste Company der RAD Group, die Gründungsveranstaltung des neuen TDM-over-IPForums initiiert, an der über 30 Vertreter europäischer und nordafrikanischer Telefongesellschaften, internationaler Systemintegratoren aus den USA und Europa sowie führender Hersteller wie 3Com, Packet Engines/Alcatel, Adtran und Toledo teilnahmen. Das Forum wird von RAD, dem schwedischen Carrier Telia und Toledo gesponsert. Das Forum soll sich Themen widmen, die aus der Notwendigkeit entstehen, leitungsvermittelte Verbindungen über IP-Infrastrukturen der nächsten Generation zu emulieren, und für den Informationsaustausch über Anwendungen und Projekte sorgen. (sm)
Mit einer für den deutschen Markt neuen breitbandigen Internet-Zugangstechnologie startet in Köln das Telekommunikationsunternehmen QS Communications AG. Mit einem Budget von insgesamt etwa einer halben Milliarde Mark will das Unternehmen bis Ende 2000 in 40 bundesdeutschen Städten präsent sein. Technologische Basis für Speedway ist SDSL (Symmetric Digital Subscriber Line). SDSL liefert Übertragungsraten von bis zu 2,3 MBit/s – und das symmetrisch im Up- und Downstream. “Das ist ideal für die LANKoppelung und sonstige Intranet-Anwendungen, für Videoconferencing, Telelearning oder Web Hosting“, erklärt Dr. Bernd Schlobohm, Vorstandsvorsitzender der QSC. “SDSL ist anderen Technologien unter anderem überall dort überlegen, wo es um den gegenseitigen Austausch großer Datenmengen geht.“ Anders als bei ADSL muß das Sprachsignal bei SDSL nicht durch einen analogen Splitter vom Datensignal getrennt werden, sondern kann als Bestandteil der DSLDaten mit übertragen werden. Ein weiteres Leistungsmerkmal: Speedway-User sind “always on” – die Leitung ist damit immer verfügbar. Infrastrukturseitig und technologisch wird QSC umfassend von Lucent Technologies unterstützt. In den sogenannten Kollokationsräumen, in denen die Leitungen der Deutschen Telekom “entbündelt” werden, übernimmt QSC auf Basis der von Lucent entwickelten DSLZugangskonzentratoren die Kupferdoppelader der Kunden
Info: RAD Data Communications Tel.: +972-36458107 Web: www.rad.com
L AN line 1/2000
19
PERSONALKARUSSEL
NETZWERKMARKT
BETTINA KÖLBLINGER verstärkt ab sofort das
Sales-Team des Business-Intelligence-Anbieters SEAGATE SOFTWARE. In ihrer Position als
Partner-Account-Managerin Central and Eastern Europe ist sie vorwiegend Ansprechpartnerin für alle Corporate Reseller des Herstellers. (sm)
MICHAEL WOLTER leitet jetzt die Geschäfte der BANYAN SYSTEMS GMBH. Als Geschäftsfüh-
rer und Country Manager Deutschland, Österreich und Schweiz will WOLTER die eingeschlagene Richtung BANYANS von einer Produktfirma zum Beratungs- und Lösungsanbieter weiter forcieren. (sm) VALENTIN BOVO ist zum Business Development Manager der Document Division des schwedischen Unternehmens AXIS COMMUNICATIONS berufen worden. In dieser Position ist er für sämtliche Belange der Document Division in Deutschland, Österreich sowie der Schweiz verantwortlich. Zu seinen Aufgaben gehört die Betreuung der Distributoren und der Ausbau des Partnerprogramms. (sm)
und macht sie SDSL-fähig. Alles, was auf Kunden- oder Anschlußseite nötig wird, ist ein DSL-Router. Die Datenübertragung beim QSC Speedway erfolgt über ATM. (sm) Info: QS Communications AG Tel: 0221/6698-011 Web: www.qsc.de
Cisco übernimmt Aironet Cisco Systems gibt ein verbindliches Abkommen zur Übernahme von Aironet Wireless Communications bekannt. Das Unternehmen aus Akron, Ohio (USA), hat sich auf Highspeed-Zugangsprodukte für drahtlose LANs spezialisiert. Durch die Übernahme erweitert Cisco sein Angebot um standardbasierte drahtlose Lösungen für mobile Anwender. Das Abkommen sieht vor, daß alle Aktien, Optionsscheine und Bezugsrechte von Aironet gegen jeweils 0,637 Aktien von
20
L AN line 1/2000
Cisco getauscht werden. Bei Börsenschluß am 8. November lag der Aktienkurs von Cisco bei 75 5/16 Dollar, so daß die Transaktion einen Gesamtwert von 799 Millionen Dollar erreicht. Aironet Wireless Communications wurde 1993 gegründet. Die 131 Mitarbeiter unter Leitung von CEO Roger Murphy werden in die Desktop Switching Business Unit innerhalb der Small/Medium Line of Business von Cisco eingegliedert. Nach der Übernahme von Aironet setzt Cisco seine “New World”-Strategie im Bereich drahtloser Netzwerke zur mobilen Unternehmenskommunikation um. Zur Produktpalette von Aironet Wireless Communications gehören drahtlose Adapterkarten und “Access Points” (Zugangspunkte) als Schnittstelle zu verkabelten Infrastrukturen und zur drahtlosen Übertragung von LANTraffic. Zudem gilt Aironet als innovativer Entwickler drahtlo-
ser Bridges für Punkt-zuPunkt- und Punkt-zu-Multipunkt-Verbindungen zwischen mehreren Gebäuden. (sm) Info: Cisco Systems GmbH Tel.: 06196/479-0 Web: www.cisco.de
Novell kündigt Netware 5.1 an Die neue Novell Netware 5.1 ist ab sofort in der offenen Beta-Testphase. Mit der Version 5.1 hat sich das Betriebssystem für die Unterstützung von offenen Web-basierenden E-Business-Applikationen fit gemacht. Eine weitere wichtige Neuerung ist das Management von Netzwerken und Ressourcen über das Internet. Netware 5.1 nutzt das Potential der Novell Directory Services Version 8 (NDS 8) und soll so die Verwaltung heterogener Netzwerke und des Internets erleichtern. Die Software unterstützt nativ das Hypertext Transfer Protocol (HTTP), das von Web-Servern und Browsern zur Kommunikation im Internet benutzt wird. Durch die Unterstützung von HTTP können Anwender zum Beispiel auf Dateien von Microsoft Office 2000 in Web-Verzeichnissen zugreifen und für die Sicherheitsund Managementfunktionen der Web-Dienste die NovellDirectory-Services verwenden. Mit Netware 5 wurde nach Unternehmensangaben eine der schnellsten Java Virtual Machines (JVMs) des Markts eingeführt. Netware 5.1 soll hier mit einer weiter optimierten JVM für Unternehmen anknüpfen, die auf Java-Applikationen setzen. Zusätzlich zu den integrierten
NDS 8 unterstützt Netware 5.1 nativ das Lightweight Directory Access Protocol Version 3 (LDAP v3). Über dieses Standardprotokoll können Anwender auf die Informationen verschiedener Verzeichnisdienste zugreifen. (sm) info: Novell GmbH Tel. 0211/5631-3205 Web: http://www.novell.de
Accord Networks im Bilde Accord Networks, einer der führenden Hersteller von interaktiven, visuellen EchtzeitKommunikationssystemen, hat die Accord Realtime Enabling Network Architecture (Arena) vorgestellt. Mit Hilfe dieser Architektur ist die Erweiterung bisheriger sprach- oder datenbasierender Kommunikationstrukturen in Netzwerken auf Bild-/Videokommunikation einfach zu realisieren. Arena beinhaltet die integrierte Echtzeit-Vernetzungsplattform MGC-100 von Accord, eine Virtual Conference Suite, das offene API und eine Call-Management-Suite. Letzteres ist eine autonome Familie von Anwendungsprogrammen. Zu diesen Produkten gehören Greet and Guide, Touch Tone Conference Management und Web Manager. Erste Versionen von auf Arena basierenden AccordProdukten wie das IP- H.323Modul zur Realisierung visueller Anwendungen über IPNetzwerke, und die Virtual Conference Suite von Accord, um eine visuelle Ad-hoc-Kommunikation zu ermöglichen, sollen ab sofort bei Accord verfügbar sein. (sm) Info: Accord Networks Tel.: +49-(0)6997409981 Web: www.accordtelecom.com
NETZWERKPRODUKTE & SERVICES
BEN HUR UND TEAM INTERNET IM TEST
Internet und E-Mail für die ganze Firma Zur Internet-Anbindung von Unternehmen stellen die meisten Administratoren einen Router und einen eigenen Server ab, den sie mit einem Mail-Dienst und einem Web-Proxy ausstatten. Windows-Server mit der entsprechenden Software sind allerdings teuer, und Linux als kostengünstige Alternative ist nicht immer leicht zu installieren und administrieren. Einfachere Lösungen bieten Pyramid Computer Systeme aus Freiburg mit Ben Hur und Esoft aus Colorado in den USA mit Team Internet an. Dabei handelt es sich um Geräte, die sowohl Mail- als auch
WEB-ZUGRIFF Den Web-Zugriff ermög-
Proxy-Dienste bereitstellen sowie als Router mit Dial-on-Demand
lichen beide Server, die letztlich auf gewöhnlichen PCs (ohne Bildschirmanschluß) mit Linux-Betriebssystem basieren, auf jeweils zwei Arten: Als direkter Router mit NAT/PAT (Network/Port Address Translation) sowie über einen integrierten Proxy-Server. Dabei kann der Administrator beide Möglichkeiten sperren oder freigeben. Der direkte Zugang ist in der Regel für spezielle Anwendungen erforderlich, beispielsweise für Client-Software, die auf eine Datenbank im Internet zugreifen muß. Für das “Surfen” im Internet ist der Zugang über den Proxy-Server sinnvol-
fungieren.
en Hur ist standardmäßig mit einem Anschluß für das lokale Netzwerk sowie einer Buchse für ein ISDN-Kabel ausgestattet. Optional liefert Pyramid einen ISDN-Terminaladapter von Elsa, über den Ben Hur Faxdienste bereitstellt. Team Internet wird in diversen Ausführungen angeboten, so beispielsweise mit integriertem 56-kBit/s-Modem oder mit einer ISDN-Karte. Für den Test
B
steht ein Gerät mit zwei EthernetSchnittstellen zur Verfügung; eine ist für das lokale Netzwerk bestimmt, die andere – sofern vorhanden – für einen externen Router, der die Verbindung zum Internet herstellt. Alternativ läßt sich der Internet-Zugang direkt über die serielle Schnittstelle realisieren. In der Testinstallation kommt hierbei ein ISDN-Terminaladapter (Zyxel Omni TA128) am seriellen Anschluß zum
In Ben Hur steckt ein gewöhnlicher PC ohne Grafikkarte
22
Einsatz. Eine zweite serielle Schnittstelle unterstützt die Kommunikation mit USV-Geräten von APC. Die optionale ISDN-Karte für Team Internet beherrscht zahlreiche Protokolle, darunter 1TR6 und Euro-ISDN. Ben Hur ist auf Euro-ISDN beschränkt. Zwar ist die Deutsche Telekom schon vor einigen Jahren von 1TR6 auf Euro-ISDN umgestiegen und auch andere Telefongesellschaften bieten in Deutschland bei Mehrgeräteanschlüssen ausschließlich Euro-ISDN an, aber viele Telefonanlagen verwenden intern das 1TR6-Protokoll. Ben Hur läßt sich folglich nicht an alle Telefonanlagen anschließen.
L AN line 1/2000
Das Innenleben von Team Internet entpuppt sich als Standard-PC
NETZWERKPRODUKTE & SERVICES
ler, weil dieser einen Cache enthält, der abgefragte Daten auf der Festplatte ablegt. Ruft ein Benutzer Seiten ab, die ein
als primärer Mail Exchanger (MX) ein- nes seiner lokalen Postfächer ein. Dabei getragen sein. Team Internet beherrscht kann der Administrator auch bestimzusätzlich die Variante ETRN (Exten- men, daß beispielsweise Mails an Inded Turn), die für
[email protected] in mehrere Postfächer koWählleitungen ge- piert werden. Die Multidrop-Variante eignet ist. Dabei ist in der Regel kostengünstiger, weil ruft der Mail-Server der Provider nur ein einziges Postfach die Mails vom Pro- bereitstellen muß. Allerdings bevider ab; Voraus- schränkt nahezu jeder Provider die masetzung für ETRN ximale Größe aller Mails pro Postfach, ist eine feste IP- so daß diese Lösung für Mail-intensive Adresse. Firmen nicht geeignet ist. Ben Hur beFür Wählleitun- herrscht außerdem das ältere UUCP gen eignen sich (Unix-to-Unix Copy)-Protokoll zum außerdem zwei Mail-Austausch. POP-Varianten Die Computer im Unternehmensnetz(POP: Post Office werk holen Mail per POP oder IMAP Protocol). In der vom lokalen Mail-Server ab, so daß naeinfachsten Form hezu jedes Programm eingesetzt werden besitzt jeder lokale kann, beispielsweise Netscape MessenBenutzer sowohl ger, Microsoft Outlook oder die kostenNach dem Eintragen der Provider-Zugangsdaten steht der Internetbeim Provider als lose Software Pegasus Mail. Auch für Verbindung bei Ben Hur nichts mehr im Wege auch lokal ein Post- die umgekehrte Richtung fungieren die fach. Bei Ben Hur Server als Zwischenspeicher und senkann der Admini- den Mails an das Internet weiter. Wie anderer Mitarbeiter in der Vergangen- strator die Zuordnung nach den Erfor- oft dies geschieht, kann der Administraheit angefordert hat, kann der Proxy sie dernissen gestalten, bei Team Internet tor bestimmen. Bei Ben Hur lassen sich aus dem Cache liefern und muß keine müssen die Kontodaten (Name und für jeden Wochentag beliebig viele Verbindung zum Internet aufbauen. Da- Kennwort) hingegen lokal und beim Uhrzeiten angeben; Team Internet ermit Benutzer keine veralteten Daten be- Provider identisch sein. Da Team Inter- laubt lediglich eine Einstellung der Abkommen, geben die Betreiber von Web- net maximal acht Zeichen lange Benut- stände zwischen Internet-Anrufen zum Sites an, wie lange ihre Seiten gültig zernamen ohne Großbuchstaben er- Mail-Austausch, immerhin getrennt sind. Proxy-Server werten diese Anga- laubt, können Proben aus und verwerfen veraltete Seiten. bleme auftreten. So Zum Einsatz kommt Squid, ein im ist es im Test nicht Unix-Umfeld beliebter und weit ver- möglich, Mail vom breiteter Proxy-Server, der sich durch Provider-Postfach eine hohe Geschwindigkeit und Stabi- “KlausK” abzuholität auszeichnet. len (“klausk” hätte In zwei Punkten geht der Funktions- hingegen funktioumfang von Team Internet deutlich niert). über den von Ben Hur hinaus: Es bietet Bei der Multieinen integrierten Web- und einen drop-Variante samDHCP-Server (DHCP: Dynamic Host melt der Provider Configuration Protocol). alle eingehenden Der Administrator kann genau festlegen, wann Ben Hur Mail vom ProMails in einem ein- vider abholen soll zigen Postfach, unELEKTRONISCHE POST Auch für E-Mails bieten beide Geräte mehrere abhängig von ihrer Zieladresse. So wür- nach Arbeits-, Abend- und WochenendOptionen. Bei Standleitungen ist in der den Mails an
[email protected], Mei- zeiten. Bei Ben Hur funktionierte im Test der Regel SMTP (Simple Mail Transfer
[email protected] und
[email protected] im selben Provider-Postfach landen. Der zeitgesteuerte Mail-Austausch zunächst Protocol) die beste Wahl. In diesem Fall ist der Server ständig Server holt diese Mails ab und sortiert nicht wie geplant. Der Grund dafür ist empfangsbereit; er muß beim Provider sie entsprechend ihrer Zieladresse in ei- banal, aber leider im Handbuch nicht er-
24
L AN line 1/2000
NETZWERKPRODUKTE & SERVICES
Konfigurationsvarianten Ben Hur besitzt in der Standardkonfiguration einen LAN-Anschluß (10/100 MBit/s) sowie eine ISDN-Karte für Euro-ISDN oder Standleitungen und kostet 2672 Mark. Zusätzliche ISDN-Schnittstellen (für Einwählverbindungen) kosten jeweils 250 Mark. Für 594 Mark gibt es einen externen ISDN-Adapter von Elsa, mit dem Ben Hur Faxdienste bereitstellen kann. Ein 19-Zoll-Rahmen kostet 128 Mark. Team Internet wird in drei unterschiedlichen Größen angeboten, die sich durch die CPU, die Kapazität der Festplatte sowie die erlaubte Benutzeranzahl unterscheiden: Als Modell 100 für maximal 25 Benutzer, als Modell 200 für bis zu 100 Benutzer und als Modell 300 für höchstens 250 Clients. Mit zwei RJ45-Netzwerkschnittstellen (eine für das lokale Netzwerk und eine für einen vorhandenen Router zum Internet) kosten sie 3990, 4830 und 6990 Mark. Die Varianten mit einem LAN- und einem ISDN-Anschluß schlagen mit 4590, 5230 und 7390 Mark zu Buche. Die Modelle Team Internet 200 und 300 sind außerdem in einer Version mit jeweils einer LAN- und einer seriellen Schnittstelle (wahlweise V.35 oder X.21) verfügbar. Sie liegen bei 6590 Mark (Modell 200) und 7990 Mark (Modell 300). Eine spätere Aufrüstung mit einer ISDN-Karte liegt für alle Modelle bei 398 Mark, die serielle Schnittstelle kostet 1970 Mark. Ein optionaler 19-Zoll-Rahmen erhöht den Preis um 50 Mark.
klärt: Ben Hur arbeitet nicht mit der lokalen Uhrzeit, sondern mit Greenwich Mean Time (GMT), was eine Stunde Unterschied zur mitteleuropäischen Winter- beziehungsweise zwei Stunden zur Sommerzeit bedeutet. Der Administrator muß dies berücksichtigen, wenn er die Zeitpunkte für den Mail-Austausch festlegt – und diese Uhrzeiten bei jedem Wechsel zwischen Sommer- und Winterzeit entsprechend anpassen. INSTALLATION Die Installation der Geräte ist einfach. Damit die Benutzer auf den Server zugreifen können, muß der Administrator lediglich die IPAdresse des Servers an das lokale Netzwerk anpassen. Dazu muß er vorübergehend die IP-Adresse seiner Arbeitsstation ändern, damit er den Server unter einer vorgegebenen Adresse erreichen kann. Damit die Benutzer im Internet surfen können, muß der Verwalter noch die entsprechenden Zugangsdaten eingeben, also Telefonnummer, Benutzername und Kennwort, bei Team Internet zusätzlich den Verbindungstyp (zum Beispiel externes Modem, internes Modem, interne ISDN-Karte). Freundlicherweise ist bei Ben Hur bereits der anmeldefreie Internet-by-CallDienst von Arcor vorgegeben. Dieser
26
L AN line 1/2000
nicht: Jeder Benutzer kann – auch ohne Erlaubnis – den Proxy-Server verwenden. Team Internet fragt hingegen korrekt den Benutzernamen und das Kennwort ab. Leider erlaubt Ben Hur keine spezifische Einstellung, welche Benutzer ins Internet gehen dürfen. Jeder, für den E-Mail eingerichtet ist, hat auch das Recht, zu “surfen”. ADMINISTRATION In der Administra-
tion ähneln sich die Geräte zwar, aber Team Internet bietet auf seiner englischsprachigen Oberfläche ungleich mehr Optionen als Ben Hur mit seiner deutschsprachigen Verwaltung. So kann der Administrator beim Team-Internet-Server festlegen, daß die Internet-Verbindung zu bestimmten Zeiten grundsätzlich aufrecht erhalten oder gänzlich unterbunden wird. Weiterhin enthält dieser Server die optional einsetzbare Software Web-Sense, mit der sich Internet-Seiten bestimmten Inhalts (zum Beispiel Sex, Gewalt oder WebChat) sperren lassen. Der Administrator hat ferner bei Team Internet die Möglichkeit, ein Verzeichnis der lokalen Festplatte für Windows-Computer freizugeben, und er
Zugang ist mit sechs Pfennigen pro angefangener Minute zwar kein Sonderangebot, aber konkurrenzfähig. Für die erste “Schnupperstunde” ist dieser Dienst allemal geeignet. Team Internet kann mit einer Datenbank der wichtigsten Provider aufwarten, darunter auch einige deutsche. Auch an die Aktualisierung der Software haben die Entwickler beider Produkte gedacht. Bei Ben Hur ist diese Update-Funktion allerdings noch recht neu, und es existiert keine einfache Möglichkeit, gesicherte Konfigurationsdaten wiederherzustellen. Immerhin läßt sich dies mit Hilfe des Supports realisieren. Im Test funktionierten jeweils sowohl der direkte Web-Zugriff als auch der Zugang über den ProxyServer. Bei Ben Hur arbeiteten allerdings die Sicherh e i t s f u n k t i o n e n Auf der übersichtlichen Admin-Seite lassen sich alle Optionen einstellen
kann festlegen, wie groß der Cache des Proxy-Servers sein soll. Zudem existieren Filtermechanismen, um unerwünschte Mail zu blockieren. Die Online-Hilfe erläutert bei Team Internet alle Funktionen – auch die des integrierten Web- und DHCP-Servers – und unterstützt damit weniger erfahrene Administratoren. Ben Hur hingegen glänzt durch eine einfache Verwaltung, mit der auch ungeübte Administratoren sehr schnell zurechtkommen. Leider funktioniert die Online-Hilfe nicht befriedigend: Einige Hilfe-Schaltflächen lassen sich gar nicht anklicken, andere erzeugen eine “nicht-gefunden”-Fehlermeldung im Browser. Auch bei den Dokumentationen lassen sich Unterschiede zwischen beiden Produkten erkennen. Während Esoft Team Internet mit einem ausführlichen, 240 Seiten starken, englischen Handbuch liefert, stellt sich die Dokumenta-
tion von Ben Hur als lediglich 30 DINA4-Seiten dünnes Heftchen dar. Es ersetzt zwar die Online-Hilfe, hat aber keinen Platz für ausführliche Erklärungen und läßt viele Fragen offen. So findet sich beispielsweise nirgendwo eine Erläuterung, wodurch eine InternetVerbindung aufgebaut wird. FAZIT Für kleine Netzwerke, die lediglich E-Mail und Web-Zugriff benötigen, ist Ben Hur die erste Wahl. Das Gerät ist sehr einfach zu konfigurieren, so daß keine tiefgreifenden technischen Kenntnisse erforderlich sind. Ein allgemeines technisches Verständnis reicht aus. Ein Vorteil dieses Geräts ist seine Faxoption. Die Sicherheitsprobleme muß Pyramid aber noch in den Griff bekommen. Außerdem sollte der Hersteller ein Handbuch liefern, welches dieser Bezeichnung gerecht wird. Team Internet ist hingegen für Netzwerke geeig-
net, die – abgesehen vom Faxdienst – mehr Funktionalität erfordern. In Grenzen kann Team Internet sogar einen Fileserver ersetzen. Die Grundkonfiguration dieses Systems ist nur unwesentlich komplizierter als die von Ben Hur (abgesehen von der englischen Sprache), um die zahlreichen erweiterten Funktionen allerdings zu nutzen, ist ein Administrator vonnöten. (Andreas Roeschies/pf)
Info: Pyramid Computer Systeme, Ben Hur Tel.: 0761/45 14-150 Web: www.ben-hur.de
Info: Esoft, Team Internet Tel.: 001/303/44 416 00 Web: www.esoft.com Vertrieb: Computerlinks Tel.: 089/93 09 90 Web: www.computerlinks.de
L AN line 1/2000
27
NETZWERKPRODUKTE & SERVICES
DIE ENTWICKLUNGSUMGEBUNG VISION JADE
Automatisch programmieren Der Erfolg eines Unternehmens im Internet wird unter anderem dadurch bestimmt, wie schnell es auf neue Wettbewerbsanforderungen reagieren kann. Die Herausforderung für Manager und IT-Fachleute besteht hauptsächlich darin, in sehr kurzen Zeiträumen neue Internet-basierte Applikationen – zum Beispiel für E-Business – zu entwickeln und einzuführen. Vision Jade soll den Entwicklungsprozeß verkürzen, indem es den Entwicklern dabei hilft, die Programmierung zu automatisieren.
ision Jade dient zum Entwickeln und stemen. Alle Produkte lassen sich in besteEinführen Internet-basierter unterneh- hende Standards einfügen und können den mensspezifischer Anwendungslösungen Anforderungen der Unternehmensstruktur wie Kalkulation, Konfiguration, Vermö- entsprechend erweitert werden. gensverwaltung oder E-Commerce. Das Herzstück der Architektur ist der “Vision- VISION BUSINESS LOGIC SERVER Der Business Logic Server”, der nach Anga- Business Logic Server umfaßt die ben des Herstellers eine Codierung über- Business-Komponenten in einer skaflüssig macht, da er alle Schritte zum Er- lierbaren Server-Architektur mit den stellen einer Anwendung automatisiert. dazugehörigen Verwaltungsoptionen. Seine offene Architektur soll für Kompatibilität sorgen und sich heutigen und zukünftigen Standards wie CORBA (Common Object Request Broker Architecture) und Enterprise Java Beans (EJB) anpassen. Eine weitere Komponente der Architektur ist das “Vision Jade Developer Studio”, Die komplette Zentrale für Daten, Regeln und Applikationen: Das Jade in dem sich Ge- Developer Studio schäftsregeln und Logik definieren lassen und das die Kom- Er stellt unter anderem die folgenden ponenten für alle Ebenen einer Funktionen zur Verfügung: Mehrschichtenapplikation erzeugt. Die – Native Threads, dritte Komponente, das “Vision Jade ex- – Connection-Pooling (gleichzeitige tended Data Access Framework” sorgt für Nutzung einer existierenden Verbindie Integration von Anwendungen und Sydung durch mehrere Objekte),
V
28
L AN line 1/2000
– Status- und Session-Verwaltung – Lastenausgleich durch Server-Pooling und Ausgleich der Server-Auslastung durch Pooling der Ressourcen, – Ausfallsicherungsdienst, – externes Ereignismanagement, – integriertes Sicherheitsmanagement, – Integration von CORBA-Diensten, – Integration von Transaktions-Servern von Fremdanbietern, Der Vision-Business-Logic-Server wird unter Verwendung von Industriestandards wie CORBA, IIOP (Internet Inter-ORB-Protocol), JDBC (Java Database Connectivity) und EJB erstellt. Er kann auch vollständig mit COMKomponenten (Component Object Model) integriert werden. Visions Java-basierter Server verfügt über eine große Anzahl von Verbindungsoptionen zu Datenbankensystemen, unter anderem Oracle, Microsoft SQL Server, Sybase, Informix, IBM DB2/400 und IBM DB2/ MVS. VISION JADE DEVELOPER STUDIO
Das Vision Jade Developer Studio erfaßt die Geschäftsregeln und die Angaben zum Applikationsdesign, die eine vollständige Internet-Anwendung charakterisieren. Die Geschäftsregeln werden mit Bezug auf eine Gruppe von Datenobjekten definiert. Diese Objekte lassen sich entweder im Studio konzipieren oder aus vorhandenen Datenmodellen, aus CORBA/COM/EJB-Objektdefinitionen oder aus Objektmodellierungs-Tools auf der Basis von UML (Unified Modeling Language) übernehmen. Um eine neue Web-Applikation zu erstellen, kommen im zweiten Schritt Maskendesign, Aufrufbeziehungen zwischen den Masken und Auswahllisten hinzu. Mit diesen Komponenten generiert Jade zugleich die Oberfläche und die Datenverwaltung mit der zugehörigen Business Logic. Die Komponenten sind auf dem Vision Business Logic Server hinterlegt und lassen sich mit Hilfe von üblichen JavaEvent-Editoren sowohl Client- als auch Server-seitig erweitern beziehungsweise anpassen.
NETZWERKPRODUKTE & SERVICES
VISION EXTENSIBLE DATA ACCESS (XDA) FRAMEWORK Java-Komponen-
ten, die auf dem Vision-Business-Logic-Server hinterlegt sind, können mit beliebigen externen Daten interagieren, um die Integration von anderen Applikationen, Legacy-Daten und Anwendungen von Drittanbietern herzustellen. Im Gegensatz zu anderen AnwendungsServern beruht der Zugang zu den externen Daten nicht nur auf API-Methoden, sondern wird mit Hilfe des extensible Data Access Framework hergestellt. XDA ist eine Sammlung von JavaSchnittstellen, die die Grundlage aller Dienste des Vision Business Logic Servers und des Vision Jade Developer Studio darstellt. Das führt dazu, daß die Automatisierung der “Business Rules” für alle Komponenten gilt, unabhängig von der Datenquelle, auf die zugegriffen wird. Ein Beispiel: Bei der Interaktion mit einer proprietären Datenquelle auf einem traditionellen Applikations-Server müßten die automatische Verarbeitung der Ergebnismengen (result set automation), die Anbindung der Datenelemente in den Forms an die Daten (form binding services) und die Anwendungs-Managementdienste, die es für Standard-SQL-Datenquellen gibt, völlig neu implementiert werden. Das
30
L AN line 1/2000
XDA-Verbindungsstück für proprietäre Datenquellen in Vision Jade sorgt dafür, daß alle Automatisierungsdienste die Vision zur Verfügung stellt (Applikationsautomatisierung und die Automatisierung von Business Rules), auch für diese Verbindung verfügbar sind. BUSINESS RULES – AUTOMATISIERUNG VON SERVER-KOMPONENTEN
Ein wichtiges Feature der Vision-JadeArchitektur ist die Fähigkeit, Geschäftsregeln zu erfassen und sie als Server-Komponenten mit definierten Schnittstellen zu automatisieren. Eine Business Rule stellt eine präzise formulierte Geschäftsanforderung dar. Damit sind Aktionen gemeint, die ein Anwender durchführt, um spezifische Aufgaben zu erfüllen, zum Beispiel das Einfügen eines Postens in eine Bestellung. Typische Business Rules lauten beispielsweise “Außenstände sind die Summe unbezahlter Lieferungen”, “Die Außenstände eines Kunden dürfen sein Kreditlimit nicht übersteigen” oder “Bestellungen, die den Wert von einer Million Dollar übersteigen, müssen vom Vertriebsleiter genehmigt werden.” Die Regeln werden mit Bezug auf ein bestimmtes Objekt definiert, können sich aber im Rahmen des Systems auf
verschiedene Objekte beziehen. Vision Jade erfaßt die Business Rules mit Hilfe des Business-Rules-Designers und automatisiert sie dann, indem es die Rules als Server-seitige Komponenten kompiliert. Wenn nicht anders definiert, wird jeder Komponente ein Satz Standardmethoden zugewiesen, der alle kritischen Geschäftsfunktionen kapselt. Die Komponenten können dann zur Erzeugung unternehmensweit standardisierter Schnittstellen verwendet werden, so daß eine wiederverwendbare, komponentenbasierte Infrastruktur entsteht. Mit Jade beginnen die Entwickler ihre Projekte nicht mehr mit dem Schreiben des Programmcodes. Statt dessen erstellen sie gemeinsam mit den EndUsern die Business Rules, die festlegen, welche Operationen durchgeführt werden müssen und wie sie zusammenhängen. Dieser Ansatz unterschiedet sich sehr von traditionellen Entwicklungsmethoden: Normalerweise legen Systemanalytiker die Anforderungen an eine neue Applikation fest, und die Entwickler erstellen dann den Code, mit dem die nötigen Funktionalitäten implementiert werden. Anschließend erhalten die Endanwender die fertige Software, und erst
dann stellt sich heraus, ob diese Lösung die Anforderungen auch in der Praxis erfüllt. Bei einer regelbasierten Entwicklung ist das viel unwahrscheinlicher, weil die Endanwender direkt am Erstellen der Regeln beteiligt sind und sie solange verfeinern können, bis sie die gewünschten Ergebnisse produzieren. VORTEIL DES ANSATZES Ein weiterer
Vorteil des regelbasierten Ansatzes liegt darin, daß die Regeln in mit der Hand erstellten Anwendungen irgendwo im Code eingebettet sind und nicht explizit für sich abgespeichert wurden. Das macht es sehr schwierig, sie nachträglich zu ändern, ohne die ganze Applikation neu zu programmieren. Außerdem lassen sich viele Regeln auf mehrere Applikationen anwenden. Deshalb ist es am besten, jede Regel nur einmal zu definieren und anschließend zentral abzuspeichern, damit sie von allen beliebigen Anwendungen nutzbar ist. Wird es erforderlich, die Regel zu ändern, reicht es dann aus, die Änderung zentral vorzunehmen. Das sorgt für Konsistenz und spart viel Verwaltungsaufwand. Deswegen legt Jade die Regeln in einem Repository ab. DER ENTWICKLUNGSPROZESS Beim
Entwickeln mit Jade werden zunächst die Geschäftsregeln festgelegt. Sobald diese stehen, beginnt ein weiterer iterativer Vorgang, der das Ziel hat, die grafische Benutzerschnittstelle an die Funktionalität der Lösung anzupassen. Kurz gefaßt sieht der Jade-Entwicklungsprozess so aus: 1. Zusammentragen der Projektanforderungen 2. Identifikation der Geschäftsanforderungen und der erforderlichen Funktionen – hier werden die ersten Geschäftsregeln definiert, 3. Aufbau des Daten-/Objekt-Modells. In diesem Schritt erstellen die Entwickler ein Datenmodell im Jade Repository. Dieses Modell dient später als Kern, um den herum die Applikationen aufgebaut werden. Entweder, es wird mittels Reverse Engineering aus einer bestehenden Datenbank er-
stellt oder von einem CASE- (Computer Aided Software Engineering) oder OOAD-Tool (Object Oriented Analysis and Design) ins Jade Repository importiert. Die definierten Business Rules werden ebenfalls als Metadaten ins Repository integriert. 4. Festlegen der restlichen Geschäftsregeln, 5. Aufbau des Prototyps der grafischen Benutzerschnittstelle, 6. Validierung des Designs der Applikation. In dieser Phase kommt die Applikation mit Testdaten zum Einsatz. Werden die End-User hier beteiligt, können sie bereits entscheiden, ob die Software ihren Anforderungen genügt. 7. Überarbeiten der Geschäftsregeln. Dieser Schritt dient dazu, eventuelle Mängel zu beseitigen. Außerdem ist es an dieser Stelle möglich, per Hand erstellten Code in das Projekt einzubinden. 8. Überarbeiten der Benutzerschnittstelle, 9. erneutes Durchlaufen der Schritte 7 und 8, bis die Ergebnisse die Anforderungen erfüllen, 10. Test der Applikation, 11. nach erfolgreichem Test wird die Anwendung den Endanwendern zur Verfügung gestellt. Gleichzeitig findet die Konfiguration der Sicherheitskonditionen statt. Dieser regelbasierte Ansatz stellt sicher eine interessante Alternative zu traditionellen Entwicklungssystemen dar, da die zentrale Regelverwaltung für mehr Konsistenz im Unternehmen sorgt. Der Hersteller will mit diesem Produkt sowohl die Anforderungen der Entwickler erfüllen wie beispielsweise schnelle Automatisierung, als auch die moderner Unternehmensstrukturen, die sich an Standards und Komponenten orientieren. Ob diese “Entwerfen und sofort Umsetzen”-Strategie Erfolg haben wird, bleibt abzuwarten, auf jeden Fall sollte man das Produkt im Auge behalten. (Götz Güttich) Info: Vision Software Web: www.vision-soft.com
L AN line 1/2000
31
NETZWERKPRODUKTE & SERVICES
BACKUP UNTER NETWARE UND NT MIT NOVANET
Aus dem Land der Wizards Bei Novanet 7 Backup für Netware und Windows NT handelt es sich um ein Datensicherungsprodukt, das sich durch einfache Bedienung, effektive Sicherungsmechanismen und gute Konfigurierbarkeit auszeichnet. Administratoren von heterogenen Netzen mit Netware und Windows-NT-Rechnern sollten einen Blick auf dieses Backup-Programm werfen.
nbekannt heißt noch lange nicht unwichtig, Novastor ist ein Beweis dafür. Das Unternehmen hat ein ganzes Arsenal von Backup-Programmen, Verschlüsselungs-Software und anderen Werkzeugen für den Umgang mit Massendaten im Programm. Das LANline-Lab hat sich hier aus dem Produktportfolio Novanet Alliance 7 vorgenommen, ein Datensicherungspaket für heterogene Netzwerkumgebungen aus Netware- und Windows-Rechnern. Linux kommt laut Hersteller demnächst dazu. Novanet 7 unterstützt Netware und Windows NT in einem Produkt. Ein Un-
U
Die bevorzugte Novanet-7-Konfiguration
32
L AN line 1/2000
terschied, der im Vergleich zu den bekannteren Backup-Lösungen wie CAI Arcserve und Seagate Backup Exec von Anfang an angenehm ins Auge fällt. Installations-CD eingelegen, den Anweisungen folgen, in fünf Minuten ist das Programm installiert, geladen und sichert. Da gibt es keine Unterschied zwischen Netware und Windows NT. Novanet 7 installiert einen Manager und einen Agent. Je nachdem, ob der Manager oder der Agent gestartet wird, kann die Host-Maschine als Backup-Server/ Client oder nur als Backup-Client arbeiten. Novanet nennt das “Peer-to-Peer Ar-
chitecture” und meint damit, daß jeder Rechner ein Backup-Server sein kann, wenn nur ein Datensicherungsgerät angeschlossen ist und die entsprechenden Treiber geladen sind. Die von Novanet bevorzugte Konfiguration besteht aus – Storage-Management-Server, – Storage-Management-Database-Server, – anderen Servern oder Arbeitsplatzrechnern mit oder ohne angeschlossenes Datensicherungsgerät. Der Storage-Management-Server ist so etwas wie die zentrale Verwaltungskonsole und für die Betreuung der BackupProzesse reserviert. In der Storage-Management-Datenbank hebt Novanet 7 alles auf, was es über den aktuellen Zustand der Datensicherungsumgebung weiß. Wird der Management-Agent oder der Backup-Agent an einem Rechner geladen, werden die aktuellen Daten dieses Rechners in die Storage-ManagementDatenbank eingetragen, und der Rechner steht Novanet mit allen angeschlossenen Sicherungsgeräten zur Verfügung. Die Datenbank ist offensichtlich robust. Das LANline-Lab hat während eines Sicherungslaufs den Datenbankrechner abgeschaltet. Der Agent war in der Lage, die Datenbank beim Neustart erfolgreich wieder zu reparieren. Jedes Gerät kann nur in einer “Storage Management Database” eingetragen sein, aber es kann viele Datenbanken in einer Novanet-Installation geben. Jede Datenbank wird im Netz als “StorageManagment-Zone” propagiert. Der Datensicherungs-Agent ordnet beim Start das Gerät einer Storage-ManagementZone zu. Wichtig am Novanet-Konzept ist, daß die Storage-Management-Datenbank immer auf einem Rechner liegen sollte, der kein Sicherungs-Server ist. Das stellt sicher, daß im Falle des Unglücks entweder Sicherungs-Server oder die Datenbank nicht mehr im Zugriff sind, aber nur im Falle großen Unglücks beide zur gleichen Zeit. Novanet ist der Meinung, daß das Bandlaufwerk, wenn irgend möglich, an dem Gerät hängen sollte, dessen Daten
NETZWERKPRODUKTE & SERVICES
Novanet ist zu jeder Zeit vollkommen über alle Geräte informiert
gesichert werden müssen. Das ist die schnellste und sicherste Methode. Sollte das Bandlaufwerk einen Fehler haben oder ein Band überlaufen, wird bei entsprechender Konfiguration die Sicherung einfach auf ein anderes Laufwerk in der Sicherungszone fortgesetzt. Man kann natürlich alles auch ganz anders konfigurieren. Novanet 7 läßt dem Administrator da freie Hand. Die Konfigurationsmöglichkeiten sind sehr vielfältig, setzen aber auch sichere Kenntnisse über die Datensicherungsumgebung und das Verhalten der Geräte voraus. Novanet kann jeden Datenträger auf jedes Sicherungsgerät in der entsprechenden “Storage-Management-Zone” speichern, sogar die Datensicherungsströme über die Geräte verteilen. Dieses Konzept erinnert an das viel zu früh verstorbene Norton-Enterprise-Backup und kann zu außerordentlich komplexen Datensicherungskonstellationen führen.
Wer alle Backup-Optionen braucht, muß ohne Wizards auskommen
man gerade braucht. Für die NetwareServer-Konsole ist die Benutzeroberfläche im bekannten C-Worthy-Stil nachempfunden. An Console One und Java hat man sich noch nicht gewagt. Novanet ordnet seine Funktionalität in die Gruppen – Sicherung: Backup, Restore, Verify; – Geräte: Media, Device; – Verwaltung: Queue, Security, Database; – Wizard.
Testumgebung Acht Server unter Netware 4.11, Netware 5, Windows NT 4.0 mit insgesamt 150 GByte Daten. HP-40-GByte-DLT-Laufwerk, HP 5*40 GByte DLT-Autoloader (Surestore 418) Novanet 7 Alliance
BENUTZERSCHNITTSTELLE Novanet 7
gelingt es, die Komplexität einer verteilten Datensicherungsumgebung durch eine einfache Installationsprozedur und eine intuitive Bedieneroberfläche zu verbergen. Die Bedieneroberfläche ist dem Windows Explorer nachempfunden, ordnet alles hierarchisch in Ordnern an und hat eine sehr gute Kontexthilfe. Novanet 7 macht ausgiebigen Gebrauch von der linken Maustaste, man hat in jeder Situation Zugriff auf die Informationen, die
34
L AN line 1/2000
Es spricht für die Produktdesigner bei Novastor, daß man mit dem Produkt arbeiten kann, ohne die Benutzeroberfläche jemals wirklich berührt zu haben. Die Wizards sind gut durchdacht und bieten sichere Optionen an. Jede Option ist außerdem einsichtig erklärt. Da kann fast nichts mehr schiefgehen. Was der Benutzer alles machen kann, wird im Tab “Security” festgelegt. Nova-
net 7 legt viel Wert auf Sicherheit und das ist bei dem verteilten Konzept auch gut so. Es gibt Benutzer, Benutzergruppen, Rechte, Äquivalenzen und effektive Rechte, so wie man das von Netware gewohnt ist. Soweit das LANline-Lab sehen konnte, funktioniert das auch. Jeder Sicherungs- oder Rücksicherungsauftrag wird in Ordnern abgelegt. Benutzer sehen dabei nur die Aufträge und innerhalb der Aufträge nur die Geräte, für die ihnen Zugriffsrechte eingeräumt worden sind. Neue Aufträge werden mit dem Wizard erzeugt, mit den Backup-/Restore-/Verify-Reitern oder indem man einen anderen Auftrag kopiert und verändert. Dateien auf Datenträgern oder Bändern stehen dem Benutzer wie beim Windows-Explorer in einem Fenster zur Auswahl. Bei der Rücksicherung kommen natürlich auch die Instanzen der gesicherten Datei dazu. Erfreulich ist die Geschwindigkeit, mit der das VerwalterInterface auf die Datenbank der gesicherten Dateien zugreift. Das ist eine echte Ausnahme im Feld der Datensicherungs-Software und macht das Restaurieren von Dateien zu einer angenehmen Tätigkeit, auch bei vielen Millionen gesicherten Dateien. Bei der Auswahl von Dateien für einen Auftrag kann der Benutzer Filter einsetzen. Eine Datei kann in ihrem Quellordner unter ihrem ursprünglichen Namen, unter einem anderen Namen oder auch
NETZWERKPRODUKTE & SERVICES
auf ein anderes Gerät in der Storage-Management-Zone rückgesichert werden. Das ist alles nichts Besonderes, allerdings geht es bei Novanet 7 besonders einfach. Dem Benutzer steht es zudem frei, Dateien nicht im Format des Betriebssystems (Netware, Windows NT, DOS), sondern im Novanet-Format zu sichern. Das dauert ein bißchen länger. Der Vorteil: Die Daten können auch auf eine andere Plattform zurückgesichert werden, Netware nach Windows NT oder umgekehrt. Besonders stolz ist Novanet 7 auf den Kalender in der Funktionsgruppe der Backup-Definition. Tatsächlich gibt der Kalender einen guten Überblick über den Zustand der Sicherung eines Jobs. Das Ergebnis “completed” kommt in natürlichen Umgebungen allerdings so gut wie nie vor. Es gibt immer Dateien, die während der Sicherung offen sind, schon wieder gelöscht sind, wenn der Sicherungspro-
die Bänder in die Datenbank importieren, ein Prozeß, der mehrere Stunden dauern kann. Novanet kann die Arcserve-Formate 4.x und später importieren, außerdem Tapeware 3.x und später. Mit Novells SMS-Format kann Novanet dagegen nichts anfangen. Novanet sichert Novanet gibt dem Benutzer ein genaues Bild über den Zustand seines die Daten mit bis zu Auftrags acht Datenströmen pro Backup-Gerät. Novanet benutzt dabei Block Interlea- OPTIONEN FÜR EXCHANCE UND SQL ving und schreibt die Daten in 32 Byte SERVER Für Microsoft Exchange und Microsoft SQL Server gibt es Optionen, großen Blöcken auf das Band. Was Netware-Benutzer besonders mit denen auch diese Datenbanken gesiglücklich macht, ist die Unterstützung chert werden können. Ob diese zwei Optiovon NSS-Volumes nen ausreichen, muß man von Fall zu Fall (Netware Storage entscheiden. Für die Sicherung offener DaSystem), die man teien gibt es ein Plug-in für den Open-Fileunter Netware 5 ger- Manager von St. Bernard Software. Die Sicherungsagenten von Novanet ne für große Plattensind einigermaßen “gefräßig”. Das LANArrays benutzt. Allerdings macht line-Lab hat einige “Out of Memory”-SiNovanet alles ohne tuationen erfahren. Ältere Server, die bis auf Novells SMS (Stor- den letzten Steckplatz ausgebaut sind und age-Management unverzichtbare Dienste betreiben, haben daSystem) und benutzt mit das Ende des Lebens erreicht. Oder man auch nicht die von nimmt ein Datensicherungspaket, das sparNovell zur Verfü- samer mit den Ressourcen umgeht. gung gestellten TSAs (Target-Servi- ZUSAMMENFASSUNG Insgesamt ist Noce-Agent), sondern vanet ein sehr gutes Datensicherungspaket verwendet eigene für Netware und Windows NT. Seine StärDer Backup-Planer von Novanet 7 ist gut gelungen Software. Novastor ken sind einfache Benutzbarkeit, Skalierist der Meinung, daß barkeit und Benutzerverwaltung. Novanet zeß darauf zugreifen will und ähnliche diese Strategie zu einer angenehmen Un- 7 hat sich im LANline-Lab als unprobleVorkommnisse mehr. Immerhin hat abhängigkeit vom Hersteller des Be- matisch und sicher gezeigt. Vielleicht sollte Novastor auch sagen, daß Novanet 7 eiNovanet 7 eine ordentliche Buchhal- triebssystems führt. Bei der NDS geht die Kunst von Nova- ne angepaßte Version von Tapeware ist. tung, und man behält den Überblick. net allerdings nicht weit genug. Hier wer- Tapeware 6.1 und Novanet 7 sind prakTECHNISCHE BESONDERHEITEN Noden nur die Dateien der NDS gesichert, tisch identisch. vanet 7 ist nicht das am weitesten ver- die auf dem Quellrechner liegen. Dieses (Werner Degenhardt/rhh) breitete Backup-Programm. Aus diesem Verfahren wird einer verteilten und repliGrunde ist es schon fast ein Muß, Arcser- zierten Datenbank bei weitem nicht geInfo: ve-Formate lesen zu können. Bevor No- recht und letzten Endes nutzlos. Hier Web: www.novastor.com vanet Fremdformate lesen kann, muß es sollte Novanet nachbessern. www.tapeware.com
36
L AN line 1/2000
NETZWERKPRODUKTE & SERVICES
EINFÜHRUNG IN DIE NETZWERKANALYSE (TEIL 2)
Tools für die Analyse und Statistik Der Administrator verwendet einen Analysator in erster Linie für die Fehlersuche im Netz. Sehr hilfreich ist es dabei, wenn der Analysator auch Statistiken über die Eckdaten des Netzwerks erfassen kann, so daß der Administrator eventuelle Auffälligkeiten entdeckt, bevor es zu Ausfällen kommt. Für beide Zwecke gibt es eine Reihe von Analysator-SoftwareLösungen. Sie haben jeweils ihre ganz spezifischen Eigenheiten, so daß nicht jede Lösung für jeden Anwender gleichermaßen geeignet ist.
