08 - ITwelzel.biz
Transcription
08 - ITwelzel.biz
Technik News - Netzwerkmagazin G46392 August 2000 D a s p r a x i s n a h e N 08 10. Jahrgang thema des monats VOLL DIE SEUCHE Viren in eMail und Netzwerk TEST AVM KEN! DSL 08 Ausgabe 08/2000 1 N e t z w e r k m a g a z i n AKTUELL e-Business und Info-Channel auf der neuen Compu-Shack Website 3 Herausgeber: COMPU-SHACK NEWS Tandberg Data: Neue Technologien beschleunigen Streamer Tandberg Data: Vollautomatisches Datenmanagement für Multiserver-Umgebungen 3Com: ADSL-Router beschleunigt LANs und Internet-Zugang 3Com: Linux-Netzwerktreiber für die neuesten NIC-Produkte 3Com: Total Control 1000 mit neuen Card Set Optionen AVM: Fritz! web- der schnelle und einfache Internetzugang Citrix Systems: V-ONE für erhöhte Sicherheit im Extranet Compaq: Prosignia NeoServer als All-in-One-Paket ICANN: Neue Top-Level-Domains Cisco: Catalyst 3524-PWR XL für Internet-Anwendungen Cisco: Management-Lösungen für IP-Mehrwertdienste Enterasys: RoamAbout, wo Kabel nicht mehr sinnvoll sind Intel : Neue Chipsätze für PCs mit Pentium III Intel : Stromverbrauch unter 1 Watt Newsticker 4 5 6 6 7 8 9 9 10 11 12 12 13 14 THEMA DES MONATS Viren in E-Mail und Netzwerk Electronic GmbH, Ringstraße 56-58, 56564 Neuwied Telefon: 02631/983-0 Telefax: 02631/28100 Electronic Mail: TECHNEWS @ COMPU-SHACK.COM 8 Redaktion: Heinz Bück, Hotline und Patches: Jörg Marx Verantwortlich für den Inhalt: Heinz Bück Technische Leitung: Ulf Wolfsgruber Erscheinungsweise: monatlich 1 Heft Bezugsquelle: Bezug über COMPU-SHACK Electronic GmbH Abonnementpreis: 119,- DM + MwSt. 16 Layout und Titelbild: Marie-Luise Ringma Wie wohl kein anderer bisher hat der ILoveYou-Virus die öffentliche Aufmerksamkeit auf die Verseuchung von Rechnern und Netzwerken mit Sabotage-Programmen gelenkt. Zumindest hat seine unliebsame Publicity die allgemeine Sensibilität der Anwender für die destruktive Kraft von Computerviren geweckt. Nutzen wir sie! Lithos: Görres-Druckerei, Koblenz Druck: Görres-Druckerei, Koblenz Lektorat: Andrea Briel Abo-Versand: Wolanski GmbH, HOTLINE Bonn Empfohlene Novell und Microsoft Patches Empfohene AVM, BinTec und Tobit Patches Neue Patches in der Übersicht: Novell, Microsoft, Computer Associates Neue Patches in der Übersicht: Tobit Empfohlene Computer Associates Patches Veritas Updates neu herausgekommen Empfohlene Veritas Updates Microsoft: Anmeldung beim NetWare-Server schlägt fehl Microsoft: E-Mail-Sicherheitsupdates blocken ausführbare Dateien Microsoft:Service Release 1 für Office 2000 und Outlook Novell: Tips zurNetWare 4.x Microsoft: Aus MS-DOS-basierten Programmen drucken Tandberg Data: Tips und Tricks für eine verbesserte Bandsicherung 30 31 32 33 34 35 36 37 38 40 42 43 44 TEST AVM: KEN! DSL in kleinen Netzwerken Reproduktionen aller Art ( Fotokopien, Mikrofilm, Erfassung durch Schrifterkennungsprogramme) - auch auszugsweise - nur mit schriftlicher Genehmigung des Herausgebers. Wir möchten uns nachträglich bei all denen bedanken, die durch die freundliche Zusammenarbeit das Erscheinen dieser Zeitung ermöglicht haben. Als Informationsquelle dient uns auch das Internet. Wenn Sie speziell über Ihre Erfahrungen referieren möchten, bieten wir Ihnen dies unter der Rubrik Hotline an. www.technik-news.de Selbstverständlich kann COMPU-SHACK die einwandfreie Funktion der vorgestellten Patches und Tips nicht garantieren und übernimmt keinerlei Haftung für eventuell entstehende Schäden. 46 PRAXIS Modernes Desktop Management, Teil 2: Rapid Deployment von LANDesk 6.4 Microsoft Windows 2000, Teil 7: Security 52 55 SEMINARE Microsoft, Linux und Novell Seminare, Sommer Trainings Camp 2000 60 VORSCHAU Info Channel Messen, Roadshows, Termine 08 62 63 Patch-CD DS8D.exe 95321PT2.exe BM3CP2.exe G554MLT.exe GW55SP4.exe NW5TCP.exe MWINOC1F.exe NW4610E.exe MCSCANNW.zip DIGITLD.zip DVC3PD.dll DV4EXSP1.exe SETUPNT.exe SERVTIME.exe O98SECU.exe OUT2KSEC.exe Ausgabe 08/2000 2 a AKTUELL COMPU-SHACK ONLINE Die neue Homepage kommt e-Business und Info-Channel auf der neuen Compu-Shack Website Von Heinz Bück Umfangreicher, übersichtlicher und noch informativer präsentiert sich im August die neue Compu-Shack Website im Internet. Sie bietet Compu-Shack Kunden rund um die Uhr E-Business über das Kunden-Informations-Zentrum KIZ, eröffnet weitreichende Informationskanäle des Network Channel und stellt dem Fachhandel wie den Herstellerpartnern von Compu-Shack eine einzigartige Präsentationsplattform im Internet. M Mit einem umfassenden Bestell- und Informationssystem wartet CompuShack noch diesen Monat im World Wide Web auf. Spätestens Mitte des Monats soll - wenn alles glatt läuft die Homepage im neuen Design freigeschaltet sein, völlig neu gestaltet, hochinformativ und brandaktuell. Es lohnt sich! Business Support Eine Fülle von Informationen erwartet die Besucher der neuen Website. Neben den Online-Diensten des Kunden-Informations-Zentrums KIZ stehen weitläufige Präsentationsforen von Compu-Shack´s Fachhandelsund Herstellerpartnern zur Auswahl. Vertrieb und Product-Marketing der Compu-Shack Distribution präsentieren sich themenbezogen zu allen gängigen Netzwerktechnologien, mit direkten Ansprechpartnern, Telefonund E-Mail-Kontakten. Die CompuShack Production, die Compu-Shack Education und die Compu-Shack Solution werden mit ihren weitreichenden Service-Angeboten ebenso zu finden sein wie Technik News online. Neu eingerichtete Aktionsforen der weltweit führenden Netzwerkhersteller präsentieren Produkte und Know-how. Online Dienste Das Kunden-Informations-Zentrum KIZ bietet wie gewohnt schnellen und direkten Zugang auf das Bestellsystem. Es beinhaltet laufende FaxAktionen und Hot-Products und bietet alle Service-Funktionen auf einen Blick: Übersichten über Aufträge und Artikel, direkten E-Mail-Kontakt für Nachrichten, Zugangsreglementarien und Anforderungen. Der zugehörige Mail-Robott ermöglicht die Auswahl und kontinuierliche Zustellung von frei definierbaren Produktinformation per E-Mail mit PDF, während der ständig aktualisierte Netzwerkkatalog eine direkte Übersicht über alle verfügbaren Netzwerkund Kommunikationsprodukte der weltweit agierenden Hersteller ermöglicht, mit technischen Features und Hintergrundskizzen 08 Ausgabe 08/2000 3 Auch alle Compu-Shack eigenen Zeitschriften und die Broschüren zu aktuellen Technologien und Trends sind jetzt online vertreten. Sie können wie Sales Guides und CDs auch - meist kostenlos - abgerufen oder per Post bestellt werden. Pressemitteilungen informieren über alle Neuerungen im Hause Compu-Shack. Latest News weist auf laufende Aktionen und Veranstaltungen für Fachhandel und Anwender hin. Die Technik-News-Abonnenten finden ihre TN-Website im neuen Web-Design wie gewohnt mit der laufenden Vorberichterstattung, zusammen mit dem Technik News-Archiv und der Verbindung zur Support-Datenbank der Compu-Shack-Hotline. Aktuelle Patches und neueste Information stehen bei Technik-News online für die Leser jederzeit abrufbereit, ein Service, der täglich weiterhilft. Denn strikter Praxisbezug und Anwendungsunterstützung für die Netzwerker vor Ort sind nicht nur die Kennzeichen des Praxisnahen Netzwerkmagazins. Daneben sind auch Sales News, das aktuelle Fachhandelsmagazin, und Channel Update mit seinen vierzehntägigen Aktionen für den Netzwerkmarkt im direkten Zugriff der Benutzer, für eine unmittelbare Verkaufunterstützung des Fachhandels. Schauen Sie im August unbedingt herein. Denn wie gesagt, es lohnt sich wirklich: www.compu-shack.de. AKTUELL Info Channel n NEWS TANDBERG DATA New SLR Generation Neue Technologien beschleunigen Streamer Mit ihren neuesten Produkten der SLR-Baureihe stellt Tandberg Data jetzt Speichermedien vor, die in die Leistungsbereiche der DLT- und AIT-Technologien vorstoßen. Die Technik der Tandberg SLR40, SLR60 und SLR100, die auf der Quarter-Inch-Cartridge beruht, wurde erheblich weiterentwickelt und bietet nun eine Kapazitätsverdoppelung durch die neue VR²-Aufzeichnungsmethode und die Verbreiterung des Magnetbandes. D Die neue Generation der Tandberg SLR Streamer setzt in Sachen Kapazität und Schnelligkeit neue Leistungsmaßstäbe, die sowohl im Entry-LevelServer-Bereich Raum für Wachstum lassen, als auch in vielen Medium-RangeServer-Applikationen die Speicherung großer Datenmengen ermöglichen. Nachdem die QICStreamer durch die MultiChannel-Recording-Techniken von Tandberg Data eine Renaissance erlebten, hat jetzt auch die SLR-Serie einen Innovationsschub erfahren und bringt eine Verdopplung der Kapazität und eine Vervielfachung der Schnelligkeit. ren Magnetband untergebracht sind. Trotz dieser Modifikation nutzt die neue Generation weiterhin das bewährte Data Cartridge-Gehäuse und ist durch die Beibehaltung derer Abmessungen auch wieder zu vielen Formaten rückwärts kompatibel. Dabei stand mehr noch als die Kapazität eine Erhöhung des Datentransfers der Streamer im Vordergrund der Weiterentwicklung, die viele neue Details zu einer größeren Speichergeschwindigkeit beigetragen hat. Erhöhte Geschwindigkeit NEWS Neue Speichertechnik Zur erneuten Verdoppelung der Kapazität, die beim SLR100 inzwischen bei 50 GB bzw. 100 GB komprimiert liegt, wurde die neue VR²-Aufzeichnungsmethode verwendet und das Magnetband verbreitert. Die von Overland Data lizensierte Kodierungstechnik VR² schrumpft die Anzahl der zu schreibenden magnetischen Flußwechsel pro Bit auf zwei Drittel der bisherigen Anzahl. Hierdurch erreicht man einen Kapazitätsgewinn von 50 Prozent, unabhängig vom In- halt der Daten. Die im Festplattenbereich seit längerem schon angewandte Kodierung wurde so verfeinert, daß sie auch für lineare Magnetbandaufzeichnungen verwendet werden kann. Die volle Breite Bei den drei neuen Modellen wurde die Anzahl der parallel angeordneten Datenspuren auf 192 plus 24 Servo-Spuren erhöht, die allerdings jetzt auf einem 8mm breite- Vier statt bisher zwei Datenkanäle liefern eine Übertragungsgeschwindigkeit, die mit bis zu 5 MB/sec bzw. 10 MB komprimiert der Datenrate von DLT- und AITLaufwerken ebenbürtig ist und eine 250-prozentige Steigerung gegenüber dem bisherigen Spitzenmodell, dem Tandberg SLR50 darstellt. Dabei sind die Magnetköpfe wie bei der bisherigen MLR-Technologie in Dünnfilmtechnik ausgeführt, die Leseköpfe magnetoresistiv (MR) zum zuverlässigen Erkennen selbst schwächster Datensignale. Eine drastische Ver- 08 Ausgabe 08/2000 4 TANDBERG DATA kürzung der Such- und Rücksicherungszeiten erreicht die neue SLR-Generation mit ihrem Positionieralgorithmus, wobei der Magnetkopf quasi diagonal über das Magnetband fährt, auf dem schnellstmöglichen Weg zur gesuchten Datei. Flaggschiff SLR100 Library Vollautomatisches Datenmanagement für Multiserver-Umgebungen Praxis zählt Der in Netzwerken oftmals behinderte Datentransfer zwischen Servern führt oft auch zu Unterbrechungen des Datenstroms zum Streamer, mit häufigen Starts und Stopps, Repositionierungen und Belastungen des Magnetbandes und der Mechanik. Abhilfe schafft hier ein großer Pufferspeicher, der im Tandberg SLR40, SLR60 und SLR100 nun 8 MB umfaßt. Eine intelligente Pufferverwaltung beurteilt in Abhängigkeit vom Füllgrad den momentanen Datendurchfluß und selektiert eine von drei mechanischen Geschwindigkeiten des SLR100 oder eine von zwei Geschwindigkeiten des SLR60. Durch diese “Gangschaltung” kann die Schreibgeschwindigkeit des Streamers an die Leistungsfähigkeit der Serverumgebung angepaßt werden. Sicherheit Und auch in puncto Datensicherheit wurde durch das neue ECCVerfahren der Baureihe nicht nur eine höhere Anzahl korrigierbarer Datenblöcke in Folge, sondern auch eine Verteilung der redundanten ECC-Blöcke auf alle vier Datenkanäle möglich. Der Adaptive Data Channel sorgt für eine kontinuierliche Optimierung des Schreib- oder Lesekanals auf die jeweiligen Eigenschaften des Magnetbandes. Während des Schreibprozesses gibt das Read-WhileWrite-Verfahren eine Rückkopplung über die Qualität der Aufzeichnung und somit des Magnetbandes. Bis zu 4 TB komprimiert lassen sich mit der neuen Library-Familie von Tandberg Data bedienerlos speichern. Bei der Verwaltung großer Datenmengen erfüllen die Tape-Libraries die hohen Anforderungen im Bereich der NearOnline-Speicher in größeren Serverumgebungen. Dabei stehen eine automatisierte Datensicherung und dauerhafte Archivierung im Vordergrund, mit Schreib- und Leseoperationen bis 144 GB in der Stunde. nerhalb von 4 Stunden vor Ort ist für das erste Jahr bereits im Kaufpreis enthalten. Langlebige Robotik D Das Spitzenmodell der neuen Tandberg Library-Familie ist mit vier SLR100-Laufwerken und 40 Data Cartridges ausgestattet. Für geringere Kapazitätsanforderungen bietet Tandberg Data ein Einstiegsmodell mit zwei Laufwerken und zehn Medien an. Eine Alternative mit zwei Streamern und 20 Cartridge-Plätzen kann bei steigendem Datenvolumen jederzeit aufgerüstet werden. Die neuen Libraries gewährleisten Rückwärtskompatibilität und somit einen unverzichtbaren Investitionsschutz. Die Libraries sind für mehr als 250.000 Cartridge-Wechsel ausgelegt. Die Garantiezeit beträgt zwei Jahre. Ein Instandsetzungs-Service in- 08 Ausgabe 08/2000 5 Die hohe Zuverlässigkeit wird durch eine robuste Robotik erzielt. Deren Steuerung erfolgt mit den üblichen Wechslermodulen der gängigen Software-Produkte. Die Bänder werden mit Hilfe von I/O-Port und BarcodeReader ohne vorheriges Einlesen der Inhalte inventarisiert und automatisch am richtigen Platz eingeordnet. Die Magazine lassen sich mit einem einfachen Handgriff auswechseln. Ein Kontroll-Paneel informiert den Systemadministrator kontinuierlich über den Status von Laufwerk und Lademechanik. Das installierte Frühwarnsystem Tape Alert kontrolliert permanent die wichtigsten Gerätefunktionen und setzt bei Anzeichen für eine eventuelle Störung warnende Flags. Diese werden von der Backup-Software regelmäßig abgefragt und als standardisierte Warnhinweise übersetzt an den Administrator weitergeleitet. n NEWS 3COM 3COM High-Speed-Connections NICs für Linux ADSL-Router beschleunigt LANs und Internet-Zugang 3Com hat mit dem OfficeConnect 812 einen Router für LAN-Verbindungen und High-Speed-Internet-Zugang über ADSL-Leitungen vorgestellt. Damit können gerade kleine Unternehmen schneller mit Büroaußenstellen und Heimarbeitern kommunizieren, als die herkömmlichen Analog-Modems dies bislang bewerkstelligen konnten. Das Gerät ermöglicht die direkte Verbindung zu jeder beliebigen Ethernet-Schnittstelle in einem PC oder verknüpft mehrere Workstations mit einem integrierten 10BaseTHub. Die NAT-Unterstützung und Filterfun-ktionen sorgen für Sicherheit in den kleinen Unternehmens-LANs, mit Unterstützung von bis zu 16 virtuellen Verbindungen mit unterschiedlichen Zielrichtungen gleichzeitig sowie mit voller Routing- und Bridging-Fähigkeit. NEWS Für kleine Unternehmen D Das Web-basierende Installationsprogramm des OfficeConnect 812 ADSL Routers sorgt für eine einfache Installation des schnellen Internetzugangs. Der Router unterstützt G.lite und FullRate und ist auf die technische Infrastruktur der Service Provider abgestimmt, die ADSL-Dienste anbieten. Der OfficeConnect 812 ADSL Router erweitert die Reihe der anwenderfreundlichen 3ComLösungen für kleine Unternehmen, die für ihre Online-Aktivitäten leistungsstarke InternetVerbindungen aufbauen wollen. Die OfficeConnect DSL Serie umfaßt ADSL- und SDSL-Produkte für einzelne oder mehrere Anwender. Im Zuge der Weiterentwicklung zu den HighSpeed-Internet-Services bietet die Produktserie große Flexibilität. Der OfficeConnect 812 ADSL Router ist zunächst in den USA erhältlich, wird aber voraussichtlich schon im Herbst für den deutschsprachigen Raum verfügbar sein. Linux-Netzwerktreiber für die neuesten NICProdukte 3Com hat die weltweite Verfügbarkeit von Linux-Netzwerktreibern für ihre neuesten EtherLink 10/100 PCI Netzkarten angekündigt. Sie stehen zum kostenlosen Download bereit. U Um auch Linux Anwendern ihre Netzwerklösungen anbieten zu können, hat 3Com speziell für ihre neuesten NIC-Produkte 3C905B, 3C905C, 3C980B, 3C980C und 3C900B robuste Linux-Treiber entwickelt. Sie können von der 3Com-Site http:// support. 3com.com/infodeli /tools/nic/linux unentgeltlich heruntergeladen werden. Im einzelnen unterstützen die Treiber die Linux-Versionen RedHat 6.1 Kernel Version 2.2.12-20 (i386), Caldera 2.3 Kernel Version 2.2.12 (i386), TurboLinux 4.0.5 Kernel Version 2.2.12 (i386) sowie SuSE 6.2 Kernel Version 2.2.10 (i3386). Verbreitet werden die Treiber unter den Bedingungen der GNU General Public License. Die Unterstützung erfolgt durch den technischen Support von 3Com. Weitere Informationen dazu und zu den neuen NIC-Produkten von 3Com sind unter www. 3com.com/products/nics. html abrufbar. Linux-Treiber für die 3Com-Netzkarten 3C905, 3C900 und 3C59X sind kostenlos unter http:/ /cesdis. gsfc.nasa.gov/ linux/dri vers/vortex.html zugänglich. 08 Ausgabe 08/2000 6 3COM Flexiblere Carrier-Technologie Total Control 1000 mit neuen Card Set Optionen 3Com hat neue Karteneinschübe für ihre Total Control 1000 Multi-Service Access-Plattform vorgestellt. Die neuen Module erhöhen die Anschlußdichte, steigern die Leistung und erweitern die Service-Fähigkeiten. Das neue universelle DSP-Card Set kann viermal soviel Anrufe verarbeiten wie andere derzeitige Einschübe und verfügt über verschiedene Interface-Optionen einschließlich DS3- und STM-0, um die wachsenden Teilnehmerzahlen zu unterstützen, mit denen Carrier und Service-Provider konfrontiert werden. Provider ihre POPs entsprechend skalieren können. Ein einziger Einschub kann bis zu vier T1-Umläufe oder drei E1-Umläufe terminieren oder von einem der TDM-VerbindungsAggregations-Module aus Anrufe weiterleiten. Die verbesserten Total Control 1000 Datensysteme werden voraussichtlich ab kommenden Oktober verfügbar sein. Verbessertes Datensystem D Weitere Systemfeatures und Dienste verbessern die Einschubmodule der Total-Control-1000-Plattform, dazu gehören Teilnehmer-AggregationsDienste mit virtuellen Routern, Tunnel-Switching und Tunnel-Konzentration. Für die Verschlüsselung werden IPSec-Service-Pakete mit WireSpeed-Triple-DES-Kodierung und Schlüssel-Handling-Dienste für den Einsatz bei Ruf-Zugangs- oder Teilnehmer-Aggregations-Diensten einbezogen. Weitere Features sind STM-0Fiber-basierte Verbindungskarten für TDM-Aggregation in das System sowie 1:1-Redundanz-Optionen für DS3/STM-0-Verbindungskarten, Zugangsrouter und n:1-Redundanz für Total Control 1000 DSP Einschübe. Alle Systemfeatures und Dienste des Total Control 1000 werden vom verbesserten Datensystemmanager 3Com CommWorks 5110 unterstützt. Das optimierte Total Control 1000 Datensystem ist eine Komponente der Ebene 1, dem Media Processing Layer der 3Com CommWorks-Architektur. Multi-Service Access-Plattform Total Control 1000 ist auf kleinere Points of Presence (POPs) ausgelegt, wo an die zehntausend Teilnehmer bedient werden, und ergänzt insofern die angekündigte Total Control 2000 Multi-Service Access-Plattform der nächsten Generation, die auf Hunderttausende von Teilnehmern skaliert ist. Die Total Control 1000 Datensysteme können in unterschiedlichen Kombinationen von T1- und DS3Access-Standpunkten (E1 und STMn für internationale Anwendungen) eingesetzt werden, an denen Service- 08 Ausgabe 08/2000 7 Typische Features der 3Com Total Control Plattformen sind Multicast, IPSec und virtuelles PrivateNetworking. Und da die Schlüsselkomponenten des verbesserten Total Control 1000 Datensystem dieselbe Code-Basis enthalten wie die Standard Total Control 1000 Plattform, können bereits vorhandene mit den neuen Datensystemkarten im selben Chassis verbleiben. So erhalten Service Provider beim Übergang zu effizienteren IP-basierten Netzwerken neue Migrationsmöglichkeiten. Die permanent weiterentwickelte Plattform unterstützt nahezu jede Art von TDM-Verbindung einschließlich kanalisiertem T1/ E1, T1/E1 Primary Rate Interface (PRI) sowie eine große Bandbreite von paketbasierten Netzwerkverbindungen wie Ethernet, Frame Relay, ATM und x.25. Typische Einsatzmöglichkeiten sind Dial Access, Virtual Private Networking, Transaktionsverarbeitung, IP-Telefonie und Kabelmodem-Termination, aber auch 3G CDMA Wireless Access. n NEWS AVM CITRIX SYSTEMS Version 3.0 mit FRITZ!web Zugang für MetaFrame Der schnelle und einfache Internetzugang V-ONE für erhöhte Sicherheit im Extranet AVM bietet für das ISDN-Komplettpaket FRITZ!Card ein neues Upgrade zum kostenlosen Download. In der Version 3.0 ist erstmals das Modul FRITZ!web für einen schnellen und einfachen Internetzugang enthalten. FRITZ!web ermöglicht die direkte Anwahl des Internet Service Providers und stellt “Fast Internet over ISDN” mit Kanalbündelung, Datenkompression und Short Hold Mode zur Verfügung. F FRITZ!web wurde für den einfachen und schnellen Zugang in das Internet entwickelt. Nach Aufruf der neuen Version 3.0 wird nur noch der Browser gestartet. Optimiert für ISDN-Verbindungen mit hoher Geschwindigkeit und Komfort, nutzt FRITZ!web den Standard PPP over ISDN. Während der laufenden Verbindung werden Kanalbelegung und Übertra-gungsraten auf dem Bildschirm angezeigt. FRITZ!web optimiert “Fast Internet over ISDN” mit Kanalbündelung und Datenkompression für Übertragungsraten von bis zu 240 KBit/s. NEWS Short Hold Mode Im 2-Kanal-Datenbetrieb werden eingehende Telefonanrufe mit FRITZ! fon oder einem ISDN-Telefon signalisiert. Der Short Hold Mode unterbricht bei Inaktivität die ISDN-Inter-netverbindung. Werden erneut Daten angefordert, erstellt FRITZ!web in Sekundenschnelle eine neue Verbindung. Neben geringeren Surfkosten bietet der Short Hold Mode insbesondere dem Vielsurfer hohen Komfort. Bisherige Internetzugangsverfahren einschließlich CAPI-Port und Zugang über Online-Provider können weiterhin ergänzend zu FRITZ!web genutzt werden. In der Version 3.0 wurden gleichzeitig die Audio-Fil- ter für FRITZ!fon und FRITZ!vox komplett überarbeitet. Es steht jetzt eine 16Khz-Einstellung zusätzlich zur Auswahl. Optimiert wurde auch das Zusammenspiel zwischen den einzelnen Programmen und der jeweiligen Soundkarte. FRITZ!fon ermöglicht nun Anrufweiterschaltung sowie die Annahme von Gesprächen bei 2-Kanal-Datenbetrieb. Im einer Lizenzvereinbarung mit VONE Rahmen wird Citrix Systems mit SmartGate die VPN-Technologie von V-ONE lizensieren und vertreiben. Die beiden Unternehmen planen die gemeinsame Entwicklung von Software-Produkten, die in Verbindung mit Citrix MetaFrame für mehr Sicherheit beim Zugriff auf Extranets sorgen. Fax-Serienbriefe Mit FRITZ!fax können unter Microsoft Office 97 und höher nun auch Fax-Serienbriefe verschickt werden. Mit Winword erstellte Serienbriefe können so direkt aus dem PC gefaxt werden. Dabei können neben einer Word-Datenbank auch andere Adreßquellen wie Outlook oder das FRITZ!-Adreßbuch genutzt werden. FRITZ! fax ist direkt im Serienbriefmanager von Word integriert und steht als separater Download zur Verfügung. Mit dem Programm ISDN Watch gibt es jetzt gleich mehrere Auswertungsmöglichkeiten über Art und Dauer der ISDN-Verbindungen. Alle FRITZ!-Programme können in der neuen Version über ein DesktopIcon gestartet werden. AVM stellt das Software-Upgrade allen registrierten Kunden kostenlos zum Download im AVM Data Call Center zur Verfügung. Dort finden sich auch die neuen CAPI 2.0-Treiber für die FRITZ!Card. V V-ONE bietet mit SmartGate VPN eine Technologie, die einen gesicherten Zugriff von unterwegs oder von einem Home-Office aus auf ein Unternehmensnetzwerk ermöglicht. Das VPN-Produkt von V-ONE läßt sich als Erweiterung einer Citrix MetaFrame-Installation einsetzen. Durch Verschlüsselungs- und Authentifizierungs-Technologien für den Extranet-Zugang erhalten CitrixKunden ein hohes Maß an Sicherheit. Die umfangreichen Sicherheitsfunktionen sorgen dafür, daß ausschließlich autorisierte Anwender von außerhalb Zugriff auf Anwendungen und sensible Geschäftsdaten haben. SmartGate läßt sich bei herkömmlichen Netzwerkverbindungen wie auch beim drahtlosen Zugang einsetzen. 08 Ausgabe 08/2000 8 COMPAQ ICANN Big Server for small Clients Punkt shop ? Neue Top-LevelDomains Prosignia NeoServer als All-in-One-Paket Kleinunternehmen und Büros erhalten mit dem Prosignia NeoServer von Compaq eine Komplettlösung, um bisher unvernetzte PCs und Notebooks innerhalb weniger Minuten zu einem funktionsfähigen Netzwerk zu verbinden und selbst den Aufbau unternehmensinterner Websites zu ermöglichen. Die Internet Corporation for Assigned Names and Numbers erwägt, ob neue Endungen für Handel, Banken und Unternehmen eingeführt werden sollen. Denn treffende Namen für Internet-Adressen werden rar oder sind teilweise von Profiteuren willkürlich beschlagnahmt, um sie erst für teueres Geld wieder freizugeben. D D Der Prosignia NeoServer bietet alle für Kleinbetriebe relevanten Serverfunktionen auf einer Plattform, zu einem Preis, der dem IT-Budget von Kleinunternehmen Rechnung trägt. Im Lieferumfang ist ein 8-Port Ethernet-Hub, beim Modell Internet Plus auch ein ISDN-Adapter-Schutz und eine Firewall enthalten. Wahlweise wird eine Client Setup-CD mitgeliefert, die eine automatische Anbindung der Clients unter Windows 3.x, 95/98 und NT sowie der MAC Systeme 7 und 8 an den NeoServer erlaubt. Das All-in-One-Paket bringt File Sharing, automatisierte Datensicherung und beim NeoServer 150 auch lokale E-Mail-Funktionen auf einen Schlag in die kleinen Büros. Während die Modelle Internet Plus den InternetZugang mit POP3 E-Mail bieten, wartet der NeoServer 150 auch mit SMTP auf. Einfache Installation Die Installation des NeoServers erfolgt in vier einfachen Schritten und kann auch von PC-Benutzern ohne Netzwerkerfahrung innerhalb weniger Minuten durchgeführt werden. Das NeoServer Control Center ermöglicht die Ausführung aller notwendigen Administrationsaufgaben über eine interaktive Benutzeroberfläche, die mit jedem Internet-Browser gestartet werden kann. Eine intuitive Benutzerführung leitet den Anwender mit einfachen Fragen bzw. Anweisungen durch die verschiedenen Management-Schritte. Beim Ausfall eines NeoServers tauscht Compaq das defekte Gerät bis zum nächsten Arbeitstag aus, lediglich die auswechselbare Backup-Festplatte wird vorher herausgezogen. Danach kann mit dem Ersatzgerät und der ursprünglichen Konfiguration sofort weitergearbeitet werden. 08 Ausgabe 08/2000 9 Die internationale Vergabestelle für Internet-Adressen ICANN will dem Mangel an Top-Level Domains abhelfen. Derzeit wird geprüft, ob neue Endungen eingeführt werden sollen, denn die im Internet gebräuchlichen, sinnvollen Adreßnamen mit den Endungen.com und.net sind oft schon belegt. Auch die Namen mit der für Deutschland üblichen Endung .de sind größtenteils vergeben. Wer nach Firmengründungen im Internet präsent sein will, muß derzeit feststellen, daß es kaum möglich ist, den bevorzugten Namen eintragen zu lassen, scheinbar ist alles weg. Dabei sind ein Großteil von Namen in den Händen von Profiteuren, die vorweg so einiges belegt haben, was Sinn macht oder einfach nur gefragt ist, um die Namensrechte für teueres Geld an Interessenten weiterzuverkaufen. Daher sind im Moment neue Endungen in der Diskussion, ob .shop für Handelshäuser, .firm für Wirtschaftsunternehmen, .banc für Finanzdienstleister oder .eu für Europa. Inzwischen werden Zweifel laut, ob eine neue Namenskonvention die Nachfrage wirklich entspannen kann. Skeptiker befürchten wohl nicht zu unrecht eine neue, kostspielige Abzockerrunde beim Run auf die neuen Internet-Adressen, solange jeder für sich Namen beliebig reservieren kann. Info unter: www.ic ann.org n NEWS CISCO Multiservice-Switching Catalyst 3524-PWR XL für Internet-Anwendungen Mit dem neuen Catalyst 3524-PWR XL bringt Cisco Systems eine leistungsstarke Switching-Lösung für mittelständische Unternehmen und Konzern-Niederlassungen auf den Markt. Der neue Switch ermöglicht die Aufrüstung von Unternehmens-LANs für zukünftige Anwendungen wie Cisco LAN-Telefonie und integrierte Sprach-, Video- und Datenanwendungen NEWS I In Erweiterung der AVVID–Technologie der Cisco Architecture for Voice, Video and Integrated Data ermöglicht der neue Catalyst 3524-PWR XL der LAN-Telefonie und integrierte Multiservice-Anwendungen für Sprache Video und Daten. Mit seiner integrierten Stromversorgung erkennt der Catalyst 3524-PWR XL automatisch an jedem Port die Art des IPGerätes, zum Beispiel ein Cisco LAN Telefon, und versorgt es über das Ethernetkabel mit 48 Volt Gleichspannung. Für ein LAN-Telefon ist daher weder eine Stromversorgung noch eine eigene Steckdose erforderlich. Die integrierte Software bringt eine verbesserte Servicequalität, hohe Verfügbarkeit, Sicherheit sowie integrierte Möglichkeiten für das Management und den Transport von Sprach- und Datenpaketen. Integrierte Anwendungen Traffic-Priorisierung Durch neue Features ist der CatalystSwitch 3524 PWR XL für Kunden geeignet, die Multiservice Applikationen einsetzen wollen oder planen. Der neue Switch ist als jüngste Ergänzung der Baureihe Catalyst 3500 XL eine Rack-Einheit mit 24 geswitchten 10/100 Ports mit integrierter Stromversorgung für die Cisco LAN Telefone 7960 und 7910. Die beiden Gigabit Ethernet Ports sind zu einer Reihe von standardisierten Gigabit Interface Konnektoren kompatibel, darunter der GigaStack-GBIC von Cisco sowie zu den GBICs 1000BaseSX, 1000Ba-seLX/LH und 1000BaseZX. Zusammen mit dem Call Manager 3.0 und den LAN Telefonen von Cisco bildet der Catalyst 3524-PWR XL eine standardisierte Multiservice Lösung. Die XL-Reihen der Switches Catalyst 3500 und 2900 bieten erweiterte LANServicequalität auf der Basis der Serviceklasse IEEE 802.1p. Außerdem unterstützt der Catalyst 3524-PWR XL die portbasierte Reklassifikation, die gestattet, die Einstellung der Serviceklasse am Switch für gekennzeichnete Pakete zu ändern. Das ermöglicht es, kritischen Anwendungen wie der Sprachübertragung eine höhere Priorität als der Datenübertragung einzuräumen. Die Catalyst 3500 XL und 2900 XL Switches bieten hard- und softwareseitige Hochverfügbarkeitseigenschaften für eine hohe Redundanz der Sprach- und Datenübertragung. Das Centralrovisioning System verhindert, daß Stromausfälle die Telefonverbindungen eines Gebäudes beeinträchtigen. 