Das Magazin für Netze, Daten- und Telekommunikation

Transcription

Das Magazin für Netze, Daten- und Telekommunikation
DM 14,- ÖS 110,-
Sfr. 14,-
Nr. 1, Januar 2000
1
Das Magazin für Netze, Daten- und Telekommunikation
www.lanline.de
Firewalls
Permanente Überwachung
mit Angriffs-Tools
Multicast und Sicherheit
Stateful Inspection
Das Magazin für Netze, Daten- und Telekommunikation
Januar 2000
Januar 2000
Firewalls/Mobile Computing
Hochverfügbarkeit
mit Marktübersicht
Firewalls
Mobile Computing
Wireless Application Protocol
Palm OS und CE treffen
Exchange und Domino
Remote-Access-Lösungen
mit Marktübersicht
GSM-Adapter
QoS und Speed
für Wireless-LANs
Vision: 50
MBit/s und mehr
Test im LANline-Lab:
Novanet Version 7
Backup-Software
für Netware und NT
Elektromechanische
Unterschrift
Alternative zum
Paßwortschutz
0 1
4 398039 714002
B 30673
ISSN 0942-4172
EDITORIAL
140. AUSGABE
Stefan Mutschler
Chefredakteur
DER
ETWAS
ANDERE
“MILLIBUG”
Jetzt sind es nur noch wenige Tage bis zum magischen
Datumswechsel. Die gesamte IT-Welt zittert vor dem großen
Millennium-Bug, und kaum ein IT-Techniker und -Manager
in verantwortlicher Position wird dieses Sylvester entspannt
genießen können. Ohne die möglichen Probleme herunterspielen zu wollen, muß ich mich allerdings doch fragen, ob der
wahre Milliennium-Bug nicht vielleicht ganz woanders liegt –
womöglich mitten in unseren Köpfen.
Ich halte Netzwerker nach knapp 15 Jahren eigener Erfahrung im
großen und ganzen für aufgeklärte und vernünftige und dabei meist
weltoffene, sehr engagierte Menschen. Immerhin ist aus diesen
Kreisen das entstanden, was die Welt am Ende des Jahrtausends in
noch nicht gekanntem Maße umgekrempelt hat: das Internet. Und
das Internet ist mehr als nur einfach irgendein elektronisches Netzwerk. Es ist auch, und vielleicht sogar zuerst, eine Philosophie der
globalen Kommunikation – ohne die historischen Horizonte wie
Familie, Dorf, Region oder Nation. Durch das Internet ist die Welt
auf eine Größe geschrumpft, in der im Prinzip jeder mein “Nachbar” ist. Das ist heute bereits eine Tatsache, egal, ob man sich
dagegen wehren, es passiv hinnehmen oder aktiv mitgestalten will.
Treibende Kraft für die Weiterentwicklung der Idee des Internets
ist zur Zeit sicher sehr stark das, was als E-Business, E-Commerce
oder sonstige E-x kursiert. Die Potentiale für Wissenschaft, Politik,
Kultur und Religion sind aber sicher nicht geringer.
Außer dem globalen Ansatz gibt es in der Physik des Internets
noch ein weiteres wichtiges Prinzip: Jede Ressource, die an das
Netzwerk angeschlossen wird, ist eine Bereicherung für das
Ganze. Jeder neue Server erweitert die Leistungsfähigkeit und die
Wissensbasis des gesamten Netzwerks – egal, auf welcher Hardware und Software er läuft.
Wohl kaum eines der dringenden Menschheitsprobleme läßt sich
in anderen als globalen Kategorien lösen, ob Hunger/Armut, Bildung/Erziehung, Bevölkerungsentwicklung, Umweltschutz oder
Friedenssicherung. Das ist ein Faktum, das sich sowohl mit dem
Herzen als auch mit Vernunft “verstehen” läßt. Und wenn ich am
Anfang vom Milliennium-Bug in unseren Köpfen gesprochen habe, so meine ich damit die immer noch sehr starke Abwehr wichtiger Grundsätze, die zur Lösung genau dieser Probleme erkanntermaßen unbedingt nötig sind und deren Qualität uns das Internet
in der virtuellen Welt deutlich vor Augen führt: Globale Denke
und das Bewußtsein, daß jede der vielfältigen “Ressourcen”, die
insgesamt die Menschheit bilden, eine Bereicherung für alle ist.
Wäre es nicht angebracht, auch über diesen Jahrtausend-Bug einmal näher nachzudenken?
In diesem Sinne möchte ich Ihnen, liebe Leser, auch im Namen
des LANline-Teams, ein frohes Weihnachtsfest und einen besonders reibungslosen Rutsch ins nächste Jahrtausend wünschen.
(sm@lanline.awi.de)
LANline 1/2000
3
INHALT
Wireless LANs geben Gas: Hiperlan/2 beispielsweise soll
Geschwindigkeiten von 50 MBit/s und mehr bieten (Seite 10)
WAP-Handys oder WAP-Organizer wie hier der Siemens Unifer sind
Renner beim mobilen Computing (Seite 108)
NETZWERKTECHNIK
NETZWERKMARKT
RUBRIKEN
Wireless LANs:
Neue Standards für mehr Speed.........10
Elektromechanisch unterschreiben:
Eine Alternative zum Paßwortschutz..56
Editorial.................................................3
Trends bei der Verkabelung:
LWL in aller Munde...........................14
EJB für Enterprise-Applikationen:
Verteilte Verarbeitung........................60
Seminarführer...................................145
Host-Connectivity:
Verbesserungen im Detail..................18
LANline Tips & Tricks......................64
Im Test: Ben Hur und Team Internet:
Internet und E-Mail für die ganze
Firma...................................................22
Com-Navigator.................................147
Inserentenverzeichnis.......................152
Fax-Leser-Service.............................153
Marktmeldungen.................................19
NETZWERKPRODUKTE & SERVICES
Stellenanzeigen.................................132
NETZWERKPRODUKTIVITÄT
City-IP-Netz in Frankfurt/Main:
Fünf Administratoren für
5000 Anwender...................................70
Vorschau...........................................154
Impressum.........................................154
DM 14,- ÖS 110,-
Sfr. 14,-
Nr. 1, Januar 2000
Das Magazin für Netze, Daten- und Telekommunikation
Die Entwicklungsumgebung
Vision Jade
Automatisch programmieren..............28
www.lanline.de
Firewalls
Permanente Überwachung
mit Angriffs-Tools
Multicast und Sicherheit
Stateful Inspection
Hochverfügbarkeit
Das Magazin für Netze, Daten- und Telekommunikation
Im Test: Novanet Backup unter
Netware und NT:
Aus dem Land der Wizards................32
NETZWERKMARKT
WIRELESS LANS
Neue Standards
für mehr Speed
Mobile Datenübertragung gehört zu den derzeit interessantesten Themen in der IT-Industrie. Dies gilt
nicht nur für Mobilfunknetze und Wireless Local
Loop, sondern in zunehmendem Maße auch für die
immer schneller werdenden drahtlosen lokalen
Netze. Deren Standardisierung kommt zügig voran,
und weitere Hersteller springen auf den in Fahrt
Produkt-News:....................................46
Hinweis
Das Jahresinhaltsverzeichnis
der LANline 1999 finden Sie
in diesem Jahr ausschließlich
auf unserer Homepage unter
http://www.lanline.de
gekommenen Zug auf.
Das neue Jahrtausend soll
auch das Marktsegment der
Wireless LANs (WLAN) beflügeln. Dies sagen sämtliche Forschungsinstitute voraus. Nach Angaben von IDC
etwa liegt der Umsatz im
Jahr 2000 bei etwa 840 Millionen Dollar und wird auf
1,3 Milliarden Dollar im Jahr
2003 ansteigen. Der Grund
für den Boom dürfte allerdings nicht im Überspringen
der Jahrtausendmarke, sondern vielmehr in handfesten
technischen Weiterentwicklungen liegen. Dabei stehen
ausgereifte, auf internationalen Standards basierende
Produkte mit an erster Stelle
– Produkte, die eine deutlich
höhere Bandbreite zur Verfügung stellen als bislang
und dadurch neue Anwendungen wie Multimedia ermöglichen.
Die Grundlage für den
Aufschwung von WLANs
wurde dabei bereits vor etlichen Jahren gelegt und seit
diesem Zeitpunkt ständig er-
10
L AN line 1/2000
weitert. Dazu zählt die Spezifikation ETS 300328, mittels derer die technischen
Voraussetzungen für das
ISM-Band zwischen 2,4 und
2,4835 GHz definiert und die
greifende Anlagen, wobei
die betreffenden Grundstücke keine wirtschaftliche
Einheit
bilden
müssen.
Funk-LANs sind anmeldeund gebührenfrei, und die
Bedingung für die Zulassung
ist lediglich ein bestandener
Test bei einem unabhängigen, akkreditierten Testlabor
oder in Deutschland auch das
Bundesamt für Post und
Telekommunikation. Im Jahre 1997 wurde mit IEEE
802.11 der wohl bedeutendste Fortschritt erzielt, nämlich endlich ein Standard für
drahtlose LANs verabschiedet. Dieser umfaßt drei
Technologien zur drahtlosen
Datenübertragung:
– 2,4 GHz Frequency Hopping Spread Spectrum
(FHSS), 1 und 2 MBit/s,
– 2,4 GHz Direct Sequence
Spread Spectrum (DSSS),
2 MBit/s sowie
– Infrarot.
Die Vision über die Jahrtausendwende hinaus: Hiperlan/2 soll
Übertragungsgeschwindigkeiten bis über 50 MBit/s ermöglichen
Zulassungskriterien für Datenfunksysteme in diesem
Frequenzband
festgelegt
wurden. Mitte der 90er Jahre
erfolgte die Ausdehnung des
Gültigkeitsbereichs für den
Betrieb von Funk-LAN-Systemen auf grundstücksüber-
Doch vor allem in der relativ geringen Übertragungsgeschwindigkeit sahen Marktuntersuchungen – neben
nicht immer nachgewiesener
Interoperabilität zwischen
den Lösungen verschiedener
Hersteller – den Hemmschuh
für ein schnelleres Wachstum. Dies hat sich zwischenzeitlich geändert.
ÜBERTRAGUNGSRATEN
VERVIELFÄLTIGEN SICH So
hatte bereits im Frühjahr
1999
Proxim
Produkte
gemäß dem ETSI-Standard
Hiperlan Typ 1 (Wireless
Ethernet) angekündigt, der
sowohl für Europa als auch
in den USA anwendbar ist.
Nach Aussagen des Unternehmens wurde dieser Standard vor allem entwickelt,
um eine vergleichbare Wireless-Leistung wie bei leitungsgebundenen
LANs,
zum Beispiel Ethernet, zu
realisieren. Außer der hohen
Datenrate von 24 MBit/s sollen die Spezifikationen allerdings noch wesentlich mehr
bieten. Dazu gehöre in erster
Linie die Unterstützung von
Sprache, Video und Datenkommunikation mit Quality
of Service, um die Übertragung von zeitkritischen Inhalten für Multimedia-Anwendungen zu gewährleisten.
Im Herbst dieses Jahres
wurde nun das Hiperlan2
Global Forum vorgestellt,
ein Konsortium zur Entwicklung des neuen Breitbandstandards Hiperlan2. Das
Ziel ist es, bis zu Beginn des
Jahres 2002 interoperable
Produkte auf den Markt einzuführen. Hiperlan2 wird dabei nach Aussagen der in
dem Forum vetretenen Unternehmen, zu denen unter
anderem Bosch, Dell, Ericsson und Nokia gehören, im
5-GHz-Band arbeiten und
bis zu 54 MBit/s an Übertragungsgeschwindigkeit bieten. Es soll darüber hinaus
auch eine nahtlose Verbin-
Januar 2000
Serie: Einführung in die
Netzwerkanalyse (Teil 2):
Tools für die Analyse und Statistik....38
10
mit Marktübersicht
Firewalls
Mobile Computing
Wireless Application Protocol
Palm OS und CE treffen
Exchange und Domino
Remote-Access-Lösungen
mit Marktübersicht
GSM-Adapter
QoS und Speed
für Wireless-LANs
Vision: 50 MBit/s
und mehr im Plan
L AN line 1/2000
Elektromechanische
Unterschrift
Alternative zum
Paßwortschutz
0 1
4 398039 714002
B 30673
ISSN 0942-4172
NETZWERKPRODUKTE & SERVICES
BACKUP UNTER NETWARE UND NT MIT NOVANET
Aus dem Land
der Wizards
Bei Novanet 7 Backup für Netware und Windows NT handelt es sich
um ein Datensicherungsprodukt, das sich durch einfache Bedienung,
effektive Sicherungsmechanismen und gute Konfigurierbarkeit auszeichnet. Administratoren von heterogenen Netzen mit Netware und
Windows-NT-Rechnern sollten einen Blick auf dieses Backup-Programm
werfen.
nbekannt heißt noch lange nicht unwichtig, Novastor ist ein Beweis
dafür. Das Unternehmen hat ein ganzes
Arsenal von Backup-Programmen, Verschlüsselungs-Software und anderen
Werkzeugen für den Umgang mit Massendaten im Programm.
Das LANline-Lab hat sich hier aus dem
Produktportfolio Novanet Alliance 7 vorgenommen, ein Datensicherungspaket für
heterogene Netzwerkumgebungen aus
Netware- und Windows-Rechnern. Linux
kommt laut Hersteller demnächst dazu.
Novanet 7 unterstützt Netware und
Windows NT in einem Produkt. Ein Un-
U
Die bevorzugte Novanet-7-Konfiguration
6
Test im LANline-Lab:
Novanet Version 7
Backup-Software
für Netware und NT
32
L AN line 1/2000
terschied, der im Vergleich zu den bekannteren Backup-Lösungen wie CAI
Arcserve und Seagate Backup Exec von
Anfang an angenehm ins Auge fällt. Installations-CD eingelegen, den Anweisungen folgen, in fünf Minuten ist das
Programm installiert, geladen und sichert. Da gibt es keine Unterschied zwischen Netware und Windows NT.
Novanet 7 installiert einen Manager
und einen Agent. Je nachdem, ob der Manager oder der Agent gestartet wird, kann
die Host-Maschine als Backup-Server/
Client oder nur als Backup-Client arbeiten. Novanet nennt das “Peer-to-Peer Ar-
chitecture” und meint damit, daß jeder
Rechner ein Backup-Server sein kann,
wenn nur ein Datensicherungsgerät angeschlossen ist und die entsprechenden
Treiber geladen sind.
Die von Novanet bevorzugte Konfiguration besteht aus
– Storage-Management-Server,
– Storage-Management-Database-Server,
– anderen Servern oder Arbeitsplatzrechnern mit oder ohne angeschlossenes Datensicherungsgerät.
Der Storage-Management-Server ist so
etwas wie die zentrale Verwaltungskonsole und für die Betreuung der BackupProzesse reserviert. In der Storage-Management-Datenbank hebt Novanet 7 alles
auf, was es über den aktuellen Zustand
der Datensicherungsumgebung weiß.
Wird der Management-Agent oder der
Backup-Agent an einem Rechner geladen, werden die aktuellen Daten dieses
Rechners in die Storage-ManagementDatenbank eingetragen, und der Rechner
steht Novanet mit allen angeschlossenen
Sicherungsgeräten zur Verfügung.
Die Datenbank ist offensichtlich robust. Das LANline-Lab hat während eines Sicherungslaufs den Datenbankrechner abgeschaltet. Der Agent war in der
Lage, die Datenbank beim Neustart erfolgreich wieder zu reparieren.
Jedes Gerät kann nur in einer “Storage
Management Database” eingetragen
sein, aber es kann viele Datenbanken in
einer Novanet-Installation geben. Jede
Datenbank wird im Netz als “StorageManagment-Zone” propagiert. Der Datensicherungs-Agent ordnet beim Start
das Gerät einer Storage-ManagementZone zu.
Wichtig am Novanet-Konzept ist, daß
die Storage-Management-Datenbank immer auf einem Rechner liegen sollte, der
kein Sicherungs-Server ist. Das stellt sicher, daß im Falle des Unglücks entweder Sicherungs-Server oder die Datenbank nicht mehr im Zugriff sind, aber nur
im Falle großen Unglücks beide zur gleichen Zeit.
Novanet ist der Meinung, daß das
Bandlaufwerk, wenn irgend möglich, an
dem Gerät hängen sollte, dessen Daten
32
SCHWERPUNKT: FIREWALLS
Vom Paketfilter zum integrierten Firewall-Router:
Firewall-Technologien.......................................................72
Security wird oft vernachlässigt:
Einsatz von Multicast in Unternehmensnetzen.................80
Zentrale Systeme müssen laufen:
Hochverfügbarkeitslösungen für Firewalls........................88
Hochverfügbare Sicherheit:
Eine Frage der Stabilität.....................................................92
Sicherheitskonzepte überprüfen:
Abwehrstrategien fürs Internet...........................................96
Marktübersicht: Firewalls................................................102
Anbieterübersicht: Firewalls............................................107
SCHWERPUNKT: MOBILE COMPUTING
Wireless Application Protocol:
Endgeräte und Anwendungen..........................................108
Im Test: IBM Mobile Connect 2.2:
Palm-OS und CE treffen Domino und Exchange...........114
Im Test: Compaq Aero 8000 und HP Jornada 820E:
Zwei Giganten mit Windows CE.....................................119
Im Test: Symantec Mobile Essentials:
Guter Geist für mobile Benutzer......................................121
Datensicherung außerhalb des Netzes:
Mobile Daten müssen sicher sein....................................122
Remote-Access-Lösungen:
Herausforderung oder Managementproblem..................125
Der mobile Administrator:
Server-Überwachung mit dem Handy.............................128
Marktübersicht: GSM-Adapter........................................130
Anbieterübersicht: GSM-Adapter....................................131
NETZWERKTECHNIK
ELEKTROMECHANISCH UNTERSCHREIBEN
Eine Alternative
zum Paßwortschutz
Das Internet, der Fernzugriff von entfernten Mitarbeitern und die An-
kann jedes Sicherheitssystem zunichte machen, etwa: wenn der Anwender mit seinem
Paßwort nicht richtig umgehen kann, ihm
seine Identifikation gestohlen wird oder
wenn er seine Identifikationen zu unsicher
verwahrt. Deshalb sucht die Branche nach
Systemen, die die Person wirklich identifizieren können, weil sie beispielsweise auf
unverwechselbaren nicht zu fälschenden
biometrischen Merkmalen basieren.