ei Störfällen im Netz muß der Administrator binnen kürzester Zeit (und auch unter hohem Erfolgsdruck) die Ursache des Ausfalls gefunden haben und einen Lösungsweg vorzeichnen können. Dafür benötigt er einen Netzwerkanalysator. Sehr hilfreich ist es dabei, wenn er im Zeitraum vor dem Störfall Statistiken über das Netzwerk im laufenden Betrieb gemacht hat. Auch diese lassen sich mit Netzwerkanalysatoren erstellen. Sie erfassen hierzu die Eck- oder Grunddaten des Netzes, also beispielsweise: – die Netzlast, – welche Stationen mit welchen anderen (Pair Statistic) kommunizieren, – die Fehlerrate (physikalische Fehler im Ethernet und MAC-Fehlermeldungen im Token-Ring-Protokoll), – den Anteil der verschiedenen Protokolle, – die Server-Auslastung, – die Latenzzeiten zwischen Server und Clients sowie – die Auslastung von Routern. Die Ergebnisse der Netzwerkstatistik sind somit eine entscheidende Voraussetzung, um im Fehlerfall die Störung physikalisch und logisch einzugrenzen. Nur mit konstant betriebener Netzwerkstatistik kann der Administrator das Verhalten des eigenen Netzwerks bestimmen
B
38
L AN line 1/2000
und Veränderungen visualisieren, um rechtzeitig bei kritischen Entwicklungen Maßnahmen zur Abhilfe einleiten zu können. Nur, wer seine “Pappenheimer” kennt, kommt schnell zum Ziel, ohne immer wieder bei Null anfangen zu müssen.
der LAN-WAN-/Protokolle beschäftigen. Das klassische Netzwerkmanagement ist aus der Geräteverwaltung heraus entstanden: Dabei werden Router und Bridges (heute: Switches) abgefragt und teilweise auf bestimmte Ausgangswerte gesetzt oder konfiguriert. Im Rahmen von RMON (Remote Network Monitoring) und SNMP (Simple Network Management Protocol) können darüber hinaus wichtige Statistikdaten über die jeweiligen Geräte und den damit verbundenen Segmenten abgefragt werden und dienen somit unterstützend für die Statistik. Und das ist auch sinnvoll. Denn was nützt es dem Administrator, über SNMP die eigenen Geräte konfigurieren zu können, wenn er im Vorfeld nicht die lebensnotwendigen Eckdaten über sein Netzwerk ausgemessen hat und nach einer durchgeführten Veränderung nicht die angeblich verbesserte Performance auch überprüfen kann? Letztlich kommt er um die Anschaffung eines Statistik-Tools mit Managementfähigkeit nicht herum. Ein zusätzliches
Die LANline-Serie Einführung in die Netzwerkanalyse Dies ist der zweite Teil der LANline-Serie zum Thema Netzwerkanalyse. Im ersten Teil ging es um Auswahl- und Unterscheidungskriterien für LAN-Analysatoren. Er erschien in der LANline 12/99, Seite 108 und folgende. Der dritte und letzte Artikel der Serie wird in Heft 2/2000 erscheinen und sich mit der Analysepraxis in TCP/IP-Netzen beschäftigen. Alle drei Artikel stammen aus dem Hause Synapse: Unternehmensberatung in Bonn. (db)
Es gibt zwar Spezialisten, die selbst in fremden Netzen schnell und zügig herausfinden können, ob und welche Fehler vorliegen. Doch für diese Fähigkeit des voraussetzungslosen Analysierens muß sich der Netzwerkspezialist dauerhaft mit der Thematik beschäftigen können und permanent im Training bleiben. Angestellte Netzwerkadministratoren haben schon deshalb kaum eine Chance, das zu erreichen, weil sie dafür gar nicht genügend Zeit zur Verfügung haben. Das Netzwerk-Monitoring mit seinen Statistiken nimmt ihnen hier einiges ab: Sie müssen sich nicht ständig mit den Tiefen
Programm für Netzwerkmanagement wäre wünschenswert. Und da die professionelle Netzwerkanalyse bis heute nicht oder nur unzureichend in die Netzwerkmanagementprodukte eingeflossen ist, benötigt er auch einen guten Analyzer, um im Katastrophenfall den Fehler möglichst schnell zu finden und zu beheben. TECHNISCHE ZUVERLÄSSIGKEIT Netz-
werkanalysatoren müssen für eine zuverlässige Analyse alle Datenpakete verlustfrei von der Leitung aufnehmen können. Schon der Verlust von nur wenigen Da-
NETZWERKPRODUKTE & SERVICES
tenpaketen kann eine Messung wertlos machen, insbesondere dann, wenn die Störungen im Netz unter Vollast auftreten, etwa, weil ein Router oder Server bei Buffer-Overflow Pakete verwirft. Die notwendige Zuverlässigkeit bieten nur Analysatoren, die unmittelbaren Zugriff auf die Hardware des LAN-Adapters haben. Diese Bedingung erfüllen nur wenige Software-Tools auf dem Markt. Für Aufgaben im Bereich der Netzwerkstatistik ist diese hohe Anforderung weder geboten noch erfüllbar: Die heute gängigen Management- und Statistikprodukte lesen nicht nur passiv den Datenverkehr mit, sondern wirken auch (begrenzt) aktiv auf das Netzwerk ein, führen zum Beispiel einfache Ping-Abfragen oder SNMP-Queries durch. Hierzu kann das Tool nicht unmittelbar über die Adapter-Hardware arbeiten, sondern muß über die NDIS-Treiber von Microsoft zugreifen. Damit verringert sich – sogar erheblich – die physikalische Zuverlässigkeit, doch gleichzeitig erhöht sich das Funktionsspektrum. Netzwerkanalyse und Netzwerkstatistik sind somit keine Gegensätze, sondern sie ergänzen und bedingen sich gegenseitig.
arbeiten. Namenstabellen für MAC-, IP- und IPX-Adressen werden ebenso geführt, und der Anwender kann sämtliche Statistiken mit Alarmmeldungen versehen. So ist es zum Beispiel möglich, daß eine Warnmeldung folgt, wenn die Netzlast über ein eingestelltes Niveau steigt. Die Meldung erfolgt auf dem Bildschirm per E-Mail oder auf einem Pager. LANDECODER32 Die Stärken des Landecoders32 von Triticom liegen im Direct-Driver-Mode (Accu Capture). Denn er greift nicht über die NDIS-
Datenpaketen. Außerdem verfügt er über eine Vielzahl an Filtern, die der Anwender sowohl für eine Online-Messung setzen kann als auch nachträglich bei bereits eingelesenen Meßdaten. Für die Protokollanalyse bereitet der Landecoder die Meßdaten leserlich auf. Im Summary-Fenster zeigt er alle Pakete an, wobei die Zusammenfassung der jeweils gewählten OSI-Schicht sichtbar ist. Vermutet der Anwender zum Beispiel Probleme bei Data-Flow-Control, kann er sich so recht einfach alle TCPPakete (OSI- Schicht 4) anzeigen lassen, vermutet er Routing-Fehler, läßt er
PRODUKTE IM VERGLEICH Die wich-
tigsten auf dem Markt erhältlichen Software-Tools für die LAN-Analyse und Statistik sollen hier kurz vorgestellt werden. Da der Sniffer in einer deutlich höheren Preiskategorie liegt als die anderen Produkte, wurde er in diesen Vergleich nicht mit aufgenommen. Alle vorgestellten Programme zeigen die aktuelle Netzlast an sowie die vorherrschenden Pakete und Bytes (Octets) und das jeweils pro Sekunde oder pro Minute. Ebenso visualisieren sie die Protokollanteile (beispielsweise: wieviel TCP/IP, SPX/IPX oder Appletalk), verfügen über umfangreiche Tabellenfunktionen, die Fehler, Lastspitzen oder Top Talkers ausweisen und erfassen alle Adressen (IP, IPX, MAC; Source, Destination, Conversation Pairs). Die Statistiken lassen sich in CSV-(Comma-Separated-Value-)Format abspeichern und mit Excel auswerten und be-
40
L AN line 1/2000
Die grafische Aufbereitung bei LAN-Decoder32
Schnittstelle zu, sondern mittels DirectDriver direkt auf den Karten-Chipsatz. Dadurch ist es möglich, bei voller Netzlast verlustfrei auf dem Ethernet mitzulesen. Es können bis zu 32 MByte an Meßdaten in den Speicher eingelesen werden und automatisch bis zu 255 mal auf Festplatte abgespeichert werden (empfohlen sind 8 bis 16 MByte). Somit werden Langzeitmessungen mit sporadisch auftretenden Fehlern möglich. Der Analyzer kann bis zu 255 TraceDateien mitschreiben, was in der Praxis einem Volumen von rund 4 GByte entspricht oder mehreren 100 Millionen
sich alle IP-Pakete (OSI-Schicht 3) anzeigen. Er hat aber auch die Möglichkeit, jedes Paket einzeln zu betrachten. Auch hier werden die Pakete gemäß den OSI-Schichten dekodiert und analysiert. Ebenfalls entscheidend für die Arbeit mit einem Analyzer ist, daß die Bedienerführung ein schnelles Durcharbeiten erlaubt. Das ist bei praktisch allen Produkten anderer Hersteller nicht der Fall. Darüber hinaus bietet der Landecoder32 ein Expertensystem, das eingelesene Meßdaten nach Fehlern und Auffälligkeiten in Verbindungen (doppelte MAC-Adressen und ähnliches)
NETZWERKPRODUKTE & SERVICES
durchsucht. Das Expert-Diagnosis-Tool erkennt praktisch alle Fehler im Bereich von TCP/IP und IPX/NCP (Novell) und weist die Fundstellen im Trace aus. Sämtliche Datendialoge (Sessions) können getrennt, also einzeln verfolgt und auf Fehlerfreiheit überprüft werden. Darüber hinaus hat der Anwender die Möglichkeit, Qualitätsschwellen zu definieren und zum Beispiel Verbindungen gezielt auf Session-Abbrüche zu untersuchen. Treten mehr Fehler auf als zuvor per Schwellwert definiert, weist das System das aus. So läßt sich der Analyzer auch vorbeugend für eine kontinuierliche Qualitätskontrolle nutzen. Der Landecoder32 kann auch über die NDIS-Schnittstelle angeschlossen werden, um die Daten von RMON-Agenten per Fernzugriff zu analysieren. Das ermöglicht dem Administrator, mit Hilfe der Landecoder32-Konsole das gesamte Netzwerk zu überwachen, ungeachtet seiner tatsächlichen räumlichen Ausdehnung. Die “LanDecoder32-Network-Management Suite” erlaubt inzwischen die volle Breite des SNMPNetzwerk-Managements.
Info: Triticom Tel.: 001/612/331-0470 Web: www.triticom.com/TRITICOM/ LAN-Decoder32 30-Tage-Vollversion unter: www.synapse.de
SURVEYOR Der Surveyor von Shomiti bietet unter dem Gesichtspunkt der Skalierbarkeit alle Funktionen eines Software- und Hardware-Analyzers. Das Basisprodukt, die Software in der aktuellen Version 3.0, deckt den “normalen Funktionsumfang” anderer Analyzer mit einem Expertensystem ab – mit allen Vor- und Nachteilen, die sich daraus ergeben. Doch der Anwender kann diese Software mit einer speziellen Netzwerkkarte des Herstellers ergänzen und erhält in Kombination mit einem Notebook einen portablen Netzwerkanalysator. Darüber hinaus bietet der Hersteller auch High-end-Hardware-Analyzer wie
42
L AN line 1/2000
das Century-Media-Modul an. Der Einsatz eines taktunabhängigen Chip-Sets unterscheidet dieses Meßgerät grundlegend von der einschlägigen Technik. Die gesamte Filter- und Capture-Einheit ist in hocheffizienter Hardware realisiert. Die Hardware-Komponenten decken den kompletten Ethernet-Bereich bis hin zu Gigabit Ethernet im Voll- und Halbduplexbetrieb ab und sollen selbst bei Gigabit Ethernet noch den gesamten Datenstrom aufzeichnen und diese Aufzeichnung auch wieder in entsprechender Geschwindigkeit ins Netz einspeisen können. Dabei liegt eine Halbduplexversion preislich immer noch im Rahmen der Preisgestaltung des Mitbewerbs. Die Analyse-Software Surveyor bietet neben einer vollständigen Dekodierung die Möglichkeit, mit dem Protocol Decode Kit eigene Protokolle auch mit geringen Programmierkenntnissen einzufügen. Dieses frei erhältliche Werkzeug erlaubt die Einbindung eigener DekodeFenster in die vorgegebene Paketdekodierung. Mit etwas Erfahrung in C++ kann der Anwender auch proprietäre Protokolle darüber einbinden. Bei den vorgegebenen Dekodierungen besitzt die für die H.323-Protokollgruppe (Voice over IP) eine bis dato unbekannte
Dimension. Da es bei Voice over IP allerdings sehr stark auf die Leistungsfähigkeit der Hardware-Komponenten ankommt, ist die Software am Ende auch nur so gut wie der Rechner, auf der sie läuft, und dessen Netzwerkkarte. Dem Anwender kommen Bedienerführung und Funktionen der Software zunächst etwas ungewohnt vor. Für die schnelle Einarbeitung ist deshalb ein solides Grundlagenwissen in der Netzwerktechnik sehr hilfreich. Hat sich der Anwender aber damit zurechtgefunden, ist die Software genauso einfach und effektiv auch für das Tagesgeschäft einsetzbar wie die gängigen Produkte.
Info: Shomiti Tel.: 001/408/437-3940 Web: www.shomiti.com
DISTRIBUTED OBSERVER (NETWORK INSTRUMENTS) Network Instruments
bietet seinen Observer in Single-Segment- oder Distributed-Observer-Version an. Optionale Module zur Einbeziehung von RMON und SNMP erlauben eine umfassende Informationssammlung verschiedenster Netzwerkkomponenten. Die hier beschriebene Distributed-Vari-
Capturing von Paketen mit dem Distributed Observer
NETZWERKPRODUKTE & SERVICES
ante verrichtet im lokalen Segment wie auch in Netzbereichen mit unterschiedlicher Topologien seinen Dienst als Troubleshooting-Tool mit dem Funktionsumfang herkömmlicher Analyzer. Abseits der regulären Grafiken und Statistikinformationen nach dem Motto “wer wie mit wem wann wieviel Daten” in den Segmenten verkehren läßt, ermöglicht der Observer eine Langzeitmessung in individuell definierbaren Zeitspannen. Damit hat der Anwender die Möglichkeit, statistische Eckdaten der Netznutzung und Auslastung umfassend zu sammeln und kann diese sortiert nach Segment oder Probe jederzeit dynamisch in Grafik oder Zahlenwerk abrufen. Ferner bietet der Observer eine Lösung an, um das größte Problem eines Packet-Sniffers zu umgehen: den Switch. Mit Hilfe der integrierten Script-Engine kann der Anwender einen Switch mit Portmirroring und Telnet umprogrammieren, um sowohl einzelne Ports oder auch alle Switchports zu überwachen. Jeder Probe wie auch die Observer-Konsole können in diesem Modus betrieben werden, sofern die Probes im LAN/WAN über IP erreichbar sind. In der aktuellen Version 6.2 stehen vier Wege zur Überwachung komplexer LAN-Segmente zur Verfügung: – die Plazierung mehrerer Probes an strategischen Stellen in den Segmenten – der Switched-Observer-Modus einzelner Probes – über vorhandene RMON-Agenten der Netzwerkkomponenten – über pures SNMP anderer Komponenten im LAN/WAN. Für SNMP besitzt der Observer Tools, mit denen der Anwender alle erdenklichen MIBs für unterschiedliche Produkte erstellen und bearbeiten kann, um der SNMP-Datenflut die Informationen zu entnehmen, die individuell für den Anwender relevant sind. Bereits mit dem Basisprodukt ist es möglich, sämtliche über IP erreichbaren Switches, Server und Router zu durchlaufen und herauszufinden, ob die MIB-Lei-
44
L AN line 1/2000
stungsmerkmale dieser Netzwerkkomponenten überhaupt vorhanden und von einem zentralen Punkt aus auch erreichbar sind für den Observer oder für andere, höherwertige Systeme wie Managementkonsolen. Bei der SNMP-Lösung geht der Hersteller Network Instruments einen Weg, der in die Grauzone zwischen Analyzer und Managementsystem führt. Der sehr reichhaltige Funktionsumfang erlaubt abseits der erstellbaren Statistiken auch ein Management von SNMP-unterstützenden Geräten wie Switches. Gerade für kleinere Netze ist der Observer dehalb eine Alternative zu einem Managementsystem. Darüber hinaus lassen sich die Observer-Probes auch als reinrassige RMONProbes betreiben. Die Probes sind entweder nur für den Observer auslesbar oder werden als kompatible RMONAgenten installiert, um zum Beispiel losgelöst vom Observer als Alternative zu Hardware-RMON-Probes zu arbeiten. Der Observer kann wiederum über seine RMON-Extension diese nun im RMON-Format arbeitenden Probes wieder erreichen, genauso wie jedes andere RMON-Gerät im LAN/WAN. Einige Nischen im Markt besetzt Observer zum Beispiel bei FDDI oder auch bei einem medizintechnischen Protokoll namens Dicom, das eine umfassende Dekodierung von Layer 4 bis 7 enthält. Zudem entwickelt der Hersteller seine Produkte ständig weiter, was für den Käufer eine gewisse Investitionssicherheit mit sich bringt. So ist jetzt eine Dekodierung der H.323-Protokollgruppe (VoIP) erhältlich, und in Kürze soll eine deutschsprachige Menüführung verfügbar sein. Neu in der Version 6.x ist auch die IP-Patrol, ein Modus, der den Internet-Verkehr und genutzte Sites per Benutzer erfaßt. Somit ist und bleibt der Observer ein Handwerkszeug für den Netzwerkall-
Info: Network Instruments Tel.: 0044/1322/303045 Web: www.netinst.com oder: www.observer-analyzer.de
tag, der sowohl leichte Arbeit wie auch knifflige Themen im Netz abdeckt. Doch auch hier ist das Tool nur so gut wie sein Benutzer: Er ersetzt nicht das Netzwerk-Know-how. LANFOX Die Produkte des britischen
Herstellers Chevin gehen noch stärker in Richtung Netzwerkmanagement. Der Cnapro Lanfox ist dem Observer sehr ähnlich, legt seinen Schwerpunkt aber eindeutig auf die Unterstützung des Change-Managements. So kann der Anwender damit erfassen, wenn Stationen umziehen oder wenn die Service Packs oder Patch Releases aktualisiert werden. Denn dann verändert sich neben vielem anderen auch das Protokollverhalten der Stationen und die Adreßzuweisungen. Der Analyzer erfaßt diese Details und visualisiert sie auch. Im Hintergrund wächst so nach und nach eine Datenbank, mit der der Administrator die einzelnen Stationen und Knotenadressen verwalten kann. Mit dem Schwerpunkt Wire-Based-Management ist der Cnapro Lanfox weder ein Analyzer noch ein Management-Tool, sondern liegt genau dazwischen.
Info: Chevin Tel.: 0044/1943/465378 Web: www.chevin.com oder: www.chevin-analyzer.de
FAZIT Für verschiedene Anlässe und
Funktionen sind jeweils verschiedenen Produkte interessant. Und bei den beschriebenden Tools sind der Surveyor, der Observer und der Landecoder32 die wichtigsten. Alle vorgestellten Produkte kommen ausschließlich auf Windows-Plattformen zum Einsatz. Für Apple-Macintosh-Systeme steht mit Etherpeek und Tokenpeek von Aggroup ein weiteres Analyse- und Statistik-Tool zur Verfügung. (Frank R. Walther, Oliver Thewes/db)
INHALT PRODUKT-NEWS
PRODUKT-NEWS: AKTIVE KOMPONENTEN
Aktive Komponenten: 46 Hubs, Switches, Router, NICs Passive Komponenten: 47 Kabel, Kabelsysteme, Anschlußdosen, Schränke, Monitor-Zusammenschalter Management: 48 Netzwerkbetriebssysteme, RemoteControl-SW, System- und Netzwerkmanagement Sicherheit: 50 Firewalls, Virenschutz, KryptoTechniken, Authentisierungssysteme, USVs Messaging und Collaboration: 51 WWW-Server, Tools für Webpage-Erstellung, Tools für Internet-Management, Groupware, E-Mail, Fax-SW Telekommunikation: 52 ISDN, X.25, Modems, X.400, Kompression, Multiplexer, TK-Dienste, TK-Anlagen, CTI, LC-Router, GSM-/SAT-Handy, Videoconferencing Datenendgeräte: 54 Server, Workstations, NCs, PCs, Net-PCs, Laptops, Notebooks, Printserver Meßtechnik: 55 Kabeltester, ISDN-Tester, Protokollanalysatoren, ATM-Tester
Load-Balancer mit Firewall
Komponenten für Workgroups
Speziell an Internet Service Provider (ISP) wendet sich Hydraweb mit dem Produkt Hydrafire. Der Hardware-Basierende Load-Balancer verfügt dabei über eine integrierte Application-Level-Firewall und soll Websites einerseits gegen unbefugte Zugriffe sichern und gleichzeitig befugte Zugriffe optimal auf die vorhandenen Server verteilen. Die Firewall arbeitet sowohl als Paketfilter als auch als Application-Gateway. Die Kombination aus Router-basierendem Load-Balancer und Firewall ermöglicht die Authentifizierung und Verteilung der Anfragen in einem Schritt und soll das Antwortverhalten von Internetanwendungen verbessern. Hydrafire wird aus Redundanzgründen nur paarweise verkauft und ist zu einem Preis von 45.000 Dollar pro Paar verfügbar. (gh)
Neu auf dem deutschen Markt ist das japanische Unternehmen Techworks, das mit der Produktlinie Buffalo das Segment der Arbeitsgruppen bedienen will. Das leistungsstärkste Gerät ist der Switch Buffalo LSW10/ 100-8H mit 8 10/100 MBit-Ports. Alle Ports sind über DIP-Schalter für Autonegotiation, Geschwindigkeit und Duplex-Modus konfigurierbar und unterstützen Halb- und Vollduplex im 100Base-TX und 10Base-T-Modus. Der Switch verfügt über einen 512 KByte großen Datenpuffer und
Info: Hydraweb Tel.: 069/78807656 Web: www.hydraweb.com/ z5_pr_19991101-hydrafire.html E-Mail:
[email protected]
46
L AN line 1/2000
kann 8192 MAC-Adressen lernen und verwalten. Im kompakten Metallgehäuse mit integrierter Stromversorgung kommt kein Ventilator zum Einsatz, was den Betrieb des Switches besonders geräuscharm machen soll. Das Gerät ist für knapp 400 Mark erhältlich. Für den Anschluß von Arbeitsgruppen hat Techworks zwei Hubs mit je 8 und 16 10Base-TPorts im Programm. Die 16Port-Variante verfügt zudem über einen BNC-Anschluß. Beide Repeater-Hubs unterstützen Auto-Partitioning und verfügen über LEDs zur Anzeige des Betriebszustands, PortAktivität und Kollisionsmeldung. Die 8-Port-Version kostet 120 Mark während die 16Port-Variante für 185 Mark zu haben ist. Den Anschluß der Arbeitsstationen an das Netz übernehmen schließlich eine PCI- und PCMCIA-Netzwerkkarte, die beide 10Base-T und 100Base-T sowie den Betrieb im Full-Duplex-Modus unterstützen. Die PCI-Karte kostet knapp 55 Mark während die PCMCIA-Card für 120 Mark über den Ladentisch geht. (gh) Info: Techworks Tel.: +44 1753 677500 Web: www.techworks.co.uk E-Mail:
[email protected]
Zu aggressiven Preisen bietet Techworks aktive Komponenten für kleine Netzwerke an
Layer-3-Switch für Token Ring Für Token-Ring-Switches von Madge bietet der Hersteller jetzt das “Smart Ringswitch TSL-Modul” an, das auf Layer 3 arbeitet und den Datenaustausch zwischen IP-Subnetzen direkt in den Smart-Ringswitches ermöglicht. Auf diese Weise will Madge das Verkehrsaufkommen zwischen existierenden Routern reduzieren und zusätzliche Bandbreite für das Netzwerk freisetzen. Das Modul kann in vorhandenen Switch-Systemen von Madge ohne Änderungen an der vorhandenen Infrastruktur installiert werden. Der empfohlene Listenpreis liegt bei knapp 5000 Dollar. (gh) Info: Madge Networks Tel.: 06102/73060 Web: www.madge.com E-Mail:
[email protected]
Netzwerkkarte mit Flow-Control Der neue DFE-550TXFast-Ethernet-Adapter von D-Link für den PCI-Bus unterstützt Flow-Control nach 802.3x. Wenn die Netzwerkkarte mit einem Switch kommuniziert, der ebenfalls Flow-Control unterstützt, dann können sich die Geräte auf eine Unterbrechung des Datenflusses einigen. Neben Wake-on-LAN-Funktionalität verfügt die 105 Mark teure Karte zudem über Autosensing und Full-Duplex-Betrieb. (gh) Info: D-Link Tel.: 0800/72500000 Web: www.dlink.de
PRODUKT-NEWS: PASSIVE KOMPONENTEN
Gitterkanäle sorgen für Ordnung
19-Zoll-Gehäuse für Filialen
Die Gitterkanäle des schwedischen Herstellers Defem sind aus leichtem Material und bestehen aus wenigen Systemkomponenten, die sich durchaus auch für mehrere Ebenen einsetzen lassen.
Die 19-Zoll-Gehäuse der Pico-Reihe von Quante dient zur Aufnahme von aktiven und passiven Komponenten in Netzen mit bis zu 20 Teilnehmern. Spezielle Vorrichtungen ermöglichen es dem Anwender, daß er auch Geräte darin
Die Gitterkanäle von Defem bestehen aus wenigen Systemkomponenten, die sich auch für mehrere Ebenen einsetzen lassen. Die Trennung der einzelnen Kabelarten übernehmen eigene Trennelemente, die zudem voreiner Störbeeinflussung schützen und die sich ohne Werkzeug installieren lassen.
Sie eignen sich vor allem für Installationen, die immer wieder verändert werden. Trennelemente sorgen dabei für eine Trennung der Kabelarten und schützen vor Störbeeinflussungen. Diese Trennelemente sollen sich ohne Werkzeug installieren lassen. Die Radiusbegrenzer sorgen dafür, daß der minimale Biegeradius von 40 Millimeter eingehalten wird. Auch Kennzeichnungsschilder enthält das Metallgittersystem. In Deutschland ist es beim Distributor Pflitsch erhältlich. (db)
unterbringen kann, die nicht dem 19-Zoll-Formatfaktor entsprechen. Zudem kann der Anwender das Gehäuse mit verschiedenfarbigen austauschbaren Dekoelementen an das Design der Büroumgebung anpassen. Die abschließbare Tür soll sich auf Knopfdruck austauschen lassen, und die Kabeleinführung soll von vier Seiten möglich sein. Pico ist als Stand- oder Wandgehäuse einsetzbar und kostet zwischen 650 und 850 Mark. (db)
Info: Pflitsch Tel.: 02192/911-0 Web: http://www.pflitsch.de
Info: Quante Tel.:0202/292-0 Web: http://www.quante.de
L AN line 1/2000
47
PRODUKT-NEWS: MANAGEMENT
Performance-Management für SQL-Server Die Version 4.2 der Performance-Management-Software Sysload bietet nach Angaben des Herstellers Loan System wesentliche neue Funktionen: So überwacht, analysiert und diagnostiziert das Produkt auch die Datenbank Microsoft SQL-Server, das Betriebssystem Windows 2000, den Windows NT Terminal Server (TSE) sowie Winframe von Citrix. Zu den neuen Funktionen zählen ferner die Unterstützung von Sun Solaris 7 (Intel und Sparc) sowie Novell Netware 5.0. Sysload 4.2 wartet ferner mit einer überarbeiteten Reporting-Anzeige auf, die mehr Analyse- und Auswertungsmöglichkeiten sowie eine umfassendere Diagnose des ITSystems bieten soll. Vereinfacht und verbessert wurde auch das Handling der grafisch orientierten zentralen Überwachungskonsole, zusätzlich wurden die Monitoring-Funktionen erweitert. Insgesamt präsentiert sich Sysload 4.2 in seiner aktuellen Form als integrierte Komplettlösung für das Performance-Management von Servern, Datenbanken und Applikationen. Zu den wichtigsten unterstützen Plattformen zählen neben den genannten auch IBM AS/400 sowie eine Vielzahl von Unix-Derivaten. Spezielle Sysload-DB-IAgenten (Database Intelligent Agents) stehen außer für MS SQL-Server auch für Sybase und Oracle zur Verfügung. Darüber hinaus beziehen Sammelagenten für Lotus Domino, MS Exchange und MS Internet Information Ser-
48
L AN line 1/2000
ver (IIS) diese Produkte in das Performance-Management von Sysload 4.2 ein. Zum allgemeinen Leistungsumfang des auf einer verteilten Client-/ Server-Architektur basierenden Produkts zählen beispielsweise Reaktionen auf Alarmmeldungen und Störun-
gen, Echtzeitüberwachung, Langzeit- und Trendanalysen für Systemressourcen und Nutzeraktivitäten einschließlich der Lizenzüberwachung. (pf) Info: Sysload Software GmbH Tel.: 02171/729342 Web: www.sysload.de
Fernwartung auch über Web-Browser Die Remote-Control-Lösung Controlit von Computer Associates wartet in der Version 5.0 mit zahlreichen neuen und erweiterten Funktionen auf. Hierzu zählen nach Angaben des
PRODUKT-NEWS: MANAGEMENT
Herstellers insbesondere eine zentrale Konfigurationsverwaltung, die Unterstützung von Windows 2000 und HTTP sowie die Fernwartung via WebBrowser. Ferner existieren neuentwickelte Hilfen für die dezentrale Verwaltung von NTServern, für Help-Desk-Unter-
stützung sowie für virtuelle Schulungen und Telearbeit. Bei der Fernwartung übers Internet sollen sich sämtliche Remote-Control-Funktionen direkt über einen herkömmlichen Web-Browser ausführen lassen. Die neue HTTP-Unterstützung erlaubt die Fernsteue-
rung Firewall-geschützter Systeme unter Verwendung dieses Protokolls. Die zentralisierte Verwaltung erlaubt unter anderem die Aufnahme neuer Benutzer in das Remote-ControlSystem durch Synchronisation mit Windows-NT-Domänen. Erweiterte Verschlüsselungs-
und administrative Funktionen sollen die Einsatzmöglichkeiten verbessern. Controlit 5.0 unterstützt die Betriebssysteme Windows 2000, NT, 95/98, 3.x sowie DOS über die Protokolle IP, IPX und Netbios. Die Fernwartung läßt sich über LAN/ WAN, Einwählverbindungen oder das Internet realisieren. Die Zwei-Benutzer-Lizenz von Controlit 5.0 kostet 399 Mark. (pf) Info: CA Computer Associates GmbH Tel.: 06151/949-0 Web: www.cai.com/offices/germany
Single Sign-On erweitert Novell hat ihr Single-SignOn-Produkt um Schnittstellen für fünf weitere Applikationen erweitert. Unterstützt werden hiermit Peoplesoft 7.x, Vantive in den Versionen 6, 7 und 8 sowie die drei hauseigenen Produkte Novell Client for Windows NT, Novell SQL Integrator und Novell Groupwise 5.5 Enhancement Pack. Die neuen Applikationsschnittstellen können kostenlos von Novells Internet-Seiten heruntergeladen werden. Single Sign-On ist eine NDS-basierende Software, die es den Benutzern ermöglicht, nach einem einmaligen Log-in alle ihnen zustehenden Applikationen ohne weitere produktspezifische Paßworteingaben zu nutzen. Netware-5-Kunden können Single-Sign-On-Lizenzen zum Preis von 49 Dollar pro User erwerben. (pf) Info: Novell GmbH Tel.: 0211/5631-0 Web: www.novell.com/products/sso
L AN line 1/2000
49
PRODUKT-NEWS: SICHERHEIT
Guardian Firewall 4.0 mit IPSec Das Windows-NT-basierende System Guardian Firewall/Netguard Control Center unterstützt in der Version 4.0 jetzt auch IPSec. Die Guardian
nenten wie Verschlüsselung durch 56 Bit DES oder 168 Bit Triple-DES, User-Authentifizierung und Key-Management. Darüber hinaus soll die Software kompatibel zu anderen IPSec-Produkten sein.
Die IPSec-Beschleunigerkarte steuert alle VPN-Funktionen und soll eine Beeinträchtigung der Firewall-Server-Leistung verhindern
IPSec-Beschleunigerkarte wird auf dem Firewall-Server unter Windows NT 4.0 installiert und übernimmt alle VPNFunktionen. Der Datendurchsatz soll bei 45 MBit/s liegen. Mit dem Guardian-Node-Manager, der zur Integration und Konfiguration der PCI-basierenden Beschleunigerkarte und der Client-Software dient, steht Netzwerkadministratoren eine Überwachungskonsole für die Verschlüsselung und Authentifizierung von VPNs zur Verfügung. Ein grafisches BenutzerInterface soll das schnelle Aufsetzen und Entfernen von IPSec-gesicherten GuardianNodes, Intra/Extranets und Remote-Anwendern ermöglichen sowie zum Troubleshooting der Konfiguration dienen. Die IPSec-Client-Software läuft unter Windows 9x und NT 4.0 und umfaßt Kompo-
50
L AN line 1/2000
Das Starterpaket mit einer 3DES-IPSec-Beschleunigerkarte, 25 Lizenzen und dem Guardian-Node-Manager ist ab 11.000 Mark bei CompuShack und PSP Net erhältlich. (mw) Info: Netguard Tel.: 00972/66449936 Web: www.netguard.de E-Mail:
[email protected]
Secretsweeper 2.0 Bei Secretsweeper 2.0 handelt es sich um ein Snap-in für den Mailsweeper für SMTP Version 4.1von Content Technologies. Die Software fungiert als Gateway für Encryption und digitale Signaturen. Hier wird festgelegt, welche Anwender verschlüsselte beziehungsweise signierte
E-Mails versenden oder empfangen dürfen. Unautorisierte oder unbekannte Verschlüsselungen werden unterbunden und unbekannte Schlüssel und Zertifikate zurückgewiesen. Darüber hinaus ist die Software in der Lage, verschlüsselte S/MIME-Mails auszupacken und die digitalen Inhalte und Signaturen zu überprüfen. Secretsweeper 2.0 bietet die Möglichkeit von Site-to-SiteEncryption und/oder zu individuellen Anwendern. Die Software wird über die Oberfläche des Mailsweepers verwaltet. Secretsweeper verwendet ein Public-Key-Verfahren (RSAAlgorithmus). Mögliche Verschlüsselungsverfahren sind DES, 3DES, 40 Bit RC2, 64 Bit RC2 und 128 Bit RC2. Voraussetzung für den Einsatz der Content-Security-Software ist der Mailsweeper für SMTP Version 4.1. Hardware-Voraussetzung hierfür ist mindestends ein Rechner mit 400
Sichere VPNKonzentratoren Altiga Networks stellt drei Konzentratoren für den Aufbau von virtuellen privaten Netzen (VPN) vor. Die Geräte finden ihren Platz zwischen dem LAN und dem WANoder Remote-Access-Router in der Unternehmenszentrale sowie in den Außenstellen und verschlüsseln den Datenverkehr mit bis zu 168 Bit. Neben 168 Bit Triple-DES unterstützen die Konzentratoren ebenfalls 56 Bit DES (IPSec) sowie 40 und 128 Bit nach RC4. Mobile Benutzer, die von unterwegs eine VPN-Verbindung in das Firmen-LAN über das Internet aufbauen wollen, benötigen keine eigene Client-Software, da Altiga Microsofts VPN-Clients unterstützt. Der C10-Konzentrator unterstützt 100 parallele Verbindungen und verfügt über einen Datendurchsatz von 4 MBit/s. Der
Der VPN-Konzentrator von Altiga Networks ermöglicht die sichere und kostengünstige Anbindung von Außenstellen über das Internet
MHz, 128 MByte RAM, 1 GByte freier Speicherplatz auf der Festplatte sowie ein CD-ROM-Laufwerk. Secretsweeper 2.0 kostet in der Version für 100 Benutzer bei Allasso zirka 10.000 Mark. (mw)
größere Bruder C20 verschlüsselt 1250 Sitzungen und schafft 25 MBit/s. In der größten Ausbaustufe erreicht der C50 5000 Verbindungen mit 100 MBit/s. Da die Geräte modular aufgebaut sind, kann ein C10 durch Einschubmodule bis zu einem C50 aufgerüstet werden. (gh)
Info: Allasso GmbH Tel.: 089/450660-0 Web: www.allasso.de E-Mail:
[email protected]
Info: Altiga Networks/PTE Tel.: 0211/746126 Web: www.altiga.com/products E-Mail:
[email protected]
PRODUKT-NEWS: MESSAGING UND COLLABORATION
Unterstützung verbessert haben. Ein weiteres Novum ist zudem die Portierung der Software auf Linux. Die Preise für die Version 4.5 liegen zwischen knapp 1300 und 3500 Dollar. (gh) Info: Allaire/Internet 2000 Tel.: 089/6302730 Web: www.allaire.com/products/ ColdFusion/45/announce E-Mail: werner.brandt@ internet2000.de
Unified Messaging für Notes
Mit einem Web-Browser verwaltet der Auktionator die aktiven Auktionen in seinem Online-Shop
Auktionsmodul für Openshop
Version 4.5 von Cold Fusion
Anbieter von OnlineShops auf Basis der Openshop-Software des gleichnamigen Herstellers können ihre Webpräsenz jetzt um Auktionen erweitern. Beim Einrichten einer neuen Auktion hat der Administrator die Möglichkeit, das Start- und Enddatum, Startpreis und Mindeststeigerung zwischen den Geboten über ein WebInterface festzulegen. Weitere Features des “Openshop Auction Moduls” sind eine Historienliste, die Auskunft über die zuletzt versteigerten Artikel gibt sowie eine Statusanzeige der aktuellen Auktionen. Das neue Modul ist ab sofort erhältlich und kostet knapp 5000 Mark. (gh)
Der Web-Application-Server Cold Fusion von Allaire geht in eine weitere Versionsrunde. Die Version 4.5, die in Deutsch ab Anfang 2000 verfügbar sein soll, überwacht jetzt Cold-Fusion-Server im Cluster und leitet Anwender bei einem Hard- oder Softwaredefekt automatisch auf einen anderen Server um. Ebenfalls neu ist die Integration von Ciscos Local Director, der in Abhängigkeit von der Belastung der Server Zugriffe auf wenig in Anspruch genommene Maschinen verteilt. Durch die Unterstützung von Java-Objekten und Enterprise Java Beans (EJB) können Unternehmen den ApplikationsServer jetzt auch um eigene Module ergänzen. Neben der Projektverwaltung will der Hersteller auch die XML-
Info: Openshop Tel.: 089/45079-0 Web: www.openshop.de/ menude/News E-Mail:
[email protected]
Die neue Version 4.2 des Unified Messaging Systems Thor von Digitronic stellt seine Funktionen Fax, Voice-Mail, E-Mail und SMS nun auch Lotus Notes/Domino ab der Version 4.5 zur Verfügung. Da der Thor-Server auf die selbe Datenbank wie der Lotus Notes Fax-Server zurückgreift, kann dieser ohne Umstellungen ausgetauscht werden. Neu ist ebenfalls die Unterstützung von LDAP das (Lightweight Directory Access Protocoll) zur Benutzerverwaltung in externen Verzeichnissen, eine überarbeitete Benutzeroberfläche sowie die Implementation der MicrsoftSpeech-API für zukünftige Text-to-Speech-Engines anderer Hersteller. Benutzer des MessagingServers können sich in der neuen Version auch per SMS oder Telefonanruf über den Eingang neuer Nachrichten informieren lassen. (gh) Info: Digitronic Tel.: 04103/9142-0 Web: www.digitronic.de/ Thor_Produkt.htm E-Mail:
[email protected]
L AN line 1/2000
51
PRODUKT-NEWS: TELEKOMMUNIKATION
lers in allen Ländern für eine einfache Einrichtung des weltweit zugelassenen Mobil-Modems sorgen. Um Kabelsalat zu vermeiden, ist die ModemKarte mit einem neuen durchgängigen Verbindungskabel zwischen PC-Card und Telefondose ausgestattet. Der Preis des Cardbus Modem 56 Winglobal beträgt 309 Mark. (pf)
Die ISDN-Karte Diva Server 4BRI unterstützt digitalen, analogen und GSM-Zugang
CAPI-ISDN-Karte mit vier Ports Als universelle ISDN-Server-Karte mit vier S0-Schnittstellen ist die neue Diva Server 4BRI von Eicon Technology konzipiert. Der mit einem RISC-Prozessor und acht DSPs ausgestattete PCI-Adapter gestattet Remote-Zugriffe auf acht Kanälen gleichzeitig, die entweder über ISDN, Modems (bis V.90) oder GSM möglich sind. Neben Remote Access unterstützt die Diva-ServerKarte auch den Internet-Zugang und eignet sich über die CAPI-2.0-Anwendungsschnittstelle auch als Plattform für eine Vielzahl von Applikationen wie Sprache, Fax oder Unified Messaging. Die Plug-and-Play-Karte unterstützt nach Angaben des Herstellers alle internationalen ISDN-Protokolle sowie die Betriebssysteme Windows 9.x, NT, Windows 2000 Server, DOS, OS/2, Linux und Unix. Die Adapter lassen sich via Software-Upgrade aktualisieren, ferner ist eine Skalierbarkeit durch den Einsatz mehrerer Karten pro Ser-
52
L AN line 1/2000
ver gewährleistet. Diva Server 4BRI ist zum Preis von 3447 Mark erhältlich. (pf) Info: Eicon Technology Tel.: 07152/930-218 Web: www.eicon.de
Cardbus-Modem für Windows-Notebooks Hinter der aufwendigen Bezeichnung Cardbus Modem 56 Winglobal (CBM56WG) verbirgt sich ein neues Mobil-Modem für Windows-Benutzer. Die Typ-II-PC-Card unterstützt den 32-Bit-PCI-Bus des Notebook-Rechners; sie soll nach Angaben des Herstellers hohe Leistungsfähigkeit mit geringerem Stromverbrauch und entsprechend verlängerter Batterielebensdauer kombinieren. Das V.90-Modem bietet Übertragungsgeschwindigkeiten von bis zu 56 kBit/s. Der Einsatz des Plug-and-Play-Systems ist speziell für WindowsBetriebssysteme optimiert (Windows 95 R2, 98, NT 4.0 und Windows 2000). Eine spezielle Konfigurations-Software soll nach Angaben des Herstel-
Info: Xircom Deutschland GmbH Tel.: 089/607 68-350 Web: www.xircom.com
Zugangskonzentrator für ISPs Mit dem Zugangskonzentrator Max 3000 wendet sich Lucent Technologies sowohl an Internet-Service-Provider mittlerer Größe als auch an Unternehmen, die beispielsweise VPN-Architektur einsetzen. Max 3000 ist sowohl kompakt als auch skalierbar: Das stapelbare System unterstützt zwei E1-Leitungen und 60 Modems pro U-Rack (4,4 Zentimeter Höhe, 43,2 Zentimeter Breite), mehrere Geräte lassen sich als ein virtuelles System verwalten. Unterstützt wird nach Angaben des Herstellers ein komplettes Spektrum von WANSchnittstellen, insbesondere auch vorhandene Max-Einsteckkarten. Über einen integrierten TDM-Switch lassen sich Port-Ressourcen zu einem Pool zusammenfassen, ferner können Teile der E1-Bandbreite zur Unterstützung einer TKAnlage verwendet werden. Speziell für den Einsatz in Unternehmen unterstützt das Produkt eine Vielzahl von VPNund Sicherheitsprotokollen wie L2TP, ATMP, PPTP und
IPSec. Die Einbindung von IPSec-Verschlüsselungs-Hardware ist für Anfang 2000 vorgesehen, ab Mitte des Jahres ist VoIP-Unterstützung geplant. Wie alle Max-Produkte läuft auch Max 3000 unter dem Betriebssystem TAOS (True Access Operating System), das globale Sprach-, Daten, Videound Funkstandards unterstützen soll. Die Wartung des Systems wird nach Angaben von Lucent durch herausnehmbare Systemträger und DIMMSpeicher erleichtert, ein neues Kühlsystem soll Ausfallzeiten reduzieren. (pf) Info: Lucent Technologies Tel.: 0800/3603000 Web: www.lucent.de
Sprache und Daten vereint Unter der Bezeichnung IP 3000 hat das Sindelfinger Unternehmen Innovaphone ein Voice-over-IP-Gateway auf den Markt gebracht, das vor allem für Firmenstandorte mit hohen Kommunikationskosten geeignet sein soll. Die gemeinsame Übertragung von Sprache und Daten via IP läßt sich insbesondere zur Kopplung mehrerer TK-Anlagen an verschiedenen Standorten nutzen, beispielsweise in einem größeren Unternehmen, das mit seinen Filialen über entsprechende Gateways kommuniziert. Für die Anwender ändert sich dabei an der bisherigen Telefonumgebung nichts, auch die gewohnte Sprachqualität soll erhalten bleiben. IP 3000 unterstützt Telefonie auf bis zu 30 Kanälen, zwei koppeln S2M-Schnittstellen das Gateway an die Amtslei-
PRODUKT-NEWS: TELEKOMMUNIKATION
tung oder die Telefonanlage. Die Anbindung ans IP-Netz erfolgt über eine 100BaseT-Ethernet-Schnittstelle. Ein RISC-Prozessor und ein digitaler Signalprozessor sollen für hohe Sprachqualität und die nötige Sprachkomprimierung sorgen. Das als 19-Zoll-Einschub konzipierte Gerät soll durch einfaches Kaskadieren beliebig erweiterbar sein. Das Modell IP 3000 ist zum Preis von 26.000 Mark erhältlich. (pf)
VPN-Anwendungen. Auch lassen sich SNA-Verbindungen in Kombination mit dem SNA-Server von Microsoft oder dem Enetwork-Server von IBM herstellen. Als Betriebssysteme werden Windows NT und Unixware unterstützt. Mit Hilfe des Digi-Dri-
ver-Kits können Systementwickler aber auch eigene Treiber für spezifische Umgebungen entwickeln. Standardmäßig arbeitet der Adapter mit dem PowerquiccProzessor MPC860 von Motorola mit 40 MHz und verwendet die Frame-Relay-Kompres-
sion FRF.9. Optional ist auch ein EC603e-Prozessor von Motorola mit 100 MHz verfügbar. Der WAN-Adapter Datafire Sync/2000 cPCI ist zu Preisen ab 2500 Mark erhältlich. (pf) Info: Digi International Tel.: 0231/9747-0 Web: www.digieurope.com
Info: ITM GmbH Tel.: 02131/9526-01 Web: www.itm-group.com
WAN-Adapter für Compact-PCI Im Rahmen ihrer CompactPCI-Familie hat Digi International den synchronen WANAdapter Datafire Sync/2000 cPCI auf den Markt gebracht. Die Karte ist wahlweise mit zwei oder vier Ports ausgestattet und unterstützt Internet, Frame Relay sowie X.25. Die Compact-PCI-Familie, zu der auch der Access-Konzentrator Datafire DSP 30/60 (ein beziehungsweise zwei S2M-Ports, V.90-Unterstützung) zählt, richtet sich nach Angaben des Herstellers vor allem an Telcos, ISPs und große Unternehmen. Die Einsatzbereiche der Produktfamilie decken WANRouting, Virtual Private Networking, Remote Access, Einund Auswahl für Internet-Applikationen und Faxanwendungen ab. Die neue Karte Datafire Sync/2000 bietet speziell den schnellen WAN-Anschluß beispielsweise für Routing- und
L AN line 1/2000
53
PRODUKT-NEWS: DATENENDGERÄTE
Thin-Clients aus der Tube-Serie Die Thin-Clients von Athena wurden speziell für die Anbindung an das Server-based-Computing-Produkt Meta-Frame von Citrix konzipiert. Über die Citrix-Device-Services lassen sie sich auch direkt an den Windows-NT-Terminal-Server von Microsoft anschließen. Zusätzlich enthalten die Geräte Terminal-Emulationen für den Zugriff auf Unix-Hosts und bieten DOS-Grafikunterstützung. Sie sind ausgestattet mit einer Soundkarte, einer PS/2-Maus, einer Grafikbeschleunigerkarte, einem seriellen Port und einem Ethernet-Anschluß. Außerdem liegt ein User-InformationTool mit bei, das die Benutzeradministration vereinfachen soll. Die Management-Software läuft unter Windows NT 4.0. Der Preis für die Minimalkonfiguration liegt bei zirka 1000 Mark. (gg)
men redundante im laufenden Betrieb austauschbare Stromversorgungs- und Kühlaggregate. Das System läuft unter AIX 4.3.3. Der Escala EPC2400 ist von zirka 704.000 Mark an aufwärts erhältlich. (gg)
re Daten dieses Notebooks lauten: Der Arbeitsspeicher beträgt 64 MByte, das TFTDisplay ist 13,3 Zoll groß, die Festplatte verfügt über eine Kapazität von 4,3 GByte, und der Preis liegt bei 4999 Mark. (gg)
Info: Bull GmbH Tel.: 02203/3050 Web: www.frec-bull.com
Info: Gateway Europe Tel.: 0800/1820854 Web: www.gateway.com/de
BusinessNotebook
RackmountServer
Speziell an Business-Anwender wendet sich das Solo2550-Notebook. Das Gerät verfügt über einen 450-MHzPentium-III-Prozessor für mobile Systeme. Wahlweise lassen sich einerseits CD-
Die auf Intel-Prozessoren basierte Aviion-Server-Familie von Data General reicht von Abteilungs-Servern bis zu High-end-Geräten. Die Server laufen unter anderem mit Windows NT,
Server für kleine Netze
High-EndServer
Unixware, Open Server, Intranetware und Citrix Winframe Enterprise. Sie sind nach Herstellerangaben auch für Multi-Node-LAN-Konfigurationen sowie Windows NT- und Unix-Cluster-Lösungen geeignet. Das Einstiegsmodell kostet 40.600 Mark. (gg)
Der HP Net-Server E55 kostet in seiner Einstiegskonfiguration 3310 Mark, inklusive einer einjährigen Vor-OrtGarantie. Er besteht aus einem PII-450-MHz-Prozessor, 64 MByte SDRAM Arbeitsspeicher (erweiterbar auf 1 GByte) und 512 KByte Cache. Die Festplattenkapazität beträgt 9,1 GByte und Netzwerkkarte, CD-ROM- sowie Diskettenlaufwerk sind integriert. (gg)
Info: Senetco Tel.: 089/8996980 Web: www.senetco.com
Info: Hewlett-Packard GmbH Tel.: 0180/5326222 Web: www.hewlett-packard.de/ network
Das Solo-2550-Notebook
54
L AN line 1/2000
Mit Flachbett- und Vorlageneinzug arbeitet der Duplex-Dokumentenscanner M3092DC. Der Vorlageneinzug verarbeitet bis zu 50 Blätter. Die mögliche Darstellung der Vorlagen reicht dabei von Schwarzweiß über 256 Graustufen bis True Color mit 24 Bit-Tiefe. Twain-Treiber für Windows 9x und NT gehören mit zum Lieferumfang. Die Erfassungsgeschwindigkeit liegt bei 15 A4-Seiten pro Minute bei 200 dpi Schwarzweiß. Bei 150 dpi in Farbe kommt das Gerät auf fünf Seiten pro Minute. Das Simplex-/Duplex-Verfahren ermöglicht ein- oder zweiseitiges Einlesen der Dokumente. Dank einer Scan- und eine Send-To-Taste läßt sich der Scanner zusammen mit einem Drucker auch als Kopierer einsetzen. Der Preis beträgt zirka 4470 Mark. (gg) Info: Fujitsu Deutschland GmbH Tel.: 089/323780 Web: www.fujitsu-europe.com
Info: Computer Links Tel.: 089/930990 Web: www.computerlinks.de E-Mail:
[email protected]
Der “Escala EPC2400”Server enthält pro SMPKnoten bis zu 24 CPUs – und maximal 32 dieser Knoten können geclustert werden. Als Prozessoren kommen 64-Bit-450-MHz-RS/64-IIICPUs zum Einsatz, der Level-2-Cache beträgt 8 MByte und die systeminterne Bandbreite liegt bei 24 GByte pro Sekunde. Außerdem stehen 16 unabhängige PCI-Busse und 56 PCI-Adapter-Slots zur Verfügung, dazu kom-
Two in One
ROM- oder DVD- und andererseits Disketten- oder LS120-Laufwerke in das Gehäuse integrieren. Darüber hinaus arbeitet das Notebook mit einer AGP-Grafikkarte mit vier MByte SGRAM und einem integrierten V.90-Modem. Die Lösung nutzt einen 100MHz-Front-Side-Bus, der Daten schneller aus dem Hauptspeicher in den Prozessor übertragen soll. Die weite-
PRODUKT-NEWS: MESSTECHNIK
Testgerät für Kupferaderpaare
PC-basierter Protokollanalysator
Das Test- und Analysegerät “LT2000” arbeitet mit Batterien und kann Kupferaderpaare für analoge und digitale Datenübertragungen mit einer Bandbreite von bis zu zwei Megahertz prüfen. Zusätzlich werden bei den getesteten Frequenzen Nah- und Fernnebensprechen, Übersprechen, Dämpfung und Störgeräusche angezeigt. Der LT2000 ist nach Angaben des Herstellers für die verschiedensten Übertragungssysteme einsetzbar, einschließlich der Basisbandbreite für POTS-Schittstellen (200 Hz bis 10 kHz) und für HDSL- und ADSL-Anwendungen. Der Preis für ein Einzelgerät liegt unter 5000 Mark. (gg)
chen: FSIQ3 (20 Hz bis 3,5 GHz), FSIQ7 (20 Hz bis 7,0 GHz) und FSIQ26 (20 Hz bis 26,5 GHz). Damit sind Nachbarkanal-Leistungsmessungen (ACPR) an W-CDMAGeräten möglich. Mit ihren GPIB-Schnittstellen unterstützen die FSIQ-Analysatoren auch Fertigungsanwendungen. Das ermöglicht in rechnergesteuerten Produktionssystemen das Reagieren auf Befehle und das Ausgeben von Meßwerten. Die Geräte kosten je nach Ausstattung zwischen 110.000 und 140.000 Mark. (gg)
Das Toolkit “Panther” besteht aus einer PC-Einsteckkarte mit T1/E1-Signalisierungsanalysator sowie einer Bedienund Auswertungs-Software für Windows 9x. Auf Wunsch liefert der Hersteller das Testsystem komplett vorinstalliert in einem tragbaren Industrie-PC. Der Panther dekodiert die SS7-Protokoll-Level MTP 1 bis 3 und ISUP (weitere Software-Optionen sind auf Anfrage erhältlich) und berücksichtigt dabei auch die national unterschiedlichen Protokollversionen. Alle Ergebnisse werden im Klartext beziehungsweise als Binär- oder Hex-Code angezeigt. Für eine spätere Auswertung lassen sich die Daten auch direkt auf die Festplatte spoolen. Filterfunktionen und grafische Werkzeuge wie Histogramme oder Charts helfen bei der Analyse. Gängige Testkonfigurationen und -abläufe können abgespeichert und bei Bedarf abgerufen werden. Der Preis beträgt um die 53.000 Mark. (gg)
Info: Rhode & Schwarz Tel.: 089/41290 Web: www.rsd.de
Info: EHS Electronic Systems GmbH Tel.: 089/5467290 Web: www.ehs-gmbh.com E-Mail:
[email protected]
Info: Trend Communications Tel.: 089/32300930 Web: www.trendcomms.com E-Mail: trend.infobox@ trendcomms.com
Glasfasertester für LAN-Anwendungen Zum Testen von Glasfasernetzen dient die Simpli-FiberProduktfamilie. Sie erlaubt die Messung der optischen Dämpfung von Monomode- oder Multimode-Lichtleiterkabeln und -Komponenten bei verschiedenen Wellenlängen. Zusätzlich speichern die Geräte die Meßdaten und erkennen die Wellenlängen automatisch. Eine PC-Schnittstelle gehört zusammen mit der Microtest Scanlink Software zum Lieferumfang. Das Standardpaket umfaßt außerdem eine LEDLichtquelle für die beiden Wellenlängen 850 und 1300 Nanometer, ein Leistungsmeßgerät
Die FSIQ ermöglicht Spektrum-, Modulations- und Zeitanalyse
für 850/1300/1310/1550 Nanometer sowie ein PC-Verbindungskabel. Zusätzlich bieten die Lösungen ein Tastenfeld mit vier Tasten, eine LCD-Anzeige und stoßfeste Schutzabdeckungen. Die Geräte sind mit ST- oder SC-Anschlüssen erhältlich und kosten ab 2795 Mark. (gg) Info: Microtest GmbH Tel.: 089/6076860 Web: www.microtest.com/SimpliFiber E-Mail:
[email protected]
Lösungen für W-CDMA-Messung Die SignalanalysatorenReihe “FSIQ” ermöglicht nach Herstellerangaben vollintegrierte Spektrum-, Modulations- und Zeitanalyse für W-CDMA-Anwendungen (Wideband Code Division Multiple Access) und alle aktuellen Standards drahtloser Kommunikation wie GSM, IS-136 und IS95-CDMA. Die FSIQ-Familie, die sich vor allem an Forschung, Entwicklung und Konstruktion bei der Herstellung von Mobilfunkgeräten wendet, umfaßt drei Analysatoren mit unterschiedlichen Frequenzberei-
L AN line 1/2000
55
NETZWERKTECHNIK
ELEKTROMECHANISCH UNTERSCHREIBEN
Eine Alternative zum Paßwortschutz Das Internet, der Fernzugriff von entfernten Mitarbeitern und die An-
kann jedes Sicherheitssystem zunichte machen, etwa: wenn der Anwender mit seinem Paßwort nicht richtig umgehen kann, ihm seine Identifikation gestohlen wird oder wenn er seine Identifikationen zu unsicher verwahrt. Deshalb sucht die Branche nach Systemen, die die Person wirklich identifizieren können, weil sie beispielsweise auf unverwechselbaren nicht zu fälschenden biometrischen Merkmalen basieren.