08 Ausgabe 08/2000 10 Hochverfügbarkeit Das System besteht aus dem Catalyst 3524-PWR XL mit integrierter Stromversorgung, einer redundanten Stromversorgung und, als Unterstützung in gesicherten Installationsräumen, einem System für die unterbrechungsfreie Stromversorgung. Weitere Redundanzeigenschaften können über das Netzwerk-Design eingebaut werden, beispielsweise HSRP, Uplink Fast und Spanning Tree. Die doppelten Gigabit-Uplinks und die 24 10/100 Ports der Catalyst 3500 Switches bieten einen redundanten Uplink auch beim Ausfall des primären Links und verhindern so Störungen im Netzwerk. CISCO In seinem Element Management-Lösungen für IP-Mehrwertdienste und optische Netzwerke Cisco Systems stellt mit dem GSR- und dem Transport-Manager die neuesten Anwendungskomponenten ihres Operations Support Systems für das Internet vor. Service Provider und Systemintegratoren können mit diesen Managementsystemen die Cisco Highend-Router der Serie 12000 und die Produkte der Reihe Cisco ONS 15000 einfacher einsetzen und die Zuverlässigkeit ihrer Internet-Routing-Systeme und optischen Netzwerke optimieren. Management integriert Die XL-Baureihe der Switches Catalyst 3500 stellen ein Web-basiertes Management-Tool zur Verfügung, die IP Switch Cluster Management Suite. Diese ermöglicht es Netzwerkverwaltern, von einer beliebigen Stelle im Netz aus eine größere Zahl von Switches mit einem normalen Browser zu konfigurieren und zu verwalten. Die IP Switch Cluster Management Suite wird vom Switch aus gestartet und bietet eine einfache Verwaltung für das Netzwerk und die Gerätelevels, inklusive VLAN-Setups, Portkonfiguration, die Überwachung von Netzwerkclustern und Port-Monitoring. Sicherheit Zusätzlich eröffnen die CatalystSwitches eine Reihe von Sicherheitsoptionen für Installationsräume. Die Switches bringen eine Portsicherheit, die den Portzugang auf bestimmte MAC-Adressen beschränkt und so ein unerlaubtes Eindringen verhindert. TACACS+ authentifiziert den Zugriff auf den Switch für das Management in Verbindung mit einem AAA Server. Private VLAN Edge sorgt für die Sicherheit und Trennung zwischen den Ports eines Switches. Der Traffic von geschützten Ports wird so ausschließlich an die Uplinks geschickt, und da er zu keinem anderen Port im Switch gelangen kann, bleiben Telefonate vertraulich. C Ciscos Operations Support Systems (OSS) für das Internet ist eine umfassende Suite von Anwendungen für das Management von Netzwerken und Services, mit denen Service Provider die unterschiedlichsten Services planen, bereitstellen, überwachen und abrechnen können. Der GSR-Manager und der Transport-Manager sind OSS-interne Tools des Cisco Element Management Frameworks. Es bildet das Fundament für die einheitliche Integration von Applikationen der höheren Layer. Darüber hinaus stellt CEMF für alle Element-ManagementSysteme neben einem gemeinsamen Datenmanagement auch eine Menge von Anwendungsschnittstellen (APIs) zur Verfügung. GSR-Manager Mit dem GSR-Manager ist ab August 2000 ein intelligentes Element-Managementsystem für die Cisco Router 08 Ausgabe 08/2000 11 der Reihe 12000 verfügbar, das sich den hohen Anforderungen der Service Provider an Betrieb und zentrale Verwaltung großer IP- und MPLSbasierter Netze stellt. Der GSR-Manager ist in die zahlreichen Netzwerkmanagement-Applikationen von Cisco und ihren EcoSystems-Partnern eingebunden. Es erlaubt ein zuverlässiges Fehler-, Konfigurations-, Accounting-, Performance- und Security-Management. Um im Rahmen des Element-Managements die Administration, Provisioning und den Betrieb schnell zu integrieren, und profitable Services auf der Basis optischer Netzwerke rascher umsetzen und konfigurieren zu können, wurde der Transport-Manager entwickelt. Transport-Manager Der Transport-Manager stellt eine leistungsstarke Client/Server-Plattform für die optobasierten Geräte der Reihe ONS 15000 dar. Eine Erweiterung bis zu 1000 Netzwerkelementen und bis zu 100 gleichzeitig aktiven Benutzern ist möglich. Die benutzerfreundliche Bedienoberfläche führt zu einer verkürzten Einarbeitungszeit, bietet eine verbesserte Kontrolle über das Netzwerk und eine proaktive Wartung. Aufgrund seiner offenen Architektur kann der Transport-Manager mit Multiservice-Elementen in optischen Netzwerken kommunizieren, diese verwalten und das komplette End-to-End-Management übernehmen. Er ist ab Juli 2000 erhältlich. n NEWS ENTERASYS INTEL Funk-LANs 815 und 815E RoamAbout, wo Kabel nicht mehr sinnvoll sind Funk-LANs sind die ideale Lösung, wo die Baulichkeiten, etwa in historischen Bauwerken, keine Netzwerkverkabelung zulassen, oder in temporären Netzwerken auf Baustellen oder bei Veranstaltungen. Enterasys bietet mit der RoamAbout- Familie hierzu an ein umfassendes Produktportfolio an, bestehend aus Access Point, PC Cards und Antennen. Was für die Wireless-LANProdukte spricht, ist neben Vorteilen bei befristetem Bedarf die Möglichkeit, eine komplette Infrastruktur schnell und flexibel zu implementieren. NEWS D Die RoamAbout Produkte von Enterasys unterstützen den Standard IEEE802.11. und sind in der neuesten Version nun als 11 Mbps Komponenten verfügbar. Die Bandbreite von seinerzeit 2 Mbps kann durch einen einfachen und kostengünstigen Austausch der Low Power PC-Cards auf 11 Mbps gesteigert werden. Die Geräte unterstützen eine Reihe von Sicherheitsfunktionen wie 40 bzw. 128 Bit Daten-Verschlüsselung, Zugangskontrollmechanismen und Access-Filter. Dies garantiert den sicheren Datentransfer im Funknetz. Mit ihrer vielfältigen Treiberunterstützung in allen Windows-Variationen über MacOS bis hin zu UNIX können die Geräte in fast allen Umgebungen zum Einsatz gelangen. LAN zu LAN Lösung Der SmartSwitch 802.11 Outdoor ist eine “All in one”-Lösung für die LAN- to-LAN-Kommunikation. Dieses Kit beinhaltet alles, was für 11 Mbps Gebäudeverbindungen auf einer Seite gebraucht wird. Mit 128 BitVerschlüsselung ist der RoamAbout die Alternative zu den vergleichsweise teueren und meist auch langsameren Mietleistungen der City-Carrier oder Telekommunikations-Provider. Auch ist die Installation und der Betrieb der Funk-LAN-Lösung anmelde- und gebührenfrei. Neue Chipsätze für PCs mit Pentium III Für Standard-Desktop-PCs mit Pentium III stellt Intel die beiden Chipsätze 815 und 815E bereit. Sie basieren auf Intels Hub-Architektur und bieten integrierte Grafikfunktionen, lassen sich aber durch externe Grafikkarten nach AGP 2x oder AGP 4x erweitern. Ferner unterstützen beide Chipsätze PC100 und PC133 SDRAM Speicher. Flexibler Anschluß Der Access Point arbeitet im 2,4 GHz Bereich mit Direct Sequence Spread Spectrum als Übertragungstechnik und CSMA/CA, dem Zugriffsverfahren Carrier Sense Multiple Access/ Collision Avoidance mit Acknowledgement. Ein RJ45-TP und ein BNC-Port erlauben einen flexiblen Anschluß an das lokale 10Mbps Ethernet LAN. Die Geräte bieten volle Swit-chingFunktionalität zwischen Funk- und Ethernet-LAN sowie integriertes Netzwerkmanagement via RoamAbout Point Manager für Windows 95, 98, NT, 2000, Clear-VISN, SNMP, Telnet, RMON (4Gruppen) und lokale Konsole. Enterasys RoamAbout ist auf zukünftige Funktionen durch Flash-Speichertechnik und SoftwareDownload vorbereitet. D Der Chipsatz 815E besitzt den neuen I/O-Controller-Hub ICH2. Für höhere Systemleistung und Flexibilität sorgen USB-Controller, LANSchnittstelle sowie zwei Ultra ATA/ 100-Controller für schnellstmögliche IDE-Übertra-gungsraten. Der ICH2 unterstützt bis zu sechs AudioKanäle. Mit integrierter Grafik und der Option zur Aufrüstung durch externe AGP 4x Grafikkarten und durch die Unterstützung von PC100und PC133-SDRAM-Speicher bieten beide Chipsätze ein breites Spektrum an Möglichkeiten. Einen zusätzlichen Leistungsschub bringen Intels neue IDE-Busmaster-Treiber. 08 Ausgabe 08/2000 12 INTEL I/O-Controller-Hub Der ICH2 verfügt über eine erweiterte AC’97 Schnittstelle. Sie unterstützt gleichzeitig Surround Sound Dolby Digital Audio auf DVD und Verbindungen über Softmodems. Der im Chipsatz integrierte PRO/100 Fast Ethernet Controller erleichtert auch bei preisgünstigen PCs kostengünstige Netzwerklösungen. Der Fast Ethernet Controller arbeitet mit drei neuen Intel Halbleiterkomponenten zusammen. Die neuen LAN-Halb-leiterkomponenten können direkt auf dem Motherboard des PC oder auf dem neuen Typ von Netzwerk-AdapterKarten nach Communications and Networking Riser (CNR) Spezifikation plaziert werden. Die CNRKarten ermöglichen LAN-Lösungen für die verschiedenen Marktsegmente. Neues Motherboard Auf der Basis des Chipsatz 815E stellte Intel mit dem Desktop Board D815EEA gleichzeitig ein flexibles ATX-Motherboard vor, für Pentium III Prozessoren im FC-PGA-Gehäuse mit 100 und 133 MHz Sy-stemtakt und für Celeron Prozessoren mit 66 MHz. Es unterstützt schnellere Festplatten mit ATA-100-Schnittstelle. Die Hauptplatine hat ein besonders schnell bootendes BIOS, vier USBAnschlüsse und einen digitalen Video Ausgang für TV und DVI. Der Anwender kann zwischen der integrierten On-Board-Grafik und einer externen Grafikkarte nach AGP 4x wählen. Die Hauptplatine ist optional mit einem Soundblaster OnBoard-Soundchip, Intel PRO/100 V Netzwerkkarte und CNR-Einsteckkarte verfügbar. Pentium III für Mobile Stromverbrauch unter 1 Watt Intel verschafft Notebook-Prozessoren mit ihrer SpeedStep-Technologie eine besonders niedrige Versorgungsspannung. Die Ultra Low Voltage Technology fährt den durchschnittlichen Stromverbrauch unter 1 Watt. Fünf neue NotebookProzessoren für verschiedene Leistungs- und Preisklassen wurden vorgestellt. D Der neue mobile Pentium III mit 750 MHz und Speed Step Technology ist der derzeit schnellste Notebook-Prozessor. Mit dieser CPU werden Full-SizeNotebooks leistungsmäßig zu einer echten Alternative gegenüber schnellen DesktopPCs. Mit einem durchschnittlichen Stromverbrauch von weniger als 2 Watt im Battery Optimized Mode bei 600 MHz eignet sich der mobile Pentium III auch für Thin & Light Notebooks. Der neue Low-VoltageProzessor mit 600 MHz arbeitet zusätzlich mit einer besonders niedrigen Versorgungsspannung von nur 1,1 Volt. Auf diese Weise verbraucht er im Battery Optimized Mode durchschnittlich nur 1 Watt bei 500 MHz und kann besonders leichte Notebooks ausstatten. Für die günstigeren Preisklassen stellte Intel mobile Celeron Prozessoren mit 650, 600 und 500 MHz vor. Low Power Technology Die neuen Notebook-Prozessoren sind im Stromverbrauch, der Wärmeabgabe und in der Größe optimiert. Die 0,18 Mikrometer Prozeßtechnologie 08 Ausgabe 08/2000 13 erlaubt die Produktion von Prozessoren mit nur 1,1 Volt Betriebsspannung. SpeedStep erkennt, ob ein Notebook am Stromnetz angeschlossen ist und wählt eine entsprechende Taktfrequenz, um die optimale Balance zwischen langer Akkulaufzeit und hoher Rechenleistung zu ermöglichen. Die Quickstart-Technologie kann den Prozessor unabhängig von der Anwendung auf einen Stromverbrauch von unter einem halben Watt fahren. Die mobilen Pentium III Prozessoren haben einen 100-MHz-Systembus, 256 Kilobyte Fullspeed-AdvancedTransfer-Cache, Advan-ced System Buffering und Internet Streaming SIMD Erweiterungen. Die Kombination dieser Merkmale führt laut Intel zu den derzeit höchsten Leistungswerten unter allen Note-book-Prozessoren auf dem Markt. n NEWS NEWS Erweitert Für´s Web Garantie- und Service Content-Networking-Lösung 3Com Corporation hat das Service-Angebot für SuperStack II Produkte erweitert. Wer seit dem 23. Juni 2000 Netzwerk-Lösungen aus dieser Serie erwirbt, erhält Telefon-Support, Hardware-Austausch sowie Software-Updates gratis. Die neuen 3Com-Bundle-Services umfassen vier Leistungsbereiche. Die Rückgabe der Hardware zwecks Reparatur oder Ersatz ist zeitlich unbegrenzt möglich und schließt Stromversorgung und Ventilator mit ein. Der Vorabtausch der Hardware gilt insgesamt fünf Jahre ab Kaufdatum. Der Service wird im ersten Jahr bis zum nächsten Werktag - das gilt noch nicht für die Schweiz - und in den folgenden vier Jahren innerhalb von fünf Werktagen garantiert. Freien Telefon-Support gewährleistet 3Com ein Jahr lang ab Erwerb des Produktes. Die kostenlosen Software-Updates umfassen sämtliche Upgrades des jeweiligen Produktes. Um in den Genuß dieser Dienstleistungen zu kommen, ist eine Registrierung im Web unter h t t p : / / support.3com.com/warrantyregistration/ register.pl erforderlich. Cisco Systems stellt mit ihrem Web NS 4.0 eine neue Content-Networking-Lösung für Web-Hoster und Application Service Provider vor. Die neuen NetzwerkFunktionen optimieren globale Netzwerke, optimieren die Antwortzeiten und steigern die Performance. Die Cisco Web NS 4.0-Software definiert eine NetzwerkService-Schicht mit transparenter und intelligenter Verkehrslenkung, die eine effizientere und kostengünstigere Bereitstellung von Web-Inhalten und neuen EServices ermöglicht. Die Content-Software-Lösung basiert auf der Technologie von ArrowPoint Com-munications und ermöglicht den Aufbau eines content-bezogenen Internets mit inhaltgestütztem Switching und Routing, dynamischer Content-Verteilung und -Replizierung sowie der Fähigkeit, eine globale Content-Networking-Infrastruktur im Internet schnell einrichten zu können. Web NS 4.0 ist auf der gesamten Produktreihe der Cisco 11000 Content Service Switches einsetzbar und unterstützt neue WebService-Produkte. Schlüsselelement Connector Network Security for ISDN Auch für GroupWise Tobit Software hat im Juli die Auslieferung eines neuen David Connectors und eines OCR-Servers angekündigt. Nachdem bereits der Connector for Microsoft Exchange in das Produktprogramm aufgenommen wurde, wird jetzt auch der GroupWise Connector als eigenes Produkt vermarktet. Er bildet die Schnittstelle zwischen GroupWise und David, David Professional oder FaxWare 6 und ermöglicht den Empfang und Versand verschiedenster Nachrichten wie Fax, VoiceMail, T-Mail, E-Mail und SMS. Alle erforderlichen Datenkonvertierungen werden vollautomatisch vorgenommen. Die Lizenzierung des Connectors erfolgt userbezogen. Will also ein GroupWise-User die Tobit Produkte nutzen, muß er über eine Lizenz von FaxWare, David oder David Professional verfügen. Das neue Gateway zeichnet sich durch eine vereinfachte Installation in GroupWise aus. Der Tobit Rendering Agent wandelt Dokumente wie Word Dateien oder Excel Tabellen, die als Dateianhänge dem Faxauftrag anhängen, automatisch in Faxdokumente um und versendet sie als zusätzliche Seiten. Der GroupWise Client wird mit einem Snap-In erweitert, so daß beim Faxversand die Faxnummer aus den GroupWise Adressen ausgewählt werden kann. Zeitgleich wurde auch der neue OCR Server für die David- Die Network Security Produkte von DICA Technologies umfassen ISDN-Verschlüsselungsgeräte, die höchsten Sicherheitsanforderungen gegen Attacken von außen genügen. Ihre neuen ISDN Line Encryption Produkte schützen den kompletten Kommunikationsverkehr über ISDN-Wählverbindungen vor dem Abhören oder Aufzeichnen von Informationen, ob Sprache, Fax, Daten oder Video. Mit der remote administrierbaren Verschlüsselungs-Hardware bietet DICA eine einfache Plug-andPlay Lösung. Wesentliches Sicherheitsinstrument der Line Encryption Produkte ist das mehrstufige Schlüsselmanagement durch Device-, Master- und Session-Keys, mit international standardisierten Verschlüsselungsalgorithmen wie Triple-DES mit 168-Bit oder IDEA mit 128-Bit-Key. Der Encryptor 7800-1 kann bis zu acht ISDN-Endgeräte über einen S0-Basisanschluß schützen. Beide B-Kanäle werden unabhängig voneinander in Echtzeit kodiert und entschlüsselt. Mit dem DICA 78003 können selbst professionelle 3-S0-Videokonferenzen in Echtzeit gesichert werden, während das Verschlüsselungsgerät DICA 9000 gleich einen ganzen S2M-Netzanschluß mit 30 B-Kanälen auf einmal absichert. Die vorkonfigurierten Verschlüsselungsgeräte werden einfach zwischen dem ISDN-Netzabschluß und der Endgeräte-Einrichtung aufgeschaltet. Ticker 08 Ausgabe 08/2000 14 Netz-Design Produktfamilie ausgeliefert. Als Zusatzprodukt für die Tobit Produkte erzeugt er automatisch ASCII-Texte von versendeten und empfangenen Faxen. Multivendor-Architektur Für 2000 Backup und Virensuche Computer Associates setzt in ARCserve 2000 neue Standards im Bereich Speichermanagement, mit serverunabhängigem Backup, integrierter Virensuche und beseitigung sowie automatischer Viren-Signatur-Aktualisierung. Um viele Leistungsmerkmale erweitert bietet die neue Version gerade für eBusiness-Unternehmen umfassende Funktionen für Datensicherheit und management für Windows-NT/2000-Server. Durch ein serverunabhängiges Backup in Storage Area Networks ermöglicht ARCserve 2000 erstmals die vollständige Datensicherung, ohne die eBusiness-Server zu belasten. Da die Daten direkt von der Festplatte auf Magnetband gesichert werden, steigert sich die Backup-/Restore-Performance, während der Server auch während der Datensicherung für geschäftskritische Applikationen zur Verfügung steht. Eine in ARCserve 2000 integrierte Version der Antiviren-Software InoculateIT sucht bei der Datensicherung automatisch nach Viren und beseitigt sie gegebenenfalls. Die automatische Aktualisierung der Viren-Signaturdatei gewährleistet sicheren Schutz auch vor neuesten Viren. ARCserve 2000 sowie die dazu gehörigen Optionen und Agenten sind ab sofort erhältlich. Cisco Systems präsentiert den Cisco Network Designer zur Planung von Multivendor-Architekturen und zur Vereinfachung der Netzwerk-Gestaltung in Unternehmen. Dazu wurde gleichzeitig für die Design-Techniker bei Partnerunternehmen ein weltweites Network-DesignerSchulungsprogramm ins Leben gerufen. Die Teilnehmer können sich ab sofort registrieren und erhalten während des Schulungsprogrammes ein Paket der Cisco Network Designer Software. Der Cisco Network Designer vereinfacht das komplexe und arbeitsintensive NetzwerkDesign, automatisiert die Funktionalität herkömmlicher Zeichen-Tools und kombiniert sie mit den technischen Daten aller lieferbaren Cisco Produkte, Datensammlungen und Konfigurations-Regeln. Darüber hinaus hat Cisco ein Abkommen mit Netformx, einem Anbieter von e-Business Lösungen zum Design und zur Übernahme von Multivendor-Netzen, geschlossen. Die Zusammenarbeit der beiden Unternehmen bezieht sich auf die Entwicklung einer Netzwerk-Design-Plattform als neuem Industriestandard. Mit Hilfe der Multivendor Device Library von Netformx ermöglicht der Cisco Network Designer den schnellen und einfachen Entwurf von Netzwerken auf Basis unterschiedlicher Hersteller. Mit dem Enterprise AutoDiscovery von Netformx und dem Cisco Network Designer kann der Anwender schnell erkennen, welche Produkte ans Netzwerk angeschlossen sind. Info unter www.cisco.com/go/cnd. On Board In Gefahr Grafikpower kompakt Euro im Verzug ELSA erweitert ihre GLADIAC Grafikboards um eine neue, preisgünstige Grafikkarte. Durch die Verwendung eines Low Profile-Boards vereinigt die GLADIAC MX kompakte Bauweise mit Top-Grafikperformance. Das platzsparende Board-Design macht ELSA´s Grafikpower auch in sehr kleinen Gehäusen nutzbar. Die neue Karte nutzt die zweite Generation der GeForce-Prozessoren mit bis zu 20 Millionen transformierter und beleuchteter Dreiecke pro Sekunde sowie das Per-Pixel-Shading, bei dem zwei Pipelines je zwei Texturen pro Pixel in echtem 32-Farbmodus berechnen. Die GLADIAC MX ist mit 32 MB SDR-Speicher ausgestattet und wird seit Mitte Juli ausgeliefert. Im Lieferumfang befindet sich neben optimierten ELSA-Treibern und -Tools auch der Software-DVD-Dekoder ELSAmovie. Optional kann der Kunde Spiele-Bundles preiswert erwerben. Einer im Auftrag der IBM durchgeführten Studie zufolge sind zum gegenwärtigen Zeitpunkt erst zwei Prozent der größeren europäischen Organisationen und Unternehmen in der Lage, ihre geschäftlichen Transaktionen in Euro abzuwickeln. Deutschland hat dabei im Ländervergleich am frühesten mit den Umstellungsvorbereitungen begonnen. Über 50 Prozent der Unternehmen haben bereits vor 1998 erste Schritte eingeleitet. Im europäischen Schnitt müssen aber immerhin noch fast 70 Prozent aller IT-Anwendungen für die Währungsumstellung fit gemacht werden. Viele Unternehmen sind sich dieser prekären Lage durchaus bewußt. 20 Prozent glauben nicht mehr daran, daß sie bis zur endgültigen Einführung des Euro am 1. Januar 2002 wirklich voll Euro-fähig sein werden. Am besten vorbereitet hat sich der Bereich Banken & Finanz . 08 Ausgabe 08/2000 15 thema des monats VOLL DIE SEUCHE Viren in E-Mail und Netzwerk Hacker, Cracker, Bauernfänger: Trojaner, Würmer und Hoax Von Heinz Bück und Olivier Plein W Wie wohl kein anderer bisher hat der ILove You-Virus die öffentliche Aufmerksamkeit auf die Verseuchung von Rechnern und Netzwerken mit SabotageProgrammen gelenkt. Zumindest hat seine unliebsame Publicity die allgemeine Sensibilität der Anwender für die destruktive Kraft von Computerviren geweckt. Nutzen wir sie! 08 Ausgabe 08/2000 16 Nicht nur das Fernsehpublikum wurde mobilisiert, vom Bundestag bis zum Weißen Haus, vom Bundesnachrichtendienst bis zum FBI hat der ILoveYou-Virus selbst Politik und Polizei weltweit aktiviert. Die angekündigten Maßnahmen verrieten mehr noch als der entstandene Schaden die Verletzbarkeit unserer vernetzten Welten gegenüber der globalen Virenverbreitung via Internet. Waren wir dem wirklich so schutzlos preisgegeben? Wir wollen anhand einer Chronologie einige Wellenbewegungen nachzeichnen, die der ILoveYou-Virus weltweit aufgeworfen hat. Wir wollen die strategischen Maßnahmen diskutieren, die sich heute zum Schutz gegen Viren anbieten. Wir wollen fragen, ob die technischen Mittel allein ausreichen, oder ob auch strukturelle Maßnahmen in den Unternehmen getroffen werden müssen, um sie vor wirtschaftlichen Schäden zu bewahren. Denn Aufklärung ist ebenso notwendig wie eine angemessene Verhaltsweise der Anwenderinnen und Anwender. Computerviren Computerviren sind Sabotage-Programme, die prinzipiell in jeder Programmier-, Makro oder Skriptsprache erstellt werden können. Der Code steht meist nicht in einem selbständigen Programm, sondern wird in andere Programme eingebaut. Sobald diese starten, wird auch der Virencode abgearbeitet, mit meist schädlichen bis fatalen Wirkungen. Viren werden über infizierte Datenträger - Disketten und CDs - weitergereicht. Mit Ausbreitung des Internet werden sie aber auch per Download oder E-Mail eingefangen und verbreitet, wie jüngst die spektakulären IloveYouSkript-Würmer, die sich der Automatismen von Outlook bedienten und sich weltweit vervielfältigten. Hacker und Cracker Die moderatesten Viren treiben schlechte Scherze, die aggressiven Spezies führen zu Destruktionen im Bootsektor oder löschen verschiedenste Dateien. Einige machen sich durch Textbotschaften, Grafiken und Sound bemerkbar. Aus dem Lautsprecher plärrt der Yankee Doodle oder Buchstaben rieseln wie Herbstlaub vom Bildschirm. Die übelsten simulieren Hardware-Defekte, lassen den Rechner abstürzen und vernichten komplette Festplattendaten. Inzwischen sind nicht nur Online-Dienste und Inter-net-Banker Ziele von Virenattacken. Aus den unergründlichen Weiten des World Wide Web drohen Sabotage-Anschläge, die die InternetKommunikation bewußt lahmlegen wollen. Die Angriffsziele verlagern sich zusehends von Einzelplatzrechnern auf ganze Plattformen. So meldete der Spiegel Anfang Juni, daß es erstmals gelungen sei, eine von Crackern minutiös geplante Denial of Service-Attacke im Vorfeld zu erkennen. Rund 2000 Rechner weltweit seien mit Trojaner-Software infiziert, um auf ein Signal hin Angriffe auf Websites zu starten. Das FBI ermittele zwar, doch sei abzuwarten, ob die Attacke zu verhindern ist. Angriffsziel Mensch Wir wollen uns hier jedoch nicht um Katastrophen-Szenarien bemühen, sondern die alltägliche Seuche behandeln, die uns mehr oder weniger tagtäglich begegnet. Und wir wollen uns diesmal nicht auf die technischen Möglichkeiten eines wirksamen Virenschutzes beschränken, die sind landläufig bekannt und für Sie meist alter Kaffee. Unsere Recherchen zur aktuellen Virenproblematik verwiesen uns zu sehr auf ein soziologisches oder psychologisches Phänomen, das besagt: Der Erfolg der alltäglichen Virenattacken liegt weniger im Austricksen technischer Systeme, son- 08 Ausgabe 08/2000 17 dern in seiner Breite viel eher im Ausnutzen menschlicher Schwächen wie Leichtsinn, Nachlässigkeit, Neugier, Gutgläubigkeit und Schlamperei. Wenn dem so ist, sollte aktiver Virenschutz - ohne zu moralisieren – dort nun auch endlich ansetzen, mit Aufklärung und klaren Anweisungen auf Seiten des Netzwerkmanagements und mit Disziplin und Verantwortung seitens der Anwender. Hier liegt genug Potential. Angriffsziel Maschine Grundsätzlich ist Sabotagesoftware auf jedem Betriebssystem denkbar. Je weniger seine Ressourcen kontrolliert werden, um so empfindlicher ist es. Klassische Angriffsziele sind - vernetzte - Single-User-Systeme unter MS-DOS, Windows oder Macintosh. Für Multi-Usersysteme wie UNIX oder Windows NT waren betriebssystemnahe Viren bislang eher unbekannt, wohl aber anwendungsbezogene, wie sie beispielsweise Makroviren mit sich bringen. E-MailSysteme werden nicht nur ihrer prinzipiellen Offenheit wegen zur Zielscheibe, sondern auch wegen der Möglichkeit einer netzwerkübergreifenden Weiterverbreitung, sofern Automatismen und fehlende Sicherheitseinrichtungen das zulassen. Angreifer Software Der Begriff Computer-Virus steht heutzutage synonym für eine ganze Reihe von Sabotage-Programmen, englisch Malicious Software oder kurz Malware genannt. Als Intended Malware werden Sabotage-Programme mit inhärenten Ausführungs- und Replikationsfehlern bezeichnet. Je nach Spielart wird böswillige Software als Virus, Wurm und Trojanisches Pferd bezeichnet oder eben als Hoax, bewußte Falschmeldungen. Dropper meint Software, die Viren, Würmer oder Trojaner in Systemen, Programmen oder Netzwerken instal- thema des monats Viren-Spezien im Überblick Eine kurzer Blick in die Büchse der Pandora ActiveX Viren Ein unkontrolliertes ActiveX Control wird als ausführbares Programm aus dem Web geladen und gewährt den uneingeschränkten Zugriff auf den Rechner des Anwenders, ohne jede Schutzmechanismen. ActiveXfähige Browser sind daher für den Aufgallop von Trojanischen Pferden und für in HTML-Code eingebettete virulente Skripte prädestiniert, wenn die gebotenen Sicherheitseinstellungen nicht gewählt werden (vgl. Tab.1). Insofern sind ActiveX Controls die Türöffner für Viren und Trojaner. Daher auch für E-Mail-Programme keine Sicherheitseinstellungen wählen, die unsichere ActiveX Steuerelemente aktivieren. Ist ActiveX jedoch - beispielsweise bei Microsoft das Active Scripting in der Internet-Zone - ganz abschaltet, werden zwar Skripte, die in HTML-Code verborgen sein können, unterdrückt, damit aber auch JavaScripts ausgeschaltet, die die