bindung von Filialen erschweren es dem Administrator, das UnternehDIE VORGABEN DER ITSEC Die EU legte
mit ITSEC “Kriterien für die Bewertung
der Sicherheit von Systemen der Informationstechnik” fest, mit ihnen soll eine europaweit einheitliche Bewertung von IT-Systemen möglich sein. Dabei ist die IT-Sicherheit als eine “Kombination aus Vertraulichkeit, Integrität und Verfügbarkeit”
definiert. Das Vertrauen in sicherheitsspezifische Funktionen bezeichnet ITSEC als
den Kollegen die Codes zu erfahren. Oder Vertrauenswürdigkeit, und diese soll soder Interessent erfährt durch Zufall oder wohl für die Korrektheit als auch für
geschicktes Fragen die Geburtstage von die Wirksamkeit sicherheitsspezifischer
Frau und Kindern, den Hochzeitstag, die Funktionen gelten. Da die meisten IT-NutNamenstage der wichtigsten Verwandten zer nicht in der Lage sind, die Sicherheit
und ähnliche Daten. Auch wird niemand der eingesetzten Systeme und Produkte
zu prüfen, sollen
dies neutrale Stellen
übernehmen. ITSEC
sieht dabei vor, daß
das Prüfungsverfahren, Evaluation genannt, objektiv und
nach genau definierten Kriterien verlaufen soll. Die ordnungsgemäße Evaluation wird nach
ihrem Abschluß von
einer
ZertifizieDruckverläufe von drei Unterschriften für ein Kennfeld
Sensor 1 bis Sensor 4 von oben nach unten
Quelle: Hesy rungsstelle wie beispielsweise dem BSI
(Bundesamt für die
einen Kollegen oder Freund des Raums Sicherheit in der Informationstechnik) beverweisen, wenn er die PIN eingibt. Mit stätigt. Bei dieser Evaluation wird auch geCodes ist es nicht anders. Von einer ver- prüft, inwiefern ein Sicherheitsmechanissteckten Kamera sei erst gar nicht die Re- mus (egal, ob Hard- oder Software-Löde. Der kriminellen Phantasie sind dabei sung) einem direktem Angriff Widerstand
keine Grenzen gesetzt und dem Leichtsinn leisten kann. Hierzu definierte ITSEC die
im Umgang mit PIN und Code auch nicht. drei Vertrauensstufen niedrig, mittel und
Die Sicherheitsmechanismen mögen noch hoch. Wird die Stärke eines Mechanismus
so sicher sein – der menschliche Faktor nach der Vertrauenstufe “hoch” geprüft,
mensnetz vor unbefugtem Zugriff zu schützen. So müssen sich die Anwender authentifizieren, um auf unternehmenskritische Bereiche im
Netz zugreifen zu können. Hierzu gibt es die unterschiedlichsten Ver-
fahren, und die meisten basieren auf Paßwörtern oder PINs (personenbezogene Identifikationsnummern). Doch es gibt auch Verfahren, die
sich sicherer verwalten lassen und komfortabler für den Anwender sind.
erkömmliche Paßwörter und PINs
haben als Zugangsschutz in Netzen
einige gravierende Schwächen. Zwar kann
sich ein Anwender mühelos eine PIN oder
ein Paßwort für eine Anwendung merken –
beides wählt er ja oft selbst aus. Doch mittlerweile arbeitet ein Anwender mit zahlreichen Anwendungen mit jeweils separatem
Paßwort- oder PIN-Schutz. Damit sie sich
diese weiterhin auswendig merken können, wählen sich viele Anwender dafür
leicht nachvollziehbare Daten wie Vornamen oder Geburtsdaten aus und setzen sie
womöglich noch einheitlich für alle Anwendungen ein. Hier hat ein Hacker leichtes Spiel! Der Anwender kann den Schutz
zwar erhöhen, indem er verschiedene PINs
und Paßwörter verwendet und diese immer
wieder wechselt. Doch dann kann er sich
sicher nicht mehr alle auswendig merken
und wird einige “sicherheitshalber” irgendwo notieren. In diesem Fall können
die PINs und Codes noch so stark verschlüsselt sein, der Hacker kann sie auf
einfache Art umgehen: Denn er erfährt via
“Social Engineering” die nötigen Zugangsinformationen für das Unternehmensnetz. Unter dieser Technik versteht
man zum Beispiel, wenn ein Mitarbeiter
versucht, durch Schnüffeln in Unterlagen,
im Schreibtisch, im Zettelkasten oder unter
der Tastatur des im gleichen Büro sitzen-
H
56
56
L AN line 1/2000
L AN line 1/2000
7
INHALT NACH THEMEN
TELEKOMMUNIKATION
Wireless Application Protocol:
Endgeräte und Anwendungen..........108
Im Test: IBM Mobile Connect 2.2
Palm-OS und CE treffen
Domino und Exchange.....................114
DM 14,- ÖS 110,-
Sfr. 14,-
Nr. 1, Januar 2000
Das Magazin für Netze, Daten- und Telekommunikation
www.lanline.de
Im Test: Symantec Mobile Essentials
Guter Geist für mobile Benutzer......121
Im Test: Compaq Aero 8000 und HP
Jornada 820E
Zwei Giganten mit Windows CE.....119
Stateful Inspection
Remote-Access-Lösungen:
Herausforderung oder
Managementproblem...................... 125
Das Magazin für Netze, Daten- und Telekommunikation
Hochverfügbarkeit
mit Marktübersicht
Firewalls
Der mobile Administrator:
Server-Überwachung mit
dem Handy........................................128
Mobile Computing
Wireless Application Protocol
Palm OS und CE treffen
Exchange und Domino
Remote-Access-Lösungen
mit Marktübersicht
GSM-Adapter
Januar 2000
Remote-Access-Lösungen:
Herausforderung oder Managementproblem.............................................125
Der mobile Administrator:
Server-Überwachung mit
dem Handy........................................128
Produkt-News.....................................48
Marktübersicht: GSM-Adapter........130
Anbieterübersicht: GSM-Adapter....131
QoS und Speed
für Wireless-LANs
Vision: 50 MBit/s
und mehr im Plan
Test im LANline-Lab:
Novanet Version 7
Backup-Software
für Netware und NT
Elektromechanische
Unterschrift
Alternative zum
Paßwortschutz
Produkt-News.....................................52
0 1
4 398039 714002
B 30673
ISSN 0942-4172
SICHERHEIT
Elektromechanisch unterschreiben:
Eine Alternative zum Paßwortschutz..56
DATENENDGERÄTE
Im Test: Compaq Aero 8000
und HP Jornada 820E
Zwei Giganten mit Windows CE.....119
Produkt-News.....................................54
SPEICHERSYSTEME
Im Test: Novanet Backup unter
Netware und NT:
Aus dem Land der Wizards................32
Vom Paketfilter zum integrierten
Firewall-Router:
Firewall-Technologien........................72
Security wird oft vernachlässigt
Einsatz von Multicast in
Unternehmensnetzen..........................80
Zentrale Systeme müssen laufen:
Hochverfügbarkeitslösungen für
Firewalls..............................................88
Hochverfügbare Sicherheit:
Eine Frage der Stabilität.....................92
Sicherheitskonzepte überprüfen:
Abwehrstrategien fürs Internet...........96
MESSTECHNIK
8
EJB für Enterprise-Applikationen:
Verteilte Verarbeitung........................60
City-IP-Netz in Frankfurt/Main:
Fünf Administratoren für
5000 Anwender...................................70
Datensicherung außerhalb des Netzes:
Mobile Daten müssen sicher sein.....122
Multicast und Sicherheit
Die Entwicklungsumgebung
Vision Jade
Automatisch programmieren..............28
Im Test: Compaq Aero 8000
und HP Jornada 820E
Zwei Giganten mit Windows CE.....119
Firewalls
Permanente Überwachung
mit Angriffs-Tools
SOFTWARE UND MANAGEMENT
MESSAGING
Im Test: Ben Hur und Team Internet:
Internet und E-Mail für die
ganze Firma.........................................22
Im Test: IBM Mobile Connect 2.2
Palm-OS und CE treffen Domino
und Exchange....................................114
Produkt-News.....................................51
PASSIVE KOMPONENTEN
Trends bei der Verkabelung:
LWL in aller Munde...........................14
Produkt-News.....................................47
HOST-ANBINDUNG
Host-Connectivity:
Verbesserungen im Detail..................18
Marktübersicht: Firewalls.................102
AKTIVE KOMPONENTEN
Serie: Einführung in die
Netzwerkanalyse (Teil 2)
Tools für die Analyse und Statistik....38
Anbieterübersicht: Firewalls............107
Datensicherung außerhalb des Netzes:
Mobile Daten müssen sicher sein.....122
Wireless LANs:
Neue Standards für mehr Speed.........10
Produkt-News.....................................55
Produkt-News.....................................50
Produkt-News.....................................46
L AN line 1/2000
NETZWERKMARKT
WIRELESS LANS
Neue Standards
für mehr Speed
Mobile Datenübertragung gehört zu den derzeit interessantesten Themen in der IT-Industrie. Dies gilt
nicht nur für Mobilfunknetze und Wireless Local
Loop, sondern in zunehmendem Maße auch für die
immer schneller werdenden drahtlosen lokalen
Netze. Deren Standardisierung kommt zügig voran,
und weitere Hersteller springen auf den in Fahrt
gekommenen Zug auf.
Das neue Jahrtausend soll
auch das Marktsegment der
Wireless LANs (WLAN) beflügeln. Dies sagen sämtliche Forschungsinstitute voraus. Nach Angaben von IDC
etwa liegt der Umsatz im
Jahr 2000 bei etwa 840 Millionen Dollar und wird auf
1,3 Milliarden Dollar im Jahr
2003 ansteigen. Der Grund
für den Boom dürfte allerdings nicht im Überspringen
der Jahrtausendmarke, sondern vielmehr in handfesten
technischen Weiterentwicklungen liegen. Dabei stehen
ausgereifte, auf internationalen Standards basierende
Produkte mit an erster Stelle
– Produkte, die eine deutlich
höhere Bandbreite zur Verfügung stellen als bislang
und dadurch neue Anwendungen wie Multimedia ermöglichen.
Die Grundlage für den
Aufschwung von WLANs
wurde dabei bereits vor etlichen Jahren gelegt und seit
diesem Zeitpunkt ständig er-
10
L AN line 1/2000
weitert. Dazu zählt die Spezifikation ETS 300328, mittels derer die technischen
Voraussetzungen für das
ISM-Band zwischen 2,4 und
2,4835 GHz definiert und die
greifende Anlagen, wobei
die betreffenden Grundstücke keine wirtschaftliche
Einheit
bilden
müssen.
Funk-LANs sind anmeldeund gebührenfrei, und die
Bedingung für die Zulassung
ist lediglich ein bestandener
Test bei einem unabhängigen, akkreditierten Testlabor
oder in Deutschland auch das
Bundesamt für Post und
Telekommunikation. Im Jahre 1997 wurde mit IEEE
802.11 der wohl bedeutendste Fortschritt erzielt, nämlich endlich ein Standard für
drahtlose LANs verabschiedet. Dieser umfaßt drei
Technologien zur drahtlosen
Datenübertragung:
– 2,4 GHz Frequency Hopping Spread Spectrum
(FHSS), 1 und 2 MBit/s,
– 2,4 GHz Direct Sequence
Spread Spectrum (DSSS),
2 MBit/s sowie
– Infrarot.
Die Vision über die Jahrtausendwende hinaus: Hiperlan/2 soll
Übertragungsgeschwindigkeiten bis über 50 MBit/s ermöglichen
Zulassungskriterien für Datenfunksysteme in diesem
Frequenzband
festgelegt
wurden. Mitte der 90er Jahre
erfolgte die Ausdehnung des
Gültigkeitsbereichs für den
Betrieb von Funk-LAN-Systemen auf grundstücksüber-
Doch vor allem in der relativ geringen Übertragungsgeschwindigkeit sahen Marktuntersuchungen – neben
nicht immer nachgewiesener
Interoperabilität zwischen
den Lösungen verschiedener
Hersteller – den Hemmschuh
für ein schnelleres Wachstum. Dies hat sich zwischenzeitlich geändert.
ÜBERTRAGUNGSRATEN
VERVIELFÄLTIGEN SICH So
hatte bereits im Frühjahr
1999
Proxim
Produkte
gemäß dem ETSI-Standard
Hiperlan Typ 1 (Wireless
Ethernet) angekündigt, der
sowohl für Europa als auch
in den USA anwendbar ist.
Nach Aussagen des Unternehmens wurde dieser Standard vor allem entwickelt,
um eine vergleichbare Wireless-Leistung wie bei leitungsgebundenen
LANs,
zum Beispiel Ethernet, zu
realisieren. Außer der hohen
Datenrate von 24 MBit/s sollen die Spezifikationen allerdings noch wesentlich mehr
bieten. Dazu gehöre in erster
Linie die Unterstützung von
Sprache, Video und Datenkommunikation mit Quality
of Service, um die Übertragung von zeitkritischen Inhalten für Multimedia-Anwendungen zu gewährleisten.
Im Herbst dieses Jahres
wurde nun das Hiperlan2
Global Forum vorgestellt,
ein Konsortium zur Entwicklung des neuen Breitbandstandards Hiperlan2. Das
Ziel ist es, bis zu Beginn des
Jahres 2002 interoperable
Produkte auf den Markt einzuführen. Hiperlan2 wird dabei nach Aussagen der in
dem Forum vetretenen Unternehmen, zu denen unter
anderem Bosch, Dell, Ericsson und Nokia gehören, im
5-GHz-Band arbeiten und
bis zu 54 MBit/s an Übertragungsgeschwindigkeit bieten. Es soll darüber hinaus
auch eine nahtlose Verbin-
dung zwischen Kommunikationsendgeräten und -netzwerken inklusive mobiler
Kommunikationssysteme
der dritten Generation herstellen. Um den Hiperlan2Standard zur Marktreife zu
führen, arbeitet das Konsortium nach eigenen Angaben
eng mit dem europäischen
Standardisierungsinstuitut
für Telekommunikation (ETSI),
insbesondere mit der Projektgruppe BRAN (Broadband Radio Access Networks) zusammen.
STANDARDS, WOHIN DAS
AUGE BLICKT Doch nicht
nur bei Hiperlan geht es voran. Gute Nachrichten gibt es
auch aus dem Lager der
IEEE-Gremien. Eine jüngst
gegründete Gruppe von
sechs in diesem Markt wichtigen Unternehmen, die Wireless Ethernet Compatibility Alliance (WECA), hat
sich auf einen neuen Hoch-
Sein Produktspektrum erweitert
hat Artem durch die Partnerschaft
mit Radiolan
geschwindigkeitsstandard
verständigt. Zu den Firmen
zählen 3Com, Aironet, Intersil, Lucent Technologies,
Nokia und Symbol Technologies. Hinzugestoßen ist
noch Breezecom. Der IEEE
802.11 High Rate (HR) homogenisiert die Technik im
gängigen 2,4-GHz-Frequenzbereich bei 11 MBit/s Komponenten. Der Standard
deckt auch die RoamingFunktionalität ab. Damit ist
laut WECA die Interoperabilität unterschiedlicher Produkte gewährleistet, was
dem Anwender Entscheidungssicherheit und Investitionsschutz gibt.
Geräte, die der Norm IEEE
802.11 HR entsprechen, dürfen das Logo Wi-Fi (Wireless Fidelity) tragen. Dies
gilt beispielsweise bereits
für die entsprechenden Artem-Produkte.
SWAP FÜR DIE KOMMUNIKATION ZWISCHEN PC UND
ELEKTRONISCHEN GERÄTEN
Um eine breite Auswahl von
elektronischen Gebrauchsartikeln drahtlos untereinander
zu verbinden, wurde bereits
vor einigen Jahren eine spezielle Arbeitsgruppe, Home
RF, geschaffen, der heute bereits mehr als 90 Hersteller
angehören.
Der propagierte offene Industriestandard (SWAP) soll die
drahtlose digitale Kommunikation zwischen PCs und
elektronischen Geräten sicherstellen. Die Spezifikation definiert dazu eine allgemein verfügbare Schnittstelle zur drahtlosen Sprach- und
Datenkommunikation
im
Umfeld privater Haushalte.
Produkte, die dem SWAPStandard entsprechen, werden, so die Gruppe, mit einer
Frequenz von 2,4 GHz nach
dem FH-Verfahren (Frequency Hopping) arbeiten.
Mitglieder der Home RFArbeitsgruppe sind unter
anderem
Ericsson,
HP,
IBM, Microsoft, Intel und
Proxim.
L AN line 1/2000
11
NETZWERKMARKT
INCUMBENTS UND NEWCOMER Nicht nur etablierte,
sondern auch neue Unternehmen sehen im WirelessLAN-Markt zunehmend Erfolgschancen.
Zu den Newcomern zählt
etwa 3Com, das seine Airconnect Familie für standardbasierende,
drahtlose
Highspeed-Netzwerklösungen im Rahmen der diesjährigen Networld+Interop-Messe
in Las Vegas präsentierte – und
dabei eng mit Symbol zusammenarbeitet.
Die Produktfamilie für das
Wireless LAN besteht aus
Netzwerkkarten, PC-Cards,
Empfängern und Management-Software. Das Ganze
basiert auf dem zukünftigen
IEEE 802.11 HR-Standard.
Mit einer Geschwindigkeit
von 11 MBit/s und voller
Kompatibilität zu herkömmlichen,
drahtgebundenen
Ethernet-Netzwerken
soll
die Funktechnologie vielen
Branchen, zum Beispiel dem
Medizin-Bereich, besonders
anwenderfreundliche Lösungen eröffnen.
Bei der 3Com-Lösung bildet ein Airconnect Access
Point
(Empfänger)
die
Brücke zwischen dem vorhandenen Netzwerk und bis
zu 63 drahtlosen Clients.
Eine Verbindung in üblichen Büroumgebungen soll
bis zu etwa 60 Meter problemlos möglich sein. Eine
Roaming-Funktion erlaube
das Wechseln zwischen den
Bereichen zweier Access
Points, wobei der Client immer mit dem jeweils signalstärksten Empfänger verbunden werde.
Auch Nokia zählt eher zu
den Debütanten im WLANMarkt. Mit den Wireless-
12
L AN line 1/2000
LAN-Komponenten Nokia
A020 Access Point und Nokia C020/C021 WirelessLAN-Karten will das finnische Unternehmen auch in
wurde auf der diesjährigen
Networld+Interop in Atlanta
vorgestellt. Die Lösung arbeitet im 2,4-GHz-Band und
soll Übertragungsraten bis
Es geht deutlich aufwärts – das prognostizieren die Marktauguren dem
Wirless-LAN-Segment
Quelle: IDC
diesem Segment des Mobilmarkts Fuß fassen. Die IEEE-konformen Produkte, die
nach dem DS-Verfahren arbeiten, erlauben derzeit eine
Übertragungsrate von bis zu
2 MBit/s und sollen sich laut
Nokia allerdings einfach auf
höhere Transferraten aufrüsten lassen. Die Lösung
MW111, auf der diesjährigen Telecom in Genf präsentiert, soll es nach Angaben
des Unternehmens erlauben,
durch die Verknüpfung von
ADSL und Wirless LAN den
Zugang zu Internet-Services
herzustellen. Das Produkt
wendet sich vor allem an private Nutzer und Small Offices/Home Offices. Es ermögliche Nutzern neben der
drahtlosen Internet-Nutzung
den Zugriff auf gemeinsame
Ressourcen im Büro oder
Haus.
Mit Ericsson hat ein weiteres nordisches Unternehmen
den Markt für drahtlose Netze betreten. WLAN Hot Spot
maximal 3 MBit/s bieten.