bindung von Filialen erschweren es dem Administrator, das UnternehDIE VORGABEN DER ITSEC Die EU legte mit ITSEC “Kriterien für die Bewertung wender authentifizieren, um auf unternehmenskritische Bereiche im der Sicherheit von Systemen der InformaNetz zugreifen zu können. Hierzu gibt es die unterschiedlichsten Vertionstechnik” fest, mit ihnen soll eine europaweit einheitliche Bewertung von IT-Syfahren, und die meisten basieren auf Paßwörtern oder PINs (personenstemen möglich sein. Dabei ist die IT-Sibezogene Identifikationsnummern). Doch es gibt auch Verfahren, die cherheit als eine “Kombination aus Versich sicherer verwalten lassen und komfortabler für den Anwender sind. traulichkeit, Integrität und Verfügbarkeit” definiert. Das Vertrauen in sicherheitsspezifische Funktionen bezeichnet ITSEC als erkömmliche Paßwörter und PINs den Kollegen die Codes zu erfahren. Oder Vertrauenswürdigkeit, und diese soll sohaben als Zugangsschutz in Netzen der Interessent erfährt durch Zufall oder wohl für die Korrektheit als auch für einige gravierende Schwächen. Zwar kann geschicktes Fragen die Geburtstage von die Wirksamkeit sicherheitsspezifischer sich ein Anwender mühelos eine PIN oder Frau und Kindern, den Hochzeitstag, die Funktionen gelten. Da die meisten IT-Nutein Paßwort für eine Anwendung merken – Namenstage der wichtigsten Verwandten zer nicht in der Lage sind, die Sicherheit beides wählt er ja oft selbst aus. Doch mitt- und ähnliche Daten. Auch wird niemand der eingesetzten Systeme und Produkte lerweile arbeitet ein Anwender mit zahlreizu prüfen, sollen chen Anwendungen mit jeweils separatem dies neutrale Stellen Paßwort- oder PIN-Schutz. Damit sie sich übernehmen. ITSEC diese weiterhin auswendig merken könsieht dabei vor, daß nen, wählen sich viele Anwender dafür das Prüfungsverfahleicht nachvollziehbare Daten wie Vornaren, Evaluation gemen oder Geburtsdaten aus und setzen sie nannt, objektiv und womöglich noch einheitlich für alle Annach genau definierwendungen ein. Hier hat ein Hacker leichten Kriterien verlautes Spiel! Der Anwender kann den Schutz fen soll. Die ordzwar erhöhen, indem er verschiedene PINs nungsgemäße Evaund Paßwörter verwendet und diese immer luation wird nach wieder wechselt. Doch dann kann er sich ihrem Abschluß von einer Zertifiziesicher nicht mehr alle auswendig merken Druckverläufe von drei Unterschriften für ein Kennfeld Quelle: Hesy rungsstelle wie beiund wird einige “sicherheitshalber” ir- Sensor 1 bis Sensor 4 von oben nach unten spielsweise dem BSI gendwo notieren. In diesem Fall können (Bundesamt für die die PINs und Codes noch so stark verschlüsselt sein, der Hacker kann sie auf einen Kollegen oder Freund des Raums Sicherheit in der Informationstechnik) beeinfache Art umgehen: Denn er erfährt via verweisen, wenn er die PIN eingibt. Mit stätigt. Bei dieser Evaluation wird auch ge“Social Engineering” die nötigen Zu- Codes ist es nicht anders. Von einer ver- prüft, inwiefern ein Sicherheitsmechanisgangsinformationen für das Unterneh- steckten Kamera sei erst gar nicht die Re- mus (egal, ob Hard- oder Software-Lömensnetz. Unter dieser Technik versteht de. Der kriminellen Phantasie sind dabei sung) einem direktem Angriff Widerstand man zum Beispiel, wenn ein Mitarbeiter keine Grenzen gesetzt und dem Leichtsinn leisten kann. Hierzu definierte ITSEC die versucht, durch Schnüffeln in Unterlagen, im Umgang mit PIN und Code auch nicht. drei Vertrauensstufen niedrig, mittel und im Schreibtisch, im Zettelkasten oder unter Die Sicherheitsmechanismen mögen noch hoch. Wird die Stärke eines Mechanismus der Tastatur des im gleichen Büro sitzen- so sicher sein – der menschliche Faktor nach der Vertrauenstufe “hoch” geprüft,
mensnetz vor unbefugtem Zugriff zu schützen. So müssen sich die An-
H
56
L AN line 1/2000
muß dieser in der Lage sein, einem Angreifer mit sehr guten Fachkenntnissen, mit sehr guten Gelegenheiten und sehr guten Betriebsmitteln zu widerstehen. Entspricht ein Mechanismus dieser Vertrauensstufe, gehen die Spezialisten davon aus, daß ein derartiger Angriff “normalerweise” nicht zum Erfolg führt. Doch diese Kriterien sind von herkömmlichen PINs und Paßwörtern kaum zu erfüllen. BIOMETRIE ALS LÖSUNG Lösungen, die
auf biometrischen Merkmalen basieren, können hier Abhilfe schaffen. Zu den biometrischen Merkmalen zählen zum Beispiel ein Fingerabdruck, das Gesicht oder die Schrift. Der Mensch hat diese Merkmale immer bei sich, niemand kann sie fälschen, und er kann sie auch nicht vergessen. Somit entfällt das bisher übliche Notieren der PIN oder der Paßwörter. Ferner darf jeder bei der Eingabe zuschauen, die korrekte Vorgehensweise, verbunden mit
nungsverfahren lassen sich in zwei Gruppen einteilen: in die statischen Merkmale wie das Gesicht und den Fingerabdruck und in die dynamischen wie die Stimme, die Lippenbewegung und die Handschrift. Statische Merkmale haben den Vorteil, daß sie bequem und relativ schnell sind. Die Frontansicht einer Unterschriftsgrafik; L = links unten Quelle: Hesy Die Gefahr dabei ist, daß der Anwender nur ein Gesicht beder Bitte an den Kollegen, den Raum zu sitzt und bestenfalls zehn verschiedene verlassen, entfällt ebenfalls. Allerdings be- Fingerabdrücke. Unabhängig davon, daß sitzt die Biometrie auch einige Schwächen. in der Fachpresse von Überlistungen beDie zukünftig in großer Zahl einsetzba- stimmter Systeme berichtet wird, kann ren und preiswerten biometrischen Erken- festgehalten werden, daß ein einmal “ab-
L AN line 1/2000
57
NETZWERKTECHNIK
handen” gekommener Fingerabdruck, genau genommen dessen digital vorliegende Werte, für immer unbrauchbar für die Identifizierung ist, weil Unbefugte ihn nutzen könnten. Dasselbe gilt für das Gesicht. Abgesehen davon kann bei den modernen, praktisch unsichtbaren Erfassungsgeräten und -systemen ein ungewolltes Abnehmen eines statischen Merkmals nicht ausgeschlossen werden. Die dynamischen biometrischen Merkmale lassen solch einen einfachen Angriff nicht zu. Hier sind die Hürden höher, außerdem läßt sich ein dynamisches biometrisches Merkmal austauschen. Daher hat zum Beispiel DCS in Berlin eine Authentifizierungslösung entwickelt, die aus einer Kombination von Gesicht, Stimme und Lippenbewegung besteht. DIE EIGENHÄNDIGE UNTERSCHRIFT
Auch die Unterschrift zählt zu den dynamischen Merkmalen und läßt sich in bis zu vier Dimensionen digital erfassen: der Schreibdruck in drei Richtungen sowie die Schreibgeschwindigkeit. Damit ist sie praktisch nicht zu fälschen. Die Warnfunktion einer eignhändigen Unterschrift ist unerreicht, und keiner gibt sie ungewollt ab. Diese digitalisierte Unterschrift benötigt neben dem Sensor einen Schreibstift als “Werkzeug”. Der Stift bestand bisher aus einem drucksensitiven Spezialstift, meist japanischer Herkunft, mittlerweile kann das aber nahezu jeder herkömmliche Stift sein. Die zweite Komponente des Systems, der Unterschriftenprüfer (Sensor), besteht aus einer Schreibfläche beliebigen Materials (wie Metall, Kunststoff oder Glas), die auf vier Wägezellen (Drucksensoren) gelagert ist. Die juristisch relevanten personentypischen Daten der Unterschrift, die Schreibdrücke und die Schreibgeschwindigkeit, die beim Wandern des Stifts über die Fläche entstehen, werden mit 1600 Werten pro Sekunde erfaßt, digitalisiert und mit einer geeigneten Software verarbeitet. Da niemand immer exakt die gleiche Unterschrift leisten kann, wird aus mehreren Unterschriften ein Kennfeld erstellt, in dem auch die folgenden Unterschriften liegen müssen. Damit gibt der Anwender mit seiner eigenhändigen Un-
58
L AN line 1/2000
terschrift im wahrsten Sinne eine digitale Signatur nach SigG ab. Diesen Zugriffsschutz via Unterschrift kann der Sicherheitsbeauftragte sogar gewichten: Er hat die Möglichkeit, dieses Kennfeld für eine strenge Zutrittskontrolle für sehr unternehmenskritische Bereiche eng zu dimensio-
Paßwort kennen, doch das System verlangt darüber hinaus die eigenhändige schriftliche Eingabe dieses Paßworts, die mit der Originalunterschrift des Anwenders weitgehend übereinstimmen muß, eine kaum zu lösende Aufgabe. Erfolgt nun ein stündlicher, täglicher oder wöchentlicher Aus-
Verwendete Literatur: – IT-Sicherheit, Heft 2/97, Seite 15, Datakontext-Fachverlag, Frechen – Schönleber, Claus. “Die Verschlüsselung von PC-Daten”, (Franzis Verlag). – Kriterien für die Bewertung der Sicherheit von Systemen der Informationstechnik (ITSEC), Amt für Veröffentlichungen der EU, 1991, ISBN 92-826-3003-X
nieren, so daß der Anwender sehr exakt unterschreiben muß und unter Umständen auch mehrmals, bis das System die Unterschrift akzeptiert. Für weniger dramatische Unternehmensbereiche hat er dagegen die Möglichkeit, dieses Kennfeld entsprechend großzügiger zu dimensionieren. Damit wird das System die Unterschrift in der Regel auf Anhieb akzeptieren. Das System soll in der Größenordnung von 200 bis 300 Mark pro Stück inklusive der Software für die Aufnahme und Wiedererkennung der Unterschriften kosten. DIE VERWENDUNG IM NETZ Bei allen Vorteilen der Biometrie bleibt eine Frage: Ist es zwingend erforderlich, beispielsweise für den Zugang zu einem Netz, einem Server oder einem PC ein so starkes Mittel wie den Fingerabdruck oder die Unterschrift abzugeben? Denn eine PIN oder ein Paßwort läßt sich problemlos auswechseln. Wer auf diese Eigenschaft nicht verzichten möchte, kann dies auch mit einem biometrischen Authentifizierungssystem erreichen. Hierzu kombiniert der Anwender die Austauschbarbeit der PINs und Paßwörter mit den Vorteilen der elektromechanischen Schrifterfassung: Eigenhändig geschriebene PINs oder Paßwörter stehen in unendlicher Menge zur Verfügung, sie dürfen notiert werden, jeder darf bei der Eingabe zuschauen. Der Administrator kann sogar ein und dasselbe Paßwort mehreren Nutzern im Netz erlauben. Ein unbefugter Eindringling mag vielleicht das
tausch der Paßwörter, hat der Unbefugte kaum eine Chance, den Code zu knacken. Werden die gespeicherten Daten verschlüsselt, reichen selbst große Rechenkapazitäten nicht aus, um rechtzeitig das gültige Paßwort herauszufinden, bevor es wieder wechselt. Selbst wenn alle Nutzer eines Netzes mit dieser Technik das gleiche Paßwort verwenden, sind durch die individuelle Schreibweise daraus individuelle Paßwörter geworden. Die digitale Signatur ist übrigens nach wie vor ein wichtiges Thema in juristischen Kreisen: Mitte September fand der 8. Deutsche EDV-Gerichtstag in Saarbrücken statt (htp://edvgt.jura.uni-sb.de). Zu diesem Kongreß trafen sich juristische Experten, um über EDV-Belange zu diskutieren, die in der anwaltlichen Praxis auftauchen und dazu Lösungen zu erarbeiten. Diesmal wurden unter anderem die verschiedenen Möglichkeiten der “Digitalen Signatur” erörtert. Dabei waren sich die Juristen größtenteils einig darüber, daß eine digitale Signatur via PIN keine echte Unterschrift ersetzen kann. Sie plädierten deshalb für ein System, das die Unterschrift elektromechanisch digitalisiert. (René Baltus, Marc-Bernd Woop/db)
Weitere Informationen: DCS Web: www.dcs.de Hesy Web: www.hesy.de
NETZWERKTECHNIK
EJB FÜR ENTERPRISE-APPLIKATIONEN
Verteilte Verarbeitung Enterprise Java-Beans (EJB), die Java-Spezifikation für Server-Komponenten, stößt aufgrund ihrer Fähigkeit, geschäftliche Anwendungen zu vereinfachen und skalierbar zu gestalten, auf großes Interesse bei Software-Entwicklern. Im Prinzip erweitern EJB das Konzept der JavaBean-Komponenten vom Client auf den Server, so daß es auch dort beim Entwickeln, Integrieren und Installieren genutzt werden kann.
usätzlich stehen auch Services für Ressourcen-Management und Transaktionen zur Verfügung, das gleiche gilt für Versionsverwaltung, Skalierung, Transport und Sicherheit. Damit lassen sich auch ohne eine große Zahl von Systemprogrammierern robuste unternehmenskritische Anwendungen entwickeln. Die Entwicklung betrieblicher StandardSoftware sowie das Auftauchen neuer Anbieter zwingt viele Unternehmen zu einer höheren Integration ihrer Applikationen. Es genügt beispielsweise nicht mehr, Vertrieb, Fertigung, Finanzverwaltung und Versand unabhängig voneinander zu automatisieren. Statt dessen müssen umfassende Geschäftsprozesse berücksichtigt werden, die alle diese Funktionen umfassen. Für die übergreifende Technologie hat sich allgemein der Begriff Enterprise Application Integration (EAI) durchgesetzt. Nach
Z
High-Level-Ansicht einer EJB
60
L AN line 1/2000
Ansicht von Experten wird sich die Nutzung von EAI drastisch erhöhen, je mehr die Unternehmen unterschiedliche Anwendungen einsetzen und mit mehreren Herstellern zusammenarbeiten. Auch eigene Entwicklungen und funktionale Erweiterungen spielen dabei eine zunehmende Rolle. Herstellerneutrale EAI-Lösungen ermöglichen dabei die Konstruktion von dynamisch konfigurierbaren und skalierbaren Geschäftsprozessen. Mit Hilfe der Java-Bean-Architektur können Entwickler wiederverwendbare Anwendungskomponenten erstellen. Die gesamte Verhaltenslogik ist dabei innerhalb einer Textkomponente als JavaBean eingebettet. Diese “Bohne” arbeitet mit anderen “Beans” (Komponenten), entweder durch direkte Methodenaufrufe oder Ereignisvisualisierung. Der Nutzer einer Bean erkennt so deren Eigenschaften und Methoden und kann sie zum Zeit-
punkt des Einsatzes nach seinen Anforderungen manipulieren. Dadurch ergeben sich selbsterklärende Schnittstellen, um das Verhalten der Bean zu steuern. EJB erweitert dieses Konzept noch, indem die Architektur der Ausführungsumgebung – auch “Container” genannt – spezifiziert wird. Ebenso wird das Interface zwischen Bean und Container festgelegt. Der Mechanismus der Eigenschaften dieser “erweiterten” Bean wird nun genutzt, um sowohl ihre Semantik, als auch die Services für Transaktionsund Ressourcen-Management, Versionsverwaltung, Skalierbarkeit, Mobilität und Sicherheit einzubinden, die alle vom EJB-Container unterstützt werden. Damit etabliert EJB einen Standard zur Entwicklung genau definierter Komponenten für Geschäftslogik sowie für Applikations-Server, um die Komponenten zu betreiben. Dabei besteht eine klare Trennung zwischen den Geschäftslogikkomponenten und der Ausführungsumgebung; beide konzentrieren sich auf ihre jeweiligen Stärken. Lange Zeit hat ein solcher Standard gefehlt, was durch die breite Unterstützung von EJB durch alle großen Hersteller von Standard-Software deutlich wird. EJB verlangt von der Ausführungsumgebung die Bereitstellung von Diensten wie Objekterstellung, Lastverteilung, Sicherheit, Transaktionsmanagement und Objektzustandsverwaltung. Der Applikations-Server kann entsprechende JavaAPI-Standards wie etwa Sicherheit und Transaktion dazu nutzen, die eigentlichen Dienste von Service-Providern zu übernehmen. Für die Busineß-Logikkomponenten sieht EJB ein Interface vor, um die HostServer-Umgebung zu “erkunden”. Dadurch erfährt die Komponente, welche der genannten Dienste der Server zur Verfügung stellt und kann diese nutzen oder durch eigene Services ersetzen. Anbieter von Busineß-Logikkomponenten können so EJB-kompatible Komponenten entwickeln, mit der Gewißheit, daß diese auf jedem EJB-kompatiblen Applikations-Server laufen. Die Komponenten können außerdem die Qualität ih-
NETZWERKTECHNIK
Die EAI-Komponente der obersten Ebene beheimatet die Busineß-Logik
rer Services auf den jeweiligen Host-Server einstellen. Entwickler von Applikations-Servern wiederum brauchen keine proprietären Schnittstellen, um die Logikkomponenten auszuführen. Sie können sicher sein, daß sich die Komponenten wie gewünscht verhalten. Letztlich bedeutet dies, daß Anwender bei Applikations-Servern und Geschäftslogik die Wahl haben. Sie können ihre Logikkomponenten beispielsweise auf einen anderen EJB-kompatiblen Server migrieren, der qualitativ bessere Services bietet. Der semantische Inhalt der Logikkomponenten (zum Beispiel, ob sie persistent oder transaktional sind, welche Geschäftslogik sie enthalten etc.) läßt sich programmatisch erschließen. Lokale oder verteilte Komponenten können gleichermaßen genutzt werden. Für die Verbindung zwischen den Servern sorgt die EJB-Infrastruktur mit Hilfe von Corba/ RMI. KONZEPTE UND KOMPONENTEN EINER EAI-LÖSUNG Das übergreifende
Ziel jeder EAI-Lösung sollte die semantische Integration der Geschäftsprozesse sein. Dies geht weit darüber hinaus, einfach nur Busineß-Objekte zwischen Appli-
62
L AN line 1/2000
Zum besseren Verständnis kann man den Prozeß eines Kundenauftrags, ein Vorgang, der praktisch allen Unternehmen gemeinsam ist, betrachten. Die Unteraktivitäten in diesem Prozeß umfassen die Kundenanfrage (durch eine Front-Office-Anwendung), das Aufrufen der Produktinformation aus einem Katalog (zum Beispiel eine ERP-Anwendung), das Erstellen des Service-Auftrags sowie den Aufruf der Verarbeitungsanwendung (dies könnte wiederum die ERP-Applikation sein), um die Bestellung auszufüllen. Die Service-Auftragsnummer und -bestätigung gehen dann zur Front-OfficeAnwendung zurück, um sie dem Kunden mitzuteilen. Die Abbildung auf dieser Seite zeigt ein solches Szenario: Die EAI-Komponente der obersten Ebene (dargestellt als “Bestell-Auftrags-Erstellung”) enthält die Busineß-Logik, diesen Geschäftsprozeß durchzuführen und zu übermitteln. Die Unteraufgaben in diesem Bild erlauben es – falls sie mit Hilfe eines “Common Object Model” implementiert wurden – dafür Applikationen gleicher Funktionalität von unterschiedlichen Herstellern beliebig auszutauschen. EAI-Lösungen benötigen nicht nur Komponenten zur Integration auf der
kationen zu transportieren, Daten umzuformen oder Regeln und Filter anzuwenden. Die Stärke von EAI-Lösungen besteht darin, den semantischen Inhalt der Geschäftsprozesse, der in ERP-Applikationen bereits implementiert ist, zu erweitern. Dies geschieht durch die Anwendung von Busineß-Logikkomponenten, die die Geschäftsprozesse einer Anwendung auf verschiedene Arten repräsentieren können. EAI-Komponenten schließen somit die Lücke zwischen den Geschäftsprozessen mehrerer ERP-Pakete und bilden zugleich einen übergreifenden Prozeß, der die unterschiedlichen ERP-Geschäftsprozesse – oder auch andere EAI-Komponenten – als Subprozesse betrachtet und Der untere rechte Quadrant bezeichnet den synchronen und asynchroKommunikationsbedarf. Er zeigt außerdem, daß die Performance sie bei Bedarf auf- nen beim Transport großer Datenmengen durch geeignete Mechanismen ruft. unterstützt werden muß.
Prozeßebene sondern auch eine “Technologieplattform” beziehungsweise Ausführungsumgebung, um diese Komponenten korrekt auszuführen. Die Architektur solch einer Technologieplattform zeigt Abbildung 3. Der obere rechte Quadrant umfaßt Applikations-Server mit allen Services, die in unternehmenskritischen Anwendungen von der Ausführungsumgebung erwartet werden. Der obere linke Quadrant erfordert den Aufbau von Verbindungen und Verständnis für die Semantik der unterliegenden Anwendung. Der untere linke Quadrant erfordert ein Visualisierungsmodell mit einem konsistenten Interface. Dadurch sind Anwender ohne weitgehende Programmierkenntnisse in der Lage, die EAI-Komponenten und Geschäftsprozesse zu manipulieren. Das Zusammenspiel von “Technologiepattform” und “EAI Busineß-Integrationskomponenten” sorgt für eine umfassende EAI-Lösung. Dies hat ebenso bedeutende Vorteile auf der Systemebene. Ein EAI-System kann EJB-kompatible Standardapplikationen als EJB-Container betrachten. Es kann sich also über die angebotenen Dienste der Anwendung informieren und unter Umständen die gleichen Frameworks für Transaktionen, Sicherheit und Systemmanagement nutzen. Aus der Perspektive von EJB wird die EAI-Logikkomponente zu einer Bean, die Busineß-Methoden auf den Ebenen des Anwendungsfalls (use case) oder des Prozeßflusses bereitstellt. Gleichzeitig werden Transaktionen zwischen mehreren Beans (für alle EJB-kompatiblen Komponenten der ERP-Standardapplikation) automatisch mitbehandelt. Konzeptionell ist die Ablösung der Technologieplattform-Komponente machbar. Allerdings gibt es in Integrationsumgebungen typische Services wie kompensierende Transaktionen, formalisierende Formatierer und Regel-Engines, für die noch Lösungen zu finden sind. Idealerweise ist die Spezifikation des EJB-Containers erweiterbar gestaltet, um diese Dienste später mit aufzunehmen.
Der EJB-Standard befindet sich noch in der Entwicklung und wird rapide erweitert und durch andere Technologien wie XML und Corba gestärkt. EJB 1.1 konzentriert sich auf die Anforderungen für die Portabilität zwischen EJB-Containern, enthält einen Vorschlag für ein besseres Sicherheitsmodell, bietet zusätzliche Unterstützung für XML und erhebt Entity-Beans zur “Pflichtfunktionalität”. Diese Erweiterungen sowie die Addition fehlender Services wird die Adaption der Technologie bei EAI- und anderen Software-Herstellern beschleunigen und ihre Rolle noch stärken. Mit diesem Beitrag haben wir EJB und EAI sowie die Rolle von EJB in EAI-Architekturen diskutiert – eine Rolle, die insbesondere eine gemeinsame technologische Infrastruktur für Busineß-Komponenten aus EAI- und anderen Applikationen umfaßt. Dabei wurde ein Trend deutlich, der mit Applikations-Servern be-
ginnt, sich über die Erstellung von EJBServern fortsetzt und nunmehr die erforderlichen Services für unternehmenskritische Anwendungen miteinschließt. Noch adaptieren die Entwickler von Anwendungs-Software das Publizieren von Busineß-Komponenten durch ein EJBkompatibles Interface nicht so schnell wie erwünscht. Einer der Gründe mag sein, daß diese Firmen in proprietäre Technologien oder andere InterfaceTechnogien investiert haben. (Prashant Gupta/gg,mw) Das Original dieses Artikels erschien in Englisch in Distributed Computing, Ausgabe Oktober 1999, Volume 2 www.DistributedComputing.com
Weitere Informationen: Cross Worlds Software Web: www.crossworlds.com
L AN line 1/2000
63
NETZWERKTECHNIK
&
Tips Tricks In der Rubrik Tips & Tricks veröffentlicht LANline regelmäßig interessante Fragen und Antworten im Umfeld der wichtigsten Betriebssysteme und Kommunikationslösungen. Neue Treiber und Patches inklusive Bezugsquellen findet der Anwender hier ebenso wie pfiffige Tips und Tricks. NEUE E-MAILATTACKE VBS/BUBBLE VBS/Bubble benötigt als E-Mail-Programm Microsoft Outlook oder Outlook Express, damit der Computer infiziert werden kann. Der Wurm kann jedoch nur Rechner infizieren, auf denen entweder Microsoft Windows 95 oder Windows 98 installiert ist. Durch einen Programmfehler ist es ihm nicht möglich, Windows-NT-Rechner zu infizieren. Zusätzlich benötigt der Wurm Microsoft Internet Explorer 5. Wenn die E-Mail-Nachricht geöffnet wird, legt der Wurm eine Datei namens UPDATE.HTA in das Windows Autostart-Verzeichnis ab. Beim nächsten Rechner-Start versendet sich der Wurm automatisch an sämtliche Adressen im Outlook-Adreßbuch. Außerdem werden die Registrierungs-Informationen von Windows wie folgt geändert: Firma: Vandelay Industries, Name: BubbleBoy Der Wurm verwendet ein ActiveXControl, welches fälschlicherweise durch Microsoft als “sicher” markiert wurde und dadurch aus Outlook und dem Internet Explorer ohne Bestätigung aktiviert werden kann. Microsoft hat sofort einen Patch herausgegeben, der die-
64
L AN line 1/2000
ses Problem behebt. Weitere Informationen dazu finden sich in Microsofts Security Bulletin unter http://www. microsoft.com/Security/Bulletins/ms99 -032.asp. Das Ändern der Sicherheitsstufe in Outlook oder im Internet Explorer auf “hoch” oder das Abschalten von “Active Scripting” schützt ebenfalls vor dem Wurm. Eine Anleitung zum Abschalten von Active Scripting finden sie auf der Norman-Homepage unter http://www.norman.de/local/active_scri pt.htm VBS/Bubble ist zur Zeit noch nicht “in the wild”; das Verbreitungspotential ist jedoch außerordentlich groß. Außerdem ist es sehr wahrscheinlich, daß in Kürze andere Viren oder Würmer dieselbe Technik verwenden werden. Norman empfiehlt ausdrücklich, den oben erwähnten Patch zu installieren oder das “Active Scripting” zu deaktivieren. Der Wurm hat zwei Varianten, VBS/Bubble.A und VBS/Bubble.B. Quelle: Norman Data Defense Systems (mw)
PORT-ZUWEISUNG BEI DAVID FÜR NETWARE 5.2 Wie kann ich unter Tobits David für Netware Version 5.2 definierte Benutzer einem bestimmten Port und eine eigene Sendekennung zuordnen? Port-Zuweisung: Sie können bei einzelnen Usern in deren Versandeinstellungen eine Include-Datei einrichten. Hier läßt sich über @@PORT NUMMER definieren, welche Anwender über welchen Port faxen sollen; also beispielsweise: @@PORT 002. Sendekennung: Auch die eigene Sendekennung können Sie über eine Include-Datei abwickeln: @@CSID +49 089 1234 fax @@CSID
[email protected] email Diese zwei Zeilen erlauben Ihnen, daß ein Fax dieses Anwenders mit der eingetragenen Nummer als Sendekennung
verschickt wird, während eine E-Mail mit dessen E-Mail-Adresse versandt wird. Die Unterscheidung erfolgt also über die Nachfolgekennung “Fax” beziehungsweise “email”. (Computer 2000 Deutschland Gmbh/mw)
NDS FOR NT 2.0: GLOBALE GRUPPE MIT USERN AUS ZWEI DOMÄNEN Sowohl Domäne A als auch Domäne B werden über die NDS verwaltet. Die Benutzer, die vor der NDS-Integration angelegt wurden, sind im Zuge der Integration in die NDS übernommen worden. Ein Anwender aus der Domäne B erhält die Berechtigung, als User in Domäne A aufzutreten. In den NDS ist es dann ein NDS-User, der in beiden Domänen erscheint. Wie ist dies aus NT-Sicht? Angenommen, Heinz Müller aus Domäne B möchte auf Domäne A zugreifen. Er soll: a) einen Share auf einem Fileserver in Domäne A verbinden dürfen (und muß daher die Berechtigung auf dem Share zugewiesen bekommen), b) Dateien auf dem Share lesen dürfen (und muß daher die Berechtigung für die Dateien zugewiesen bekommen), c) ein Postfach auf dem ExchangeServer in Domäne A von Outlook öffnen können (benötigt ferner die Berechtigung für das Postfach über den Mailbox-Manager für NDS). In allen drei Fällen wird der Anwender von Windows NT wie ein NTUser behandelt. Innerhalb einer Domäne stellt dies kein Problem dar. Doch was muß ich machen, damit Heinz Müller auf Ressorcen in Domäne A zugreifen kann? Wenn ich Heinz Müller über die NDS in Domäne A “repliziere”, mit welcher SID (Security Identifier) erscheint er in A? Bekommt er dort eine zu dem PDC (Primary Domain Controller) gehörende SID oder wird die SID aus
NETZWERKTECHNIK
&
Tips Tricks Domäne B “durchgereicht”? Verwaltet die NDS für jeden User eine eigene SID pro Domäne oder wird die SID mit der sich Heinz Müller in B anmeldet von der NDS entgegengenommen und dynamisch gegen die SID aus A “ausgewechselt”? Dies ist entscheidend für die Konzeption von großen Netzen mit mehreren Domänen, die über die NDS verwaltet werden. Wenn es zwei SIDs sind, muß eventuell eine Vertrauensstellung realisiert werden. Wie kann ich eine globale Gruppe in Domäne A erstellen, die alle User aus A und B enthält? In der NDS werden die SIDs gespeichert. Ich gehe davon aus, daß ein NDS-User pro Domäne eine SID erhält. Dann sind einem Anwender mehrere domänenspezifische SIDs zugeordnet. Wenn ein Anwender aus eine Account-Domäne auf eine Ressource in einer Ressourcen-Domäne zugreifen soll, wie gebe ich ihm das Recht dazu? Er existiert definitiv nicht in der Ressourcen-Domäne. Aus meiner Sicht gibt es zwei Möglichkeiten: – Einrichten eines einseitigen NTTrusts (nicht erwünscht). – Replizieren des Users in die Ressourcen-Domäne. Durch das Replizieren existiert der Anwender in der Ressourcen-Domäne. Aus Windows-NT-Sicht ist dies aber ein anderer User als der in der Account-Domäne, da er eine andere SID hat. Wie managt das Novells NDS for NT 2.0? Novells NDs for NT Version 2.0 tauscht lediglich die Datenbank aus, in welcher die Domäneninformationen abgelegt sind (NDS anstatt SAM). Dieses Verfahren ist für alle Windows-NT-Applikationen völlig transparent. Die SIDS und RIDs (Resource ID) von Anwendern werden damit auch in der NDS
66
L AN line 1/2000
(im jeweiligen Domänenobjekt) abgelegt. (Computer 2000 Deutschland GmbH/mw)
BROADCASTS AN “ALTE” IP-ADRESSEN In unserem Netzwerk befinden sich unter anderem zwei Unix-Server sowie ein Windows NT Server 4.0 mit Service-Pack 4 und zwei Netzwerkkarten. Öffentliche Adressen sind in nicht-öffentliche geändert worden. Der NT-Server schickt aber nach wie vor Broadcasts an die “alten” IPAdressen ins Internet (im Abstand von einer Minute). DHCP und WINS wurden neu installiert. Sie sollten die Unix-Server als statische Einträge in die WINS-Datenbank eintragen und bei sämtlichen Clients alle festen Einstellungen entfernen sowie auf DHCP umstellen. (Computer 2000 Deutschland GmbH/mw)
PORT-KONFIGURATION BEI DAVID FÜR NETWARE In einer Netware-Umgebung läuft Tobits David für Netware in der Version 5.2. In der Konfiguration des Postman steht zwar der Port 003, ist aber als “frei” gekennzeichnet. Nun bin ich mir nicht sicher, ob der Port vorhanden ist oder nicht. Da es sich bei einem Postman-Port um eine “virtuellen” Port handelt, der also nicht – wie ein normaler Faxport – an eine bestimmte Hardware wie Modem oder ISDN-Karte gebunden ist, wird dieser Port im Postman unter Monitor, Ports als “frei” angezeigt. Wichtig ist nur, daß Sie im Service-Layer unter Konfiguration, Ports hier auch tatsächlich den “P00x Postman” sehen (in diesem Fall P003 Postman) und bei dessen Konfiguration in den unterstützten Diensten der Punkt “E-Mail (SMTP)” auf Ja gesetzt ist.
Sie benötigen definitiv eine Port-Lizenz für den SMTP-Port. Anschließend müssen Sie den neuen Postman noch einspielen: PMNW.EXE. Jetzt kann die Postman-Konfiguration getestet werden: zuerst mit einem Ping vom Server, der Router muß die Verbindung aufbauen. Mail-Versand beziehungsweise -Empfang müssen ebenfalls funktionieren. Sollten noch Probleme mit der Konfiguration auftreten, überprüfen Sie, ob aktuelle Netware-Patches wie etwa TCPN05.EXE eingespielt sind, und ob ein Default-Gateway-Eintrag im Netware-Server existiert. (Computer 2000 Deutschland GmbH/mw)
NT-HARDWARE-PROFILE SIND VESCHWUNDEN Unter Windows NT Workstation 4.0 mit Service-Pack 4 sind sechs Hardware-Profile verlorengegangen, als wir die letzte funktionierende Konfiguration geladen hatten. Wie läßt sich das wieder rückgängig machen? Die Hardware-Profile sind innerhalb der jeweiligen Controlsets in der Registry abgespeichert. Sollte sich noch ein Controlset ausfindig machen lassen (ControlSet00X unter HKEY_LOCAL_MACHINE\SYSTEM) dann ist dieser als Zahlenwert unter HKEY_LOCAL_MACHINE\SYSTEM\Select\Cu rrent und HKEY_LOCAL_MACHINE\SYSTEM\Select\Default einzutragen. Ist ControlSet002 gültig, wird der Wert 2 eingegeben. (Computer 2000 Deutschland Gmbh/mw)
NETWARE 4: “RECORD LOCK THRESHOLD EXCEEDED” In einem Netware-4.0-Netz läuft neben einem Zeiterfassungsprogramm mit Datenbank noch eine weitere Datenbank auf dem Server. Seit kurzem tritt folgende Fehlermeldung auf:
NETZWERKTECHNIK
&
Tips Tricks “Station 86 record lock threshold exceeded total violation...”. Im Servman unter den Locks-Parametern sollten Sie zunächst die Record- und File-Lock-Parameter verdoppeln und den Server beobachten. Falls der Fehler weiterhin auftritt, die Werte nochmals verdoppeln. (Computer 2000 Deutschland GmbH/mw)
NT-PROFILES REPLIZIEREN Das Replizieren der Profiles unter Windows NT Server mit Service-Pack 4 erzeugt Fehlermeldungen: “Systemfehler 5. ID 32”, und “C:\WINNT\System32\User32.dll gescheitert. Prozeß wird nicht normal beendet.” Wahrscheinlich sind auf dem ExportServer (PDC) kein Exportziel und kein Import-Server eingetragen. Auf dem Primary Domain Controller müssen Sie in die Domäne exportieren und vom PDC importieren. Auf den Backup Domain Controllern sollten Sie nicht exportieren und nur vom PDC importieren. (Computer 2000 Deutschland Gmbh/mw)
NT-BACKUP ERSTELLT KEINEN BANDKATALOG Auf einem Windows NT Server Version 4.0 mit Service-Pack 4 läuft NTBackup in der Version 3.51. Bänder, die mit NT-Backup der Version 3.51 erstellt wurden, können nur komplett zurückgesichert werden. Einzelne Dateien lassen sich nicht zurückspielen, weil der Katalog des Bandes nicht erstellt wird. Die Bänder waren bereits katalogisiert. Sie haben zum Öffnen des Bandes allerdings immer auf das eingelegte Band geklickt – dann erstellt die Backup-Soft-
68
L AN line 1/2000
ware immer wieder einen Katalog. Dabei erscheint dann die Meldung: “Es wurden nur katalogisierte Sätze auf diesem Band gefunden.” Wenn Sie unter “Ansicht” auf “Struktur und Verzeichnis” klicken, erhalten Sie in der rechten Hälfte des Fensters die Anzeige der gesicherten Partitionen. Ein Doppelklick hierauf öffnet Verzeichnisse und Dateien. (Computer 2000 Deutschland Gmbh/mw)
MAIL-JOURNAL FÜR EXCHANGE SERVER 5.5 Für die E-Mails, die über den IMS unseres Exchange Servers laufen, soll eine Art “Journal” eingerichtet werden, da die Geschäftsleitung einen Überblick über die ein- und ausgehenden E-Mails erhalten möchte. In dem Journal sollte praktischerweise eine Kopie von jeder E-Mail stehen. Wie läßt sich das realisieren? Angeblich bietet das Service-Pack 2 für Exchange 5.5 eine ähnliche Funktion, allerdings werden dann sämtliche (auch interne) E-Mails mitgeschnitten, wodurch die Journale viel zu groß würden. Es bestehen folgende Möglichkeiten, um den Connector zu begutachten: Stellen Sie das Nachrichten-Tracking ein. Dies geschieht im Exchange Administrator im Container “Konfiguration” im Objekt “IS-Standortkonfiguration”, “MTA-Standortkonfiguration” und im Container “Verbindungen” im Internet Mail Connector. Aktivieren Sie dazu den Punkt “Nachrichten-Tracking”. Hier wird eine Log-Datei erstellt, in der alle Mail-Vorgänge protokolliert werden. Diese lassen sich über den Nachrichtenmonitor auswerten. Über den Nachrichtenmonitor können Sie gezielt eine E-Mail verfolgen oder begutachten, welcher Benutzer welchem anderen EMails schickt; Sie können sogar die Anzahl der E-Mails Server- und Gatewaybezogen auswerten lassen. Eine zweite Möglichkeit besteht darin, die Diagnoseprotokollierung auf dem
IMC zu aktivieren und diese auf Maximum einzustellen. Ein Problem hierbei ist, daß die Vorgänge in das WindowsNT-Eventlog geschrieben werden. Ändern Sie die Default-Einstellungen für das Eventlog nicht, läuft Ihnen die Datei voll, und der Server wird langsam. Empfehlenswert ist das nur zur Diagnose massiver Probleme am Connector oder bei Exchange. Die E-Mails können nicht abgefangen und eingesehen werden, das ist unter Exchange – mit den gegebenen Werkzeugen – nicht realisierbar und würde darüber hinaus gegen das Datenschutzgesetz verstoßen. (Computer 2000 Deutschland Gmbh/mw)
VOLUME FÜR MACCLIENTS UNTER NT Wie kann für Macintosh-Clients ein Volume unter Windows NT Server Version 4.0 konfiguriert werden? Das Volume konfigurieren Sie über Datei-Manager Winfile.exe. Wenn die Services for Macintosh installiert sind, erscheint dort ein weiterer Menüpunkt für die Definition eines Mac-Volumes. (Computer 2000 Deutschland Gmbh/mw)
So erreichen Sie die Redaktion: Doris Behrendt 089/45616-226
[email protected] Dr. Götz Güttich 089/45616-111
[email protected] Georg von der Howen 089/45616-255
[email protected] Rainer Huttenloher 089/45616-132
[email protected] Stefan Mutschler 089/45616-103
[email protected] Kurt Pfeiler 089/45616-295
[email protected] Marco Wagner 089/45616-105
[email protected]
Fax: 089/45616-200
NETZWERKPRODUKTIVITÄT
CITY-IP-NETZ IN FRANKFURT/MAIN
Fünf Administratoren für 5000 Anwender Mit nur fünf Mitarbeitern unterhält die Stadt Frankfurt/Main ein Hochleistungs-IP-Netz, das 180 Standorte und über 5000 Anwender über einen Radius von 20 Kilometen verbindet. Für den Betrieb der zentralen Server (WWW, Firewall, Proxy, Exchange etc.) und des städtischen Intranets ist das Amt für Informations- und Kommunikationstechnik der Stadt Frankfurt (IKT) mit insgesamt elf IT-Experten zuständig. Das Abwickeln so vieler Aufgaben mit einer derart dünnen Personaldecke läßt sich nur mit einem zentralen Netzwerkdesign und wartungsarmen Komponenten verwirklichen.