Websites erst ausmachen, aber das will sorgfältig abgewogen werden. Bootsektor-Viren Systemprogramme, die der Rechner beim Start zum Laden des Betriebssystems ausführt, sind das Ziel der Bootsektorviren. Sie nisten sich im Bootsektor von Festplatten oder Disketten ein. Dieser besteht aus wenigen Bytes, die beim Hochfahren als erstes vom BIOS in den Speicher geladen und ausgeführt werden. Tabelle 1: Visual Basic Script VBS Java Script Viren IRC Viren Script Trojaner 123 1 145 1 Aktuelle Skript Viren (Quelle: Virus Test Center der Uni Hamburg) Das Virus ersetzt Teile des Bootsektors durch eigenen Code oder Pointer darauf und wird aktiv, sobald der Rechner zu booten versucht. Der Virus kopiert sich in den Arbeitsspeicher und infiziert von dort aus Disketten oder Festplatten. Eine Spezies benutzt das CMOS-RAM im BIOS als Speicher. Boot-Viren können auch auf nicht bootfähigen Disketten nisten. Installieren Sie ein speicherresidentes Überwachungsprogramm. Es wird beim Starten des Rechners geladen und bleibt ständig aktiv. Daher konsequent Diagnosen starten, um Disketten, Festplatten und Dateien zu scannen. Und - vielleicht muß auch das noch einmal gesagt sein - nicht vom Disketten-Laufwerk booten, außer von den sauberen Systemdisketten, die für den Notfall am Rechner bereitliegen ! Datei- oder File-Viren In ausführbaren Dateien kopieren sich destruktive Prozeduren oder die Sprunganweisungen auf SabotageProgramme an den Dateianfang, so daß sie direkt ausgeführt werden, wenn das Wirtsprogramm aufgerufen wird. Die Originaldateien werden dadurch zwar größer, doch ist dies nur teilweise am Verzeichniseintrag sichtbar. Sogenannten Stealth-oder Tarnkappen-Viren tarnen sich, indem sie die Dateilänge manipulieren. Es hilft nur, Scanner einzusetzen. Hoax Hoaxes sind Falschmeldungen über Viren und Sabotage. Sie warnen vor einer Bedrohung, die nicht existiert. Dadurch wird zwar kein direkter Schaden an Datenbeständen angerichtet, aber Aktionismus und Desinformation entfacht, die ganze Mailinglisten verstopfen. Außerdem bindet die Beschäftigung mit Hoax unnütz Arbeitszeit. Die Weiterleitung durch die Anwender selbst ist Teil der Strategie. Infiziert wird der Mensch, das Virus ist der appellative Informationsmüll. Die Scheinproduktivität der allgemeinen Hoaxverbreitung taucht in Schadensberichten nicht auf, ja sie gilt Uninformierten eher noch als Beitrag zur Schadensverhütung. Hoax einfach löschen! Makroviren Makroviren infizieren keine Programme, sondern Dokumente von Microsoft Word und Excel-Dateien. Seit Microsoft Word eine an BASIC angelehnte Makrosprache integriert, gibt es die Makroviren. Sie ähneln den Dateiviren, da der Code am Anfang des Dokuments beim Laden des Makros ausgeführt und auf andere Dokumente kopiert wird. Sie werden in infizierten Text-Dokumenten und Excel-Dateien auf Datenträgern, im Netzwerk oder per E-Mail verbreitet. Besondere Spezies infizieren Templates wie die NORMAL. DOT . Unzählige Abarten sind bekannt (vgl. Tab. 2). Weil der Code als Makro in WordBasic leicht in Dateien eingefügt werden kann, einer vergleichsweise einfachen Programmiersprache zudem, ist die Steigerungsrate kontinuierlich und beträchtlich, so daß fast täglich aktualisierte Viren-Kennungen erscheinen. Das Virus Test Center der Uni Hamburg veröffentlicht monatlich eine Liste, die unter ftp://agnwww.informatik.uni-ham burg.de/pub/texts/macro/ downgeladen werden kann. Dieser niedrigen Schwelle für Einstiegssaboteure entspricht das - vermeintlich - niedrige Schadensbild. Makro-Viren sind bislang im allgemeinen nicht besonders aggressiv. Den größten Schaden verursachen sie durch arbeitsaufwendige Entseuchung der Dokumentenbestände. Aufgrund ihrer Fülle aber ist der wirtschaftliche Schaden im Vergleich zu 08 Ausgabe 08/2000 18 AVM NetWare MultiProtocolRouter for ISDN Tabelle 2: Strains Viruses Trojans Generators Intended Jokes Word 820 4757 68 17 208 1 andere 126 907 10 0 50 2 gesamt 946 5664 78 17 258 3 neu * 171 1083 (8 (2 86 0 *seit der letzten Version vom 30. September 1999 Makroviren für PC + Macintosh. (Quelle: Virus Test Center der Uni Hamburg) Bootsektor- und Dateiviren wesentlich höher. Daher für alle erhaltenen Fremddokumente immer erst den Virenscanner gebrauchen. Polymorphe Viren Multiple und Polymorphe Viren können verschieden Schadensbilder zeitigen bzw. ihren Code von Generation zu Generation ändern. Der New.Love beispielsweise ist ein solch polymorpher Wurm. Er variiert Betreff und Namen des Attachments, in dem er nistet, und fügt Kommentare mit zufälligen Zeichenfolgen in den Code. Die Länge des Anhangs wächst von der ersten zur sechsten Generation von 110 auf 1040 KB, bei einer Länge des ursprünglichen Codes von nur 5 KB. Besonders tükkisch sind auch Crypto-Viren, die in verschlüsselter Form vorliegen und sich zunächst selbst entschlüsseln, bevor sie aktiv werden. Trojanische Pferde Sabotage-Programme, die als Anwendungssoftware daherkommen und destruktive Prozeduren beinhalten, heißen Trojanische Pferde. Sie können sich überwiegend nicht selbst vermehren, sondern werden von Anwendern gestartet und meist auch kopiert. Trojanische Pferde verbergen ihre destruktiven Prozeduren in einem fremden Code. Sie sind für Saboteure, die Zugriff auf den Source- oder Object-Code von Programmen haben, leicht einzuschmuggeln. Insofern ist Freeware im Internet mit Vorsicht zu genießen. Java- Applets, ActiveX-Controls und hinterhältige Links schleusen oft Trojaner ein. Oder sie werden per E-Mail verschickt wie AOLGOLD.ZIP, das als Update eines AOL-Zugangs ausgegeben wurde. Gestartet löschte der Trojaner gezielt die vorhandene AOL-Software. Seine Nachfolgeversion kursiert inzwischen auch als Hoax, ebenso PKZ300, wenngleich dieses Trojanische Pferd - ganz im Gegensatz zu den vielen PKZ-Falschmeldungen - kaum verbreitet ist. Weil der Anwender der Akteur ist, hilft nur vorsichtiger Umgang mit unbekannter Software. Freeware aus dem Internet sollte zumindest durch einen aktuellen Virenscanner gecheckt werden. Doch besteht damit längst keine Sicherheitsgarantie. Ansonsten - gerade bei unsicheren Quellen- ganz darauf verzichten. Ungewöhnliche Aufforderungen, ein Programm abzuspeichern oder auszuführen, ignorieren und abbrechen. Wenn vorhanden, digitale Signaturen nutzen. 08 Ausgabe 08/2000 19 Würmer Komplette Programme wie der legendäre Internet-Wurm, die sich selbst vermehren können, werden Würmer genannt. Zu ihrer Verbreitung brauchen sie den Anwender im Prinzip nicht. Um so mehr sind in Netzwerken Strategien und technische Lösungen gefragt, die aus dem allgemeinen Sicherheitskonzept abgeleitet werden müssen, um Systemzusammenbrüche zu vermeiden. Im November 1999 wurde mit dem Computer-Wurm V B S / Bubbleboy eine Spezies bekannt, die den Internet Explorer 5 mit Windows Scripting Host sowie MSOutlook und MS-Outlook Express benutzte. Der ominöse LoveLetter VBS-Wurm bewies, daß die damals geäußerten Sicherheitsbedenken gegenüber Microsoft Outlook gerechtfertigt waren, denn er verbreitete sich am 4. Mai auf genau diesem Weg innerhalb weniger Stunden weltweit als E-Mail-Attachment. Der LoveLetter vom Typ A wurde wenig später nach UNIX portiert, doch ist der UNIX.LoveLetter kaum verbreitet. Als NewLove wurde am 19.05.2000 jedoch eine aggressive, polymorphe Spezies gemeldet. Zum Zeitpunkt, da dieser Beitrag erstellt wurde, waren bereits über 40 Varianten im Umlauf. Hier helfen nur Virenschutzprogramme auf dem Mail-Server. Kontinuierliche Backups sind ein unabdingbarer Beitrag zum Virenschutz. Viren-Meldungen an das BSI gestern und heute (Quelle: Bundesamt für die Sicherheit in der Informationstechnik) thema des monats Virus Trojan Hoax Chainletter $1,000 Virus $800 from Microsoft 14.4k Modem Virus 2400 baud modem Virus 3b Trojan alias PKZIP Virus A Bugs Life screen saver Virus A.I.D.S. Virus A4F-Spoof AF1 Virus AIDS Alien/OS Virus AltaVista Virus Amanda Anti-CDA AOL Flashing IM AOL hacker riot & Virus threat AOL RIOT 2 Virus AOL v4.0 cookie Trojan AOL Year 2000 Update AOL_Account AOL_Badguy AOL_Price AOL_Riot2 AOL4Free Virus ASP ATM Virus Aureate DLLs Trojan Baby New Year Virus Back_Orifice Backnote Bad Sector Bad Times Bath_Works Be My Valentine Bill Gates E-Mail Tracking BILL_602P Black Widow Java Virus Bloat MP3 Virus Blow Your Mind Virus Blue Mountain greeting card Blue Mountain Virus Blueballs Are Underrated Virus Body_Works Boza Virus Bud_Frogs Buddylst Budweiser Cancer Cookie liert. Als Malware Creation Kit wird ein Programm bezeichnet, mit dem Malware generiert werden kann, wir haben Ihnen vorab eine kleine Systematik der Spezies zusammengestellt. Als Hauptquelle von Computer-Viren wurde immer wieder das Raubkopieren angeführt, aber das klingt nach einer Legendenbildung der SoftwareIndustrie gegen Piraterie. Eine Analyse der beim Bundesamt für Sicherheit in der Informationstechnik eingehenden Meldungen besagt hingegen, daß andere Quellen viel häufiger sind: nämlich Original-Software, vorinstallierte Geräte, Wartungs- und Service-Personal und eben die Anwender selbst. Steigenden Anteil haben jedoch E-Mail-Systeme, allein wegen der exponentialen Replikationschancen. Angreifer Mensch Sabotage-Software wird gezielt programmiert, teils von hemmungslosen Spaßvögeln und Scherzbolden, die auch einen Blinden bei Rot über die Ampel schicken würden, teils von Crackern, die - oftmals gesellschaftskritisch motiviert - die Unsicherheit von Systemen entlarven wollen, aber auch vor Raketenabschußrampen nicht innehalten, teils von kriminellen Hackern, die bewußt Anwender, Programme, Konkurrenzen oder unliebsame Unternehmen schädigen wollen, in jedem Fall aber von ausgefuchsten Spezialisten. Über deren selbstbezogene Motive können wir hier gar nicht weiter spekulieren, doch sicher ist, daß zum Programmieren eines Computervirus hohe Fachkenntnisse und fundiertes Wissen über Betriebssystem- und Programmabläufe gehören, und daß Trittbrettfahrer sich diese fehlgeleitete Kompetenz zunutze machen, um vielleicht auch selbst einmal in die Schlagzeilen zu kommen. Häufig treten Mutationen auf, bei denen eine Spezies in den unwesentlichen Teilen - modifiziert und weitergereicht wurde. Die Makroprogrammierung hat die Schwelle für solch subversive Dilettanten, Einstiegs-Vandalen, elektronische Randalierer und digitale Amokläufer zusätzlich abgeflacht. Dabei sind schon für die nachwachsenden Malware Creation Kids im Internet komplette Malware Creation Kits leicht zu haben. Hinzu kommen Bauernfänger, weltanschaulich motivierte Weltverbesserer und selbstberufene Konsumverächter, die mit Falschmeldungen und Kettenbriefen den Boden der bewußten Desinformation bestellen und für Virenattacken gründlich aufbereiten. Die Szene ist verblüffend, ein Spiegel der menschlichen Torheiten, und teils auch wirklich amüsant. Aber die Grenzen sind fließend. Daher reden wir auch hier bewußt nicht von Späßen oder Shareprogrammen. Denn der Spaß hört frühestens dann auf, wenn der eigene Rechner spinnt, spätestens wenn die eigene Abteilung flachliegt, und mit Sicherheit, wenn das ganze Unternehmen platt ist. Hoax Virenwarnungen kursieren zuhauf im Internet, doch oftmals als reine Falschmeldungen. In diesen MailEnten, englisch Hoax, ist die Rede von Viren, Würmern und Trojanern, die im Anmarsch seien, und wohlmeinende Anwender, die Hoax - erst recht getarnte Falschmeldungen mit aggressiven Programmanhängen - nicht identifizieren können, verbreiten den Fehlalarm immer weiter, im festen Glauben, andere zu warnen. Wie bei Kettenbriefen erhöhen Sie die Datenmengen, erzeugen sinnlosen Traffic und überfrachten die E-Mail-Systeme. Der eigentliche Virus ist dabei die Falschmeldung, der Überträger der Mensch. Gutwillige Anwender werden bei seiner Verbreitung Helfershelfer aus Unkenntnis. So kursieren beispielsweise Berichte, die beliebte Moorhuhnjagd enthielte ein Trojanisches Pferd oder gewisse Bildschirm- 08 Ausgabe 08/2000 20 schoner ein Virus. Was ist Wahres dran? Wir wissen schließlich inzwischen, das Screensaver und ZIP-Files beliebte Wirtsprogramme sind. Doch ist die Vermischung von landläufig bekannten Fakten und den behaupteten Gefahren sehr oft falsch oder maßlos übertrieben. Wie soll man sich da zurecht finden, man kann ja nie wissen ? Oder doch? Schauen wir uns den Wirrwarr zuerst einmal an, um zu entscheiden, was denn da vernünftigerweise geboten ist. Pommes, Mayo und Zlatko Falscher Alarm ist - wie man neben vielen anderen den Computer Virus Myths oder den Extrablättern des ZRZ der TU-Berlin entnehmen kann - immer wieder und oft jahrelang im Umlauf, beispielsweise zu den Budweiser Frogs. Es kursieren Falschmeldungen, die vor einem Virus in diesem oder jenem Bildschirmschoner warnen, aktuelle Varianten man faßt es kaum oder hat es befürchtet - heißen Zlatko.exe oder Pommes und Mayo. Wie bei den Viren treten auch unter den Falschmeldungen verschiedenste Varianten in verschiedensten Sprachen auf und nennen - z.B. bei den Budweiser Frogs - BUDDYLST.SIP, BUDDY LYST.ZIP, oder BUDDYLIST.ZIP. Der Text ist sinngemäß immer derselbe (vgl. Abb. 1). Die Wahrscheinlichkeit, daß ein Bildschirmschoner infiziert ist, ist zwar prinzipiell gegeben, jedoch nicht höher als bei anderen Programmen, die über das Internet, über Datenträger von Freunden und Bekannten oder von CD auf den Rechner kopiert werden. Der Dreh ist eben der, daß gute Lügen immer einen wahren Kern haben. Der Budweiser-Bildschirmschoner jedenfalls wurde der TU Berlin zufolge nie mit einem in den PanikMails genannten Dateinamen angeboten. Kurioserweise wurde die HoaxVariante mit dem Dateinamen BUDDYLYST.ZIP auch von der Polizei in Baden-Württemberg weiterverbreitet, was zwar die Glaubwürdigkeit, nicht aber den Wahrheitsgehalt dieser Falschmeldung erhöht hat. Telephone Hoax Bei Pommes und Mayo soll sich die Telefonrechnung verdoppeln. Ja selbst vor der Infektion von Handies wird vollmundig gewarnt (vgl. Abb. 2). Man weiß als technischer Laie nicht genau, wie das wirklich gehen soll, aber eben das ist es! Man weiß es halt nicht. Denn scheinbar ist alles möglich. Und oft werden Hersteller und Institutionen vorgeschoben, deren bloße Nennung den Wahrheitsgehalt verbürgen soll. Im Gefolge des LoveLetter jedoch verbreitet sich laut F-Secure Corporation seit dem 6. Juni eine besondeer Wurm-Spezies mit dem Attachment TIMOFONICA.TXT. vbs. in Spanien. Wie der Stammvater braucht der Mail-Wurm VBS/ Timofonica zur Verbreitung Outlook. Er verschickt gleichzeitig über ein spanisches E-Mail-to-GSM-Gateway SMS-Botschaften an spanische Handy-Besitzer und schmäht darin wie auch im Mitteilungstext der EMail die spanische Telekom. Es ist der erste Virus überhaupt, der mit Handies hantiert, wenngleich er weder irgendetwas infizieren, noch über Mobiltelefone sich weiterverbreiten könnte. Das Handy funktioniert einwandfrei, andernfalls empfinge es nicht ordnungsgemäß die Botschaft, die das sabotierte GMS-Gateway der Telefonica Movistar kontinuierlich ausstößt. Wir sehen an diesem Beispiel nicht nur, welche Kreise der LoveLetter auf den bekannten Umlaufbahnen ziehen kann, und welch kreative Modifikationen Trittbrettfahrer weltweit anbringen, sondern auch woraus der Stoff ist, aus dem ein Mythos geboren wird, beispielsweise der von infizierten Mobiltelefonen. Abb. 1: Buddweiser Screensaver Virus Hoax Abb. 2: Mobile Phone Virus Hoax Indizien für Hoax Viele fühlen sich durch Hoax gewarnt, deshalb aber logischerweise auch gleich bedroht und warnen darum - dankbar für die vermeintlich unerwartete Hilfe - selbst gleich mit. Zur Gutgläubigkeit der Warner tritt oft fachliche und sachliche Unwissenheit. Dabei sind diese scheinbaren Warnungen nichts als Unsinn, abFortsetzung auf Seite 24... 08 Ausgabe 08/2000 21 thema des monats sichtlicher Fehlalarm und schlimmstenfalls der eigentliche Virus. Eine aktuelle Variante des ILoveYou tarnt sich als Virus ALERT! von Symantec (vgl. Abb. 3). Wer da an eine solche Warnung gerät, die nicht bloß Unsinn ist, sondern auch noch Sprengkraft besitzt, legt schnell noch die Lunte für alle, die er doch eigentlich hat schützen wollen, bevor er selbst in die Luft geht. Der schlechte Witz, einem die Briefbombe zu faxen, ist mit E-Mail längst Wirklichkeit geworden. Was also - bei allen Vorbehalten gegenüber den inhärenten faktischen Gefahren - viele der bislang kursierenden Fehlmeldungen kennzeichnet, ist oft tatsächlich allein schon der Betreff VIRUS WARNING. Der Empfänger soll die vermeintliche Warnung an möglichst viele Adressaten weiterleiten. Seine Eigenschaften werden meist äußerst dramatisch beschrieben und oftmals Wirkungen unterstellt, die ein Sabotage-Programm gar nicht hat. Da soll Hardware beschädigt oder - wie oben - ein Handy außer Kraft gesetzt werden. Als scheinbar verbürgte Quellen werden namhafte Firmen oder Organisationen genannt, um den Bluff perfekt zu machen. Beim Mobile Phone Virus Hoax sind es beispielsweise Motorola, Nokia und CNN. Umgang mit Hoax Für die Anwender sollte gelten: Leiten Sie keine Warnungen weiter, deren Seriösität Sie nicht kennen! Löschen Sie sie lieber! Antworten Sie wenn überhaupt - umgekehrt dem Absender mit dem Hinweis auf seriöse Quellen, als leichtfertig an der Desinformation teilzunehmen oder Datenfracht mit wirklicher Sprengkraft zu transportieren. Viren können sehr wohl in scheinbaren Warn-EMails enthalten sein wie der besagte Symantec-Warn-Wurm. Sie sind dann im Anhang als ausführbares Programm oder als Teil dessen enthalten. Und manchmal sind - von außen unerkenntlich - eben auch Varianten als reiner Hoax und als Sabotageprogramm im Umlauf, etwa AOL4FREE, das als echtes Trojanisches Pferd und als Falschmeldung kursiert. Sein und Schein Daß das bloße Lesen von Hoax Viren aktivieren könnte, ist insoweit Unfug, als dabei die reinen Textvarianten gemeint sind. Die kann man beruhigt vor dem Löschen lesen. Auf getarnte ausführbare HTML-Skripte haben wir weiter unten hingewiesen, die sind aber eben kein Hoax, sondern Viren oder Trojaner. Die fatalen Microsoft Outlook Automatismen haben nichts mit dem Lesen zu tun, sondern damit daß Anhänge automatisch und ohne Zustimmung des Anwenders gestartet wurden. Der ILoveYou hat dort eine systemimmanente Schwachstelle ge- nutzt, die aber schon jahrelang bekannt ist und vor der ebenso lange gewarnt wurde. Hier muß die Systemadministration eingreifen. Als Virenwarnung getarnt können aber auch Makroviren in Word-Dokumenten ab der Version 6.0 auftreten. Wir sprachen darüber. Hier hilft nur scannen aus prinzipieller Skepsis gegenüber E-Mail-Anhängen. Denn wirksamen Schutz gegen Mail-Enten gibt es nur durch einen kritischen und bewußten Umgang mit den Attachments und gute Information. Neugier, Gutgläubigkeit, Unwissenheit und falsche Hilfsbereitschaft sind die Schwachstellen, an denen die Saboteure ansetzen. Und wer will sich davon restlos freisprechen? Wir können den Anwendern nur raten: Öffnen Sie keine ausführbaren Dateien, die Sie per E-Mail erhalten, ohne daß diese von einem aktuellen Antivirus- Informationen zu Hoax Eine kleine Auswahl, die Sie weiterführt Wer Fragen zu Hoax, Kettenbriefen, Falschmeldungen und dergleichen hat, kann eine E-Mail an die TU Berlin schreiben: hilfe@hoax-info.de. Hoch informativ sind die Extrablätter des ZRZ der TU Berlin, die verraten, was eine Mail-Ente ist und was Virenprogramme: www.tu-berlin.de/www/ software/hoax.shtml mit deutschem E-Mail-Newsletter. Die Virus Help Munich informiert kompetent unter: www.vhm.haitec.de. Computer Virus Myths sind nicht nur informativ, sondern in ihrem Rigorismus auch unterhaltsam: http://www.kumite.com/myths. Eine deutschsprachige Liste bekannter Mail-Enten und Sabotage-Software von Armanda bis Zlatko findet sich beim perComp-Verlag unter: h t t p : / / www.percomp.de/viren/info/sabotage.html. Symantecs AntiVirus Research Center listet Hoaxes von AIDS bis Yellow Teletubbies und ZZ331 Hoax in englischer Sprache mit Newsletter-Anforderung unter: http://www.symantec.com/avcenter/hoax.html auf. Um Legendenbildung entgegenzuwirken finden Sie weitere englischsprachige Informationen unter: h t t p : / / u r b a n l e g e n d s . a b o u t . c o m / s c i e n c e / urbanlegends/ oder die Hoax Warnings der F-Secure Corporation unter: http://www.Europe.DataFellows.com/news/hoax.htm Die Uni Hamburg klärt in deutscher Sprache über Viren, die es nicht gibt, auf und bietet eine weiterführende Link-Liste zum Thema unter: http:// minerva.sozialwiss.uni-hamburg.de/majordomo/hoax.html. Eine erste Adresse in Sachen Viren und damit auch in Sachen Hoax ist immer das Virus Test Center der Universität Hamburg unter: http://agnwww.informatik.uni-hamburg.de/vtc/navdt.htm. 08 Ausgabe 08/2000 22 Ascend Router von Lucent Technologies Programm geprüft wurden. Und schon mal gar nicht bei vermeintlichen Viren-Warnungen. Auch von Freunden nicht, denn es könnte die letzte Nachricht sein, die deren System gerade versendet hat. Selbst beim Scannen bleibt ein Restrisiko gegenüber unbekannten, weil brandaktuellen Spezies. Hoax Info Channel Das Ziel der IT-Verantwortlichen angesichts der Hoax-Verbreitung sollte es sein, den Benutzern im Netzwerk verläßliche Informationen zu geben und die Erkenntnis, daß sie möglicherweise selbst aus mißbrauchtem guten Willen Teil einer Sabotage-Strategie sind, irregeführte Helfershelfer wider Willen, die dazu beitragen, Desinformation, Datenmüll und schlimmstenfalls in Warnungen getarnte Viren zu verbreiten. Wenn sie nicht sicher sind, sollten Anwender Meldungen generell nicht weiterleiten und zumindest Möglichkeiten finden, solche Warnungen zu überprüfen oder über ihre Administratoren prüfen zu lassen. Denn die interessiert von Berufs wegen, ob das Unternehmensnetzwerk gefährdet ist oder nicht, und wissen hoffentlich, was Unfug ist. Es läßt sich kaum hochrechnen, wieviel Arbeitszeit verschwendet wird, weil (alle) Mitarbeiter sich mit blankem Unsinn beschäftigen, in dem wirklich relevante Fakten untergehen. Eine kleine Auswahl kompetenter HoaxAufklärer bietet unsere kleine InfoBox. Kettenbriefe Elektronische Kettenbriefe haben keine inhärenten Sabotagefunktionen. Chainletter müllen - wenn sie denn weitergeleitet werden - in ihrer virulenten Verbreitung “nur” die Mailboxen zu, wie Massenwerbemails. Im Gegensatz zu Kettenbriefen motiviert Spam jedoch meist nicht zur Weitergabe. Die Fachleute unterscheiden mehrere Varianten. Im Prinzip werden sie von Anwendern, teils nach dem bekannten Schneeball-System pyramidal weiterverbreitet. Faktisch stellen sie in ihrer Totalität nur eine Kuriositätensammlung von Witzbolden dar, die die Leute zum Narren halten, von Bauernfängern und Falschspielern, die einen Dummen suchen, oder von Traumtänzern und Weltverbesserern, die ihr Ziel verfehlen und sich auch nicht scheuen, auf die Tränendrüsen zu drücken. Sie sollten da beruhigt kein Blatt vor den Mund nehmen, wenn Sie diesem Unfug begegnen. Moneymaker In profitorientierten Kettenbriefen werden Empfänger aufgefordert, Geld an den jeweiligen Absender zu überweisen, um dann selbst als Absender von den nachfolgenden Empfängern mit Geld überhäuft zu werden. Die Verbreitung ist exponential, nur bei der Zahlungsmoral der Schlaumeier und Raffzähne hapert es doch oft. Meist beginnt die Untermi- Abb. 3: Virenwarnung als Virus nierung des unlauteren Spielgedankens schon beim Weiterversender selbst, der es ohne wirklichen Einsatz halt mal ausprobieren möchte. Das kontrolliert ja keiner. So entsteht ein kollektives Paradox, das allenfalls den ersten Initalebenen Gewinn bringt. Aufgrund seiner bauernfängerischen Melkmethoden sind profitorientierte Kettenbriefe in Deutschland verboten und werden sogar strafrechtlich verfolgt. Wer es sich ersparen möchte, dem Staatsanwalt zu erklären, daß das alles nicht so gemeint war, sollte es von Anfang an bleiben lassen teilzunehmen. Glücksbringer Wenn genügend Nachfrage besteht, legen wir den Beitrag Viren in EMail und Netzwerk gerne zum Selbstkostenpreis als Sonderheft in einer kleinen Broschüre auf. Sagen Sie uns, was Sie brauchen. Ansonsten haben Sie auch mit dem PDF auf der Monats-CD 9/2000 und in Technik News online eine kostenlose Info zur Weitergabe. Nutzen Sie sie! Wenn Sie Interesse haben, Ihren Anwendern oder Kunden Informationen für einen aktiven Virenschutz im Unternehmen zukommen zu lassen, schreiben Sie uns unter: technews@compu-shack.de, auch wenn Sie Anregungen haben. Aufklärung tut not ! 