Als besondere Features benennt Ericsson die Integration von Standardprotokollen für eine sichere Datenübertragung. Ericsson plant
– als Gründungsmitglied des
entsprechenden Forums – in
Zukunft aktiv an einer Hiperlan/2-Lösung zu arbeiten.
wodurch das Angebotsspektrum weiter ausgebaut werden soll. Radiolan bietet
Bridges mit 800 Meter und
1,6 Kilometer Reichweite
und Funk-LAN-Komponenten für 10 MBit/s EthernetGeschwindigkeit. Damit verfügt Artem jetzt neben der
2,4-GHz-Produktlinie über
Systeme im 5,8-GHz-Frequenzbereich, der ausschließlich von Radiolan genutzt
wird. Vorteile ergeben sich
nach Angaben des Unternehmens durch den sehr hohen
Nettodatendurchsatz bei datenintensiven Anwendungen
und durch die Verfügbarkeit
eines weiteren Frequenzbands, was die räumliche
Überschneidung zweier unabhängiger LANs erlaubt.
Als Ergänzung seiner Wireless-Lösungen will Cabletron Systems seine neue
Roamabout Wireless Bridge
verstanden wissen. Die gebäudeübergreifende Bridge
basiert auf dem Industriestandard IEEE 802.11. Sie
minimiert laut Cabletron den
Zeitaufwand und Unterbre-
Vertrauen schaffen in die neue schnelle Technologie will die Wireless
Ethernet Compatibility Alliance (WECA)
NEUE
KOOPERATIONEN
UND PRODUKTE Zur Expo-
net’99 in Düsseldorf hat Artem seine neu eingegangene
Partnerschaft mit Radiolan
bekanntgegeben. Das OEMAbkommen sieht den Einsatz
der 10BaseRadio-Technologie in Artem-Produkten vor,
chungen, die bei der Installation von drahtlosen Verbindungen zwischen Gebäuden
auftreten können. Sie überbrücke eine Distanz von etwa neun Kilometern bei 2
MBit/s oder bis rund zwölf
Kilometern bei 1 MBit/s.
Darüber hinaus bietet die
Brücke SNMP- und RMON-
NETZWERKMARKT
Funktionalität. Upgrades auf
Produkte, die auf dem höheren 11-MBit/s-Standard basieren, würden unterstützt.
Auf der diesjährigen Telecom präsentierte Breezecom
sein IP Broadband Wireless
Local Loop (BWLL) Datenund Sprachsystem Breezeaccess.
Damit können ISPs und
Service Provider laut Hersteller ihren Teilnehmern
drahtlose Highspeed-Dienste
mit IP-Connectivity zu attraktiven Preisen anbieten,
darunter
Internet-Zugang
mit hohen Geschwindigkeiten, Virtual Private Networks (VPN) ebenso wie
hochwertige Telefoniedienste. Breezeaccess übertra-
Web-Adressen der
genannten Institutionen
und Firmen:
Institutionen:
www.hiperlan2.com
www.homerf.org
www.wlif.com
www.wirelessethernet.org
Unternehmen:
www.3com.com
www.nortel-dasa.de
www.lucent.de
www.artem.de
www.cabletron.com
www.radiolan.de
www.proxim.com
www.lucent.de
www.symbol.com
www.nokia.com
www.breezecom.com
www.floware.com
www.ericsson.com
ge drahtlos paketvermittelte
Dienste, die auf den H.323Protokollen basierten. Die
Teilnehmer erhielten Online-Verbindungen zum Netzwerk mit Datenraten bis 3
MBit/s und System-Ressour-
14
L AN line 1/2000
cen würden nur dann beansprucht, wenn Informationen
übertragen werden müßten.
Eine ähnliche Zielgruppe
wie Breezecom adressiert
Floware Wireless Systems
mit seinem Walkair-PMPSystem (drahtloser Access
über Point-to-Multipoint),
ebenfalls während der Telecom in Genf zu sehen. Dabei
handelt es sich allerdings um
ein reines Access-System für
ISPs und Telcos (Star One ist
einer der Anwender dieses
Systems in Deutschland. Das
Unternehmen bietet seinen
Kunden damit WLL-Zugänge an) und ist als solches
auch in völlig anderen Frequenzbändern zu Hause.
Walkair PMP – in Deutschland übrigens durch Floware-Partner Siemens vermarktet – unterstützt 3,5 und
26 GHz. Die Datenrate beträgt 2 MBit/s.
Die jüngst von Proxim
vorgestellte
SymphonyCordless Networking Suite
arbeitet im Frequenzband 2,4
GHz und nutzt die SpreadSpectrum-HF-Technologie
mit Frequenzsprung. In ein
und derselben Funkzelle, die
innerhalb von Gebäuden eine Reichweite von bis zu 45
Metern bietet und damit für
kleine Büros oder Einfamilienhäuser ausreicht, werden
Datenübertragungsraten von
1,6 MBit/s erzielt. Symphony wird mit Treiber-Software für die Betriebssysteme
Windows 95, Windows 98
und Windows NT 4.0 geliefert. Die Produktfamilie basiert auf Proxims Rangelan2Produkten, die im Jahr 1994
als erste Technologie für das
Frequenzband 2,4 GHz auf
den Markt kamen.
(Thomas Schepp/sm)
TRENDS BEI DER VERKABELUNG
LWL in
aller Munde
Die Telecom in Genf brachte einen Innovationsschub
in die Verkabelungsbranche und sorgte für viel Neues,
vor allem im Bereich der Glasfaserverkabelung.
Von diesen Lösungen für MANs und WANs profitieren auch die Unternehmensnetze.
So bieten mittlerweile einige Hersteller auch in Europa
die in Amerika häufig verwendeten Ribbon-Kabel an.
Der französische Hersteller
Acome verwendet zum Beispiel für sein Glasfasersystem
Oslo vier- bis achtfasrige Ribbon-Kabel für die Verteiler
kleiner und leichter als gängige Bündeladerkabel. Im Sekundär- und Campus-Bereich
sind die Kabel wie gewohnt
rund, enthalten aber im Kern
einen Stapel solcher Ribbons
(Compact Tubes). In der Regel sind das bei Acome vier
Lagen mit vierfasrigen Rib-
Bisher lassen sich Singlemode-Fasern wegen ihres Wasseranteils nicht
im Bereich um 1400 nm nutzen (gestrichelte Linie). Lucent erreichte
durch einen besonderen Reinigungsprozeß, daß seine Allwave-Faser
durchgängig im Bereich von 1280 nm bis über 1625 nm nutzbar ist.
und die Etagenverteilung.
Ribbons sind Fasern, die von
einem hauchdünnen Material
umhüllt sind. Für die Tertiärverkabelung besitzen sie zudem eine Zugentlastung und
einen Mantel und sind somit
bons, und für den Außenbereich besitzen die Kabel einen
robusteren Aufbau als für den
Steigleitungsbereich. Compact Tubes haben den Vorteil,
daß mit ihnen Massenspleiße
möglich sind, die die Spleiß-
NETZWERKMARKT
zeiten deutlich reduzieren sollen. Zudem sollen mit dieser
Kabelkonstruktion Kabel mit
bis zu 1400 Fasern möglich
sein. Und da sich aus dem
Ribbon einzelne Fasern einfach abspalten lassen, können
diese auch wie herkömmliche
Einzelfasern behandelt werden.
Das Acome-System enthält
neben den LWL-Kabeln entsprechende Anschluß-, Verteiler- und Montagekomponenten. Oslo soll sich sowohl
für Unternehmens- als auch
für Stadtnetze eignen.
Mit dem Allwave-Advantage-System adressiert Lucent
dagegen vor allem Betreiber
von Stadt- (MANs) und Kabel-TV-Netzen. Kern des Ende-zu-Ende-LWL-Systems ist
das Allwave-LWL-Kabel. Es
basiert auf Singlemode-Fasern und der Ribbon-Technik
und soll sich auch für 10GBit/s-Anwendungen eignen.
Die Fasern werden bei ihrer
Fertigung einem patentierten
Reinigungsprozeß unterzogen
und enthalten damit so gut
wie keine Hydroxyl-Moleküle mehr. So kann bei ihr
auch der bisher nicht nutzbare
Wellenlängenbereich
um
1400 nm genutzt werden. Damit stehen dem Netzbetreiber
angeblich bis zu 60 Prozent
mehr nutzbare Wellenlängen
zur Verfügung. Das heißt, er
kann laut Hersteller mehr als
120 Kanäle für das Multiplexing nutzen oder den Abstand
zwischen den verwendeten
Kanälen aufweiten und eine
preiswertere MultiplexingTechnik einsetzen.
Lucent verwendet die Faser
für Ribbons und bietet sie
auch als Compact-Tube-Kabel an. Zudem steht mit dem
Allwave-Advantage-System
16
L AN line 1/2000
eine Anschlußtechnik zur
Verfügung, bei der die Reflexionen und Dämpfungsverluste an den Verbindungsstellen
minimal sein sollen, so daß
das volle Spektrum von 1280
nm bis 1625 nm nutzbar ist.
Info:
Acome
Tel.: 02102/420-0
Web: http://www.acome.de
Lucent Technologies
Tel.: 0228/243-2520
Web: http://www.lucent.de
AUF LWL UMSTEIGEN Zahl-
reiche neueren Produkte zielen auch darauf ab, den Umstieg von Kupfer auf Glasfaser zu erleichtern. So steht
Huber + Suhner hier stellver-
Hersteller von aktiven Komponenten sie ohne große Probleme in ihre Standardgehäuse integrieren können. Deshalb werden diese Verbindungen auch hauptsächlich für
den Anschluß der aktiven
Komponenten genutzt. Huber
+ Suhner setzt dabei auf das
MT-RJ-System.
Doch der Anwender muß
nicht unbedingt eine neue
Verbindungstechnik einsetzen, um preiswerte aktive
Komponenten mit LWLSchnittstelle zu erhalten.
Surecom will mit seinem
LWL-Adapter für 10/100Ethernet den Umstieg von
Gerät sowohl an Glasfasernetze als auch an Kupfernetze
angeschlossen werden kann.
Info:
Huber + Suhner
Tel.: 089/61201-0
Web: http://www.hubersuhner.com
EFB Elektronik
Tel.: 0521/40418-0
Web: http://www.efb-elektronik.de/
katalog/surecom.htm
MULTIMEDIANETZ IN KUPFER Da es aber trotzdem An-
wender gibt, die selbst bei Multimedia-Anwendungen nicht
auf das Kupfernetz verzichten
möchten, bietet Kerpen für
seine Eline-600-Verkabelung
(SSTP-Kabel mit vier einzelgeschirmten Adernpaaren plus
Multimedia-Steckverbinder
von BKS) einen Vierfach-TVBalun an. Damit können Unternehmen ihr LAN an das TVKabelnetz anschließen.
Der Balun verfügt auf der einen Seite über einen StandardF-Koaxeingang und auf der anderen über vier Twisted-PairEline-600-Ausgänge (BKSMultimediasteckverbinder)
und ist als Einsatz für Verteilerfelder konzipiert. Ein Patchpanel faßt bis zu acht solcher Module auf einer Höheneinheit.
Info:
Kerpen
Tel.: 02402/17-0
Web: http://www.kerpen.com
ISDN ÜBERS LAN Ackermann
ISDN Star 1/4 ist ein Exemplar der neuen ISDN-Hubs, die eine zusätzliche Verlegung des ISDN-Busses unnötig machen
tretend für viele Systemanbieter, die ein vorkonfektioniertes Fiber-to-the-Desk-System
mit sogenannten Small-FormFactor-Steckverbindungen in
ihr Programm genommen haben. Diese Steckverbinder
und auch ihre Transceiver haben die Abmaße von RJ45Komponenten, so daß die
Kupfer auf Glasfaser sogar
noch weitgehender erleichtern: Die Karte kostet beim
deutschen Distributor EFB
Electronic unter 230 Mark
und besitzt einen Duplexanschluß für 100Base-FX-Glasfasernetze (SC oder ST) und
zudem einen RJ45-Port für
10/100Base-TX, so daß das
präsentierte diesen Herbst einen ISDN-Hub für die sternförmige LAN-Verkabelung.
Der S0-Hub arbeitet im Grunde
wie ein Stern-4-Verteiler und
eignet sich für kleine Büros
oder für den Heimarbeiter. Er
erspart die Verlegung eines separaten ISDN-Busses, und der
Anwender schließt ihn entweder direkt an den NTBA an
oder an die interne S0-Schnittstelle der TK-Anlage. Der Anwender kann dann bis zu vier
ISDN-Endgeräte oder auch
Router an die vorhandenen
analogen Leitungen anschließen.
Der ISDN-Hub regeneriert
die S0-Signale, so daß die üblichen Reichweiten eines S0Busses deutlich übertroffen
werden. Versorgt wird der Hub
über ein Standardsteckernetzteil. Der S0-Hub von Ackermann kostet 210 Mark. Eine
ähnliche Lösung brachte auch
Telegärtner mit dem ISDN Star
1/4 auf den Markt. Dieses System enthält zudem die Verkabelung inklusive Verteiler und
Patch-Kabel. Ein Endgerät
kann hier bis zu 180 Meter von
dem NTBA entfernt sein, wird
das System allerdings in die
strukturierte Verkabelung integriert, sind laut Norm nur maximal 100 Meter möglich.
Beim ISDN Star 1/4 erfolgt die
Versorgung amtsgespeist. Der
erste Anbieter auf diesem
Markt war allerdings Trunknet
Ingenieurbüro Schulz mit dem
Ihub, den es in einer Ausführung mit vier und acht Ports
für einen S0-Anschluß gibt.
Zudem verfügen die Geräte
über einen weiteren NT-Port
(Daisy Chain), an den der Anwender ein weiteres Endgerät
oder einen weiteren Ihub
anschließen kann. So lassen
sich laut Hersteller bis zu 64
Endgeräte an einen S0-Port
anschließen. Auch bei diesen
Geräten erfolgt die Versorgung
über den NTBA. Die zugrundeliegende Technik ist im LANline-Sonderheft Verkabelung
1999 ab Seite 64 beschrieben.
Info:
Ackermann
Tel.: 02261/83-0
Web: http://www.ackermann.com
Telegärtner
Tel.: 07157/125-100
Web: http://www.telegärtner.com
Trunknet Ingenieurbüro O. Schulz
Tel.: 06071/962630
Web: http://www.trunknet.de
NETZWERKSCHRÄNKE Der
Schrankhersteller
Schäfer
stellte diesen Herbst eine
komplette Schrankfamilie
für Netzwerke vor. Die NTRack-Reihe bietet alles vom
60 Zentimeter hohen Untertischschrank bis zum zwei
Meter hohen Netzwerkschrank.
Diese kann der Anwender
durch Lösen von vier
Schrauben in eine vordere
und hintere Rahmenhälfte
trennen. Dabei bleiben Tür
und 19-Zoll-Ebene in der jeweiligen Rahmenhälfte montiert. Mit dieser Lösung sollen auch schwer zugängliche
Aufstellorte erreichbar sein.
Die Schränke sind in 18
Größenvarianten mit unterschiedlichsten Ausstattungsmerkmalen und auch vormontiert lieferbar.
Für kleine Netze und Unterverteiler enthält die Familie NT-Boxen für die Wandmontage. Auch hier wurde
die Zugänglichkeit optimiert. So kann der Anwender
nach dem Öffnen der Tür
diese ohne Werkzeuge abnehmen und dann die Seitenwände der Box nach vorne
herausziehen, so daß das Innenleben von drei Seiten zugänglich ist. Die Kabelzuführung erfolgt über Dach
oder Boden durch eine Bürstenleiste. Die Boxen bieten
Platz für 6 bis 18 Höheneinheiten (HE) und kosten zwischen 300 und rund 500
Mark.
Die Server-Schränke der
NT-Reihe sind 600 mm breit,
900 mm tief und zwischen
1200 mm (25 HE) und 2000
mm (43 HE) hoch und eignen sich zur Aufnahme von
Servern, USVs, Monitoren,
Monitorumschalter und Ta-
staturen. Eine Spezilität ist
hierbei der ausziehbare unterste Fachboden. Da er mit
einer stabilisierenden Rolle
ausgestattet ist, eignet er sich
auch für schwere Geräte über
100
Kilogramm.
Diese
Schränke kosten zwischen
rund 1500 und unter 1700
Mark.
Info:
Schäfer Gehäusesysteme
Tel.: 0351/2531-725
Web: http://www.schaefergehaeuse.de
PLATZSPARENDE
ANSCHLUSSLEISTEN Die Ver-
bindungstechnik
Rapid
Contact von Feistkorn &
Wolf soll den Platzbedarf für
Verbindungen auf Telekommunikationsverteilern halbieren.
Für den Anschluß einer
Ader soll diese Technik
kaum mehr als Leitungs-
und klemmt ihn großflächig
gegen die Kontaktschiene.
Durch einen Druck auf die
Rastnase der Klemmscheibe
ist der Kontakt wieder lösbar
und kann beliebig wieder
neu beschaltet werden. Die
Technik eignet sich für
Drahtdurchmesser von 0,4
bis 0,8 mm. Die Kontaktschiene besteht aus einer
Kupferlegierung und ist beschichtbar.
Das Isoliergehäuse besteht
aus Kunststoff (PBT) mit
Glasfaseranteil. Der Hersteller bietet für die Netzwerktechnik 10- bis 40polige Anschlußleisten an, die zu handelsüblichen Anschlußleisten kompatibel sein soll. Sie
können auch komplett mit
Montagewanne und Gehäuse
geliefert werden.
Sowohl die Anschlußleisten als auch die Patchpanels
Die Rapid-Contact-Anschlußleisten von Feistkorn & Wolf bieten die
doppelte Packungsdichte wie herkömmliche Leisten
durchmesser benötigen. Zudem entspricht sie laut Hersteller den Kategorien 5 und
6. Und so funktioniert sie:
Der Anwender führt das
Kabel mit einem Werkzeug
definiert in den Verbinder
ein. Dort isoliert eine
Klemmscheibe den Draht ab
sind in 19-Zoll-Technik ausgeführt und eignen sich, so
der Hersteller, für den
Primär-, den Sekundär- sowie den Tertiärbereich.
(Doris Behrendt)
Info:
Feistkorn & Wolf
Tel.: 0951/9649110
http://www.rapidcontact.de
L AN line 1/2000
17
NETZWERKMARKT
HOST-CONNECTIVITY
Verbesserungen
im Detail
Der Trend im Bereich der Großrechneranbindung
geht weiterhin in Richtung einheitliche Verwaltung
und Integration der diversen Emulationsprodukte.
Ein weiterer Fokus liegt auf der nahtlosen Einbindung vor allem von Thin Clients in unternehmensweit eingesetzten Applikationen. Dies spiegelt sich
auch in den jüngst vorgestellten neuen Releases
einschlägiger Produkte wider, die dahingehend
erweitert wurden.
Der Markt der MainframeAnbindung “brummt” vor allem im Segment der Web-toHost-Connectivity. Im Vergleich zum Vorjahr wuchs diese Sparte um 370 Prozent auf
112 Millionen Dollar. Das
enorme Wachstum soll nach
Angaben
des
Marktforschungsinstituts IDC auch weiterhin anhalten und bereits in
vier Jahren die Schwelle von
1,2 Milliarden Dollar überschreiten. Revolutionäre Neuerungen sind bei den Produkten
derzeit allerdings nicht in
Sicht. Vielmehr reifen die vorhandenen Lösungen mit steigendem Release-Stand.