ückgrat des Frankfurter Netzes sind zentrale Xylan-Switches und Modems des israelischen Unternehmens RAD Data Communications, die trotz verschiedener Medien – Zwei- und Vierdraht-Kupferleitungen, Lichtwellenleiter und Standleitungen der Telekom – für ein homogenes LAN sorgen. Viele Kommunen stehen genau wie Frankfurt vor der Aufgabe, ihre über die Stadt verteilten Einrichtungen miteinander zu vernetzen und für moderne ITAnwendungen die nötigen Bandbreiten bereitzustellen. In Frankfurt hat die Umstellung von einer Zentralrechnerauf eine Client/-Server-Architektur den Ausbau des Netzes notwendig gemacht.
R
WARUM EIN CITY-IP-NETZ? Das IP-Netz
der Stadt Frankfurt dient der Verbesserung interner wie externer Kommunikation, beschleunigt den Informationsaustausch und versorgt die Anwender mit sämtlichen Internet-Diensten. Das Intranet hilft bei der Beantwortung von Bürgerfragen und unterstützt das Auftreten der Mitarbeiter. Außerdem nutzt die Stadtverwaltung das Netz als Basis für Workflow-Anwendungen zwischen den einzelnen Verwaltungen. Dabei sind die Anforderungen der einzelnen Ämter sehr verschieden. Sie reichen
70
L AN line 1/2000
vom Zugriff auf die zentralen Datenbankund Fileserver über die Nutzung von Internet-Diensten bis hin zur bandbreitenintensiven Übertragung von Videobildern des Kanalsystems, die beispielsweise vom Stadtentwässerungsamt über die Leitungen geschickt werden. DIE AUFGABE Die Stadt Frankfurt besitzt
ein eigenes, gut ausgebautes Telekommunikationsnetz. Kupfer- und Lichtwellenleiter bilden die Basis, die für die Anbindung entlegener Standorte durch Standleitungen der Telekom ergänzt wird. Mit dieser Ausstattung hatte das Team um Roland Berlauer, dem Zuständigen für System- und Netzwerkdienste, für eine Lösung zu sorgen, die aus der Sicht der Mitarbeiter ein homogenes LAN mit entsprechender Übertragungs-Performance darstellt. Dies bedeutet, allen Anwendern mußte ein schneller Zugriff auf die zentrale ServerFarm im IKT verschafft werden. Und dies unter der Randbedingung, daß das gesamte Management des Netzes mit den wenigen Mitarbeiter des IKT zu leisten ist. DIE LÖSUNG Um gleichzeitig die Nutzeranforderungen nach Performance zu befriedigen und möglichst wenig Personalressourcen für die Wartung zu investie-
Übertragungsmedien und -techniken. Auch sie lassen sich zentral warten. Denn die intelligenten Modems können über einen Remote-Control- und Managementkanal aus der Ferne konfiguriert und kontrolliert werden, Alarme überträgt das System in Echtzeit. MANAGEMENT PARALLEL ZUM DATENVERKEHR Der Datenverkehr für
Die RAD-Modems bilden das Bindeglied zwischen den LAN-Segmenten der einzelnen Standorte beziehungsweise den Switches und den verschiedenen Übertragungsmedien und -techniken
ren, entschied sich das IKT für eine zentrale Switch-Architektur. An die Telekommunikationsleitungen sind XylanSwitches mit Ethernet-Ports durch RADModems gekoppelt. Die Kupferleitungen transportieren per xDSL 1 MBit/s (per Doppelader), die Lichtwellenleiter 2 MBit/s zwischen den Verwaltungsstandorten der Stadt und dem 155-MBit-ATM-Backbone. Die Switches liefern die nötige Performance für die Ser-
ver-Zugriffe und sorgen gleichzeitig für die erforderliche Zentralität. Statt mit vielen Mitarbeitern und Fahrzeugen dezentrale Router zu konfigurieren, können die IKT-Mitarbeiter nahezu alle nötigen Netzwerkmanagementaufgaben im eigenen Gebäude lösen. Die RAD-Modems bilden das Bindeglied zwischen den LAN-Segmenten der einzelnen Standorte beziehungsweise den Switches und den verschiedenen
den Managementkanal wird parallel zum “regulären” Datenverkehr ohne Interferenzen über die gleiche Leitung betrieben. Eines der wichtigsten Merkmale der eingesetzten RAD-Modems sind eingebaute Ethernet-Chips. Diese erlauben die direkte Anbindung der Switches und LAN-Segmente an die jeweiligen Telekommunikationsmedien, ohne daß Bridges dazwischengeschaltet werden müssen; das LAN wird quasi einfach verlängert. So erwies sich in ausführlichen Tests, daß die Papierwerte und realen Meßergebnisse der Leistungsdaten der Plugand-play-Modems auch unter harten Randbedingungen kaum Abweichungen aufwiesen. Darüber hinaus beruhen alle Modems auf dem gleichen Gerätedesign und passen somit in das gleiche Rack. (Hartmut Giesen/gg/mw)
L AN line 1/2000
71
SCHWERPUNKT: FIREWALLS
FIREWALL-
TECHNOLOGIEN VOM PAKETFILTER ZUM INTEGRIERTEN FIREWALL-ROUTER
FIREWALLS
Neben Hackern und Crackern treiben immer häufiger auch professionelle Wirtschaftsspione ihr Unwesen, die den betroffenen Unternehmen beispielsweise im Vorfeld von Ausschreibungen enorme Verluste einbringen können. Des weiteren müssen Daten gegen unternehmensinternen Mißbrauch geschützt werden. Dennoch verfügen derzeit erst weniger als zehn Prozent der deutschen Unternehmen über eine Firewall. 72
L AN line 1/2000
Die US-amerikanischen Bundesbehörden haben eine schwierige erste Jahreshälfte hinter sich. Nachdem Hacker zuerst im Mai dieses Jahres die Websites des FBI, dann zweimal hintereinander die Site des US-Senats und des Weißen Hauses gecrackt – sprich: unbrauchbar gemacht – hatten, gelang es ihnen im Juni auch, die Sicherheitsbarrieren zu den Websites des US-Innenministeriums und -Energieministeriums zu überwinden. Und das, obwohl
solche Angriffe heute nicht mehr überraschend sind: Schon seit Jahren gelingt es Hackern immer wieder, sich in die USamerikanischen staatlichen Rechnernetze einzuhacken – so im September 1997 in das des CIA und im Februar 1998 in das des Pentagon. Ein rein amerikanisches Phänomen? Mitnichten – wie die Manipulation der Labour-Party-Website oder die Site des deutschen Verfassungsschutzes belegen konnten.
Doch die gecrackten Websites machen nur einen Bruchteil der gesamten Problematik der Daten- und Netzwerksicherheit aus. In diesen Bereich fällt letztlich jeder Vorfall, bei dem Programme von fremden Rechnern aus im eigenen Netz gestartet oder von der Ferne aus auf lokale Systemressourcen zugegriffen wird. CERT (Computer Emergency Response Team) zeichnet seit 1988 alle Sicherheitslücken weltweit auf: 1998 waren es 3734, Tendenz steigend: Allein im ersten Halbjahr 1999 wurden rund 4400 Vorfälle registriert. Dabei gehen rund 82 Prozent der unrechtmäßigen Zugriffe auf Unternehmensdaten – das haben mehrere 1998 veröffentlichte Studien ergeben – von Mitarbeitern aus. Nur 18 Prozent entfallen auf das Konto von externen Hackern oder Crackern. KLASSISCHE FIREWALL-SYSTEME Wie
aber kann man sein Netzwerk an den Netzübergängen schützen? Hier kommen Firewall-Systeme zum Einsatz. Ihre Aufgabe liegt zum einen in der Übersetzung von Netzadressen: Nur die Firewall ist für den Hacker als Zielsystem sichtbar, die internen Netzwerkadressen dagegen bleiben für ihn unsichtbar. Eine weitere wichtige Aufgabe von Firewall-Systemen ist es, durch Authentifizierungs- und Autorisierungsfunktionen den unberechtigten Zugriff auf interne Netzwerkressoucen zu unterbinden. Durch sogenannte Strong Authentication wird die User-Identität sichergestellt und somit bestmöglicher Anwenderschutz und Schutz vor Datenmißbrauch geboten. Von entscheidender Bedeutung sind ferner Log- und Alert-Funktionen, die einen Angriff sofort an ein Managementsystem melden können und die eine genaue Nachbearbeitung von Angriffen ermöglichen. Was die Konfiguration von FirewallSystemen anbetrifft, so ist man in der Regel heute dazu übergegangen, sogenannte demilitarisierte Zonen (DMZs) im Netzwerk einzurichten. Dabei werden die an das externe Netzwerk angebundenen Server (Web, Mail, FTP etc.) in ein separates Netzsegment gestellt, das über die
L AN line 1/2000
73
SCHWERPUNKT: FIREWALLS
Firewall geschützt, aber vom internen Netz getrennt ist. Dies ermöglicht ein drittes Netzwerk-Interface in den Firewalls. Die Funktion der DMZs wurden früher von sogenannten Bastion-Hosts übernommen – eine Art Bollwerk-Firewall, die auf die direkte Konfrontation mit dem Angreifer setzte. Die außerordentlich hohe Zahl der Unternehmensmitarbeiter unter den Hackern macht jedoch deutlich: Es reicht nicht, das interne Netzwerk einfach nur durch eine massive Firewall nach außen abzuschot-
delt es sich in der Regel um einen Standard-IP-Router, der gerade mit soviel Intelligenz ausgestattet ist, daß er die Datenpakete in bezug auf Quell- und Zieladresse sowie Protokolltyp analysieren und entsprechende Zugriffsbeschränkungen umsetzen kann, die der Administrator zuvor definiert hat. Der Vorteil des Paketfilters ist die volle Transparenz und Geschwindigkeit auf der Vermittlungsschicht (Network Layer). Sein Nachteil ist, daß er lediglich Ports (sprich: Dienste) sperren oder frei-
schen internen und externen Rechnern ermöglicht werden, läßt klassischen Hacker-Techniken wie IP-Spoofing (Vortäuschen berechtigter IP-Adressen) oder Source Routing (Umleitung von Datenpaketen) leichtes Spiel. Dennoch sind – mehr oder weniger intelligente – Router-Paketfilter leider auch heute noch das beliebteste Mittel für Department-Firewall-Lösungen im Inneren des Netzes. Nur so glaubt man, die hier erforderliche Performance sicherstellen zu können – zu Unrecht wie am Beispiel des Stateful-Inspection-Konzepts noch zu zeigen sein wird. PROXY-LÖSUNG Im Gegensatz zum Pa-
Evolution der Firewall-Technologien: vom Paketfilter (Screening-Router) über das Application-Level-Gateway bis hin zur HybridlLösung
ten, auch im Inneren müssen abgestufte Department-Firewall-Lösungen eingerichtet werden, um beispielsweise besonders sensible Systeme oder ganze Server-Farmen gegen den Zugriff von innen zu schützen. Grundsätzlich wird zwischen drei verschiedenen Technologien unterschieden: Paketfilter (Screening Router), Application Level Gateway (Proxy-Lösung) sowie Hybridlösungen, welche die Vorteile von Paketfilter und Proxy-Lösung in sich vereinen. Hierbei spielt die von Check Point patentierte Stateful-InspectionTechnologie eine besondere Rolle. PAKETFILTER Die älteste und zugleich
schwächste Version ist der Paketfilter (auch Screening-Router). Hierbei han-
74
L AN line 1/2000
geben kann und daß sich seine Wirkungsweise auf bestimmte Protokolle der TCP/IP-Protokollfamilie beschränkt: die IP-Adresse, TCP oder UDP (UserDatagram-Protokoll = Transportprotokoll auf Schicht 4) sowie deren Portnummern. Er kann nicht zwischen berechtigten und unberechtigten Paketen einer Gattung unterscheiden oder Kausalitätsprüfungen durchführen und läßt Anwendungsprotokolle unberücksichtigt. Ein weiterer Nachteil ist, daß der Paketfilter den Datenverkehr entweder durchläßt oder ablehnt, ein entsprechender Port aber permanent offengehalten werden muß. Dies und die Tatsache, daß überhaupt direkte Verbindungen zwi-
ketfilter, der sich auf die Analyse der IPHeader und TCP/IP-Protokolle beschränkt, kontrollieren Application Level Gateways und Proxy-Server auch Verbindungen auf den darüberliegenden Schichten: Die Proxy-Firewall ist nicht nur in der Lage, die IP-Header zu analysieren, sondern auch zwischen verschiedenen Anwendungen zu unterscheiden. Dabei spielt der Proxy-Server den Vermittler zwischen dem internen und dem externen Rechner, wobei eine echte physikalische Trennung des externen und internen Netzes stattfindet. Das heißt: Jeder anfragende Rechner muß zunächst eine TCP-Verbindung zum Proxy der jeweiligen Applikation aufbauen. Der Proxy prüft die übertragenen Daten und stellt schließlich eine Verbindung zur Zieladresse her. Diese Stellvertreterfunktion hat auch den Vorteil, daß der Proxy der einzige Ansatzpunkt für eine Attacke ist – die internen IP-Adressen dagegen bleiben für den Angreifer unsichtbar. Wesentliche Nachteile der ProxyTechnologie sind die Notwendigkeit spezifischer Proxys für jede Anwendung – FTP, Telnet, HTTP etc. Die physikalische Trennung und damit fehlende Transparenz und Connectivity wiederum wirken sich negativ auf die Performance aus. Caching-Proxies sollen hier Abhilfe schaffen, ändern allerdings auch nichts an der grundsätzlich fehlenden Transparenz und Connectivity.
SCHWERPUNKT: FIREWALLS
STATEFUL INSPECTION Das Stateful-
Inspection-Konzept verbindet das Beste aus den Welten der IP-Router und ProxyServer und wird deshalb auch als HybridFirewall bezeichnet. Es bietet gute Performance durch nahtlose Connectivity,
ting-Plattform mit Hochverfügbarkeitskonzept und Lastverteilung. Die Integration einer Firewall in einen Router bietet eine ganze Reihe von Vorteilen – vor allem im Vergleich zu konventionellen Installationen, bei denen die Firewall in der
Die Proxy-Firewall kann IP-Header analysieren und auch zwischen verschiedenen Anwendungen unterscheiden
gewährt allerdings Verbindungen nur für die Dauer der Übertragung des zulässigen Verkehrs. Und es unterstützt alle gängigen Netzwerkprotokolle auch auf der Anwendungsschicht. Das Funktionsprinzip: Die Stateful-Inspection-Engine ist zwischen den Schichten 2 (Sicherungsschicht) und 3 (Vermittlungsschicht) angesiedelt und analysiert die Datenpakete während der Übertragung auf der Netzwerkebene, wobei dynamische Zustandstabellen erzeugt werden. Diese Statustabellen ermöglichen es, mehrere Pakete im Zusammenhang zu betrachten und dabei die Protokolle aller sieben OSI-Schichten mit einzubeziehen. Sogar zusammengehörige ein- und ausgehende Pakete können im entsprechenden Kontext miteinander verglichen werden. Dabei unterstützt die Stateful-Inspection-Engine über 150 Protokolle beziehungsweise Dienste – ohne die Notwendigkeit applikationsspezifischer Proxies. VOLLINTEGRIERTER FIREWALL-ROUTER Noch einen Schritt weiter geht das
Konzept des integrierten Firewall-Routers von Nokia. Nokia integriert die Stateful-Inspection Firewall-1 in eine Rou-
76
L AN line 1/2000
Regel auf einer Workstation betrieben wird. Hochverfügbarkeit ist überall dort entscheidend, wo garantierte Kapazitäten im Sinne eines Service-Level-Agreements geboten werden müssen und wo die Daten- und Netzwerksicherheit kritisch für das Unternehmen ist – etwa im Bereich Online-Banking, E-Commerce, kritischer E-Mail-Verkehr etc. Hochverfügbare Systeme haben darüber hinaus den Vorteil, daß das Maß an notwendiger Vor-Ort-Maintenance verringert und Wartungsfenster optimiert werden können. Bei konventionellen Workstationbasierenden Firewalls müssen für eine Hochverfügbarkeitskonfiguration entsprechende Soft- und Hardware-Komponenten von einem Drittanbieter angeschafft und die Mitarbeiter in eine neue Applikation eingearbeitet werden. Bei den integrierten Firewall-Routern der IPSerie dagegen besteht die Hochverfügbarkeitskonfiguration ganz einfach aus zwei oder bis zu zwölf parallel geschalteten redundanten Firewall-Routern mit Lastverteilung für alle Funktionalitäten. Die Firewall-Router kommunizieren miteinander über das Virtual Router Redundant Protocol (VRRP), das eine permanente Synchronisation zwischen einer
Vielzahl von Routern im MillisekundenTakt ermöglicht. VRRP ist ein offizieller Standard (RFC 2338), der von Nokia mitentwickelt worden ist. In dieser Hochverfügbarkeitskonfiguration ist jeder Firewall-Router für den jeweils anderen Master und Hot-Standby zugleich. Das heißt: Fällt der eine Firewall-Router aus, so springt der andere nahezu verzögerungsfrei ein. Dabei können Cluster von bis zu zwölf Online-Firewall-Systemen definiert werden. Bei der Hochverfügbarkeitskonfiguration kommt ein weiterer Vorteil der Stateful-Inspection-Technik zum Tragen: Das redundante Sekundärsystem erhält aus den Zustandstabellen alle nötigen Informationen, um bestehende Verbindungen bei einem Ausfall der primären Firewall zu übernehmen. Im Firewall-Router verbinden sich die Sicherheit und Geschwindigkeit einer Stateful-InspectionFirewall mit der Performance eines Hochleistungs-Routers. Der integrierte Firewall-Router IP 400 von Nokia beispielsweise ermöglicht einen Durchsatz von zirka 150.000 Datenpaketen pro Sekunde und eine Firewall-1-Performance von nahezu 100 MBit/s. Im Vergleich zur
Das Prinzip der Stateful Inspection
Workstation-basierenden Firewall bietet der integrierte Firewall-Router zudem einen besonderen Schutz: Der Router verfügt über ein spezielles besonders abgesichertes Betriebssystem und ist somit gegen die für PCs und Workstations typi-
schen Bugs gefeit, über die sich der GastUser etwa via FTP-, HTTP- oder TelnetVerbindung einhacken kann, um von dort aus in andere Systembereiche zu gelangen. Weitere Merkmale sind Fehlertoleranz und Rerouting-Funktion sowie die Unterstützung aller gängigen Routing-Protokolle. Wollte man dagegen eine Workstation-basierende Lösung beispielsweise auf OSPF (Standard-Routing-Algorithmus für das Routing innerhalb des Netzwerks) aufrüsten, so müßte der entsprechende Protokoll-Stack – in Form von zusätzlicher Hard- und Software – erst von einem Drittanbieter angeschafft und die Mitarbeiter in eine neue Applikation eingearbeitet werden. Dies gilt im übrigen auch für Online-Backups, verschlüsselte Updates und alle anderen Funktionsmerkmale, die bei einem Router selbstverständlich sind. Hinsichtlich der Verwaltung kann der Firewall-Router wie jeder andere Router in einem Netzwerk behandelt werden. Der Administrator wendet dieselben Funktionen an – ob Ping (Packet Internet Grouper, Implementierung des Echoprotokolls zum Testen der Erreichbarkeit von Zielstatio-
Quelle: Check Point
nen) oder Traceroute (Tool, das die spezifischen Gateways bei jedem Hop durch das Internet aufzeichnet). Er braucht sich für Setup, Verwaltung oder Fehlersuche in keine neue Applikation einzuarbeiten. Über ein Web-basierendes Netzmanage-
L AN line 1/2000
77
SCHWERPUNKT: FIREWALLS
mentsystem können die verschiedenen Komponenten der Netzwerk-Sicherheitslösungen auch remote verwaltet werden. VIRTUELLE PRIVATE NETZWERKE Im Rahmen der zunehmenden Bedeutung des Internets haben sich virtuelle private Netzwerke (VPNs) als feste Größe in der Netzwerkinfrastruktur von Unternehmen etabliert. Ziel eines VPNs ist es, sichere und kostengünstige Kommunikationskanäle im öffentlichen Netz zu ermöglichen. Im Grunde ist das VPN nicht mehr als ein logisches Netzwerk, das Teil des öffentlichen Netzes – des Internets – ist. Dabei werden die Datenpakete innerhalb des VPNs in IP-Pakete verpackt – “getunnelt” – und am Bestimmungsort wieder entpackt. Bei der Einrichtung von VPNs ist der Einsatz von Verschlüsselungsverfahren sehr zu empfehlen, da sich hierdurch die Datensicherheit deutlich erhöhen läßt. Ein Kriterium für die Stärke der Verschlüsselung ist die Länge des Schlüssels, die heute in der Regel zwischen 56 Bit und 3 x 56 Bit beträgt. Doch nicht nur die Länge des Schlüssels ist wichtig, sondern auch, mit welcher Geschwindigkeit man diesen wechselt. Entscheidend ist, daß die Verschlüsselungsstärke auf die Datenpriorität abgestimmt wird. MANAGEMENT Die Verwaltung der Rou-
ter-Funktionen und Firewall-Policies kann remote in Eigenregie oder von einem zentralen Netzwerkmanagementsystem (NMS) durchgeführt werden. Die Administrationsverbindungen werden verschlüs-
78
L AN line 1/2000
Hot-Standby, Resilience, Lastverteilung
selt, um so einen unbefugten Eingriff in die laufende Datenverbindung zu verhindern. Zum anderen wird die Zugriffsregelung durch Authentisierung des Administrators über Benutzername und Paßwort überprüft. Voraussetzung hierfür ist natürlich, daß zunächst berechtigte Benutzerrnamen, Paßwörter und IP-Adressen für den/die Administrator/en definiert werden. Die Administration erfolgt über eine grafische Benutzeroberfläche. Selbst komplexe Unternehmensnetze können so bequem zentral verwaltet werden, oder ein Netzbetreiber kann die Verwaltung als Dienstleistung anbieten. KOMPETENTE BETREUUNG UNERLÄSSLICH Viele Unternehmen haben die Ent-
scheidung über die Einrichtung einer Firewall unnötig auf die lange Bank geschoben. Der Grund: Man glaubte, dafür müßten erfahrene Netzwerkadministratoren eingestellt oder eigene Mitarbeiter für viel Geld geschult werden. Ein Irrtum, denn unter dem Stichwort Managed Firewall Services hat sich auch das komplette Outsourcing von Firewall-Systemen schon lange etabliert. Mißverständnisse wie diese verdeutlichen, wie wichtig Systemintegratoren sind, die nicht nur Technik verkaufen, sondern auch eine ausführliche Beratung und langfristige Betreuung bieten: Netzwerksicherheit ist ein sehr beratungsintensives Geschäft. Es gilt, Netzwerksicherheit als Prozeß zu verstehen, der die Organisation des Un-
ternehmens selbst berührt, der eine klare Sicherheits-Policy erfordert mit genau abgegrenzten Zugangsberechtigungen, die für jeden Anwender/Dienst separat vergeben werden. Ein Prozeß schließlich, der in den Köpfen der User selbst stattfindet – bis hin zur Sensibilisierung der Mitarbeiter auf Datensicherheit (Paßwortwahl etc.) Für den Fachhandel bedeutet dies Chance und Herausforderung zugleich. Die Chance liegt in der optimierten Kundenbindung: Der Händler kann sich als “Partner in Netzwerksicherheit” dauerhaft positionieren und seinen Kunden aufbauend auf der Sicherheitslösung neue Mehrwertdienste anbieten wie beispielsweise Content Security – das heißt das Scannen ab- und eingehender E-Mails nach bestimmten Schlüsselwörtern. Die Herausforderung liegt in der Breite und Tiefe des erforderlichen Knowhows. Deshalb müssen die VAR (Value Added Reseller) beziehungsweise Systemintegratoren sehr sorgfältig ausgesucht werden: Es kommen ausschließlich hochqualifizierte und spezialisierte Unternehmen in Frage, denen die Welt der LAN-/WAN-Technologie ebenso vertraut ist wie die Bedeutung individueller Sicherheitskonzepte. (Thorsten Jüngling/mw) Thorsten Jüngling ist System-Marketingmanager bei Nokia Networks.
SCHWERPUNKT: FIREWALLS
SECURITY WIRD OFT VERNACHLÄSSIGT
Einsatz von Multicast in Unternehmensnetzen In Unternehmensnetzen wächst der Anteil von Multicast-Paketen, die durch Videokonferenzen, Application Sharing und Groupware-Anwendungen entstehen. In naher Zukunft werden sie einen erheblichen Anteil am Gesamtverkehr aufweisen. Dabei ist festzustellen, daß man sich hinsichtlich der Multicast-Fähigkeit von Sicherheitsmechanismen wie Firewalling und Verschlüsselung bislang zu wenig Gedanken gemacht hat.
P-Multicasting fristete anfangs ein Schattendasein, da nur halbherzig an eine Standardisierung bei IPv4 gedacht wurde, und wenige Applikationen diesen Pakettyp ausnutzen konnten. Hinzu kam, daß die vorhandenen Routing-Protokolle im WAN nicht in der Lage waren, Multicast-Pakete zu transportieren, so daß sich
Multicast zunächst nur im LAN unter Testbedingungen einsetzen ließ. Dies hat sich inzwischen grundlegend geändert, so daß sich IP-Multicasting für die Kommunikationsinfrastruktur zu einer Schlüsseltechnik entwickeln könnte, da die Verteilung von Informationen an viele Empfänger im Internet gleichzeitig möglich geworden ist. Fast der gesamte Datenverkehr besteht heute noch aus Unicast-Paketen wie er bei typischen TCP-Anwendungen benötigt wird. Sollen Daten allerdings an mehrere Empfänger gleichzeitig übertragen werden, muß eine Mehrfachaussendung erfolgen. Bei einem Broadcast werden die Daten an alle Empfänger innerhalb eines bestimmten Subnetzes weitergeleitet. Eine Möglichkeit nur bestimmte Empfänger Verteilung von Multicast-Paketen durch einen Router anzusprechen gibt es
I
80
L AN line 1/2000
IP-Multicast-Adressen Multicast-Adressen besitzen wie UnicastAdressen in der IPv4-Version eine Länge von 32 Bit und nutzen die Adreßklasse D nach RFC-1112. Zur Definition von Gruppenadressen stehen 28 Bit zur Verfügung, wodurch man zwischen 228 Gruppen differenzieren kann. Multicast-Adressen werden nur für die Dauer einer Kommunikationsverbindung zugeordnet und nicht einem Endsystem fest zugeordnet. Das heißt, man sucht sich für die Dauer einer Session eine Adresse von den 228 möglichen aus. Bedingung dabei ist, daß diese nicht schon verwendet wird, da es sonst zu einer doppelten Nutzung kommt. Die Internet Engineering Task Force (IETF) entwickelt dabei gerade ein mehrstufiges Verfahren für die zeitlich befristete Reservierung von Multicast-Adressen. Weltweit kommt es allerdings zu wenigen Doppelnutzungen, da Multicast-Adressen durch das Feld Time-to-Live (TTL), das am Sender gesetzt und bei jedem Netzknoten um eine Zahl verringert wird, normalerweise auf eine bestimmte Region begrenzt werden. Im lokalen Netz wird TTL=1 gesetzt, während TTL=15 für Stadt, TTL=63 für Land und TTL=127 für die ganze Welt steht. Zusätzlich besteht die Möglichkeit, bestimmte Adreßbereiche durch das Verfahren “Administratively Scoped IP Adresses” auch ohne TTL-Feld in der Reichweite zu limitieren. Die Nachfolgeversion des jetzigen InternetProtokolls IPv6 mit einer Adreßlänge von 128 Bit hat 112 Bit für die Gruppenadressen vorgesehen. 4 Bit stehen dabei für die maximale Reichweite zur Verfügung, die “Hop Limit” genannt werden. Anders als bei IPv4 sind Anycast-Adressen für IPv6 vorgesehen worden, so daß alle Adressentypen unterstützt werden. Multicast-Pakete gehen an eine bestimmte Gruppenadresse, wobei sich der Empfänger einer Gruppe automatisch über Join-theGroup anschließt. Dabei arbeiten zwar alle Router zusammen, um die Daten den Empfängern der Gruppe auszuliefern, aber es wird nicht garantiert, daß keine Pakete verloren gehen oder die Reihenfolge eingehalten wird. Empfänger können dabei nicht erkennen, wer sendet, obwohl die Absenderadresse letztendlich in den empfangenen Paketen wiederzufinden ist. Für den Sender ist es noch schwieriger, die Empfängeradressen herauszubekommen, weil die Gruppenzugehörigkeit durch Protokolle höherer Schichten festgelegt wird. Die Netztopologie bleibt dabei von diesen Protokollen unberücksichtigt, da ausschließlich der Router diese Aufgabe wahrnimmt.
SCHWERPUNKT: FIREWALLS
dabei nicht. Eine Mehrfachaussendung entfällt zwar, aber es bekommen auch alle Empfänger die Informationen mitgeteilt. Neben sicherheitsrelevanten Themen sollte dabei auch die zusätzliche Rechner- und Netzlast mit beachtet werden. Multicast ist eine Kombination aus beiden Verfahren und ermöglicht das differenzierte Ansprechen einer bestimmten Empfangsgruppe. Ein Paket einer definierten Multicast-Adresse braucht, unabhängig von der Anzahl der Adressaten,
nur einmal gesendet werden. Das Netz leitet das Paket weiter und vervielfältigt das Paket an den geeigneten Stellen, die möglichst dicht beim Empfänger liegen sollten. Durch die einmalige Sendung eines einzelnen Datenpakets wird eine geringere Auslastung des Netzes erreicht, bei gleichzeitiger Kostenreduzierung. Neben der Verminderung der Netzlast im Backbone wird eine Verringerung der Übertragungsverzögerung erreicht, da die Da-
MBone-Tools Mit MBone-Tools wird eine Software-Sammlung bezeichnet, die für multimediale OnlineKonferenzen geeignet ist und für den Datenaustausch den Multicast-Backbone (MBone) nutzt. Mit dieser Tool-Sammlung ist es für den Anwender möglich, alle CSCW-Möglichkeiten (Computer Supported Co-operative Work) in heterogener Netzwerkumgebung anzuwenden. Unterschiedlichen Tools für Audio-/Video-Datenübertragung (vic, vat), zum gemeinsamen Betrachten und Bearbeiten von Dateien (nt, wb) sowie zum Steuern der Tools (sdr) können einzeln oder gemeinsam verwendet werden. Die MBone-Tools (vic, vat, nt, wb, sdr) wurden an der Universität Berkeley/USA entwickelt. TCP/IP-CSCW-Lösungen bevorzugen diese Tools, da sie gleichermaßen für das Internet als auch für IP-over-ATM-Übertragungen geeignet sind. Durch ihre Verbreitung haben sie sich zu einem Quasistandard entwickelt. Zusätzlich haben sie den Vorteil, praktisch für jede Plattform unentgeltlich zur Verfügung zu stehen. Alle Anwendungen laufen unter X-Windows für Linux- und Unix-Betriebssysteme. Neuerdings wird auch der Betrieb unter Windows 95 unterstützt. Die meisten Tools lassen sich von den entsprechenden FTP-Servern für die gewünschte Systemplattform als Binaries herunterladen. Weitere Informationen und die MBone-Software finden sich unter der URL-Adresse http://www.mbo ne.com/. Zum Empfangen von Multicast-Daten reichen die Binaries aus. Wenn man aktiv in eine multimediale Konferenz einsteigen möchte, sind natürlich zusätzlich Videokarte, -kamera und Mikrofon erforderlich. Die Tools laufen alle unabhängig voneinander, so daß beispielsweise nur Audio (vat), Video (vic), Texteditor (nt) oder das Whiteboard (wb) verwendet werden können. Die Audio-/Video-Tools basieren auf dem vorgeschlagenen Realtime Transport Protocol (RTP), das von der IETF-Gruppe Audio/Video Transport Working Group spezifiziert wurde. RTP ist ein Protokoll auf der Anwendungsschicht, das vollständig durch das Programm “Visual Audio Tool” (vat) genutzt wird. Das bedeutet, daß keine zusätzlichen Systemerweiterungen nötig sind, um RTP zu verwenden. Dabei werden Multicast-Verbindungen (Punkt-zuMehrpunkt) eingesetzt. Die Übertragung der Echtzeitdaten findet aufgrund der hinderlichen Quittungsmechanismen des TCP-Protokolls mit UDP-Protokollen statt. Das heißt, die Pakete werden nicht permanent auf Reihenfolge, Verlust und Duplikate überprüft. Das ermöglicht schnellere Übertragungen der verzögerungsempfindlichen Daten. Eine Fehlerüberprüfung bei reiner Datenübertragung muß durch Protokolle eines zusätzlichen Konferenzmanagers abgewickelt werden. Hohe Übertragungsraten machen die Kompression der Datenströme durch zusätzliche Hardware erforderlich. Ansonsten würde es zu hohen Belastungen der CPU des Rechners kommen. Bei geringeren Übertragungsraten genügt es, die Kompression durch die Software vorzunehmen. Das “Video Conferencing Tool” (vic) der MBone-Sammlung ermöglicht es, zusätzliche Hardware nach dem H.261-Standard einzusetzen. Der Konferenzmanager Confman der Universität Hannover faßt die MBone-Tools zusammen und ermöglicht so eine effektivere Ausnutzung sowie intelligentere Steuerung. Unter der Adresse http://www.rvs.unihannover.de/products/ confman/v2.0/ kann man die aktuellen Versionen herunterladen. Diese sind verfügbar für die Betriebssysteme Solaris 2.6, Windows9x, Windows NT, Linux 2.0 mit GNU-Libc (libc6) und für Irix6.5.
82
L AN line 1/2000
ten nur einmalig ausgesandt werden müssen und alle Empfänger gleichzeitig erreichen. Hinzu kommt die Reduzierung der Belastung des Senders, weil die Daten nicht mehrfach gesendet werden, wodurch viele verschiedene Empfänger gleichzeitig angesprochen werden können. SICHERHEITSPROBLEME MIT MULTICAST-PAKETEN Die Vorteile, die Multi-
cast-Pakete hinsichtlich der Netzauslastung und Gruppenkommunikationen bieten, müssen allerdings auch die notwendige Sicherheit ermöglichen, um eine ungestörte Kommunikation durchführen zu können. Dabei sind folgende Punkte ausschlaggebend: – Vertraulichkeit, – Integrität, – Verbindlichkeit, – Zugriffskontrolle. Vertraulichkeit wird durch symmetrische oder asymmetrische Verschlüsselung hergestellt. Dabei müssen bei symmetrischer Schlüsselvergabe alle Mitglieder einer Multicast-Gruppe den gemeinsamen Schlüssel kennen und nutzen. Das eröffnet natürlich Mittel und Wege, um sich diesen Schlüssel anzueignen beziehungsweise ihn während einer Sitzung aufzuschlüsseln. Eine bessere Methode ist es, wenn durch asymmetrische Verschlüsselung der öffentliche Schlüssel von allen Sendern an alle Empfänger verteilt wird und umgekehrt. Integrität wird durch die Bildung kryptographischer Prüfsummen (zum Beispiel MD5) Rechnung getragen, während das Problem der Verbindlichkeit durch die digitale Signatur gelöst werden muß. Die Zugriffskontrolle ist schwieriger durchzuführen, da hierbei Zugangskontrollisten und Key-Management entscheidend sind. Die Zugangskontrollisten sind für die Schlüsselverteilung oder digitale Signatur zuständig und lassen nur Mitglieder zu, dessen Signatur erkannt wurde. Ohne diese Kontrolle ist jede Sitzung öffentlich und kann von jedem besucht werden. Das Key-Management wird hingegen für die Generierung, Verteilung und Überwachung der Schlüssel benötigt und stellt
SCHWERPUNKT: FIREWALLS
im Grunde den Schwerpunkt der Multicast-Kommunikation dar. Verschlüsselungen können auf verschiedenen OSI-Schichten vorgenommen werden. Unterscheiden kann man die Ansätze durch die Begriffe Application und Network Coupled. Das heißt, es wird entweder in der Anwendungs- (zum Beispiel PGP, SSL, SSH) oder Transportschicht (zum Beispiel IPSec) verschlüsselt. Dabei lassen sich die folgenden Vor- und Nachteile ausmachen, die die folgende Tabelle aufzeigt. UNTERSTÜTZUNG VON MULTICASTPAKETEN BEI DER FIREWALL Eine
Firewall wird zum Schutz des internes Netzes eines Unternehmens hauptsächlich zwischen Internet und Intranet plaziert. Dabei existieren unterschiedliche Typen, die man in den Grundkonzepten Paketfilter und Application-Level-Gateway oder Dual-homed-Gateway wie-
derfindet. Der Paketfilter wird dabei meistens im Router realisiert beziehungsweise integriert. Sie filtern nach Ziel- und Quelladresse sowie den jeweiligen Ports. Das Application Level Gateway arbeitet auf der Anwendungsschicht. Hier wird in einem komplexen Regelwerk festgelegt, welche Dienste verwendet werden dürfen und welche verboten sind. Für jeden Dienst werden Security-Proxies eingeführt. Ein direkter Zugriff ist nicht mehr möglich. Ein Kombination beider Verfahren wird als Screened-Gateway bezeichnet und erhöht die Sicherheit der Firewall gegenüber den beiden anderen Lösungen erheblich. Die Anordnung der beteiligten Komponenten kann variieren und erlaubt die individuelle Realisierung eines Security Concepts. Bei der Nutzung von Multicast-Paketen sollten hinsichtlich der Sicherheit auch hier strenge Regeln aufgestellt
Verschlüsselungsverfahren
Vorteile
Application Coupled
– Anwendung entscheidet, welche Daten welche Sicherheitsanforderungen haben – Anwendung nimmt alle sicherheitsrelevanten Maßnahmen vor – Untere Schichten werden nicht in den Prozeß einbezogen – Sicherheitskritische Information bleibt auf der Schicht 7
Network Coupled
–
– –
–
L AN line 1/2000
Nachteile
– Sicherheitsinformationen liegen in der Anwendung oder Bibliotheken – Anwendung kann Sicherheit beeinflussen – Fehlerhafte Synchronisation zwischen den unterschiedlich gesicherten Anwendungen – Performance-Probleme durch gleichzeitige Schlüsselspeicherung und Management durch die Anwendung Mechanismen und Schnittstellen – Anwendung muß der Netzwerksind für alle Anwendungen auf schicht vertrauen einem Rechner gleich – Verschlüsselung wird für alle Keine Änderung der Anwendung Daten gleichermaßen vorgenomerforderlich men, wodurch Flexibilität der Datenbanken für Schlüssel Anwendung verlorengeht können transparent für die Anwen- – Schlüssel für Anwender sind dung und den Anwender genutzt schwieriger zu realisieren werden Sicherheitsmechanismen und Key-Management sind dadurch eingekapselt Router und Firewalls können zusätzliche Aufgaben übernehmen, wodurch Virtual Private Networks gebildet werden können
Vor- und Nachteile unterschiedlicher Verschlüsselungsansätze
84
werden, die verhindern, daß MulticastAnwendungen unkontrolliert benutzt werden. Das heißt, man sollte definieren, wer Multicast-Pakete verschicken und empfangen sowie an Sitzungen teilnehmen darf. Weiterhin sind Sessions zu protokollieren, um zu erkennen, wie lange die Sitzung aktiv ist und wer wann wie lange Daten gesendet oder empfangen hat. Hinzu kommt die Bandbreite, die für den Teilnehmer begrenzt werden sollte. Zur Umsetzung dieser Anforderungen muß die Firewall die Benutzeridentität kennen und wissen, was dieser beabsichtigt. Bei Multicast-Anwendungen ergibt sich dabei das Problem, daß kein standardisiertes Kontrollprotokoll für die Anwendung existiert, welches von der Firewall beobachtet werden könnte, um dynamische Filter für den UDP-Datenfluß zu setzen. Das Kontrollprotokoll IGMP kann hier nicht helfen, da es von Router
SCHWERPUNKT: FIREWALLS
zu Router geschickt wird und nichts über den eigentlichen Sender aussagt. Zusätzlich kann nur das erste IGMP-Paket an einer Sitzung teilnehmen, da anschließend der Routing-Tree aufgebaut ist und keine IGMP-Meldungen mehr versandt werden. Bei Verwendung von Unicast-Paketen hat es die Firewall leichter, da sie das Vertrauen in die Teilnehmer einer Verbindung setzen kann. Bei Multicast-Sitzungen sind aber nicht alle Teilnehmer bekannt, wodurch man die Daten untersuchen muß. Dadurch ist die digitale Si-
lich ermöglicht es konfigurierbare Reaktionen auf abgelehnte Zugriffsversuche. SOCKS ist inzwischen ebenfalls um Multicast erweitert worden, das folgende Vorteile eröffnet: – Multicast SOCKS Server (MSS) kennt die Benutzeridentität desjenigen, der an der Sitzung teilnehmen möchte, da er sich authentifizieren muß. – Der MSS kennt neben der Gruppenadresse, an der der Client teilnehmen möchte, auch den Port, über den die Kommunikation stattfinden soll.
IPSec-Implementierung bei Secure VPN von 3Com
gnatur notwendig, die allerdings erheblich Performance fordert. Zusätzlich ist die Firewall dafür verantwortlich, daß interne Multicast-Pakete nicht nach außen gelangen und ungewollte Multicast-Pakete von außen nicht nach innen. Hinzu kommt, daß die Firewall in der Lage sein muß, dynamisch zu entscheiden, wann die Daten einer Gruppe ins interne Netz übertragen werden sollen und dann diese Übertragung vornehmen, wodurch teilweise die Funktionalität eines MulticastRouters übernommen wird. Im Zusammenhang mit der Realisierung von Proxies hat sich SOCKS, inzwischen in der Version 5, durchgesetzt. SOCKS bietet Protokollierung, die jedoch größtenteils auf dem Client stattfindet. Das ergibt Probleme bei der Speicherung an einem zentralen Ort, um die Daten später auswerten zu können. SOCKS protokolliert Verbindungsanfragen auf dem Server, bietet Zugangskontrolle anhand des Quell- und Zielrechners und des Protokolls. Zusätz-
86
L AN line 1/2000
– Der MSS kann ebenfalls – wenn nötig -Multicast-Pakete in Unicast-Pakete umwandeln. Die Verwendung von SOCKS bietet eine höhere Sicherheit beim Einsatz von Multicast-Paketen über eine Firewall an. Diese Lösung hängt jedoch stark vom eingesetzten Betriebssystem ab, da ausschließlich Unix diese Vorteile bietet. Gefahren lauern bei der Verwendung von Tunneln, um Multicast-Pakete zu empfangen und zu senden, da hierüber auch Unicast-Pakete geschickt werden könnten. Dies wird aber durch die vorhandenen mrouter-Codes bislang verhindert, so daß hier nur Multicast-Pakete akzeptiert werden. Bei Routern sollte man dies explizit überprüfen. Das Firewall-System muß weiterhin in der Lage sein, neben IPin-IP-Paketen genauso TCP-, UDP- und ICMP-Pakete zu erkennen. Sollte das Paketfilter IP-in-IP-Pakete nicht an dem Namen erkennen, kann man auch die Protokollnummer 4 angeben.
IPSEC ALS GEMEINSAMER NENNER Bei-
de Ansätze – Application und Network Coupled – können ebenfalls gemeinsam eingesetzt werden. Es macht beispielsweise Sinn, wenn die Verschlüsselung auf der Netzwerkschicht vorgenommen wird, und die Einhaltung der systemweiten Sicherheitsanforderung oder Parameterauswahl geschieht auf der Anwendungsschicht. IPsec verwendet die sogenannte Security Association (SA), welche die einzuhaltenden Sicherheitsparameter einer bestimmten Kommunikationsbeziehung, die durch ihre Zieladresse eindeutig definiert ist, festlegt und den Security-Parameter Index (SPI). Folgende Sicherheitsparameter können dabei definiert werden: – Algorithmus für Authentifikation und Verschlüsselung, – Schlüssel für Authentifikation und Verschlüsselung, – Initialvektor für die Verschlüsselung, – Gültigkeitszeitraum der Schlüssel und SA, – Senderadresse. Der Empfänger definiert dabei den SPI und den Inhalt der SA. IPsec ist ein relativ neuer Standard nach RFC-2401, der im Grunde aus der Entwicklung des IPv6-Protokolls kopiert wurde und einen Authentification Header (AH) und die Encapsulation Security Payload (ESP) enthält. Der gemeinsame Authentifikationsalgorithmus ist MD5. IPsec unterstützt auch Multicast, wobei die Multicast-Gruppe als Empfänger betrachtet wird, der die SA und SPI festlegt. Dafür muß ein Gruppenverantwortlicher definiert werden. Theoretisch könnte eine SA für die Multicast-Gruppe
Abkürzungsverzeichnis Authentification Header Computer Supported Co-operative Work ESP Encapsulation Security Payload ICMP Internet Control Message Protocol IETF Internet Engineering Task Force IGMP Internet Group Message Protocol IKE Internet Key Exchange IP Internet Protocol IPV4 Internet Protocol, Version 4 IPV6 Internet Protocol, Version 6 ISAKMP Internet Security Association and Key Management Protocol LAN Local Area Network MD5 Message Digest 5 MSS Multicast SOCKS Server PGP Pretty Good Privacy SA Security Association SKIP Simple Key management for Internet Protocols SPI Security Parameter Index SSH Secure Shell SSL Secure Socket Layer TCP Transmission Control Protocol TTL Time-To-Live UDP User Datagram Protocol WAN Wide Area Network AH CSCW
genutzt werden. Dies wird aber vermieden, da sich zusätzliche Angriffspunkte ergeben, wenn einige Nachrichten bekannt sind. Wenn AH symmetrische Verfahren wie MD5 nutzt, kann der Sender jeder aus der Multicast-Gruppe sein, da alle den gleichen Schlüssel verwenden. Wirkliche Authentifikation ist daher in diesem Zusammenhang nur möglich, wenn jeder Sender die digitale Signatur einsetzt. Die bisherigen Verfahren lassen aber ein Signieren aller Pakete nicht zu, da sie zu rechenintensiv sind. Abbildung 2 zeigt eine Implementierung von 3Com, wo IPsec für den Aufbau eines sicheren Virtual Private Networks (VPNs) durch das Internet verwendet wird. KEY-MANAGEMENT Nicht nur die Ver-
schlüsselungstechnik ist für die Sicherheit einer Kommunikationsbeziehung entscheidend, sondern auch das dazugehörige Key-Management. Hier ist es allerdings noch zu keiner Einigung bei der IETF ge-
kommen, wodurch sich folgende zwei Ansätze ergeben haben: – Schlüsselinformationen werden mit dem IP-Paket durch zusätzliche Header verschickt. – Separates Key-Management-Protokoll, welches auf der Anwendungsschicht aufsetzt. Zuerst hat man auf den ersten Ansatz gesetzt. Das Simple Key Management for Internet Protocols (SKIP) von Sun wurde anfangs favorisiert, inzwischen aber durch die Internet Security Association and Key Management Protocol (ISAKMP) von Cisco verdrängt. Ein konkreter Entwurf hiervon ist ISAKMP/Oakley, das in Internet Key Exchange (IKE) umbenannt wurde. IKE arbeitet in zwei Phasen, die sich in Authentifikation und Schlüsselaustausch sowie Schlüsseletablierung unterteilt. Aus einem Master-Schlüssel werden dabei mehrere symmetrische Schlüssel abgeleitet, die dann zur Verschlüsselung von Nachrichten dienen. In der zweiten Phase werden kryptographische Verfahren und die dazu notwendigen Schlüssel für beliebig andere Protokolle (etwa IPSec) ausgetauscht. Vorteilhaft ist, daß ohne großen Aufwand neue Schlüssel etabliert werden können und ebenfalls das Schlüsselverfahren gewechselt werden kann. Nachteilig ist, daß die bisherigen Entwicklungen nicht alle frei außerhalb Nordamerikas verfügbar sind.
Der Standard IPSec, der die Verschlüsselung auf Netzwerkebene durchführt, ist ein neuer sinnvoller Ansatz, da die Firewall weiterhin die IP-Pakete verarbeiten kann. Übernimmt allerdings die Firewall die Verschlüsselung, kommt es zu Performance-Problemen. So kann der Datenverkehr bei AH schon auf ein Zehntel der möglichen Gesamtrate sinken, während die Hinzunahme von ESP nochmals den gleichen Verlust bedeuten kann. Vor allem ESP verlangsamt den Datenverkehr erheblich. Für Videodaten wäre diese Möglichkeit aber unakzeptabel, da hier eine Echtzeitverschlüsselung eingesetzt werden müßte. Größtes Problem bei Multicast-Sitzungen ist noch die sichere Schlüsselverteilung und das Key-Management, welches noch unzureichend standardisiert ist. Aus diesem Grund gibt es noch keine Realisierungen oder Implementierungen. Multicast-Produkte nehmen aber immer mehr zu, so daß die Standardisierung der fehlenden Sicherheitsmechanismen nicht mehr lange auf sich warten lassen wird. (Kai-Oliver Detken/mw) Dipl.-Ing. Kai-Oliver Detken studierte Informationstechnik an der Universität Bremen. Heute ist er als Berater bei der Optinet GmbH (http://www.optinet.de) tätig und leitet das Competence Center Future Knowledge (CC-FK).