08 Ausgabe 08/2000 23 Verheißungen, Gewinnspiele und Glücksbriefe - wie war das noch gleich mit dem Liebesglück im LoveLetter - scheinen unwiderstehlich und spielen mit Hoffnungen und Aberglauben. Da wird behauptet, Microsoft teste ein E-Mail-Tracking System, das den Absender von weitergeleiteten Mails registrieren könnte, thema des monats Fortsetzung von Seite 21... und jeder, der beim Test mitmache und das Mail fleißig weitergebe, würde eine Belohnung dafür erhalten (vgl. Abb 4). Hätten sie ein solches System, würden sie als allererstes den Initiator dieses Unfugs dingfest machen und den phillipinischen Liebesboten gleich mit. Auch schenkt Bill Gates niemandem 1000 Dollar, nur weil er E-Mails weiterleitet, umgekehrt wäre es zumindest ein guter Vorschlag. Keinem droht ein Fluch, weil er Glückwünsche nicht weiterleitet. Aber wir sehen, wie hier psychischer Druck aufgebaut wird. Gut, daß wir inzwischen wissen, daß ganz im Gegenteil das Unglück gerade durch “verfluchte” Glücksbriefe über uns kommen kann. Doch obwohl der klar denkende Mensch bestenfalls unterstellen kann, daß da jemand vielleicht einen über den Durst getrunken hat, wird solcher Blödsinn massenweise kolportiert, technisch zu Lasten der weltweiten Netzwerkressourcen, soziologisch zugunsten eines Klimas, in dem Menschen sich scheuen oder zögern, diesen Verführungen zu widerstehen. Abb. 4: Die Grenze zwischen Kettenbriefen und Hoax ist fließend. Aufklärung Kettenbriefe sind durchaus geeignet, Sabotage-Programmen den Weg zu ebnen, weil sie den unbedarften Umgang mit E-Mail einüben. Müßten die Leute Porto bezahlen, sie würden es sich überlegen. Auch auf diesem Sektor ist Aufklärungsarbeit gefragt. Als IT-Veranwortlicher sollten Sie darlegen, wie die stereotypen Mechanismen arbeiten und Anwender auffordern, den ganzen Müll zu vernichten und zu ignorieren. Das gilt für Tränendrüsen-Briefe, die angeblich todgeweihte Kinder um die Welt schikken wollen, ebenso wie für Petitionen und Boykott-Aktionen aus welcher weltanschaulichen Motivierung auch immer, wie die TU Berlin jedem eindringlich auseinanderlegt. Good old LoveLetter Security wird angesichts solcher Gepflogenheiten nicht umsonst zu einem der meistgebrauchten Begriffe in diesem Jahr. Wir betreiben kaskadierte Firewalls, um aktive Einbruchsversuche zu verhindern, kapseln interne Netze ab, verschlüsseln unsere Daten zu Lasten der Performance bis zur Unkenntlichkeit und erstellen Regeln, wann, wie und wohin Daten übertragen werden dürfen. Um so mehr erstaunt es, daß eine einfache Scriptdatei wie der LoveLetter so immensen Schaden und Aufregung verursachen kann. Stellt sich zurecht die Frage: Haben wir etwas vergessen? Total Recall Es wird die unbedarften Anwender sicher erstaunen, wenn sie hören, daß es die meisten infektiösen Auswirkungen des LoveLetters so oder in ähnlicher Form schon gegeben hat. Das einzige, was sich gegenüber den Vorgängern unterscheidet, ist das Übertragungsmedium. Alte Hasen erinnern sich noch an die Zeiten, in denen eine fremde Diskette konsequent auf einem isolierten System, einer Virenschleuse, geprüft wurde, bevor die Daten in das Netz eingespielt wurden. Files, die aus einer FIDO- oder MAUS-Box heruntergeladen wurden, wurden mit Sorgfalt überprüft. Das ist heute undenkbar geworden. Doch diese Umsicht wurde belohnt. Denn sehr häufig hörte man von einem durch Viren verursachten Supergau, der datentechnisch die Stunde Null im Berufsleben eines EDV-Leiters markierte. Wenn es feststeht, daß Daten im Gigabyte-Bereich unrettbar im Nirwarna verschwunden sind, wird es wohl so sein, als hätte man sein Lieblingsauto zu Schrott gefahren oder das eigene Haus wäre abgebrannt. Aus der Traum! Tschernobyl Unfälle mit großem Ausmaß passieren nicht nur im fernen Rußland. Während pressefreundliche Viren wie Michelangelo in den Medien hochgespielt wurden, hatte ein weniger bekannter Virus mit dem Namen W 9 5 . C I H - auch bekannt als Chernobyl-Virus - ab Ende 1998 sein Unwesen getrieben. Hochinfektiös hatte er sich eine inzwischen weit bekannte Schwachstelle in unseren Systemen zunutze gemacht, die Makro-Implementation in Microsoft Office. Die Schäden waren enorm, mehr als eine Million Computer waren befallen und die meisten Daten verloren, bevor der User es überhaupt bemerkte. Von diesem Zeitpunkt an wurde zumindest bei den Geschädigten ein Profitool zur Virensuche eingesetzt und versucht, Makro-Funktionen zu kontrollieren. Dabei sollte das Augenmerk nicht nur auf Dateien mit der Endung *.doc, sondern auch auf Excel- *.xls oder Powerpoint-Dateien *.ppt gelegt werden. Melissa “Melissa erzählt die Geschichte von Freunden, die füreinander durchs Feuer gehen. Sie handelt von tiefen Gefühlen, von Liebe und Hoffnung, aber auch von Enttäuschung, 08 Ausgabe 08/2000 24 Schmerz, Verzweiflung und Abschied. Sie ist schnell und sanft zugleich, witzig und manchmal vorlaut, geheimnisvoll und doch klar und sie läßt niemanden unberührt...”, so die Überschrift aus dem bekannten Musical. Nicht völlig unberührt blieb leider auch die IT-Welt als ein gleichnamiger Makrovirus vor ziemlich genau einem Jahr sein Unwesen trieb. Raten Sie mal welchen Verteilungsweg dieser Virus nutzte? Er bediente sich des Outlook-Adreßbuches, um sich an die ersten 50 Einträge zu versenden! Suchen Sie in einer Virendatenbank einmal nach der Kennung Worm.Explore. Ein Virus, der erstmals im Juni des letzten Jahres auftrat, und - Sie haben es sicher erraten - klar doch, eine verseuchte Mail an die Einträge des Outlook-Adreßbuches versendete! Das gleiche gilt für die Virenstämme Worm.Explore (06/99), VBS.FreeLink (07/99), S c r i p t . K a k w o r m (12/99), Irok.Trojan.Worm (03/2000) usw. usw....! Die Outlook-Adreßbuchproblematik ist ein alter Hut. Erstaunlich ist, daß in der breiten Öffentlichkeit erst mit dem LoveLetter Bewegung ausgelöst wurde, als könne man nur aus Schaden klug werden. Aktivismen Aktive Implementationen nach Makro oder Scripting sind gedacht, um Informationen und Funktionen in Applikationen nicht zu isolieren, sondern übergreifend zur Verfügung zu stellen. Aktive Elemente gibt es weit mehr als erwartet. Während hoffentlich jeder Benutzer fremden Dateien mit der Endung *.EXE, *.BAT, *.CMD mittlerweile entsprechenden Argwohn entgegenbringt, sollten Sie sich noch andere Dateiendungen auf Ihre Robinsonliste schreiben. So ist jeder Bildschirmschoner, der auf allen Windowsplattformen einsetzbar ist, im Grunde eine EXE-Datei. Machen Sie doch die Probe aufs Exempel. Benennen Sie eine *.scr-Datei in *.exe um und starten Sie sie! Ein Bildschirmschoner ist also ein idealer Träger für einen Virus. Besonders wenn er noch bunt oder witzig aufgemacht wurde. Beispiele dafür gab und gibt es reichlich, sie heißen PrettyPark, W32.FunLove, W95.Savior oder W95.Mar burg , Hoax ebenso, er belegt den wahren Kern dieser Gefahren. Objektbewegung Eher im Hintergrund agieren ganz andere Module mit ausführendem Charakter. Basis für jeden Entwickler sind sogenannte ActiveX-Steuerelemente. Diese vorgefertigten oder selbst erstellten Module sind zum einen direkt auf dem Betriebssystem verwendbar, können aber auch in Web-Seiten integriert werden. Dies reduziert zwar den Entwicklungs-aufwand erheblich und macht die Applikationen bezahlbar, jedoch wird hier eine weitere Möglichkeit für kriminelle Machenschaften offengehalten. Moderne Virenscanner erkennen aber solche Funktionen in der Regel und melden u.a. auch, wenn eine aufgerufene Webseite ein destruktives JavaApplet enthält. Ebensolche Inhalte kann eine E-Mail im HTML-Format enthalten. Hier muß nicht wie bei Script-Würmern ein Anhang aktiv aufgerufen werden, sondern es reicht, sich die Mail im vorgeschlagenen Format anzuschauen. Wenn nun in einem Browser, der durch die Objektverknüpfung gestartet wird, die Ausführung von aktiven Inhalten nicht eingeschränkt wurde, haben Sie ein Problem (vgl. Abb. 5). Still im Hintergrund bleiben auch einige Makroviren aus Word-Dokumenten, wenn sie im Format *.rtf gespeichert wurden. Die RTF-Solution ist zwar als Workaround empfohlen, wird aber bei den neueren Wordversionen einige aktive Inhalte passiv mitspeichern. Wenn diese Datei wieder in ein Doc-File umgewandelt wird, sollten Sie mindestens eine unverseuchte Bootdiskette zur Hand haben. 08 Ausgabe 08/2000 25 Visual Basic Script Viren VBS/Angela VBS/AntiSocial.E VBS/APS VBS/Asylum VBS/Bee VBS/Belalang VBS/Bhong VBS/Bleed VBS/Bogus VBS/Break VBS/Bubbleboy VBS/Carpe VBS/Chantal VBS/Charlene VBS/ColdApe VBS/Corrupt VBS/Crystal VBS/Cute VBS/Devious VBS/Devolve VBS/Drambui VBS/Dream VBS/Entice VBS/Eon VBS/Firkin VBS/First VBS/Fool VBS/FreeLinks VBS/FreeLove VBS/FriendMess VBS/Fuss VBS/Golden VBS/Gum VBS/Happy VBS/Hopper VBS/Insert VBS/Internal VBS/Irok VBS/JDV VBS/Judge VBS/Kak VBS/Kicked VBS/Kremp VBS/Lanus VBS/Loveletter VBS/Lucky VBS/Lucky2 VBS/Lys VBS/Marker VBS/MB VBS/Mill VBS/mIRC VBS/Missy VBS/Mix thema des monats IRC Viren Tür und Tor IRC/Acoragil IRC/AntiMarc IRC/Auser IRC/BadBoy IRC/BadEvent IRC/Banishing IRC/Bee IRC/Bluf IRC/Bolzano IRC/Class IRC/Claw IRC/Cure IRC/DayDream2 IRC/Divers IRC/Divers IRC/Dmsetup IRC/Duke IRC/Egg IRC/ElSpy IRC/Focus IRC/Fono IRC/FreeLink IRC/FreeLinks IRC/Fun IRC/Gakk IRC/Hamster IRC/Jeepwarz IRC/Jobbo IRC/Julie IRC/Kazimas IRC/Kipo IRC/Kosovo IRC/Kryptos IRC/Lisa IRC/Loa IRC/Lucky IRC/Mabra IRC/Milbug IRC/MircNew IRC/Mojo IRC/MrWormy IRC/MyPic IRC/Ola IRC/Overnuke IRC/Panter IRC/Pron IRC/Protec Sich der Virenproblematik gänzlich zu entledigen, ist unerquicklich. Sie müßten nämlich jeglichen ausführbaren Code in seiner Funktion unterbinden. Im Klartext: Sie dürfen den Rechner nicht einschalten. Neben dieser allzu drastischen und frustieren-den Unmöglichkeit gibt es also nur eine akzeptable Maßnahme, die offenen Türen soweit zu schließen, daß ein einigermaßen komfortables Arbeiten möglich ist, und dabei alle aktiven Vorgänge vom Virenscanner überwachen zu lassen. Sollte jemand das mißachten, wird er nur all zu schnell Hauptdarsteller inmitten in einer neuzeitlichen Inszenierung des klassischen Dramas um Troja. Moderne trojanische Krieger verstecken sich in besagten Bildschirmschonern, *.dll-Files oder sogenannten Spaß-(?)-Dateien. Wie in der antiken Geschichte dringen die Krieger in die Festung ein und beginnen unerkannt von innen her ihr zerstörerisches Werk. Trojanische Pferde könnten ohne weiteres permanent im Speicher ein System vollständig ausspähen und Usernamen, Paßwörter, Freigaben etc. an eine Zieladresse senden wie der Winsck.Trojan vom Januar 2000. Wie bitte? Der kommt Ihnen bekannt vor? Richtig, er ist einer der dramatischen Bestandteile des LoveLetters! IRC-Chat Leider ist der Ansatz von Sabotageprogrammieren ziemlich konsequent, sich Verbreitungsmechanismen zu suchen, die möglichst schnell und unerkannt den zerstörerischen Inhalt weitertragen. Eine der - inzwischen bekannten - Varianten ist die Verbreitung über Adreßbücher. Stellt man sich ein Adreßbuch mit 25 Einträgen, also dem Faktor 25 vor, und setzt den Virus alle 5 Minuten frei, hat er nach 5 Minuten 25 PCs infiziert, nach 10 Minuten 625 usw. Nehmen Sie sich ruhig einmal einen Taschenrechner und berechnen Sie einen Tag. Diese exponentiale Vervielfachung muß die Internet-Gemeinde einfach umhauen. Dazu kommt, daß die meisten User doch deutlich mehr als 25 Einträge im Adreßbuch haben. Da reicht ein Adressat bei einem großen Unternehmen mit mehreren tausend Mitarbeitern, um den Verbreitungsalgorithmus explosionsartig nach oben zu schrauben. Eine weitere Möglichkeit stellt die doch sehr verbreitete Chat-Technologie IRC bereit. Ähnlich wie bei einem Mailsystem wird beim Connect ein Adreßbuch bereitgestellt. Sollte die vorgesehene Steuerdatei modifiziert worden werden, wie z.B. durch ein schon vor 1998 bekannter Virus aus dem Stammbaum IRC.Worm, werden ebenfalls entsprechende Signaturen an alle Einträge im IRCAdreßbuch versendet. Das ist Ihnen schon lange bekannt? Mag sein, spätestens als der mitteilungsfreudige Part des LoveLetters. I love you Wird der vollständige Sourcecode des Liebesbriefes durchleuchtet und jeder Teilbereich untersucht, wird einem schnell klar, daß es sich um die einfache An-einanderreihung der bekanntesten Viren der letzten drei Jahre handelt. Eingepackt in eine relativ leicht zu erlernende Programmiersprache und verteilt über eines der meist verbreiteten und am wenigsten gesicherten Mailprogramme überhaupt, öffnete der LoveLetter am 4. Mai die Büchse der Pandora. Keiner hat so schnell soviele Modifikationen erfahren (vgl. Abb. 6). Neben all dem gesammelten subversiven Wissen um die anfällige Technologie war der entscheidende Faktor, den der Verfasser der Liebesbotschaft integriert hatte, jedoch elementare Psychologie, die die Bombe zünden half. Warum? Weil die Empfänglichkeit für Liebesgrüße, die menschliche Neugier und Leichtsinn offensichtlich eine schwer zu schla- 08 Ausgabe 08/2000 26 gende, verführerische Kombination sind. Fast schon zu einfach, um wahr zu sein, fast schon ein Traum, daß nicht schon früher jemand einfach eins und eins zusammengezählt hat. Es ist im Nachhinein wirklich ernüchternd, wie leicht durchaus verständliche menschliche Schwächen ausgenutzt werden können. Da hilft kein Scanner. Aktiver Virenschutz Schon sehr lange versuchen Initiativen, Forschungsanstalten, verschiedene Universitäten oder das Bundesamt für Sicherheit in der Informationstechnik BSI auf diese Lücken aufmerksam zu machen und die Benutzer und Administratoren zu sensibilisieren, die aktiven Schnittstellen Informationen zu Viren Links, die wirklich Klarheit schaffen Neben unabhängigen Organisation und Universitäten bieten die Hersteller von Anti-Viren-Software und Verlage Info-Channel, Newsletter und teilweise kostenlose Virenschutzprogramme. In Technik News Online haben wir unter www.technik-news.de eine kleine Auswahl an Links zusammengestellt, die Sie weiterführen werden. Abb. 5: Sicherheitseinstellungen für den Internet Explorer. Das Bundesamt für die Sicherheit in der Informationstechnik BSI ist unter www.bsi.de erreichbar. Neben allgemeinen Informationen erhalten Sie dort aktuelle Empfehlungen einer neu gegründeten Task Force zum Schutz vor verteilten Denial of Service-Angriffen im Internet wie auch zum Schutz vor Computer-Viren aus dem Internet, getrennt nach Endanwendern, Administratoren, Software-Hersteller und Provider. Das Virus Test Center der Universität Hamburg veröffentlicht nicht nur aktuelle Virenwarnungen und Hoax, sondern auch Anti-Virus-Scanner-Tests: http://agn-www.informatik.uni-hamburg.de. Die Linkliste verweist auf viele interessante Quellen. Die Zentraleinrichtung Rechenzentrum (ZRZ) der Technischen Universität Berlin sagt Ihnen, was Falschmeldungen sind und was ernstgenommen werden muß, auch über einen deutschsprachigen E-Mail-Newsletter: w w w . t u - b e r l i n . d e / w w w / s o f t w a r e / hoax.shtml. Deutschsprachige Computer-Virus Informationen veröffentlicht der perComp-Verlag GmbH unter h t t p : / / w w w . p e r c o m p . d e / virusinformationen.html. Die Anti Virus Protect Virus Enzyklopädie von Metropolitan Networks BBS aus der Schweiz finden Sie unter: www.avp.ch, mit einer kostenlosen AVP-Mailing List, einem meist wöchentlich erscheinenden englischen E-Mail-Infoletter, der die neuesten AVP Virenprogramm-Updates ankündigt. Das Computer Virus Info Center der FSecure Corporation (vormals Data Fellows) bietet Info und kostenlose Download-Möglichkeit des BackWeb Client zum Erhalt des F-Secure Computer Virus News: www.Europe.DataFellows.com/virus-info. Der Weg zum Virus Information Library Search Center von McAfee heißt im Web: http://vil.mcafee.com. Zu Dr. Solomons geht es wahlweise über: www.drsolomon.com oder.de, bzw. zu Network Associates International über: www.nai.com/international/uk. Die Online Encyclopedia des Symantec AntiVirus Research Center öffnet sich Ihnen unter: www.symantec.com/avcenter, das Virus Information Center von Computer Associates unter www.cai.com/virusinfo. 08 Ausgabe 08/2000 27 Abb. 6: Kein Virus hat so schnell soviele Modifikationen erfahren wie der I-Love-You. besser zu überwachen. Nur, wie verhalte ich mich richtig, wie kann ich mich vorbereiten? Der IT-Verantwortliche wird auf zwei Seiten vorgehen müssen. Da steht heutzutage der technische Schutz des Netzwerkes unmittelbar neben der Aufklärung der Benutzer und Benutzerinnen. thema des monats Lets watch TV Virus Little Drummer Boy Virus Londhouse AltaVista Virus Lump of Coal Virus Maddick (Deeyenda) Virus Make Money Fast Virus Malicious joke home pages MANAGER.EXE Matra R-440 Crotale Matrix Virus Meme Virus Memphis.98.MMS Virus Microsoft home page Virus Microsoft Virus Microsoft Win95 Install Disk Microsoft Win95 Time Bomb Virus Mike RoChenle modem subcarrier Virus Millennium Time Bomb Millennium Virus MIME_FORMAT Mirabilis: ICQ Trojan/Virus Mit_Liebe MMF Virus Mobile Phone Virus Modem subcarrier Virus Moment of Silence Virus MP3 (Bloat) Virus NASTYFRIEND99 National_Banks Naughty Robot spider New Years Baby Virus Norman Virus Norton AntiVirus v5 alert NOTE.EXE NSA printer Virus Open very cool Virus Pandemic Penal Greetings Virus Penguin Press: the Irina Virus Penpal Greetings Virus PERRIN.EXE Virus Phantom Menace Virus PICTURE.EXE PKWare: the PKZ300B Trojan/Virus PKZ300B Trojan/Virus PKZIP300 Trojan/Virus Pluperfect Poseidon Postal_Email Printer Virus released by NSA in Gulf War Promail Puzzle Red Alert Virus Returned Mail Virus Returned or Unable to Deliver Riot Sanarchist Management Mitwirkung der Benutzer Aktiver technischer Schutz reicht von Virenbekämpfung ist ohne die Unterder mehrstufigen Kontrolle des stützung der Mitarbeiter halbherzig. Internet- und Mailverkehrs hinab bis Dem Anwender ist dabei klarzumazum Einsatz von Diskless Worksta- chen, daß Sicherheit manchmal auch tions. Das ist auch eine organisatori- unbequem sein kann, und die Benutsche Frage. In jedem Fall sollten per- zerfreundlichkeit einschränkt.Aber manente Virenscanner auf allen durch mangelndes SicherheitsbeWorkstations und den Schnittstellen wußtsein und das Bestreben, zur Außenwelt, auf Mailservern und Sicherheitsfunktionen möglichst FileServern eingesetzt werden. Be- rasch wieder zu ignorieren oder gar sonderes Augenmerk sollte dabei auf zu deaktivieren, gefährdet der einzeldie Grenzen dieser Virenprogramme ne nicht nur seinen Arbeitsplatz, sondern auch den seiner Kollegen. Die geworfen werden. Sind die Agents z.B. in der Lage, ge- Konfiguration der E-Mail-Clients packte Dateien zuverschlüsseln oder sollte so eingestellt sein, daß zu scannen, übrigens ein sehr belieb- Attachments nicht automatisch geöffter Wirt für Viren? Können sie die net werden. über einen Agent verschlüsselten Außerdem sollten als E-Mail-Editor Mails und Anhänge untersuchen? Er- keine Programme mit der Funktionagänzt werden sollte dies durch eine lität von Makro-Sprachen wie Winzumindest periodische Untersuchung Word oder Scripts einge-setzt werden (vgl. Abb.6). der Clientsysteme. Da der Endanwender aufgrund der Aus Sicherheitsgründen sollte das Komplexität der Systeme häufig HTML-Format ebenfalls nicht verwirklich nicht in der Lage ist, selb- wendet werden. ständig für die Sicherheit seines RechRecovery ners zu sorgen, sollten Maßnahmen möglichst zentral vom IT Manage- Anhand der vorliegenden Saboment koordiniert und auch vom tageprogramme sind je eigene VerfahUnternehmensmanagement mit- ren zur differenzierten E-Mail-Filtegetragen werden. rung vorzubereiten und auch zu teEs geht um existentielle Geschäftsbelange. Für Probleme und Fragen ist für die Abb. 7: Word als Mail-Editor in Microsoft Outlook Anwender ein zentraler ausschalten Ansprechpartner mit EMail-Adresse, Telefonund Faxnummer zu benennen. Die Informationswege für Notfälle sind genauestens zu planen und bekannt zu geben, die zuständigen Funktionen oder Personen zu definieren, Ausweichwege für die Kommunikation und Vertretungsregeln festzulegen, um im Notfall intern bereits Schaden zu begrenzen. 08 Ausgabe 08/2000 28 sten, z.B. temporäre Größenbeschränkung oder Unterdrückung von Attachments, nur Posteingang, Filterung von bestimmten Betreffs. Da E-Mail vielfach das zentrale interne Kommunikationsme-dium geworden ist, dürfen diese Systeme allenfalls kurzzeitig deaktiviert werden, damit nach wie vor hausinterne Warnungen und schnellstmöglich externe Kommunikation wiederhergestellt sind. Es muß sichergestellt sein, daß bei Vorliegen eines neuen ComputerVirus die Updates der Viren-Schutzprogramme möglichst rasch auf Servern, Gateways und Clients eingestellt werden. Die entsprechenden Verteilwege und Maßnahmen sind vorzubereiten und selbstverständlich auch regelmäßig zu testen. Sollten durch einen neuen Computer-Virus die üblichen Infor-mationswege nicht verfügbar sein, sind alternative Verfahren zur zeitnahen Warnung vorzusehen, notfalls auch durch Fax, SMS oder Laut-sprecherdurchsage. Bei einigen Computer-Viren, so auch bei VBS/Love Letter, wird durchAktivieren von Programmen versucht, weiteren Code über das Internet meist WWW - nachzuladen. Die dabei verwendeten IP-Adressen oder Ports sind durch Filter abzublocken. Für den Notfall sind Backup- und Restore-Strategien zu erarbeiten, die festlegen, welche Rechner in welcher Reihenfolge in betriebsbereiten Zustand zu bringen sind, damit in kürzester Zeit eine, wenn auch eingeschränkte, Funktionsfähigkeit hergestellt werden kann. Fazit Eine Sicherheitsstrategie für Unternehmen sollte neben den technischen Vorkehrungen auch organisatorisch greifen, indem Mitarbeiter motiviert werden, ihre Eigenverantwortung wahrnehmen. Ein erfolgreicher Virenschutz wird sich den dargelegten soziologischen und psychologischen Phänomenen stellen müssen. Aufklärung und Unterstützung seitens der IT-Verantwortlichen kann da noch viel bewegen. Dabei ist es hilfreich, einen internen Viren und Hoax Info Channel - beispielsweise im Intranet - aufzubauen. Damit Anwender sicher sein können und verantwortungsbewußt mitarbeiten, brauchen sie seriöse Informationen. Sie müssen wissen, wo diese zu finden sind, und was sie im allgemeinen Interesse zu tun oder besser zu lassen haben. Technischer Virenschutz bei offener Kommunikation wird allein kaum ausreichen und ist in sich wohl auch paradox. Offenheit wird tendenziell mit erhöhter Anfälligkeit bezahlt. Und es gibt da wirklich linke Touren. Sicherheit ist nur zum Preis einschränkender Kontrolle zu haben. Ihr Extrem, komplette Abschottung, widerspricht dem Anspruch auf Kommunikation. Wenn Sie als Administrator oder IT-Manager nicht zum Reparaturbetrieb für Virensabotage verkommen wollen, ist es Zeit, Ihre Anwender und Kunden in die Verantwortung zu nehmen. Anti-Virus-Software-Anbieter Die Nachfolgende Link-Sammlung von Software-Anbietern erhebt keinen Anspruch auf Vollständigkeit und führt aufgrund von Zusammenschlüssen teilweise zu den denselben Produkten. Sie finden Anti-Viren-Software und Virenschilde als Einzelplatz- oder Unternehmenslösungen für die verschiedensten Plattformen, Firewalls, Virenwächter, Sniffer, Internetschilde und E-Mail-Scanner. Computer Associates Dr Solomon´s F-Secure Corporation H+B EDV Datentechnik IBM Anti Virus IKARUS Software McAfee Metropolitan Networks BBS Network Associates Norton Antivirus Symantec http://antivirus.cai.com www.drsolomon.com www.datafellows.com www.antivir.de www.av.ibm.com/current/FrontPage www.ikarus.at www.mcafee.com www.avp.ch www.nai.com/international/uk www.Norton.com www.symantec.com/region/de Das Virus Test Center der Universität Hamburg veröffentlicht jährlich Anti-Virus-Scanner-Tests in englischer Sprache unter: http://agn-www.informatik.uni-hamburg.de/avlinks. Deren letzter Stand datierte im Juli vom April 2000. Sie finden dort Informationen über den Test, die Methoden, die Viren-Datenbank und Ergebnisse, die per FTP heruntergeladen werden können. Die Technische Universität Berlin veröffentlicht eine Übersicht von Universellen Antiviren-Programmen unter www.tu-berlin.de/www/software/antivirus.shtml#univ 08 Ausgabe 08/2000 29 h HOTLINE STAND: 11. JULI 2000 Technik-News Patch-CD August 2000 Empfohlene Novell-Patches NetWare NW v5.1 DSBROWSE.exe IDEATA5A.exe NAT10.exe NJCL5A.exe NLSSLP5A.exe NW51INST.exe NW51SP1.exe NW51UPD1.exe NW5NWIP.exe PKISNMAS.exe NW v5.0 CDBE2.exe DSBROWSE.exe C112BRJ.exe C112CRJ.exe DS8D.exe I20DRV5.exe IDEATA5A.exe NDPS20P1.exe NJCL5A.exe NLSSLP5A.exe NW5TCP.exe NAT10.exe NSSNW5A.exe NW5MCALC.exe NW5NDS1.exe NW5NWIP.exe NW5PSERV.exe NW5SP5.exe NWSP2AAI.exe NWSSO.exe ODSB.exe TIMESYNC.exe VRPNW5A.exe NW v4.2 42Y2KP1.exe DS411R.exe NetWare Utility Updates 4.x Utils 41DSVU2.exe 41FILR.exe 41NDIR.exe NLSTY2K.exe NETUSR.exe PS4X03.exe PU4X03.exe 3.1x Utils 312DU1.exe BNDFX4.exe FIL376.exe MAP312.exe PS3X02.exe RCONSOL.exe SYS376.exe Client Kits & Updates DOS/WIN32 ADM32.exe DW271DE.exe TCP32K.exe Mac IPX CTL511.bin MCLUBD3.bin Windows 95 dt. 9530IPX.exe NPTR95.exh W9531DE.exe W95UNC.exe Windows 95 eng. W9532E.exe Miscellaneous Updates HOTLINE Bordermanager 3.0 Cluster Services BM3CP2.exe NWCSUPD1.exe BM3PC11.exe NWCSSP1.exe BM3RMV2.exe GroupWise 5.5 BM3SP2.exe CCMLN1.exe BM3VPN01.exe CCMLN2.exe BMTCPE4.exe EXCHNT2.exe WEBLSP1.exe F32W551A.exe Bordermanager 3.5 G554MLT.exe BM35C06.exe G55E1EN.exe BM35EP1.exe GW55SP4.exe BM35EP1A.exe MSMPCU.exe BM3CP2.exe R553AMLT.exe BM3VPE08.exe WINNTWMS.exe Patches Deutsche Updates Windows 95 D35907.exe ID4SETUP.exe W95SP1_G.zip W95Y2KD.exe Windows 98 O98SECU.exe Y2KW982G.exe Englische Updates Windows 95 IE4USP.exe IESETUP.exe MSDUN13.exe W95PLUSD.exe W95SP1.exe W95Y2K.exe Windows 98 Y2KW98_2.exe DS411S.exe GROUPFIX.exe IPG4201.exe IPGSN10A.exe LONGNAM.exe NLSLSP5A.exe NW4SP8A.exe OS4PT1.exe REVFHRFT.exe TSANDS.exe NW v4.11 411Y2KP2.exf ATMDRV04.exf CHTREE1.exe DS411S.exe HSTDEV.exe I2ODRV4.exe IPGSN10A.exe IPX660.exe VRP411a.exe LANDRV.exe LDAP103A.exe LONGNAM.exe MIXMOD6.exf NAT10.exe NDPS10P2.exe NLSLSP5A.exe NW4SP8A.exe NWPAUP1A.exe NWTAPE1.exe ODI33G.exe ODIWAN1.exe OS4PT1.exe REVFHRFT.exe SCHCMP2.exe SCMDA.exe SPXS03A.exe STRTL8.exe TSANDS.exe SMSUP6.exe LDR312FT.exe NW v3.12 312PTD.exe 312Y2KP2.exe CDUP5A.exe IPX660.exe LANDRV.exe LIB312D.exe MON176.exe NAM312.exe NSYNC1.exe NWPAUP1A.exe ODI33G.exe ODIWAN1.exe SMSUP6.exe SPXS03A.exe STRTL8A.exe TCP312.exe TTSY2K.exe VRP386.exe Tools/Docs 4XMIGR2.exe ADMN519F.exe CFGRD6B.exe CONFG9.exe COPYNLM3.exe CRON5.exe DSDIAG1.exe ETBOX4.exe HIGHUTIL1.exe LOADDLL1.exe ONSITB8.exe STUFKEY5.exe TABND2.exe TBACK3.exe TBOX7.exe TCOPY2.exe UPGRDWZD.exe NW Mac 312 3XCLNT.bin ATK307.exe ATOK31.exf MACPT3C.exe MIPXGW.exf NAM312.exe RAD102.exe RADATR.exe NWMAC.exe DHCP SER. 2.0 CSATPXY2.exe DHCP21R.exe MPR 3.1 MPR31B.exf NLSP-NW 3.12 IPX660.exe NLSP-NW 4.10 IPX660.exe NW/IP2.2 NIP199.exe NIP202.exe NIPW22.exe NFS 2.1 NFS199.exe NFS 2.3 NFS205.exe UXP205.exe TCP/IP TCPN06.exe WIN NT dt. WNT471G.exe WIN NT eng. WNT471E.exe WIN95/98 dt. 95321PT2.exe W95321G.exe WIN 95/98 eng. 95321PT2.exe W95321E.exe NW Connect 2.0 FNWCRNS.exe NCV20Y2K.exe NWC206.exe NWC207.exe NWC208.exe NWCMOD.exe NWMP2.exe W2N213.exe NW SAA 3.0 LANCHK.exe SAA30020.exe NW SAA 4.0 NW4SAA.exe SAA40010.exe SBACKUP SBACK6.exe Source Route SROUTE.exe WebServer 3.x WS310d.exe ZENworks Clients Windows NT dt. CTLY2KP1.exe GNNT4111.exe NA4NTY2K.exe NTPRINT.exe NWADMNP1.exe Z.E.N. Works v1.1 ZW110P3.exe Z.E.N. Works v2.0 ZFD2SP1.exe ZSPDEU.exe Lanalyzer 2.2 LZFW01B.exe LZFW01C.exe LanWorkplace LWP501.exe LWP511.exe ManageWise v2.5/2.6 MW02B.exe MW26SP3.exe MWCA1A.exe MWDT01A.exe MWINOC1F.exe MWINOC2C.exe MWNMA26.exe MWNMA3A.exe MWNMA4A.exe MWNXP01A.exe MWNXP26.exe NDS for NT v2.01 DUPRID.exe NDS4NTP1.exe NDS4NTU2.exe NIMS v2.1 NIMS21.exe NW for LAT 1.1 LAT002.exe STAMPD.exe Empfohlene Microsoft-Patches Windows NT 4.0 ID4SETUP.exe SP6I386G.exe Windows 2000 Exchange 5.0 ENPACK_WIN2000ADMIN_GER.exe SP1_500I.exe OUT2KSEC.exe SP1S500I.exe Exchange 5.5 SP3_55IG.exe Windows NT 4.0 IE4USP.exe IESETUP.exe MPRI386.exe PPTPFIXI.exe RRASFIXI.exe SP6I386.exe Windows 2000 ENPACK_WIN2000ADMIN_EN.exe Exchange 5.5 SP3_550I.exe Exchange 5.0 SP2_500I.exe SP2S500I.exe 08 Ausgabe 08/2000 30 Empfohlene AVM Updates und Patches AVM Produkte für Novell AVM MPR v2.11 AVM MPR v3.0 AVM Netware Connect v1.0 M211B05.exe M30B-06EA.exe NWCI157A.exe M211T05.exe AVM MPR v3.1 AVM NetWare Connect v2.0 M31E-11.exe NWCI2050.exe AVM Produkte für Microsoft AVM MPRI for NT AVM NDI for NT AVM NetWAYS v3.0 W95/98 AVM NetWAYS v4.0 NTR4409D.exe NDI201.exe NW95E-05.exe Virtuell CAPI 95/98/NT AVM Access Server for NT AVM NetWAYS v3.0 NT WINNDC34.exe IAS2409D.exe NWNTE-05.exe NW40609D.exe NW4610E.exe Empfohlene BinTec Updates und Patches Bintec Router Software Bingo! Brick XS/Office Brick XM Netracer BGO511.bg BRK511.XS2 BRK511.xm2 NR494P1.zip Vicas! BRK511P7.XS2 BRK512.xm Bingo! Plus/Professional BRK512.xs BRK513B2.XM2 VIC494.vc BGO494.bgp Brick XMP Brick XL/XL2 X4000 BRK511.XP BRK493.xl (XL) B5104.x4a BrickWare u. Configuration Wizard Brick X.21 BRK511.xl (XL2) XCentric BW514.exe BRK495.x21 XC514.xcm Empfohlene Tobit Updates und Patches Tobit Produkte für Novell TimeLAN Novell DAVID 5.2 für Novell MAILGATE.exe DAVID 6.0 für Novell TIMELAN.exe BRKTROUTN.exe PMNW2.exe D6SP1NM.exe IHS_NT.exe KEDV326.exe Faxware 5.11 für Netware SB 4.2 CL2TLD.exe TLD.exe DIGITLD.zip MCSCANNW.zip DAVID4.nlm DVINFO.exe TLDIX1.exe DV4EXSP1.exe REPORTER.exe Faxware 5.11 für Netware SB 5.0 DVSP2NV.exe TLDSIEM.exe DVVSCAN.exe DAVID5.nlm KEDV32.exe Tobit Produkte für Microsoft Tobit ServTime Win 98 David 5.2 für NT KEDV32.exe DAVID 6.0 für NT SETUPW98.exe BRKTROUT.exe PMNT.exe DVVSCAN.exe CL2TLDT.exe SL_NT.exe KEDV326.exe Tobit TimeLAN für NT DAVE-MEX.exe TLDIX1.exe IHS_NT.exe SETUPNT.exe DVINFO.exe TLDSIEM.exe D6SP1NT.exe DVSP2NT.exe Tobit ServTime für NT DVC3PD.dll FAXWARE.exe SERVTIME.exe Inventarliste Der Bestand und Umfang der Patches auf der Technik News CD verändert sich monatlich. Sobald uns neue Files vorliegen, nehmen wir sie mit auf. Ältere Patches oder solche, die durch neue ersetzt wurden, werden zugunsten neuer Dateien entfernt. (s. Patches.TXT): rot seit unserer letzten Veröffentlichung neu hinzuge kommen grün nur noch auf der Technik News Service-CD blau aus Platzgründen nicht mehr auf der Monats-CD 08 Ausgabe 08/2000 31 h HOTLINE Neue Patches in der Übersicht Novell Updates und Patches neu herausgekommen NW51SP1.exe 250315 KB Service Pack 1 für NetWare 5.1 in der 128 Bit Version. Dieses Update ersetzt das Service Pack D51SP1.exe. Die Änderung bezieht sich jedoch lediglich auf eine neue Version des TCP/IP NLM (siehe NW5TCP.exe). Da Sie diese als einzelnes Modul auf der aktuellen Monats CD finden, haben wir das all zu große Service Pack zugunsten anderer Patches nicht auf die CD genommen. für die folgenden Module enthalten: - GroupWise Administration - GroupWise Agents (Internet, NLM, NT und Web Access) - GroupWise Clients (Windows 95/ 98 und NT) leichtert Ihnen das korrekte Downloaden des richtigen Service Packs. Es sind wichtige Infos zur Installation des Support Packs enthalten. MWINOC1F.exe 12714 KB GW55SP4.exe 481 KB Download Assistant für das Support Pack 4 für GroupWise 5.5. Es er- Aktuelles Update Version 13.14 für InocuLAN v4.0 für DOS, Windows 3.x und Windows 95/98. Microsoft Updates und Patches neu herausgekommen NW5TCP.exe 378 KB O98SECU.exe 7187 KB Neues TCP/IP NLM für die NetWare 5.1 (Support Pack 1), NetWare 5.0 (Support Pack 5) und NetWare 4.11/4.2 (Support Pack 8a). OUT2KSEC.exe 2314 KB E-Mail-Sicherheitsupdate für Microsoft Outlook 98. E-Mail-Sicherheitsupdate für Microsoft Outlook 2000 SR-1. DS8D.exe 2705 KB Update für die NDS auf einem NetWare 5.0 Server, der mit eDirectory ausgerüstet ist (NDS Version 8). Für dieses Update muß die NICI 1.5.3 oder höher installiert sein. 95321PT2.exe 382 KB Update für den Novell Client für Windows 95/98 in der Version 3.2.1. AVM Updates und Patches neu herausgekommen NW4610E.exe 2779 KB Service Pack für AVM NetWAYS/ ISDN für Windows 95/98/NT in der Version 4.06.10 für den Support von Windows 2000 und weitere kleinere Bug Fixes der Shipping Version. Dieses Update kann auf jeder NetWays 4 Version eingesetzt werden. Enhancement: - Support für Windows 2000 - Support für Multiprocessor Systems. Wichtig: nur aktive ISDNKontroller sind multiprozessorgeeignet. - Support für the „hibernate-mode“ von Windows 98 und Windows 2000 Computer Associates Patches neu herausgekommen ARCserveIT für NT Version 6.6x HOTLINE BM3CP3.exe 219 KB Aktualisierung für den Cyber Patrol des Novell Bordermanager 3.0 und 3.5. G554MLT.exe 30379 KB In diesem Update finden Sie das Service