So hat etwa Logics Software
seine Web-to-Host-Software
ab der Version 4.3 um Serveit
(Serverbased Integration Tool)
ergänzt. Mit diesem Add-on
sollen sich Host-Dialoge automatisieren und für den Anwender unsichtbar direkt auf dem
Server abarbeiten lassen. Alle
Eingabewerte werden nach
Aussagen von Logics Software
18
L AN line 1/2000
bereits dort automatisch in die
entsprechende Syntax umgewandelt und in Host-Masken
eingetragen. Erst wenn der
Host-Dialog abgeschlossen sei
und alle relevanten Daten zur
Verfügung stünden, würden
diese in ein HTML-Formular
übernommen und über den
Log-Web-Server an den ClientBrowser ausgegeben. Damit
stellt Logics eine Alternative
zum eigenen Tool Doit (Development Online Integration
Tool) vor, das es IT-Verantwortlichen erlaube, Host-Anwendungen modifiziert darzustellen, Ablauflogiken zu vereinfachen und somit anwenderfreundlich im HTML-Format zur Verfügung zu stellen.
INTEGRATION WICHTIGER
VERZEICHNISSTANDARDS
Attachmate kündigte auf der
diesjährigen Systems eine neue
Version seines e-VantageHost-Access-Servers an, der
sich nahtlos in die bestehenden
Verzeichnisstrukturen von Un-
ternehmens-IT einbinden lassen soll. Dazu unterstütze der
Host-Access-Server gängige
Verzeichnisstandards wie das
Lightweight Directory Access
Protocol (LDAP), den Netware-Directory-Service (NDS),
den
NT-Directory-Service
(NTDS) und den Network-Information-Service (NIS), so
daß der Implementierungsaufwand deutlich sinke. Unternehmensdaten auf Host-Systemen
ließen sich innerhalb eines Tages für Zulieferer, Partner, Mitarbeiter und Kunden zugänglich machen, wodurch ein
schneller Einstieg in das E-Business möglich sei. Neben den
Verzeichnisstandards ist in den
Attachmate-e-Vantage-HostAccess-Server neu auch das
sogenannte Hot-GUI standardmäßig integriert: Host-Screens
sollen sich damit automatisch
in grafische Seiten (GraphicalUser-Interface, GUI) umwandeln lassen. Dafür müsse lediglich ein Java-Applet einmalig
auf den PC des Anwenders geladen werden. Unternehmen
können ihre traditionellen
Host-Masken damit leicht und
flächendeckend in intuitiv bedienbare Benutzeroberflächen
verwandeln – ohne aufwendige
und kostspielige Applikationsentwicklung. Die E-BusinessLösung von Attachmate läuft
sowohl unter Windows NT als
auch unter Unix. Sie bietet in
der Version 2.2 Support für Java-, ActiveX- und HTMLClients. Hinsichtlich der Datenverschlüsselung unterstützt
der Host Access Server das
HTTPS- und das SSL-Protokoll. Über eine zentrale Managementkonsole läßt sich laut
Attachmate die Host-Integration zentral verwalten.
Neu von Attachmate ist auch
die Version 4.1 des PC-X-Ser-
vers Kea X. Neben der leistungsfähigen Unix-Connectivity ermöglicht die Lösung
jetzt auch den Zugriff auf
AS/400- und Mainframe-Daten sowie VT-Applikationen
über Windows-95/98- und
Windows-NT-PCs. Kea X 4.1
ist damit ein vielseitiges
Connectivity-Paket für MultiHost-Umgebungen. Zum Umfang des Produkts gehören
auch eine Vollversion von Kea
420 und eine Reihe von
TCP/IP-Anwendungen.
Hummingbird hat jüngst die
Version 2.0 des Host-Explorer
Web und Exceed Web vorgestellt. Dabei handelt es sich um
Web-to-Host- und Thin-X-Lösungen, die einen erweiterten
Zugriff über Internet, Intranets
und Extranets bieten. Zu den
neuen Funktionen gehören
unter anderem die Integration
der SOCKS-Technologie von
Hummingbird in den Middle
Tier Server Jump, welche die
gesicherte Anbindung von Extranets an das unternehmensweite Netz sicherstellt, ohne
dabei die Firewall-Funktion zu
schwächen sowie SSL 3.0- und
RSA-basierte Sicherheit. Der
Host-Explorer Web kann
laut Hersteller auch mit jedem vorhandenen SSL-fähigen TN3270(E)-Gateway wie
Netware for SAA von Novell
oder Communications Server
von IBM kommunizieren. Die
neuen Versionen 6.2 der Exceed-, Host-Explorer- sowie
NFS- Maestro-Produktreihen
sind jetzt Jahr-2000-konform
und bieten zusätzliche Funktionen wie die Euro-Unterstützung und HummingbirdUpdate.
(Thomas Schepp/sm)
Info:
www.attachmate.de
www.hummingbird.com
www.logics-software.de
RAD Group
gründet Iprad
QS Communications
startet SDSL
Als fünfzehntes Unternehmen innerhalb der israelischen
RAD Group soll Iprad Produkte im Bereich IP-over-SONET/SDH entwickeln und vermarkten. Diese Produkte integrieren Sprache und Daten
über öffentliche IP-Netzwerke
der nächsten Generation und
sind damit wichtige Bestandteile beim Bau solcher neuen
Netzwerke. Die RAD Group
ist eine Familie unabhängiger
Unternehmen, die Lösungen
für unterschiedliche Segmente
der Vernetzungs- und Telekommuikationsindustrie entwickeln, produzieren und vermarkten. Im Jahre 1998 betrugen die Umsätze der Gruppe
rund 320 Millionen Dollar. Zur
Telekom in Genf hatte RAD
Data Communications, die erste Company der RAD Group,
die Gründungsveranstaltung
des neuen TDM-over-IPForums initiiert, an der über 30
Vertreter europäischer und
nordafrikanischer Telefongesellschaften, internationaler
Systemintegratoren aus den
USA und Europa sowie
führender Hersteller wie
3Com, Packet Engines/Alcatel, Adtran und Toledo teilnahmen. Das Forum wird von
RAD, dem schwedischen Carrier Telia und Toledo gesponsert. Das Forum soll sich Themen widmen, die aus der Notwendigkeit entstehen, leitungsvermittelte Verbindungen über
IP-Infrastrukturen der nächsten
Generation zu emulieren, und
für den Informationsaustausch
über Anwendungen und Projekte sorgen. (sm)
Mit einer für den deutschen
Markt neuen breitbandigen Internet-Zugangstechnologie
startet in Köln das Telekommunikationsunternehmen QS
Communications AG. Mit einem Budget von insgesamt etwa einer halben Milliarde Mark
will das Unternehmen bis Ende
2000 in 40 bundesdeutschen
Städten präsent sein. Technologische Basis für Speedway ist
SDSL (Symmetric Digital Subscriber Line). SDSL liefert
Übertragungsraten von bis zu
2,3 MBit/s – und das symmetrisch im Up- und Downstream.
“Das ist ideal für die LANKoppelung und sonstige Intranet-Anwendungen, für Videoconferencing,
Telelearning
oder Web Hosting“, erklärt Dr.
Bernd Schlobohm, Vorstandsvorsitzender der QSC. “SDSL
ist anderen Technologien unter
anderem überall dort überlegen, wo es um den gegenseitigen Austausch großer Datenmengen geht.“ Anders als
bei ADSL muß das Sprachsignal bei SDSL nicht durch einen
analogen Splitter vom Datensignal getrennt werden, sondern
kann als Bestandteil der DSLDaten mit übertragen werden.
Ein weiteres Leistungsmerkmal: Speedway-User sind “always on” – die Leitung ist damit immer verfügbar. Infrastrukturseitig und technologisch wird QSC umfassend von
Lucent Technologies unterstützt. In den sogenannten Kollokationsräumen, in denen die
Leitungen der Deutschen Telekom “entbündelt” werden,
übernimmt QSC auf Basis der
von Lucent entwickelten DSLZugangskonzentratoren
die
Kupferdoppelader der Kunden
Info:
RAD Data Communications
Tel.: +972-36458107
Web: www.rad.com
L AN line 1/2000
19
PERSONALKARUSSEL
NETZWERKMARKT
BETTINA KÖLBLINGER verstärkt ab sofort das
Sales-Team des Business-Intelligence-Anbieters
SEAGATE SOFTWARE. In ihrer Position als
Partner-Account-Managerin Central and Eastern
Europe ist sie vorwiegend Ansprechpartnerin für
alle Corporate Reseller des Herstellers. (sm)
MICHAEL WOLTER leitet jetzt die Geschäfte der
BANYAN SYSTEMS GMBH. Als Geschäftsfüh-
rer und Country Manager Deutschland, Österreich
und Schweiz will WOLTER die eingeschlagene
Richtung BANYANS von einer Produktfirma zum
Beratungs- und Lösungsanbieter weiter forcieren.
(sm)
VALENTIN BOVO ist zum Business Development Manager der Document Division des schwedischen Unternehmens AXIS COMMUNICATIONS berufen worden. In dieser Position ist er
für sämtliche Belange der Document Division in
Deutschland, Österreich sowie der Schweiz verantwortlich. Zu seinen Aufgaben gehört die Betreuung der Distributoren und der Ausbau des
Partnerprogramms. (sm)
und macht sie SDSL-fähig. Alles, was auf Kunden- oder Anschlußseite nötig wird, ist ein
DSL-Router. Die Datenübertragung beim QSC Speedway
erfolgt über ATM. (sm)
Info:
QS Communications AG
Tel: 0221/6698-011
Web: www.qsc.de
Cisco
übernimmt Aironet
Cisco Systems gibt ein verbindliches Abkommen zur
Übernahme von Aironet Wireless Communications bekannt.
Das Unternehmen aus Akron,
Ohio (USA), hat sich auf Highspeed-Zugangsprodukte
für
drahtlose LANs spezialisiert.
Durch die Übernahme erweitert
Cisco sein Angebot um standardbasierte drahtlose Lösungen für mobile Anwender. Das
Abkommen sieht vor, daß alle
Aktien, Optionsscheine und
Bezugsrechte von Aironet gegen jeweils 0,637 Aktien von
20
L AN line 1/2000
Cisco getauscht werden. Bei
Börsenschluß am 8. November
lag der Aktienkurs von Cisco
bei 75 5/16 Dollar, so daß die
Transaktion einen Gesamtwert
von 799 Millionen Dollar erreicht. Aironet Wireless Communications wurde 1993 gegründet. Die 131 Mitarbeiter
unter Leitung von CEO Roger
Murphy werden in die Desktop
Switching Business Unit innerhalb der Small/Medium Line of
Business von Cisco eingegliedert. Nach der Übernahme von
Aironet setzt Cisco seine “New
World”-Strategie im Bereich
drahtloser Netzwerke zur mobilen Unternehmenskommunikation um. Zur Produktpalette
von Aironet Wireless Communications gehören drahtlose
Adapterkarten und “Access
Points” (Zugangspunkte) als
Schnittstelle zu verkabelten Infrastrukturen und zur drahtlosen Übertragung von LANTraffic. Zudem gilt Aironet als
innovativer Entwickler drahtlo-
ser Bridges für Punkt-zuPunkt- und Punkt-zu-Multipunkt-Verbindungen zwischen
mehreren Gebäuden. (sm)
Info:
Cisco Systems GmbH
Tel.: 06196/479-0
Web: www.cisco.de
Novell kündigt
Netware 5.1 an
Die neue Novell Netware
5.1 ist ab sofort in der offenen
Beta-Testphase. Mit der Version 5.1 hat sich das Betriebssystem für die Unterstützung
von offenen Web-basierenden E-Business-Applikationen fit gemacht. Eine weitere
wichtige Neuerung ist das
Management von Netzwerken und Ressourcen über das
Internet. Netware 5.1 nutzt
das Potential der Novell Directory Services Version 8
(NDS 8) und soll so die Verwaltung heterogener Netzwerke und des Internets erleichtern. Die Software unterstützt nativ das Hypertext
Transfer Protocol (HTTP),
das von Web-Servern und
Browsern zur Kommunikation im Internet benutzt wird.
Durch die Unterstützung von
HTTP können Anwender
zum Beispiel auf Dateien von
Microsoft Office 2000 in
Web-Verzeichnissen zugreifen und für die Sicherheitsund Managementfunktionen
der Web-Dienste die NovellDirectory-Services verwenden. Mit Netware 5 wurde
nach Unternehmensangaben
eine der schnellsten Java Virtual Machines (JVMs) des
Markts eingeführt. Netware
5.1 soll hier mit einer weiter
optimierten JVM für Unternehmen anknüpfen, die auf
Java-Applikationen setzen.
Zusätzlich zu den integrierten
NDS 8 unterstützt Netware
5.1 nativ das Lightweight Directory Access Protocol Version 3 (LDAP v3). Über dieses Standardprotokoll können
Anwender auf die Informationen verschiedener Verzeichnisdienste zugreifen. (sm)
info:
Novell GmbH
Tel. 0211/5631-3205
Web: http://www.novell.de
Accord Networks
im Bilde
Accord Networks, einer der
führenden Hersteller von interaktiven, visuellen EchtzeitKommunikationssystemen, hat
die Accord Realtime Enabling
Network Architecture (Arena)
vorgestellt. Mit Hilfe dieser Architektur ist die Erweiterung
bisheriger sprach- oder datenbasierender
Kommunikationstrukturen in Netzwerken
auf Bild-/Videokommunikation einfach zu realisieren. Arena
beinhaltet die integrierte Echtzeit-Vernetzungsplattform
MGC-100 von Accord, eine
Virtual Conference Suite, das
offene API und eine Call-Management-Suite. Letzteres ist
eine autonome Familie von Anwendungsprogrammen.
Zu
diesen Produkten gehören Greet and Guide, Touch Tone Conference Management und Web
Manager. Erste Versionen von
auf Arena basierenden AccordProdukten wie das IP- H.323Modul zur Realisierung visueller Anwendungen über IPNetzwerke, und die Virtual
Conference Suite von Accord,
um eine visuelle Ad-hoc-Kommunikation zu ermöglichen,
sollen ab sofort bei Accord verfügbar sein. (sm)
Info:
Accord Networks
Tel.: +49-(0)6997409981
Web: www.accordtelecom.com
NETZWERKPRODUKTE & SERVICES
BEN HUR UND TEAM INTERNET IM TEST
Internet und E-Mail
für die ganze Firma
Zur Internet-Anbindung von Unternehmen stellen die meisten Administratoren einen Router und einen eigenen Server ab, den sie mit einem
Mail-Dienst und einem Web-Proxy ausstatten. Windows-Server mit der
entsprechenden Software sind allerdings teuer, und Linux als kostengünstige Alternative ist nicht immer leicht zu installieren und administrieren. Einfachere Lösungen bieten Pyramid Computer Systeme aus
Freiburg mit Ben Hur und Esoft aus Colorado in den USA mit Team
Internet an. Dabei handelt es sich um Geräte, die sowohl Mail- als auch
WEB-ZUGRIFF Den Web-Zugriff ermög-
Proxy-Dienste bereitstellen sowie als Router mit Dial-on-Demand
lichen beide Server, die letztlich auf gewöhnlichen PCs (ohne Bildschirmanschluß) mit Linux-Betriebssystem basieren, auf jeweils zwei Arten: Als direkter Router mit NAT/PAT (Network/Port Address Translation) sowie
über einen integrierten Proxy-Server.
Dabei kann der Administrator beide
Möglichkeiten sperren oder freigeben.
Der direkte Zugang ist in der Regel für
spezielle Anwendungen erforderlich,
beispielsweise für Client-Software, die
auf eine Datenbank im Internet zugreifen muß.
Für das “Surfen” im Internet ist der
Zugang über den Proxy-Server sinnvol-
fungieren.
en Hur ist standardmäßig mit einem
Anschluß für das lokale Netzwerk
sowie einer Buchse für ein ISDN-Kabel
ausgestattet. Optional liefert Pyramid
einen ISDN-Terminaladapter von Elsa,
über den Ben Hur Faxdienste bereitstellt.
Team Internet wird in diversen Ausführungen angeboten, so beispielsweise
mit integriertem 56-kBit/s-Modem oder
mit einer ISDN-Karte. Für den Test
B
steht ein Gerät mit zwei EthernetSchnittstellen zur Verfügung; eine ist
für das lokale Netzwerk bestimmt, die
andere – sofern vorhanden – für einen
externen Router, der die Verbindung
zum Internet herstellt. Alternativ läßt
sich der Internet-Zugang direkt über die
serielle Schnittstelle realisieren. In der
Testinstallation kommt hierbei ein
ISDN-Terminaladapter (Zyxel Omni
TA128) am seriellen Anschluß zum
In Ben Hur steckt ein gewöhnlicher PC ohne Grafikkarte
22
Einsatz. Eine zweite serielle Schnittstelle unterstützt die Kommunikation
mit USV-Geräten von APC. Die optionale ISDN-Karte für Team Internet beherrscht zahlreiche Protokolle, darunter
1TR6 und Euro-ISDN.
Ben Hur ist auf Euro-ISDN beschränkt. Zwar ist die Deutsche Telekom schon vor einigen Jahren von
1TR6 auf Euro-ISDN umgestiegen und
auch andere Telefongesellschaften bieten in Deutschland bei Mehrgeräteanschlüssen ausschließlich Euro-ISDN
an, aber viele Telefonanlagen verwenden intern das 1TR6-Protokoll. Ben Hur
läßt sich folglich nicht an alle Telefonanlagen anschließen.
L AN line 1/2000
Das Innenleben von Team Internet entpuppt sich als Standard-PC
NETZWERKPRODUKTE & SERVICES
ler, weil dieser einen Cache enthält, der
abgefragte Daten auf der Festplatte ablegt. Ruft ein Benutzer Seiten ab, die ein
als primärer Mail Exchanger (MX) ein- nes seiner lokalen Postfächer ein. Dabei
getragen sein. Team Internet beherrscht kann der Administrator auch bestimzusätzlich die Variante ETRN (Exten- men, daß beispielsweise Mails an Inded Turn), die für fo@Firma.de in mehrere Postfächer koWählleitungen ge- piert werden. Die Multidrop-Variante
eignet ist. Dabei ist in der Regel kostengünstiger, weil
ruft der Mail-Server der Provider nur ein einziges Postfach
die Mails vom Pro- bereitstellen muß. Allerdings bevider ab; Voraus- schränkt nahezu jeder Provider die masetzung für ETRN ximale Größe aller Mails pro Postfach,
ist eine feste IP- so daß diese Lösung für Mail-intensive
Adresse.
Firmen nicht geeignet ist. Ben Hur beFür Wählleitun- herrscht außerdem das ältere UUCP
gen eignen sich (Unix-to-Unix Copy)-Protokoll zum
außerdem
zwei Mail-Austausch.