ZUSAMMENFASSUNG Firewall-Syste-
me sind heute auf Unicast-Verkehr ausgelegt und berücksichtigen Multicast-Pakete noch unzureichend. So ist beispielsweise SOCKSv5 immer noch ein Internet-Draft und kein abgeschlossener Standard. Es gibt zwar Lösungen, wie Firewall-Systeme mit Multicast umgehen können, die aber von der Unternehmenspolitik beziehungsweise den Anforderungen abhängen. Die höchste Sicherheit kann jedoch nur dann erreicht werden, wenn Authentifikation und Verschlüsselung eingesetzt wird. Probleme entstehen dabei nur, wenn die Verschlüsselung außerhalb der Firewall durchgeführt wird, da die Identität und die Kontrolle des Datenstroms verloren geht. Diesen Verkehr darf man nicht zulassen.
Literaturhinweis [1] Dr. Carsten Bormann, Nils Seifert: Multicast – Rundfunk in IP-Netzen; Gateway 11/98; Computerwoche Verlag; München 1998 [2] Detken, Kai-Oliver: Sicherheitsmechanismen für Internetumgebung; 63. Aktualisierung “Telekommunikation”, Mai 217563, Interest-Verlag, ISBN 3-8245-2175-8; Augsburg 1999 [3] Detken, Kai-Oliver: Local Area Networks – Grundlagen, Internetworking und Migration; ISBN 3-7785-3911-6; HüthigVerlag; Heidelberg 1999 [4] Eekhoff, Reckziegel: Analysis and Assessment of Secure Mechanisms for the Building of a Secure Server Network; Diplomarbeit der Hochschule Bremen; 1999
L AN line 1/2000
87
SCHWERPUNKT: FIREWALLS
ZENTRALE SYSTEME MÜSSEN LAUFEN
Hochverfügbarkeitslösungen für Firewalls Hochverfügbarkeit besagt, daß ein System oder eine Funktionalität des Systems nahezu ohne Ausfallzeiten zur Verfügung steht. Deshalb müssen hochverfügbare Systeme immer mindestens doppelt ausgelegt sein. Eine weitere Anforderung besteht darin, daß im Fehlerfall kein manueller Eingriff für die Wiederherstellung der Funktion notwendig sein sollte, da lange Ausfallzeiten die Folge wären. Es bieten sich verschiedene Verfahren der Verfügbarkeit an.
old Standby-Systeme sind die einfachsten und ältesten, aber zugleich auch wirkungslosesten Systeme. Im ColdStandby-Betrieb wird zum Produktivsystem ein baugleiches Ersatzsystem als Backup bereitgehalten. Gibt es ein Problem mit dem ersten System, wird es abgeschaltet und das zweite manuell hochgefahren. Die Nachteile sind offensichtlich. Zum bestehenden System muß das zweite System vorgehalten werden und zusätzlich Personal für die Überwachung. Eine komfortablere Lösung bieten HotStandby-Systeme. In diesem Fall steht eine zweite Maschine bereit, die mit Hilfe entsprechender Software die Funktion der ersten überwacht. Wird eine Fehlfunktion festgestellt, übernimmt die zweite Maschine die Initiative und damit alle Funktionen der ersten. Ist jedoch die erste Maschine nicht wirklich “down”, sondern nur zeitweise abwesend, kann es in dieser Lösung zu zusätzlichen Konflikten kommen. Die wirklich befriedigende, aber meist nicht ganz billige Lösung ist es, ein HASystem (High Availability) im Parallelbetrieb zu fahren. Unter Kostengesichtspunkten ist sie dennoch die günstigste Lösung, da alle beteiligten Systeme gleichzeitig zur Funktionalität des Gesamtsystems beitragen und ihre volle
C
88
L AN line 1/2000
Leistungsfähigkeit zur Verfügung stellen. Nur im Fehlerfall muß ein System die Aufgaben des gerade nicht zur Verfügung stehenden Systems übernehmen. Daraus resultiert natürlich ein kurzfristiger Performance-Verlust, aber die Funktionalität bleibt vollständig erhalten. HOCHVERFÜGBARKEIT FÜR FIREWALLS Firewall-Systeme stellen oft ein
Zwitterwesen aus Router und Server dar. Sie arbeiten als Paketfilter und zugleich als Application-Level-Gateways, was einem Server-System ähnlich ist. Zusätzlich kommt auf Firewall-Systemen spezielle Software zum Einsatz, die in der Regel sehr eng mit dem Betriebssystem verknüpft ist. Darüber hinaus bestehen Firewall-Systeme oft aus mehreren Komponenten, die Sicherheit garantieren. Alle diese Komponenten müssen daher redundant ausgelegt werden. HA-Lösungen für Firewall-Systeme müssen diesen Rahmenbedingungen Rechnung tragen: – Die HA-Lösung darf die Sicherheitsfunktionen des Firewall-Systems auf keinen Fall beeinträchtigen. – Die HA-Lösung muß sowohl Routingals auch Server-Funktionen hochverfügbar halten. – Die HA-Lösung muß auch für komplexere Systeme aus mehreren Komponenten die Ausfallsicherheit garantieren.
Diesen Anforderungen gerecht zu werden, ist auch für versierte Firewall-Experten keine leichte Sache. Daher ist der Markt an Lösungen auch noch sehr überschaubar. PAKETFILTER: DER EINFACHE WEG
Firewall-Systeme, die als reine Paketfilter arbeiten (reine Router-Lösungen, die meisten Firewall-1-Installationen, CiscoPix etc.) sind relativ einfach redundant auszulegen. Für sie gelten ähnliche Regeln wie für Router. Der zugrundeliegende Vorgang wird dynamisches Routing genannt. Dabei wird das interne System per dynamischem Routing-Protokoll mit den Firewalls gekoppelt. Diese Aufgabe übernimmt in der Regel ein interner Zentral-Router. Nebenbei wird mit dieser Anordnung auch Load-Balancing, die ausgewogene Verteilung der anfallenden Datenlast auf mehrere Systeme, erreicht. Der interne Router wird so konfiguriert, daß er bei gleicher Routing-Metrik alle Firewall-Systeme gleichermaßen mit Paketen versorgt. Leider versagt dieses Verfahren jedoch schon bei Systemen, die per Stateful-Packet-Filtering alle Pakete einer Verbindung zuordnen wollen. Geht ein Paket an die eine Firewall und eines an die andere, wird der StatefulPaketfilter seinen Dienst verweigern. Firewall-1 sieht für diese Möglichkeit vor, Änderungen in der Statetable an andere Systeme zu übermitteln. Wie zuverlässig das System bei 100 MBit/s Datendurchsatz noch funktioniert, bleibt jedoch offen. Eine Alternative ist hier der Firewall-1-Fast-Mode, in dem das Stateful-Packet-Filtering weitgehend abgeschaltet wird. APPLICATION-LEVEL-GATEWAYS We-
sentlich schwieriger gestaltet sich eine Hochverfügbarkeitslösung auf Basis von Application-Level-Gateways (ALG), der höheren Stufe einer Firewall. Sie arbeiten anders als Paketfilter nicht auf Ebene 3 und 4 des OSI-Schichtenmodells, sondern auf Ebene 7. Übersetzt bedeutet das, es werden per Definition keine Pakete über die Firewall übertragen,
sondern lediglich Daten. Für das Endsystem stellt sich das Firewall-System nicht mehr als Router, sondern als Server-System dar. Application-Level-Gateways gelten als die sicherste Firewall-Architektur, weil keine direkten Verbindungen zwischen Systemen vor und hinter der Firewall möglich sind. Leider wird damit auch der Aufbau einer Hochverfügbarkeitslösung sehr viel komplizierter. Plötzlich reicht es nicht mehr, RoutingProtokolle auf Redundanz auszulegen, sondern ganze Dienste (FTP, HTTP) müssen angepaßt werden. ApplicationLevel-Gateways haben eigene Adressen, die von Client-Systemen angesprochen werden. Bei mehreren Systemen müssen demzufolge auch mehrere Adressen immer erreichbar sein. Für eine reine HA-Lösung heißt das, daß für Application-Level-Gateways nicht nur der Dienst eines Systems, son-
dern auch dessen IP-Adressen übernommen werden. Das Ziel besteht darin, daß die HA-Lösung Dienste wie DNS, E-Mail, Web-Proxy, Authentisierung, VPN etc. sicher an andere Systeme übergeben kann. Ein weiteres Problem liegt darin, daß in HA-Lösungen für Application-LevelGateways auch keine generischen Protokolle wie OSPF zur Verfügung stehen, um den Zustand des Systems zu übermitteln. Proprietäre Protokolle müssen mit großem Entwicklungsaufwand erstellt werden, um den Zustand eines Systems an die anderen zu übertragen. MEHRSTUFIGE FIREWALLS Nicht zu-
letzt durch die Empfehlungen des BSI (Bundesamt für Sicherheit in der Informationstechnologie) ist die sogenannte P-A-P-Struktur (Paketfilter-ApplicationLevel-Gateway-Paketfilter) zum Standard für den Einsatz von Firewall-Syste-
men in Hochsicherheitsbereichen geworden. In einer P-A-P-Konfiguration muß nicht nur lediglich ein Firewall-System, sondern ganze drei hochverfügbar ausgelegt werden. Dabei kann man nur durch eine Kombination von mehreren Methoden ein befriedigendes Ergebnis erzielen. Dynamische Routing-Protokolle werden mit aktiven Überwachungseinheiten und Übernahmefunktionen für Dienste und Adressen kombiniert. Zusätzlich kommen Protokolle wie VRRP oder BGP zum Einsatz. Nur so kann die gesamte Kette der P-A-P zuverlässig abgesichert werden. In einer Kombination von mehreren Sicherungskomponenten muß eine Komponente die Schlüsselrolle übernehmen. Sie entscheidet, ob die Kette der verbunden Komponenten funktioniert oder nicht. Diese Rolle kommt in der Regel dem ALG zu, da hier die komplexen Dienste konfiguriert sind. Wird von hier
L AN line 1/2000
89
SCHWERPUNKT: FIREWALLS
aus eine Fehlfunktion der Kette P-A-P festgestellt, wird der gesamte Betrieb einer Kette von der zweiten übernommen. Dies läßt sich durch den Einsatz von
als Router oder Bridges und werden den redundanten Firewall-Systemen vorgeschaltet. Das Firewall-System selbst ist dabei nicht zu modifizieren, da die Fire-
Doppel-Firewall aus Paketfilter und ALG: Durch den Einsatz der Genugate-Cluster wird das Firewall-System Genugate zur integrierten HA-Lösung mit Parallelbetrieb und Load-Balancing.
OSPF zwischen dem ALG und dem Paketfilter realisieren, wenn das ALG seine Adressen von einer Kette zur nächsten übergibt. Freilich gilt auch hier die Maxime, daß keine beteiligte Komponente außer Acht gelassen werden darf. Interne und externe Router sind per VRRP redundant auszulegen und als Doppelsysteme einzusetzen. LÖSUNGEN FÜR FIREWALLS Momentan sind wenige funktionierende Lösungen auf dem Markt, einige seien hier kurz vorgestellt: – Fireproof: Die israelische Firma Radware bietet mit Fireproof eine Hardware-Box an, die eigentlich ein Abkömmling der LocalDirector-Familie dieses Unternehmens ist. Ursprünglich wurde sie für die Hochverfügbarkeit von Web-Servern entwickelt. Die Fireproof-Boxen arbeiten
90
L AN line 1/2000
proof-Boxen abwechselnd TCP-Verbindungen jeweils dem einem und dem anderen Firewall-System zuordnen. Funktioniert ein System nicht mehr, werden alle Verbindungen über das zweite System geroutet. Die Firewall-Systeme sind dabei weitgehend identisch konfiguriert. Was in dieser Konfiguration fehlt, ist der Konfigurationsabgleich zwischen den Firewall-Systemen. Schon bei zwei Systemen wird es schwierig, die Systemkonfiguration konsistent zu halten. Möchte man mehr als zwei Firewalls bedienen, ist eine saubere Konfiguration der Gesamtanlage nicht mehr ohne großen Aufwand möglich. – Stonebeat: Stonebeat ist eine nur für Firewall-1 konzipierte HA-Lösung, die bis zur Version 2 lediglich für den Einsatz im HotStandby-Betrieb vorgesehen war. In der
Version 3 wir auch Load-Balancing und Parallelbetrieb von mehreren Firewall-1Systemen möglich sein. Stonebeat stellt im wesentlichen die Synchronisation der Statetables der Stateful-Inspection sowie die Verfügbarkeit der Systeme selbst zur Verfügung. Der Konfigurationsabgleich wird über die Download-Funktion der FW-1-Management-Konsole realisiert. Weitere Firewall-Komponenten lassen sich mit Stonebeat nicht überwachen. – Genugate Clustering: Die deutsche Firma Genua bietet mit den Genugate-Clustern eine in ihr eigenes Firewall-System Genugate intergrierte HA-Lösung mit Parallelbetrieb und Load-Balancing an, die dem Charakter der Genugate-Lösung als DoppelFirewall aus Paketfilter und ALG Rechnung trägt (P-A). Hier kommen alle Methoden der HA-Schule zum Einsatz. OSPF im internen Netz, VRRP auf angeschlossenen Routern und eine vollständige Funktionsübernahme mit Adressen und Diensten auf dem Application-Level-Gateway. Zusätzlich wird von dem System der Konfigurationsabgleich zwischen den beteiligten Systemen im Cluster sichergestellt. Loadbalancing wird über mehrfache DNS-Einträge erreicht und ist auf Verbindungsebene realisiert. Es gibt keine Grenze für die Anzahl der parallel arbeitenden Systeme. TOTALE AUSFALLSICHERHEIT Hoch-
verfügbarkeitslösungen für Firewalls sind möglich und machbar, einfach sind solche Lösung jedoch nie. Insbesondere in Hochsicherheitsbereichen, in denen mehrere Firewall-Systeme in Reihe geschaltet werden, wird mit Hochdruck an wirksamen Lösungen gearbeitet. Totale Ausfallsicherheit gibt es nicht, aber man kann ihr sehr nahe kommen. Hat man durch intensiven Kapitaleinsatz seine eigenen Firewall-Systeme fast ausfallsicher konfiguriert, bleibt immer noch die Anbindung an den Provider als Schwachstelle. (Dr. Magnus Harlander/mw) Dr. Magnus Harlander ist technischer Geschäftsführer der Genua GmbH.
SCHWERPUNKT: FIREWALLS
HOCHVERFÜGBARE SICHERHEIT
Eine Frage der Stabilität Je wichtiger das Internet für eine Organisation wird, um so bedeutsamer ist eine stabile und dauerhaft verfügbare Firewall. Nicht selten gehört heute E-Mail oder die Verfügbarkeit des eigenen Web-Servers zu den essentiellen Anforderungen an den IT-Bereich.
ie Qualität der lokalen oder standortübergreifenden Vernetzung ist ein entscheidender Produktivitätsfaktor für ein Unternehmen. Sie zeichnet sich insbesondere durch die ständige Verfügbarkeit der Dienste aus, die im Netzwerk angeboten werden. Der Ausfall des Web-Servers zum Beispiel, über den die Produkte des Unternehmens den Kunden zum Verkauf angeboten werden, kann rasch zu beträchtlichen finanziellen Einbußen führen. Internet-Dienste wie Web-Proxy-Server zur Informationsbeschaffung oder Mail-Server zur Kommunikation mit externen Partnern müssen ebenso wie das VPN über das Internet zu wichtigen Geschäftspartnern rund um die Uhr zur Verfügung
D
stehen. Auch die Firewall-Software als wichtige Komponente für die Netzwerksicherheit eines Unternehmens muß an sieben Tagen der Woche 24 Stunden lang ihren Dienst tun. Von einer hochverfügbaren FirewallUmgebung kann daher nur gesprochen werden, wenn alle ihre Komponenten ständig zur Verfügung stehen. In der Praxis wird es aber immer wieder zum Ausfall der einen oder anderen Komponente kommen. Ursachen hierfür sind häufig Hardware-Probleme wie zum Beispiel ein Festplatten-Crash oder der Ausfall eines Routers. Aber auch die Anwendungsdienste selbst können beispielsweise in Folge von Ressourcenmangel oder fehlerhaften Konfigurationsänderungen für
Internet
Heartbeat Gate a
Gate b
Management
Zwei Firewall-Gateways wurden zusammensgeschaltet, so daß im Fehlerfall das eine jeweils die Funktionen des anderen übernehmen kann
92
L AN line 1/2000
einen gewissen Zeitraum nicht mehr zur Verfügung stehen. Hieraus ergibt sich die Forderung nach dem redundanten Ausbau aller Komponenten einer FirewallUmgebung. Dazu gehört das redundante Vorhandensein von Hardware (also Netzwerkkomponenten wie ZugangsRouter, Hubs oder Netzwerkkarten sowie Server und deren Peripherie wie etwa Festplatten) auf der einen Seite sowie von Software (zum Beispiel Proxy-Server oder Firewall-Software) auf der anderen Seite. Sollte es zum Ausfall einer Komponente in der Firewall-Umgebung kommen, übernimmt die redundante Komponente nahtlos deren Funktion, so daß für den Anwender weiterhin alle Dienste wie gewohnt zur Verfügung stehen. Solange jedoch nicht geklärt ist, wie die redundante Komponente erkennen kann, daß ihr Gegenstück nicht mehr zur Verfügung steht und sie jetzt dessen Funktion zu übernehmen hat, kann von Hochverfügbarkeit nicht gesprochen werden. Einige dieser Techniken werden im Verlauf dieses Artikels vorgestellt. Folgende Fragen sollten bei der Konzeption beziehungsweise Planung von High-Availability-Firewalls beachtet werden: – Welche Elemente der Firewall müssen hochverfügbar sein? – Müssen Schnittstellen, Router oder Netzwerke ebenfalls betrachtet werden? – Welche Techniken liefern die hohe Verfügbarkeit? – Wie werden Konfigurationen oder Benutzerdaten zwischen eventuell redundanten Systemen abgeglichen? – Welche neuen Angriffsmöglichkeiten oder Sicherheitsrisiken entstehen durch die verwendeten Techniken? – Ist neben der Redundanz auch eine Lastverteilung gewünscht oder möglich? Die ersten beiden Fragen betreffen die Komponenten des gesamten Systems. Bei einer Internet-Firewall sind dies typischerweise die Verbindung ans Internet über Provider mit Wähl- oder Standleitungen, der Zugangs-Router eines oder mehrere Firewall-Gateways, Filter und
SCHWERPUNKT: FIREWALLS
Proxies sowie eventuell interne Router. Hinzu kommen je nach Anforderungen Authentifikations-Server, Intrusion-Detection-Systeme, Log-Hosts etc. Zwischen den Komponenten befinden sich Netzwerksegmente, Hubs und eventuell Switches, die ebenfalls betrachtet werden müssen. Die möglichen Techniken zur Realisation von HA-Firewalls können sehr unterschiedlich sein. Aus dem Server-Bereich kennt man bereits seit langem HASysteme oder Cluster, die man als Plattform für einzelne Komponenten verwenden könnte. Unter Umständen sind diese Systeme jedoch teurer und erfüllen die speziellen Anforderungen nicht so gut wie andere Lösungen. Der klassische und nach wie vor flexibelste Weg für Systeme wie die Firewall1 von Checkpoint sind spezielle Zusatzprodukte, die zwei Firewall-Gateways so zusammenschalten, daß beide Gateways aktiv sind und im Fehlerfall das eine jeweils die Funktion des anderen übernehmen kann. Im Fall von Stonebeat für die Firewall-1 werden zwei Firewall-Filter identisch installiert und parallel geschaltet. Im normalen Betrieb kann die Netzwerklast statisch über beide Systeme verteilt werden. Damit beide Firewalls gleich konfiguriert werden können, trennt man in der Regel das Firewall-Management von den beiden Filtern und stellt eine dritte Maschine in ein Managementnetz zwischen die beiden Firewalls. Auf dieser Managementmaschine werden dann die Regeln und Benutzer gespeichert und von dort auf die eigentlichen Filter geladen. Falls die Managementmaschine selbst ausfällt, können die Filter autonom weiterlaufen, ohne daß die Verfügbarkeit des Gesamtsystems betroffen wird. Besonders kostengünstig können HAFirewalls mit Hilfe von speziellen und standardisierten Protokollen wie HSRP (Hot Standby Routing Protocol) und VRRP aufgebaut werden. Dabei können sich zwei Router oder Firewalls gegenüber den angeschlossenen Rechnern
94
L AN line 1/2000
wie ein einziger Router darstellen. Die Gateway-Adresse, welche die Server in ihren Routing-Tabellen verwenden, kann bei Bedarf automatisch von dem
Damit kann eine hochverfügbare Firewall realisiert werden, ohne daß zusätzliche Software-Produkte benötigt werden. Schon die Nokia-IP-Geräte
HSRP router-x
router-y
Virtueller router-a HA-Firewalls können mit Hilfe von Protokollen wie HSRP oder VRRP aufgebaut werden
aktiven Router auf den bisher inaktiven Router übernommen werden. HSRP kommt von Cisco Systems und wird von nahezu allen Cisco-Routern unterstützt. In sehr ähnlicher Form wird dieses Prinzip von anderen Herstellern, beispielsweise Nokia-IP, unter dem Namen Virtual Router Redundancy Protocol (VRRP) verwendet. Die Nokia-IP-Geräte sind prinzipiell Router, die über eine vollständige Implementation der Firewall-Module von Checkpoint verfügen. Über VRRP können zwei solcher Firewall-Router parallel geschaltet und von allen Seiten als ein virtueller Router betrachtet werden.
Die folgende Liste zeigt einige der Möglichkeiten für HA-Firewalls: – – – – –
HA-Server und Cluster, dynamisches Routing, HSRP/VRRP, intelligente Hubs und Switches, spezielle Software für einzelne Firewalls, – Verbindungsverteiler/Dispatcher, – HA auf Anwendungsebene.
selbst bieten eine sehr einfache Installation und Wartung, da gegenüber einer Unix- oder NT-basierten Firewall nahezu keine Betriebssystem-Kenntnisse nötig sind. In der Praxis kann man nicht generell sagen, daß eine HA-Technik für Firewalls für sich alleine betrachtet besser oder schlechter geeignet ist. Häufig muß eine hochverfügbare Firewall auch eine hoch sichere Firewall sein, was bedeutet, daß sie mehrstufig aus unterschiedlichen Produkten aufgebaut ist. Dementsprechend wird man auch mehrere der obigen Techniken auf verschiedenen Ebenen kombinieren. Besondere Anforderungen werden bei derartig komplexen Firewalls auch an die Überwachung und den Betrieb des Gesamtsystems gestellt. Um die Firewall später mit vertretbarem Aufwand betreuen zu können, wird man beispielsweise um eine Integration von Directory-Servern zur übergreifenden Verwaltung von Benutzer-IDs innerhalb der Firewall oder um den Aufbau eigener Überwachungsund Visualisierungs-Tools nicht herumkommen. (Steffen Gundel, IT Security Consultant bei Integralis Centaur/mw)
SCHWERPUNKT: FIREWALLS
SICHERHEITSKONZEPTE ÜBERPRÜFEN
Abwehrstrategien fürs Internet Das Internet ist wirtschaftlich, da es weltweit existiert und flächendeckende Zugänge zum Ortstarif zur Verfügung stellt. Da aber die Sicherheit im Internet durch aktive und passive Angriffe gefährdet wird, ist ein ganzheitliches Konzept notwendig, um alle Sicherheitslücken ausklammern zu können.
er Übergang des internen zum externen Netz muß durch Firewall-Lösungen gesichert werden. Firewall-Systeme können aber nur die Verbindungen vom Intranet zum Internet schützen. Eine universelle Sicherheit gibt es dabei nicht, da auch komplexe Systeme verwundbar sind. Zusätzlich können sie auch nur so sicher sein wie die Teilnehmer und Administratoren mit den Systemen umgehen. Das heißt, wie verantwortungsbewußt sind Paßwörter abgesichert, können Einträge durch den Netzwerkverwalter vorgenommen werden, und welche Dienste sind zugelassen. Ein gutes Beispiel ist dabei das Zulassen von Hintertüren, sogenannten Trapdoors. Diese Hintertüren führen direkt an der Firewall vorbei und lassen sich nicht kontrollieren. Sicherheitskonzepte sollten dies in jedem Fall berücksichtigen. Weiterhin liegen Angriffe von innen auf das Netz oder die Firewall im Bereich des Möglichen. Dies kann fatale Folgen haben, wobei es keinen Schutz vor solchen Fällen gibt. Die Firewall schützt das interne sichere Netz und kennt keine Mechanismen, auch noch die Kommunikation aus dem sicheren Netz heraus zu kontrollieren beziehungsweise Gegenmaßnahmen einzuleiten. Angriffe über den Inhalt von Anwenderdaten sind eine weitere Gefahr. Das heißt, Viren lasen sich beispielsweise über Textdokumente unbemerkt eingeschleusen, die dann Sicherheitslücken verursachen. Zusätzliche Probleme verursachen ActiveXund CGI-Skripts, die unbemerkt Informa-
D
96
L AN line 1/2000
tionen nach außen weiterleiten. Diese Art der Kommunikation sollte deshalb nicht erlaubt werden, wenn man eine erhöhte Sicherheit bevorzugt.
SICHERHEITSKONZEPTE Damit die Absicherung durch Firewall-Systeme auch eine entsprechende Wirkung hat, muß vorab ein Sicherheitskonzept erstellt werden. Erst dieses wird eine effiziente Lösung mit dem zugesicherten Sicherheitsstandard ermöglichen. Um letztendlich offene Sicherheitslücken erkennen und abschätzen zu können, sind unabhängige Sicherheitsgremien wie das Computer-Emergency-Response-Team (CERT) vorhanden, die kontinuierlich nach Mängeln suchen. CERT wurde 1988 von der DARPA gegründet und hat in Verbindung mit diversen Schwesterorganisationen die Aufgabe, Informationen über Sicherheitsaspekte und -vorfälle im Internet zu sammeln und zu veröffentlichen. Das CERT-Koordinationszentrum studiert Sicherheitsmängel im Internet und liefert Attackenbeschreibungen. Darüber hinaus werden Sicher-
Angriffstypen – VIREN: Befallen Programme und verbreiten sich über diese weiter, indem sie meist den ausführbaren Code des Kernels modifizieren. Wird das infizierte Programm ausgeführt, versucht das Virus, weitere Programme zu infizieren. – WÜRMER (WORMS): Breiten sich in einem Netz selbständig von Knoten zu Knoten aus, ohne jedoch andere Programme zu infizieren und richten im allgemeinen keinen Schaden, außer einen erhöhten Verbrauch der Ressourcen an. – TROJANISCHE PFERDE (TROJAN HORSES): Programme, die von Benutzern ausgeführt werden und dabei anstelle der gewünschten Aktion andere unbeabsichtigte Seiteneffekte hervorrufen. – LOGISCHE BOMBEN (LOGIC BOMBS): Werden meist in anderen ausführbaren Programmen versteckt und werden durch bestimmte Bedingungen ausgelöst, beispielsweise an einem bestimmten Tag, oder wenn ein Mitarbeiter nicht mehr auf der Gehaltsliste steht. Meistens zerstören sie dann Daten oder setzen Viren frei. – HINTERTÜREN (TRAPDOORS): Programmteile, mit deren Hilfe ein Zugriff auf das System unter Umgehung der Authentisierungsverfahren oder mit erhöhten Privilegien ermöglicht wird. – SNIFFING: Abhören des Datenverkehrs zwischen Server und Client. Ist es einem Hacker gelungen, Nachrichten und somit auch Log-on-Informationen eines Benutzers abzuhören, kann er diese Informationen verwenden, um sich fälschlicherweise als dieser User auszugeben (Spoofing). – IP-SPOOFING: Beim IP-Spoofing wird eine IP-Adresse vorgetäuscht oder gefälscht. Applikationen, die IP-Adressen-basierende Authentifikation durchführen, sind damit verwundbar. Dadurch ist es möglich, sich für einen anderen Teilnehmer auszugeben, indem man ihm die Adresse vorher entwendet hat. – REPLAY: Ein altes Paket wird in den Datenstrom wieder eingebracht und erscheint als gültig. – TCP-(SESSION-)HIJACKING: Aufgebaute aktive Verbindungen von berechtigten Benutzern werden nach der Authentifikation übernommen. – AUFSPÜREN VON MOBILEN CODES: Die steigende Nutzung von Java-Applets im Internet birgt neue Gefahren wie beispielsweise das Decompilieren von Bytecode (zum Beispiel Bytecode (Java-Quellcode)). Somit kann ein heruntergeladener Code (Paßwörter, Urkunden, Seiteninformationen, Adressen etc.) bezüglich seiner Sicherheitslücken untersucht und damit auch angreifbar werden.
heitsalarme und Forschungsinhalte bezüglich der Sicherheit veröffentlicht. Dadurch hilft das CERT den Teilnehmern am Internet gegenüber Hackern und Crackern zu widerstehen und Risiken zu erkennen. Das CERT-Koordinationszentrum ist Teil des Networked-Systems-Survivability-Program des Software Engineering Institute der Carnegie Mellon Universität. Unter der URL-Adresse http://www.cert.org sind detaillierte Informationen verfügbar. Die stetig steigenden Sicherheitsanforderungen und die Notwendigkeit, den immer neu bekannt werdenden Schwachstellen entgegenzuwirken, erfordert von Verantwortlichen und Systemadministratoren ein immer höheres Maß an Arbeit. Insbesondere bei dem Management von größeren Rechnernetzen, in denen verschiedene Betriebssysteme von unterschiedlichen Herstellern eingesetzt werden, zeigt sich dabei oft eine Mangel an Know-how, Personal und/oder Zeit, was dazu führt, daß diese Aufgabe nur unzureichend erfüllt wird. Obwohl die Beschaffung und Installation neuer Patches und die möglichst sichere Konfiguration von Rechnern ein elementarer Bestandteil der Administration sein sollte, können durch die Komplexität und Vielfalt der eingesetzten Systeme Fehler nie ausgeschlossen werden. So kann es durchaus passieren, daß altbekannte Sicherheitslücken auf einzelnen Rechnern in einem Netz noch nicht behoben wurden, weil sie beispielsweise bei der Änderung der Konfiguration nicht im Netz waren. Um eine möglichst hohe Sicherheit erreichen zu können, sind Sicherheitsaspekte wie Schutz des Netzwerks vor unbefugtem Eindringen und Sicherstellen der Netzwerkverfügbarkeit grundsätzlich zu beachten. Sicherheitskonzepte für lokale Netzwerke können sich auf eine Vielzahl von unterschiedlichen Ansätzen stützen. Jede Technologie arbeitet dabei auf ihre spezielle Art und Weise und weist eigene Vor- und Nachteile auf. ANGRIFFS-TOOLS ZUM ERKENNEN VON SICHERHEITSLÜCKEN Zusätzlich
sind Tools verfügbar, um die Sicherheitsmechanismen des eigenen Netzes zu überprüfen. Teilweise ist diese Software
kostenlos erhältlich, so daß aber auch die Gefahr besteht, daß Laien diese Tools nutzen, um Angriffe zu fahren. Dies erhöht natürlich das Gesamtrisiko, daß unbefugte Nutzer in das eigene Netz einbrechen können. Die Tools können in folgende Kategorien eingeteilt werden: – Security-Scanner, – Remote-Administration-Tool, – spezielle Attacken wie etwa Denial of Service. Security-Scanner überprüfen Schwachstellen in den Rechnern des Netzes; diese können sowohl die Konfigura-
SATAN
GUI für die Server-Konfiguration
tion betreffen als auch Anwendungen und Dienste. Gute Tools unterstützen den Administrator bei der Behebung der Sicherheitslücken. Das bekannteste und älteste Tool dieser Art ist das Security-Administrator-Tool for Analyzing Networks (Satan), das von Dan Farmer und Wietse Venema entwickelt und verbreitet wurde. Einmal gestartet, kann sich der Administrator Schwachstellen eigener oder per Netzwerk erreichbarer Systeme anzeigen lassen. Insbesondere letzteres hat zu heftigen Diskussionen und Kontroversen und nicht zuletzt deswegen zu einer hohen Bekanntheit von Satan geführt. Die Aufregung war offenbar großteils von Medien entfacht, die in Satan eine weitere Mög-
lichkeit sahen, das von der Öffentlichkeit mit argwöhnischen Augen betrachtete Internet als einen Ort darzustellen, der überwiegend von skrupellosen Crackern besiedelt wird. Tatsächlich deckt Satan nur sehr oberflächliche Sicherheitslücken auf, die den meisten Administratoren und natürlich auch Crackern schon bekannt sind. Satan versetzt den unerfahrenen Administratoren in die Lage, die Sicherheit seines Netzes durch automatische Einbruchsversuche zu testen und gibt ihm erste Hinweise, was an seinem System noch besser geschützt werden muß, um möglichen Crackern den all zu leichten Zugang zu verwehren. So liefert Satan, nachdem die Verwundbarkeiten des Systems aufgedeckt wurden, auch sogleich Lösungsvorschläge, um die Sicherheitslücken erfolgreich zu schließen. Allerdings ist Satan nicht weiter entwickelt worden. Sein Nachfolger heißt Saint und ist ebenfalls frei verfügbar. Es besitzt ein komfortables HTML-Front-end, um es über einen Browser bedienen zu können. Durch den Einsatz via Browser ist es praktisch für alle Plattformen einsetzbar. Andere Tools testen beispielsweise den Paßwortschutz. Cops, ein Software-Paket zur Analyse von Schwachstellen in Unix-Systemen, beinhaltet Crack, welches schwache Paßwörter findet. TROJANISCHE PFERDE UND HINTERTÜREN: BACK ORIFICE UND NETBUS
Back Orifice (BO) ist ein Trojanisches Pferd, das von der Hacker-Gruppe Cult-ofthe-Dead-Cow (CDC) geschrieben wurde und seit August 1998 im Internet verfügbar ist. Auch wenn es von CDC (http://www. cultdeadcow.com) als Remote-Administration-Tool (RAT) bezeichnet wird und Microsoft das Programm nicht als gefähr-
L AN line 1/2000
97
SCHWERPUNKT: FIREWALLS
lich eingeschätzt hat, handelt es sich bei diesem Tool neben Netbus um eine der stärksten Bedrohungen, die es zur Zeit im Internet gibt. Back Orifice besteht aus einem Server- (bo2k.exe) und einem ClientProgramm (bo2kgui.exe), welches zur Remote-Bedienung von Rechnern in einem Netzwerk (Intra- oder Internet) eingesetzt werden kann. Zur Konfiguration des Server-Programms existiert noch ein weiteres leicht bedienbares Programm (bo2kcfg. exe). BO installiert sich selbst und kann an andere Programme angehängt werden, so daß eine Verbreitung unbemerkt erfolgt. BO wird in der Task-Liste nicht angezeigt
– Aktivieren eines HTTP-Servers (auf einem beliebigen Port), – Manipulationen am File-System wie Kopieren, Löschen, Umbenennen und Suchen, – Modifikation von Registry-Schlüsseln und -Werten, – Netzwerkkontrolle (inklusive Umleiten von Paketen!), – Monitoring von Netzwerkpaketen (mit Plug-in BUTTSniffer), – Scannen eines Netzes nach aktiven BOServern. Zusätzlich besitzt Back Orifice ein Plugin-Interface, über das ein beliebiger Programmcode unentdeckt ausgeführt werden kann. Über diese Schnittstelle ist BO jederzeit in der Lage, sich Remote auf den neusten Stand zu bringen. BO nutzt in der DefaultEinstellung den Port 31337 des UDP-Protokolls. Allerdings kann die Port-Nummer beliebig verändert werden. Es gibt konkrete Untersuchungen, die zeigen, daß Back Grafische Oberfläche von Back Orifice unter Windows 95/98/NT Orifice beim Scannen des Netzes auf und beim Hochfahren des Rechners unter aktive Server, jede gefundene Adresse per einem beliebigen Namen gestartet. Wäh- HTTP an http://www.netninja.com sendet. rend der BO-Client auf allen möglichen Auf diese Weise besteht die Möglichkeit, Betriebssystemen lauffähig ist, gibt es den dort eine riesige Datenbank mit aktiven BO-Server momentan nur für Windows BO-Servern aufzubauen. Dies und die Massenverbreitung des Tools als Trojani95/98. Back Orifice verfügt unter anderem über sches Pferd zeigen eindeutig, daß Back Orifice nicht nur friedlichen Zwecken diefolgende Funktionalitäten: nen soll. Weitere Hinweise darauf sind das – Aufzeichnen von Tastatureingaben, – Steuern von Multimedia-Funktionen Verstecken des Servers und die nicht vorwie etwa das Erstellen von Screenshots, handene Dokumentation sowie die VerBedienung angeschlossener Videoka- weigerung von Support-Leistungen durch den Hersteller. meras etc., Inzwischen gibt es außerdem noch Er– Re-Booten des Rechners, – Auslesen von Systeminformationen gänzungs-Tools für BO, die folgende Bewie beispielsweise CPU, Windows- zeichnung und Aufgaben haben: Version, Paßworte, Netzwerkzugän- – Speakeasy: Ein IRC-Plug-in, das gesichertes Einloggen in einen vorher defige etc.,
98
L AN line 1/2000
nierten Server ermöglicht und die IPAdresse des Hosts weitergibt. – Silk Rope: Ein Packager, der es ermöglicht, BO an fast jedes beliebige Programm zu binden. – Saran Wrap: Ebenfalls ein Packager, der es ermöglicht, Back Orifice hinter einem Install Shield (zum Beispiel Installer) zu verstecken. – Butt Trumpet: Ein Plug-in, das eine E-Mail mit der IP-Adresse des Hosts verschickt, wenn BO installiert wurde. Bei Netbus handelt es sich ebenfalls um ein Trojanisches Pferd, das in seiner Funktionalität BO entspricht, also eine Hintertüre (Trapdoor) öffnet, über die man über das Netzwerk unbemerkt auf den Rechner zugreifen kann. Netbus ist allerdings noch handlicher in der Bedienung und mächtiger als BO. Es wurde von dem Schweden Carl-Fredrik Neikter geschrieben, der die erste Version Mitte März 1998 veröffentlichte. Derzeit liegt das Programm in der Version 2.01 vor und ist inzwischen als Shareware zu erhalten. Netbus besteht aus einem Server- (netbus.exe) und einem Client-Programm (häufig: patch.exe, bei Version 1.5x: Sysedit.exe), welches zur Verwaltung von Remote-Rechnern eingesetzt werden kann. Es arbeitet über den fest eingestellten TCP/UDP-Port 12345 beziehungsweise bei Netbus Pro 20034. Netbus besitzt dabei die folgende Funktionalität: – Aufzeichnen von Tastatureingaben, – Einschalten eines Key-Clicks, – Steuerung der Maus (inklusive Vertauschen von rechter und linker Maustaste), – Öffnen und Schließen der CD-ROM (gegebenenfalls automatisch in Intervallen), – Generieren von Fehler-, Warn- und Infomeldungen (mit Anzeige der Antwort), – Starten von Anwendungen, – Anspringen von WWW-Seiten (URL), – Erstellen eines Bildschirm-Dumps (als BMP oder JPG), – Abspielen von WAV-Dateien, – Aufnahmen über ein angeschlossenes Mikrofon,
– Manipulationen am File-System, – Anzeigen und Schließen aller geöffneten Fenster, – Auslesen von Systeminformationen, – Re-Booten des Rechners. Zusätzlich kann von dem Remote-Rechner der Zugang zum Server über ein Paßwort gesichert werden. Ein Deinstallieren (Remove) des Servers über das Netzwerk ist ebenfalls möglich. Inzwischen ist die Version 2.0 entwickelt worden, die zusätzliche Leistungsmerkmale aufweist (http://www.multimania.com/cdc/netbus2 pro.html) wie eine Installationsroutine für Windows 9x und NT, eine neue grafische Oberfläche für Client und Server, Plug-inManager, Aufzeichnen von Aufnahmen einer Webcam, Unterstützung von SOCKS4-Servern. Gerade der letzte Punkt bedeutet, daß Firewalls angreifbarer werden. WINNUKE Winnuke ist ein reines AngriffsTool für Denial-of-Service-Attacken. Durch
das Senden von speziellen Paketen (Outof-Band-Packets) ist es möglich, Windows 95 und Windows NT zum Absturz zu bringen. Winnuke sendet ein TCP-Paket mit gesetztem Urgent-Flag (URG) auf einen beliebigen TCP-Port (meistens Port 139 = Netbios, da Bestandteil des Betriebssystems). In diesem “dringenden” Paket weist der entsprechende Zeiger allerdings auf das Ende des Pakets. Dies kann Windows nicht ordentlich verarbeiten. Die Reaktion von Windows for Workgroups (WfW) hängt von dem installierten Protokollstapel ab, aber im Normalfall erscheint der Blue-Screen. Durch einen Online-Test (URL: http://www.rrzn.unihannover.de/ cgi-bin/winkill.sh) kann man feststellen, ob der eigene Rechner betroffen ist. Die Universität Hannover (URL: http://www.rrzn.uni-hannover.de) bietet diese Testmöglichkeit an. Damit ist ebenfalls das Angreifen anderer Rechner möglich, was allerdings strafrechtliche
Konsequenzen haben kann. Eine Update für Windows 95/NT aus der Microsoft Knowledge Base kann diesen Bug aber beheben. NEWTEARDROP Bei dieser relativ neuen
Denial-of-Service-Attacke handelt es sich um eine Abwandlung von TeardropAngriffen. Newteardrop, auch Boink genannt, arbeitet mit ungültigen UDP-Headern. Windows 95/NT reagiert auf diese Pakete mit einem Systemabsturz. Es ist bislang nicht bekannt, ob auch andere Betriebssysteme anfällig gegen diese Pakete sind. Bei Boink werden zwei IP-Datenfragmente gesendet, die in ein ungültiges UDP-Datagramm eingefügt werden. Ein überlappender Offset bewirkt, daß ein Teil des Headers im ersten Datagramm überschrieben wird und so ein unvollständiges Paket produziert wird. Updates für Windows 95 und NT sind auch hier verfügbar.
L AN line 1/2000
99
SCHWERPUNKT: FIREWALLS
ICQ-EXPLOITS UND HOAXES ICQ (http://www.icq.com/icqhomepage.html) hat sich inzwischen zu einem regelgerechten Renner entwickelt. Sogenannte E-Mail-Viren (Hoaxes) sind Spam-Nachrichten, die Ähnlichkeiten mit ICQAttacken haben. Es gibt inzwischen aber
–
Literaturverweis [1] Detken: Security Concept: Sicherheitsmechanismen für das Intranet; Netsikom99; Computas Konferenz 25 Mark, 26.01.99; Köln 1999 [2] Detken: Extranet-Serie, Teil 2: Safer Net; Gateway 5/99; Computerwoche Verlag GmbH; München 1999 [4] Detken: Local Area Networks – Grundlagen, Internetworking und Migration; ISBN 3-7785-3911-6; Heidelberg 1999 [3] Luckhardt, Norbert: Mauerbrecher Trojanische Pferde bedrohen die Rechnersicherheit; c’t special; Heinz Heise Verlag; Hannover 1998
auch Programme, die zur Störung des ICQ-Betriebs (Bombing, Flooding, Spamming) oder zum Ausspionieren (Hacking, Spoofing) von verdeckten Informationen verwendet werden können. Beim Stören des ICQ-Betriebs handelt es sich um Programme, die einen Partner mit größeren Mengen unsinniger Nachrichten überschütten und hierbei gegebenenfalls sogar eine andere Identität vortäuschen, so daß das jeweilige Opfer nicht nachvollziehen kann, wer den Angriff durchgeführt hat. Darüber hinaus gibt es auch Patches, die ein normales E-Mail-Bombing für den Gebrauch bei ICQ adaptieren. Mit den Programmen Sniffing und Hacking ist es hingegen möglich, verschiedene Informationen ohne das Wissen und den Willen des Anwenders, auszulesen. Hierzu gehört auch die (versteckte) IP-Adresse oder das ICQ-Paßwort. Diese Utilities bereiten sozusagen den Weg für den Einsatz anderer Hacker-Tools (etwa Winnuke) vor. Bekannte ICQ-Hackprogramme sind: – ICKILLER: Trojanisches Pferd, das auf dem eigenen Rechner einen Prozeß mit dem Namen Explorer startet, der es
100
L AN line 1/2000
–
–
–
–
erlaubt, von außen auf das System zuzugreifen, das heißt Daten auszuspionieren und zu löschen. Nebenbei werden auch noch ICQ-Bomben verschickt. PCICQ: DOS-Patch, der die Datei IRQ.EXE derart modifiziert, daß jede User Identity Number (UIN) direkt in eine Kontaktliste aufgenommen werden kann – unabhängig davon, ob eine Autorisierung durch den Anwender vorgesehen ist oder nicht. ICQCRK: Patch, der ICQ so modifiziert, daß er immer die IP-Adresse anzeigt! ICQSNIFF: Programm zum Ausspähen von IP-Adressen, wenn sie vom Anwender auf “nicht sichtbar” eingestellt worden sind. ICQPROTECTOR: Schützt durch Öffnen von vielen Ports vor möglichen Bomben/Flooding, kann aber keinen Universalschutz bieten. ISOAQ: Mit diesem Programm können alle denkbaren Patches unter Windows durchgeführt werden. Weiterhin funktioniert es mit allen existierenden ICQVersionen.
FAZIT Bevor ein zu flacher Sicherheits-
schutz in ein Unternehmen integriert wird, sollte man die Kommunikationsprozesse und -abläufe untersuchen. Dies sollte durch ein umfassendes Sicherheitskonzept analysiert und dargelegt werden. Nur dadurch kann der Administrator Lücken in den Betriebssystemen, Netzstruktur, Organisation, Verwaltung etc. konsequent aufdecken. Erst daran anschließend läßt sich eine Firewall-Lösung planen und umsetzen. Dabei ist zu beachten, daß keine Firewall eine hundertprozentige Sicherheit garantieren kann und ständig gepflegt werden sollte, da sie sonst wirkungslos wird. Die Sicherheit muß durch Analyse-Tools überprüft werden. Hierfür sollten zumindest die bekannten Angriffs-Tools eingesetzt werden, um diese Bedrohung auszuschließen, da durch die leichte Benutzung jeder zum Hacker oder Cracker avancieren kann. Dies sollte nicht durch den Netzwerkadministrator vorgenommen werden, da dieser eventuell Lücken bereits kennt
und nur spezifische Angriffe durchführen wird. Man kommt nicht umhin, entweder das Intranet von Internet physikalisch zu entkoppeln oder ein tägliche Wartung und Überprüfung der Log-Dateien durchzuführen. Dies sind zwar zusätzliche Kosten, stehen aber in keinem Verhältnis zu den möglichen Schäden, die ein Verlust sensitiver Daten dem Unternehmen beifügen könnte. Darüber hinaus sollte der Verantwortliche den Einsatz von weiteren Test-Tools in Erwägung ziehen oder ein externes Unternehmen mit der Überprüfung der Sicherheit beauftragen. Erst dann kann ein optimaler Schutz anhaltend gewährleisten werden. (Kai-Oliver Detken, Christine Reckziegel/mw) Dipl.-Ing. Kai-Oliver Detken studierte Nachrichtentechnik an der Hochschule Bremen und Informationstechnik an der Universität Bremen. Heute ist er als Berater bei der Optinet GmbH (http://www. optinet.de) tätig und leitet den Competence Center Future Knowledge (CC-FK). Dipl.-Ing. [FH] Christine Reckziegel absolvierte ihr europäisches Elektrotechnikstudium an der Hochschule Bremen. Heute arbeitet Sie bei der Optinet GmbH im CC-FK in den Fachrichtungen Security, Verschlüsselung und Management.