Pack 4 für Novell GroupWise 5.5 in der multilingualen Version. Es sind Updates LO77127.CAZ , LO77126.CAZ und LO76161.CAZ Diese Patches verhindern einen Blue Screen, der auftritt, wenn man einen Job Report ausdrucken möchte. Sie sind in der jeweils verwendeten Edition einzusetzen und beheben denselben Fehler. LO76168.CAZ, LO76166.CAZ Nach Einsatz dieses Patches in der jeweiligen Version steht Ihnen ein neuer Filter zu Verfügung, der es erlaubt, über die Dateingröße zu selektieren. Man kann nach Dateien gleich, größer, kleiner oder zwischen einer bestimmten Dateigröße suchen. Patches 08 Ausgabe 08/2000 32 Tobit Updates und Patches neu herausgekommen MCSCANNW.zip 289 KB Neue Engine für Virenscanner (NetWare). Dieses Download enthält eine neue Engine mit Dateidatum vom 26.05.2000 für den in David integrierten Virenscanner. Für den Einsatz dieser Version ist eine Installation von David 6 bzw. David Professional erforderlich. DIGITLD.zip 168 KB Neuer TLD für dBoard2 und Digi DataFire Basic. Dieses Download enthält eine neue Version des CAPI MANAGER NLMs sowie einen neuen TLD für dBoard2 und Digi DataFire Basic ISDN Karten für den Einsatz unter David Professional. Diese Versionen erlauben die Nutzung von ECT unter David Professional in Verbindung mit diesen ISDN Karten. Bei der vorherigen Version dieses Downloads kam es beim Starten des TLDs zu einer Fehlermeldung im Communication Monitor: Illegal Controller/PLCI/ NCCI, die jedoch keinen Einfluß auf den Programmverlauf hatte. Diese Meldung erfolgt mit der neuen Version des CAPI MANAGERS nicht mehr. tion, die von einer Programm CD mit dem Datum 28.03.2000 vorgenommen wurde. Bei älteren Versionen ist die Installation von Service Pack 1 erforderlich. Die enthaltenen Signaturen sind für die NetWare- und Windows-Version von David 6 und David Professional identisch. Sie entsprechen dem Release-Stand 4085 vom 07.07.00. Beachten Sie, daß auch die Scan Engine für den David Doorkeeper in unregelmäßigen Abständen aktualisiert wird. Um einen optimalen Schutz zu erreichen, sollte neben den aktuellen Virus-Signaturen stets auch die neueste Scan Engine eingesetzt werden. DVC3PO.dll 491 KB Tobit David Connector for Microsoft Exchange Service Pack 1. Um es installieren zu können, muß bereits die Vollversion auf dem Server installiert sein! Dieses Service Pack behebt Probleme beim Drukken über den Fax Image Druckertreiber, wenn der Dienst Tobit Renderizer nicht installiert war. Außerdem konnten die Klammeraffen-Befehle über den Fax Image Druckertreiber unter Windows NT/ 2000 nicht genutzt werden. DVVSCAN.exf 1897 KB Dieses Download enthält alle aktuellen Virus-Signaturen für den Doorkeeper der David Information Interchange Engine in selbstentpackender Form. Nach dem Kopieren dieser Datei auf den David Server werden die Signaturen automatisch entpackt und geladen. Ein Beenden und anschließendes Neustarten des Service Layers ist also hiermit nicht erforderlich. Achtung: Voraussetzung für den Einsatz dieser selbstentpackenden Datei ist eine David 6 bzw. David Professional Installa- tion Notiz auf dem Deckblatt nicht alle gewünschten Absender- bzw. Empfängerinformationen korrekt in das Deckblatt eingefügt wurden. - Bei Verwendung der DeckblattVariable GWA_ZIPCODE wurde anstatt der Postleitzahl der Eintrag B u n d e s s t a a t aus dem GroupWise Adreßbuch ausgelesen. - Nach Versenden eines Faxes aus dem GroupWise Client über den Tobit Fax Image Druckertreiber (z.B. durch Anhängen eines WordDokumentes) wurde der Standarddrucker nicht auf die ursprüngliche Einstellung zurückgesetzt. Das Plugin, das in diesem Download enthalten ist, beseitigt die o.g. Probleme. DV4EXSP1.exe 581 KB Der Patch für den David Connector for GroupWise enthält eine überarbeitete Version des FaxWare/David Plugins für den GroupWise Client. Bei einer bereits existierenden Installation des David Connectors für Novell GroupWise können Sie das Plugin, das auf den Workstations installiert wurde, gegen diese Version austauschen. Die überarbeitete Programmversion beinhaltet folgende Korrekturen: - Erweitertes Deckblatt, weil unter Umständen bei Nutzung der Funk- 08 Ausgabe 08/2000 33 SETUPNT.exe 752 KB Das Download enthält die aktuelle Programmversion von Time:LAN! (6.00f) für Windows NT/Windows 2000. Um dieses Service Pack nutzen zu können, müssen Sie bereits Time:LAN! 6 installiert haben! Code History: - Anpassungen der Software an das geänderte Empfängermodul. - Optimierung des Empfangs. - Unterstützung des GORGY TIMING Moduls. - Paßwort Handhabung beim Abgleich von NetWare Servern. - Unter Umständen wurde beim Abgleich Speicher nicht wieder freigegeben. SERVTIME.exe 49 KB Dies ist die aktuelle Programmversion von ServTime für Windows NT 4.0/Windows 2000. Bei der bisherigen Version wurde unter Umständen beim Zeitabgleich Speicher nicht freigegeben. h HOTLINE Empfohlene Computer Associates Updates und Patches ARCserveIT für NT Version 6.6x Service Packs und Y2K Patches LO69720.ZIP (AE/WG 6.61) LO66235.CAZ (EE/ASO 6.61) LO66234.CAZ (AE/WG 6.61) LO63157.ZIP (ASO 6.61) LO63156.ZIP (EE 6.61) LO57168.ZIP (AE/WG 6.61) Basis Produkt Update LO77127.CAZ (W2K EE/ASO LO77126.CAZ (W2k AE) LO76168.CAZ (ASO) LO76166.CAZ (EE) LO76161.CAZ (AE/WG) LO71521.CAZ (AE/WG 6.61) LO59864.CAZ (AE/WG 6.61) LO59866.CAZ (AE/WG 6.61) LO59870.CAZ (AE/WG 6.61) LO52692.CAZ (EE 6.61) LO48389.CAZ (AE 6.61) LO48392.CAZ (WG 6.61) LO48390.CAZ (AE 6.61) LO48393.CAZ (WG 6.61 REGIT.EXE (alle) Laufwerks-Unterstützung LO71951.CAZ (EE 6.61) LO71950.CAZ (ASO 6.61) LO71948.CAZ (AE/WG W2K 6.61) LO71947.CAZ (AE/WG 6.61) LO68940.CAZ (ASO 6.61) LO68939.CAZ (EE 6.61) Lotus Notes Agent verhindert Blue Screen beim Druck des Job Reports wie zuvor wie zuvor wie zuvor wie zuvor GFS Job hängt wenn nächstes Band gemountet wird 2tes Tape von GFS Job geht in Scratch Set ohne Serien. 2tes Band ohne Seriennr. bei Single RAIMA DB. Für Englische Version wie zuvor für nicht-englische Versionen falscher Status beim Sichern von Tandem Files Patch für Upgrade ARCserve von 6.5 zu 6.61 Advanced Edition Patch für Upgrade ARCserve von 6.5 zu 6.61 Workgroup Edition SQL DB nicht definiert, während der Installation wie zuvor Registrieren eines Workgroup Produktes auf mehreren Maschinen Unterstützung weiterer Laufwerke/Changer etc wie zuvor wie zuvor wie zuvor wie zuvor wie zuvor LO75070.CAZ (EE/ASO) LO75069.CAZ (AE/WG) Falsche Datenbank Titel, Error 101 Create File Failed wie zuvor LO73610.CAZ (alle) Abend unter NW 5 NSS Open File Agent Exchange Agent LO73159.CAZ (AE/WG 6.61) SQL Agent LO73164.CAZ (EE/ASO) LO73163.CAZ (EE/ASO) LO71166.CAZ ( AE/WG W2K) HOTLINE für Windows 2000 Unterstützung verschiedene Y2K Fixes verschiedene Y2K Fixes Service Pack 1. Build 885 SP1 Service Pack 1. Build 885 SP1 Service Pack 1 Build 834 LO71165.CAZ (AE/WG) LO71164.CAZ (EE/ASO 6.61) LO71163.CAZ (alle) LO57850.CAZ (AE/WG 6.61) Oracle Agent LO67816.CAZ (AE/WG 6.61) LO67818.CAZ (EE 6.61) LO67834.CAZ (ASO 6.61) Dr. Watson beim Exchange Brick Level Backup SAP SQL Agent, erhöht Restore SQL 7.0, erhöht lokale Restore SQL Lokal 7.0, schnelleres Restore und Clusterunterstützung wie zuvor wie zuvor wie zuvor für SQL DBAgent Korrigiert einige Probleme mit SQL 7.0 fügt Oracle 8.1.5 Unterstützung hinzu wie zuvor wie zuvor Insoweit die Updates für besondere Editionen - oder sogar bestimmte Versionen - herausgegeben wurden, gelten folgen Abkürzungen in Verbindung mit der Versionsnummer: AE = Advanced Edition ASO = Advanced Storage Option EE = Enterprise Edition ELO = Enterprise Library Option NLO = Network Library Option VLO = Virtual Library Option W2K = Windows 2000 Edition WG = Workgroup Edition Enterprise Library Option (ELO) LO66887.CAZ (AE 6.61) LO63385.CAZ (AE 6.61) LO71526.CAZ (AE 6.61) Patch für gemischtes Umfeld NT4.0 und Windows 2000 Beseitigt Probleme beim Konfigurieren unter Fibre Channel Unterstützung für ELOund VLO Patches 08 Ausgabe 08/2000 34 Empfohlene Computer Associates Updates und Patches LO71523.CAZ (AE/W2K 6.61) LO71525.CAZ (ASO 6.61) LO71524.CAZ (EE 6.61) wie zuvor Unterstützung für ELO,VLO und NLO wie zuvor Network Library Option (NLO) LO66908.CAZ (EE 6.61) W2K, beseitigt Fehler in der Ereignisanzeige und korrigiert verschiedene Laufwerksprobleme ARCserveIT für NT Version 6.6 LO49131.CAZ (EE 6.6) LO48323.CAZ (WG 6.6) LO48324.CAZ (EE 6.6) LO45992.CAZ (EE 6.6) LO45997.CAZ (WG 6.6) LO63384.CAZ (ASO 6.6) SQL Agent keine Sicherung auf Wangdat 3400 Laufwerken ARCserveIT Port verursacht Konflikt mit Next Software wie zuvor Cluster Support Fix wie zuvor Unterstützung weiterer Laufwerke LO46868.ZIP (EE 6.6) LO46870.ZIP (WG 6.6) Cluster Unterstützung wie zuvor AINT0001.ZIP (6.6) Beseitigt unable to set security error Build 205 Image Option Exchange Agent LO46867.ZIP (EE 6.6) LO46869.ZIP (WG 6.6) Open File Agent LO52301.CAZ (EE 6.6) Windows NT Agent LO45996.CAZ (EE 6.6) LO46000.CAZ (WG 6.6) Cluster Unterstützung wie zuvor Blue Screen Problem Clusterunterstüztung wie zuvor ARCserveIT für NetWare Version 6.6x Enterprise Edition und Workgroup/ Single Server/ Small Business Basis Produkt Update LO73609.CAZ LO73131.CAZ LO72983.CAZ LO71598.CAZ LO71589.CAZ LO70914.CAZ LO47782.CAZ GroupWise Agent LO73137.CAZ LO66554.CAZ Open File Agent LO73608.CAZ AINW0001.ZIP Disaster Recovery Option AINW0002.ZIP RAAW6139.zip RAAW6139G.zip Reinigungsjob funktioniert nicht nach SP4 Zusätzliche Bandlaufwerkunterstützung Lange Ladezeit von ARCserveIT verkürzen Device Manager löscht Changer Konfiguration Tape Alert verursacht Abend beim Entladen Service Pack 4 Sicherheitserweiterungen für NT Client Agent Installation funktioniert nicht falsche Datumsdarstellung im Agent Log Veritas Updates neu herausgekommen B85PEN.EXE Mit diesem Upgrade auf Backup Exec für NetWare Version Build 8.5.091 (V091) wird das Lesen von ARCserveIT Bändern in den folgenden Formaten unterstützt: ARCserveIT für NetWare Versionen 4.x, 5.x, und 6.x. ARCserveIT für Windows NT Version 6.x. ARCserveIT’s native Tape Format ARCserveIT’s embedded SMS Tape Format Einschränkungen: Wenn ARCserveIT nicht standardmäßig eingerichtet ist und kein SMS für die Sicherung verwendet wird, werden die Daten auf dem Band in einem ARCserveIT native Format abgelegt. In diesem Fall kann es vorkommen, daß lange Dateinamen auf acht plus drei Zeichen gekürzt werden. Des weiteren können die Daten nicht gelesen werden, wenn die ARC-serveIT Backup Sets Software Komprimiert, Software verschlüsselt oder interleaved sind. Auch können keine NDS, NT-Registry, Microsoft Exchange oder Microsoft SQL Daten zurückgespielt werden. In diesem Update enthaltene Komponenten: BEMGR - 8.5.3018.1 BESRVR - 8.5.3025.7 Treiber - 9901N016 NetWare Client - 8.5.4105 Windows Client - 8.5.4107.090 Windows NT Agent - 5.003 Windows 95 Agent - 5.019 OS2 Agent - 5.000 DOS Agent - 5.000 MAC Agent - 5.00 Unix Agent - 5.020 3315DEVICEFIX_230009.EXE Abend unter NW 5 NSS Backup Agent für Open Files Build 384 DRoption.ini Module für DR Option 2.0 Drestore Module für DR 2.0 Build 73.001 (engl.) Drestore Module für DR 2.0 Build 73.001 (dt.) 08 Ausgabe 08/2000 35 Dieser Gerätetreiber-Fix ist nur einzusetzen, wenn Sie die Version 8.0 Rev. 3315 haben und diese von einer Vorgängerversion upgedatet wurde. h HOTLINE Veritas Backup Updates neu herausgekommen BNT80IDRV_230139.EXE BE_AGNT_229925.TAR Im Geräte-Treiber Set (20000605) und Autoloader Release 23. (nur für BENT8.0) werden hiermit jetzt auch die Autoloaders/Libraries OVER LANDLIBRARYPRO AIT2 und COMPAQ SSL2000 der Serie AIT2 unterstützt. Nach dem Einspielen dieses Patches müssen die Disaster Recovery Disketten neu erstellt werden. Neuer Unix Agent v5.023 für BENW & BENT. Folgende Versionen wurden getestet: Unix Plattformen (x86) SCO UNIXWare 1.x, 2.01, 7.x ; SCO UNIX 3.2, 4.x, ; SCO Open Server r.5 v5.0.0 ; Solaris 2.4, 2.5, 2.6 Interactive 3.2 ; SunOS 4.1x ; LINUX Red Hat 5.1, 5.2, 6.0, 6.1 ; LINUX S.u.S.E 6.0, 6.2 ; LINUX Mandrake 6.0 ; LINUX Caldera 1.3, 2.2 Unix Plattform (Sparc) Version: Solaris 2.3, 2.4, 2.5, 2.6 ; SunOS/Solaris 4.1x Unix Plattform (HP) Version: HPUX 9.05+, 10.01, 10.10 Unix Plattform (RS6000/PowerPC) Version AIX 3.2.5, 4.1 Empfohlene Veritas Updates und Patches Nur die neusten NW und NT Versionen, nur Intel CPUs (kein Alpha), nur englisch und deutsch wenn vorhanden. Backup Exec für Windows NT/2000 Version 8.0 BNT80IDRV_230139.EXE 3315DEVICEFIX_230009.EXE BE_AGNT_229925.TAR BNT80I02.EXE POST3314.EXE SKIPFIX.EXE AG9X019E.EXE BENTTOOL.EXE Driver Device Set (20000605) & Autoloader Rel. 23. (nur BENT 8.x) Nur für v8.0 rev. 3315 die von Vorgängerversion upgedatet wurde. Unix Agent v5.023 für BENW & BENT (Linux Unterstützung) BENT Build 3314 Deutsch (Seriennummer notwendig) Patch für Windows 2000 BE Agent Accelerator Error, nur Build 3314 Fix für Überspringen leerer Verzeichnisse bei Sicherung, nur. Build 3311 Windows 9x Agent v5.019 für BENW/BENT (nur engl) Diagnose Utility für BENT 6x,7x,8x für NT/NW/DOS/OS2 Backup Exec für NetWare Version 8.x Version 8.5 B85PEN.EXE BESRVRUP.EXE ALLTOOLS.EXE B85P00.EXE B850DV07.EXE BEPSVRUP.EXE HOTLINE Client / Agents Updates BEORANWA.EXE BE_ANT.TAR OFO203E.EXE BEWINUPD.EXE WINNTAGT.EXE OS2AGENT.EXE MACAGENT.EXE DOSAGENT.EXE WIN9XAGT.EXE AG9X019E.EXE Version 8.0 B850DV07.EXE B80DV07.EXE BEORANW.EXE B80BESRV.EXE B80BEPSV.EXE QUICKFIX.EXE B80CATFX.EXE Upgrade Version 8.5 Build 8.5.091 (V091) ARCserve Bänder lesen BESVR Update für Fehler Queue Failure am Ende es Backup Verschiede Diagnose Utilities für BE für NetWare BENW v8.5 Build V079 alle Sprachen (v8.5 Seriennummer notwendig) neue Bandlaufwerke (ver 9901N015) für BE 7.5, 8.0,8.5. Fehler Unable to release a catalog lock nach SP4 oder NW5.1 Oracle Agent für BE für NetWare 8.0 und 8.5 Unix Agent v5.023 für BENW & BENT (Linux Unterstützung) OFO Ver. 2.03e für BENW Ver. 8.0 Build 251 u. höher nur NW 3.x,4.x Windows Client Update behebt Anzeigefehler Windows NT Agent v.3.201 für BE für NetWare OS/2 Agent v.3.204 für BENW Macintosh Agent v.4.07 für BENW DOS Agent v.3.015 für BENW Windows 95/98 Agent v.5.003 für BENW NLS Windows 9x Agent v5.019 für BENW/BENT (nur english) neue Bandlaufwerke (ver 9901N015) für BE 7.5, 8.0,8.5. wie zuvo (Ver. 9901N012) für BE 8.0 Build T-299 und darunter Oracle Agent für BE für NetWare 8.0 und 8.5 Lesen von SIDF/Storage Manager Tapes, nur BENW 8.0.251 für NW 5.0 SP1, nur für BENW 8.0.251 BENW 8.0 nur Quick Start Edition für Single Laufwerk Utility zum Rücksichern von BE 8.0er Daten, die an ein Tape angehangen wurden, welches mit BE 7.5 erzeugt wurde Patches 08 Ausgabe 08/2000 36 MICROSOFT Signaturebene 3 fehlgeschlagen Anmeldung beim NetWare-Server schlägt fehl Wenn Sie versuchen, sich von einem Windows 2000-Computer bei einem NetWare-Server anzumelden, der entweder mit Gateway Services für NetWare (GSNW) oder Client Services für NetWare (CSNW) arbeitet, wird möglicherweise eine Fehlermeldung angezeigt. Was ist zu tun? E Ein Windows 2000 Rechner meldet bei der Anmeldung am NetWare Server: Falscher Name oder falsches Kennwort. Dieses Verhalten kann auftreten, wenn die Signaturebene des NCP-Pakets auf dem NetWare-Server auf 3 eingestellt ist. NCP-Clientsignatur-Ebenen und Clientsignaturen werden in der Windows 2000-Version der Gateway Services für NetWare (GSNW) oder der Client Services für NetWare (CSNW) nicht unterstützt. Da NCPClientsignaturen bei Verwendung der Windows 2000-Version von GSNW oder CSNW nicht unterstützt werden, müssen Sie die Signaturebene auf dem NetWare-Server auf den Standardwert 2 einstellen, damit Windows 2000 Computer sich ohne NCP-Paketsignatur anmelden können. NCP-Paketsignatur GSNW und CSNW sind Clientanwendungen (Redirectors und Provider), die Windows 2000-Computern den Zugriff auf Ressourcen in NetWare-Netzwerken ermöglichen. Ist GSNW auf einem Windows 2000Server installiert, kann dieser Server als NCP-Gateway fungieren, wodurch Microsoft-Clients (SMB-Clients) über das Gateway auf NetWare-Ressourcen zugreifen können. Ist CSNW auf einer Windows 2000 ProfessionalArbeitsstation installiert, kann die Arbeitsstation als NCP-Client fungieren und direkt auf Ressourcen in ei- nem NetWare-Netzwerk zugreifen. Durch die Installation von GSNW oder CSNW wird ein mit NWLink IPX/SPX/NetBIOS kompatibles Transportprotokoll installiert. Sowohl GSNW als auch CSNW verwenden NWLink als zugrunde liegendes Protokoll für die Konnektivität mit NetWare-Netzwerken. Die NCPPaketsignatur ist eine verbesserte Sicherheitsfunktion, die erstmals in der NetWare-Version 3.12 eingeführt wurde und darauf ausgelegt ist, NetWare-Netzwerke vor gefälschten Datenpaketen zu schützen. Sie arbeitet mit einem Message Digest-Algorithmus und einem Sitzungsstatus des Typs „pro Verbindung/pro Anforderung“. Die NCP-Paketsignatur erfolgt sowohl auf dem Server als auch auf dem Client. Es gibt die folgenden Werte für die Signaturebene. Sie können den Wert für die Signaturebene auf einer NetWare-Serverkonsole mit dem folgenden Befehl einstellen:set ncp packet signature=. Signatur für die Client-Ebene 0 1 2 3 Client signiert nicht (Standardwert) Client signiert auf Anforderung des Servers Client signiert, wenn der Server signieren kann Client signiert immer und verlangt eine Signatur durch den Server (oder der Anmeldevorgang schlägt fehl) Signatur für die Server-Ebene 0 1 2 3 Server signiert nicht Server signiert auf Anforderung des Clients (Standardwert) Server signiert, wenn der Client signieren kann Server signiert immer und verlangt eine Signatur von alle Clients (oder der Anmeldevorgang schlägt fehl) 08 Ausgabe 08/2000 37 h HOTLINE MICROSOFT Klappe zu bei Outlook E-Mail-Sicherheitsupdates blocken ausführbare Dateien Als Schutz gegen Viren, die per E-Mail-Anlagen verbreitet werden, hat Microsoft eine Sicherheitserweiterung für Outlook 98 und 2000 eingeführt, das Outlook 2000 SR-1 E-Mail-Sicherheitsupdate und das Outlook 98 E-MailSicherheitsupdate. Sie bieten Schutz vor Viren, die wie die ILOVEYOU- und Melissa-Viren über das Internet kamen, sowie vor sogenannten Würmern, die sich jüngst über Outlook weiterverbreiten. nutzer vor Viren schützen, die sich mit Hilfe von Scripting weiterverbreiten. Sicherheitsstufe 1 D Das E-Mail-Sicherheitsupdate schränkt bestimmte Funktionen in Outlook ein, um ein höheres Sicherheitsniveau zu bieten. Es wurde nicht erstellt, um Sicherheitslücken innerhalb von Outlook zu beheben. Microsoft empfiehlt allen Benutzer von Outlook 98 und 2000, das entsprechende Update zu installieren. richt in ihrem Namen zu ver-senden. Auf diese Weise wurde der ILOVEYOU-Virus weiterverbreitet. Die Standardsicherheitseinstellungen erhöhen die Sicherheitszone in Outlook von Internet auf eingeschränkte Sites. Zusätzlich ist Active Scripting innerhalb eingeschränkter Sites standardmäßig deaktiviert. Damit können sich Be- Die Installation des Updates hat Auswirkungen auf bestimmte Funktionen in Outlook und möglicherweise auch auf die Interaktion zwischen Microsoft Office und den Programmen anderer Anbieter. Sobald Sie das Update installiert haben, können Sie auf Anlagen mit Dateitypen, die ausführbaren Code aktivieren oder Einstellungen auf ihrem Computer verändern könnten, wie Viren es eben zu tun pflegen, nicht mehr zugreifen. Diese Dateitypen werden als Dateien der Sicherheitsstufe 1 bezeichnet mit beschränktem Zugriff in Outlook. Weil sie ausführbaren Code oder Verknüpfungen zu anderen Dateien mit ausführbarem Code enthalten, der einen Virus auf dem Computer ausführen könnte, umfassen die Dateien der Sicherheitsstufe 1 alle Programmdateien der Endungen .EXE und .COM, Skriptmodule und -dateien mit HOTLINE Sicherheitsmaßnahmen Das Update verhindert, daß Benutzer auf bestimmte Dateitypen zugreifen, wenn diese als E-Mail-Anlagen gesendet werden. Zu diesen Dateitypen gehören ausführbare Dateien, Batchdateien und andere Dateitypen, die ausführbaren Programm-Code enthalten. Der Objektmodellschutz informiert Benutzer mit einem Dialogfeld, wenn ein externes Programm versucht, auf das Outlook-Adreßbuch zuzugreifen oder eine E-Mail-Nach- Vor der Installation des Updates ist die Lektüre des Microsoft Knowledge Base-Artikel (Q262634) OL2000 empfehlenswert: Bekannte Probleme mit dem Outlook E-Mail-Sicherheitsupdate (englisch). Eine Liste unabhängiger Softwareanbieter, deren Programme möglicherweise betroffen sind, finden Sie unter Vom Outlook 98/2000 E-MailSicherheitsupdate betroffene unabhängige Softwareanbieter. Systemadministratoren wird der Knowledge Base-Artikel (Q263297) OL2000 empfohlen: Informationen für Administratoren über das Outlook E-Mail-Sicherheitsupdate (englisch). Er enthält Informationen über die Anpassung des E-Mail-Sicherheitsupdates. 08 Ausgabe 08/2000 38 den Extensions .BAS, .VBS, und .JS, Internetlinks (URLs, ISNs) sowie Verknüpfungen mit Dateien endend auf .LNK und .PIF. Sicherheitsstufe 2 Dateitypen der Sicherheitsstufe 2 müssen auf einem Datenträger gespeichert werden und sollten am besten sofort mit einem aktuellen Viren-Scanner überprüft werden. Sie lassen sich nicht direkt in Outlook öffnen. Standardmäßig enthält die Liste der Dateitypen der Sicherheitsstufe 2 keine Einträge, aber es können vom Systemadministrator Dateitypen zu der Liste hinzugefügt werden. Weitere Informationen finden Sie im Knowledge Base-Artikel (Q263297) OL2000 Unsichere Anlage Wenn eine Nachricht mit einer nicht zugänglichen Anlage empfangen wird, wird im Posteingang eine Büroklammer in der entsprechenden Spalte angezeigt, um darüber zu informieren, daß die Nachricht eine Anlage enthält. Nach Öffnen der Nachricht ist die Anlage nicht verfügbar, und der folgende Warnhinweis wird im oberen Bereich der Nachricht angezeigt: Outlook hat den Zugriff au die folgenden unsicheren Anlagen unterbunden: <Dateinamen>. (vgl. Abb. 1) Abb. 1: Zugriff unterbunden Der Befehl Anlagen speichern im Menü Datei und der Befehl Anlagen anzeigen im Kontextmenü sind bei dieser Nachricht mehr nicht verfügbar. Falls Sie eine Nachricht mit mehreren Anlagen erhalten haben, sind alle unsicheren Anlagen nicht verfügbar. Auf alle sonstigen Anlagen können Sie wie gewohnt zugreifen. Wenn Sie die Nachricht öffnen, wird ebenfalls die Warnung angezeigt, doch alle von diesem Up- Abb. 2: date nicht betroffenen Anlagen sind verfügbar. Anlagen speichern und Anlagen anzeigen können für die sicheren Anlagen verwendet werden. Wenn Sie eine Nachricht mit einer Datei der Sicherheitsstufe 2 als Anlage erhalten, wird beim Versuch, die Anlage zu öffnen, ein Warnhinweis angezeigt. (vgl. Abb. 2) Anlagen verschicken Wenn Sie eine Datei an eine E-Mail anhängen, überprüft das Update den Dateityp, sobald Sie die Nachricht versenden. Wenn der Dateityp auf der Liste der beschränkten Dateien steht, werden Sie gewarnt, daß andere Benutzer möglicherweise die Anlage nicht öffnen können. Wenn Sie dann auf Ja klicken, wird die Nachricht mit der Anlage gesendet. Für andere Benutzer, die dieses Update installiert haben, wird die Anlage nicht zugänglich sein. Wenn Sie aufNein klicken, kommt die Nachricht zur Bearbeitung zu Ihnen zurück, wobei die Anlage entfernt wird. Funktionsänderung Programme können ohne Erlaubnis des Anwenders nun keine E-MailNachrichten mehr versenden. Das EMail-Sicherheitsupdate ändert die Funktionsweise einiger Automatisierungsfunktionen in Outlook 98 bzw. 2000. Da sich Viren verbreitet haben, indem Kopien von E-MailNachrichten an Personen, die im persönlichen Adreßbuch stehen, weiterversendet wurden, verändert dieses 08 Ausgabe 08/2000 39 Update die Funktionsweise von Outlook, so daß ein Programm nicht automatisch auf ein Adreßbuch oder eine Kontakteliste zugreifen und auch keine Nachrichten im Auftrag des Anwenders versenden kann. In beiden Fällen wird Outlook darauf aufmerksam machen, daß es nicht verwendet werden kann, um E-Mails ohne Erlaubnis zu versenden. Versucht ein Code, auf das OutlookAdreßbuch zuzugreifen, erscheint die Warnmeldung. Sie können dem Programm entweder einmaligen Zugriff gewähren oder das Kontrollkästchen Zugriff gewähren für aktivieren und eine Zeitspanne von bis zu 10 Minuten festlegen. Wenn Sie nicht möchten, daß das Programm auf das Adreßbuch zugreift, klicken Sie auf Nein. Eingeschränkte Sites Wenn das Update installiert ist, werden die Standardsicherheitseinstellungen auf Zone für eingeschränkte Sites anstelle von I n t e r n e t z o n e eingestellt. Active Scripting wird innerhalb eingeschränkter Sites standardmäßig deaktiviert. Die Zone für eingeschränkte Sites deaktiviert größtenteils automatisches Scripting und verhindert, daß ActiveX-Steuerelemente ohne die Einwilligung des Benutzers geöffnet werden. Mit diesen Sicherheitsfeatures können sich Benutzer vor Viren schützen, die sich mit Hilfe von Scripting weiterverbreiten. Weitere Informationen über den Unterschied zwischen diesen beiden Zonen finden Sie im Microsoft Knowledge Base-Artikel (Q174360): “Verwenden von Sicherheitszonen in Internet Explorer” (englisch). Sie können die Outlook-Sicherheitseinstellungen manuell verändern: Klicken Sie im Menü Extras auf Optionen und dann auf die Registerkarte Sicherheit. h HOTLINE Fazit Das Sicherheitsupdate für Microsoft Outlook 98 und 2000 kann zwar vor Viren und Würmern schützen, doch weil es dabei den Empfang ausführbarer Anhänge vollständig unterdrückt, wird es - mit Sicherheit - vielen als zu restriktiv erscheinen. Ein solch eingeschränktes E-Mail-Programm verkürzt den Datenaustausch zu sehr. Der Preis für die Sicherheit wird durch hohe Abschottung erkauft. In der Praxis zielt es denn wohl auch eher nur auf bestimmte Anwenderkreise, die mit bloßem Dokumententransfer und Nachrichtenverkehr auskommen, oder die - unerfahren im Umgang mit ausführbaren Programmen - durch Administratoren gehindert werden sollen, Schaden anzurichten, soweit die Arbeits- und Produktivitätsanforderungen dies überhaupt zulassen. Für das professionelle Arbeiten verantwortungsbewußter User ist eine solche Lösung unbefriedigend. Wenngleich auf die Schnelle eine Radikallösung geschaffen wurde, wird das letzte Wort also noch lange nicht gefallen sein. Für die 97er-Version von Outlook Express ist ein entsprechendes Update sogar noch in Arbeit. Doch sind gerade solche restriktiven Sicherheitsbeschränkungen wohl eher nur eine Herausforderung, wirklich praktikable Lösungen für die E-MailKommunikation zu entwickeln. Sie finden das E-Mail-Sicherheitsupdate für Microsoft Outlook 98 und 2000 als O98SECU.exe bzw. OUT2KSEC.exe auf der Technik-News Monats-CD. MICROSOFT E-Mail-Sicherheitsupdates Service Release 1 für Office 2000 und Outlook Die deutsche Version des Service Release 1 für die Office 2000 Programme und das E-Mail-Sicherheitsupdate für Outlook stehen bei Microsoft als Download bereit. Neben zahlreichen Ergänzungen zu Office 2000 erweitert das SR1 die Schutzmechanismen gegen Computerviren, insbesondere das Outlook Sicherheitsupdate. HOTLINE D Das deutsche Service Release 1 enthält in erster Linie Applikations-Updates für die Microsoft Office 2000 Programme, einschließlich Word, Outlook, Access, Excel, PowerPoint, FrontPage und Microsoft Publisher. Mit dem Sicherheitsupdate im SR-1 können ausführbare E-Mail-Anlagen wie .exe- oder .vbs-Dateien nicht mehr direkt aus einer E-Mail heraus ausgeführt, sondern zunächst nur auf der Festplatte gesichert werden. Dann können Herkunft und Inhalt der jeweiligen Datei überprüft werden. Der ILoveYou-Virus hatte sich über Microsoft Outlook so verheerend ausgewirkt, weil der ausführbare Anhang automatisch gestartet wurde. Der Download des SR-1 wird unter http://officeup date. micro soft.com/ger many kostenfrei angeboten. Kunden können das Update aber auch über Microsoft Direkt auf CD anfordern. Die Bearbeitungsgebühr beträgt dann 11,DM. Weitere Informationen zum SR1 finden sich unter: www.micro soft.com/germany/office. Outlook Sicherheitsupdate Das Outlook E-Mail-Sicherheitsupdate bietet Schutz gegen Computerviren wie dem kürzlich aufgetretenen “I Love You” oder “Melissa”. Für Netzwerk-Administratoren stellt es Möglichkeiten bereit, um Sicherheitseinstellungen zentral zu definieren. Die Schutzmechanismen können teilweise nicht ohne Neuinstallation rückgängig gemacht werden. Die OutlookStandardsicherheitsein-stellungen für die Sicherheitszone werden von Internet auf eingeschränk- 08 Ausgabe 08/2000 40 Seminargruppen- Übersicht te Sites gesetzt. Diese eingeschränkte Zone verlangt zum Öffnen der meisten automatischen Skripts und ActiveX Controls die ausdrücklich Zustimmung der Anwender. Sie werden zudem am Zugriff auf bestimmte Dateitypen gehindert, wenn diese als E-Mail-Anlagen verschickt werden. Dies sind ausführbare Dateien, Batchdateien und andere Dateitypen, die ausführbaren Code enthalten, der zur Aktivierung und zum Verbreiten der aggressiven Viren führt. Der Objektmodellschutz blendet ein Dialogfeld ein, sobald ein externes Programm versucht, auf das Adreßbuch von Outlook zuzugreifen oder hierüber eine E-Mail zu senden. Somit kann einer Verbreitung von Viren über E-Mail Einhalt geboten werden. Einschränkungen Microsoft empfiehlt ihren Kunden, die erhöhten Standardsicherheitseinstellungen des Updates beizubehalten, um sich vor externen gefährlichen Angriffen zu schützen. Organisationen mit serverbasierten Sicherheitseinstellungen können einzelne Komponenten des Sicherheitsupdates ihren besonderen Anforderungen anpassen. Da mit der Installation des Outlook E-Mail-Sicherheitsupdates eine Einschränkung der Funktionalität verbunden ist, wird vor der Installation eine genaue Prüfung der Inhalte des Sicherheitsupdates und deren Auswirkung empfohlen. Eine detaillierte Beschreibung ist unter http:/ /officeupdate.microsoft. com/germany/ zu finden. Informationen für IT-Administratoren in englischer Sprache hält das Office Resource Kit unter www.micro soft.com/office/ork) bereit. Das E-Mail-Sicherheitsupdate wird Kunden von Outlook 98 und Outlook 2000 angeboten. Outlook 2000-Anwender müssen vor der Installation des Updates das Office 2000 Service Release 1 (SR-1) installieren. Service Release Das Outlook 2000 SR-1 E-MailSicherheitsupdate setzt voraus, daß Sie zuerst das Office 2000 Service Release 1a (SR-1a) installieren. Um sicherzustellen, daß Ihre Office 2000Installation weiterhin ordnungsgemäß arbeitet, benötigt das Outlook 2000 SR-1 E-Mail-Sicherheitsupdate während der Installation Zugriff auf die Office 2000-CD oder auf den Netzwerkpfad, von dem aus Office 2000 installiert wurde. Falls Sie mehr als eine Version von Office 2000 auf dem Computer installiert haben, z.B. die Office 2000 Small Business Edition und später Office 2000 Professional Service Release 1, müssen alle installierten Versionen von Office 2000 auf den Stand des Service Release 1 gebracht werden, bevor dieses Update installiert werden kann. Installieren Sie im Zweifelsfall das Office 2000 Service Release 1a (SR1a), damit alle Installationen von Office 2000 ordnungsgemäß aktualisiert sind, bevor Sie dieses Update installieren. Language Packs Damit bei Verwendung von Office 2000 MultiLanguage Pack der volle Funktionsumfang des Outlook EMail-Sicherheitsupdates zur Verfügung steht, sind laut Microsoft folgende Komponenten erforderlich: Office 2000 Service Release 1 (oder Office 2000 Service Release 1a (SR1a), das Outlook 2000 SR-1 E-MailSicherheitsupdate, Office 2000 MultiLanguage Pack Service Release 1 für die verwendete Sprache und das Outlook 2000 SR-1 E-MailSicherheitsupdate für das verwendete MultiLanguage Pack. Das Office 2000 MultiLanguage Pack Service Release 1 und das Outlook 2000 SR-1 E-Mail-Sicherheitsupdate für das MultiLanguage Pack sind jedoch noch nicht erhältlich. Wenn Sie das Update ohne diese beiden installieren, sind einige Funktionen bei Verwendung des MultiLanguage Packs betroffen.Genauere Hinweise dazu auf der Microsoft Website unter http://officeupdate. mi crosoft.com/germany/2000/ download details/Out2 ksec.htm, die u.a. auch über das englische Language Pack für Microsoft Office 2000 informiert. 