POP-Varianten
Die Computer im Unternehmensnetz(POP: Post Office werk holen Mail per POP oder IMAP
Protocol). In der vom lokalen Mail-Server ab, so daß naeinfachsten Form hezu jedes Programm eingesetzt werden
besitzt jeder lokale kann, beispielsweise Netscape MessenBenutzer
sowohl ger, Microsoft Outlook oder die kostenNach dem Eintragen der Provider-Zugangsdaten steht der Internetbeim Provider als lose Software Pegasus Mail. Auch für
Verbindung bei Ben Hur nichts mehr im Wege
auch lokal ein Post- die umgekehrte Richtung fungieren die
fach. Bei Ben Hur Server als Zwischenspeicher und senkann der Admini- den Mails an das Internet weiter. Wie
anderer Mitarbeiter in der Vergangen- strator die Zuordnung nach den Erfor- oft dies geschieht, kann der Administraheit angefordert hat, kann der Proxy sie dernissen gestalten, bei Team Internet tor bestimmen. Bei Ben Hur lassen sich
aus dem Cache liefern und muß keine müssen die Kontodaten (Name und für jeden Wochentag beliebig viele
Verbindung zum Internet aufbauen. Da- Kennwort) hingegen lokal und beim Uhrzeiten angeben; Team Internet ermit Benutzer keine veralteten Daten be- Provider identisch sein. Da Team Inter- laubt lediglich eine Einstellung der Abkommen, geben die Betreiber von Web- net maximal acht Zeichen lange Benut- stände zwischen Internet-Anrufen zum
Sites an, wie lange ihre Seiten gültig zernamen ohne Großbuchstaben er- Mail-Austausch, immerhin getrennt
sind. Proxy-Server werten diese Anga- laubt, können Proben aus und verwerfen veraltete Seiten. bleme auftreten. So
Zum Einsatz kommt Squid, ein im ist es im Test nicht
Unix-Umfeld beliebter und weit ver- möglich, Mail vom
breiteter Proxy-Server, der sich durch Provider-Postfach
eine hohe Geschwindigkeit und Stabi- “KlausK” abzuholität auszeichnet.
len (“klausk” hätte
In zwei Punkten geht der Funktions- hingegen funktioumfang von Team Internet deutlich niert).
über den von Ben Hur hinaus: Es bietet
Bei der Multieinen integrierten Web- und einen drop-Variante samDHCP-Server (DHCP: Dynamic Host melt der Provider
Configuration Protocol).
alle eingehenden Der Administrator kann genau festlegen, wann Ben Hur Mail vom ProMails in einem ein- vider abholen soll
zigen Postfach, unELEKTRONISCHE POST Auch für
E-Mails bieten beide Geräte mehrere abhängig von ihrer Zieladresse. So wür- nach Arbeits-, Abend- und WochenendOptionen. Bei Standleitungen ist in der den Mails an Mueller@Firma.de, Mei- zeiten.
Bei Ben Hur funktionierte im Test der
Regel SMTP (Simple Mail Transfer er@Firma.de und Info@Firma.de im
selben Provider-Postfach landen. Der zeitgesteuerte Mail-Austausch zunächst
Protocol) die beste Wahl.
In diesem Fall ist der Server ständig Server holt diese Mails ab und sortiert nicht wie geplant. Der Grund dafür ist
empfangsbereit; er muß beim Provider sie entsprechend ihrer Zieladresse in ei- banal, aber leider im Handbuch nicht er-
24
L AN line 1/2000
NETZWERKPRODUKTE & SERVICES
Konfigurationsvarianten
Ben Hur besitzt in der Standardkonfiguration einen LAN-Anschluß (10/100 MBit/s) sowie eine ISDN-Karte für Euro-ISDN oder Standleitungen und kostet 2672 Mark. Zusätzliche ISDN-Schnittstellen (für Einwählverbindungen) kosten jeweils 250 Mark. Für 594 Mark
gibt es einen externen ISDN-Adapter von Elsa, mit dem Ben Hur Faxdienste bereitstellen
kann. Ein 19-Zoll-Rahmen kostet 128 Mark.
Team Internet wird in drei unterschiedlichen Größen angeboten, die sich durch die CPU,
die Kapazität der Festplatte sowie die erlaubte Benutzeranzahl unterscheiden: Als Modell
100 für maximal 25 Benutzer, als Modell 200 für bis zu 100 Benutzer und als Modell 300
für höchstens 250 Clients. Mit zwei RJ45-Netzwerkschnittstellen (eine für das lokale Netzwerk und eine für einen vorhandenen Router zum Internet) kosten sie 3990, 4830 und 6990
Mark. Die Varianten mit einem LAN- und einem ISDN-Anschluß schlagen mit 4590, 5230
und 7390 Mark zu Buche. Die Modelle Team Internet 200 und 300 sind außerdem in einer
Version mit jeweils einer LAN- und einer seriellen Schnittstelle (wahlweise V.35 oder
X.21) verfügbar. Sie liegen bei 6590 Mark (Modell 200) und 7990 Mark (Modell 300). Eine
spätere Aufrüstung mit einer ISDN-Karte liegt für alle Modelle bei 398 Mark, die serielle
Schnittstelle kostet 1970 Mark. Ein optionaler 19-Zoll-Rahmen erhöht den Preis um 50
Mark.
klärt: Ben Hur arbeitet nicht mit der lokalen Uhrzeit, sondern mit Greenwich
Mean Time (GMT), was eine Stunde
Unterschied zur mitteleuropäischen
Winter- beziehungsweise zwei Stunden
zur Sommerzeit bedeutet.
Der Administrator muß dies berücksichtigen, wenn er die Zeitpunkte für
den Mail-Austausch festlegt – und diese Uhrzeiten bei jedem Wechsel zwischen Sommer- und Winterzeit entsprechend anpassen.
INSTALLATION Die Installation der
Geräte ist einfach. Damit die Benutzer
auf den Server zugreifen können, muß
der Administrator lediglich die IPAdresse des Servers an das lokale Netzwerk anpassen. Dazu muß er vorübergehend die IP-Adresse seiner Arbeitsstation ändern, damit er den Server unter einer vorgegebenen Adresse erreichen kann. Damit die Benutzer im Internet surfen können, muß der Verwalter noch die entsprechenden Zugangsdaten eingeben, also Telefonnummer,
Benutzername und Kennwort, bei Team
Internet zusätzlich den Verbindungstyp
(zum Beispiel externes Modem, internes Modem, interne ISDN-Karte).
Freundlicherweise ist bei Ben Hur bereits der anmeldefreie Internet-by-CallDienst von Arcor vorgegeben. Dieser
26
L AN line 1/2000
nicht: Jeder Benutzer kann – auch ohne
Erlaubnis – den Proxy-Server verwenden. Team Internet fragt hingegen korrekt den Benutzernamen und das Kennwort ab. Leider erlaubt Ben Hur keine
spezifische Einstellung, welche Benutzer ins Internet gehen dürfen. Jeder, für
den E-Mail eingerichtet ist, hat auch das
Recht, zu “surfen”.
ADMINISTRATION In der Administra-
tion ähneln sich die Geräte zwar, aber
Team Internet bietet auf seiner englischsprachigen Oberfläche ungleich
mehr Optionen als Ben Hur mit seiner
deutschsprachigen Verwaltung. So
kann der Administrator beim Team-Internet-Server festlegen, daß die Internet-Verbindung zu bestimmten Zeiten
grundsätzlich aufrecht erhalten oder
gänzlich unterbunden wird. Weiterhin
enthält dieser Server die optional einsetzbare Software Web-Sense, mit der
sich Internet-Seiten bestimmten Inhalts
(zum Beispiel Sex, Gewalt oder WebChat) sperren lassen.
Der Administrator hat ferner bei
Team Internet die Möglichkeit, ein Verzeichnis der lokalen Festplatte für Windows-Computer freizugeben, und er
Zugang ist mit sechs Pfennigen pro angefangener Minute zwar kein Sonderangebot, aber konkurrenzfähig. Für die
erste “Schnupperstunde” ist dieser
Dienst allemal geeignet. Team Internet
kann mit einer Datenbank der wichtigsten Provider aufwarten, darunter auch
einige deutsche.
Auch an die Aktualisierung der Software haben die Entwickler beider Produkte gedacht. Bei
Ben Hur ist diese
Update-Funktion allerdings noch recht
neu, und es existiert keine einfache
Möglichkeit, gesicherte Konfigurationsdaten wiederherzustellen.
Immerhin läßt sich dies
mit Hilfe des Supports realisieren.
Im Test funktionierten jeweils sowohl der direkte
Web-Zugriff
als
auch der Zugang
über den ProxyServer. Bei Ben
Hur arbeiteten allerdings die Sicherh e i t s f u n k t i o n e n Auf der übersichtlichen Admin-Seite lassen sich alle Optionen einstellen
kann festlegen, wie groß der Cache des
Proxy-Servers sein soll. Zudem existieren Filtermechanismen, um unerwünschte Mail zu blockieren.
Die Online-Hilfe erläutert bei Team
Internet alle Funktionen – auch die des
integrierten Web- und DHCP-Servers –
und unterstützt damit weniger erfahrene
Administratoren. Ben Hur hingegen
glänzt durch eine einfache Verwaltung,
mit der auch ungeübte Administratoren
sehr schnell zurechtkommen. Leider
funktioniert die Online-Hilfe nicht befriedigend: Einige Hilfe-Schaltflächen
lassen sich gar nicht anklicken, andere
erzeugen eine “nicht-gefunden”-Fehlermeldung im Browser.
Auch bei den Dokumentationen lassen sich Unterschiede zwischen beiden
Produkten erkennen. Während Esoft
Team Internet mit einem ausführlichen,
240 Seiten starken, englischen Handbuch liefert, stellt sich die Dokumenta-
tion von Ben Hur als lediglich 30 DINA4-Seiten dünnes Heftchen dar. Es ersetzt zwar die Online-Hilfe, hat aber
keinen Platz für ausführliche Erklärungen und läßt viele Fragen offen. So findet sich beispielsweise nirgendwo eine
Erläuterung, wodurch eine InternetVerbindung aufgebaut wird.
FAZIT Für kleine Netzwerke, die lediglich E-Mail und Web-Zugriff benötigen, ist Ben Hur die erste Wahl. Das
Gerät ist sehr einfach zu konfigurieren,
so daß keine tiefgreifenden technischen
Kenntnisse erforderlich sind. Ein allgemeines technisches Verständnis reicht
aus. Ein Vorteil dieses Geräts ist seine
Faxoption. Die Sicherheitsprobleme
muß Pyramid aber noch in den Griff bekommen. Außerdem sollte der Hersteller ein Handbuch liefern, welches dieser
Bezeichnung gerecht wird. Team Internet ist hingegen für Netzwerke geeig-
net, die – abgesehen vom Faxdienst –
mehr Funktionalität erfordern. In Grenzen kann Team Internet sogar einen
Fileserver ersetzen. Die Grundkonfiguration dieses Systems ist nur unwesentlich komplizierter als die von Ben Hur
(abgesehen von der englischen Sprache), um die zahlreichen erweiterten
Funktionen allerdings zu nutzen, ist ein
Administrator vonnöten.
(Andreas Roeschies/pf)
Info:
Pyramid Computer Systeme, Ben Hur
Tel.: 0761/45 14-150
Web: www.ben-hur.de
Info:
Esoft, Team Internet
Tel.: 001/303/44 416 00
Web: www.esoft.com
Vertrieb: Computerlinks
Tel.: 089/93 09 90
Web: www.computerlinks.de
L AN line 1/2000
27
NETZWERKPRODUKTE & SERVICES
DIE ENTWICKLUNGSUMGEBUNG VISION JADE
Automatisch
programmieren
Der Erfolg eines Unternehmens im Internet wird unter anderem
dadurch bestimmt, wie schnell es auf neue Wettbewerbsanforderungen
reagieren kann. Die Herausforderung für Manager und IT-Fachleute besteht hauptsächlich darin, in sehr kurzen Zeiträumen neue Internet-basierte Applikationen – zum Beispiel für E-Business – zu entwickeln und
einzuführen. Vision Jade soll den Entwicklungsprozeß verkürzen, indem
es den Entwicklern dabei hilft, die Programmierung zu automatisieren.
ision Jade dient zum Entwickeln und stemen. Alle Produkte lassen sich in besteEinführen Internet-basierter unterneh- hende Standards einfügen und können den
mensspezifischer Anwendungslösungen Anforderungen der Unternehmensstruktur
wie Kalkulation, Konfiguration, Vermö- entsprechend erweitert werden.
gensverwaltung oder E-Commerce. Das
Herzstück der Architektur ist der “Vision- VISION BUSINESS LOGIC SERVER Der
Business Logic Server”, der nach Anga- Business Logic Server umfaßt die
ben des Herstellers eine Codierung über- Business-Komponenten in einer skaflüssig macht, da er alle Schritte zum Er- lierbaren Server-Architektur mit den
stellen einer Anwendung automatisiert. dazugehörigen Verwaltungsoptionen.
Seine offene Architektur soll für Kompatibilität sorgen und
sich heutigen und
zukünftigen
Standards wie CORBA
(Common
Object
Request Broker Architecture) und Enterprise Java Beans
(EJB) anpassen. Eine
weitere Komponente
der Architektur ist
das “Vision Jade
Developer Studio”, Die komplette Zentrale für Daten, Regeln und Applikationen: Das Jade
in dem sich Ge- Developer Studio
schäftsregeln
und
Logik definieren lassen und das die Kom- Er stellt unter anderem die folgenden
ponenten für alle Ebenen einer Funktionen zur Verfügung:
Mehrschichtenapplikation erzeugt. Die – Native Threads,
dritte Komponente, das “Vision Jade ex- – Connection-Pooling
(gleichzeitige
tended Data Access Framework” sorgt für
Nutzung einer existierenden Verbindie Integration von Anwendungen und Sydung durch mehrere Objekte),
V
28
L AN line 1/2000
– Status- und Session-Verwaltung
– Lastenausgleich durch Server-Pooling und Ausgleich der Server-Auslastung durch Pooling der Ressourcen,
– Ausfallsicherungsdienst,
– externes Ereignismanagement,
– integriertes Sicherheitsmanagement,
– Integration von CORBA-Diensten,
– Integration von Transaktions-Servern
von Fremdanbietern,
Der Vision-Business-Logic-Server
wird unter Verwendung von Industriestandards wie CORBA, IIOP (Internet
Inter-ORB-Protocol), JDBC (Java Database Connectivity) und EJB erstellt.
Er kann auch vollständig mit COMKomponenten (Component Object Model) integriert werden. Visions Java-basierter Server verfügt über eine große
Anzahl von Verbindungsoptionen zu
Datenbankensystemen, unter anderem
Oracle, Microsoft SQL Server, Sybase,
Informix, IBM DB2/400 und IBM DB2/
MVS.
VISION JADE DEVELOPER STUDIO
Das Vision Jade Developer Studio erfaßt die Geschäftsregeln und die Angaben zum Applikationsdesign, die eine
vollständige Internet-Anwendung charakterisieren. Die Geschäftsregeln werden mit Bezug auf eine Gruppe von Datenobjekten definiert. Diese Objekte
lassen sich entweder im Studio konzipieren oder aus vorhandenen Datenmodellen, aus CORBA/COM/EJB-Objektdefinitionen oder aus Objektmodellierungs-Tools auf der Basis von UML
(Unified Modeling Language) übernehmen. Um eine neue Web-Applikation
zu erstellen, kommen im zweiten
Schritt Maskendesign, Aufrufbeziehungen zwischen den Masken und Auswahllisten hinzu. Mit diesen Komponenten generiert Jade zugleich die
Oberfläche und die Datenverwaltung
mit der zugehörigen Business Logic.
Die Komponenten sind auf dem Vision
Business Logic Server hinterlegt und
lassen sich mit Hilfe von üblichen JavaEvent-Editoren sowohl Client- als auch
Server-seitig erweitern beziehungsweise anpassen.
NETZWERKPRODUKTE & SERVICES
VISION EXTENSIBLE DATA ACCESS
(XDA) FRAMEWORK Java-Komponen-
ten, die auf dem Vision-Business-Logic-Server hinterlegt sind, können mit
beliebigen externen Daten interagieren,
um die Integration von anderen Applikationen, Legacy-Daten und Anwendungen von Drittanbietern herzustellen.
Im Gegensatz zu anderen AnwendungsServern beruht der Zugang zu den externen Daten nicht nur auf API-Methoden, sondern wird mit Hilfe des extensible Data Access Framework hergestellt.
XDA ist eine Sammlung von JavaSchnittstellen, die die Grundlage aller
Dienste des Vision Business Logic
Servers und des Vision Jade Developer Studio darstellt. Das führt dazu, daß
die Automatisierung der “Business Rules” für alle Komponenten gilt, unabhängig von der Datenquelle, auf die zugegriffen wird. Ein Beispiel: Bei der Interaktion mit einer proprietären Datenquelle auf einem traditionellen Applikations-Server müßten die automatische
Verarbeitung der Ergebnismengen (result set automation), die Anbindung der
Datenelemente in den Forms an die Daten (form binding services) und die Anwendungs-Managementdienste, die es
für Standard-SQL-Datenquellen gibt,
völlig neu implementiert werden. Das
30
L AN line 1/2000
XDA-Verbindungsstück für proprietäre
Datenquellen in Vision Jade sorgt
dafür, daß alle Automatisierungsdienste
die Vision zur Verfügung stellt (Applikationsautomatisierung und die Automatisierung von Business Rules), auch
für diese Verbindung verfügbar sind.
BUSINESS RULES – AUTOMATISIERUNG VON SERVER-KOMPONENTEN
Ein wichtiges Feature der Vision-JadeArchitektur ist die Fähigkeit, Geschäftsregeln zu erfassen und sie als
Server-Komponenten mit definierten
Schnittstellen zu automatisieren. Eine
Business Rule stellt eine präzise formulierte Geschäftsanforderung dar. Damit
sind Aktionen gemeint, die ein Anwender durchführt, um spezifische Aufgaben zu erfüllen, zum Beispiel das Einfügen eines Postens in eine Bestellung.
Typische Business Rules lauten beispielsweise “Außenstände sind die Summe unbezahlter Lieferungen”, “Die Außenstände
eines Kunden dürfen sein Kreditlimit nicht
übersteigen” oder “Bestellungen, die den
Wert von einer Million Dollar übersteigen,
müssen vom Vertriebsleiter genehmigt
werden.”
Die Regeln werden mit Bezug auf ein
bestimmtes Objekt definiert, können
sich aber im Rahmen des Systems auf
verschiedene Objekte beziehen. Vision
Jade erfaßt die Business Rules mit Hilfe des Business-Rules-Designers und
automatisiert sie dann, indem es die
Rules als Server-seitige Komponenten
kompiliert. Wenn nicht anders definiert, wird jeder Komponente ein Satz
Standardmethoden zugewiesen, der alle kritischen Geschäftsfunktionen kapselt. Die Komponenten können dann
zur Erzeugung unternehmensweit standardisierter Schnittstellen verwendet
werden, so daß eine wiederverwendbare, komponentenbasierte Infrastruktur
entsteht.
Mit Jade beginnen die Entwickler ihre Projekte nicht mehr mit dem Schreiben des Programmcodes. Statt dessen
erstellen sie gemeinsam mit den EndUsern die Business Rules, die festlegen,
welche Operationen durchgeführt werden müssen und wie sie zusammenhängen.