Abkürzungsverzeichnis Back Orifice Cult-of-the-Dead-Cow Computer Emergency Response Team D A R P A Defence Advanced Research Projects Agency FTP File Transfer Protocol GUI Graphical User Interface IP Internet Protocol TCP Transmission Control Protocol LAN Local Area Network RAT Remote Administration Tool RPC Remote Procedure Call S A T A N Security Administrator Tool for Analyzing Networks UDP User Datagram Protocol URL Unified Resource Locater WAN Wide Area Network WWW World Wide Web BO CDC CERT
102 ●
ja
●● ● ● ●
IP, IPX, SMA,
Features
Zahl unterstützter LAN-Interfaces
Adreß-Translation (IP-Masquerading) mögl.
externe Authentisierung möglich (Inbound Services) Verfahren
verschlüsseltes IP-Tunneling für folgende LAN-Protokolle
Aufbau von Virtual Private Networks (VPN) möglich (Firewall zu Firewall)
Client-Komponenten
Virtual Private Networks
LDAP-Client SNMP-Client
Schutz
Spezifischer Schutz besteht für folgende Internet-Protokolle
Stateful Inspection Protokoll-Gateway Circuit-Level Gateway mit Protokollumsetzung
unterstützte Internet-Dienste
Pathbuilder S 400
integrierte Benutzerverwaltung
3Com
basiert auf folgendem Betriebssystem
Produktname
Unterstützte Firewall-Technologien
● ● ja
ja
alle
●
● ● ja
ja
alle
●
● ● ja
ja
alle
●
28
● ● ja
ja
alle
●
28
● ● ja
IP
Securid, X.509
Sicherheitszertifizierungen ICSA
Apple Talk ●
Pathbuilder S 500
ja
●● ● ● ●
IP, IPX, SMA, Apple Talk
●
Office Connect
ja
●● ● ● ●
IP, IPX, SMA,
Netbuilder
Apple Talk ●
Superstack Net-
ja
●● ● ● ●
IP, IPX, SMA,
builder SE All Secure
Apple Talk ●
Magistrate VPN
●● ● ●
NT, Solaris,
alle
HP-UX, AIX
bel.
V3, Radius, NT, LDAP, Entrust, NDS
Algorithmic
Private Wire
●●
ja
● ● ● ● ● alle TCP
●●●
Solaris
Research a Virt
Win NT, Sun
Gateway
●●
Win NT, 9x
Skriptsprache
ja
IP komplett
8
ja
TCP/IP, UDP
ja
ja
IPsec, Swipe
Ace, Cryptocard, ● bel. ICSA
Anpassung ja
● ●
● TCP/IP, UDP
● ● ● POP 3, HTTP,
●
8
FTP, Telnet, SMTP Axent
●
Raptor Firewall 6.0
NT, Solaris,
ja
● ● ● ● ● HTTP, FTP, CIFS,
HP-UX
● ● alle Internet-
SMTP, NNTP,
Dienste
Defender, Radius,
RA, Telnet Biodata
Borderware
Bigfire +
●
● proprietär
ja
Big Application
●
NT/Linux
ja
Borderware Firewall Server V. 6.1
● ● BSD-Linux
●● ● ●
alle
Tacacs, S-Key ●
TCP/UDP
● FTP, HTTP, HTTPS,
●● ●
● FTP, HTTP, HTTPS, ●
● ja ja
IP
Radius
●
3
SSL
NT-Password,
●
2
Secure ID, DES ●
3
SMTP, NNTP, DNS,
SMTP, NNTP, DNS,
Username
POP 3, Imap 4,
POP 3, Imap 4,
Password
Real Audio
Real Audio
● WWW, SMTP, ● POP, FTP, DNS
●
FTP, NNTP, POP,
ja
TCP, UDP
Oracle, Real Au-
Gold, Crypto
dio, SMTP, WWW
Card
ITsec, E3 hoch in Zert.
ICSA, West Coast Labs, NSS
SCHWERPUNKT: FIREWALLS
Hersteller
Komplettlösung reine SW-Lösung basiert auf eigenem Betriebssystem
Plattform
Paket-Filter TCP-orientierte Dienste UDP-orientierte Dienste für folgende RPC-orientierte Dienste Internet-Protokolle Proxy-Server (Application Level Gateway)
LANline 1/2000
Marktübersicht: Firewalls
Safeword
Hersteller Produktname
Borderware Firewall Server
(Forts. v. S. 102) 6.02
Bullsoft Netwall V 4.1
Check Point
▼ Firewall-1
VPN-1 ●
●
●● AIX, Solaris,
Unix Win NT, div.
● ● BSDI
ja
NT
div. Unix, Em- ja
ja
●● ●
● ● ● ● alle
● ● ● ● ● alle
●
● ● ● ● ● FTP, Telnet, SM- ● TP, HTTP, NNTP,
●
●●
●●●
H.323, VoIP,
● HTTP, FTP, SMTP
● ● FTP, Telnet, RPC, ● ● ja
● ● ja
● ● ja
ja
ja
ja
Zahl unterstützter LAN-Interfaces
cure ID, X.509,
Adreß-Translation (IP-Masquerading) mögl.
Ipsec +
externe Authentisierung möglich (Inbound Services) Verfahren
verschlüsseltes IP-Tunneling für folgende LAN-Protokolle
Aufbau von Virtual Private Networks (VPN) möglich (Firewall zu Firewall)
Client-Komponenten
Schutz
LDAP-Client SNMP-Client
Unterstützte Firewall-Technologien
Spezifischer Schutz besteht für folgende Internet-Protokolle
Stateful Inspection Protokoll-Gateway Circuit-Level Gateway mit Protokollumsetzung
unterstützte Internet-Dienste
Paket-Filter TCP-orientierte Dienste UDP-orientierte Dienste für folgende RPC-orientierte Dienste Internet-Protokolle Proxy-Server (Application Level Gateway)
integrierte Benutzerverwaltung
basiert auf folgendem Betriebssystem
Komplettlösung reine SW-Lösung basiert auf eigenem Betriebssystem
Plattform Virtual Private Networks
bedded SysteSQLnet, IIOPus, Tacacs, Ta-
me, Win NT Corba-Orbix, cacs+, Axent
DCOM, DCE RPC, Pathw., S/Key,
PC Anywhere etc.
ISAKMP/
Oakley
Features
Sicherheitszertifizierungen
Smartgate, Se- ● 3 ICSA, West Coast Labs, NSS
SQLnet
● 30 ICSA, ITsec
H323, Real Au-
dio/Video Secur ID, Radi- ● bel. ITsec, E 3, ICSA
uvm. ● bel.
LANline 1/2000
103
IOS
●● ● ●
Netshow, Java
●
HTTP, FTP, Tel-
Blocking, CBAC ●
Feature Set
IOS
ja
●● ● ●
Netshow, Java
●
HTTP, FTP, Tel-
●
●
ja
GRE, Ipsec
Zahl unterstützter LAN-Interfaces
Adreß-Translation (IP-Masquerading) mögl.
externe Authentisierung möglich (Inbound Services) Verfahren
verschlüsseltes IP-Tunneling für folgende LAN-Protokolle
Aufbau von Virtual Private Networks (VPN) möglich (Firewall zu Firewall)
Client-Komponenten LDAP-Client SNMP-Client
● ● Ipsec
Cisco, Secur ID, ●
Sicherheitszertifizierungen NCSA
Tacacs+, Radius ● ● Ipsec
GRE, Ipsec
net, TFTP
● ● ● ● ● Archie, Gopher, ●
Features
Virtual Private Networks
net, TFTP
Blocking, CBAC PIX 515 Firewall
Spezifischer Schutz besteht für folgende Internet-Protokolle
Stateful Inspection Protokoll-Gateway Circuit-Level Gateway mit Protokollumsetzung
unterstützte Internet-Dienste
integrierte Benutzerverwaltung ja
Schutz
Cisco, Secur ID, ●
BSI, ICSA
Tacacs+, Radius
HTTP, FTP, TFTP, ● ● Ipsec
GRE, Ipsec
Tacacs+, Radius, ●
Telnet, SQLnet,
PPTP, ICMP, GRE,
AAA-Server,
Multimedia, Net-
SNMP
Cisco Secure
4
BSI, NCSA
●
4
BSI, NCSA
●
16
ITsec, E3
●
16
ITsec, E3
show, Real Audio PIX 520 Firewall
●
●
ja
● ● ● ● ● Archie, Gopher, ●
HTTP, FTP, TFTP, ● ● Ipsec
GRE, Ipsec
Cisco Secure,
Telnet, SQLnet,
PPTP, ICMP, GRE,
Tacacs+, Radius,
Multimedia, Net-
SNMP
AAA-Server
show, Real Audio CSM
●
Enterprise Proxy Server
NT, Solaris,
CSM-User,
● HTTP, FTP, SM-
HTTP, FTP, SM-
Linux
NT-Domain,
● ●
TP, IMAP 4, POP
TP, IMAP 4, POP
LDAP
3, RA, RTSP, Tel-
3, RA, RTSP, Tel-
net, VDO, News,
net, VDO, News,
Socus Cyberguard
●
Cyberguard for NT
● ● ● ● ● HTTP, NNTP,
NT
ja
TCP/IP
CSM-eigene
IPsec
DES
Smart/Token-
Socus ●
●
Telnet, FTP, etc. ●
Cyberguard for
● ● ● ● ● HTTP, NNTP,
Unix 4.1
Unix Elron
Firewall NT
Genua
Genugate
cards ●
●
IPsec
● ●
NT 4.0
ja
●● ●
alle
BSD/OS
ja
●● ●
● alle
●
BSD/OS
ja
●● ●
●
HTTP ●●
HTTP, FTP, POP,
● alle
●●
HTTP, FTP, POP, Telnet, NTTP
GTA
GNAT Box
IBM
IBM Sercureway
●●● ●
Firewall 4.1
●● ● ● Win NT 4.0 m. ja
●● ●
alle gängigen
Smart/Tokencards
Telnet, NTTP Genugate Pro
DES
Telnet, FTP, etc.
●●
● HTTP, FTP, Tel-
ja
alle
● RSA-Auth.,
RSA-Auth.,
RSA-Auth.,
Crypotcard
Crypotcard
Crypotcard
● RSA-Auth.,
RSA-Auth.,
RSA-Auth.,
Crypotcard
Crypotcard
Crypotcard
alle
●●
ja
ACE/Server,
SP 4, AIX ab
net, NNTP, SN-
RSA Security,
V. 4.3.2
MP, Real Audio,
Token, Secure ID
●
3
●
12
ITsec, E3 hoch in Zert.
●
12
ITsec, E3 hoch in Zert.
●
3
ICSA
● bel. ICSA
Video ID-Pro
k. A.
●
Linux
LDAP
●● ●
● alle
●
●
● ja
TCP/IP
●
32
SCHWERPUNKT: FIREWALLS
●
Cisco Systems IOS Firewall
basiert auf folgendem Betriebssystem
Produktname
Komplettlösung reine SW-Lösung basiert auf eigenem Betriebssystem
LANline 1/2000 Hersteller
Unterstützte Firewall-Technologien Paket-Filter TCP-orientierte Dienste UDP-orientierte Dienste für folgende RPC-orientierte Dienste Internet-Protokolle Proxy-Server (Application Level Gateway)
104
Plattform
●
Unix, NT
● HTTP, FTP,
ja
Firewall Kit
●
● Linux
ja
●● ●
Zahl unterstützter LAN-Interfaces
Adreß-Translation (IP-Masquerading) mögl.
externe Authentisierung möglich (Inbound Services) Verfahren
verschlüsseltes IP-Tunneling für folgende LAN-Protokolle
Aufbau von Virtual Private Networks (VPN) möglich (Firewall zu Firewall)
Client-Komponenten LDAP-Client SNMP-Client
Spezifischer Schutz besteht für folgende Internet-Protokolle
Features
Virtual Private Networks
Sicherheitszertifizierungen
HTTP, FTP,
SMTP Kryptokom
Schutz
Stateful Inspection Protokoll-Gateway Circuit-Level Gateway mit Protokollumsetzung
unterstützte Internet-Dienste
Paket-Filter TCP-orientierte Dienste UDP-orientierte Dienste für folgende RPC-orientierte Dienste Internet-Protokolle Proxy-Server (Application Level Gateway)
Mimesweeper
integrierte Benutzerverwaltung
Integralis
basiert auf folgendem Betriebssystem
Produktname
Unterstützte Firewall-Technologien
SMTP
● alle
●●
alle
ja
ja
Paßwort, S-Key,
2
Challenge, Re-
ITsec, BSD, E3 hoch in Zert.
sponse, Chipkarte Lucent
Lucent Managed
Technologies
Firewall
Matranet
M>Wall
●
● ●
●
Proxy-HTTP,
ja
Radius, ACE
●
M>Wall.Key,
● bel. E3 in Zert.
3
ICSA
SMTP ●●
Win NT, HP-UX, ja
●● ●
● alle gängigen
● ● HTTP, FTP, Tel-
● ● opt.
alle
Solaris, BSDI-
net, POP 3, SM-
Secur ID, S/Key,
Unix, Digital
TP, TCP
Smart Card
Unix Netguard
●
Guardian
NT 4.0, Win
ja
● ● ● ● ● alle
●
●● ●
●
alle
●
ja
TCP/UDP
ja
alle
2000 ●
main, Secure ID
● proprietär
Netopia
S9500
Network
Gauntlet Firewall ● ●
Solaris, HP-UX, ja
● alle
● ● ● ● ● alle
● HTTP
●●●
alle
● ● ja
alle, IP
Win NT, BSDI
Associates
Radius, NT-Do- ● bel. ICSA ● HTTP, FTP,
3
NCSA
● bel. NCSA, UK-ITsec
Security Dynamics
Netscreen
Netscreen 100
●
●
ja
●● ●
alle
●
●
Netscreen 10
●
●
ja
●● ●
alle
●
●
IP 330
●
● IPSO (Unix-
ja
●● ● ●
alle
●
● ja
Radius, ICE
●
Radius, ICE
●
3
ICSA
Technologies Nokia
● ja ● ● ja
IPsec
Derivat)
Radius, Tacacs
3 20
ICSA, ITsec, E 3
20
ICSA, ITsec, E 3
20
ICSA, ITsec, E 3
Tacacs+, S-Key,
LANline 1/2000
IKE IP 440
●
● IPSO (Unix-
ja
●● ● ●
alle
●
● ● ja
IPsec
Derivat)
Radius, Tacacs Tacacs+, S-Key, IKE
IP 650
●
● IPSO (Unix-
ja
●● ● ●
alle
Derivat)
●
● ● ja
IPsec
Radius, Tacacs Tacacs+, S-Key, IKE
105
Open Path
Open Path
Software
Datax
▼
●
HTTP
SAP
SAP
SCHWERPUNKT: FIREWALLS
Hersteller
Komplettlösung reine SW-Lösung basiert auf eigenem Betriebssystem
Plattform
●● ●
alle gängigen
HTTP, FTP, SMTP,
Features
●
Zahl unterstützter LAN-Interfaces
Adreß-Translation (IP-Masquerading) mögl.
externe Authentisierung möglich (Inbound Services) Verfahren
verschlüsseltes IP-Tunneling für folgende LAN-Protokolle
Aufbau von Virtual Private Networks (VPN) möglich (Firewall zu Firewall)
Client-Komponenten
Virtual Private Networks
LDAP-Client SNMP-Client
Spezifischer Schutz besteht für folgende Internet-Protokolle
Stateful Inspection Protokoll-Gateway Circuit-Level Gateway mit Protokollumsetzung
unterstützte Internet-Dienste
●
integrierte Benutzerverwaltung
Sheriff on Board
basiert auf folgendem Betriebssystem
Packet Tech-
Schutz
Sicherheitszertifizierungen
1
POP 3, Impap,
nologies
TFTP, ICMP, Telnet, ICQ, Chat, News Radguard
CI Pro
●
ja
●● ●
alle
IPsec, IKE
● ● ja
alle
Radius, Secure ●
3
ICSA, Tolly, Mier
ID, LDAP ● Secured BSDI
Secure Compu- Secure Zone
●● ●
● alle
●●
ja
IPsec, IKE
Password,
● bel.
Token
ting ● Secured BSDI
Sidewinder
●● ●
● alle
●●
ja
IPsec, IKE
Password,
●
8
Token Sun
Sunscreen EPS
●
Unix
Solstice Firewall-1
●
NT, Unix,
● ja
●● ● ●
Solaris
SMTP, Telnet,
●
ja
ja
ja
ja
UDP, TCP
ja
bel.
FTP, HTTP, HTTP9
Trend Micro
●
Viruswall
● HTTP, FTP,
Unix, NT
HTTP, FTP,
SMTP Valuesoft
Gateland
●● ●
Real Time OS
SMTP, Content
● DMS, FTP, SMTP,
TCP, UDP,
HTTP ●
Isline Router Firewall Watchguard
Firebox II
●● ●
Win 3.11, 98,
ja
●
NT ●
●
32
CHAP, PAP
●
6
NT-, Radius-,
●
3
ICSA, BSI in Zert.
●
3
ICSA, BSI in Zert.
3x
ICSA, Common Criteria
ICMP FTP, DNS,
ja
SMTP, HTTP ● ● ● ● ● alle gängigen
Linux
●●●●
● ja
IPsec, IKE
CryptocardServer, PPTP Firebox II plus
●
● ● ● ● ● alle gängigen
Linux
●●●●
● ja
IPsec, IKE
NT-, Radius-, CryptocardServer, PPTP
Live Security
●
Linux
ja
● ● ● ● ● DCE-RPC, FTP,
●●●
DCE-RPC, FTP,
HTTP, SMTP,
HTTP, SMTP,
H323, Real Net-
H323, Real Net-
works, VDO Live
works, VDO Live
ja
●
PPTP, IPsec,
Firebox, NT-
TCP/IP
Server, Radius,
10/
Crypotcard
100
SCHWERPUNKT: FIREWALLS
Produktname
Komplettlösung reine SW-Lösung basiert auf eigenem Betriebssystem
LANline 1/2000 Hersteller
Unterstützte Firewall-Technologien Paket-Filter TCP-orientierte Dienste UDP-orientierte Dienste für folgende RPC-orientierte Dienste Internet-Protokolle Proxy-Server (Application Level Gateway)
106
Plattform
Anbieter: Firewalls Hersteller/Anbieter 3Com
Telefon 01805/671530
Produkt Pathbuilder S 400 Pathbuilder S 500 Office Connect Netbuilder Superstack Netbuilder SE Magistrate VPN Private Wire
Preis in DM k. A. k. A. k. A.
k. A. k. A. k. A. k. A. k. A. k. A. k. A.
040/352253 02203/305-0 0811/600520 06022/2623-30
Gateway Raptor Firewall 6.0 Raptor Firewall 6.0 Raptor Firewall 6.0 Big Fire + Big Application Borderware Firewall Server V. 6.1 Borderware Firewall Server V. 6.1 Borderware Firewall Server V. 6.02 Borderware Firewall Borderware Firewall Server Borderware Firewall Netwall V. 4.1 Firewall-1 VPN-1
089/94573-0 089/607-20961 0221/9542310 040/401946-0
Firewall-1 Firewall-1 Firewall-1 Firewall-1
k. A. k. A. k. A. k. A.
06201/90450 06022/2623-0
All Secure Algorithmic Research/ Applied Security a Virt/CCom-Inet Axent/CBC Axent/IT Protect Axent/NDH Biodata
0721/61090 069/973770 02332/7596-0 02203/935300 06454/9120-0
Borderware
06201/901050
Borderware/CCM Consult 0228/98645-0 Borderware/IOK
05246/9290-0
Borderware/Mandata Borderware/Netzwerk Kommunikationssysteme Borderware/Topologix Bullsoft/Bull Check Point Check Point/Applied Security Check Point/Articon Check Point/BData Check Point/BDG Check Point/Blue Communications Software Check Point/Cybernet Check Point/Danet-IS Check Point/Group Check Point/Haitec Check Point/Internet 2000 Check Point/Login S & C Check Point/NCT Check Point/The Bristol Group Check Point/Telemation Check Point/Uni-X Software Cisco Systems
02845/294-0 039203/720
Cisco Systems/Articon Cisco Systems/K & K Cisco Systems/Telemation CSM CSM/Telemation Cyberguard Cyberguard/BDG
Cyberguard/Pan Dacom Elron/Internet 2000 Genua GTA/XNC
089/99315-0 06151/868-0 0721/4901-0 08642/887-0 089/6302730 0228/978590 06151/916623 06103/2055300 06171/977-0 0541/71008-0 01803/671001
Firewall-1 Firewall-1 Firewall-1 VPN-1 Firewall-1 Firewall-1 Firewall-1 Firewall-1 Firewall-1 Firewall-1 IOS Firewall Feature Set PIX 515 Firewall PIX 520 Firewall 089/94573-0 PIX Firewall 02303/254000 PIX Firewall 06171/977-0 PIX 520 Firewall 0043/1/5134415 Enterprise Proxy Server 06171/977-0 Enterprise Proxy Server 0044/1276/683713 Cyberguard Firewall 0221/9542310 Cyberguard Cyberguard for NT Cyberguard for Unix 06103/9320 Cyberguard for NT Cyberguard for Unix 089/6302730 Firewall NT 089/991950-0 Genugate Genugate Pro 02203/695091 GNAT Box
k. A. k. A. k. A.
k. A.
Hersteller/Anbieter IBM
Telefon 07034/15-2605
IBM/Haitec ID-Pro Integralis/Group Kryptokom Lucent Technologies
08642/887-0 0228/42154-0 0721/4901-0 0241/963-0 0228/2430
Lucent Technologies/ BSP.Service
0941/92015-20
k. A. k. A. k. A.
k. A. k. A. k. A. k. A. k. A. k. A. k. A. k. A. k. A. k. A. k. A. k. A. k. A. k. A. k. A. k. A. k. A. k. A. k. A. 3838-37121 k. A. k. A. k. A. k. A. k. A. k. A. k. A. k. A. k. A.
Preis in DM k. A.
089/99315-200
Gauntlet Firewall
k. A.
0511/319274
Gauntlet Firewall
k. A.
Lucent Technologies/Netz- 039203/720 werk Kommunikationssysteme Matranet 0033/134584400 Matranet/Intec Netguard Netguard/PSP Net
k. A. k. A. k. A.
Produkt IBM Security Firewall 4.1 IBM Firewall Linux-bas. Mimesweeper Firewall Kit Lucent Managed Firewall Lucent Managed Firewall VPN Gateway Lucent Managed Firewall M>Wall
Netguard/Traicen Netopia/Internet 2000 Network Associates/ ATM Computer Network Associates/ Cybernet Network Associates/ Krauss-Systeme Netscreen/Pan Dacom
k. A. k. A. k. A. k. A. k. A. k. A. k. A. k. A.
3659-19056 Euro 07471/9852-0 M>Wall k. A. 00972/6/644-9936 Guardian 4787-17332 06430/22-33 Guardian k. A. Guardian/Netguard k. A. Control Center 06251/4876 Guardian k. A. 089/6302730 S 9500 k. A. 07531/808-4327 Gauntlet Firewall k. A.
06103/9320
Netscreen 100 Netscreen 10 06172/925826 IP 300 IP 400 IP 600 VPN 200 06172/9258158 Nokia IP 330 Nokia IP 440 Nokia IP 650 001/909/5945815 Open Path Datax
k. A. k. A. Nokia k. A. k. A. k. A. k. A. Nokia/TLK Computer k. A. k. A. k. A. Open Path Software 10000 -– 100000 $ Packet Technologies 00972/3/5587001 Sheriff on Board Single User 10-20 $ Radguard 00972/3/7657999 Ci Pro 4950 – 9850 $ Secure Computing 001/408/9186121 Secure Zone 3500 $ Sidewinder 19900 $ Secure Computing/ 0228/98645-0 Secure Zone 3.0 k. A. CCM Consult Sidewinder Security k. A. Server Secure Computing/Group 0721/4901-115 Secure Zone k. A. Secure Computing/ 02332/7596-00 Secure Zone k. A. IT-Protect Sidewinder k. A. Secure Computing/Topolo- 040/352253 Sidewinder k. A. gix Secure Zone k. A. Sun/Articon 089/94573-0 Sunscreen EPS k. A. Solstice Firewall-1 k. A. Trend Micro/Group 0721/4901-115 Viruswall k. A. Valuesoft 089/99120-0 Gateland k. A. Isline Router/Firewall k. A. Watchguard/CDS 02303/25009-0 Firebox II plus k. A. Watchguard/DNS 08141/326-817 Live Security k. A. Watchguard/Extended 07032/9454-0 Firebox II k. A. Systems Firebox II plus k. A. Watchguard/PDV-Systeme 03528/48030 Firebox II k. A. Watchguard/Telemation 06171/977-0 Firebox II k. A. Watchguard/Wick Hill 040/237301-77 Firebox II plus k. A.
LANline 1/2000
107
ENDGERÄTE UND
ANWENDUNGEN MOBILE COMPUTING
WIRELESS APPLICATION PROTOCOL
Zu den heißesten Themen im Mobilfunkmarkt zählt heute der Schulterschluß zwischen Mobilfunkern und dem Internet, vermittelt über das Wireless Application Protocol (WAP). Ob Internationale Funkausstellung, Telecom oder Systems: WAP-fähige Endgeräte und Anwendungen stehen momentan im Brennpunkt des Interesses – wenngleich der wahre Boom frühe stens nächstes Jahr beginnen dürfte. 108
L AN line 2/2000
Die Prognosen sind hervorragend: Bis zum Jahr 2001 sollen etwa 50 Millionen WAP-fähige Handys auf dem Markt sein, gibt IDC nach einer Analystenumfrage an. Eigene Prognosen von Ericsson gehen davon aus, daß im Jahr 2001 fast die Hälfte aller Mobiltelefonierer WAP verwenden werden. Der Grund für den Boom ist einfach zu benennen: Nachdem sich das Internet zum weltweiten Informationsnetz Nummer eins entwickelt hat, liegt eigent-
lich nichts näher, als diesen Erfolg auf die mobile Welt zu übertragen. Und genau dies leistet das Wireless Application Protocol. Die zur Zeit in der Version 1.1 vorliegende Spezifikation ist der von der gesamten Branche akzeptierte offene und herstellerübergreifende Standard zur Übertragung und Aufbereitung von Internet-Inhalten für mobile Endgeräte. Mehr als 120 Unternehmen, darunter Handy-Hersteller, Software-Produzenten, Service-Provider
und Informationsanbieter haben sich inzwischen auf diesen Standard geeinigt. WAP-fähige Endgeräte werden dafür sorgen, schnell und unkompliziert textbasierende Web-Inhalte abzurufen und einfache Grafiken darzustellen. Gegenüber dem im Internet üblichen Übertragungsverfahren Hypertext Transfer Protocol (HTTP) für Web-Seiten bietet WAP dabei den Vorteil, daß es weniger Overhead erzeugt und damit besser für die niederbitratige Luftschnittstelle der Mobilfunknetze geeignet ist. Dies ist wichtig, weil auch in naher Zukunft die Bandbreiten in Mobilfunknetzen geringer und teurer bleiben dürften als im Festnetz. Das WAP-Protokoll setzt auf der Wireless Markup Language (WML) auf, der Seitenbeschreibungssprache für mobile Web-Seiten. Diese eignet sich im besonderen für die Darstellung von Web-Seiten auf kleinen Displays beziehungsweise Bildschirmen, auf denen sich HTML nur unzureichend anzeigen läßt. LÖSUNGEN FÜR UNTERNEHMEN UND ENDKUNDEN Der WAP-Markt läßt sich
in die beiden Segmente Geschäftskunden und Privatkunden aufteilen. Nachgefragte Anwendungen im Geschäftskunden-Bereich dürften insbesondere die IntranetAnbindung, Mobile Unified Messaging, Mobile Commerce und Security-Lösungen sein, die das Ziel verfolgen, einen sicheren mobilen Zugriff auf unterschiedlichste unternehmensinterne Anwendungen zu gewährleisten. Diese Dienste verlangen in der Regel nach einer individuell an die IT-Infrastruktur des Unternehmens angepaßten Lösung. In Zukunft wird es sicherlich Mobiltelefon-Clients für SAP-Systeme, Helpdesk-Lösungen, Lagerbestände etc. geben. Ein Techniker kann dann beispielsweise über sein WAP-fähiges Handy die Verfügbarkeit eines benötigten Ersatzteils abfragen und gleich die Bestellung aufgeben. Die Bestätigung der Bestellung mit Angabe der Lieferzeit kann dabei ebenfalls über WAP zum Mobiltelefon erfolgen. Endkunden erwarten dagegen ein breites Informationsangebot, interaktive Dienste und den Zugriff auf Netzbetreiber-Basisdienste wie zum Beispiel Telefon-
L AN line 2/2000
109
verzeichnisdienste. Auch Mobile Unified Messaging wird als wichtiges Kommunikationsmedium in den Privatkunden-Bereich einziehen. Als erste Anwendungen erwartet Ericsson E-Mail, Nachrichten von Speichersystemen (Voice Messaging, Unified Messaging), Terminkalender, Bankgeschäfte, Reiseplanung und Stadtführer, Kartenbestellungen, Restaurantreservierungen und vieles mehr. Maßgeschneiderte WAP-Portale werden die Anlaufstellen für WAP-Surfer sein, die sie zu ihren bevorzugten Diensten weiterführen. ERSTE INHALTE Doch noch zeichnen die
genannten Anwendungen eine Welt, die weitgehend erst auf dem Reißbrett existiert. Dafür gibt es mehrere Gründe. Einer der wichtigsten ist, daß WAP nicht nur entsprechende Telefone voraussetzt, sondern jeder “Wapper” auch einen Server (Gateway) vom Mobilfunkanbieter benötigt, um sich in WAP-Dienste einwählen zu können. Und hier haben die großen Netzbetreiber von T-Mobil über Mannesmann Mobilfunk, E-Plus bis Viag Interkom gerade erst damit begonnen, diese zu installieren. So beauftragte beispielsweise jüngst Mannesmann Mobilfunk Siemens und Phone.com (ehemals Unwired Planet) mit der Realisierung eines kommerziellen WAP-Systems. Im Rahmen dieses Auftrags soll Siemens die Uplink-Server-Lösung von Phone.com in das D2-Netz integrieren. Die Betreiber geben sich optimistisch – und arbeiten bereits eng mit Content-Providern zusammen, um rasch WAP-Anwendungen anbieten zu können. So stellen heute bereits die Online-Redaktionen von Handelsblatt und Ntv ihre Wirtschaft- und Finanzinformationen auf WAP-Servern bereit. Die ARD bringt ihre Nachrichten aus der Tagesschau auf das Mobiltelefon. Der Suchmaschinenanbieter Yahoo Deutschland will allen D2-Nutzern WAP-fähige Versionen der Services “Yahoo Wetter”, “Yahoo Finanzen”, “Yahoo Schlagzeilen” zur Verfügung stellen. Über den Dienst “Mein Yahoo!” sollen Interessenten maßgeschneiderte Informationen nach einem zuvor festgelegten persönlichen Nutzungsprofil erhalten.
110
L AN line 2/2000
Auch T-Mobil gibt sich gut vorbereitet für das WAP-Zeitalter. Die Angebote werden nach Angaben des Unternehmens von der mobilen Fahrplanauskunft bei der Deutschen Bahn bis hin zu Fluginformationen der Lufthansa reichen. Dabei will man eng mit T-Online zusammenarbeiten. So sollen D1-Kunden einen eigenen T-Online-Account ohne zusätzlichen Grund- und Bereitstellungspreis erhalten, den sie auch im Festnetz verwenden können. Viag Interkom will noch in diesem Herbst erste WAP-Dienste vermarkten.
Solange es WAP aber noch nicht oder nicht flächendeckend gibt, stellt der in letzter Zeit stark propagierte Kurzinformationsdienst SMS eine – nicht zuletzt kostengünstige – Alternative dar. Bei diesem Dienst können Anwender Nachrichten teilweise sogar zum Festtarif von 15 Pfennigen verschicken und empfangen. Wetterdienste, Börsenkurs- oder Kontostandsabfragen sind dabei ebenso eingeführt wie die E-Mail-Kommunikation über das Internet. Allerdings ist eine SMS-Nachricht auf 160 Zeichen beschränkt, während eine
Aktien- und Bankgeschäfte via WAP-Handy Die “1822 S Inform Software” mit Sitz in Frankfurt – ein Tochterunternehmen der Frankfurter Sparkasse und der Informatik Kooperation – hat in Kooperation mit dem IT-Dienstleister Dr. Materna eine WAP Brokerage-Lösung entwickelt. Damit wird es zukünftig möglich sein, via WAP-Handy Aktien anzukaufen oder zu verkaufen, Depotstände abzurufen, Charts und Nachrichten abzufragen und vieles mehr. Aber auch als alternativer Vertriebsweg für Banken und Sparkassen bietet sich die neue Lösung nach Angaben von Dr. Materna an. So ist auf diesem Weg beispielsweise eine direkte Ansprache der Kunden möglich. Kaufoptionen, aktuelle Immobilienangebote und aktuelle Zinssätze können dem Kunden via Handy übermittelt werden. Voraussetzung für die Nutzung dieses zukunftsweisenden Services sind WAP-fähige Handys. Damit ist eine Schnittstelle zwischen den Mobilfunknetzen und dem Internet geschaffen. Mit dieser Anwendungslösung ist die 1822 S Inform Software einer der ersten Anbieter, der eine WAP Brokerage-Lösung präsentieren kann. Die Vorstellung einer marktreifen Lösung ist gemeinsam mit der Dr. Materna GmbH zur CeBIT 2000 geplant. Als einer der ersten Anwender wird die “1822 direkt” – die Direktbank der Frankfurter Sparkasse – die Lösung einzusetzen.
Diese sollen auf den Angeboten des hauseigenen Internet-Providers PlanetInterkom basieren. Zu den Content-Providern sollen Anbieter wie die Süddeutsche Zeitung und das Handelsblatt gehören. Ausgangsplattform für die neuen WAP-Dienste sei das Homezone-Angebot Genion. Unter dem Motto: “Direkt ins Netz mit den neuen WAP-Diensten von E-Plus” macht dieser Betreiber derzeit bereits lautstark Reklame für WAP. Ob den Anwender die Börsenkurse interessieren oder Flugverbindungen, oder ob er ins Kino gehen will – alles soll auf seinem Handy aktuell verfügbar sein. Der Nutzer zahlt laut E-Plus dafür 39 Pfennig pro Minute und das bei einer Abrechnung im 10-Sekunden-Takt. Die WAP-Dienste sollen in allen E-Plus Laufzeitverträgen angeboten werden.
WAP-Information mehrere Display-Seiten umfassen kann. Hinzu kommt, daß die Eingabe eines SMS-Textes sehr umständlich ist. PROBLEM BANDBREITE Eine derzeit gra-
vierende Einschränkung bei WAP ist, daß die heutige Basistechnologie der mobilen Datenübertragung CSD (Circuit Switched Data) Übertragungsraten bisher von nur 9,6 kBit/s bietet. Techniken, um in GSMNetzen zukünftig Informationen mit wesentlich höheren Geschwindigkeiten zu transferieren, sind allerdings bereits weit fortgeschritten. Eine davon ist der von Nokia zuerst marktreif angebotene Standard HSCSD (High Speed Circuit Switched Data). Ab Mitte November will als erster EPlus bis zu viermal schnellere Datenübertragung in neuer Spitzengeschwindigkeit
offerieren. Dies soll laut Anbieter in der Startphase zunächst mit einer Datenrate von bis zu 38,4 kBit/s erfolgen. Bis zum Sommer 2000 werde die Datenrate auf bis zu 56 kBit/s gesteigert. High Speed Mobile Data richtet sich jedoch in erster Linie an geschäftsreisende Notebook-Nutzer und private Nutzer, die zuverlässige Bandbreiten für dringende Datentransfers fordern. Diese benötigen dazu einen Laptop, einen Datentarif von EPlus und ein Card Phone, das in den herkömmlichen PCMCIA-Steckplatz am Laptop eingesteckt wird und die Daten funkt. Die Suche nach einer Datenbuchse im Hotel soll damit ebenso entfallen wie eine komplizierte Kabelverbindung zwischen Laptop und Handy. Mit einem Ohrhörer ausgestattet wird das Card Phone zudem zum Telefon. High Speed Mobile Data sei ein Angebot von E-Plus an alle mobilen Notebook-Nutzer, gleichgültig, bei welchem Mobilfunkanbieter sie Kunde seien, so der Anbieter. Laptop-Besitzer, die bisher in einem anderen Mobilfunknetz als E-Plus telefonierten, könnten High Speed Mobile Data für 39,95 Mark pro Monat und einem Minutenpreis ab 0,29 Mark nutzen. Für E-Plus-Kunden betrage der zusätzliche monatliche Grundpreis zu einem bestehenden Laufzeitvertrag 15 Mark. ALWAYS ON, ALWAYS CONNECTED
High Speed Mobile Data ist laut E-Plus der Startschuß für den Aufbau eines breiten Mobile-Data-Angebots für alle Kundengruppen. So soll für überwiegend geschäftliche Nutzer im Jahr 2000 auch GPRS (General Packet Radio Service) einführt werden. Dies haben für das kommende Jahr alle großen Netzbetreiber in Deutschland angekündigt. Erst mit GPRS wird die wirkliche WAP-Ära beginnen. General Packet Radio Services ist ein Funkstandard, der auf wesentlichen Erweiterungen der heute schon im Betrieb befindlichen GSM-Systeme sowie auf paketvermittelter Übertragung basiert. Daten können hierbei – theoretisch – mit einer Geschwindigkeit von bis zu 115 kBit/s übertragen werden. Für die Dauer einer Verbindung werden dabei nicht ständig ganze GSM-Kanäle
112
L AN line 2/2000
blockiert, vielmehr wird nur die Übertragungskapazität belegt, die auch tatsächlich benötigt wird. So ist auch eine Abrechnung nach übertragenem Datenvolumen denkbar. T-Mobil etwa hat bereits angekündigt, daß die Tarifstellung für WAP sich eventuell bei Einführung von GPRS ändern könnte. Neben GPRS gibt es noch EDGE, Enhanced Data Rates for GSM Evolution. Dieses Verfahren soll Datenraten von bis zu 384 kBit/s auf der Basis von GSM-Netzen ermöglichen. Um diese Bandbreite zu erreichen, kommt ein Modulationsverfahren zum Einsatz, das die Übertragungsrate eines GSM-Kanals auf bis zu 48 kBit/s erhöht. Bis zu acht Kanäle können gleichzeitig genutzt werden. Auch hierfür muß allerdings die Netzinfrastruktur – wie bei GPRS – angepaßt werden. Bislang ist offen, welcher Netzbetreiber EDGE in Deutschland einführen wird, zumal ja bereits mit UMTS (Universal Mobile Telecommunications) die ultima ratio der mobilen Datenübertragung sozusagen greifbar ist. Mit UMTS als Nachfolgesystem der derzeitigen GSM-Netzinfrastruktur steht die sogenannte dritte Generation des Mobilfunks in den Startlöchern. Diese erlaubt – voraussichtlich ab 2002 – Übertragungsraten von bis zu 2 MBit/s. UMTS wird aufgrund dieser Bandbreite die mobile Kommunikation wohl völlig revolutionieren, da dem Transfer von Sprache, Musik, Bildern, Video und Daten mittels Handy dann nichts mehr im Wege steht. CONTENT PROVIDER Die Verbreitung und Nutzung von WAP hängt natürlich in erster Linie von verfügbaren Anwendungen ab. Für die Entwicklung WAP-fähigen Contents, auf den analog zu Web-Seiten von überall öffentlich zugegriffen werden kann, bietet das Protokoll dabei Programmierern eine eigene Sprache, die bereits erwähnte Wireless Markup Language (WML), spezifiziert als ein XML Dokumententyp. Dadurch können viele HTMLEntwicklungsumgebungen zur Erstellung von WML-Applikationen verwendet werden. Weil die WAP-Spezifikation HTTP 1.1 für die Kommunikation zwischen WAP-Gateway und Web-Server nutzt,
können Web-Entwickler ihre Anwendung auf jedem gängigen Web-Server einsetzen, was die Anzahl WAP-fähiger Applikationen beschleunigen dürfte. Auch WAP-Server gibt es bereits auf dem Markt, wobei diese sich meist noch im Beta-Stadium befinden. Bei dem NokiaWAP-Server etwa handelt es sich um eine Server-Plattform für mobile Anwendungen und ein Verbindungsglied zwischen den Funknetzen und dem Internet oder dem internen Netzwerk eines Unternehmens. Das Produkt kann laut Hersteller Inhalte aus zentralen Servern wie beispielsweise Web-Servern oder anderen firmeninternen Informationssystemen abrufen und sie WAP-kompatiblen Endgeräten via Funkverbindung zur Verfügung stellen. Der WAP-Server basiert auf Java und nutzt nach Angaben von Nokia die WAPMarkmale durch offene Programmierschnittstellen. Die Datenübertragung erfolgt durch Kurzmitteilungen (WAP 1.0) oder Datenruf (WAP 1.1). Vorgesehen sind nach Angaben des Unternehmens zudem Adapter für die gängigsten Kurzmitteilungszentralen sowie für leitungsvermittelte Datenverbindungen. Das Produkt soll Zugriffskontrolle und Firewall-Funktionalitäten bieten, die es ermöglichen, den Zugriff auf bestimmte Dienste aus Gründen der Sicherheit oder der Kostenkontrolle einzuschränken oder zu personalisieren. Das Software-Haus Dr. Materna bietet die Realisierung professioneller WAP-Lösungen als Full-Service an, das heißt den WAP-Server inklusive einer kompletten Service-Plattform. Grundlage ist dabei das WAP-Gateway des Herstellers. Es bietet neben der reinen WAP-Anbindung die Basis für eine Vielzahl weiterer Mehrwertdienste, die stets als “Customized Solutions” für den jeweiligen Kunden individuell angepaßt werden. Dies reicht von mobilen Messaging-Lösungen über Banking/Commerce-Applikationen bis hin zum Outsourcing der kompletten Mehrwertdienst-Infrastruktur für Mobilfunk-Netzbetreiber inklusive Übernahme des mandantenfähigen Billings. Auch Ericsson, Mitbegründer des WAPForums, ist in der WAP-Entwicklung engagiert. Dazu zählt beispielsweise der Be-
reich digitale Signaturen, die das Handy für wichtige Geschäfte bereit machen sollen. Ericsson und Sonera Smarttrust haben hierfür ein sicheres Verschlüsselungsverfahren angekündigt. In Deutschland laufen bei Ericsson Forschungen zu diesem Thema. Der deutsche Partner Datadesign zeigte bereits WAP bei Bankenanwendungen über den bankenspezifischen HBCI-Standard (HBCI: Home Banking Computer Interface). ENDGERÄTE Mit Einführung und Durchsetzung von WAP werden – darin sind sich alle Experten einig – ganze Generationen von neuen Endgeräten entwickelt werden. Hierzu gehören in erster Linie Handys mit größerem Display, aber sicherlich auch Organizer in unterschiedlichen Ausführungen. Insgesamt bewegt sich der Trend derzeit hin zu Internet Appliances, also Zugangsgeräten aller Art. Dies wurde beispielsweise auf der diesjährigen Messe Internet World in New York deutlich. Nach einer dort vorgestellten Studie des Marktforschungsinstituts Cyberdialogue ist der PC-basierte Web-Zugriff in den USA bereits an einem Wendepunkt angelangt. Immer mehr potentielle Nutzer sind stark am Zugang über Fernseher und sogar Spielkonsolen, vor allem aber über Handys interessiert, die dann meist über ein größeres Display als herkömmliche Geräte verfügen. Etliche WAP-fähige Endgeräte waren auf den Messen der vergangenen Monate zu sehen – die meisten werden allerdings erst ab Anfang 2000 auf dem Markt erhältlich sein. Bereits im Februar dieses Jahres hatte beispielsweise Nokia auf dem GSM-Weltkongreß in Cannes sein Dualband-Handy “7110” vorgestellt, das nunmehr zumindest in kleineren Stückzahlen ausgeliefert wird. Besonderes Augenmerk richtete man natürlich auf die Optimierung der Leseund Eingabefunktionen. So ermöglicht das 7110 dank eines großen Displays eine Ansicht verschiedener Schriftgrößen, fettes oder normales Textformat sowie Grafiken. Die Texteingabe wurde durch eine lernfähige Texterkennung verbessert. Für einen schnelleren Zugriff auf sämtliche Handy-Funktionen sorgt der Nokia-Navi-Rol-
ler, mit dem die Menüs und Telefonfunktionen bedienbar seien. Unter dem Namen “IC35 – The Unifier” stellte Siemens auf der Telecom ’99 einen den Handy ergänzenden mobilen Begleiter vor. Er ermöglicht den Zugang zum Internet, das Verschicken von E-Mails, ShortMessage-Services (SMS) und papierloses Faxen – und ist dabei nicht größer als ein Zigarettenetui. In Verbindung mit Smartcards oder Multimedia-Cards kann der IC35 zum Beispiel auch zum Mobile Banking genutzt werden. Die Verbindung mit einem Handy wird über eine Infrarotschnittstelle oder über ein Kabel herge-
ten Sprachspeicher, mit dem Sprachnotizen aufgenommen werden können sowie einen Kalender. Das Ericsson R320s soll ab Anfang nächsten Jahres erhältlich sein. Wer bei einem WAP-Handy auch viele Organizer-Funktionen benötigt, für den ist laut Ericsson das R380s das richtige: Großer Touchscreen hinter der aufklappbaren Zifferntastatur über die gesamte Länge des Geräts. Wer dagegen unterwegs mit einer richtigen Tastatur und einem großen Display arbeiten will: Für den bietet der Hersteller den Handheld-Computer MC218 mit Infrarotverbindung zum Handy, der WAP-Fähigkeit, Organizer- und
Der rund 160 Gramm leichte “Unifier” von Siemens eignet sich neben dem WAPBrowsen im Internet auch zum Versenden von E-Mails, Short Messages sowie papierlosen Faxen Quelle: Siemens
stellt. Der Zugang zum Internet erfolgt über einen im Gerät integrierten WAPBrowser. Das Gerät kann auch als Organizer genutzt werden, da es sich leicht mit dem PC über eine “Syncstation” genannte Docking Unit synchronisieren läßt. Es soll voraussichtlich Anfang nächsten Jahres am Markt verfügbar sein. Das WAP-fähige Dual-Band-Handy R320s von Ericsson besitzt bereits einen eingebauten WAP-Browser. Das integrierte Modem und die Infrarotschnittstelle sollen aus dem Mobiltelefon ein vollwertiges Kommunikationsinstrument machen. Neben der WAP-Fähigkeit besitzt das Handy laut Ericsson eine Vielzahl zusätzlicher Features wie zum Beispiel einen eingebau-
Computerfunktionen in Einem bietet. Der “mobile Begleiter” unterstützt mit voller WAP-Tauglichkeit Funktionen wie EMail-, Fax-, SMS-Mitteilungen und Internet-Browsing. Der Ericsson MC218 ist seit Ende Oktober 1999 verfügbar. Auch Motorola zeigte auf den vergangenen Messen mit dem Timeport P7389 triband sein erstes WAP-fähiges Endgerät, das noch Ende 1999 auf den Markt kommen soll. Zu den weiteren angekündigten Produkten gehören unter anderem das “Smart Phone” von Panasonic sowie “Mondo” von Trium. Bei diesem Gerät soll laut Hersteller das große Display etwa zwei Drittel der gesamten Gerätefläche einnehmen. (Thomas Schepp/gh)
L AN line 2/2000
113
SCHWERPUNKT: MOBILE COMPUTING
TEST: IBM MOBILE CONNECT 2.2
Palm-OS und CE treffen Domino und Exchange Bislang galten der Palmpilot und seine Artgenossen eher als persönliches Steckenpferd der Endanwender und blieben damit in unternehmensstrategischen Überlegungen weitgehend unberücksichtigt. Mit IBM Mobile Connect 2.2 zeichnet sich eine für den unternehmensweiten Einsatz praktikable Lösung ab, um Palm-OS- und Windows-CEGeräte als mobile Zugangsmedien zu den Groupware-Plattformen Lotus Notes/Domino, Microsoft Exchange sowie Datenbankanwendungen einzusetzen. Das LANline-Lab testete das Produkt in der Praxis.
er wünscht sich als Abhängiger von aktuellen Informationen nicht, über Mail-Eingang, Kontaktadressen und Terminabsprachen immer und überall auf dem laufenden zu sein? Aus diesem Bedürfnis heraus erfreuen sich PDAs (Personal Digital Assistants) auf Basis von 3Coms PalmOS und Windows CE immer größerer Beliebtheit. Die Bewegungsfreiheit des Anwenders wird allerdings noch spürbar durch die Abhängigkeit vom Datenabgleich mit dem eigenen Arbeitsplatzcomputer eingeschränkt (siehe hierzu auch “Informationen aus der Hemdtasche” in LANline 11/99). Gefragt ist daher ein möglichst direkter Zugriff auf Server-Daten ohne Umweg, am besten gleich über das omnipräsente GSM-Netz. IBM vertreibt unter dem Produktnamen Mobile Connect eine flexible Lösung des Herstellers Extended Systems, die sich zum Ziel setzt, vielfältige Typen von Informationen zwischen mobilen HandheldComputern und Unternehmens-Servern automatisch und unter zentraler Verwaltung zu transferieren. Unterstützt werden auf der mobilen Seite sowohl Palm-OSGeräte, als auch Handhelds auf Basis von Windows CE. Server-seitig sollen diese im Test Lotus Domino 4.5/4.6, Microsoft Exchange 5.5 und relationalen Datenbanken (DB2 und andere via ODBC)
W
114
L AN line 1/2000
Connect Server 2.3 für den Zugriff von Windows-CE-Geräten auf Exchange (einmalig pro Unternehmen) von der Microsoft-Website herunterladen können. PalmOS-Geräte und Domino-Server lassen sich leider sich bei diesem Angebot nur 60 Tage zum Test einbinden. Damit scheint Microsoft einen genialen Marketing-Coup gegen den Marktführer 3Com zu landen, um Windows CE zusammen mit Exchange im Unternehmenseinsatz populär zu machen. Insbesondere kleinere innovative Firmen werden bei diesem Angebot sicherlich zugreifen. Dem LANline-Lab lag die zum Testzeitpunkt aktuelle Fassung IBM Mobile Connect 2.2 vor, auf die sich alle weiteren Angaben beziehen. IT-FREUNDLICHE ARCHITEKTUR Die
näherrücken. Extended Systems selbst bietet das funktionell identische Produkt als “Xtnd Connect Server” (ehemals bekannt unter dem Namen “Asl-Connect” an (Extended Systems übernahm im September 1999 den britischen Entwickler Advanced Systems). Darüber hinaus kündigt Extended Systems eine strategische Zusammenarbeit mit Microsoft an, die einen dritten, äußerst attraktiven Vertriebsweg als Ergebnis hat: Jeder Besitzer einer WindowsCE-Lizenz soll ab dem 15. Dezember kostenlos eine zeitlich unlimitierte 25-Benutzer-Lizenz der kommenden Version Xtnd
wesentlichen Bestandteile von Mobile Connect sind der Mobile Connect Client für Palm-OS, CE und demnächst auch Epoc32 (derzeit in Beta), auf dem zum Beispiel der Psion Serie 5 MX Pro basiert. Der Client baut eine Verbindung zum Mobile-Connect-Service unter NT auf, der die Datensynchronisation mit Exchange, Domino und relationalen Datenbanken über die auf der gleichen Maschine installierten korrespondierenden Clients (Notes, Outlook 98/2000 und DB-Treiber) steuert (siehe Grafik). Durch diese Architektur müssen Domino-Server und relationale Datenbank-Server nicht zwingenderweise ebenfalls unter NT betrieben werden. Für die
IBM Mobile Connect Monitor unter Windows 95/98/NT PalmOS oder CE Device mit GSM-Modem
TCP/IP
GSM-Netz
IBM Mobile Connect Service & Admin unter Windows NT
RAS Infrarot (IrDA) mit analogem Modem oder ISDN-Adapter (V.110)
mit IBM Mobile Connect Client
>
Microsoft Exchange 5.5 unter Windows NT
>
Remote Access Service oder anderes PPP-basiertes Dial-In
Lotus Domino 4.5/4.6 auf beliebiger Plattform
TCP/IP mit Lotus Notes, Outlook 98/2000, und/oder DB-Treiber (ODBC) IBM Mobile Connect Proxy und ActiveSync (nur CE) unter Windows 95/98/NT
DBMS-System (DB2, SQL-Server, Oracle etc.)