08 Ausgabe 08/2000 41 CS MS 578 NV 565a NV 565 MS 1556 MS 1557 MS 1558 MS 1560 MS 1561 MS 1562 MS 1563 Ascend AVM AVM AVM AVM Bintec Bintec Citrix CS-Cis Cis-ACRC CIS-CATM CIS-CID CIS-CIT CIS-CLSC CIS-CMTD CIS-CRLS CIS-DCN Netzwerk Grundlagen Strukturierte Verkabelung Networking Essentials Networking Technologies Entry Level Networking Technologies Professional Microsoft Windows 2000 Administering MS Windows 2000 Installing & Configuring MS Windows 2000 Advanced Administering for MS Windows 2000 Updating Support Skills for MS WinNT 4.0 to MS Win2000 Desig. a MS Win 2000 Directory Services Infrastructure Desig. a MS Win 2000 Networking Services Infrastructure Designing a Change & Configuration Management Infrastructure for MS Win 2000 Professional e-Solutions Configuring and Installing Ascend Max ISDN MultiProtocol Router for Windows NT 1.x NetWare Connect for ISDN 2.x NetWare MultiProtocol Router for ISDN 3.x NetWork Distributed ISDN 1.x Bintec Basic Entry Bintec Professional Configuring Citrix WinFrame Enterprise Cisco für Einsteiger Cisco Advanced Cisco Router Configuration Cisco Campus ATM Solutions Cisco Internetwork Design Cisco Internetwork Troubleshooting Cisco LAN Switch Configuration Configuring, Monitoring & Troubleshooting Dialup Services Cisco Router & LAN Switch Configuration Designing Cisco Networks CIS-CSE-SMB Cisco Sales Essentials-Smal & Medium Business CIS-ICRC Introducing Cisco Router Configuration MS 954 MS 955 MS 685 MS 689 MS 770 MS 803 MS 922 MS 983 MS 827 MS 828 MS 832 MS 833 MS 958 MS 960 MS 973 MS 981 MS 1026 MS 1198 NV 520 NV 525 NV 526 NV 804 NV 529 NV 555 NV 560 NV 570 NV 575 NV 580 NV 780 NV 910 NV 350 NV 352 NV 354 NV 720 NV 730 NV 990 MS 688 MS 836 MS 857 MS 936 NV 605 NV 770 Microsoft Windows 98 Upgrading to Microsoft Windows 98 Supporting Microsoft Windows 98 Microsoft Windows NT 4.0 Installing & Configuring WinNT Server 4.0 Supporting MS WinNT 4.0 - Enterprise Technologies Installing & Configuring MS WinNT Workstation 4.0 Administering Microsoft Windows NT 4.0 Supporting MS WinNT 4.0 Core Technologies Accelerated Training Microsoft Windows NT 4.0 Microsoft Back Office Administering MS Systems Management Server 2.0 Supporting MS Systems Management Server 2.0 System Administration for SQL Server 7.0 Implementing a Database in SQL Server 7.0 Supporting Microsoft Cluster Server 1.0 Supp. Routing & Remote Access Service for Win NT 4.0 MS Exchange Server 5.5 Series -Design & Impl. Supporting Microsoft SNA Server 4.0 MS Exchange Server 5.5 Series -Concepts and Admin. Microsoft Windows Terminal Server Novell Netware 4.11 IntranetWare: NW 4.11 Administration IntranetWare: NW 4.11 Advanced Administration IntranetWare: NW 3 to 4.11 Update Intranet Ware: NW 4.11 Installing & Configuring (WS) Novell NetWare 5.0 NetWare 5.0 Update NetWare: Integrating WinNT Workstation & Server NetWare 5.0 Administration NetWare 5 Advanced Administration NDS Design & Implementation with NDS Workshop NetWare Service & Support Z.E.N. Works 2.0 NDS for NT Professional Novell Backoffice GroupWise 5 Administration GroupWise 5 Advanced Administration GroupWise Net Access and Connectivity NetWare for SAA Inst. & Troubleshooting Network Management with ManageWise 2.6 Oracle Database Operator for NetWare 5 Configuration Internet Seminare Internetworking mit Microsoft TCP/IP on NT 4.0 Secure Web Access using Proxy Server 2.0 Admininistering & Supporting Microsoft FrontPage 97 Creating & Managing a Web Server using IIS 4.0 NetWare TCP/IP Transport Securing Intranets with BorderManager 3.5 Clustering & Standby MS 958 Supporting Microsoft Cluster Server Vinca VINCA StandbyServer für intranetWare 4.11 Vinca VINCA StandbyServer für NetWare 5.0 VCSBA 200 VINCA Administration on Windows NT VCSBA 300 VINCA Advanced Administration on Windows NT CIS-CSE-SEMB Cisco Sales Essentials-Smal & Medium Business eMail: education-sales@compu-shack.com h HOTLINE NOVELL Servertuning Tips zurNetWare 4.x Wie entfernt man einen NetWare 4.x Server sauber aus einer NDS? Was ist bei der Zeitsynchronisation zu beachten? Und wie ändern Sie den Server-Namen oder die internen IPX-Adresse eines NetWare 4.1x-Servers? Wir geben Tips zur NetWare 4 und sagen, warum wir die englische Version ausdrücklich der deutschen vorziehen. HOTLINE A Aus einem 4.1 Netz mit mehreren Servern kann man einen einzelnen nicht so ohne weiteres herausnehmen. Die Server speichern Informationen über die anderen und beschweren sich, wenn plötzlich einer fehlt. Hier der Weg, wie man einen 4.1 Server aus der NDS herausnimmt: 1. DSTRACE einschalten 2. alle Replikas vom Server löschen 3. über DSTRACE nachprüfen, ob die NDS Synchronisation okay ist 4. Zeitsynchronisation eventuell umstellen, falls dieser Server nicht secondary war 5. Server mit NWADMIN aus der NDS löschen 6. via DSTRACE nachprüfen, ob die NDS Synchronisation okay ist 7. NDS vom Server löschen 8. Server abschalten, danach ist er raus Zeitsynchronisation Prüfen SieTIMESYNC auf jedem NW 4.x Server mit dem Kommando TIME. Lautet die Meldung TIME IS SYNCHRONIZED, so können Sie mit dem nächsten Server im Tree fortfahren. Erhalten Sie TIME IS NOT SYNCHRONIZED, so kann es einen der folgenden Gründe haben: Entweder hat der Server einen Fehler entdeckt, während er mit einem anderen Server kommunizierte. Oder die TIMSYNC Konfigurationsdatei weist TIMESYNC an, mit einem nicht existierenden Server zu kommunizieren. Oder aber die Zeit der Serveruhr ist gegenüber der Netzwerkzeit out of sync. In diesem Fall wirdTIMESYNC eventuell selbst die Zeit synchronisieren. Zur Fehlerbehebung gehen Sie wie folgt vor. Geben Sie TIME ein, um die Zeitdifferenz des Servers festzustellen. Sind es nur Sekunden, so wird TIMSYNC die Korrektur automatisch vornehmen. Sind es jedoch Teile von Stunden oder gar Tage, so daß die Serverzeit zu weit abweicht, führen Sie folgende Schritte durch: 1. Server mit DOWN, EXIT herunterfahren. 2. Mit dem DOS-Kommando TIME die DOS-Uhr auf die korrekte Netzwerkzeit einstellen. 3. Einen Kaltstart durchführen, ein Reset, kein <Strg><Alt><Entf.> ! 4. Server starten und prüfen, ob die Zeit synchronisiert wird. Nicht die Zeit der Console verändern, während das Netzwerk läuft ! Hilft das alles nicht, sollten Sie auf der Server Console den Befehl SET TIMESYNC DEBUG = 7 eingeben. Es erscheint dann ein separater Bildschirm, auf dem alle Synchronisationsaktionen und deren Ergebnisse und Fehlerursachen angezeigt werden. 08 Ausgabe 08/2000 42 IPX-Adresse und Server-Name Wenn Sie den Server-Namen und die interne IPX-Adresse eines NetWare 4.1x-Servern ändern, dann niemals beide zur gleichen Zeit. Ändern Sie erst den einen und anschließend den nächsten Wert. Um nun die IPXAdresse oder den Server-Namen zu ändern, müssen Sie die nachstehende Prozedur zweimal durchlaufen, einmal für die IPX-Adresse und einmal für den Servernamen. Folgende Schritte sind durchzuführen: 1. I N S T A L L laden, die A U T O EXEC.NCF editieren und den Server-Namen oder die IPX-Adresse ändern. 2. Anschließend müssen Sie den Server herunterfahren (down / exit) und neu starten. 3. An der Serverkonsole sollten Sie jetzt ein SET DSTRACE=*L eingeben. 4. Sollten Sie den Server-Namen geändert haben, dürfen Sie auf keinen Fall vergessen, in den Login-Skripts die Variablen, die den alten ServerNamen beinhalten, zu ändern. 5. Jetzt starten Sie den NWAdmin und wechseln auf das Volume-SYS-Objekt, mit der rechten Maustaste können Sie hier das Volume-Objekt umbenennen. Für alle weiteren Volumes auf diesem Server müssen Sie das ebenfalls tun. Haben Sie jedoch nur die interne IPX-Adresse geändert, ist dies nicht erforderlich. 6. Abschließend sollten Sie noch ein DSREPAIR über die gesamte NDS laufen lassen, insbesondere wenn sich mehrere Server im Netz befinden. Probleme in Deutsch Prinzipiell können wir Ihnen nur empfehlen, einen NetWare 4.x Server in Englisch zu installieren, da es bei einer Installation in Deutsch verschiedene Probleme gibt. Die Fehlermeldungen sind meist so schlecht übersetzt, daß man damit fast nichts mehr anfangen kann. Auch ein Suchen in der Novell Knowledgebase wird hierdurch fast unmöglich.Zudem kann es vorkommen, daß in verschiedenen Menüs Punkte komplett nicht über- setzt wurden. Dies passiert häuft bei Applikationen von Drittherstellern. Die von Novell regelmäßig angebotenen Service Packs sind zwar multilingual, jedoch in der englischen Version weniger fehlerbehaftet. Sie können die Sprache am Server auf sehr einfache Weise ändern, sogar im laufenden Betrieb: 1. Laden Sie das INSTALL.NLM und gehen Sie über die Produkt-Optio- nen: Install an additional language. 2. Geben Sie den richtigen Pfad auf die NetWare-Installations-CD ein. 3. Wählen Sie hier language 4 Gehen Sie nicht den Weg über change server language. MICROSOFT Netzwerkdrucker gesucht Aus MS-DOS-basierten Programmen drucken Wie kann man mit einem MS-DOS-basierten Programm unter Windows NT auf einem Netzwerkdrucker drucken? Die meisten MS-DOS-basierten Programme drucken standardmäßig direkt auf LPT1 oder LPT2. Die Ausgabe wird jedoch nicht automatisch über einen Redirector zu einer Druckfreigabe weitergeleitet. U Um aus MS-DOS-basierten Programmen auf einem Netzwerkdrucker zu drucken, haben Sie zwei Möglichkeiten. Verfahren 1 Stellen Sie mit Hilfe vonNET.EXE eine ständige Verbindung her. Verwenden Sie dazu an der Eingabeaufforderung die folgende Syntax: net use lpt: \\\ /persistent: yes. Verfahren 2 Oder Sie drucken Sie direkt auf der Druckfreigabe, indem Sie die folgende Syntax an der Eingabeaufforderung verwenden: print / d:\\\ :\\. Da der CAPTUREBefehl von Novell NetWare in Windows NT 4.0 nicht unterstützt wird, müssen Sie den folgenden Befehl verwenden, um den LPT-An- 08 Ausgabe 08/2000 43 schluß einer Novell NetWareDruckerwarteschlange zuzuordnen: net use lpt \\Server\War te schlange Wenn der LPT-Anschluß erfolgreich umgeleitet wurde, erscheint die folgende Meldung: Der Befehl wurde erfolgreich ausgeführt. Um ständige LPTxVerbindungen zu trennen, müssen Sie die folgende Syntax verwenden: net use lpt /delete. Wenn Sie versuchen, den CAPTURE-Befehl zu verwenden, wird je nach NetWare-Version möglicherweise ein Fehler mit folgendem Inhalt zurückgegeben: CAPTURE-4.01-923 Ein unerwarteter Fehler ist aufgetreten: 255 (00FF).(SPOOL.C: [426]) CAPTURE-4.01-923 An unexpected error has occurred: 255 (00FF).(SPOOL.C: [426])) h HOTLINE TANDBERG DATA Streamer optimieren Tips und Tricks für eine verbesserte Bandsicherung Die Bedeutung einer zuverlässigen Datensicherung mit schnellen Restore-Möglichkeiten ist vielen spätestens seit der ILoveYou-Attacke eindringlich ins Gedächtnis gerufen worden. Nicht allein Hardware-Ausfälle bedrohen die sensiblen Datenbestände, sondern eben auch unvorhergesehene Sabotage-Attacken, wo nichts anderes mehr möglich ist, als auf die Sicherung zurückzugreifen. Hier einige interessante Tips des Tandberg Data Supports. HOTLINE B Bei der Sicherung von Daten, die sich sehr gut komprimieren lassen, wie Datenbankdateien, ist es von Vorteil, statt der Hardware-Komprimierung des Streamers die Software-Komprimierung des Backup-Programms zu verwenden. Zum einen ist ein schneller PC in der Lage, den Streamer bei der Rechenarbeit zu entlasten und unter günstigen Bedingungen noch höher zu komprimieren, zum anderen sinkt die Belastung des SCSI-Busses, da nur noch die komprimierte Datenmenge zum Streamer übertragen werden muß. Besonders wirksam ist dieser Tip bei Streamertypen, die noch über den 8-Bit-SCSI-Bus-Anschluss verfügen. Bei Tandberg sind dies beispielsweise der SLR4DC und der SLR5. Terminierung im BIOS Eine wenig bekannte Eigenart des ASUS-Motherboards P2B-S/-LS7DS ist im ASUS Support Q&A Nr. 078 beschrieben. Die Terminierungen des Adaptec Onboard-Controllers AIC7890/3860 für Ultra2-Wide und Fast/Ultra bzw. Wide/Ultra-Wide werden nicht etwa im Adaptec Controller-Setup, sondern im BIOS des Motherboards eingestellt. Diese Eigenschaft ist insofern bemerkenswert, weil im Adaptec Controller-Setup auch ein Menüpunkt Host Adapter SCSI Termina tion existiert, die jedoch ohne Wirkung ist. Auf der BIOS-Seite PNP AND PCI SETUP des Motherboards sind folgende Einstellungen möglich: Onboard AHA Bios: Auto/ Disabled ONB SCSI SE Term. : Enabled/ Disabled ONB SCSI LVD Term. : Enabled/Disabled ONB AHA BIOS first : Yes/ No Mit der LVD-Terminierung wird der Ultra2-Bus terminiert. Da Ultra2 nur als Wide-Bus existiert, wird die gesamte Busterminierung enabled bzw. disabled. Anders sieht es bei der SETerminierung aus. Der Ultra-Bus ist in einen Ultra (8 Bit)-Bus und einen Ultra-Wide (16Bit)-Bus aufgeteilt. Wird SE-Terminierung enabled, so wird eine Automatik aktiviert, die den Ultra-Bus in Abhängigkeit von seiner Konfiguration teilweise (high Byte) 08 Ausgabe 08/2000 44 oder komplett (high und low Byte) terminiert. Alle anderen SCSI-spezifischen Einstellungen werden nach wie vor im Adaptec Controller-Setup getätigt. LVD bei SLR24/32/50 Seit Mitte 1999 werden die Tandberg Baureihen SLR24/32/50 mit einer kombinierten LVD/SE-SCSI-Schnittstelle hergestellt. LVD bedeutet Low Voltage Differential, SE bedeutet Single Ended. Die bisher verwendete SESchnittstelle führt aufgrund ihrer technischen Eigenschaften zu Restriktionen bei umfangreichen SCSI-Systemen. So ist z. B. die gesamte Buslänge beim Anschluß von mehr als 4 Geräten bei Ultra- und Ultra-WideBussen auf 1,50 m begrenzt. Das führt insbesondere bei gleichzeitiger Nutzung des internen und externen Busses häufig zu Problemen infolge zu großer Buslänge. Das LVD-Interface bietet hier deutlich bessere Werte. Buslängen bis 12m und der Anschluß von maximal 16 Geräten sind erlaubt. Das LVD-Interface ist in den ULTRA2-SCSI-Bus implementiert und wird mit einem aktiven, LVD-tauglichen Terminator abgeschlossen. Zu beachten ist, daß an einem im LVD-Modus betriebenen SCSI-Bus nur LVD-fähige Geräte angeschlossen werden dürfen. Sobald ein SE-Gerät angeschlossen wird, schaltet der Bus in den SE-Modus zurück, wobei die anfangs genannten Restriktionen gelten. Die Streamer SLR24/32/50 passen sich automatisch an das jeweilige Interface an, d. h. in einer SE-Umgebung arbeiten sie als SE-Gerät und in einer LVD-Umgebung als LVD-Gerät. Irgendwelche Einstellungen sind nicht erforderlich. Die Streamer sind mit einem entsprechenden Hinweis oberhalb des SCSISteckers gekennzeichnet (SCSI LVDSE). Firmware-Stände Obwohl teilweise schon recht betagt, versehen doch noch viele TandbergStreamer älteren Datums ihren Dienst. Hin und wieder möchten Kunden diese Geräte in moderner Umgebung weiterbetreiben. Dies ist grundsätz- lich möglich, jedoch muß u. U. die Firmware der Geräte auf einen aktuellen Stand gebracht werden, um die Geräte SCSI-2-tauglich und Win95/ 98/NT-fähig zu machen. Die nachfolgende Tabelle nennt die FirmwareStände, die mindestens zum Betrieb an einer SCSI-2-Schnittstelle unter Win95/98/NT nötig sind: SLR1 (TDC3660) 08:15 SLR2 (TDC3820) 05:17 SLR3 (TDC4120) 07:28 SLR4 (TDC4220) 07:28 Das Firmware-Update für SLR1 und SLR2 erfolgt durch Austausch des EPROMs beim Tandberg Service in Dortmund, während das Update für SLR3 und SLR4 per Flash erfolgt. Die Firmware und das dazugehörige Flash-Programm sind auf der Tandberg Internetseite unter www.tandberg.com verfügbar. Neuer Katalog Unter ungünstigen Umständen kann es passieren, daß der am Bandanfang gespeicherte Katalog, der normalerweise alle Informationen über den Inhalt des Bandes enthält, unvollständig ist. Mögliche Ursachen dafür sind beispielsweise Stromausfall, vorzeitiges Herunterfahren des Computers oder vorzeitige Entnahme des Bandes nach dem Backup. Der Katalog wird aktualisiert, wenn das Band softwaregesteuert oder bei SLR24/ 32/50 per Tastendruck ausgeworfen wird. Ein unvollständiger Bandkatalog führt zu einem Timeout auf dem SCSI-Bus während der Suche nach dem Aufzeichnungsende und somit zu einem Abbruch des Auftrags. Diese Fehlfunktion läßt sich durch eine wenig bekannte Option korrigieren. Bei Seagate Backup Exec 7.2 für NT4 wird über Extras/Optionen der Punkt Mediumgestützte Kataloge verwenden deaktviert. Bei Seagate Backup Exec 7.5 und 8.0 für Novell muß im Auftragsmanager unterDienstprogramme die Option Band katalogisieren ausgewählt und die nachfolgende Frage verneint werden: Möchten Sie OTC-Kataloge verwenden, falls diese 08 Ausgabe 08/2000 45 vorhanden sind. Diese Maßnahme führt dazu, daß die gesamte Datenaufzeichnung gelesen und aus diesen Informationen ein aktueller Katalog neu erstellt wird. Dieser Vorgang kann je nach Länge der Aufzeichnung mehrere Stunden dauern. Mangelnde Kapazität Sollten Sie sich wunden, daß die auf den Cartridges angegebenen NettoKapazitäten bei SLR24/32/50Streamern nicht erreicht werden, so handelt es sich dabei aber nicht etwa um fehlerhafte Cartridges, sondern um die Folgen einer zu geringen Datenübertragungsrate zum Streamer. Wenn der Streamer nicht kontinuierlich mit Daten versorgt wird, so stoppt er die Datenaufzeichnung und wartet, bis der interne Puffer wieder gefüllt ist. Dieser sogenannte Start-Stop-Betrieb birgt jedoch einige Nachteile in sich. Neben dem erhöhten Verschleiß von Gerät und Medium durch das ständige Stoppen und Wiederanfahren erhöht sich auch die Backupzeit beträchtlich. Um diesen Effekt zu mindern, fügt der Streamer bei Datenmangel bis zu 1024 Füllblöcke in die Aufzeichnung ein, um im Streamingmodus zu verbleiben. Kommt es während des Backups häufiger zu der oben beschriebenen Situation, wird die Nutzkapazität natürlich merklich gemindert. Man kann das Einfügen von Füllblöcken mit dem ProgrammOptimizer abschalten, um die volle Nutzkapazität des Bandes zu erhalten, allerdings erhöht sich dadurch die Anzahl der StartStop-Zyklen. DerOptimizer ist im Download bei Tandberg verfügbar. Sinnvoller ist es jedoch, die Ursachen für die zu niedrige Datenübertragungsrate zu beseitigen. Neben zu langsamen SCSI-Geräten wie Controllern oder Festplatten sind vor allen Dingen Datensicherungen über ein zu langsames Netzwerk häufig die Ursache für den mangelhaften Datendurchsatz. t TEST TEST ADSL und ISDN KEN! DSL in kleinen Netzwerken Von Michael Olbermann Der ADSL-Zugang gewinnt auch für kleinere Firmen immer mehr an Bedeutung. Dabei ist es wichtig, daß Kommunikationsdienste netzwerkweit genutzt werden können. E-Mail, Internet und Fax an jedem Arbeitsplatz stehen ganz oben auf der Wunschliste. ISDN/ADSL spielt bei dieser Entwicklung aufgrund seiner überzeugenden Leistungsmerkmale eine bedeutende Rolle. Wir haben uns mit KEN! dsl die AVM-Lösung angesehen Anschluß TEST U Unser Praxistest soll am Beispiel von AVM KEN! DSL zeigen, welche Möglichkeiten bestehen, um durch moderne Softwaretechnologie alle Rechner in einem Netzwerk unkompliziert und über nur einen zentralen ISDN dsl-Anschluß an ISDN, ADSL und an das Internet anzubinden. KEN! DSL ermöglicht allen vernetzten Rechnern, gemeinsam auf einen ISDN-Controller zuzugreifen. Jeder Rechner verhält sich dabei so, als ob ein ISDN-Controller eingebaut sei. Auf diese Weise kann jeder Benutzer im Netzwerk direkt vom Arbeitsplatz aus ISDN/ADSL- und Internet-Dienste nutzen. Die Anbindung an das Internet kann wahlweise über ISDN oder auch über ADSL erfolgen. Wenn Sie über einen T-ISDN dsl-Anschluß oder einen kompatiblen ADSL-Anschluß eines anderen Anbieters ver- fügen, benötigen Sie eine zusätzliche Netzwerkkarte oder einen Hub. Sie werden mit dem sogenannten ADSLModem (NTBBA) verbunden. Hardwarebasis Als Ausgangssituation zu diesem Praxistest setzten wir einen Windows 2000 Server PIII mit 500 Mhz, 256 MB Arbeitsspeicher, 10 GB Festplatte und einer bereits installierten AVM B1 ISDN-Karte mit CAPI 2.0 ein. Grundsätzlich ist im Serverbetrieb immer eine aktive ISDN-Karte einzusetzen, denn sie arbeitet autonom und erzeugt daher keine unnötige Prozessorlast. Wird das System wie in unserem Test als dedizierter “Kommunikations-Server” eingesetzt, so würde eine Standart ISDN-Karte den Ansprüchen vollkommen genügen. Um der Realität möglichst nahe zu kommen, setzten wir als Clients zehn Windows-98-Rechner aus dem Alltagsbetrieb ein, die nicht zusätzlich vorbereitet waren. KEN! DSL verwendet zur Kommunikation im Netzwerk ausschließlich TCP/IP. Damit KEN! dsl dieses Protokoll verwenden kann, muß es auf allen Rechnern eingerichtet sein. Alle Systeme wurden dafür über einen 12-Port Hub miteinander vernetzt und beim Server beginnend mit den IP-Adressen 192.168.115.1 bis 11 und der Subnet Mask 255.255.255.0 konfiguriert. Nachdem der von der Telekom gelieferte NTBBA - auch ADSL-Modem genannt - und der ADSL-Splitter montiert und via Uplink-Kabel mit dem Hub verbunden waren, mußte nur noch der entsprechende Treiber für das jetzt notwendige PPPoE-Protokoll, PPP over Ethernet, auf dem Server installiert werden. In unserem Fall lag der Treiber dem gelieferten TOnline-ADSL-Paket bei und ließ sich ohne Probleme einrichten. Mit einem Kat5 Ethernet-Kabel und RJ45-Steckern kann der NTBBA direkt an den Uplink-Port eines Hubs angeschlossen werden. Steht ein solch spezieller Port nicht zur Verfügung, muß ein Cross-Over-Kabel eingesetzt werden. Der Port für den NTBBA muß 10Base-T, also 10 Mbit/s unterstützen. 08 Ausgabe 08/2000 46 Splitter und DSLAM Komponenten Ist alles korrekt installiert, verarbeitet das System wie bisher Daten mit den Protokollen TCP/IP. Der PPPoE-Treiber wandelt diese Protokoll um und sendet es über eine Ethernet-Karte an den NTBBA, das ADSL-Modem, bzw. empfängt es auf diesem Wege. Da der ISDN-Netzabschluß NTBA nicht für die von ADSL verwendeten Frequenzen ab 138 KHz ausgelegt ist, muß vor den beiden Netzabschlüssen - NTBBA für ADSL und NTBA für ISDN - ein Splitter BBAE geschaltet werden, der die beiden Frequenzbereiche trennt. In Ihrer Vermittlungsstelle ist ein Gegenstück zum ADSLSplitter und zum ADSL-Modem installiert. Letzteres verbindet Sie via ATM über ein spezielles Gerät, den DSL Acces Multiplexer DSLAM. Er wiederum bündelt mehrere ADSLVerbindungen und verbindet sie über ATM zu einem Breitband-PoP, der an den Backbone der Deutschen Telekom AG angeschlossen ist. KEN! DSL besteht aus zwei Komponenten, dem KEN! dsl Service und dem KEN! dsl Client. Wir waren überrascht, wie unkompliziert die Installationsroutine der KEN! DSL Komponenten zu bedienen ist. Für Standardanforderungen ist Expertenwissen über Netzwerke weder bei der Installation noch bei der Nutzung von KEN! DSL erforderlich. Trotzdem ist es wichtig, von vorne herein zu entscheiden, was der Service-PC anbieten soll und welche Dienste die einzelnen Clients in Anspruch nehmen müssen. Werden nämlich im gesamten System nur der Internetanschluß und E-Mail benötigt, so braucht der Service-PC erst gar keine CAPI ins Netz zu stellen. Und für die ClientInstallation gibt es für jeden Bedarf eine eigene Installationsroutine. Auch was die Nutzung des in KEN! integrierten E-Mail-Servers angeht, sollte am besten eine eigene Domaine www.firmenname.de mit der entsprechenden Anzahl an MailAccounts user1-20@firmen name.de vorhanden sein. Ein solcher Weg bezeugt nach außen die gebotene Professionalität, ist einfach im Handling und heute zudem noch mit monatlich ca. 5,- DM keine Frage des Budgets mehr. (Quelle: www.puretec.de) ADSL Die Asymmetric Digital Subscriber Line ist ein Hochgeschwindigkeitsverfahren für die Datenübertragung über normale Telefonkabel. Asymmetrisch meint, daß sich die Bandbreite zum Hochladen (dem Upstream über den Hinkanal) und zum Herunterladen (dem Downstream über den Rückkanal) unterscheiden. Dabei wird dem Downstream eine wesentlich höhere Bandbreite zugewiesen, denn es entspricht der Regel, daß der Benutzer wesentlich mehr herunterlädt als er hochlädt. Würde beiden Kanälen die gleiche Bandbreite zugewiesen werden, spräche man von SDSL. Neben ADSL sind noch weitere DSL-Techniken in der Entwicklung, wie beispielsweise HDSL und VDSL /siehe Technik News 7/2000). Die Kombination von ADSL mit ISDN eröffnet einem breiten Anwenderkreis eine Vielzahl von Kommunikationsmöglichkeiten, die aus Kostengründen bisher nur im professionellen Umfeld bestanden. Abb. 1: Einstieg in die KEN! Installation Abb. 2: Abschluß der Installationsroutine Service-PCInstallation Zuerst wird die Komponente KEN! dsl Service auf dem Rechner des Netzes installiert, in dem sich der ISDNController befindet, und der an das ADSL-Modem angeschlossen ist. In unserem Fall ist das der Windows2000-Server und somit wird dieser Rechner zum KEN! DSL Service-PC für das Netzwerk. Abb. 3: Automatische Kontrolle durch Dr. KEN! Kleiner Helfer Nach Installationsstart und Eingabe der Produkt-ID erkennt KEN! den installierten ISDN-Kontroller, den CAPI-Treiber sowie die ADSL Komponente selbständig und fehlerfrei und 08 Ausgabe 08/2000 47 Abb. 4: Übersicht der aktiven Dienste t TEST fordert anschließend zum Neustart auf. Danach erscheint automatisch der KEN! DSL.Assistent zur Konfiguration aller Dienste. Zuerst wird die CAPI im Netz aktiviert. Sie gibt die ISDN-Karte im Netzwerk frei und ermöglicht allen später angeschlossenen Clients die Nutzung von ISDNAnwendungen wie Fax oder T-Online-Software. Anschließend ist der Internetzugang zu aktivieren. Wir wählen unseren ProviderT-Online Speed über ADSL. Sollte Ihr Provider nicht in der Auswahl gelistet sein, müssen Sie manuell weiter konfigurieren, jedoch werden nur Parameter abgefragt, die Ihnen Ihr Provider sowieso mit auf den Weg gegeben haben muß, um ein Standardsystem einzurichten. Nach der Eingabe der Anschlußkennung, T-Nummer und Kennwort kommen wir zur EMail-Aktivierung. Jetzt werden die Daten für den SMTP- und POP3Account abgefragt. Sie bekommen Gelegenheit, sofort den ersten E-MailBenutzer anzulegen. Coaching erwünscht Nach Möglichkeit sollte als erstes der Systembetreuer-Account eingerichtet werden, da dieser erste Account automatisch die Rolle des Postmasters zugewiesen bekommt. Der Postmaster erhält später eventuelle Fehlermeldungen des Mailsystems sowie EMails mit falschem Adreß-Header, um entsprechend reagieren zu können. Anschließend werden, sofern nötig, die Wochenbudgets für ISDN und ADSL vergeben. Hierbei fehlte uns die Handhabe, die Budgetierung zu verfeinern, d.h. sie abhängig von den Arbeitsstationen zu planen. TEST Erste Hilfe Nachdem alle Einträge gemacht sind, startet automatisch Dr. KEN!, das integrierte Diagnoseprogramm zur Überprüfung der vorgenommenen Einstellungen. Es baut Verbindungen auf und überprüft die Erreichbarkeit von Servern im Internet, ganz unabhängig von dem eingesetzten WWWBrowser oder Ihrer E-Mail-Anwendung. Im Fehlerfall liefert Dr. KEN! einen Ursachenhinweis. Unser Test verlief auf Anhieb erfolgreich, so daß gleich die Installation der Clients erfolgen konnte. entsprechend die Dateien junk list.cfg sowieblacklist.cfg zu ergänzen. Bordcomputer Nutzungsinformation KEN! zeigt die Aktivitäten über die Symbole im Statusbereich der TaskLeiste an, zum einen die B-Kanalbelegung und zum anderen den Zustand der Internet-Verbindung. Änderungen der Einstellungen zu den Diensten von KEN! DSL werden im Programm KEN! DSL auf dem Service-PC vorgenommen. Dort tragen Sie beispielsweise neue E-Mail-Benutzer ein und können hier auch spezielle Einstellungen für ISDN- und Internet-Verbindungen vornehmen. Das Programm KEN! DSL zeigt detaillierte Informationen zur aktuellen und vergangenen Nutzung von KEN! DSL sowie den DHCP-Diensten an. Eine interessante und nützliche Neuerung ist die webbasierende, aktuelle Nutzungsinformationen zu KEN! DSL. Informationen über Online-Zeiten und E-Mail-Aufkommen erhalten Sie an einem KEN! vernetzten PC mit Hilfe eines Webbrowsers über die IPAdresse des KEN! DSL Service-PCs unter 3128/kenstat.html, zum Beispiel h t t p : / / 1 9 2 . 