Dieser Ansatz unterschiedet sich sehr
von traditionellen Entwicklungsmethoden: Normalerweise legen Systemanalytiker die Anforderungen an eine neue
Applikation fest, und die Entwickler erstellen dann den Code, mit dem die nötigen Funktionalitäten implementiert
werden. Anschließend erhalten die Endanwender die fertige Software, und erst
dann stellt sich heraus, ob diese Lösung
die Anforderungen auch in der Praxis erfüllt. Bei einer regelbasierten Entwicklung ist das viel unwahrscheinlicher, weil
die Endanwender direkt am Erstellen der
Regeln beteiligt sind und sie solange verfeinern können, bis sie die gewünschten
Ergebnisse produzieren.
VORTEIL DES ANSATZES Ein weiterer
Vorteil des regelbasierten Ansatzes
liegt darin, daß die Regeln in mit der
Hand erstellten Anwendungen irgendwo im Code eingebettet sind und nicht
explizit für sich abgespeichert wurden.
Das macht es sehr schwierig, sie
nachträglich zu ändern, ohne die ganze
Applikation neu zu programmieren.
Außerdem lassen sich viele Regeln auf
mehrere Applikationen anwenden. Deshalb ist es am besten, jede Regel nur
einmal zu definieren und anschließend
zentral abzuspeichern, damit sie von allen beliebigen Anwendungen nutzbar
ist. Wird es erforderlich, die Regel zu
ändern, reicht es dann aus, die Änderung zentral vorzunehmen. Das sorgt
für Konsistenz und spart viel Verwaltungsaufwand. Deswegen legt Jade die
Regeln in einem Repository ab.
DER ENTWICKLUNGSPROZESS Beim
Entwickeln mit Jade werden zunächst die
Geschäftsregeln festgelegt. Sobald diese
stehen, beginnt ein weiterer iterativer Vorgang, der das Ziel hat, die grafische Benutzerschnittstelle an die Funktionalität der
Lösung anzupassen. Kurz gefaßt sieht der
Jade-Entwicklungsprozess so aus:
1. Zusammentragen der Projektanforderungen
2. Identifikation der Geschäftsanforderungen und der erforderlichen Funktionen – hier werden die ersten Geschäftsregeln definiert,
3. Aufbau des Daten-/Objekt-Modells.
In diesem Schritt erstellen die Entwickler ein Datenmodell im Jade Repository. Dieses Modell dient später
als Kern, um den herum die Applikationen aufgebaut werden. Entweder,
es wird mittels Reverse Engineering
aus einer bestehenden Datenbank er-
stellt oder von einem CASE- (Computer Aided Software Engineering)
oder OOAD-Tool (Object Oriented
Analysis and Design) ins Jade Repository importiert. Die definierten Business Rules werden ebenfalls als Metadaten ins Repository integriert.
4. Festlegen der restlichen Geschäftsregeln,
5. Aufbau des Prototyps der grafischen
Benutzerschnittstelle,
6. Validierung des Designs der Applikation. In dieser Phase kommt die
Applikation mit Testdaten zum Einsatz. Werden die End-User hier beteiligt, können sie bereits entscheiden, ob die Software ihren Anforderungen genügt.
7. Überarbeiten der Geschäftsregeln.
Dieser Schritt dient dazu, eventuelle
Mängel zu beseitigen. Außerdem ist
es an dieser Stelle möglich, per
Hand erstellten Code in das Projekt
einzubinden.
8. Überarbeiten der Benutzerschnittstelle,
9. erneutes Durchlaufen der Schritte 7
und 8, bis die Ergebnisse die Anforderungen erfüllen,
10. Test der Applikation,
11. nach erfolgreichem Test wird die
Anwendung den Endanwendern zur
Verfügung gestellt. Gleichzeitig findet die Konfiguration der Sicherheitskonditionen statt.
Dieser regelbasierte Ansatz stellt sicher
eine interessante Alternative zu traditionellen Entwicklungssystemen dar, da die zentrale Regelverwaltung für mehr Konsistenz im Unternehmen sorgt. Der Hersteller will mit diesem Produkt sowohl die Anforderungen der Entwickler erfüllen wie
beispielsweise schnelle Automatisierung,
als auch die moderner Unternehmensstrukturen, die sich an Standards und Komponenten orientieren. Ob diese “Entwerfen
und sofort Umsetzen”-Strategie Erfolg haben wird, bleibt abzuwarten, auf jeden Fall
sollte man das Produkt im Auge behalten.
(Götz Güttich)
Info:
Vision Software
Web: www.vision-soft.com
L AN line 1/2000
31
NETZWERKPRODUKTE & SERVICES
BACKUP UNTER NETWARE UND NT MIT NOVANET
Aus dem Land
der Wizards
Bei Novanet 7 Backup für Netware und Windows NT handelt es sich
um ein Datensicherungsprodukt, das sich durch einfache Bedienung,
effektive Sicherungsmechanismen und gute Konfigurierbarkeit auszeichnet. Administratoren von heterogenen Netzen mit Netware und
Windows-NT-Rechnern sollten einen Blick auf dieses Backup-Programm
werfen.
nbekannt heißt noch lange nicht unwichtig, Novastor ist ein Beweis
dafür. Das Unternehmen hat ein ganzes
Arsenal von Backup-Programmen, Verschlüsselungs-Software und anderen
Werkzeugen für den Umgang mit Massendaten im Programm.
Das LANline-Lab hat sich hier aus dem
Produktportfolio Novanet Alliance 7 vorgenommen, ein Datensicherungspaket für
heterogene Netzwerkumgebungen aus
Netware- und Windows-Rechnern. Linux
kommt laut Hersteller demnächst dazu.
Novanet 7 unterstützt Netware und
Windows NT in einem Produkt. Ein Un-
U
Die bevorzugte Novanet-7-Konfiguration
32
L AN line 1/2000
terschied, der im Vergleich zu den bekannteren Backup-Lösungen wie CAI
Arcserve und Seagate Backup Exec von
Anfang an angenehm ins Auge fällt. Installations-CD eingelegen, den Anweisungen folgen, in fünf Minuten ist das
Programm installiert, geladen und sichert. Da gibt es keine Unterschied zwischen Netware und Windows NT.
Novanet 7 installiert einen Manager
und einen Agent. Je nachdem, ob der Manager oder der Agent gestartet wird, kann
die Host-Maschine als Backup-Server/
Client oder nur als Backup-Client arbeiten. Novanet nennt das “Peer-to-Peer Ar-
chitecture” und meint damit, daß jeder
Rechner ein Backup-Server sein kann,
wenn nur ein Datensicherungsgerät angeschlossen ist und die entsprechenden
Treiber geladen sind.
Die von Novanet bevorzugte Konfiguration besteht aus
– Storage-Management-Server,
– Storage-Management-Database-Server,
– anderen Servern oder Arbeitsplatzrechnern mit oder ohne angeschlossenes Datensicherungsgerät.
Der Storage-Management-Server ist so
etwas wie die zentrale Verwaltungskonsole und für die Betreuung der BackupProzesse reserviert. In der Storage-Management-Datenbank hebt Novanet 7 alles
auf, was es über den aktuellen Zustand
der Datensicherungsumgebung weiß.
Wird der Management-Agent oder der
Backup-Agent an einem Rechner geladen, werden die aktuellen Daten dieses
Rechners in die Storage-ManagementDatenbank eingetragen, und der Rechner
steht Novanet mit allen angeschlossenen
Sicherungsgeräten zur Verfügung.
Die Datenbank ist offensichtlich robust. Das LANline-Lab hat während eines Sicherungslaufs den Datenbankrechner abgeschaltet. Der Agent war in der
Lage, die Datenbank beim Neustart erfolgreich wieder zu reparieren.
Jedes Gerät kann nur in einer “Storage
Management Database” eingetragen
sein, aber es kann viele Datenbanken in
einer Novanet-Installation geben. Jede
Datenbank wird im Netz als “StorageManagment-Zone” propagiert. Der Datensicherungs-Agent ordnet beim Start
das Gerät einer Storage-ManagementZone zu.
Wichtig am Novanet-Konzept ist, daß
die Storage-Management-Datenbank immer auf einem Rechner liegen sollte, der
kein Sicherungs-Server ist. Das stellt sicher, daß im Falle des Unglücks entweder Sicherungs-Server oder die Datenbank nicht mehr im Zugriff sind, aber nur
im Falle großen Unglücks beide zur gleichen Zeit.
Novanet ist der Meinung, daß das
Bandlaufwerk, wenn irgend möglich, an
dem Gerät hängen sollte, dessen Daten
NETZWERKPRODUKTE & SERVICES
Novanet ist zu jeder Zeit vollkommen über alle Geräte informiert
gesichert werden müssen. Das ist die
schnellste und sicherste Methode. Sollte
das Bandlaufwerk einen Fehler haben
oder ein Band überlaufen, wird bei entsprechender Konfiguration die Sicherung
einfach auf ein anderes Laufwerk in der
Sicherungszone fortgesetzt.
Man kann natürlich alles auch ganz anders konfigurieren. Novanet 7 läßt dem
Administrator da freie Hand. Die Konfigurationsmöglichkeiten sind sehr vielfältig, setzen aber auch sichere Kenntnisse
über die Datensicherungsumgebung und
das Verhalten der Geräte voraus.
Novanet kann jeden Datenträger auf jedes Sicherungsgerät in der entsprechenden “Storage-Management-Zone” speichern, sogar die Datensicherungsströme
über die Geräte verteilen. Dieses Konzept
erinnert an das viel zu früh verstorbene
Norton-Enterprise-Backup und kann zu
außerordentlich komplexen Datensicherungskonstellationen führen.
Wer alle Backup-Optionen braucht, muß ohne Wizards auskommen
man gerade braucht. Für die NetwareServer-Konsole ist die Benutzeroberfläche im bekannten C-Worthy-Stil
nachempfunden. An Console One und
Java hat man sich noch nicht gewagt.
Novanet ordnet seine Funktionalität in
die Gruppen
– Sicherung: Backup, Restore, Verify;
– Geräte: Media, Device;
– Verwaltung: Queue, Security, Database;
– Wizard.
Testumgebung
Acht Server unter Netware 4.11, Netware
5, Windows NT 4.0 mit insgesamt 150
GByte Daten.
HP-40-GByte-DLT-Laufwerk, HP 5*40
GByte DLT-Autoloader (Surestore 418)
Novanet 7 Alliance
BENUTZERSCHNITTSTELLE Novanet 7
gelingt es, die Komplexität einer verteilten Datensicherungsumgebung durch eine einfache Installationsprozedur und eine intuitive Bedieneroberfläche zu verbergen. Die Bedieneroberfläche ist dem
Windows Explorer nachempfunden, ordnet alles hierarchisch in Ordnern an und
hat eine sehr gute Kontexthilfe. Novanet
7 macht ausgiebigen Gebrauch von der
linken Maustaste, man hat in jeder Situation Zugriff auf die Informationen, die
34
L AN line 1/2000
Es spricht für die Produktdesigner bei
Novastor, daß man mit dem Produkt arbeiten kann, ohne die Benutzeroberfläche
jemals wirklich berührt zu haben. Die
Wizards sind gut durchdacht und bieten
sichere Optionen an. Jede Option ist
außerdem einsichtig erklärt. Da kann fast
nichts mehr schiefgehen.
Was der Benutzer alles machen kann,
wird im Tab “Security” festgelegt. Nova-
net 7 legt viel Wert auf Sicherheit und das
ist bei dem verteilten Konzept auch gut
so. Es gibt Benutzer, Benutzergruppen,
Rechte, Äquivalenzen und effektive
Rechte, so wie man das von Netware gewohnt ist. Soweit das LANline-Lab sehen konnte, funktioniert das auch.
Jeder Sicherungs- oder Rücksicherungsauftrag wird in Ordnern abgelegt.
Benutzer sehen dabei nur die Aufträge
und innerhalb der Aufträge nur die Geräte, für die ihnen Zugriffsrechte eingeräumt worden sind. Neue Aufträge werden mit dem Wizard erzeugt, mit den
Backup-/Restore-/Verify-Reitern oder
indem man einen anderen Auftrag kopiert und verändert.
Dateien auf Datenträgern oder Bändern
stehen dem Benutzer wie beim Windows-Explorer in einem Fenster zur Auswahl. Bei der Rücksicherung kommen
natürlich auch die Instanzen der gesicherten Datei dazu. Erfreulich ist die Geschwindigkeit, mit der das VerwalterInterface auf die Datenbank der gesicherten Dateien zugreift.
Das ist eine echte Ausnahme im Feld
der Datensicherungs-Software und
macht das Restaurieren von Dateien zu
einer angenehmen Tätigkeit, auch bei
vielen Millionen gesicherten Dateien.
Bei der Auswahl von Dateien für einen
Auftrag kann der Benutzer Filter einsetzen. Eine Datei kann in ihrem Quellordner unter ihrem ursprünglichen Namen,
unter einem anderen Namen oder auch
NETZWERKPRODUKTE & SERVICES
auf ein anderes Gerät in der Storage-Management-Zone rückgesichert werden.
Das ist alles nichts Besonderes, allerdings
geht es bei Novanet 7 besonders einfach.
Dem Benutzer steht es zudem frei, Dateien nicht im Format des Betriebssystems
(Netware, Windows NT, DOS), sondern
im Novanet-Format zu sichern. Das dauert
ein bißchen länger. Der Vorteil: Die Daten
können auch auf eine andere Plattform
zurückgesichert werden, Netware nach
Windows NT oder umgekehrt.
Besonders stolz ist Novanet 7 auf den
Kalender in der Funktionsgruppe der
Backup-Definition. Tatsächlich gibt der
Kalender einen guten Überblick über den
Zustand der Sicherung eines Jobs. Das
Ergebnis “completed” kommt in natürlichen Umgebungen allerdings so gut wie
nie vor.
Es gibt immer Dateien, die während
der Sicherung offen sind, schon wieder
gelöscht sind, wenn der Sicherungspro-
die Bänder in die
Datenbank importieren, ein Prozeß,
der mehrere Stunden dauern kann.
Novanet kann die
Arcserve-Formate
4.x und später importieren, außerdem
Tapeware 3.x und
später. Mit Novells
SMS-Format kann
Novanet dagegen
nichts anfangen.
Novanet sichert Novanet gibt dem Benutzer ein genaues Bild über den Zustand seines
die Daten mit bis zu Auftrags
acht Datenströmen
pro Backup-Gerät.
Novanet benutzt dabei Block Interlea- OPTIONEN FÜR EXCHANCE UND SQL
ving und schreibt die Daten in 32 Byte SERVER Für Microsoft Exchange und
Microsoft SQL Server gibt es Optionen,
großen Blöcken auf das Band.
Was Netware-Benutzer besonders mit denen auch diese Datenbanken gesiglücklich macht, ist die Unterstützung chert werden können. Ob diese zwei Optiovon NSS-Volumes nen ausreichen, muß man von Fall zu Fall
(Netware Storage entscheiden. Für die Sicherung offener DaSystem), die man teien gibt es ein Plug-in für den Open-Fileunter Netware 5 ger- Manager von St. Bernard Software.
Die Sicherungsagenten von Novanet
ne für große Plattensind einigermaßen “gefräßig”. Das LANArrays benutzt.
Allerdings macht line-Lab hat einige “Out of Memory”-SiNovanet alles ohne tuationen erfahren. Ältere Server, die bis auf
Novells SMS (Stor- den letzten Steckplatz ausgebaut sind und
age-Management unverzichtbare Dienste betreiben, haben daSystem) und benutzt mit das Ende des Lebens erreicht. Oder man
auch nicht die von nimmt ein Datensicherungspaket, das sparNovell zur Verfü- samer mit den Ressourcen umgeht.
gung
gestellten
TSAs (Target-Servi- ZUSAMMENFASSUNG Insgesamt ist Noce-Agent), sondern vanet ein sehr gutes Datensicherungspaket
verwendet eigene für Netware und Windows NT. Seine StärDer Backup-Planer von Novanet 7 ist gut gelungen
Software. Novastor ken sind einfache Benutzbarkeit, Skalierist der Meinung, daß barkeit und Benutzerverwaltung. Novanet
zeß darauf zugreifen will und ähnliche diese Strategie zu einer angenehmen Un- 7 hat sich im LANline-Lab als unprobleVorkommnisse mehr. Immerhin hat abhängigkeit vom Hersteller des Be- matisch und sicher gezeigt. Vielleicht sollte Novastor auch sagen, daß Novanet 7 eiNovanet 7 eine ordentliche Buchhal- triebssystems führt.
Bei der NDS geht die Kunst von Nova- ne angepaßte Version von Tapeware ist.
tung, und man behält den Überblick.
net allerdings nicht weit genug. Hier wer- Tapeware 6.1 und Novanet 7 sind prakTECHNISCHE BESONDERHEITEN Noden nur die Dateien der NDS gesichert, tisch identisch.
vanet 7 ist nicht das am weitesten ver- die auf dem Quellrechner liegen. Dieses
(Werner Degenhardt/rhh)
breitete Backup-Programm. Aus diesem Verfahren wird einer verteilten und repliGrunde ist es schon fast ein Muß, Arcser- zierten Datenbank bei weitem nicht geInfo:
ve-Formate lesen zu können. Bevor No- recht und letzten Endes nutzlos. Hier
Web: www.novastor.com
vanet Fremdformate lesen kann, muß es sollte Novanet nachbessern.
www.tapeware.com
36
L AN line 1/2000
NETZWERKPRODUKTE & SERVICES
EINFÜHRUNG IN DIE NETZWERKANALYSE (TEIL 2)
Tools für die
Analyse und Statistik
Der Administrator verwendet einen Analysator in erster Linie für die Fehlersuche im Netz. Sehr hilfreich ist es dabei, wenn der Analysator auch
Statistiken über die Eckdaten des Netzwerks erfassen kann, so daß der
Administrator eventuelle Auffälligkeiten entdeckt, bevor es zu Ausfällen
kommt. Für beide Zwecke gibt es eine Reihe von Analysator-SoftwareLösungen. Sie haben jeweils ihre ganz spezifischen Eigenheiten, so daß
nicht jede Lösung für jeden Anwender gleichermaßen geeignet ist.
ei Störfällen im Netz muß der Administrator binnen kürzester Zeit
(und auch unter hohem Erfolgsdruck) die
Ursache des Ausfalls gefunden haben
und einen Lösungsweg vorzeichnen können. Dafür benötigt er einen Netzwerkanalysator. Sehr hilfreich ist es dabei,
wenn er im Zeitraum vor dem Störfall
Statistiken über das Netzwerk im laufenden Betrieb gemacht hat. Auch diese lassen sich mit Netzwerkanalysatoren erstellen. Sie erfassen hierzu die Eck- oder
Grunddaten des Netzes, also beispielsweise:
– die Netzlast,
– welche Stationen mit welchen anderen
(Pair Statistic) kommunizieren,
– die Fehlerrate (physikalische Fehler im
Ethernet und MAC-Fehlermeldungen
im Token-Ring-Protokoll),
– den Anteil der verschiedenen Protokolle,
– die Server-Auslastung,
– die Latenzzeiten zwischen Server und
Clients sowie
– die Auslastung von Routern.