PalmOS oder CE Device über serielle Verbindung (»Cradle«)
Komponenten von IBM Mobile Connect 2.2 und Xtnd Connect Server
Anbindung des Connect-Clients steht wahlweise die direkte TCP/IP-Kommunikation über sämtliche vom PDA unterstützte Übertragungsnetze (GSM, analoges Telefonnetz, ISDN, LAN-Anschluß, etc.) oder eine indirekte serielle Verbindung zu einem Arbeitsplatz zur Auswahl, auf dem der sogenannte “Mobile Connect Proxy” gestartet wurde. Damit wird der serverorientierte Datenabgleich über Mobile Connect sowohl in jeder mobilen Situation, als auch im Büro gewährleistet. Wichtig ist dabei festzuhalten, daß für die Büroanbindung keine feste Beziehung zwischen PDA und Arbeitsplatz wie bei einer lokalen Desktop-Synchronisation unter 3Coms Hotsync (Palm-OS) und Microsofts Activesync (CE) erforderlich ist. Der Proxy übersetzt lediglich auf Übertragungsebene zwischen serieller Anbindung und dem TCP/IP-LAN, um die direkte Kommunikation mit dem Server herzustellen. Auf diese Weise sind Einsatzszenarien denkbar, in denen allgemein zugängliche “Cradle”-Stationen im Unternehmen als schnelle Datentankstellen für die mobilen Einheiten fungieren. Eine Installation des Mobile-ConnectService, der als NT-Dienst betrieben wird, bedient Palm- und Windows-CE Geräte gleichzeitig, kann jedoch die Palm- beziehungsweise CE-Welt jeweils nur entweder mit Exchange- oder Domino-Servern verbinden. Dies sollte für die meisten Unternehmenssituationen ausreichen, da darüber hinausgehende Kombinationsanforderungen durch den Betrieb weiterer Mobile-Connect-Services im Netz abgedeckt werden können. Die Konfiguration erfolgt vollständig über den Mobile Connect Admin, der sich einschränkender Weise nur auf demselben Computer wie der Service selbst aufrufen läßt. Dies erschwert eine zentrale Konfigurationsverwaltung, die sich so nur umständlich durch Zusatzprogramme wie PC Anywhere gestalten läßt. Der MobileConnect-Monitor, ein einfach gehaltenes Snap-in für Microsofts Management Console (MMC) erlaubt jedoch wenigstens die Überwachung des laufenden Dienstes (aktive Sitzungen und Fehler und deren Protokollierung).
KONFIGURATION Die Einrichtung des PDA-Zugriffs auf Domino- und Exchange-Server gestaltet sich mit etwas Grundverständnis für die beiden GroupwarePlattformen dank dem “Site Wizard” im Mobile Connect Admin als überschaubar. Für Palm-OS- und CE-Geräte werden mit seiner Hilfe jeweils getrennte Konfigurationsdateien angelegt, die zentral festlegen, welche Standard-Groupware-Synchronisationsoptionen für den Anwender verfügbar sind (zum Beispiel Abgleich von In-
tung des PDAs auf, bereitet Daten von und zu einem PDA-verständlichen Format auf und tauscht sie schließlich zwischen Mobile-Connect-Client und Groupware-Server aus. Dazu ist zunächst eine Authentifizierung des PDA-Benutzers für den Groupware-Zugriff erforderlich. Mobile Connect bietet dazu in der Version 2.2 zwei grundsätzliche Vorgehensweisen: Entweder wird jeder PDA-Anwender in einer internen Benutzerverwaltung angelegt oder aber gegen das Benutzerverzeichnis eines Exchangebeziehungsweise Domino-Servers authentifiziert. Letzterer Ansatz empfiehlt sich für jede größere Installation, deren Administratoren ihre ohnehin schon knapp bemessene Zeit nicht auch noch mit einer weiteren Benutzerverwaltung belasten wollen. Sollen jedoch nur bestimmte Notes-Benutzer mobilen PDA-Zugriff erhalten, bleibt nur Unspektakulär aber wirksam: IBM Mobile Connect Client unter der Weg über die Windows CE und Palm-OS manuelle Erfassung unter Mobile Connect Admin. Hier box, Outbox, Terminen, Adressen und wäre eine Zugangssteuerung über das DoAufgaben) und ob der Anwender diese mino- beziehnungsweise Exchange-Verzwingend oder wahlweise erhält. Nützlich zeichnis wünschenswert. Im Fall von Exchange sind damit bereits ist in diesem Zusammenhang auch die regelmäßige, automatische oder alternativ alle wesentlichen Weichen gestellt, um vom Anwender anzufordernde Sicherung Mails, Adressen, Kontakte und Aufgabenund Rücksicherung des PDAs. Zusammen listen in den nativen PIM-Anwendungen mit der Möglichkeit, zentral bereitgestellte (Personal-Information-Manager) der jeAnwendungen und Daten automatisch auf weiligen PDA-Plattform mit auf den Weg den PDA während einer Synchronisation zu nehmen. Domino erfordert dagegen arzu übertragen, erhält die IT-Administra- chitekturbedingt zunächst weitergehende tion ein Werkzeug zur zentralen Pflege der Planung und zusätzliche vorbereitende Arim Unternehmen verstreuten, mobilen Ein- beiten auf Domino-Seite. Notes baut bei heiten in die Hand. Die Verteilung eines der Benutzerauthentifizierung gegenüber Palm-Utilities glückte im LANline-Lab der einfachen Benutzernamen-/PaßwortKombination von Exchange auf Notes-IDprompt. Der Mobile-Connect-Service baut die Dateien mit korrespondierenden ZuVerbindung zum Groupware-Server über griffspaßwort. Mobile Connect erlaubt entdie nativen Groupware-Clients in Vertre- weder die Nutzung einer zentralen Notes-
L AN line 1/2000
115
SCHWERPUNKT: MOBILE COMPUTING
ID-Datei für sämtliche Notes-DatenbankZugriffe plus Benutzerauthentifizierung über das individuelle Internet-Paßwort eines jeden Benutzers oder individuelle No-
für eine der beiden Optionen sollte daher gut mit dem sonstigen Sicherheitskonzept im Unternehmen abgestimmt werden. Das für Mitte Dezember 1999 angekündigte Xtnd Connect 2.3 soll nach Aussagen von Extended Systems die Sicherheitslücke beim Datentransfer zwischen Client und Server beseitigen und Verschlüsselungsalgorithmen auf PublicKey-Basis von Certicom (http://www. certicom.com) enthalten. Sollen auch persönliche AdreßbüÜber den Mobile Connect Admin werden Synchronisationsaktionen zwischen den Unternehmens-Servern und PDAs angelegt cher aus Notes mit dem PDA abgeglites-ID-Dateien plus passendem Paßwort chen werden, müssen diese zunächst über für jeden Benutzer. Im ersten Fall muß ei- den Domino-Server erreichbar sein. Stanne Notes-ID existieren, die entsprechende dardmäßig verwaltet der Notes Client das Rechte auf sämtliche Mailbox-Datenban- persönliche Adreßbuch des Anwenders ken besitzt (zum Beispiel “server.id”). Im auf der lokalen Arbeitsstation. Für die zweiten Fall muß jeder Benutzer entweder Server-Verfügbarkeit des persönlichen innerhalb von Mobile Connect mit indivi- Adreßverzeichnisses ist daher eine Datenduellen Parametern angelegt werden bank-Replik auf dem Domino-Server not(wahlweise per Importdatei) oder ein vor- wendig. Mobile Connect bietet verschiedefiniertes Feld im Domino-Verzeichnis dene Verfahrensweisen, um aus dem Naden Namen der Notes-ID-Datei enthalten men der Mailbox-Datenbank eines jeden und in jedem Fall die passende Notes-ID lokal auf dem Mobile Connect Service Computer vorliegen. Der Rückgriff auf eiTestumgebung im LANline-Lab ne lokal vorliegende Notes-ID pro BenutWindows CE Geräte: zer bleibt unumgänglich, wenn auch verCompaq Aero 2130 (16 MB RAM) schlüsselte Mails auf dem PDA zu lesen Compaq Aero 8000 (16 MB RAM) sein sollen, da sie vor dem Transfer auf das HP Jornada 480 (8 MB RAM, englisch) handliche Lesegerät ohne nativem NotesHP Jornada 620 (16 MB RAM) Client zunächst entschlüsselt werden müsPalm-OS: 3Com Palm IIIx (4 MB RAM und Enhansen. Dieser Betriebsmodus setzt nicht nur ced Infrared Update) umfassende Absicherungsmaßnahmen geGroupware-Server: gen unerwünschte Zugriffe auf die verMicrosoft Exchange 5.5, Service Pack 2 sammelten Notes-IDs im Dateisystem des Lotus Domino R5.01b (Int.) Mobile-Connect-Service-Computers vorjeweils unter NT Server 4.0, Service Pack 5 IBM Mobile Connect 2.2 aus, sondern untergräbt auch die End-toGlobalware Serversync 1.0 End-Sicherheit verschlüsselter Mails unter Kommunikation: Notes: Diese werden unverschlüsselt zwiUS-Robotics (3Com) Sportster Voice 33.6 schen Connect-Service und Connect-CliFaxmodem (Dial-In-Modem über NTs Reent übertragen und vor allem auf dem PDA mote Access Service) ungeschützt abgelegt. Die Entscheidung Siemens S25 Handy
116
L AN line 1/2000
Benutzers automatisch auch den Namen der Adreßbuchdatenbank abzuleiten. Auch der gemeinsame Zugriff auf ein Adreßbuch ist zusätzlich möglich. BENUTZERERLEBNIS Der Connect-Client
präsentiert sich unter Palm-OS und Windows CE funktionell identisch, unprätentiös und geradlinig in der Bedienung. Als Verbindungsparameter werden lediglich IP-Adresse beziehungsweise DNS-Namen des Mobile-Connect-Service und die gewünschte Verbindungsart zum Synchronisationsdienst (Remote-Netzwerkverbindung, serielle oder Infrarotverbindung zum Mobile-Connect-Proxy) gefordert. Je nach administrativer Freigabe wählt der Benutzer optionale Aktionen wie Synchronisation von Inbox, Outbox und/oder Adressen und startet nach Eingabe seiner Kennung den eigentlichen Synchronisationsvorgang. Palms erlauben standardmäßig gegenüber CE-Geräten auch den Austausch von “Memos” mit den Groupware-Servern, die dort als Aufgabe mit vorgestelltem “Memo:” in der Betreffzeile abgelegt werden. So lassen sich auch auf einfache Weise kleine Referenzdokumente wie Kurzanleitungen auf den Palm übertragen. Mit der Verbindungsaufnahme zum Mobile-Connect-Service erhält er die aktuellen Client-Einstellungen und überträgt ebenfalls PDA-Statusparameter wie Maschinentyp und Informationen zur Betriebssystemversion, Batterieladung und Speicherbelegung an eine zentrale Access-Datenbank, die sich auch durch andere ODBCkonforme Datenbanksysteme ersetzen läßt. Aus diesen zentral gesammelten Daten erstellt das Admin-Programm auf Wunsch nützliche Berichte, die einen ersten Überblick zum PDA-Bestand, seinen Benutzern und über erfolgreiche wie auch fehlerhafte Verbindungsversuche liefert. Im Einsatz unterwegs wünscht sich jeder Anwender an die für ihn relevanten Informationen möglichst schnell heranzukommen. Dies bedeutet auch die insbesondere im GSM-Netz nur begrenzt verfügbare Übertragungsbandbreite (derzeit 9.600 Bit/s) optimal auszunutzen. Dem Anwender stehen zum Beispiel für den Mail-Empfang die Optionen offen, Nachrichtentexte
ab einer vorgegebenen Zeichenzahl abzuschneiden, nur ungelesene Nachrichten oder Post innerhalb eines vorgegebenen Zeitraums zu übertragen und Anhänge entweder ganz oder ab einer gewissen PDAunverträglichen Größe auszulassen. Im Test griffen die Mechanismen von Mobile Connect, um wirklich nur modifizierte Daten über das Netzwerk zu schicken. Da der Connect Client jedoch nur als Middleware zwischen Groupware-System und den standardmäßigen PIM-Anwendungen der unterstützten PDAs agiert, wird deren Funktionsumfang selbst nicht erweitert. Zum Beispiel stehen für den mobilen Einsatz nützliche Funktionen wie zunächst nur Betreffzeilen und Absender neuer Post zu übertragen und daraufhin selektiv interessante Nachrichten komplett anzufordern nicht zur Verfügung. Wie nicht anders zu erwarten traten im Zusammenspiel mit dem in unserer Testumgebung vorliegendem Lotus Domino R5 kleinere Inkompatibilitäten auf. Das ausdrücklich nur für Domino 4.5 und 4.6 freigegebene Produkt spiegelt zum Beispiel auf den PDAs Kalendereinträge über mehrere Tage nicht korrekt wieder: Es wird lediglich der erste Tag als belegt gekennzeichnet. Die volle Kompatibilität mit R5 sieht Extended Systems für die kommende Version 2.3 vor. DATENSYNCHRONISATION Der Infor-
mationstransfer zwischen mobilen Arbeitern und dem Unternehmen endet bei Mobile Connect nicht mit den PIM-Daten der Groupware-Systeme. Intern arbeitet das System mit einem flexiblen Modell aus gruppierbaren Aktionen (“Action Sets”) wie Dateitransfer, Datenbanksynchronisation und Skriptausführung, die sich durch “Trigger” wie Benutzeranmeldung, Wechsel des PDA-Besitzers, Benutzeranforderung oder in bestimmten zeitlichen Abständen (einmal täglich) auslösen lassen. Auch hinter den Standard-PIM-Aktionen wie “Inbox” steckt intern ein individuell modifizierbares Aktionsset, dessen Grundeinstellung administratorfreundlich durch die integrierten Wizards des Administrationsprogramms jeweils für CE- und PalmEndgeräte vorkonfiguriert wird. In unse-
Mobile Geräte: Die Qual der Wahl In unserem mobilen Praxistest verschiedener PDAs kamen Unterschiede zum Vorschein, die der reine Vergleich von Datenblättern nur unzureichend widerspiegelt. So bieten HP mit seinem Jornada 420 und Compaq mit seinen Aeros 21x0 vom Format (Palm-size PC) nahezu identische Geräte an, die sich für den Jackentascheneinsatz gerade noch eignen, doch ist das Handling-Konzept grundverschieden. Wo HP mit vielen “Klappen und Kläppchen” aufstieß, die im rauhen Außeneinsatz kaum eine Saison überleben dürften, gefiel uns Compaq mit einer kompakten, schnörkellosen Gehäusegestaltung. Unersichtlich blieb auch, warum das HP-Gerät eine Stromversorgung nur in Verbindung mit der Docking-Station zuläßt. Dafür fällt HPs Docking-Station und Netzadapter deutlich flacher und weniger wuchtig aus als Compaqs Design, das für “Ausbeulungen” in der Aktentasche sorgt. Handheld-PCs wie der HP Jornada 680 bieten gegenüber den palmsized PCs nicht nur eine eingabefreundliche Tastatur gegenüber reiner Stiftakrobatik, sondern auch mehr Offenheit zu Hardware-Erweiterungen wie Netzwerk- und ISDN-Adapter auf PC-Card-Basis und ausgewachsenere Anwendungen. Zu den “soften” Stärken gehören zum Beispiel Pocket-Word und Pocket-Excel, die zwar funktionell nicht mit ihren großen Geschwistern aus Office 97/2000 konkurrieren können, aber völlig ausreichend sind, um entsprechende Mail-Attachments aus der Office-Welt öffnen, betrachten und in Grenzen modifizieren zu können. Diese Informationen bleiben palmsized PCs derzeit verschlossen. Auch die standardmäßige Integration eines Web-Browsers in Form des Pocket-Internet-Explorers öffnet zusammen mit dem doch deutlich größeren Bildschirm den Informationshorizont (siehe auch “Domino und Exchange über IMAP, HTTP & Co.”). Wer nicht immer ganz bindungslos kommunizieren will, sondern öfter auch auf analoge Telefonanschlüsse zurückgreifen will, wird ein im Handheld fest integriertes Modem mit schnellen 56 kBit/s wie beim Jornada 680 und Compaq Aero 8000 (Handheld PC/Pro) zu schätzen wissen. All dies hat natürlich auch seine Größe und sein Gewicht. Der Schritt von der “Konfektionsgröße” Handheld PC/Pro wie dem neuen Compaq Aero 8000 zum Sub-Notebook ist nicht mehr allzu groß. Auch dieser muß wie der typische Sub-Notebook auf ein berührungsempfindliches Display und damit auf die Stiftführung bei einer mäßigen Bildschirmauflösung von 640 x 480 Punkten verzichten. Jeder CE-Anwender sollte sich auf jeden Fall die wesentlich schnellere Direkt-PC-Anbindung unter dem neuen Activesync 3.0 (bis zu 115 KBytes/s statt langsamen 19,2 KBytes/s) nicht entgehen lassen (http://www.microsoft.com/windowsce). Wer auf farbiges und lautes Doom-Spielen (zum Beispiel auf Compaq Aero 2130) verzichten kann und sich nicht zuletzt auch durch die eingängige Benutzerführung auf eine geradlinige Arbeit konzentrieren will, greift eher zu einem Palm-OS-Gerät. Die Rückbesinnung auf das Wesentliche wird bei Geräten wie den Palms von 3Com und den baugleichen IBM Workpads mit einem deutlich geringer ausgebeulten Jackett bei gleicher Funktionalität gegenüber den gängigen Windows CE Geräten belohnt. Das teurere Modell Palm V suggeriert einen Fortschritt zum IIIx, hinter der wohlgeformten, glänzenden Fassade verbirgt sich im Zusammenhang mit mobilen Unternehmensdaten jedoch auch ein entscheidender Rückschritt: Der Palm V besitzt mit 2 MB gerade einmal die Hälfte des Arbeitsspeichers des IIIx. Dafür muß der Reisende mit Palm IIIx entweder den zusätzlichen Platz für Reservebatterien oder einem externen Ladegerät für Akkus der Größe AAA mit einplanen. Der Palm V verfügt bereits über integrierte Akkus. In Verbindung mit allen von uns im Test eingesetzten mobilen Geräten (einschließlich Notebooks mit Windows 98) gefiel das Handy Siemens S25: Dank integriertem Modem und IrDAkonformer Infrarotschnittstelle erweist sich die Kontaktaufnahme zu Palm & Co. als problemlos. Unter CE muß lediglich ein entsprechender Treiber installiert werden, den Siemens kostenlos auf seiner Website anbietet (http://www.siemens.de/ic/products/cd/english/index/products/mobiles/ tips/pda.htm). Der Palm benötigt das “Enhanced Infrared Update” oder das neue Palm-OS 3.3, das diesen bereits beinhaltet (siehe http://www.palm.com/custsupp/downloads).
rem Praxistest synchronisierten wir zum Beispiel mit wenig Anpassungsarbeit einen öffentlichen Exchange-Ordner mit Kontaktdaten und eine Notes-Adreßdatenbank mit dem Adreßverzeichnis der PDAs. Individuelle Datenbankanwendungen im
Unternehmen, die auch mobil nutzbar sein sollen, erfordern natürlich deutlich mehr Konfigurationsarbeit. Mobile Connect liefert als Datenbankbasis für Palm-OS und Windows CE dazu Unterstützung (“Plugins”) für IBM DB2 Everywhere und zu-
L AN line 1/2000
117
SCHWERPUNKT: MOBILE COMPUTING
Domino und Exchange über IMAP, HTTP & Co. Als grundsätzliche Alternative zum Einsatz einer spezialisierten Middleware zwischen Groupware-Plattformen und PDAs bietet sich auch der Zugriff auf Domino und Exchange über die integrierten Internet-Standards an. Für den Zugriff auf die persönliche Mailbox eignet sich zum Beispiel IMAP4 (POP3 ist für den Unternehmenseinsatz aufgrund fehlender Server-seitiger Mail-Verwaltung nicht zu empfehlen), Adressenverzeichnisse öffnen sich per LDAP und der persönliche Kalender steht prinzipiell auch per HTTP zur Verfügung. Der Groupware-Zugang mittels Internet-Protokolle bietet zwar nicht denselben Integrationsgrad wie spezialisierte Middleware, bietet sich aber auch für kleinere Installationen an, in denen ein limitiertes Budget die erforderliche Infrastruktur nicht zuläßt. Für die Palm-OS-Welt empfiehlt sich als derzeit einzige IMAP4-Lösung Multimail Pro 3.0 von Actualsoft (http://www.actualsoft.com). Multimail beherrscht neben SMTP, POP3 und IMAP4 auch das NNTP-Protokoll, um auf spezielle NNTP-Diskussionsdatenbanken (Datenbankvorlage “NNTP Discussion”) unter Domino R5 oder entsprechend freigeschaltete öffentliche Ordner unter Exchange zugreifen zu können. Lediglich eine LDAP-Unterstützung für den Zugriff auf unternehmensweite Adressenverzeichnisse fehlen zum ganzen Glück. Auch Besitzer von palmsized PCs unter Windows CE haben derzeit noch keine Wahl: Lediglich das simple IMAP-Force von Ruksun (http://www.ruksun.com) beherrscht die Server-seitige Verwaltung von Mails mittels IMAP4. In unserem Praxistest konnte das Programm im Gegensatz zu Multimail allerdings keine besondere Begeisterung auslösen: Ordnerhierarchie und Dokumente werden in der uns vorliegenden Version 2.1 Explorer-artig und nur in Grenzen verrückbar nebeneinander dargestellt, was sich auf der Palm-PC-Bildschirmgröße als unbrauchbar erweißt. Beim Zugriff auf größere Mail-Ordner (> 100 Mails) quittierte IMAP-Force mit konsequenten Abstürzen ganz seinen Dienst. Ab der Konfektionsgröße Handheld-PC unterhält sich das integrierte Pocket-Outlook von Windows CE 2.11 mit Servern auf Wunsch auch über IMAP4 und LDAP. Spezielle Zusatzprogramme sind daher nicht zwingend erforderlich. Domino und Exchange bieten standardmäßig den Zugriff auf die persönliche Mailbox und PIM-Informationen mittels Web-Browser. Diese eignen sich allerdings kaum für den praktischen Gebrauch auf Bildschirmen in Palm-Größe und fehlender Unterstützung gängiger PDA-Webbrowser für Frames, Javascript oder gar Java-Applets. Ohne spezielle eigene Anpassungsarbeit der jeweiligen Browser-Darstellung von Exchange und Domino ist also nicht viel zu wollen. Allerdings lohnt sich der Aufwand durchaus: Ein Browser-Interface eröffnet nicht nur den Online-Zugriff auf umfangreiche Mailboxen, die ansonsten für den Offline-Gebrauch keinen Platz im PDA finden würden, sondern ermöglichen zum Beispiel unter Domino auch weitergehende Funktionen wie die Volltextsuche. Damit ergänzen Sie selbst Lösungen wie IBM Mobile Connect.
sätzlich ADO (Active X Data Objects) für CE. Mit der reinen Datensynchronisation zwischen Datenbankserver und PDA ist es allerdings noch nicht getan, da auch ein entsprechendes Benutzer-Interface mit Programmlogik auf dem PDA verfügbar sein muß. In diesem Punkt paßt Mobile Connect im Gegensatz zu Produkten wie Pylon Pro/Server Sync von Globalware im Notes-Umfeld (siehe LANline 11/99) und verweißt auf Zusatzprodukte wie Sattelite Forms von Pumatech für das Palm-OS und Microsofts Entwicklungsumgebung für CE. Mobile Connect bietet zur Entwicklung komplexerer mobiler Lösungen auf der Service-Seite eine Einbindung von Microsofts Vbscript, um Daten für und von den PDAs automatisch zu verarbeiten. So
118
L AN line 1/2000
lassen sich zum Beispiel mit überschaubaren Aufwand Workflow-Meldungen beim Eingang neuer Datensätze generieren oder zur Übertragung auf die mobilen Einheiten vorgesehene Office-Dokumente automatisch in ein PDA-verträgliches Format konvertieren. FAZIT IBM vertreibt mit Mobile Connect eine vielversprechende Lösung für alle abhängigen “Streetworker” von tragbaren und aktuellen Informationen aus dem “Corporate Memory”. Die bereits jetzt beeindruckende Unterstützung eines weiten Kreis von PDAs und Groupware-Plattformen wird mit sich mit zukünftiger Unterstützung von EPOC32 und Domino R5 noch erweitern. Für den Unternehmensein-
satz mobiler Endgeräte unerläßlich ist die zentrale Verwaltung der PDA-Konfigurationen. Die interne Architektur schafft hier ein großes Potential für zugeschnittene Unternehmenslösungen. Schade ist nur, daß Mobile Connect seinen administrativen Ansatz nicht auch in einer zentralen Verwaltung der Mobile-Connect-Server weiterführt. Wünschenswert für die Zukunft ist auch die direkte Integration einer Entwicklungsumgebung für datenbankbasierte PDA-Anwendungen, für die Mobile Connect in der heutigen Form nur als Middleware agiert. IBM wird seine zum Testzeitpunkt aktuelle Preisgestaltung aufgrund der neuerlichen Entwicklungen sicherlich nochmals überdenken. Eine Server-Lizenz liegt derzeit offiziell bei 9110 Mark zuzüglich Client-Lizenzen zwischen 405 Mark (1 bis 20 Benutzer) und 203 Mark ab 1000 Benutzern. Das funktionell identische Produkt bietet Extended Systems zu Endkundenpreisen von 782 Mark (fünf bis neun Benutzer) bis 196 Mark (ab 1000 Benutzer). Die Server-Lizenz muß nicht zusätzlich erworben werden. Das Programm dürfte nicht zuletzt aufgrund der von Microsoft angekündigten “Geschenkaktion” einen breiten Freundeskreis finden. Vielleicht zieht ja auch Lotus mit einer ähnlichen Aktion nach. Insgesamt ist ein vollständiger Ersatz des Notes-Clients oder von Outlook für den Büroeinsatz nicht zu erwarten. (Peter Meuser/gh) Peter Meuser (mailto:pmeuser@lanlab. de) ist selbstständiger IT-Consultant in München und Mitglied des LANline-Labs. Das LANline-Lab dankt der Firma Deckarm & Co für die freundliche und kompetente Unterstützung.
Info: IBM, IBM Mobile Connect 2.2 Tel.: 0511/516-1329 Web: www.ibm.com/solutions/mobile/
Info: xtended Systems GmbH, Xtnd Connect 2.2 Tel.: 07032/9454 351 Web: www.extendedsystems.de/
TEST: COMPAQ AERO 8000 UND HP JORNADA 820E
Zwei Giganten mit Windows CE Der Compaq Aero 8000 und der Hewlett-Packard Jornada 820e sind Notebook-ähnliche High-end-Windows-CE-Geräte. Sie heben sich von diesen durch höhere Akkulaufzeit und den Verzicht auf bewegliche Teile ab. Der Test befaßt sich mit dem praktischen Einsatz: Internet-Zugang, Synchronisation der Daten und dem eigentlichen “Feeling” beim Umgang mit den Geräten.
eide Geräte wenden sich an mobile Anwender, die so arbeiten wollen, wie sie es von Notebooks her gewöhnt sind, aber eine längere Akkulebensdauer benötigen. Die Handhelds kommen mit folgender Ausstattung: Windows CE 2.11, einem Notebook-ähnlichen Gehäuse sowie der Desktop-Software CE-Dienste 2.2. Der Jornada ist etwas kleiner als der Aero (Details zu Abmessungen und Aus-
stattung finden sich in den jeweiligen Kästen) und verfügt in der getesteten Version 820e im Gegensatz zum Compaq-Gerät nicht über ein internes Modem. Um einen Internet-Zugang mit dem Jornada herzustellen, wird ein PCMCIA-Modem vom Typ TDK Global Freedom 5660 mitgeliefert, das vom Betriebssystem problemlos erkannt wurde und auch den Akku nicht zu sehr belastete. Beim Aero wurde im Test das interne Modem verwendet. Beide Geräte fallen durch die unkomplizierte Art und Weise der Internet-Konfiguration auf: Mit dem Windows-CE-Remote-Netzwerk ließ sich binnen fünf Minuten ein Zugang zum Mobilcom Intenet-by-Call-Testzugang einrichten. Lediglich beim Arbeiten mit Internet-Accounts, die beim Log-in spezielle Scripts abarbeiten, kommt man mit den CE-Geräten um Handarbeit nicht herum. Der InternetZugang kann übrigens auch via LAN Fast ein “richtiges” Notebook: der Compaq Aero 8000
B
Ausstattung des HP Jornada 820e: – Fast-Notebook-Format (24,5 Zentimeter breit, 17,5 Zentimeter tief und 3 Zentimeter hoch), Gewicht 1,12 Kilogramm – Strong-Arm-SA-1100-Prozessor mit 190 MHz – 16 MByte RAM/16 MByte ROM – 640 mal 480 VGA Flüssigkristall-Display mit 256 Farben (flimmert zeitweise ein wenig, ist kein TFT) – Tastatur mit recht angenehmem Anschlag, die auch flüssiges Schreiben erlaubt – elf Hotkeys für häufig benötigte Programme – Ein serieller Port (spezielles Format, kein SUB-D neunpolig) mit Anschlußkabel auf neunpolig zum Anschluß an den PC – Windows-CE-Version 2.11 mit Features wie externem Monitoranschluß (bis 1024 mal 768) und USB-Anschluß – ein Slot für PCMCIA-Karten (Typ II) – ein Slot für Compact-Flash-Karten, wie sie beispielsweise in vielen digitalen Fotoapparaten zum Einsatz kommen – Infrarotschnittstelle – Audio In/Out
Ausstattung des Compaq Aero 8000: – Notebook-Format (28,35 Zentimeter breit, 22,15 Zentimeter tief und 2,54 Zentimeter hoch), Gewicht 1,27 Kilogramm – Hitachi-SH4-Prozessor mit 128 MHz – 16 MB RAM/16MB ROM – 800 mal 600 VGA-DSTN-Display mit 256 Farben – angenehme Tastatur, die flüssiges Schreiben erlaubt – neun Hotkeys für häufig benutzte Programme – serieller Port mit neunpoligem Anschlußkabel zum Anschluß an den PC – Windows CE 2.11 mit externem Monitoranschluß und USB-Anschluß – neunpolige serielle Standardschnittstelle – Slot für PCMCIA-Karten (Typ II) – Slot für Compact-Flash-Karten – integriertes V.90-Modem – Smart Card Reader – Infrarotschnittstelle – PS/2-Mausanschluß – Audio In/Out
L AN line 1/2000
119
SCHWERPUNKT: MOBILE COMPUTING
unter Verwendung eines Proxy-Servers realisiert werden. Zum Datenabgleich sind zunächst die Windows-CE-Dienste auf dem DesktopRechner zu installieren. Beide CE-Geräte werden mit speziellen Verbindungskabeln geliefert, die einen Anschluß an die serielle Schnittstelle ermöglichen, verfügen aber alternativ auch über Infrarotschnittstellen. Nachdem die gewünschte Schnittstelle konfiguriert ist (einer der häufigsten Stolpersteine liegt darin, daß nicht überall die gleiche Übertragungsrate eingestellt wird), lassen sich Daten mit dem Desktop abgleichen, Programme auf den Handhelds installieren und Dateien kopieren. Negativ fiel auf, daß Windows-CE-Software prozessorabhängig ist: Auf der Suche nach einem File-Explorer beispielsweise, der den funktionell doch sehr eingeschränkten Windows-CE-Explorer ersetzen sollte, ließen sich zwar etliche vielversprechende Applikationen im Internet finden, diese verweigerten aber schon bei der Installation die Mitarbeit, da das verwendete Gerät nicht unterstützt wird. Der Grund dafür liegt darin, daß jede CPU ihre eigene Kompilation mit dem Windows-CE-Developer-Kit erfordert. Eigentlich schade, da man auf diese Weise oft sehr lange herumprobieren muß, bis man eine befriedigende Lösung findet. DAS TÄGLICHE ARBEITEN Da es sich bei beiden Geräten um Windows-CE-Lösungen auf einem vergleichbaren Entwicklungsstand handelt, sind der Umgang mit der Software und die Konfiguration sehr ähnlich. Anders sieht es beim praktischen Arbeiten mit den Handhelds aus: Der HP Jornada 820e ist ein gutes Stück kleiner als der Compaq Aero 8000 und verfügt folglich auch über ein kleineres Display (Bilddiagonale 21 Zentimeter), das auf Flüssigkristallbasis arbeitet und immer wieder leicht schliert. Das DSTN-Display des Aero mit einer Bilddiagonale von 25,38 Zentimetern hinterläßt einen besseren Eindruck. Genau umgekehrt sieht es beim integrierten Touchpad aus: Das ist zwar bei beiden Geräten etwas gewöhnungsbedürftig, läßt sich aber beim Jornada viel einfacher meistern als beim Aero. (Dafür läßt
120
L AN line 1/2000
Akku mit zehn Stunden Betriebsdauer: der HP Jornada 820e
sich am Aero eine PS/2-Maus anschließen.) Hewlett-Packard gibt die Akkulaufzeit des Jornada 820e mit zirka zehn Stunden an, und dieser Wert erwies sich bei eingeschalteten Power-Safing-Funktionen als durchaus realistisch. Leider dauert auch das Aufladen entsprechend lang und kann sich schon mal bis zu fünf Stunden hinziehen. Der Ladevorgang beim Aero geht deutlich schneller, hier ist ein leerer Akku bereits nach gut einer Stunde wieder voll, dafür beträgt die Laufzeit aber nur sieben Stunden. Die Tastaturen beider Geräte sind vernünftig dimensioniert und ermöglichen angenehmes und schnelles Tippen. MITGELIEFERTE SOFTWARE Sowohl Compaq als auch Hewlett-Packard liefern mit ihren CE-Geräten etliche Dienstprogramme mit: Bei Compaq sind das unter anderem Tools zur Datensicherung auf PC-Cards, zur Konfiguration der Hintergrundbeleuchtung und zum Einstellen von Sicherheitsoptionen. Hewlett-Packard verfolgt einen ähnlichen Ansatz und liefert beispielweise ein Backup-Tool und eine Lösung, die das Erstellen der Wählverbindung erleichtern soll. In der Praxis stellte sich aber heraus, daß diese “HP-Wählverbindung” immer von der Landeskennzahl “1” für die USA und der Ortskennzahl “206” ausging und deshalb die Verbin-
dungsnummern völlig durcheinanderbrachte. Mit dem Einsatz der WindowsCE-“Bordwerkzeuge” ließ sich die Verbindung schneller und einfacher herstellen. Sehr gut ist jedoch “HP Show”, eine Applikation mit der sich die Bildschirmausgabe auf externe Monitore umlenken läßt. FAZIT Für Anwender, die mit den einge-
schränkten Möglichkeiten von Windows CE leben können und die nicht allzu hohe Ansprüche an ihre SynchronisierungsSoftware stellen, sind der Compaq Aero 8000 und der Hewlett-Packard Jornada 820e eine gute Alternative. Die Geräte stellen keinen Ersatz für richtige Notebooks dar, kommen aber ohne bewegliche Teile aus und bieten eine deutlich längere Laufzeit. Vor allem der Akku des Jornada konnte überzeugen. Ob das jedoch im Unternehmenseinsatz den Aufwand für die Unterstützung eines weiteren Betriebssystems (Windows CE) rechtfertigt, ist in den meisten Fällen wohl eher fraglich und sollte unternehmensspezifisch entschieden werden. (Götz Güttich)
Weitere Informationen: Compaq Web: www.compaq.de Hewlett-Packard Web: www.hewlett-packard.de
TEST: SYMANTEC MOBILE ESSENTIALS
Guter Geist für mobile Benutzer Gerade für mobile Anwender ist es lästig, an jedem neuen Standort das Notebook für den Netzwerk- und Internet-Zugang umkonfigurieren zu müssen. Diese Aufgabe will Symantec dem “Road-Warrior” mit ihren Mobile Essentials nun abnehmen. LANline hat sich die Software näher angesehen.
obile Essentials besteht aus einem Client-Programm, das auf den mobilen Rechnern installiert wird, sowie aus einem eigenen Verwaltungsmodul für den Netzwerkadministrator. Während der Administrator zentral Profile für beliebige Standorte definiert und auf den Mobilrechnern verteilt, sorgt der Client beim Start des Laptops nach Auswahl eines Standortes für die Konfiguration des lokalen Rechner entsprechend den Vorgaben. Hierbei berücksichtigt die Software folgende Parameter: – TCP/IP-Einstellungen für den LAN- und Internet-Zugang einschließlich DHCP, Vergabe von festen IP-Adressen, Gateway und WINS – Netzwerkkonfiguration mit Zuordnung von Laufwerksbuchstaben zu Netzlaufwerken, NDS- und Bindery-Login, NTDomänen und Arbeitsgruppen – Auswahl eines Standarddruckers – Einrichtung der DFÜ-Einstellungen für die Einwahl ins Firmennetz und Internet – Netzwerkverbindung mit Standardeinwahl – Windows-Programme in der AutostartGruppe – Anpassung der Programme Lotus Notes, Ccmail, Internet Explorer, Netscape Communicator, Winfax Pro und Talkworks Pro an die Netzwerk- und Telefoneinstellungen. Während Mobile Essentials unter Windows 9x den Anmeldebildschirm von Windows ersetzt und um die Standortauswahl
M
ergänzt, wird diese unter Windows NT der normalen Anmeldemaske vorgeschaltet. Im Test verlief die Anpassung der Clients mit verschiedenen Profilen problemlos. Während auf Client-Seite im Idealfalls außer der Standortwahl keine Arbeitsschritte notwendig sind, muß der Administrator bei der Anpassung und Verteilung der Software jedoch einige Dinge beachten.
Gut gelöst ist auch die Verteilung der Standortprofile an die Benutzer. So kann der Administrator wahlweise die Konfigurationsdatei auf einem Server ablegen, per E-Mail-Attachment an seine Benutzer verschicken oder die Verteilung dem “Mobile Update Agent” überlassen. In letzterer Variante wählt der Netzverwalter die Empfänger der Profile lediglich aus seinem Outlook-Adreßbuch aus. Die Admin-Software generiert daraufhin automatisch eine entsprechende E-Mail und hängt die zu verteilenden Profile dort an. Auf Benutzerseite überwacht der Mobile Update Agent den Posteingang es mobilen Anwenders. Trifft dort eine E-Mail mit einer bestimmten Betreffzeile ein, so installiert der Agent die dort angehängten Profile automatisch und löscht anschließend die E-Mail. Auf diese Weise ist ein Profil-Update ohne Benutzerinteraktion möglich. Im Test verliefen alle drei Varianten ohne Probleme. Lediglich die Administrator-Konsole stürzte gelegentlich beim Einlesen der über 500 E-Mail-Adressen aus dem Outlook-Adreßbuch mit einer Schutzverletzung ab.
ADMINSTRATION Bei der Installation des
Administrator-Moduls hat der Netzverwalter die Möglichkeit, eine zentrale Installationsroutine für die Client-Software anzulegen. Dabei kopiert das Setup-Programm alle notwendigen Dateien in ein spezielles Verzeichnis, von dem aus später die Laptops ihre Client-Installation starten. Anschließend legt der Administrator fest, welche Eingriffsmöglichkeiten Benutzer in ihren Client haben dürfen. Restriktive Einstellungen erlauben dem Anwender später lediglich die Auswahl eines Standorts, in der freizügigsten Variante haben die Benutzer die Möglichkeit, beliebige Standorte und deren Parameter selbst zu konfigurieren. Nach Abschluß der ClientKonfiguration im Test rief das Setup-Programm zuletzt das “Live-Update-Utility” auf. Dabei fand das Helferlein prompt eine neue Version des deutschen Clients auf dem Symantec-Server und lud das 730 KByte große Update automatisch herunter. Dies ist ein sehr nützliches Feature, an dem sich andere Hersteller durchaus ein Beispiel nehmen können.
FAZIT Symantecs Mobile Essentials ist
ein sehr leistungsstarkes Programm zur Verwaltung mobiler Anwender. Durch die zahlreichen Konfigurationsmöglichkeiten ist daher eine genau Planung vor dem Einsatz der Software unumgänglich. Dabei geht dem Administrator das deutsche Handbuch hilfreich zur Hand. Die mobilen Anwender hingegen freuen sich über den Wegfall der lästigen Konfigurationsarbeit, wenn sie ihren Standort gewechselt haben. Dem Administrator, der eine große Zahl mobiler Benutzer betreuen muß, kann die Software daher bedenkenlos empfohlen werden. Pro mobilem Arbeitsplatz werden allerdings je nach Zahl der Lizenzen zwischen 85 und 115 Mark fällig. (Georg von der Howen)
Info: Symantec Tel.: 069/66410300 Web: www.symantec.com/region/de/leiden/ antwort.html
L AN line 1/2000
121
SCHWERPUNKT: MOBILE COMPUTING
DATENSICHERUNG AUSSERHALB DES NETZES
Mobile Daten müssen sicher sein Gerade Desktops außerhalb des Unternehmensnetzes und Laptops sind diejenigen Computer, auf denen in vielen Fällen die wichtigsten Daten liegen. Denn Manager und Handelsvertreter sind mit ihren Notebooks oft tagelang unterwegs, ohne eine Sicherung vornehmen zu können. Kritische Dateien werden in dieser Zeit nur auf lokalen Festplatten gespeichert. Ein intelligentes Konzept, um dieses “mobile Know-how” auf einfache Art zu sichern, kann im Notfall viel Zeit und Geld sparen.
ahlreiche Manager und Außendienstmitarbeiter arbeiten heute bereits mobil, mit schönen Notebooks auf ihren Schreibtischen, im Zug oder im Flughafen. Auf diesen Notebooks befin-
Z
Festplatte gehalten werden. Dieses Verhalten ist auch irgendwie menschlich: Die Anwender möchten die Dateien, die für sie wichtig sind, in ihrer Nähe wissen. Denn wer weiß schließlich, was irgend-
Im Idealfall integriert eine Backup-Software die notwendigen Funktionen zur Sicherung und Wiederherstellung von Dateien in für den Anwender gewohnten Oberflächen wie den Windows Explorer
den sich schöne Daten wie aufwendige Multimedia-Präsentationen oder arbeitsintensive Pflichtenhefte. Aus ihrer Situation heraus speichern die “Road Warriors” unter den PC-Anwendern ihre Dateien nur auf ihrer lokalen Festplatte. Dabei befinden sie sich in guter Gesellschaft. So vermutet das Marktforschungsinstitut IDC, daß in vielen Abteilungen eines Unternehmens ein Großteil aller Dateien “privat” auf der lokalen
122
L AN line 1/2000
ein anderer mit auf dem Server gespeicherten Daten anstellt? VERGESSENE KINDER Bei der Konzep-
tion einer unternehmensweiten Datensicherungsstrategie vergessen viele ITManager die Einbindung dieser “mobilen Daten”. Doch gerade hier ist die Wahrscheinlichkeit eines Datenverlusts besonders hoch. So kann der Anwender eine wichtige Datei schnell aus Versehen lö-
schen, oder eine Festplatte gibt im mobilen Einsatz ihren Geist auf. Nicht zu vernachlässigen ist auch der zunehmende Diebstahl wertvoller Laptops und Notebooks in den Firmen oder auf Reisen. Heute sind die meisten unternehmensweiten Backup-Strategien auf Server ausgelegt. In der Praxis werden dabei Datenbank- und Fileserver gesichert, Workstations und Notebooks in der Regel jedoch nicht. Die Organisationen, die erkannt haben, daß hier unter Umständen wichtige Informationen verloren gehen können, arbeiten im wesentlichen mit zwei Strategien, um dieses Problem zu beheben: Die erste Variante beruht auf einer organisatorischen Lösung. Dabei verpflichtet das Unternehmen seine Mitarbeiter, wichtige Daten auf dem Fileserver abzulegen, wenn sie ein Backup ihrer Dateien wünschen. Alle Daten, die nicht auf dem Fileserver liegen, werden folglich auch nicht gesichert. Die Anwender sind also für ihre Daten selbst verantwortlich. Das ist so lange in Ordnung, so lange diese Daten nur für den einzelnen Anwender und nicht für das gesamte Unternehmen wichtig sind. Im Fall eines Datenverlusts erleidet dann nur eine Person Schaden, nämlich die, der die Daten gehören. Doch ist dies eine eher kurzsichtige Denkweise, da alle Informationen auf den Notebooks und Workstations mehr oder weniger zum Unternehmenserfolg beitragen. Folglich müßte die Sicherung aller Daten auf einem Fileserver erzwungen werden. Bei Nichtbefolgen dieser Sicherungsstrategie kann ein Unternehmen zwar Strafen aussprechen und Konsequenzen androhen. Aber es ist immer möglich, daß ein Mitarbeiter einfach vergißt, seinen Dateien zu kopieren oder das Notebook über Nacht gestohlen wird. Die zweite Strategie zur Datensicherung plant auch Notebooks und “remote” Workstations in die Server-Sicherung ein. Diese Sicherungen können jedoch nicht nachts durchgeführt werden, weil sie einerseits das Server-Backup behindern würden und andererseits einige Anwender ihre PCs ausschalten, wenn sie nicht daran arbeiten oder auf Reisen sind.
Tagsüber würde jedoch der Produktionsbetrieb durch die laufenden Sicherungen behindert. Daher ist es sehr schwierig, einen optimalen Zeitpunkt für die Sicherung der “lokalen Daten” zu finden. Falls es einen solchen Zeitpunkt gibt, bleibt immer noch das Problem der Notebooks. Denn von Natur aus sind diese Geräte mobil und damit auch nicht fest mit dem Netzwerk verbunden. Eine geplante Sicherung für Notebooks wird dann zur Glückssache. VORAUSSETZUNGEN Ein intelligentes Konzept für die unkomplizierte Sicherung dieser mobilen Daten im Unternehmen kann im Notfall viel Zeit und Geld sparen. Voraussetzung dafür ist eine Sicherungs-Software, die beispielsweise große Datenbestände optimal komprimiert, so daß diese auch über Modem innerhalb weniger Minuten übertragen werden können. Diese Funktion ist gerade für diejenigen Anwender wichtig, die Informationen außerhalb von Fileservern halten und trotzdem sichern müssen. Zwar erreichen die besten Komprimierungsprogramme für Daten in der Regel einen Faktor von 2:1, das ist jedoch zu wenig, um ein Backup über eine RemoteVerbindung durchführen zu können. Deshalb benötigt die Sicherungs-Software zusätzliche Intelligenz, um weitere
HL-ZSKompression
RedundantFileElimination
RedundantBlockElimination
Networker Remote Client
Networker Remote Server
Durch die Kombination aus Datenkompression, Redundant-File- und Block-Elimination kann die zu sichernde Datenmenge bis auf ein Zehntel reduziert werden
Einsparungen bei der Übertragung der Daten zu erzielen. Die Schlüsselbegriffe hierbei lauten Redundant-File-Elimination (RFE) und Redundant-Block-Elimination (RBE). Mit diesen beiden Verfahren kann das zu übertragende Datenvolumen auf bis zu ein Zehntel reduziert werden.