1 6 8 . 115.1:3128/kenstat.html. Diese Funktion kann auch abgeschaltet werden, indem sie über die Datei blacklist.cfg (Web-Seite) gesperrt wird. Lücken im Detail DSL-ClientInstallation Einige der neuen Features, die schon in der Technik News 6/2000 beschrieben wurden, lassen sich jedoch nur “zu Fuß” nutzen. So kann man zwar die neue Funktion E-Mail auch beim Anbieter speichern für alle, die auch unterwegs E-Mails lesen wollen, per Mausklick aktivieren, doch wer versucht, mal eben den EMail-Austausch an den InternetVerbindungsaufbau zu koppeln, muß schon die Konfigurationsdatei KEN.cfg suchen, um dort die entsprechenden Einträge zu machen. Öffnen Sie sie - z.B. mit Hilfe des Windows-Programms NOTEPAD und ändern Sie im Abschnitt watch den Wert des Parametersup_active auf Ja: up_active = yes. Im Prinzip ist es kein Problem, das manuell zu erledigen, aber dem Grundgedanken von AVM-KEN! nicht mehr sehr nahe, wo es doch alles so einfach gehen soll. Uns tat sich die Frage auf, ob man einfach nur zu schnell kompiliert hat und keine Zeit mehr hatte, es anwenderfreundlicher zu machen? Denn dies betrifft auch die neue Möglichkeit, Junk-Listen gegen Werbebanner zu erstellen und ganze Seiten zu blokkieren. Für beide Funktionen sind Ist der Service-PC fertig konfiguriert, wird auf allen Arbeitsstationen des Netzwerks der KEN! dsl Client installiert, er arbeitet als Dienst im Hintergrund. Für ihn gibt es drei verschiedene Installationsversionen, für ISDN und Internet oder wahlweise nur eines von beiden. Mit der Version ISDN und Internet kann der Client auf ISDN- und Internet-Dienste zugreifen. Nach Installation der Version ISDN steht dem Client nur die Nutzung der ISDN-Dienste zur Verfügung, umgekehrt bei Internet ausschließlich InternetDienste. Wir empfehlen Ihnen, die Version ISDN und Internet zu installieren. Sie haben auch nachträglich die Möglichkeit, jeden der beiden Dienste am KEN! DSL Service-PC einzeln zu deaktivieren. Unterschiedliche Installationen sind nur notwendig, wenn man den Arbeitsstationen im Netzwerk ernsthaft verschiedene Funktionen zuordnet. Alle aktiven Dienste und deren Zustand sind anschließend durch Statussymbole in der Task-Leiste zu erkennen. Auch ein neues Feature von KEN!, die EM@il for you-Meldung wird in der Task-Leiste angezeigt. 08 Ausgabe 08/2000 48 Client mit Controller Der DSL Client kann gleichzeitig auf einem Rechner mit einem physikalischem ISDN-Controller installiert sein. So kann etwa ein Notebook-PC mit ISDN-Controller abwechselnd zu Hause am ISDN-Anschluß oder in der Firma am KEN! Dsl-Netzwerk betrieben werden. Der Wechsel zwischen beiden CAPI-Schnittstellen ist ohne Computer-Neustart möglich. Der Parallelbetrieb erfordert als Betriebssystem Windows 98, 98 SE, NT oder 2000. Folgende Installationsreihenfolge ist am Client notwendig. Zuerst die Installation des ISDNControllers mit den aktuellen Treibern für Windows 98/NT oder 2000 und erfolgreicher Testverbindung ausführen, danach die Installation des KEN! dsl Client mit ISDN oder Internet und ISDN. Zur Deinstallation des KEN! dsl Client oder ISDN-Controllers entfernen Sie in jedem Fall zuerst den Client. Zur Benutzung und zum Wechsel der CAPI-Schnittstellen gilt folgendes. Mit dem Neustart des PCs ist der KEN! dsl Client aktiv. Besteht eine Verbindung zum Service-PC, arbeitet eine CAPIAnwendung wie FRITZ!fax über den KEN! Dsl-Service. Nach Beenden des KEN! dsl Client durch Klicken auf das Symbol in der Taskleiste nutzen nachfolgend gestartete CAPI-Anwendungen den im Client-PC eingebauten ISDN-Controller. ISDN am Arbeitsplatz Im Lieferumfang von KEN! DSL ist für jeden vernetzten Rechner eine Lizenz für FRITZ! enthalten. FRITZ! ist das ISDN-Kommunikationsprogramm von AVM. Mit Hilfe der verschiedenen FRITZ!-Module können Sie Dateien übertragen, Faxe senden und empfangen, den Rechner als Anrufbeantworter und zum Telefonie- ren nutzen. Je nach Bedarf installieren Sie die ISDN-Kommunikationssoftware auf dem KEN! DSL Service-PC und allen KEN! Dsl-Clients, die die ISDN-Dienste nutzen wollen. Mit dem ISDN-Dateimanager FRITZ!data können Sie schnell und sicher Dateien übertragen und Ihren Rechner für Anwender auf Empfang stellen. Die Zugriffsrechte können individuell gestaltet werden. Die Verwendung der Datenkompression V.42bis auf beiden Seiten optimiert die Übertragungsgeschwindigkeit. ISDN-Services Mit FRITZ!fax versenden und empfangen Sie Faxe entsprechend dem Standard Fax-Gruppe-3 als analoges Fax direkt aus Ihrer Textverarbeitung mit einer Geschwindigkeit von 14.400 Bit/s. Sie können auch Faxe abrufen und FRITZ!fax als Faxabruf-Server einsetzen. Mit Hilfe des FRITZ! journals werden Faxe verwaltet, gedruckt und weitergesendet. Mit FRITZ!fon, einer vollduplexfähigen Soundkarte sowie einem Sprachein- und -ausgabegerät telefonieren Sie direkt von Ihrem Rechner aus, mit komfortabler Rufnummernverwaltung und Notizfunktion. Drei Gesprächsteilnehmer können in einer Konferenzschaltung verbunden werden. FRITZ!vox verwandelt Ihren Rechner in einen Anrufbeantworter. Sie können unterschiedliche Ansagetexte für verschiedene Rufnummern, Anrufer oder Tageszeiten einsetzen. Außerdem ist es möglich, Gespräche zwischen FRITZ!vox und FRITZ!fon zu vermitteln, so daß zum Beispiel ein eingehendes Telefongespräch vom Anrufbeantworter übernommen wird. Abb. 5: Browser Begrüßung mit Autoconfig Abb. 6: Webbasierende Statistik und Nutzungsinformation der Dienste Das ISDN-Kommunikationsprogramm FRITZ! ist eine Einzelplatzlösung und muß sich deshalb auf jedem Rechner befinden, der mit KEN! dsl die ISDN-Dienste nutzen möchte. 08 Ausgabe 08/2000 49 WWW und E-Mail Der Internet-Zugang erfolgt wie gewohnt mit einem Web-Browser. KEN! dsl organisiert den Zugang für alle Rechner des Netzwerkes, ohne daß t TEST diese sich um Verbindungsauf- und abbau kümmern müssen. Alle Benutzer des Netzwerkes haben sofort Zugang zum Internet. KEN! dsl überträgt stellvertretend für alle Benutzer die Internet-Daten. Mit KEN! DSL steht dem Netzwerk aber auch ein Mail-Server zur Verfügung, der EMails aus dem Netz ins Internet versendet, automatisch beim InternetAnbieter abholt und jedem Benutzer einzeln zur Verfügung stellt. Neben dem Austausch von E-Mails mit dem Internet steht der E-Mail-Server auch zur internen Vermittlung von E-Mails zur Verfügung. Das heißt, Sie können E-Mails innerhalb des Netzwerkes gebührenfrei senden und empfangen. TEST Browser einrichten Für die Nutzung der Internet-Dienste ist es notwendig, im Browser die Verwendung eines Proxy-Servers zu aktivieren sowie Anschluß (Port) und Adresse des Proxy-Servers einzutragen. Im getesteten Netzwerk diente der Service-PC als Proxy-Server. Er wurde mit einer festgelegten IP-Adresse erreichbar. Der Anschluß (Port) für Servertyp HTTP, Secure und FTP ist 3128. Für den Servertyp Socks ist der Port 1080 vorgesehen. Sie können diese wenigen Einstellungen in Ihrem Browser selbst vornehmen. Alternativ steht für die Arbeit mit dem Internet Explorer 5.0 eine automatische Konfiguration dieser Einstellungen durch KEN! dsl zur Verfügung. Nach erfolgter Konfiguration können unter ISDN zwei bis sieben Benutzer und unter ADLS gut doppelt so viele gleichzeitig auf einem Kanal im Internet surfen. Die meist unterschiedlichen Surfgewohnheiten der Benutzer erlauben ein vernünftiges Arbeiten im Internet, ohne daß die Bandbreite erlahmt. Einzige Einschränkung sind gleichzeitige große Downloads mehrerer Surfer, dann zeigt sich schnell, daß die Bandbreite an ihre Grenzen gerät. Ansonsten ist ein performantes Arbeiten im Internet, das zusätzlich durch das intelligente Cachingverhalten des Proxys unterstützt, wird jeder Zeit gewährleistet. E-Mail einrichten Alle Clients des Netzwerks, die EMails senden und empfangen möchten, müssen auf dem Service-PC in KEN! dsl als neue E-Mail-Benutzer hinzugefügt werden. Anschließend muß jeder E-Mail-Benutzer in der EMail-Anwendung auf seinem Client eingerichtet werden. Wenn Sie nach der Installation des KEN! Dsl-Client mit dem Assistenten bereits ein EMail-Benutzer hinzugefügt haben, müssen Sie diesen Benutzer nun noch in die Einstellungen Ihrer E-MailAnwendung übernehmen. Für den Austausch von E-Mails mit dem Service-PC bzw. dem Internet ist es notwendig, folgende Angaben in die EMail-Anwendung einzutragen: Die E-Mail-Adresse des Benutzers folgt dem Beispiel name@firmen name.de. Allen E-Mail-Benutzern des Netzwerkes dient KEN! dsl als EMail-Server. Tragen Sie als POP3und SMTP-Server den Service-PC mit seiner festgelegten IP-Adresse ein. In unserem Beispiel war das 192.168.115.1. Zu jedem POP3-Konto im Internet richten Sie in KEN! DSL-Service ein oder mehrere POP3-Konten für die Benutzer ein. Der POP3-Benutzername ist voreingestellt auf die Vereinfachung der E-Mail-Adresse, alle Zeichen vor dem @ werden für den Namen verwendetname@. Das POP3Kennwort des Benutzers ist voreingestellt auf das vom E-Mail-Anbieter vergebene POP3-Kennwort der EMail-Adresse. Kickmail einrichten Alle Benutzer können mit bekannten E-Mail-Anwendungen, beispielsweise von Microsoft oder Netscape, EMails senden und empfangen. Wenn Sie eine E-Mail sofort ins Internet senden oder vom POP3-Konto Ihres Internet-Anbieters abholen möchten, dann klicken Sie in Ihrer E-Mail-Anwendung innerhalb von 10 Sekunden zweimal auf die Schaltfläche Senden/Empfangen. Entschieden eleganter geht es mit dem beigelegten ToolKickmail. Es ist ein Programm, mit dem Sie den E-Mail-Austausch zu festen Zeiten organisieren können. Aktivieren Sie mit Kickmail den EMail-Austausch jeden Morgen bei Rechnerstart, indem Sie das Programm in den Ordner Autostart des Service-PCs kopieren, oder aktivieren Sie mit Kickmail den E-MailAustausch zu festen Zeiten, indem Sie das Programm über den Windows 98-Taskplaner starten. Der Aufruf des Programms veranlaßt den Service-PC, sofort eine Internetverbindung zum Provider aufzubauen, um angesammelte E-Mails mit dem Internet auszutauschen. Kickmail kann sowohl auf dem Service-PC als auch auf jedem Client gestartet werden. Auf dem ServicePC finden Sie das Programm im Ordner Start / Programme / KEN! DSL / KEN! DSL Kickmail und im Installationsverzeichnis von KEN! dsl. Auf den Clients finden Sie es im Installationsverzeichnis. Mail-Abgleich Die dritte Alternative ist, den E-MailAustausch an den Internetverbindungsaufbau zu koppeln, hierbei überprüft KEN! jedes Mal, wenn jemand eine Internetverbindung öffnet, alle vorhandenen Mail-Accounts auf Post und lädt sie gegebenenfalls - unbemerkt im Hintergrund - auf den KEN! Mail-Server. Hierzu muß die Konfigurationsdatei KEN.cfg wie oben beschrieben entsprechend editiert werden. Jedoch lohnt sich die kleine Mühe. Uns gefiel dieses neue Feature in seiner Funktion besonders gut. Fazit Für kleine bis mittlere Betriebe ist KEN! DSL eine gelungene. kostengünstige Alternative, um die Netzwerk-PCs mit dem Internet zu verbinden und mit ISDN-Funktionalität auszustatten. Auch wenn einige der neuen Features sich bestimmt bequemer konfigurieren ließen, so sind dies letzten Endes vernachlässigbare, kleine Mängel. Im Testbetrieb liefen die Dienste allesamt störungsfrei. Für die angesprochene Zielgruppe ist KEN! DSL sicherlich eine Empfehlung. 08 Ausgabe 08/2000 50 Anzeige AVM DSL! 08 Ausgabe 08/2000 51 p PRAXIS INTEL Modernes Desktop Management Teil 2: Rapid Deployment von LANDesk 6.4 Von Jan Callsen Nachdem wir die im letzten Beitrag die Version 6.4 vorgestellt haben, wollen wir uns diesmal mit der Installation der LANDesk Management Suite sowie mit der Verteilung der Client Software beschäftigen. Sehen wir uns einmal an, wie die Installation beim Rapid Deployment vonstatten geht. I Intel unterscheidet bei der Installation zwischen einem “Rapid Deployment” für die schnelle Bereitstellung in kleineren Netzen bis 250 Knoten, die wir heute hier besprechen, und dem sogenannten “Phased Deployment”, einer mehrstufigen Bereitstellung für über 250 Knoten und für Außenstellen mit WAN-Anbindung, die im 3 Teil unserer Serie behandelt wird. Die Voraussetzungen gelten jedoch für beide Arten der Implementierung der Management Suite 6.4 und müssen strikt eingehalten werden, da es sonst später zu Problemen kommen kann, insbesondere bei Datenbankzugriffen. PRAXIS Grundlagen Der Coreserver ist der Mittelpunkt der Verwaltungsdomäne. Auf ihm befinden sich sämtliche Schlüsseldateien und Dienste der LANDesk Management Suite. Innerhalb einer Verwaltungsdomäne kann es nur einen Coreserver geben.Aufgrund des Datenverkehrs, der beim Verwalten der Domäne durch den Hauptserver geleitet wird, empfiehlt sich die Verwendung eines dedizierten Hauptservers, auf dem ausschließlich die ManagementSoftware ausgeführt wird. Wenn Sie andere Produkte auf demselben Server installieren, könnten Ressourcenprobleme auftreten. Der Hauptserver sollte folgende Mindestanforderungen erfüllen: NT 4.0 mit SP 6 und MDAC 2.1.2 GA, SP1 oder SP2, dazu 1 GB Plattenspeicher, Pentium II bes- ser noch III, 128 MB RAM, empfohlen 256 MB, IDE- aber lieber SCSIPlatte. Installieren Sie die HauptserverKomponenten nicht auf einem primären Domänen-Controller oder Sicherungs-Domänen Controller Die Bereitstellung ist der Vorgang, in dem Sie Verwaltungsfunktionen auf alle Clients, die Sie in die Domäne aufnehmen wollen, erweitern. Er wird vereinfacht, wenn Sie Agents und Dienste auf den Clients und Servern laden, um diese von zentraler Stelle aus zu verwalten. Die Strategie der schnellen Bereitstellung geht davon aus, daß die Standardeinstellungen und Datenbanken, die für die Installation verwendet werden, für Ihre Verwaltungsbedürfnisse ausreichend sind. Die Strategie der mehrstufigen Bereitstellung bietet Ihnen einen strukturierten Ansatz für die Aktivierung der Verwaltung auf Servern und Clients. Dieser Ansatz gründet auf zwei einfachen Prinzipien: - Zunächst werden solche Management Suite-Komponenten bereitgestellt, die auf Ihr bestehendes Netzwerk die geringsten Auswirkungen haben. Später werden die Komponenten bereitgestellt, welche die größten Auswirkungen besitzen. - Das Bereitstellen der Management Suite erfolgt in gut geplanten Phasen, alle Dienste nacheinander und nicht etwa gleichzeitig, da dies die Fehlerbehebung im Bedarfsfall zu kompliziert gestaltet. 08 Ausgabe 08/2000 52 Rapid Deployment Die schnelle Bereitstellung besteht im wesentlichen aus fünf Schritten: 1. Hauptserver auswählen 2. Server Manager installieren 3. Datenbanken vorbereiten 4. Desktop Manager installieren 5. Management Suite bereitstellen Wie oben erwähnt eignet sich das Rapid Deployment für Netze bis 250 Knoten, wobei mit entsprechender Hauptserver-Ausstattung alles auf einer Maschine laufen kann. Bis 100 Knoten kann man durchaus auf die mitgelieferte Access-Datenbank setzen, ab 100 bis 250 Knoten lohnt es sich wegen der Abfragezeiten, die Datenbanken auf MS-SQL 7.0 laufen zu lassen. Serververwaltung Der Server Manager ist ein Tool für die Serververwaltung mit einer zentralen Konsole für die Überwachung des Zustandes und der Leistungsfähigkeit der Windows NT- und NetWare UNIX Server. Sie sollten ihn auf Ihrem Hauptserver installieren. Durch Leistungsanalyse und -opti-mierung, durch Frühwarnsysteme und Notfallprozeduren können Sie Probleme im Vorfeld vermeiden. Die Installation ist optional, der Desktop Manager kann auch ohne Server Manager ausgeführt werden. Doch können Sie mit dem Server Manager die Eignung des Hauptservers und des Netzwerks für eine systemweite Anwendung der Management Suite besser einschätzen. Sie sollten ihn allein schon für die Installation und Bereitstellung der restlichen Suite Komponenten einrichten. Server Manager besteht aus zwei Teilen, der Server Manager Konsole als der Benutzerschnittstelle unter Windows NT oder Windows 95, und Diensten, durch die die Server von der Konsole aus verwaltet werden können. Für eine vollständige Installation benötigen Sie beide Teile auf mindestens einem Server. Sie können diese Komponenten unabhängig voneinander wählen. Die Server Manager Dienste können zudem ferninstalliert werden. Nur die Konsole müssen Sie lokal installieren. Server Manager Setup • Melden Sie sich als Administrator oder mit gleichwertigen Rechten bei dem Konsolen Computer an, auf dem Sie Server Manager installieren möchten. • Schließen Sie alle Anwendungen außer dem Windows Programm-Manager. • Führen Sie die Datei SETUP aus dem Verzeichnis Server-Manager auf der Management Suite CD-ROM aus. Oder: Wählen Sie auf der Seite zur automatischen Ausführung die Option zum Installieren von ServerManager. • Wählen Sie die Komponenten, die Sie installieren möchten, und folgen Sie den Anweisungen des Setup-Programms, um die einzelnen Schritte der Installation abzuschließen. •Starten Sie bei der entsprechenden Aufforderung alle während dieser Sitzung installierten Computer neu. Stellen Sie bei NetWare Servern sicher, daß SM_AUTO.NCF beim Systemstart ausgeführt wird. Datenbanken Die Management Suite benötigt mindestens eine Datenbank, um allgemeine Verwaltungsdaten zu speichern. In weitläufigeren Umgebungen ist DataMart sowie eine Datenbank für die Speicherung der Software Metering Daten erforderlich. Um mit diesen Datenbanken arbeiten zu können, benötigen Sie ein Database Management System (DBMS). Verwenden Sie für die schnelle Bereitstellung das standardmäßige Datenbankverwaltungssystem Microsoft Access. Die ODBC Treiber für Microsoft Access sind im Lieferumfang der Management Suite enthalten. Alle Microsoft Access Datenbanken müssen auf dem Hauptserver abgelegt sein. Wenn Sie Microsoft Access für Ihre Verwaltungs- bzw. DataMart Datenbanken verwenden, dürfen Sie diese Datenbanken nicht vom Hauptserver verschieben, auf dem sie sich standardmäßig befinden. 08 Ausgabe 08/2000 53 Microsoft Access wird für Sie eingerichtet und konfiguriert, wenn Sie die standardmäßige Datenquelle bei der Installation von Desktop Manager akzeptieren. Die einzige noch notwendige Vorbereitung besteht nun darin, sicherzustellen, daß der Hauptserver die Systemanforderungen zum Ausführen der Datenbanken erfüllt. Microsoft Access sollte nicht gemeinsam mit einer Software Metering Datenbank verwendet werden. Desktop Manager Setup Bei der Installation von Desktop Manager werden die Hauptkomponenten installiert. Führen Sie auf dem Windows NT 4.0 Server, den Sie als Hauptserver gewählt haben, folgende Schritte durch: • Melden Sie sich mit einem Konto an, das über Administratorrechte verfügt. • Legen Sie die CD von Intel LANDesk Management Suite ein. • Klicken Sie auf der Seite für die automatische Ausführung auf Desktop Manager installieren. • Klicken Sie auf Weiter, um mit dem Installationsprogramm fortzufahren. Sie werden aufgefordert, die Komponenten auszuwählen. • Markieren Sie jede Komponente, die Sie installieren möchten, mit einem Häkchen. Standardmäßig sind die Optionen Verwaltungskonsole und Hauptserver aktiviert. Dadurch können Sie Aktivitäten vom Hauptserver aus verwalten. • Falls Sie in ein anderes Zielverzeichnis installieren möchten, klikken Sie auf Durchsuchen und wählen ein neues Zielverzeichnis aus. • Klicken Sie auf Weiter. • Wählen Sie die standardmäßige Verwaltungsdatenquelle, und klicken Sie dann auf Weiter. • Starten Sie den Hauptserver neu. Bevor Sie die neuen Intel-Dienste starten können, müssen Sie einen Neustart des Computers durchführen. p PRAXIS Installation überprüfen • Um den Erfolg der Installation zu überprüfen, gehen Sie wie folgt vor: • Klicken Sie auf Start / Einstellungen / Systemsteuerung / Dienste und vergewissern Sie sich, daß folgende Dienste auf dem Windows NT Server gestartet wurden: • Alert Handler, Alert Originator, File Transfer, Inventory Server, PDS, Scheduler, Software Distribution Server, Metering Relay Service und Software Metering Service (falls Software Metering installiert ist), AOL Service, IIDS und SSM. • Überprüfen Sie, ob die Dateien LDINV.MDB und METERING.MDB im Verzeichnis P R O G R A M M E \ INTEL\DTM \ DATABASE vorhanden sind, falls Sie Software Metering installiert haben. • Starten Sie Desktop Manager durch Klicken auf Start / Programme / Intel LANDesk Management / Desktop Manager. • Nachdem Sie die Verwaltungskonsole gestartet haben, werden Sie zur Eingabe von Lizenzinformationen aufgefordert. • Überprüfen Sie das Inventar, um sicherzustellen, daß der Hauptserver in die Datenbank eingefügt wurde. • Wenn die Arbeitsstation als Windows 95 Arbeitsstation konfiguriert ist, müssen Sie sicherstellen, daß der IPX Rahmentyp nicht auf Auto eingestellt ist. Wählen Sie den Rahmentyp, der auch auf dem Hauptserver verwendet wird. Dadurch wird gewährleistet, daß das Programm ohne Probleme ausgeführt werden kann, und daß Sie Sicherungskopien von den wichtigen Dateien haben. PRAXIS Management Suite Nachdem der Hauptserver und die Verwaltungskonsole erfolgreich installiert wurden, können Sie die Management Suite nun für Ihre Verwaltungsdomäne bereitstellen, getrennt für Server und für Clients. Die schnelle Bereitstellung für Server besteht aus zwei Teilen, dem Installieren von Fernsteuerung und Inventar auf den Servern und dem Einrichten von Client Bereitstellungsdiensten. Fernsteuerung und Inventar Wenn Sie Fernsteuerung und Inventar auf einem Server installieren, können Sie diesen Server wie eine Arbeitsstation verwalten. Sie können die Fernsteuerung und das Inventar auf Windows NT und NetWare Servern installieren. So installieren Sie Fernsteuerung und Inventar auf einem Windows NT Server: - Melden Sie sich mit Administratorrechten an. - Weisen Sie der LDLOGON Freigabe des Hauptservers ein Laufwerk zu. - Wählen Sie eine Stapeldatei entsprechend dem Protokoll des Servers, auf dem Sie die Installation ausführen: IPSETUP.BAT konfiguriert Server und Arbeitsstationen mit TCP/IP, die IPXSETUP.BAT mit dem Netzwerkprotokoll IPX/SPX. Führen Sie die entsprechende Stapeldatei aus, um den Server mit Management Agents zu konfigurieren. Auf NetWare Servern Wenn Sie Fernsteuerung und Inventar auf einem NetWare Server installieren wollen, müssen Sie mit Administratorrechten auf diesem Server angemeldet sein. Führen Sie folgende Schritte an einer beliebigen Verwaltungskonsole aus: • Wählen Sie in der Netzwerkansicht den NetWare Server, auf dem Sie Fernsteuerung und Inventar installieren möchten. • Klicken Sie auf E x t r a s / Dienstezentrum Assistent / Weiter. • Wählen Sie Fernsteuerung und Inventardienst, Weiter. • Bestätigen Sie den Namen und die IPX Adresse des Hauptservers, Weiter. • Falls der Hauptserver kein IPX verwendet, sollten Sie das Adreßfeld leer lassen. • Überprüfen Sie die von Ihnen gewählten Optionen, Weiter. • Bearbeiten Sie bei Bedarf im Fenster Startup Skript das Skript. Klikken Sie Weiter, um den Assistenten zu beenden. Client Die Client-Bereitstellungsdienste sind die einfachste und zuverlässigste Methode, um LANDesk Agents für 16- wie für 32-Bit-Clients bereitzustellen. Client Setup Assistent Der Dienstezentrum-Assistent verwendet die Einstellungen, die Sie im Client-Setup-Assistenten festgelegt haben. Im Client Setup Assistenten können Sie das Protokoll, die Einstellungen für die Sicherheitsfunktionen sowie für die Fernsteuerung festlegen. Falls Sie diese Einstellungen im Assistenten für den Client Setup nicht festlegen, bevor Sie den Dienstezentrum-Assistenten ausführen, werden die Standardeinstellungen verwendet. Wenn Sie einen Bereitstellungsdienst einrichten, werden automatisch Anmeldeskripts erstellt. Die Clients müssen dann so zugeordnet werden, daß sie das entsprechende Skript für die Konfiguration erhalten. Erforderliche Rechte Bei Clients, die als Windows NTArbeitsstation ausgeführt werden, müssen Sie den Namen, mit dem sich die Clients in der Domäne anmelden, der lokalen Administratorgruppe hinzufügen, die sich auf dem Computer der Clients befindet. Dies gewährt dem Benutzer die erforderlichen Rechte und gewährleistet, daß die Windows NT-Anmeldeskripts ausgeführt werden können. Oder aber Sie benutzen das Tool NT Config Kit, das allerdings nicht von Intel supportet wird. Dieses Tool installiert einen sogenannten Client Listener Service auf dem Hauptserver, der dem Client Service lokale Admin-Rechte zur Installation des Dienstes erteilt. Wir werden Ihnen dieses Tool in einer der nächsten Technik-News-Ausgaben gesondert vorstellen Sie sollten nun schon in der Lage sein, eine kleine Management-Domäne zu installieren, die Client Distribution vorzunehmen sowie NT- und NetWare-Server zu verwalten. 08 Ausgabe 08/2000 54 MICROSOFT Windows 2000 Teil 7: Security Von Eduard Zander Windows NT 4.0 ist bezüglich der Sicherheitsfunktionalitäten mit Windows 2000 nicht vergleichbar. Das hat sich mittlerweile herumgesprochen. Features wie Kerberos, IP-Security, Verschlüsseltes-Datei-System, Zertifikate und Secure Soket Layer (SSL) tragen dazu bei, das Netzwerk unverwundbarer gegen Übergriffe zu gestalten. Allerdings wissen die wenigsten um die Funktionsweise, Einsatzgebiete und Limitierungen. In dieser Ausgabe widmen wir uns daher der Funktion und Konfiguration einiger dieser Sicherheitsmaßnahmen. D Die komplette Netzwerksicherheit läßt sich auf fünf Grundbedingungen reduzieren: Vertraulichkeit, Integrität, Zurückweisungs- und Wiederholungsverhinderung sowie Authentisierung. Vertraulichkeit bedeutet, daß gespeicherte Daten oder übertragenen Nachrichten nicht von unbefugten Personen gelesen werden können. Integrität setzt voraus, daß ein Empfänger sichergehen kann, daß die empfangene Daten nicht geändert wurden. Zurückweisungsverhinderung besagt, daß ein Sender einer Nachricht nicht abstreiten kann, eine Nachricht geschickt zu haben. Bei E-Mails z.B. kann anhand von Signaturen geprüft werden, ob die Nachricht wirklich von dem angegebenen Absender stammt. Doch Signaturen werden in diesem Artikel nicht behandelt. Grundbedingung Wiederholungsverhinderung soll sicherstellen, daß jemand, der einen Verbindungsaufbau zweier Hosts auf Netzwerkebene mitprotokolliert, diese Information dazu nutzen kann, seinerseits eine Verbindung mit einem dieser Host aufzunehmen und sich dabei als der andere Host auszugeben. Dies wird bei Kerberos mit ZeitStempeln und Zufallswerten erreicht, ist aber ebenfalls nicht Bestandteil dieses Artikels. Authentisierung schließlich bedeutet, daß ein Empfänger einer Nachricht ein Benutzer oder Dienst - feststellen kann, ob der Absender wirklich derjenige ist, für den er sich ausgibt. Authentisierung wird häufig mit Autorisierung verwechselt. Die Authentisierung stellt lediglich die Identität eines Benutzers fest und sagt nichts darüber aus, ob der authentisierte Benutzer überhaupt Rechte auf die zugegriffene Ressource besitzt. Ähnlich einem Personalausweis der belegt, wer der Besitzer dieses Ausweises ist, nicht aber gleichzeitig eine Einreiseerlaubnis bedeutet. Auch diese Funktionalität wird bei Windows 2000 mit Kerberos ermöglicht. 