Die Ergebnisse der Netzwerkstatistik
sind somit eine entscheidende Voraussetzung, um im Fehlerfall die Störung physikalisch und logisch einzugrenzen. Nur
mit konstant betriebener Netzwerkstatistik kann der Administrator das Verhalten des eigenen Netzwerks bestimmen
B
38
L AN line 1/2000
und Veränderungen visualisieren, um
rechtzeitig bei kritischen Entwicklungen Maßnahmen zur Abhilfe einleiten
zu können. Nur, wer seine “Pappenheimer” kennt, kommt schnell zum Ziel,
ohne immer wieder bei Null anfangen
zu müssen.
der LAN-WAN-/Protokolle beschäftigen.
Das klassische Netzwerkmanagement
ist aus der Geräteverwaltung heraus entstanden: Dabei werden Router und
Bridges (heute: Switches) abgefragt
und teilweise auf bestimmte Ausgangswerte gesetzt oder konfiguriert. Im Rahmen von RMON (Remote Network Monitoring) und SNMP (Simple Network
Management Protocol) können darüber
hinaus wichtige Statistikdaten über die
jeweiligen Geräte und den damit verbundenen Segmenten abgefragt werden
und dienen somit unterstützend für die
Statistik. Und das ist auch sinnvoll.
Denn was nützt es dem Administrator,
über SNMP die eigenen Geräte konfigurieren zu können, wenn er im Vorfeld
nicht die lebensnotwendigen Eckdaten
über sein Netzwerk ausgemessen hat
und nach einer durchgeführten Veränderung nicht die angeblich verbesserte
Performance auch überprüfen kann?
Letztlich kommt er um die Anschaffung
eines Statistik-Tools mit Managementfähigkeit nicht herum. Ein zusätzliches
Die LANline-Serie Einführung in die Netzwerkanalyse
Dies ist der zweite Teil der LANline-Serie zum Thema Netzwerkanalyse. Im ersten Teil
ging es um Auswahl- und Unterscheidungskriterien für LAN-Analysatoren. Er erschien in
der LANline 12/99, Seite 108 und folgende. Der dritte und letzte Artikel der Serie wird in
Heft 2/2000 erscheinen und sich mit der Analysepraxis in TCP/IP-Netzen beschäftigen. Alle
drei Artikel stammen aus dem Hause Synapse: Unternehmensberatung in Bonn. (db)
Es gibt zwar Spezialisten, die selbst in
fremden Netzen schnell und zügig herausfinden können, ob und welche Fehler
vorliegen. Doch für diese Fähigkeit des
voraussetzungslosen Analysierens muß
sich der Netzwerkspezialist dauerhaft mit
der Thematik beschäftigen können und
permanent im Training bleiben. Angestellte Netzwerkadministratoren haben
schon deshalb kaum eine Chance, das zu
erreichen, weil sie dafür gar nicht genügend Zeit zur Verfügung haben. Das
Netzwerk-Monitoring mit seinen Statistiken nimmt ihnen hier einiges ab: Sie
müssen sich nicht ständig mit den Tiefen
Programm für Netzwerkmanagement
wäre wünschenswert. Und da die professionelle Netzwerkanalyse bis heute
nicht oder nur unzureichend in die
Netzwerkmanagementprodukte eingeflossen ist, benötigt er auch einen guten
Analyzer, um im Katastrophenfall den
Fehler möglichst schnell zu finden und
zu beheben.
TECHNISCHE ZUVERLÄSSIGKEIT Netz-
werkanalysatoren müssen für eine zuverlässige Analyse alle Datenpakete verlustfrei von der Leitung aufnehmen können.
Schon der Verlust von nur wenigen Da-
NETZWERKPRODUKTE & SERVICES
tenpaketen kann eine Messung wertlos
machen, insbesondere dann, wenn die
Störungen im Netz unter Vollast auftreten, etwa, weil ein Router oder Server bei
Buffer-Overflow Pakete verwirft. Die
notwendige Zuverlässigkeit bieten nur
Analysatoren, die unmittelbaren Zugriff
auf die Hardware des LAN-Adapters haben. Diese Bedingung erfüllen nur wenige Software-Tools auf dem Markt. Für
Aufgaben im Bereich der Netzwerkstatistik ist diese hohe Anforderung weder geboten noch erfüllbar: Die heute gängigen
Management- und Statistikprodukte lesen nicht nur passiv den Datenverkehr
mit, sondern wirken auch (begrenzt) aktiv auf das Netzwerk ein, führen zum Beispiel einfache Ping-Abfragen oder SNMP-Queries durch. Hierzu kann das Tool
nicht unmittelbar über die Adapter-Hardware arbeiten, sondern muß über die
NDIS-Treiber von Microsoft zugreifen.
Damit verringert sich – sogar erheblich –
die physikalische Zuverlässigkeit, doch
gleichzeitig erhöht sich das Funktionsspektrum. Netzwerkanalyse und Netzwerkstatistik sind somit keine Gegensätze, sondern sie ergänzen und bedingen
sich gegenseitig.
arbeiten. Namenstabellen für MAC-,
IP- und IPX-Adressen werden ebenso
geführt, und der Anwender kann sämtliche Statistiken mit Alarmmeldungen
versehen. So ist es zum Beispiel möglich, daß eine Warnmeldung folgt, wenn
die Netzlast über ein eingestelltes Niveau steigt. Die Meldung erfolgt auf
dem Bildschirm per E-Mail oder auf einem Pager.
LANDECODER32 Die Stärken des Landecoders32 von Triticom liegen im Direct-Driver-Mode (Accu Capture).
Denn er greift nicht über die NDIS-
Datenpaketen. Außerdem verfügt er
über eine Vielzahl an Filtern, die der
Anwender sowohl für eine Online-Messung setzen kann als auch nachträglich
bei bereits eingelesenen Meßdaten. Für
die Protokollanalyse bereitet der Landecoder die Meßdaten leserlich auf. Im
Summary-Fenster zeigt er alle Pakete
an, wobei die Zusammenfassung der jeweils gewählten OSI-Schicht sichtbar
ist. Vermutet der Anwender zum Beispiel Probleme bei Data-Flow-Control,
kann er sich so recht einfach alle TCPPakete (OSI- Schicht 4) anzeigen lassen, vermutet er Routing-Fehler, läßt er
PRODUKTE IM VERGLEICH Die wich-
tigsten auf dem Markt erhältlichen Software-Tools für die LAN-Analyse und Statistik sollen hier kurz vorgestellt
werden. Da der Sniffer in einer deutlich
höheren Preiskategorie liegt als die anderen Produkte, wurde er in diesen Vergleich nicht mit aufgenommen. Alle
vorgestellten Programme zeigen die aktuelle Netzlast an sowie die vorherrschenden Pakete und Bytes (Octets) und
das jeweils pro Sekunde oder pro Minute. Ebenso visualisieren sie die Protokollanteile (beispielsweise: wieviel
TCP/IP, SPX/IPX oder Appletalk), verfügen über umfangreiche Tabellenfunktionen, die Fehler, Lastspitzen oder Top
Talkers ausweisen und erfassen alle
Adressen (IP, IPX, MAC; Source,
Destination, Conversation Pairs). Die
Statistiken lassen sich in CSV-(Comma-Separated-Value-)Format abspeichern und mit Excel auswerten und be-
40
L AN line 1/2000
Die grafische Aufbereitung bei LAN-Decoder32
Schnittstelle zu, sondern mittels DirectDriver direkt auf den Karten-Chipsatz.
Dadurch ist es möglich, bei voller Netzlast verlustfrei auf dem Ethernet mitzulesen. Es können bis zu 32 MByte an
Meßdaten in den Speicher eingelesen
werden und automatisch bis zu 255 mal
auf Festplatte abgespeichert werden
(empfohlen sind 8 bis 16 MByte). Somit
werden Langzeitmessungen mit sporadisch auftretenden Fehlern möglich.
Der Analyzer kann bis zu 255 TraceDateien mitschreiben, was in der Praxis
einem Volumen von rund 4 GByte entspricht oder mehreren 100 Millionen
sich alle IP-Pakete (OSI-Schicht 3) anzeigen. Er hat aber auch die Möglichkeit, jedes Paket einzeln zu betrachten.
Auch hier werden die Pakete gemäß den
OSI-Schichten dekodiert und analysiert. Ebenfalls entscheidend für die Arbeit mit einem Analyzer ist, daß die Bedienerführung ein schnelles Durcharbeiten erlaubt. Das ist bei praktisch allen Produkten anderer Hersteller nicht
der Fall. Darüber hinaus bietet der Landecoder32 ein Expertensystem, das eingelesene Meßdaten nach Fehlern und
Auffälligkeiten in Verbindungen (doppelte MAC-Adressen und ähnliches)
NETZWERKPRODUKTE & SERVICES
durchsucht. Das Expert-Diagnosis-Tool
erkennt praktisch alle Fehler im Bereich
von TCP/IP und IPX/NCP (Novell) und
weist die Fundstellen im Trace aus.
Sämtliche Datendialoge (Sessions)
können getrennt, also einzeln verfolgt
und auf Fehlerfreiheit überprüft werden. Darüber hinaus hat der Anwender
die Möglichkeit, Qualitätsschwellen zu
definieren und zum Beispiel Verbindungen gezielt auf Session-Abbrüche
zu untersuchen. Treten mehr Fehler auf
als zuvor per Schwellwert definiert,
weist das System das aus. So läßt sich
der Analyzer auch vorbeugend für eine
kontinuierliche Qualitätskontrolle nutzen.
Der Landecoder32 kann auch über die
NDIS-Schnittstelle angeschlossen werden, um die Daten von RMON-Agenten
per Fernzugriff zu analysieren. Das ermöglicht dem Administrator, mit Hilfe
der Landecoder32-Konsole das gesamte
Netzwerk zu überwachen, ungeachtet
seiner tatsächlichen räumlichen Ausdehnung. Die “LanDecoder32-Network-Management Suite” erlaubt inzwischen die volle Breite des SNMPNetzwerk-Managements.
Info:
Triticom
Tel.: 001/612/331-0470
Web: www.triticom.com/TRITICOM/
LAN-Decoder32
30-Tage-Vollversion unter: www.synapse.de
SURVEYOR Der Surveyor von Shomiti
bietet unter dem Gesichtspunkt der Skalierbarkeit alle Funktionen eines Software- und Hardware-Analyzers. Das
Basisprodukt, die Software in der aktuellen Version 3.0, deckt den “normalen
Funktionsumfang” anderer Analyzer
mit einem Expertensystem ab – mit allen Vor- und Nachteilen, die sich daraus
ergeben. Doch der Anwender kann diese Software mit einer speziellen Netzwerkkarte des Herstellers ergänzen und
erhält in Kombination mit einem Notebook einen portablen Netzwerkanalysator. Darüber hinaus bietet der Hersteller
auch High-end-Hardware-Analyzer wie
42
L AN line 1/2000
das Century-Media-Modul an. Der Einsatz eines taktunabhängigen Chip-Sets
unterscheidet dieses Meßgerät grundlegend von der einschlägigen Technik.
Die gesamte Filter- und Capture-Einheit ist in hocheffizienter Hardware realisiert. Die Hardware-Komponenten
decken den kompletten Ethernet-Bereich bis hin zu Gigabit Ethernet im
Voll- und Halbduplexbetrieb ab und
sollen selbst bei Gigabit Ethernet noch
den gesamten Datenstrom aufzeichnen
und diese Aufzeichnung auch wieder in
entsprechender Geschwindigkeit ins
Netz einspeisen können. Dabei liegt eine Halbduplexversion preislich immer
noch im Rahmen der Preisgestaltung
des Mitbewerbs.
Die Analyse-Software Surveyor bietet
neben einer vollständigen Dekodierung
die Möglichkeit, mit dem Protocol Decode Kit eigene Protokolle auch mit geringen Programmierkenntnissen einzufügen. Dieses frei erhältliche Werkzeug erlaubt die Einbindung eigener DekodeFenster in die vorgegebene Paketdekodierung. Mit etwas Erfahrung in C++
kann der Anwender auch proprietäre Protokolle darüber einbinden.
Bei den vorgegebenen Dekodierungen
besitzt die für die H.323-Protokollgruppe
(Voice over IP) eine bis dato unbekannte
Dimension. Da es bei Voice over IP allerdings sehr stark auf die Leistungsfähigkeit der Hardware-Komponenten
ankommt, ist die Software am Ende auch
nur so gut wie der Rechner, auf der sie
läuft, und dessen Netzwerkkarte.
Dem Anwender kommen Bedienerführung und Funktionen der Software
zunächst etwas ungewohnt vor. Für die
schnelle Einarbeitung ist deshalb ein solides Grundlagenwissen in der Netzwerktechnik sehr hilfreich. Hat sich der Anwender aber damit zurechtgefunden, ist
die Software genauso einfach und effektiv auch für das Tagesgeschäft einsetzbar
wie die gängigen Produkte.
Info:
Shomiti
Tel.: 001/408/437-3940
Web: www.shomiti.com
DISTRIBUTED OBSERVER (NETWORK
INSTRUMENTS) Network Instruments
bietet seinen Observer in Single-Segment- oder Distributed-Observer-Version an. Optionale Module zur Einbeziehung von RMON und SNMP erlauben eine umfassende Informationssammlung
verschiedenster Netzwerkkomponenten.
Die hier beschriebene Distributed-Vari-
Capturing von Paketen mit dem Distributed Observer
NETZWERKPRODUKTE & SERVICES
ante verrichtet im lokalen Segment wie
auch in Netzbereichen mit unterschiedlicher Topologien seinen Dienst als
Troubleshooting-Tool mit dem Funktionsumfang herkömmlicher Analyzer.
Abseits der regulären Grafiken und Statistikinformationen nach dem Motto
“wer wie mit wem wann wieviel Daten”
in den Segmenten verkehren läßt, ermöglicht der Observer eine Langzeitmessung in individuell definierbaren
Zeitspannen. Damit hat der Anwender
die Möglichkeit, statistische Eckdaten
der Netznutzung und Auslastung umfassend zu sammeln und kann diese sortiert nach Segment oder Probe jederzeit
dynamisch in Grafik oder Zahlenwerk
abrufen. Ferner bietet der Observer eine
Lösung an, um das größte Problem eines Packet-Sniffers zu umgehen: den
Switch. Mit Hilfe der integrierten
Script-Engine kann der Anwender einen
Switch mit Portmirroring und Telnet
umprogrammieren, um sowohl einzelne
Ports oder auch alle Switchports zu
überwachen. Jeder Probe wie auch die
Observer-Konsole können in diesem
Modus betrieben werden, sofern die
Probes im LAN/WAN über IP erreichbar sind. In der aktuellen Version 6.2
stehen vier Wege zur Überwachung
komplexer LAN-Segmente zur Verfügung:
– die Plazierung mehrerer Probes an
strategischen Stellen in den Segmenten
– der Switched-Observer-Modus einzelner Probes
– über vorhandene RMON-Agenten der
Netzwerkkomponenten
– über pures SNMP anderer Komponenten im LAN/WAN.
Für SNMP besitzt der Observer
Tools, mit denen der Anwender alle erdenklichen MIBs für unterschiedliche
Produkte erstellen und bearbeiten kann,
um der SNMP-Datenflut die Informationen zu entnehmen, die individuell für
den Anwender relevant sind. Bereits
mit dem Basisprodukt ist es möglich,
sämtliche über IP erreichbaren Switches, Server und Router zu durchlaufen
und herauszufinden, ob die MIB-Lei-
44
L AN line 1/2000
stungsmerkmale dieser Netzwerkkomponenten überhaupt vorhanden und von einem zentralen Punkt aus auch erreichbar
sind für den Observer oder für andere,
höherwertige Systeme wie Managementkonsolen. Bei der SNMP-Lösung geht
der Hersteller Network Instruments einen
Weg, der in die Grauzone zwischen Analyzer und Managementsystem führt. Der
sehr reichhaltige Funktionsumfang erlaubt abseits der erstellbaren Statistiken
auch ein Management von SNMP-unterstützenden Geräten wie Switches. Gerade
für kleinere Netze ist der Observer dehalb
eine Alternative zu einem Managementsystem.
Darüber hinaus lassen sich die Observer-Probes auch als reinrassige RMONProbes betreiben. Die Probes sind entweder nur für den Observer auslesbar
oder werden als kompatible RMONAgenten installiert, um zum Beispiel
losgelöst vom Observer als Alternative
zu Hardware-RMON-Probes zu arbeiten. Der Observer kann wiederum über
seine RMON-Extension diese nun im
RMON-Format arbeitenden Probes
wieder erreichen, genauso wie jedes andere RMON-Gerät im LAN/WAN.
Einige Nischen im Markt besetzt Observer zum Beispiel bei FDDI oder auch
bei einem medizintechnischen Protokoll namens Dicom, das eine umfassende Dekodierung von Layer 4 bis 7 enthält. Zudem entwickelt der Hersteller
seine Produkte ständig weiter, was für
den Käufer eine gewisse Investitionssicherheit mit sich bringt. So ist jetzt eine
Dekodierung der H.323-Protokollgruppe (VoIP) erhältlich, und in Kürze soll
eine deutschsprachige Menüführung
verfügbar sein. Neu in der Version 6.x
ist auch die IP-Patrol, ein Modus, der
den Internet-Verkehr und genutzte Sites
per Benutzer erfaßt.
Somit ist und bleibt der Observer ein
Handwerkszeug für den Netzwerkall-
Info:
Network Instruments
Tel.: 0044/1322/303045
Web: www.netinst.com
oder: www.observer-analyzer.de
tag, der sowohl leichte Arbeit wie auch
knifflige Themen im Netz abdeckt.
Doch auch hier ist das Tool nur so gut
wie sein Benutzer: Er ersetzt nicht das
Netzwerk-Know-how.
LANFOX Die Produkte des britischen
Herstellers Chevin gehen noch stärker
in Richtung Netzwerkmanagement. Der
Cnapro Lanfox ist dem Observer sehr
ähnlich, legt seinen Schwerpunkt aber
eindeutig auf die Unterstützung des
Change-Managements. So kann der Anwender damit erfassen, wenn Stationen
umziehen oder wenn die Service Packs
oder Patch Releases aktualisiert werden. Denn dann verändert sich neben
vielem anderen auch das Protokollverhalten der Stationen und die Adreßzuweisungen.
Der Analyzer erfaßt diese Details und
visualisiert sie auch. Im Hintergrund
wächst so nach und nach eine Datenbank, mit der der Administrator die einzelnen Stationen und Knotenadressen
verwalten kann. Mit dem Schwerpunkt
Wire-Based-Management ist der Cnapro Lanfox weder ein Analyzer noch ein
Management-Tool, sondern liegt genau
dazwischen.
Info:
Chevin
Tel.: 0044/1943/465378
Web: www.chevin.com
oder: www.chevin-analyzer.de
FAZIT Für verschiedene Anlässe und
Funktionen sind jeweils verschiedenen
Produkte interessant. Und bei den beschriebenden Tools sind der Surveyor,
der Observer und der Landecoder32 die
wichtigsten.