Viele Dateien auf den Notebooks der Anwender sind identisch mit denen ihrer Kollegen. Dies sind beispielsweise Windows-Systemdateien oder eine OfficeSuite. Auch können dies Dokumente und Präsentationen sein, die alle mobilen Benutzer mit sich führen, aber einfach nur
L AN line 1/2000
123
SCHWERPUNKT: MOBILE COMPUTING
Duplikate von Standards sind, die jeder im Unternehmen verwendet. Einen Ansatz für die Datenreduktion beim Sicherungsvorgang bietet hier RFE mit einem Algorithmus, der jeder Datei einen individuellen identifizierenden Schlüssel zuordnet. Beim Backup werden dann nur die Dateien übertragen, die der Sicherungs-Software nicht bekannt sind. Damit kann die gesamte zu übertragende Datenmenge auf ein wesentlich geringeres Volumen reduziert werden als dies mit einer herkömmlichen Komprimierung möglich wäre. Das ist bereits ein großer Gewinn für die Backup-Dauer und die Ausnutzung der Ressourcen. Zusätzlich kann ein sogenannter Remote-Agent bei allen geänderten Dateien die Art der Änderung feststellen und überträgt dann mittels RBE nur diejenigen Blöcke, die sich geändert haben. Bei einer 2 GByte großen Datei können das beispielsweise nur einige wenige KByte sein. Als Backup-Server dient in diesem Konzept ein sogenannter Vault, der die Daten der Clients sammelt und ordnet. Um jederzeit Änderungen an den Referenzen vornehmen zu können, werden die Daten des Vaults nicht auf Band, sondern direkt in einer Server-Datenbank gehalten. Das erste jemals auf diesen Vaults durchgeführte Backup – das “SeedBackup” – ist die Basisreferenz für alle nachfolgenden Sicherungen. Alle anderen Backups beziehen sich auf diese erste Sicherung. Wann immer zusätzliche Sicherungen erfolgen, beziehen sich diese wiederum auf die dort vorgehaltenen Versionen. Nur neue Informationen werden tatsächlich hinzugefügt, auf die sich wiederum die nachfolgenden beziehen und so weiter. Da diese Art der Sicherung zwar sehr effektiv ist, aber anfällig bezüglich der Daten in der Datenbank, sollte daher von dieser Datenbank eine Bandsicherung durchgeführt werden. Dieses inkrementelle Konzept ermöglicht dann eine effektive Sicherung über eine Modemverbindung. Für viele Administratoren ist jedoch die Verringerung der Netzwerkbelastung wesentlich wichtiger. Zwar wird durch die verschiedenen Komprimierungs-
124
L AN line 1/2000
schritte nur ein Minimum an Daten übertragen. Starten jedoch einige 100 oder 1000 PCs ihre Backups gleichzeitig, bedeutet dies trotzdem eine gewaltige Belastung für das Netz. Hier muß ein Vorgehen gefunden werden, das über verschiedene Parameter die Netzwerkbelastung optimiert. Dazu gibt der Administrator bei der Planung der Backups einfach ein Zeitfenster an, in dem gesichert werden darf, und legt die Anzahl an Maschinen fest, die maximal zur gleichen Zeit sichern dürfen. Das Ergebnis: Aus einer Menge von PCs wird immer nur eine (zufällige) maximale Anzahl gesichert, alle anderen versuchen nach einer zufälligen Wartezeit nochmals Kontakt mit dem Backup-Server aufzunehmen. DISASTER RECOVERY Die größte Gefahr
für Daten auf Notebooks ist der Diebstahl des kompletten Geräts. Den materiellen Schaden übernimmt zwar meist die Versicherung. Der Schaden, der durch den Verlust wichtiger Informationen entsteht, kann jedoch um ein Vielfaches höher sein. Auch das Risiko einer Beschädigung von Notebooks ist aufgrund ihrer Mobilität wesentlich höher. Daher sollte eine Backup-Software in der Lage sein, eine Disaster-Recovery-Diskette zu erzeugen, die genügt, um einen neuen Computer mit dem Backup-Server zu verbinden und die Daten auf diesem Rechner wiederherzustellen. Für den Recovery-Prozeß sollte so gut wie keine Interaktion des Benutzers notwendig sein. FAZIT Wenn man führenden Beratungsun-
ternehmen glauben darf, dann liegen heute fast 70 Prozent aller unternehmenskritischen Dateien auf den “C-Platten” der Anwender. Dieser Umstand legt zwei Konsequenzen nahe: entweder die Abschaffung aller lokalen Festplatten und die Rückkehr zur zentralistischen Datenhaltung, oder eine flexible Datensicherungslösung, die jederzeit in der Lage ist, sich den dynamischen Änderungen am Markt anzupassen. (Thomas Madsen/gh) Thomas Madsen ist Regional Manager Central Europe bei Legato Systems
REMOTE-ACCESS-LÖSUNGEN
Herausforderung oder Managementproblem Immer mehr mobile Mitarbeiter und Teleworker verlangen von ihrem Arbeitgeber den Zugriff auf das Unternehmensnetz – von überall aus. Während Remote-Access bis vor kurzem oft noch eine technische Herausforderung darstellte, wird die Technologie heute eher zu einem Managementproblem für Administratoren, da die ihnen anvertrauten Benutzer nicht mehr vor Ort anzutreffen sind.
ährend der Begriff “Remote-Access” oft großzügig auf die unterschiedlichsten Einsatzbereiche ausgedehnt wird, so liegt der Schwerpunkt doch im Netzwerkbereich und meint speziell die Aufgabe, Home Offices und
W
Erste RemoteAccess-Lösungen wurden als Zusatzdienst für bestehende Server realisiert. Administratoren rüsteten zu diesem Zweck Novell Netware, Windows NT und Unix-Systeme mit Modem- und VORAUSSETZUNGEN
Der Remote Client Manager ist ein Verwaltungswerkzeug, mit dem der Administrator den Zugang mobiler Rechner zum Firmennetz verwalten kann
mobilen Arbeitsplätzen den Fernzugriff auf das Firmennetzwerk zu ermöglichen. Ob der Anwender sich unterwegs, vor Ort beim Kunden oder am Flughafen befindet: Zu jeder Zeit kann der Zugriff auf bestimmte Daten den Ausschlag zwischen Erfolg und Scheitern geben.
ISDN-Karten aus. Spezielle Software übernahm die Aufgaben eines Routers und leitete Datenpakete vom lokalen Netz über die Telefonleitung. Mittlerweile setzen sich in Unternehmen jedoch immer mehr spezialisierte und Hardwarebasierende Remote-Access-Server durch. Die hierfür eigens entwickelte Hardware
nimmt weniger Platz in Anspruch, arbeitet effizienter und konzentriert mehr Ports pro Fläche. Die Geräte sind flexibel, Einschubmodule können um zusätzliche Ports für die Nutzung neuer Verbindungsmedien erweitert werden. Aber auch ein autarker Remote-Access-Konzentrator steht nicht für sich allein. Er ist in ein Netzwerk eingebunden und muß als aktiver Teilnehmer im Netz verwaltet werden. Der Administrator muß Benutzer einrichten, die Auslastung kontrollieren und sicherstellen, daß der Konzentrator richtig läuft. Dies geht einfacher und schneller, wenn das Gerät Teil einer umfassenden Managementlösung ist. Denn ein Zugang von außen ist zwar für jedes Unternehmen wichtig. Doch können nicht nur die eigenen Mitarbeiter einen Weg ins Firmennetz finden, sondern auch allerlei unliebsame Zeitgenossen interessieren sich für solche Zugänge. Ohne strenge Richtlinien geht bei der Administration daher schnell die Übersicht verloren. Und ohne Übersicht schlüpfen ungebetene Gäste leichter durch die Abwehrgitter. Viele Anwender nehmen Remote-Access nur während des Einwählvorgangs wahr. Sobald die Verbindung steht, ist für sie die Sache erledigt. Aber für ein Remote-Access-System geht die Arbeit mit der Einwahl erst los: Darf die Person den Einwahlzugang überhaupt benutzen? Und ist sie die, die sie vorgibt zu sein? Um hier für die nötige Sicherheit zu sorgen, kann man eine ZweiFaktoren-Autorisierung verwenden. Nur wenn beide Faktoren korrekt sind, erlaubt der Remote-Access-Server den Zugang zum Firmennetzwerk. Doch selbst strengste Vorkehrungen können ausgehebelt werden. Daher obliegt es dem Administrator, Vorkehrungen zu treffen und im Ernstfall den Einbruch zu erkennen. Er muß Maßnahmen ergreifen und solche Fälle abzuwehren. Das wichtigste Werkzeug dabei sind lückenlose Protokolle. Alles was an den Einwahlports geschieht, sollte daher detailliert aufgezeichnet werden. Uhrzeit, Datum, IP-Adresse, MAC-Adresse der Netzwerkkarte, Berechtigungen – jedes
L AN line 1/2000
125
SCHWERPUNKT: MOBILE COMPUTING
Detail kann helfen, um das System abzuschotten und Mißbrauch aufzuspüren. MASSE UND KLASSE Die Einbindung von Home-Office-PCs und mobilen Arbeitsplätzen in Firmennetzwerke gehört zu den heikelsten Aufgaben der Netzwerkverantwortlichen. Dabei ist der eigentliche Zugriff technisch betrachtet gar nicht so
Notebook wählt sich über eine Telefonleitung in das Firmennetz ein. Der Begriff “PC” ist dabei mittlerweile eine recht dehnbare Bezeichnung. Immer mehr PDAs (persönliche digitale Assistenten) besitzen E-Mail-Funktionalität und einen Webbrowser, verhalten sich also wie ausgewachsene Personalcomputer und lassen sich – in Grenzen – auch so einsetzen. Nun arbeiten viele mobile
VPN Gateway
Wählt der mobile Benutzer den Weg durch das Internet, sorgt ein VPN-Tunnel für eine abhörsichere Kommunikation mit der Firmenzentrale
schwierig zu lösen. Die Frage ist vielmehr, wie die wachsende Zahl der externen Clients verwaltet werden kann und wie man das Netzwerk vor unberechtigtem Zugriff und Mißbrauch schützt. Je größer das Netzwerk und je sensibler die Daten, desto existentieller ist das Sicherheitsproblem. Ein effektives Policy-Management regelt den Zugriff durch einzelne Benutzer auf einen Remote-Access-Server und schützt damit das Firmennetz vor unberechtigtem Zugriff. Remote-Access läßt sich jedoch nicht nur über traditionelle Wählverbindungen, sondern auch über das Internet nutzen. Hierbei entsteht ein weiteres Sicherheitsrisiko: Das Internet ist nach allen Seiten offen, und eine sichere Verbindung durch diese offenen Netze muß erst virtuell erzeugt werden. Durch das sogenannte “Tunneling” bezeichnet, kreieren Virtuelle Private Netze (VPN) geschlossene und somit geschützte Transportwege von Daten durch das Internet. Solche VPN-Verbindungen müssen wiederum durch eine Software sowohl auf Server als auch auf Client-Seite administriert werden. MANAGEMENT In der Regel weisen Re-
mote-Access-Anwendungen immer das gleiche Grundmuster auf: Ein PC oder
126
L AN line 1/2000
Anwender sowohl mit einem PDA als auch mit einem Notebook und einem Desktop-PC. Klar, daß die Daten auf allen Geräten identisch sein müssen, also ist eine flexible und komfortable Lösung für deren Abgleich notwendig. Wichtig ist dabei die Erkenntnis, daß Remote-Access nicht einfach nur ein technisches Problem ist. Der technische Aspekt, also die Verbindung zwischen entferntem Client und Netzwerk aufzubauen, ist relativ einfach zu lösen. Viele Unternehmen verfügen im Grunde über die erforderliche Technologie. Das weitaus größere Problem stellen die Verwaltung, Sicherung und Wartung dieser Zugriffssysteme dar.
Daher spezialisieren sich Software-Anbieter auf Management-Software für umfangreiche Remote-Access-Szenarien. Diese Management-Software regelt die entfernte Anbindung von Clients an Netzwerke, gewährleistet den reibungslosen Ablauf der Datenübertragung und sichert das Netzwerk vor unberechtigtem Zugriff. Mit der Zahl der einzubindenden externen Arbeitsplätze nimmt der Administrations- und Distributionsaufwand für die erforderliche Software, für das Management der Zugriffe und die Pflege der Clients erheblich zu. Man stelle sich vor: Das Netzwerk eines mittleren bis großen Unternehmens enthält schnell einige hundert Clients. Bei jedem dieser Clients muß die entsprechende Software installiert und regelmäßig gepflegt werden. Es dürfte einleuchten, welch hoher Verwaltungsaufwand damit verbunden ist. Bei Remote-Access-Szenarien kommt es daher nicht nur darauf an, den Server mit einer effizienten Management-Software auszustatten, sondern auch für den Client am anderen Ende muß gesorgt werden. Wie man sieht, gibt es also zwei Seiten zu betrachten, wenn man über RemoteAccess spricht: Einerseits die Verwaltungs-, Kontroll- und Schutzfunktion aus der Sicht des Firmennetzwerks, auf das zugegriffen wird (Remote-Access-Management). Und andererseits die zentrale Einrichtung, Verwaltung, Kontrolle und Pflege der Clients (Remote-Client-Management). Handhabbar werden RemoteAccess-Lösungen vielfach erst durch die Kombination beider Aspekte, spätestens bei einer größeren Zahl von Clients, die
sich schon vom Zeitaufwand her nicht mehr geräteweise, vor Ort oder in der Zentrale, bearbeiten läßt. Ein RemoteAccess-Managmentsystem sollte daher beide Seiten umfassend bedienen. ACCOUNTING Anwender früherer Remote-Access-Lösungen klagten vor allem über einen Kostenfaktor: zu hohe Telefongebühren. Jede Verbindung wurde direkt, Punkt-zu-Punkt, über eine herkömmliche Wählverbindung (Modem, Telefon) zwischen Client und Server aufgebaut, egal über welche Distanz, auch wenn dazwischen ein Ozean oder ganze Kontinente lagen. Heutzutage kann man sich über lokale Verbindungen in das Internet einwählen, dabei entfallen die Gebühren für Ferngespräche, was die Telekommuniktionskosten senkt. Ein weiterer Vorteil der neuen Technologie ist die höhere Geschwindigkeit der Datenübertragung, durch die Verbindungszeiten reduziert werden. Doch unabhängig davon, wie sich die Telefonkosten reduziert haben, legt der Controller immer noch Wert auf eine genaue Kostenübersicht. Daher sollte auch eine entsprechende Accounting-Software Bestandteil einer Managementlösung sein, die genaue Angaben zu den Verbindungskosten liefern kann.
Weg von A nach B über etliche Teilnetze. Auf diesem Weg können sie abgefangen und mitgelesen werden. Datenpakete außerhalb der schützenden Firewall sind ohne technischen Aufwand lesbar. Das Internet ist weitestgehend ein rechtsfreier Raum, und es gibt keine zentrale Instanz, die alle angeschlossenen Teilnetze beaufsichtigt. Viele der Subnetze sind privat und werden von Firmen oder Universitäten betreut, unterliegen also dem Einfluß unbekannter Organisationen und Personen. Daher sollte schließlich neben Management und Kostenkontrolle auch der Sicherheitsaspekt Teil der Managementlösung sein. FAZIT Remote-Access ist aus der heuti-
gen Geschäftswelt nicht mehr wegzudenken. Im Gegenteil, es wird sich immer mehr durchsetzen und gleichzeitig immer komplexer und vielfältiger werden. Parallel dazu wächst der Bedarf an Management-Software zur optimalen Administration der Remote-Access-Lösungen. Denn nur dadurch läßt sich der stetig wachsende Aufwand für Verwaltung und Pflege von Remote-AccessServern und Clients überhaupt bewältigen. (Amelie Heinrichsdorff, Michael Wehe/gh) Dr. Amelie Heinrichsdorff ist verantwortlich für Public Relations bei Acotec. Michael Wehe ist PR-Berater für Acotec.
SICHERHEIT Das Internet eignet sich bestens als Verbindungsmedium für Netzwerke und Computer. Der Nachteil hierbei: die Datenpakete wandern auf ihrem
L AN line 1/2000
127
SCHWERPUNKT: MOBILE COMPUTING
DER MOBILE ADMINISTRATOR
Server-Überwachung mit dem Handy Um sicher zu gehen, daß jeder Web-Server rund um die Uhr verfügbar ist, überwachen Mitarbeiter der Cybernet AG die Rechner in der firmeneigenen Server-Farm per Handy und den Short-Message-Service (SMS). Über ihr Mobiltelefon können die Administratoren auch abgestürzte Server neu starten.
n der Web-Farm der Cybernet AG am Münchner Rosenkavalierplatz laufen rund 100 Server, die namhafte Firmen dem Internet-Service-Provider (ISP) anvertraut haben. Zu den Unternehmen, die ihre Server zur Rund-um-die-Uhr-Überwachung und Vermeidung von Personalkosten außer Haus geben, zählen unter anderem ein Automobilkonzern und zahlreiche Finanzdienstleister. Bei etwa 70 Servern ist die
I
MOBILER ADMINISTRATOR Der für die Server-Überwachung zuständige Mitarbeiter aus dem Support-Team muß jedoch am Abend nicht im Büro ausharren. Er kann sich guten Gewissens im Biergarten mit Freunden treffen, sofern er in einer halben Stunde seinen Arbeitsplatz erreichen kann. Denn es genügt, wenn er auf seinem Handy eingehenden SMS-Meldungen liest. Erreicht ihn beispielsweise die Nach-
Der SMS-Gateway ist das Bindeglied zwischen dem SMS-Center des Mobilfunknetzbetreibers und dem lokalen Netzwerk
Überwachung aufgrund kritischer Prozesse oder vertraglicher Übereinkünfte permanent erforderlich. Um das Versprechen der hundertprozentigen Verfügbarkeit der Web-Server gegenüber den Kunden einzulösen, ist Cybernet nicht nur über ein Call-Center (First Level Support) erreichbar. Im Second Level Support teilt sich das Team von Operationsmanager Michael Simon eine 7-mal-24-Stunden-Bereitschaft.
128
L AN line 1/2000
richt “red host HTTP connection to www...”, so muß der Mitarbeiter nicht gleich hektisch ins Büro zu fahren. Mit einer SMS und dem Befehl “remote shutdown” fährt er einfach das betroffene System über sein Handy herunter und stößt mit “reset” einen Neustart an. Systemabstürze sind die Fehler, die in Server-Farmen am häufigsten auftreten. Über das Mobiltelefon erzielen jetzt auch diejenigen Team-Mitglieder, die
gerade auf Dienstreise sind, sehr kurze Reaktionszeiten bei der Überwachung und beim Neustart der Rechner. Neben den sieben Mitarbeitern aus dem Team von Operationsmanager Michael Simon nutzen bereits etwa 20 Kunden der Cybernet AG das Handy, um jederzeit und von jedem beliebigen Ort aus mit ihrem Web-Server in Kontakt zu treten. Alle Abfragen und Befehle über das Mobiltelefon an die Cybernet-Server laufen dabei über das Gateway “SMS-Message-Center” der Münchner Software-Firma Solutions E.T.C. Das SMS-Message-Center ist im Gegensatz zur Masse der SMSProdukte in der Lage, Befehle von einem Mobiltelefon via SMS an einen Rechner zu übermitteln. Jedes Mail-fähige System kann mit dem Gateway von Solutions E.T.C. kommunizieren. Das SMS-Message-Center überträgt die Kurznachrichten mit maximal 160 alphanumerischen Zeichen nicht nur über ISDN- oder X.25-Netze (Datex-P), sondern auch über ein GSMModem in die Mobilfunknetze. ARCHITEKTUR Die Einbindung der be-
treuten Server in die Überwachung – die Cybernet AG setzt das Unix-SharewareTool “Big Brother” ein – erfolgt über ein Konto auf einem POP3-Mail-Server. Treten an einem überwachten Server Fehler auf, so leitet Big Brother die Alarmmeldungen per E-Mail an den Mail-Server weiter. Das SMS-Gateway holt diese Nachrichten dort ab und versendet sie an die im Betreff angegebene Handy-Nummer. Die Abbildung zeigt die prinzipielle Funktionalität des Gateways: Die an ein sogenanntes Front-end (in diesem Fall POP3) angelieferten Nachrichten werden dort protokolliert und in eine Warteschlange eingestellt. Dabei kommt ein semipersistentes Queuing-Modell zum Einsatz, bei dem die Warteschlangen über das sogenannte Memory Mapping nicht nur im Speicher, sondern auch auf der Festplatte abgebildet werden. Dadurch kann keine Nachricht verlorengehen, und nach einem Wiederanlauf, beispielsweise nach einem Stromausfall, werden die noch nicht versendeten Nachrichten weiterbearbeitet. Der auf die Front-ends folgende Router
Der Message-Router des SMS-Gateways übernimmt die Verteilung der Kurznachrichten auf die verschiedenen Kommunikationskanäle der Back-ends
übernimmt die Nachrichten und verteilt sie auf die Warteschlangen. Dabei stehen ihm unterschiedliche Regeln wie Zielnetz (D1, D2, E-Netz – ermittelt aus der Empfängerrufnummer), Verfügbarkeit des Back-ends sowie aktuelle Auslastung und eine innerhalb des Systems mögliche Priorität zur Verfügung. Mit dieser Priorität lassen sich Nachrichten aus einer bestimmten Quelle vor anderen Nachrichten wie allgemeine Weiterleitung von E-Mails an SMS-Empfänger in die Warteschlangen einstellen. Das Back-end versendet die Nachricht dann über das ihm zugeteilte Gerät (Modem, GSM-Modem, X.31- beziehungsweise X.25-Modem oder ISDN-Karte) an den Empfänger. Gleichzeitig werden die Nachrichten hier wieder protokolliert. Das Back-end nimmt natürlich auch Nachrichten aus dem GSM-Netz entgegen, die dann über den Router an das entsprechende Front-end weitergegeben werden. In den Back-ends sind die für den Anschluß an das jeweilige GSM-Netz notwendigen Protokolle implementiert: PDU (Protocol Description Unit), TAP (Telecator Alphanumeric Protocol), UCP (Universal Computer Protocol), SMPP (Short Message Peer-to-Peer). Auch unterschiedliche Transportwege (X.25, TCP/IP, TCP/IP über X.25 etc.) können realisiert werden. Um nun einen Befehl wie beispielsweise “restart” auf einem der Server abzusetzen, muß die vom Handy eingehende Nachricht an das “Command-Front-end”
weitergeleitet werden. Die notwendige Information entnimmt der Router hier der Absenderkennung (Rufnummer des Handys). Das Front-end überprüft die Absenderkennung und ein zusätzlich zu übermittelndes Paßwort. Damit ist es nur autorisierten Benutzern möglich, einen entsprechenden Zugang zu erhalten. Der übermittelte Befehl wird anschließend in einem vom Front-end eröffneten Prozeß ausgeführt. Natürlich kann an dieser Stelle auch ein Programm oder Script aufgerufen werden. Allerdings sind keinerlei Rückmeldungen bis auf den “exit status” des Prozesses möglich. Dieser wird per SMS an das rufende Handy zurückgemeldet. Eine Befehlszeile auf dem Handy sieht dann beispielsweise so aus: “Passwort!rcontrol shutdown\server1” (“rcontrol” ist in diesem Fall ein Script, und die beiden folgenden Begriffe sind die dazugehörigen Parameter). Die Rückmeldung an das Handy lautet dann zum Beispiel: “Process completion with exit code 0”. Um den Kaltstart der Web-Server vom Handy aus zu ermöglichen, baute Cybernet in die 19-Zoll-Racks eine Schalterlösung mit einem Relay ein. Über die serielle Schnittstelle des SMSGateways läßt sich mit einem entsprechenden Programm die Stromversorgung oder der Hardware-Reset der Rechner schalten.
senden, genügt freilich noch nicht für die Überwachung einer Server-Farm per Mobilfunk. Cybernet hat daher das Gateway um eine Art Firewall ergänzt. So wird bei eingehenden Anrufen über eine Datenbankabfrage nicht nur die Caller-ID (Rufnummer des Handys) sowie in der SMS enthaltene Paßwort überprüft, sondern es stehen auch jedem berechtigten Benutzer nur bestimmte Befehle und Parameter zu Verfügung. Damit kann verhindert werden daß der Administrator der Server-Gruppe A auf andere Server innerhalb der Farm zugreifen kann. Stimmt auch nur ein Parameter nicht mit den Angaben in der Datenbank überein, bricht das SMS-Gateway den Kontakt zum Handy kommentarlos ab. Unbefugte Eindringlinge erhalten auf diese Weise keine Möglichkeit, aus Antworten vom SMS-Gateway irgendwelche Rückschlüsse zu ziehen. (Thomas Lemmer/gh) Dr. Thomas Lemmer ist Geschäftsführer von Solutions E.T.C. in München
SICHERHEIT Allein die Fähigkeit, Nach-
richten von einem Rechner mit einem Handy zu empfangen und Befehle zurückzu-
L AN line 1/2000
129
SCHWERPUNKT: MOBILE COMPUTING
Marktübersicht: GSM-Adapter Treiberunterstützung
Hersteller
Produktname
Abocom
GFM 560
●
●
●
● ● ●
AVM
AVM Mobile ISDN-Controller M1
●
● ● ●
● ● ● ● ●
AVM Mobile ISDN-Controller M2
●
Compaq
Funktionen und Protokolle
Optionale unterFunktionen stützte Netze
CPC-Card Typ I CPC-Card Typ II CPC-Card Typ III eunterstützt PC-Card Standard eunterstützt CardBus Standard öbenötigt externes Telefon MGSM-Telefon ist integriert Anschluß von Sprechgarnitur möglich S DOS dWindows 3.x dWindows 95 dWindows 98 dWindows NT dWindows 2000 dWindows CE ux Linux cO MacOS eDaten 9600 Bit/s g Upgrade auf 14,4 kBit/s möglich mKompression nach V.42bis Fax G3 Senden u. Empfangen Fax Class 1 Fax Class 2 1V.110 transparent mKompression nach MNP 5 leFehlerkorrektur MNP 4 leFehlerkorrektur RLP eUnterstützung Full/Half Rate efTelefonbuch (ETSI GSM 07.05) S SMS (ETSI GSM 07.05) NPSTN V.32 NPSTN V.34 NPSTN K56flex NPSTN V.90 NISDN e Ethernet MGSM 900 (D-Netz) MGSM 1800 (E-Netz) MGSM 1900 (USA)
Kartentyp
SpeedPaq GSM PC Card
● ● ●
● ● ●
● ● ● ● ● ●
● ●
● ●
●
● ● ●
●
●
● ● ● ● ● ●
● ● ● ●
●
● ●
●
● ●
●
● ● ● ●
● ● ● ●
● ●
●
● ●
●
● ●
●
● ● ● ● ● ● ● ●
● ●
●
●
● ● ● ●
● ● ● ● ● ●
● ●
Modem D-Link
DM-560 GSM
●
●
● ● ● ● ●
Digi International
Datafire Go! Pro
●
●
Ericsson
GC 25
●
IMK
I-Kurier+ 56K+GSM
●
●
● ● ● ● ●
●
● ● ● ● ● ● ● ● ● ● ●
●
I-Link+ 56K+LAN+GSM
●
●
● ● ● ● ●
●
● ● ● ● ● ● ● ● ● ● ●
● ● ● ●●
Nokia
Card Phone 2.0
●
Option International
Firstfone
●
●
GSM Only
●
●
●
● ● ● ● ●
GSM-Ready 33.6
●
●
●
GSM-Ready 56K
●
●
●
GSM-Ready 56K/ISDN
●
●
● ● ●
GSM-Ready Cellular Only
●
●
●
● ● ●
●
● ●
●
PC 70
●
●
●
● ● ● ● ●
●
● ●
PC 80
●
●
●
● ● ● ● ●
●
●
●
●
●
●
●
● ● ●
●
● ● ●
●
● ● ● ●
●
●
● ● ● ● ●
● ● ● ●
●
● ● ● ●●
●
●
● ● ● ● ● ● ● ● ● ● ● ● ●
● ● ● ● ●
● ●● ● ●
● ● ● ● ● ●
● ● ●
● ●
●
●
● ●
●
● ●
● ● ●
● ● ●
● ●●
● ● ●
●
● ●
●
● ●
●
●
● ● ● ●
● ●●
● ● ●
●
● ●
●
● ●
●
● ● ● ● ● ● ● ●
● ●●
●
●
Snap-On für Palmpilot
● ●
● ●
●
● ● ● ● ● ● ● ● ● ● ●
● ●●
● ●
●
● ●●
●
● ●
● ● ●
● ●
● ●
● ●●
●
● ●
● ● ●
● ●
● ● ●
● ●●
● ● ● ● ● ● ● ● ● ●
● ●
●
● ●
● ● ● ●
● ●●
Panasonic
EB-PAD 70
●
Portable Add-Ons
Freespirit Global 56K V90
●
●
●
● ● ● ● ● ● ●
●
●
● ● ● ● ● ●
Netmobile Fast
●
●
●
● ● ● ● ● ●
●
●
●
● ● ● ●
● ● ● ● ● ● ● ● ● ●●
Netmobile Fast Card
●
● ● ●
● ● ● ● ● ●
●
●
●
● ● ● ●
● ● ● ● ● ● ● ● ● ●●
Gold Card Global GSM/PCS
●
●
●
● ● ● ● ●
● ● ● ● ● ● ● ● ● ● ● ● ● ●
●
● ●●
●
●
●
● ● ● ● ●
● ● ● ● ● ● ● ● ● ● ● ● ● ●
●
● ●●
Psion Dacom
● ●
● ●
● ●
● ● ● ● ● ● ●
● ●●
1900 Global GSM/PCS 1900Upgrade Siemens
M 20
●
TDK
Global Freedom analoges
●
● ●
● ●
●
●
●
● ● ●
●
●
● ● ●
●
●
●
● ●
●
● ● ● ● ●
● ● ●
● ●
● ●
● ● ● ●
●
●
● ●
● ●●
● ● ● ●
●
● ● ● ● ● ● ● ● ● ●●
●
● ●
●
● ●
● ● ● ● ● ●●
● ●●
Modem V.90+ GSM Global Pro ISDN V.90 analog +ISDN+GSM GSM Data PC-Card Serie
● ●
●
●
6000 ●
●
●
Credit Card GSM
●
●
●
GSM-Connection Kit
● ● ● ● ●
Pro Digital 10/100 LAN
● ●
●
+GSM+ISDN Xircom
130
LANline 1/2000
●
● ● ● ●
● ● ● ● ● ●
●
●
●
● ●
●
●
● ● ● ● ● ● ● ● ● ●●
Anbieter: GSM-Adapter Hersteller/Anbieter Abocom AVM
Compaq D-Link Digi Digi/CDS Ericsson IMK/ICS
Nokia Option International
Option International/IME
Option International/ Nova Media
Panasonic Psion Dacom
Portable Add-Ons
Siemens TDK
TDK/IME
Xircom Xircom/CDS
Telefon Produkt 001/886/578-9090 GFM 560 030/39004404 AVM Mobile ISDNController M 1 AVM Mobile-ISDNController M 2 0180/3221221 SpeedPaq GSM PC Card Modem 06192/971121 DM-560 GSM 0231/9747-0 Datafire Go! Pro 02303/25009-0 Datafire Go! Pro 0180/3242220 GC 25 02181/29570 I-Kurier+ 56K+GSM I-Link + 56K+LAN+ GSM 0211/90895-197 Card Phone 2.0 089/212676-66 Firstfone GSM Only GSM-Ready 33.6 GSM-Ready 56 K GSM-Ready 56 K/ ISDN GSM-Ready Cellular Only PC 70 PC 80 06821/9074-60 Firstfone GSM-Ready 33.6 GSM Ready 56 k GSM-Ready 56 k/ ISDN GSM-Ready Cellular Only Snap-On für Palmpilot 030/3909040 Firstfone GSM-Only GSM-Ready GSM-Ready 56 K Snap-On für Palmpilot 040/8549-0 EB-PAD 70 06172/663-250 Gold Card Global GSM/PCS 1900 Global GSM/PCS 1900-Upgrade 0044/1256/361333 Freespirit Global 56 K V.90 Netmobile Fast Netmobile Fast Card 0180/5333226 M 20 02102/487-216 GSM Data PC-Card Serie 6000 Global Freedom analoges Modem V.90+GSM Global Pro ISDN V.90 analog +ISDN +GSM Pro Digital 10/100 LAN+GSM+ISDN 06821/9074-60 Global Freedom analoges Modem V.90+GSM Global Pro ISDN V.90 analog+ISDN+ GSM Pro Digital 10/100 LAN+GSM+ISDN 089/60768346 Credit Card GSM GSM-Connection Kit 02303/25009-0 Credit Card GSM
Preis in DM k. A. 980 1480 k. A. k. A. 895 k. A. 829 456 861 749 775 223 233 330 546 233 516 749 775 241 335 559 223 223 689 223 749 516 172 602 394 249 k. A. k. A. k. A. 602 453 649
749
900 387
646
559 426 278 k. A.
LANline 1/2000
131
Informationen schnell per Inserenten Inserent
Seite
Kennz.
Acer AddOn ADN Akademie f. Netzwerksicherheit Aladdin ARTHUR ANDERSEN Articon Atlantik Systeme AVM Check Point Software Compaq Compaq Compu-Shack Computer Competence ComputerLinks ComputerLinks CompuTrain Connect Consultix Crocodial CSG CyberGuard Cybex Dafür Dakota dc congresse Debis Systemhaus DEUTSCHE PEROT SYSTEMS Deutsche Telekom D-Link
33 51 145 145 29 134 146 39 2 155 4/5 156 31 146 21 145 146 7 53 146 146 79 47 55 131 101 138 139 13 9
019 028
016 062 022 001 002 005 003 018 012
006 029
043 026 030 058 052 067 068 009 007
Inserent
Seite
DV-Job.de 132 DV-Markt 132 edcom 146 Eicon Technology 111 ELSA 15 Enterprise 71 Ergotron 30 FiberLan 89 GeNUA 77 Huber + Suhner 146 HUK-COBURG 140 IBM 61 Icon 83 Infratec plus 103 Innominate 142 LANDIS 145 LANworks 145 Legato 43 Loewe Opta 136 Logica 138 MCI WorldCom Deutschland 135 MCI WorldCom Deutschland 143 Multimatic 70 NETCOMM 67 NetGuard 75 Object Masters 144 ODS 99 OpenCom Informationstechnologie142 Overland Data 37 Pan Dacom 23
Kennz. 060 059 054 010 039 017 047 042 069 033 045 053 072
024 064 066 063 073 038 036 040 074 051 071 021 013
Inserent
Seite
Panduit 65 Pentair 48/49 Ponsit Information Technologies 144 PwC Deutsche Revision 141 RADWARE 45 Raritan 57 RBR Networks 95 Reichle & De-Massari 59 S&N 145 Secure 124 SEH 63 Seicom 3 Senetco 35 Servonic 127 Siemens 91 SoftService 123 Software AG 137 TDK 27 Telemation 11 The Bristol Group 76 TIM 25 TLK 41 Trefz & Partner 146 ZyXel 19
Kennz. 035 027 075 070 025 031 050 032 056 034 004 020 057 048 055 065 015 008 041 014 023 011
Beilagen und Beihefter Articon Information
Recherche im WEB
Web: Sie suchen in unserer Online-Datenbank die für Sie interessanten Produkte. Dann entscheiden Sie, in welcher Form Sie kontaktiert werden möchten. Wir leiten Ihre Anfrage an den Ansprechpartner weiter, der Sie dann auf dem von Ihnen gewünschten Weg kontaktiert. Und so funktioniert LANline Info: Unter http://www.lanline.de/info
Der Web-Kennzifferndienst LANline Info macht die gezielte Suche im WWW so komfortabel und schnell wie nie zuvor. Dieses Tool funktioniert im Prinzip wie das Leser-Info-Fax, das den LANline-Lesern ja seit Jahren vertraut ist, allerdings mit erheblich erweiterten Möglichkeiten und allen Vorteilen des World Wide
wählen Sie zunächst aus, in welcher Ausgabe der LANline Sie recherchieren möchten. Dann wählen Sie eine oder mehrere Produktkategorien aus. Alternativ können sie, falls Sie schon genau wissen, wofür Sie sich interessieren, direkt den Namen des Anbieters eingeben. Zusätzlich steht Ihnen noch die Option “Alle Anzeigen und redaktionellen Beiträge” zur Verfügung. Drücken Sie die Schaltfläche “Weiter”, um Ihre Abfrage zu starten. Das System stellt nun eine Liste aller Inserenten und redaktionellen Beiträge zusammen, die Ihren Suchkriterien entsprechen. Wenn die Firma eine eigene Website besitzt, dann ist der Firmenname in der linken Spalte mit einem Hyperlink unterlegt. Damit kommen Sie direkt auf die Web-Seiten des Anbieters. Wichtig für Ihre Info-Anforderung sind die letzten vier
Spalten. Hier können Sie bei jeder Firma ankreuzen, ob Sie weitere Informationen per EMail, Post, Fax oder Telefon erhalten möchten. Selbstverständlich können Sie hier mehr als eine Firma ankreuzen. Auf diese Weise können Sie ohne zusätzlichen Aufwand gleich mehrere Anfragen generieren. Bei der erstmaligen Benutzung von LANline Info drücken Sie jetzt einfach den “Weiter”Button und gelangen damit zur Eingabemaske für Ihre Kontaktinformationen. Noch schneller geht es, wenn Sie das System schon einmal benutzt haben. Dann reicht die Eingabe Ihrer EMail-Adresse aus, und ihre Daten werden automatisch ergänzt. Wenn Sie jetzt “Weiter” drücken, gelangen Sie auf eine Bestätigungsseite, und das System generiert für jeden der von Ihnen angekreuzten Anbieter eine Anfrage, die per E-Mail an den zuständigen Ansprechpartner verschickt wird. Dieser setzt sich mit Ihnen auf dem von Ihnen gewünschten Weg in Verbindung. Auf der Bestätigungsseite finden Sie außerdem eine kleine Online-Umfrage, deren Ergebnisse uns dabei helfen, die LANline auch weiterhin mit den richtigen und wichtigen Informationen für Sie zu füllen. (Frank-Martin Binder/rhh)
Info-Fax oder Internet ▲
● Tragen Sie die entsprechende Kennziffer unter www.lanline.de/info an der vorgesehenen Stelle ein und Sie gelangen direkt und ohne Umwege zu Ihren gewünschten Zusatzinformationen.
●Info-Fax
# 023
▲
●Info-Fax
▲
Der moderne Weg zu detaillierten Informationsmaterial zu der in dieser Ausgabe veröffentlichten Anzeigen. www.lanline.de/info
▲
● Selbstverständlich haben Sie nach wie vor die Möglichkeit, weitere Anzeigen-Produkt-Infos mit dem untenstehenden Faxformular abzurufen. Einfach ausfüllen und an die Fax-Nummer 08621/97 99 60 faxen. Zum schnellen Überblick haben wir alle inserierenden Firmen auf der gegenüberliegenden Seite aufgelistet. # 023
www.lanline.de/info
An AWi-Verlag LANline-Leserservice Edith Winklmaier Herzog-Otto-Str. 42 83308 Trostberg
ine l N L A 2000 1/ Meine Anschrift lautet:
Ich möchte Informationsmaterial zu Anzeigen mit folgenden Kennziffern (siehe nebenstehende Übersicht):
Firma Abteilung
1.
2.
3.
4.
5.
6.
Vorname/Name Straße/Nummer PLZ/Ort
7.
8.
9.
10.
11.
12.
Telefon Fax
Meine Funktion: (bitte ankreuzen) ❑ Spezialist ❑ Gruppen-/Abteilungsleiter ❑ Einkauf ❑ Unternehmensleitung ❑ Mein Unternehmen beschäftigt: ❑ 1 bis 19 Mitarbeiter ❑ 100 bis 249 Mitarbeiter ❑ über 1000 Mitarbeiter
❑ 20 bis 49 Mitarbeiter ❑ 250 bis 499 Mitarbeiter
Mein Unternehmen gehört zu folgender Branche: ❑ Elektroindustrie ❑ Maschinenbau ❑ Fahrzeughersteller und -zulieferer ❑ Chemisch pharmazeutische Industrie ❑ Transport- und Logistikbranche ❑ Geldinstitute/Bausparkassen ❑ Versicherungswesen ❑ Reise- und Touristikbranche ❑ Handel und Dienstleistungen ❑ Öffentliche Verwaltung ❑ Hochschulen und Forschungsinstitute ❑ Nahrungs- und Genußmittel
❑ 50 bis 99 Mitarbeiter ❑ 500 bis 999 Mitarbeiter
Ich interessiere mich für folgende Computer- und Kommunikationssysteme: Betriebssysteme:
Hardware:
❑ MS-DOS ❑ VMS/OpenVMS ❑ Windows ❑ OS/2 ❑ Windows NT ❑ Ultrix ❑ UNIX ❑ OSF/1 ❑ System 7 ❑ Windows 95
❑ IBM ❑ DEC ❑ HP ❑ Sun ❑ Siemens ❑ Apple ❑ RISC-Systeme ❑ andere:
Kommunikationssysteme/ -lösungen: ❑ DECnet ❑ Novell-NetWare ❑ Banyan Vines ❑ LAN Manager/LAN Server ❑ PC-Host-Verbindung ❑ Pathworks ❑ ISDN/WANs ❑ Windows NT Advanced Server ❑ andere:
Damit Hersteller und Anbieter von Produkten, für die ich mich interessiere, meine Kennziffernanfragen so gezielt wie möglich beantworten können, bin ich damit einverstanden, daß diese Daten elektronisch gespeichert und weitergegeben werden. Ort, Datum
Unterschrift
VORSCHAU
2/2000 erscheint am 21.01.1999
VIER HARDDISKS IM VERGLEICHSTEST:
18 und 36 GByte mit 10.000 Umdrehungen
AUSFALLSICHERHEIT
MARKTÜBERSICHTEN: UNTERBRECHNUNGSFREIE STROMVERSORGUNGEN (USVS), HARDDISKS FÜR SERVER-SYSTEME
ANALYSE IN TCP/IP-NETZEN:
Einführung in die Netzwerkanalyse (Teil 3) INTELS KÜNFTIGE PROZESSORARCHITEKTUR:
IA-64 auf der Basis von EPIC-Technologie
MASSENSPEICHERSYSTEME
I M P R E S S U M HERAUSGEBER: Eduard Heilmayr (he) REDAKTION: Rainer Huttenloher (Chefredakteur) (rhh) Stefan Mutschler (Chefredakteur) (sm) Doris Behrendt (db) Dr. Götz Güttich (gg) Georg von der Howen (gh) Kurt Pfeiler (pf) Marco Wagner (mw) STÄNDIGER MITARBEITER: Thomas Schepp AUTOREN DIESER AUSGABE: Ulrich Averesch, Frank-Martin Binder, Jürgen Brand, René Baltus, Werner Degenhardt, Kai-Oliver Detken, Hartmut Giesen, Steffen Gundel, Prashant Gupta, Dr. Magnus Harlander, Amelie Heinrichsdorff, Thorsten Jüngling, Dr. Thomas Lemmer, Thomas Madsen, Peter Meuser, Christine Reckziegel, Andreas Roeschies, Oliver Thewes, Frank R. Walther, Michael Wehe, Marc-Bernd Woop REDAKTIONSASSISTENZ Edith Klaas, Tel.: 0 89/4 56 16-101 REDAKTIONSANSCHRIFT: Bretonischer Ring 13, 85630 Grasbrunn, Fax: 0 89/4 56 16-200 LANline-Compuserve-ID:
[email protected] http://www.lanline.de LAYOUT, GRAFIK UND PRODUKTION: Carmen Voss, Tel.: 089/45616-212, Edmund Krause (Leitung) ANZEIGENDISPOSITION: Carmen Voss, Tel.: 089/45616-212 Sandra Pablitschko, Tel.: 089/45616-108 TITELBILD: Wolfgang Traub ANZEIGENVERKAUF: Christine Endres (Leitung), Tel.: 0 89/456 16-106 E-Mail:
[email protected] Anne Kathrin Latsch, Tel.: 089/456 16-102 E-Mail:
[email protected]
154
L AN line 1/2000
LANline Spezial: CeBIT-Messeheft Aus- und Weiterbildung erscheint am 22.02.2000 ANZEIGENVERKAUFSLEITUNG AWI Cornelia Jacobi, Tel.: 0 89/71 94 00 03 E-Mail:
[email protected] ANZEIGENPREISE: Es gilt die Preisliste Nr. 11 vom 1.1.1999 ANZEIGENASSISTENZ: Davorka Esegovic, Tel.: 0 89/4 56 16-156 ANZEIGENVERWALTUNG: Gabriele Fischböck, Tel.: 0 89/45616-262 Fax: 089/45616-100 ERSCHEINUNGSWEISE: monatlich, 12 Ausgaben/Jahr zuzüglich 6 Themenhefte ABONNEMENT-BESTELL-SERVICE: Vertriebs-Service LANline Edith Winklmaier, Herzog-Otto-Str. 42, 83308 Trostberg, Tel. 0 86 21/64 58 41, Fax 0 86 21/6 27 86 Zahlungsmöglichkeit für Abonnenten: Bayerische Vereinsbank München BLZ 700 202 70 Konto-Nr. 32 248 594 Postgiro München BLZ 700 100 80 Konto-Nr. 537 040-801 VERTRIEB EINZELHANDEL: MZV, Moderner Zeitschriften Vertrieb, Breslauer Str. 5, 85386 Eching BEZUGSPREISE: Jahresabonnement Inland: 148,– DM Ausland: 174,– DM (Luftpost auf Anfrage) Vorzugspreise DM 110,- (Inland), DM 121,80 (Ausland) für Studenten, Schüler, Auszubildende und Wehrpflichtige – nur gegen Vorlage eines Nachweises (Immatrikulations-/ Schulbescheinigung o.ä.). Sollte die Zeitschrift aus Gründen, die nicht vom Herausgeber zu vertreten sind, nicht geliefert werden können, besteht kein Anspruch auf Nachlieferung oder Erstattung vorausbezahlter Bezugsgelder.
VORSCHAU auf kommende LANline-Schwerpunkte Ausgabe
Erscheint Schwerpunktthemen am
Redaktionsschluß
03/2000 11.02. 2000
Zugangstechnologien, 14.12. E-Commerce-Dienst- 1999 leister, Netzwerkbetriebssysteme
Sonder- 22.02. heft 2000
LANline Spezial: 04.01. CeBIT-Messeheft 2000 Aus- und Weiterbildung
04/2000 31.03. 2000
Converged Networks, Server- und Clusterlösungen
05/2000 28.04. 2000
Verkabelung, Optische 10.03. Speichertechnologien 2000
11.02. 2000
Wenn Sie zu einem oder mehreren dieser Themen einen Beitrag schreiben möchten, rufen Sie uns einfach an: 089/456 16-101
SONDERDRUCKDIENST: Alle in dieser Ausgabe erschienenen Beiträge sind in Form von Sonderdrucken erhältlich. Anfragen richten Sie bitte an Edmund Krause, Tel.: 0 89/4 56 16-240 beziehungsweise Fax: 0 89/4 56 16-250 DRUCK: R. Oldenbourg Graphische Betriebe Druckerei GmbH, Hürderstr. 4,
85551 Kirchheim/Heimstetten URHEBERRECHT: Alle in der LANline erscheinenden Beiträge sind urheberrechtlich geschützt. Alle Rechte, auch Übersetzungen, vorbehalten. Reproduktionen, gleich welcher Art, nur mit schriftlicher Genehmigung des Herausgebers. Aus der Veröffentlichung kann nicht geschlossen werden, daß die beschriebenen Lösungen oder verwendeten Bezeichnungen frei von gewerblichem Schutzrecht sind. © 1999 AWi LANline Verlagsgesellschaft mbH
MANUSKRIPTEINSENDUNGEN: Manuskripte werden gerne von der Redaktion angenommen. Mit der Einsendung von Manuskripten gibt der Verfasser die Zustimmung zum Abdruck. Kürzungen der Artikel bleiben vorbehalten. Für unverlangt eingesandte Manuskripte kann keine Haftung übernommen werden. VERLAG: AWi LANline Verlagsgesellschaft mbH Ein Unternehmen der AWi Aktuelles Wissen Verlagsgesellschaft mbH, Bretonischer Ring 13, 85630 Grasbrunn Web: http://www.awi.de Geschäftsführer: Eduard Heilmayr, Cornelia Jacobi ISSN 0942-4172
i v w
Mitglied der Informationsgemeinschaft zur Feststellung der Verbreitung von Werbeträgern e.V. (IVW). Bad Godesberg Mitglied der Leseranalyse Computerpresse 1999