08 Ausgabe 08/2000 55 Schlüssel-basierende Kryptographie Die für das Verständnis diese Artikels wichtigen kryptographischen Funktionen sind Ein-Weg-Funktion, symmetrische und asymmetrische Verschlüsselung. Bei der Ein-Weg-Funktion wird eine Nachricht mittels eines mathematischem Algorithmus derart verschlüsselt, daß ein Entschlüsseln unmöglich ist. Wird das Ergebnis immer auf eine vordefinierte Länge gebracht, spricht man von einer HashFunktion. p PRAXIS Hash-Algorithmus Um auf die Ausgangsnachricht (Digest) zu kommen, müssen alle möglichen Ausgangsnachrichten mit der Hash-Funktion verschlüsselt und die Ergebnisse anschließend verglichen werden. Ein praktisches Beispiel wäre folgende Ein-Weg-Verschlüsselung. Nehmen Sie einen beliebigen Satz, lassen Sie jedes zweite Wort weg, schreiben Sie den Rest on block und entfernen Sie dabei immer den ersten und falls vorhanden den fünften Buchstaben eines Wortes. Wenn Sie dann das Ergebnis (Digest) auf eine fordefinierte Länge bringen, z.B. durch abschneiden überschüssiger Buchstaben, so spricht man von einem HashAlgorithmus. Um nun auf den Ausgangssatz zu kommen, müssen alle möglichen Wortkombinationen mit diesem Beispiel-Algorithmus chiffriert und die Digest verglichen werden. Genutzt wird dieses Verfahren zum Beispiel beim Speichern von Paßwörtern bei NT 4.0 oder zur Sicherstellung der Integrität von gesendeten Daten. Wenn bei einer Nachricht der Hash der Nachricht mitgeschickt wird, kann der Empfänger überprüfen, ob die Daten geändert wurden, indem er die empfangene Nachricht ebenfalls verschlüsselt und den Digest vergleicht. Dazu muß natürlich auf beiden Seiten derselbe Hash-Algorithmus verwendet werden. Gängige Algorithmen sind MD2, MD4 und MD5 - allesamt 128 Bit Digests - sowie SHA1, ein 160 Bit Digest. übersetzen. Dieses Verfahren ist nur so sicher, wie die verwendeten Schlüssel es sind. Versucht jemand den Schlüssel zu errechnen, indem er immer wieder die Ausgangsnachricht mit der verschlüsselten Nachricht vergleicht, so trägt zum einem die Schlüssellänge dazu bei, dies schwieriger zu gestalten. DES ist beispielsweise bloß 56 Bit lang, wobei RC4 und RC2 jeweils 128Bit-lange Schlüssel vorweisen. Allerdings wird bei dem DES-Algorithmus jeder 64 Bit-Block einer Datei/Nachricht einzeln verschlüsselt und meistens mit jeweils einem anderen Schlüssel. Außerdem gibt es noch 3DES, wo die gesamte Datei oder Nachricht mit einem 128 Bit Schlüssel dreimal hintereinander verschlüsselt wird. Bei DESX fließt außer dem bekannten Schlüssel eine Zufallszahl in den Algorithmus ein. Bei einigen Verfahren wird zur Erhöhung der Sicherheit die Gültigkeit eines symmetrischen Schlüssels zeitlich begrenzt. Falls ein Unbefugter doch mal einen Key herausfinden sollte, kann er diesen nach Ablauf der Zeit nicht weiter verwenden. Genutzt wird symmetrische Chiffrierung bei Windows 2000 beispielsweise zur Verschlüsselung übertragener Daten und zum Speichern von Macintosh-kompatiblen Paßwörtern (Abbildung 1). PRAXIS 3 Nachricht = Betrag ! In der Praxis ist es - anders als in unserem Beispiel - nicht möglich von einem Schlüssel (Formel) auf den dazugehörigen anderen zu schließen. Die Namen der Schlüssel rühren daher, daß public Keys öffentlich von allen zugänglich sind, zum Beispiel wenn sie bei VeriSign oder Global Trust beantragt werden. Private Keys bleiben nach Erhalt immer beim Benutzer und werden niemals an andere weitergegeben. Der vereinfachten Schreibweise wegen wird dieses Verfahren meistens nur Public-Key-Technik (PK) genannt. Verschlüsseltes Dateisystem Symmetrische Keys Bei der symmetrischen Verschlüsselung wird die Ausgangsnachricht mit einem Key verschlüsselt. Um von der verschlüsselten Nachricht wieder auf die Ausgangsnachricht zu kommen, wird wieder derselbe Schlüssel angewandt, daher “symmetrisch” oder auch “reversible”. Ein Beispiel für eine symmetrische Verschlüsselung wäre, wenn Sie einen Brief schreiben und jeden Buchstaben durch eine Zahl ersetzen, bei einem “a” beispielsweise mit der Zahl 17 beginnen. Der Empfänger muß diesen Schlüssel kennen und kann dann den Text zurück für die Entschlüsselung einer Nachricht einen anderen Key als zur Verschlüsselung. Die Schlüssel stehen in einem mathematischen Verhältnis zueinander, so daß mit dem private Key verschlüsselte Daten nur mit dem zugehörigen public Key entschlüsselt werden können und umgekehrt. Dieses Verfahren ist daher und wegen der wesentlich längeren Schlüsseln von mindestens 512 Bit viel sicherer als die symmetrische Verschlüsselung, ist aber etwa um den Faktor 1000 langsamer. Ein Beispiel für eine asymmetrische Verschlüsselung wäre, wenn Sie jemandem als Nachricht einen Betrag übermitteln. Um diesen zu verschlüsseln, wählen sie folgende Formel nachricht=Betrag 3 . Damit der Empfänger diese Nachricht entschlüsseln kann muß der jedoch diese Formel anwenden:3 <Wurzel aus, Abb1: Einstellung zum symmetrischen Verschlüsseln von Paßwörtern Asymmetrische Keys Die asymmetrische oder Public-Private-Key-Verschlüsselung erfordert Das verschlüsselte Dateisystem (EFS) dient der Absicherung der gespeicherten Daten. Diese können allerdings auch mit NTFS-Berechtigungen abgesichert werden. Wenn ich außer mir keinem anderen Benutzer Rechte auf meine Dateien gebe, so wird kein weiterer Benutzer unter normalen Umständen meine Daten lesen können. Lediglich der Administrator könnte Besitz von meinen Daten nehmen und sich danach selber die Rechte vergeben. Schließen wir diesen Fall 08 Ausgabe 08/2000 56 aus, so sind die Daten unter normalen Umständen mit NTFS-Rechten ausreichend gesichert. Sollte es aber für jemanden möglich sein, Daten aus der Betriebsumgebung zu entfernen, indem z.B. ein Notebook oder eine Festplatte gestohlen wird, so könnte die Festplatte prinzipiell in einen anderen Computer eingebunden und die Daten ausgelesen werden. Dies ist jedoch nicht möglich, wenn die Daten vom Benutzer verschlüsselt wurden. Wie aber funktioniert dies? DESX-Verschlüsselung Wenn ein Benutzer eine Datei zur Verschlüsselung auswählt, erzeugt der Random Key Generator (RKG) einen Zufallswert. Mit Zuhilfenahme dessen wird eine DESX-Verschlüsselung der Datei durchgeführt, nicht eine DES-Verschlüsselung, wie in einiger Fachliteratur beschrieben. Für jede Datei wird ein eigener Schlüssel generiert, dessen Länge abhängig von der Sprachversion von Windows 2000 ist. Nur bei der US-Version ist er standardmäßig 128 Bit lang, bei den anderen Versionen 40 Bit. Mit dem mittlerweile verfügbaren HighEcryption-Pack kann das Produkt den amerikanischen Richtlinien angepaßt werden. Spätere Releases von Windows 2000 sollen neben DESX auch andere Algorithmen unterstützen. Da es sich hierbei um eine symmetrische Verschlüsselung handelt, benötigt der Benutzer für die Entschlüsselung dieselben Schlüssel. Daher wird jeder Schlüssel im Data Decryption Field (DDF) einer Datei angehangen. Dieser Schlüssel wird seinerseits asymmetrisch mit einem 512Bit-publicKey des Benutzers verschlüsselt, da sonst jeder Zugriff darauf hätte und damit auf die Datei. Da nur der Benutzer, der diese Datei verschlüsselt hat, den entsprechenden private Key besitzt, sind die Daten vor Übergriffen geschützt. Zusätzlich wird der Schlüssel noch mit dem public Key eines Recovery Agents asymmetrisch verschlüsselt und im Data Recovery Field (DRF) ebenfalls der Datei angehängt. Damit ist gewährleistet, daß die Daten nicht unzugänglich sind, falls der Benutzer seinen Schlüssel verliert. Abb. 2: Verschlüsselung einer Datei durch EPS Falls mehrere Recovery Agents definiert wurden (siehe Abbildung 3), wird pro Agent ein eigenes DRF generiert. Das Public-Private-Schlüsselpaar für den Administrator generiert Windows 2000 sowohl lokal als auch in der Domäne bei der Installation (Abbildung 3). generiert EFS für den Benutzer bei der ersten Verschlüsselung ein Zertifikat mit den jeweiligen Schlüsseln (Abbildung 4). Sowohl die importierten als auch die automatisch generierten Zertifikate werden im Profil eines Benutzers gespeichert und sind im Snap-In Zertifikate zu sehen. Werden keine Serverbasierenden Profile implementiert, so generiert EFS Zertifikate auf jedem Computer oder Server, auf Für einen Benutzer gibt es zwei Mög- dem ein Benutzer Dateien verschlüslichkeiten ein Schlüsselpaar zu erhal- selt, für ihn ein neues Zertifikat, einten. Wenn der Administrator einen mal im VerzeichnisDokumente und Einstellungen \ BenutzerCertificate-Server aufgesetzt hat, kann \Anwendungsdaten \ er für alle Benutzer ein X.509 Versi- name on-3-Zertifikat anfordern, welches ein Microsoft im Unterverzeichnis Schlüsselpaar für Dateiverschlüs- Crypto\RSA bzw. im Unterverzeichselung beinhaltet. Dieses Zertifikat nis \System Certificates \ kann nicht zur Authentisierung oder My. Das bedeutet, daß für jeden BeE-Mail-Verschlüsselung verwendet nutzer, der auf einen Server zugreift, werden. Wenn der Benutzer diese ein minimales lokal gespeichertes ProZertifikat importiert, verwendet EFS fil generiert wird. Geht nun das Profil diese Schlüssel. Ist kein entsprechen- auf einem Server verloren, so kann des Zertifikat importiert worden, so der Benutzer selbst unter Verwendung des Zertifikates von eiAbb. 3: Standardmäßig eingetragener Recovery Agent nem anderen Computer nicht auf seine Daten zugreifen, sondern muß sie vom Recovery Agent restaurieren lassen. Daher empfiehlt es sich für einen 08 Ausgabe 08/2000 57 p PRAXIS Benutzer, das Zertifikat zu exportieren und z.B. auf einer Diskette zu sichern (Abbildung 5). Dies geschieht mit dem Snap-In ZertifikateAktueller Benutzer in der Microsoft Management Console. Zu Beachten ist, daß NTFS vor EFS greift. Wenn ein Recovery Agent vom Benutzer keine NTFSRechte auf die Datei erhalten hat, kann er sie selbst nicht wieder herstellen, wenn er den entsprechenden Private Key nicht vorweisen kann. In der derzeitigen Version von EFS ist eine gemeinsame Benutzung verschlüsselter Dateien durch mehrere Benutzer nicht möglich. Kopiert oder verschiebt ein Benutzer eine verschlüsselte Datei über das Netz, so findet der Transfer unverschlüsselt statt. Um diesen ebenfalls sicher zu gestalten, können IPSecurity oder Secure Channel eingesetzt werden. IP-Security wird hier allerdings nicht behandelt. PRAXIS Secure Channel spruch der Vertraulichkeit und die Authentisierung von Servern. Die Verschlüsselung findet ausschließlich symmetrisch statt. Allerdings wird eine asymmetrische Kryptographie genutzt, um den symmetrischen Schlüssel zu übertragen. Nachteil von SSL/TLS ist, daß die verwendeten Applikationen diese Protokolle unterstützen müssen. Exchange kann es beispielsweise zur Replikation nutzen und alle gängigen Web-Browser zur https-Verbindung (vgl. Abb. 6). Bevor die Daten gesichert über das Netz gesendet werden können, wird erst ein symmetrischer HauptschlüsAbb. 4: DateiverschlüsselungsZertifikat sel, das Master Secret, ausgehandelt. Aus diesem generieren danach Server und Client jeweils einen eigenen symmetrischen Schlüssel zur Chiffrierung der Daten und einen Schlüssel zu AuAbb. 5: Exportieren eines Zertifikates thentisierung der gesendeten Daten. Abbildung 7 zeigt die wichtigsten Pakete, die dazu erforderlich sind. Secure Channel - abgekürzt Schannel - unterstützt mehrere Verfahren. Secure Socket Layer (SSL), Abb. 7: Handshake bei SSL/TLS zur Aushandlung mittlerweile in der Version des Master Secrets 3, ist eines davon, es wurde von Netscape entwickelt. Da diese Technik entwikkelt wurde, bevor es ein Request for Comment (RFC) dazu gab, wurde nach Fertigstellung der Richtlinien RFC 2246 ein weiteres Protokoll herausgebracht, das Transport Layer Security in der Version 1 (TLS). Diese Verfahren sind zwar nicht kompatibel, aber technisch fast identisch und werden daher im folgenden gemeinsam behandelt. Die Aufgaben von SSL/TLS sind die Verschlüsselung der gesendeten Daten mit dem An- Abb. 6: Einstellungen beim Internet Explorer 5 SSL/TLS-Sitzung Ein Client-Hallo-Paket ist typischerweise die erste Meldung beim Start einer SSL/TLS Sitzung. Das Protokoll erlaubt auch dem Server ein Hallo-Paket anzufordern, das ist aber unüblich. Bestandteil dieses Paketes ist ein 32+28 Byte großer Zufallswert. 08 Ausgabe 08/2000 58 Dieser wird zum Errechnen des Master Secrets auf beiden Hosts gemerkt. Außerdem enthalten sind zu verwendende symmetrische Chiffrierung, Hash-Algorithmen und das Schlüsselaustauschverfahren. Microsoft-Programme nutzen in der Regel RC4, MD5 und SHA und als Schlüsseleinigungsverfahren RSA. Ein weiteres Einigungsverfahren wäre DeffieHellman, das bei IP-Sec eingesetzt wird. Falls der Client Komprimierung unterstützt, gibt er die Methoden ebenfalls im ersten Paket mit. Der Server antwortet seinerseits ebenfalls mit einem Hello-Paket, das eine 32+28 Byte große Zufallszahl, die ausgewählte Chiffrierungs-Suite und Kompressionsmethode enthält. Nachfolgend sendet der Server sein X.509v3 Zertifikat, das seinen Public Key enthält, an den Client. Das TLSVerfahren begnügt sich damit, bei SSL werden vom Server noch weitere Zertifikate an den Client geschickt, u.a. das der CA. Dies ist für das weitere Vorgehen nicht notwendig und dient lediglich der zusätzlichen Server-Authentisierung. Erfordert die Applikation eine beidseitige Authentisierung, dann schickt der Server in diesem Schritt auch ein Zertifikat-Anforderungspaket. Im dritten Schritt antwortet der Client mit einem Zertifikat, falls er dazu aufgefordert wurde. Außerdem schickt er das sogenannte Pre-Master Secret, eine 48Byte-lange generierte Zahl, verschlüsselt mit dem public Key des Servers. Im Paket 5 erklärt der Client, daß er bereit ist zur Nutzung des Master Secrets und fordert damit den Server auf, symmetrische Verschlüsselung zu nutzen. Zu diesem Zeitpunkt können Server und Abb. 8: Errechnung des Master Secrets Client den Master Secret Key aus den erhaltenen Komponenten errechnen (siehe Abb. 8). Das Client Finished Packet dient der Überprüfung, daß der Computer, der dieses Paket sendet, auch derselbe ist, der das HalloPaket geschickt hat. Dazu wird die Phrase client finished und alle vorangegangenen Handshake-Meldungen mit MD5 und SHA gehasht und das Ergebnis in zwei Teile geteilt. Ein Teil wird noch einmal MD5, der andere mit SHA gehasht und am Ende wird eine XOR-Verkrüpfung beider Digest durchgeführt. Der Server antwortet seinerseits mit einem s e r v e r finished. Der Inhalt von Paket 6 und 7 ist bereits symmetrisch verschlüsselt, der folgende Datenaustausch ebenfalls. Tabelle 1 listet die Protokolle, die SSL absichern kann, mit ihren Standard-Ports und den Ports, die im Falle einer SSl-Verschlüsselung verwendet werden. Tabelle 1: Protocol Hypertext Transfer Protocol (http) Internet Message Access Protocol Version 4 (IMAP4) Lightweight Directory Access Protocol (LDAP) Network News Transfer Protocol (NNTP) Post Office Protocol Version 3 (POP3) Standard Port 80 143 389 119 110 08 Ausgabe 08/2000 59 SSL Port 443 993 636 563 995 s SEMINARE SEMINARE Harter Umstieg abgefedert Windows 2000-Trainings Microsoft macht es Neueinsteigern und Umsteigern auf Windows 2000 nicht ganz einfach. Die Compu-Shack Education versucht, den Übergang soweit wie möglich abzufedern, auch wenn es darum geht, mittels Crash-Kursen das Ziel zu erreichen. D Das Seminar “Updating Support Skills from Microsoft Windows NT 4.0 to Microsoft Windows 2000” stellt eine besondere Herausforderung dar. Zum einen, weil es sich um einen Accelerated Course, also einen komprimierten Kurs handelt, zum anderen aus der Tatsache heraus, daß Microsoft einen einmaligen erfolgreichen Prüfungsabschluß erwartet. Sollte diese Prüfung nicht beim ersten Anlauf absolviert werden, sind die Teilnehmer verpflichtet alle sieben Examen zu bestehen. Ein Cross-Update ist dann leider nicht mehr möglich. Ein Chrashkurs ist jedoch nur bei sehr fundiertem Hintergrund zu empfehlen. Das Sommer-Trainigs Camp 2000 bietet dabei jedoch die Chance, sich konzentriert auf den großen Sprung vorzubereiten. Quereinsteiger Kandidaten, die bereits die drei Windows NT 4.0-Examen mit den Nummern 70-067 (Supporting MS Windows NT 4.0 – Core Technologies), 70-073 (Administering Microsoft Windows NT 4.0) und 70-068 (Supporting MS Windows NT 4.0 – Enterprise Technologies) erfolgreich abgelegt haben, können als Quereinstieg den Kurs “Updating Support Skills from MS Windows NT to MS Windows 2000” besuchen. Es handelt sich bei diesem Kurs um ein Intensivtraining, das nur für sehr erfahrene NT-Experten zu empfehlen ist. Inhaltlich behandelt er die Thematiken der Kurse “ Administering MS Win2K”, “Installing & Configuring MS Win2K” und “Advanced Administration for MS Win2K”. Diese Bereiche liegen in stark komprimierter Form vor, was den Schwierigkeitsgrad zusätzlich erhöht. Wird die zugehörige Prüfung erfolgreich bestanden, muß der Teilnehmer eines der drei angebotenen Pflichtfächer sowie zwei von vier angebotenen Wahlfächern belegen. Pflicht- und Wahlfächer enden jeweils mit einem Test und dürfen thematisch selbstverständlich nicht übereinstimmen. Wer dieses Seminar besuchen möchte, sollte dies nicht alleine wegen der vermeintlichen Geldoder Zeitersparnis tun. Nach diesem Kurs sind die Teilnehmer in der Lage, ein auf Microsoft Windows 2000 basierendes Single Domain Netzwerk zu supporten. Die Teilnehmer lernen die Struktur des Active Directory kennen und können Installationen und Konfigurationen durchführen. Semiarinhalte Neue Funktionen Windows 2000 Server installieren Einrichten von DNS Integration von Active Directory Verwalten der Objekte im AD Software Installation Policy Datei- und Druckerresourcen Dial-Up-Networking konfigurieren DHCP und WINS installieren Verwalten von Dynamic Volumes Fehlerbeseitigung Von NT 4.0 auf Windows 2000 SEMINARE Seminarhighlights im September 2000 Kursbezeichnung Updating Support Skills from WIN NT 4.0 to WIN 2000 Designing a MS WIN 2000 Netw.g Services Infrastruct. Kurs-Nr. MS 1560 MS 1562 Supporting MS Windows 2000 Professional and Server Networking Essentials NetWare 5.1 Administration Networking Technologies Professional Securing Intranets with Novell Border Manager 3.0 Systemadministration unter Linux Grundlagen der Netzwerkadministration unter Linux Sicherheit mit Linux-Systemen MS 2152 MS 578 NV 560 NV 565 NV 770 Lin ADM 1 Lin ADM 2 Lin SECU Termin 04.-08.09.2000 19.-22.09.2000 18.-21.09.2000 25.-29.09.2000 04.-06.09.2000 11.-15.09.2000 27.-29.09.2000 20.-22.09.2000 05.-07.09.2000 11.-13.09.2000 19.-22.09.2000 Veranstaltungsort Neuwied / München Neuwied München Neuwied Neuwied München München Neuwied München München München Preis 3.490,- DM 2.890,3.490,2.290,3.490,2.290,2.290,2.400,2.400,3.490,- DM DM DM DM DM DM DM DM DM Education Team, Telefon: 02631 / 983-317, eMail: education-sales@compu-shack.com 08 Ausgabe 08/2000 60 Der Countdown läuft Linux-Seminare Re-Zertifizierung für NetWare 4.11 CNE´s Compu-Shack im Zeichen des Pinguin Alle NetWare 4.11 CNE´s müssen sich bis spätestens zum 31. August 2000 rezertifizieren, um den Status behalten zu können. Jetzt bleibt nicht mehr viel Zeit, denn der Countdown läuft. Wer noch einen Seminarplatz zum Vorbereitungstraining auf das 5.1 CNE Update bekommen will, sollte sich beeilen, die Plätze werden rar. Im Sommer bietet die Compu-Shack Education in Kooperation mit Experteach weitere Linux-Seminare im Education Center München-Haar an. Im Rahmen des Sommer Trainings Camp 2000 wird auf alle Seminare, die für den Zeitraum vom 01. Juli bis zum 30 September 2000 gebucht werden, ein Rabatt von 10% gewährt. Das Seminar NetWare 4.11 to 5.1 Update (NV 529) ist der beste und schnellste Weg, um aktuelles Wissen von IntranetWare 4.11 auf NetWare 5.x zu erweitern. Es baut auf den fundierten Kenntnissen der Systemadministratoren aus dem Bereich IntraNetWare auf und erweitert diese um die der NetWare 5.x. Das Seminar umfaßt die komplette Darstellung aller Neuheiten und Verbesserungen von NetWare 5.x und die Einweisung in die umfassende Administration des Netzwerk-Systems. Vor- Der Markt der kommerziellen Betriebssysteme wird durch Linux gehörig durcheinandergewirbelt, seit Linux zu einer ernstzunehmendenAlternative im Server- und Client-Bereich herangereift ist. Nicht nur wegen der Kosteneinsparung, auch wegen seiner inzwischen anwenderfreundlichen Bedienungsoberfläche und der erweiterten Auswahl an Applikationen, ist Linux längst mehr als eine Überlegung wert Systemadministration Der Kurs Systemadministration unter Linux wendet sich insbesondere an zukünftige Linux-Verwalter, deren Aufgabe die Betreuung von einzelnen Systemen oder eines ganzen Linux-Netzwerkes ist. Zur effizienten Nutzung eines Linux-Systems sind detaillierte Kenntnisse der Systemverwaltung zwingend erforderlich. Dazu gehört neben dem Umgang mit verschiedenen Administrationstools auch die Fähigkeit, in Krisenfällen ohne diese Hilfsmittel auszukommen. Schwerpunkte bilden die zahlreichen Facetten der Benutzerverwaltung, der Systembetrieb und die Beseitigung möglicher Störungen. Grundkenntnisse in der Anwendung des Betriebssystems, wie sie der Kurs Linux-Grundlagen vermittelt, sollten mitgebracht werden. Seminarinhalte aussetzungen der Teilnehmer sollten fundierte Kenntnisse im Bereich IntraNetWare 4.11 und Windows 95/NT Workstation sein. Seminarinhalte TCP/IP Grundlagen Von NetWare4.x auf NetWare 5.1 Novell Licencing Services TCP/IP-Netzwerke mit NetWare 5.1 Internet Infrastuktur mit NetWare 5.1 Public Key Cryptography Von IPX auf IP Einführung in NDS eDirectory Druckumgebung mit NDPS Zeitsynchronisation Server-Verwaltung Sommer Trainings Camp 2000 Auf alle Seminare, die Sie für den Zeitraum vom 01. Juli bis zum 30 September 2000 buchen, gewährt die Compu-Shack Education Ihnen einen Rabatt von 10%. Bei einer Komplettzertifizierung zum Novell CNE oder Microsoft MCSE erhöht sich dieser Rabatt auf 15%!Besuchen zwei Mitarbeiter aus dem gleichen Unternehmen ein das selbe Seminar, so zahlt der zweite Teilnehmer nur den halben Preis. Sonderaktionen sowie Cisco Einzelseminare sind hiervon ausgenommen. Weitere ausfürliche Informationen zu den hier vorgestellten Themen findet man im Internet auf der Seminarseite unter http://seminar.compu-shack.com/csonline/owa.exe/ semi.home. Grundlagen der Administration Benutzerverwaltung Paßwortverwaltung Gruppenverwaltung Zugriffsrechte Festplattenpartitionierung Installation und Update Systemstart und -ende Problembehebung Datensicherung Automatisierung von Vorgängen Shellprogrammierung 08 Ausgabe 08/2000 61 v VORSCHAU INFO CHANNEL Professional M Learnkey Access 2000 Mit der Professional-Version des CBTs Access 2000 schloß LearnKey Ende Juli an die Basis-Version an und präsentiert nun komplexe Funktionen in leicht nachvollziehbaren Schritten. Basis- und Professional-Version bauen aufeinander auf und erläutern zunächst die elementaren Funktionen, dann professionelle Anwendungsbeispiele. Die Themen orientieren an dem, was in der Berufspraxis und im täglichem Umfeld be- nötigt wird. Praxisnahe Beispiele und Übungen geben einen schnellen Einstieg in das praktische Arbeiten. Dabei bestimmen die Anwender ihr eigenes Lerntempo, unterstützt von Schritt-für-Schritt-Videos. Access 2000 erscheint in der Professional Version mit einer Lern-CD und einem umfangreichem Arbeits- und Übungsbuch von 240 Seiten Text haben. Buch und CD ergänzen sich in idealer Kombination. Informationen zu Learnkeys Computer Based Trainings und Leseproben finden Sie unter www.learnkey. de. Oder Sie fordern über die Bestellkarte in der Heftmitte Info an. SPECIAL GroupWise 5.5 Weltweit Kommunizieren Installation und Konfiguration E-Mail im Unternehmen POP 3 und SMTP Internetanschluß Verteilte Systeme Trouble Shooting Installation Guides Kostenlose Novell Infos online bestellen Novell hat zusammen mit BinTec und Cisco interessante Installation Guides herausgegeben. Den Cisco & Novell Small Business Suite Installation Guide und den Bintec & Novell Firewall Installation Guide können Sie jetzt kostenlos unter www.technik-news.de bestellen. Ebeso ist dort ein GroupWise Sales Guide sowie der Small Business Suite Sales Guide abrufbar. VORSCHAU Ü Über den Info Channel von Technik News online können Sie unter anderem laufend kostenlose Demos und Trials auf Original Novell CDs bestellen. Dort finden Sie auch aktuelle Datenblätter zu Novell Produkten im Acrobat Format zum Hinweis der Redaktion : Infolge der bevorstehenden Sommerurlaubszeit kann es bei der Zustellung Ihrer Technik News Verspätung geben. Wir bitten um Verständis. Download. Es lohnt sich, immer wieder einen Blick auf die Technik News Website zu werfen. Im Moment sind folgende CDs verfügbar. NetWare Small Business Suite 5: 60 Tage Trial Version, 50 User NetWare 5.1: Server + 5-User Evaluation Version GroupWise 5.5 Multilingual: 3-User Demo-Version Novell Software Downloads: CD1: Evaluation Software, Client, Support Packs CD2: Beta Software und Produkt Dokumentation BorderManager Enterprise Edition 3.5: 60 Tage Trial Version 08 Ausgabe 08/2000 62 MESSEN, ROADSHOWS, SEMINARE N 09 No 09/2000 Thema des Monats: den: Audio für IP-Telephony - Video und Audio für Videotelephony - beide kombinierbar mit Datentransfer - oder gleich alle drei Dienste zusammen. Als Multipoint- und MultimediakommunikationsStandard liefert H.323 unzählige Dienstleistungen für eine Vielzahl von Bereichen: für Privatanwender, Small- oder Homeoffices, für die Unternehmenskommunkation und Call Center wie für die Unterhaltungsindustrie oder E-Commerce Anwendungen. Wir werden die Neuerungen des aktuellen Standards aufzeigen und uns die Multimediakommunikationsdienste ansehen. Wir werden klären, was Terminals, Gateways, Gatekeeper und Multipoint Control Units nach H 323 leisten, und welche Eigenschaften sie erfüllen müssen. Kurzum, wir wollen wissen, was in der H.323 Zone los ist. An einem Beispiel wird gezeigt, welche Schritte notwendig sind, um eine komplette Kommunikation zwischen Terminals aufzubauen. OVER IP Echtzeit Multimediakommunikationsdienste Von Michael Bäcker Multimedia- und Echtzeitdienste dringen mit Sprache, Daten und Video über IP in die Netzwerke vor. H.323 ist der Standard, der die Bestandteile, die Protokolle und die Prozeduren spezifiziert, die Multimediakommunikationsdienste für den Datenverkehr und für Echtzeit-Audio und -Video nutzen. Er ist Teil einer Familie von ITU-Empfehlungen, kurz H.32x genannt, und spezifiziert die Services für Paket-based-Networks, die das Internetund Intranets in IP- und IPX-LANs mit einschließen. Das sind neben Unternehmennetzen ganze Stadtnetze und Wide Area Networks. H.323 kann in der Vielzahl seiner Teilstandards angewendet wer- Praxis: TCP/IP Netze mit NetWare 5.1: Teil 1: DHCP Konfiguration Ausgewählte Termine 07.-11.08.2000 14.-18.08.2000 14.-18.08.2000 01.-03.08.2000 22.-23.08.2000 16.-17.08.2000 29.-31.08.2000 14.08.2000 21.-25.08.2000 14.-18.08.2000 30.08.-3.09.2000 06.-10.11.2000 21.-23.11.2000 CS-Seminar: Building Scalable Cisco Networks CS-Seminar: Building Cisco Multilayer Switched Networks CS-Seminar: Cisco IP Telephony CS-Seminar: IntranetWare: Integration Windows NT CS-Seminar: Network Management with Manage Wise 2.7 CS-Seminar: Workstation Management with Z.E.N.works 2.0 CS-Seminar: Linux- Grundlagen für Administratoren CS-Seminar: Vinca Administration on NT CS-Seminar: Windows 2000 Essentials CS-Seminar: Supporting Windows NT 4.0-Core Technologies CeBIT Home fällt wegen zu geringer Resonanz aus Systems 2000 Exponet 2000 08 Ausgabe 08/2000 63 Neuwied Frankfurt Neuwied Neuwied München München München Neuwied Neuwied / München Neuwied Leipzig München Düsseldorf