Alle vorgestellten Produkte kommen
ausschließlich auf Windows-Plattformen zum Einsatz. Für Apple-Macintosh-Systeme steht mit Etherpeek und
Tokenpeek von Aggroup ein weiteres
Analyse- und Statistik-Tool zur Verfügung.
(Frank R. Walther,
Oliver Thewes/db)
INHALT PRODUKT-NEWS
PRODUKT-NEWS:
AKTIVE KOMPONENTEN
Aktive Komponenten: 46 Hubs, Switches, Router, NICs
Passive Komponenten: 47 Kabel, Kabelsysteme,
Anschlußdosen, Schränke, Monitor-Zusammenschalter
Management: 48 Netzwerkbetriebssysteme, RemoteControl-SW, System- und Netzwerkmanagement
Sicherheit: 50 Firewalls, Virenschutz, KryptoTechniken, Authentisierungssysteme, USVs
Messaging und Collaboration: 51 WWW-Server, Tools
für Webpage-Erstellung, Tools für Internet-Management,
Groupware, E-Mail, Fax-SW
Telekommunikation: 52 ISDN, X.25, Modems, X.400,
Kompression, Multiplexer, TK-Dienste, TK-Anlagen,
CTI, LC-Router, GSM-/SAT-Handy, Videoconferencing
Datenendgeräte: 54 Server, Workstations, NCs, PCs,
Net-PCs, Laptops, Notebooks, Printserver
Meßtechnik: 55 Kabeltester, ISDN-Tester, Protokollanalysatoren, ATM-Tester
Load-Balancer
mit Firewall
Komponenten
für Workgroups
Speziell an Internet Service
Provider (ISP) wendet sich
Hydraweb mit dem Produkt
Hydrafire. Der Hardware-Basierende Load-Balancer verfügt dabei über eine integrierte
Application-Level-Firewall und soll Websites einerseits gegen unbefugte Zugriffe sichern und gleichzeitig befugte Zugriffe optimal auf die
vorhandenen Server verteilen. Die Firewall arbeitet sowohl als Paketfilter als auch
als Application-Gateway. Die
Kombination aus Router-basierendem
Load-Balancer
und Firewall ermöglicht die
Authentifizierung und Verteilung der Anfragen in einem
Schritt und soll das Antwortverhalten von Internetanwendungen verbessern. Hydrafire
wird aus Redundanzgründen
nur paarweise verkauft und ist
zu einem Preis von 45.000
Dollar pro Paar verfügbar.
(gh)
Neu auf dem deutschen
Markt ist das japanische Unternehmen Techworks, das mit der
Produktlinie Buffalo das Segment der Arbeitsgruppen bedienen will. Das leistungsstärkste
Gerät ist der Switch Buffalo
LSW10/ 100-8H mit 8 10/100
MBit-Ports. Alle Ports sind über
DIP-Schalter für Autonegotiation, Geschwindigkeit und
Duplex-Modus konfigurierbar
und unterstützen Halb- und
Vollduplex im 100Base-TX
und 10Base-T-Modus. Der
Switch verfügt über einen 512
KByte großen Datenpuffer und
Info:
Hydraweb
Tel.: 069/78807656
Web: www.hydraweb.com/
z5_pr_19991101-hydrafire.html
E-Mail: sales@hydraweb.com
46
L AN line 1/2000
kann 8192 MAC-Adressen lernen und verwalten. Im
kompakten Metallgehäuse mit
integrierter Stromversorgung
kommt kein Ventilator zum
Einsatz, was den Betrieb des
Switches besonders geräuscharm machen soll. Das Gerät ist
für knapp 400 Mark erhältlich.
Für den Anschluß von Arbeitsgruppen hat Techworks zwei
Hubs mit je 8 und 16 10Base-TPorts im Programm. Die 16Port-Variante verfügt zudem
über einen BNC-Anschluß.
Beide Repeater-Hubs unterstützen Auto-Partitioning und
verfügen über LEDs zur Anzeige des Betriebszustands, PortAktivität und Kollisionsmeldung. Die 8-Port-Version kostet 120 Mark während die 16Port-Variante für 185 Mark zu
haben ist. Den Anschluß der
Arbeitsstationen an das Netz
übernehmen schließlich eine
PCI- und PCMCIA-Netzwerkkarte, die beide 10Base-T und
100Base-T sowie den Betrieb
im Full-Duplex-Modus unterstützen. Die PCI-Karte kostet
knapp 55 Mark während die
PCMCIA-Card für 120 Mark
über den Ladentisch geht. (gh)
Info:
Techworks
Tel.: +44 1753 677500
Web: www.techworks.co.uk
E-Mail: main@techworks.co.uk
Zu aggressiven Preisen bietet Techworks aktive Komponenten für
kleine Netzwerke an
Layer-3-Switch
für Token Ring
Für Token-Ring-Switches
von Madge bietet der Hersteller jetzt das “Smart
Ringswitch TSL-Modul” an,
das auf Layer 3 arbeitet und
den Datenaustausch zwischen IP-Subnetzen direkt in
den Smart-Ringswitches ermöglicht. Auf diese Weise
will Madge das Verkehrsaufkommen zwischen existierenden Routern reduzieren
und zusätzliche Bandbreite
für das Netzwerk freisetzen.
Das Modul kann in vorhandenen Switch-Systemen von
Madge ohne Änderungen
an der vorhandenen Infrastruktur installiert werden.
Der empfohlene Listenpreis
liegt bei knapp 5000 Dollar.
(gh)
Info:
Madge Networks
Tel.: 06102/73060
Web: www.madge.com
E-Mail: main@techworks.co.uk
Netzwerkkarte
mit Flow-Control
Der neue DFE-550TXFast-Ethernet-Adapter von
D-Link für den PCI-Bus unterstützt Flow-Control nach
802.3x. Wenn die Netzwerkkarte mit einem Switch kommuniziert, der ebenfalls
Flow-Control
unterstützt,
dann können sich die Geräte
auf eine Unterbrechung des
Datenflusses einigen. Neben
Wake-on-LAN-Funktionalität verfügt die 105 Mark
teure Karte zudem über Autosensing und Full-Duplex-Betrieb. (gh)
Info:
D-Link
Tel.: 0800/72500000
Web: www.dlink.de
PRODUKT-NEWS:
PASSIVE KOMPONENTEN
Gitterkanäle
sorgen für Ordnung
19-Zoll-Gehäuse
für Filialen
Die
Gitterkanäle
des
schwedischen
Herstellers
Defem sind aus leichtem
Material und bestehen aus
wenigen Systemkomponenten, die sich durchaus auch
für mehrere Ebenen einsetzen lassen.
Die 19-Zoll-Gehäuse der Pico-Reihe von Quante dient zur
Aufnahme von aktiven und
passiven Komponenten in Netzen mit bis zu 20 Teilnehmern.
Spezielle Vorrichtungen
ermöglichen es dem Anwender, daß er auch Geräte darin
Die Gitterkanäle von Defem bestehen aus wenigen Systemkomponenten, die sich auch für mehrere Ebenen einsetzen lassen. Die Trennung
der einzelnen Kabelarten übernehmen eigene Trennelemente, die zudem voreiner Störbeeinflussung schützen und die sich ohne Werkzeug
installieren lassen.
Sie eignen sich vor allem
für Installationen, die immer
wieder verändert werden.
Trennelemente sorgen dabei
für eine Trennung der Kabelarten und schützen vor Störbeeinflussungen. Diese Trennelemente sollen sich ohne
Werkzeug installieren lassen.
Die Radiusbegrenzer sorgen dafür, daß der minimale
Biegeradius von 40 Millimeter eingehalten wird. Auch
Kennzeichnungsschilder enthält das Metallgittersystem.
In Deutschland ist es beim
Distributor Pflitsch erhältlich.
(db)
unterbringen kann, die nicht
dem 19-Zoll-Formatfaktor entsprechen.
Zudem kann der Anwender das Gehäuse mit verschiedenfarbigen austauschbaren Dekoelementen an das
Design der Büroumgebung
anpassen.
Die abschließbare Tür soll
sich auf Knopfdruck austauschen lassen, und die Kabeleinführung soll von vier Seiten möglich sein.
Pico ist als Stand- oder
Wandgehäuse einsetzbar und
kostet zwischen 650 und 850
Mark. (db)
Info:
Pflitsch
Tel.: 02192/911-0
Web: http://www.pflitsch.de
Info:
Quante
Tel.:0202/292-0
Web: http://www.quante.de
L AN line 1/2000
47
PRODUKT-NEWS:
MANAGEMENT
Performance-Management für SQL-Server
Die Version 4.2 der Performance-Management-Software Sysload bietet nach Angaben des Herstellers Loan
System wesentliche neue
Funktionen: So überwacht,
analysiert und diagnostiziert
das Produkt auch die Datenbank Microsoft SQL-Server,
das Betriebssystem Windows
2000, den Windows NT Terminal Server (TSE) sowie
Winframe von Citrix. Zu den
neuen Funktionen zählen ferner die Unterstützung von
Sun Solaris 7 (Intel und
Sparc) sowie Novell Netware
5.0. Sysload 4.2 wartet ferner
mit einer überarbeiteten Reporting-Anzeige auf, die mehr
Analyse- und Auswertungsmöglichkeiten sowie eine umfassendere Diagnose des ITSystems bieten soll. Vereinfacht und verbessert wurde
auch das Handling der grafisch orientierten zentralen
Überwachungskonsole, zusätzlich wurden die Monitoring-Funktionen erweitert.
Insgesamt präsentiert sich
Sysload 4.2 in seiner aktuellen Form als integrierte Komplettlösung für das Performance-Management von Servern, Datenbanken und Applikationen. Zu den wichtigsten unterstützen Plattformen
zählen neben den genannten
auch IBM AS/400 sowie eine
Vielzahl von Unix-Derivaten.
Spezielle
Sysload-DB-IAgenten (Database Intelligent
Agents) stehen außer für MS
SQL-Server auch für Sybase
und Oracle zur Verfügung.
Darüber hinaus beziehen
Sammelagenten für Lotus
Domino, MS Exchange und
MS Internet Information Ser-
48
L AN line 1/2000
ver (IIS) diese Produkte in das
Performance-Management
von Sysload 4.2 ein. Zum allgemeinen Leistungsumfang
des auf einer verteilten Client-/
Server-Architektur basierenden Produkts zählen beispielsweise Reaktionen auf
Alarmmeldungen und Störun-
gen, Echtzeitüberwachung,
Langzeit- und Trendanalysen
für Systemressourcen und
Nutzeraktivitäten einschließlich der Lizenzüberwachung.
(pf)
Info:
Sysload Software GmbH
Tel.: 02171/729342
Web: www.sysload.de
Fernwartung auch
über Web-Browser
Die Remote-Control-Lösung
Controlit von Computer Associates wartet in der Version 5.0
mit zahlreichen neuen und erweiterten Funktionen auf. Hierzu zählen nach Angaben des
PRODUKT-NEWS:
MANAGEMENT
Herstellers insbesondere eine
zentrale Konfigurationsverwaltung, die Unterstützung von
Windows 2000 und HTTP sowie die Fernwartung via WebBrowser. Ferner existieren neuentwickelte Hilfen für die dezentrale Verwaltung von NTServern, für Help-Desk-Unter-
stützung sowie für virtuelle
Schulungen und Telearbeit.
Bei der Fernwartung übers
Internet sollen sich sämtliche
Remote-Control-Funktionen
direkt über einen herkömmlichen Web-Browser ausführen
lassen. Die neue HTTP-Unterstützung erlaubt die Fernsteue-
rung Firewall-geschützter Systeme unter Verwendung dieses Protokolls. Die zentralisierte Verwaltung erlaubt unter anderem die Aufnahme neuer Benutzer in das Remote-ControlSystem durch Synchronisation
mit Windows-NT-Domänen.
Erweiterte Verschlüsselungs-
und administrative Funktionen
sollen die Einsatzmöglichkeiten verbessern.
Controlit 5.0 unterstützt
die Betriebssysteme Windows
2000, NT, 95/98, 3.x sowie
DOS über die Protokolle IP,
IPX und Netbios. Die Fernwartung läßt sich über LAN/
WAN, Einwählverbindungen
oder das Internet realisieren.
Die Zwei-Benutzer-Lizenz von
Controlit 5.0 kostet 399 Mark.
(pf)
Info:
CA Computer Associates GmbH
Tel.: 06151/949-0
Web: www.cai.com/offices/germany
Single Sign-On
erweitert
Novell hat ihr Single-SignOn-Produkt um Schnittstellen
für fünf weitere Applikationen erweitert. Unterstützt
werden hiermit Peoplesoft
7.x, Vantive in den Versionen
6, 7 und 8 sowie die drei hauseigenen Produkte Novell Client for Windows NT, Novell
SQL Integrator und Novell
Groupwise 5.5 Enhancement
Pack. Die neuen Applikationsschnittstellen
können
kostenlos von Novells Internet-Seiten heruntergeladen
werden. Single Sign-On ist eine NDS-basierende Software,
die es den Benutzern ermöglicht, nach einem einmaligen
Log-in alle ihnen zustehenden
Applikationen ohne weitere
produktspezifische Paßworteingaben zu nutzen.
Netware-5-Kunden können
Single-Sign-On-Lizenzen zum
Preis von 49 Dollar pro User erwerben. (pf)
Info:
Novell GmbH
Tel.: 0211/5631-0
Web: www.novell.com/products/sso
L AN line 1/2000
49
PRODUKT-NEWS:
SICHERHEIT
Guardian
Firewall 4.0 mit IPSec
Das Windows-NT-basierende System Guardian Firewall/Netguard Control Center
unterstützt in der Version 4.0
jetzt auch IPSec. Die Guardian
nenten wie Verschlüsselung
durch 56 Bit DES oder 168
Bit Triple-DES, User-Authentifizierung und Key-Management. Darüber hinaus
soll die Software kompatibel
zu anderen IPSec-Produkten
sein.
Die IPSec-Beschleunigerkarte steuert alle VPN-Funktionen und soll eine
Beeinträchtigung der Firewall-Server-Leistung verhindern
IPSec-Beschleunigerkarte
wird auf dem Firewall-Server
unter Windows NT 4.0 installiert und übernimmt alle VPNFunktionen. Der Datendurchsatz soll bei 45 MBit/s liegen.
Mit dem Guardian-Node-Manager, der zur Integration und
Konfiguration der PCI-basierenden Beschleunigerkarte und
der Client-Software dient, steht
Netzwerkadministratoren eine
Überwachungskonsole für die
Verschlüsselung und Authentifizierung von VPNs zur Verfügung. Ein grafisches BenutzerInterface soll das schnelle
Aufsetzen und Entfernen von
IPSec-gesicherten GuardianNodes, Intra/Extranets und Remote-Anwendern ermöglichen
sowie zum Troubleshooting
der Konfiguration dienen.
Die IPSec-Client-Software
läuft unter Windows 9x und
NT 4.0 und umfaßt Kompo-
50
L AN line 1/2000
Das Starterpaket mit einer
3DES-IPSec-Beschleunigerkarte, 25 Lizenzen und dem
Guardian-Node-Manager ist
ab 11.000 Mark bei CompuShack und PSP Net erhältlich.
(mw)
Info:
Netguard
Tel.: 00972/66449936
Web: www.netguard.de
E-Mail: yossi@netguard.de
Secretsweeper 2.0
Bei Secretsweeper 2.0 handelt es sich um ein Snap-in für
den Mailsweeper für SMTP
Version 4.1von Content Technologies. Die Software fungiert als Gateway für Encryption und digitale Signaturen.
Hier wird festgelegt, welche Anwender verschlüsselte
beziehungsweise
signierte
E-Mails versenden oder empfangen dürfen. Unautorisierte
oder unbekannte Verschlüsselungen werden unterbunden
und unbekannte Schlüssel und
Zertifikate zurückgewiesen.
Darüber hinaus ist die Software
in der Lage, verschlüsselte
S/MIME-Mails auszupacken
und die digitalen Inhalte und
Signaturen zu überprüfen.
Secretsweeper 2.0 bietet die
Möglichkeit von Site-to-SiteEncryption und/oder zu individuellen Anwendern. Die Software wird über die Oberfläche
des Mailsweepers verwaltet.
Secretsweeper verwendet ein
Public-Key-Verfahren (RSAAlgorithmus). Mögliche Verschlüsselungsverfahren sind
DES, 3DES, 40 Bit RC2, 64
Bit RC2 und 128 Bit RC2. Voraussetzung für den Einsatz der
Content-Security-Software ist
der Mailsweeper für SMTP
Version 4.1. Hardware-Voraussetzung hierfür ist mindestends ein Rechner mit 400
Sichere VPNKonzentratoren
Altiga Networks stellt drei
Konzentratoren für den Aufbau von virtuellen privaten
Netzen (VPN) vor. Die Geräte
finden ihren Platz zwischen
dem LAN und dem WANoder Remote-Access-Router in
der Unternehmenszentrale sowie in den Außenstellen und
verschlüsseln den Datenverkehr mit bis zu 168 Bit. Neben
168 Bit Triple-DES unterstützen die Konzentratoren ebenfalls 56 Bit DES (IPSec) sowie
40 und 128 Bit nach RC4. Mobile Benutzer, die von unterwegs eine VPN-Verbindung in
das Firmen-LAN über das Internet aufbauen wollen, benötigen keine eigene Client-Software, da Altiga Microsofts
VPN-Clients unterstützt. Der
C10-Konzentrator unterstützt
100 parallele Verbindungen
und verfügt über einen Datendurchsatz von 4 MBit/s. Der
Der VPN-Konzentrator von Altiga Networks ermöglicht die sichere und
kostengünstige Anbindung von Außenstellen über das Internet
MHz, 128 MByte RAM,
1 GByte freier Speicherplatz
auf der Festplatte sowie ein
CD-ROM-Laufwerk. Secretsweeper 2.0 kostet in der Version für 100 Benutzer bei
Allasso zirka 10.000 Mark.
(mw)
größere Bruder C20 verschlüsselt 1250 Sitzungen und schafft
25 MBit/s. In der größten Ausbaustufe erreicht der C50 5000
Verbindungen mit 100 MBit/s.
Da die Geräte modular aufgebaut sind, kann ein C10 durch
Einschubmodule bis zu einem
C50 aufgerüstet werden. (gh)
Info:
Allasso GmbH
Tel.: 089/450660-0
Web: www.allasso.de
E-Mail: info@allasso.de
Info:
Altiga Networks/PTE
Tel.: 0211/746126
Web: www.altiga.com/products
E-Mail: juergen@manrep.com
PRODUKT-NEWS:
MESSAGING UND COLLABORATION
Unterstützung verbessert haben. Ein weiteres Novum ist
zudem die Portierung der
Software auf Linux. Die
Preise für die Version 4.5 liegen zwischen knapp 1300
und 3500 Dollar. (gh)
Info:
Allaire/Internet 2000
Tel.: 089/6302730
Web: www.allaire.com/products/
ColdFusion/45/announce
E-Mail: werner.brandt@
internet2000.de
Unified Messaging
für Notes
Mit einem Web-Browser verwaltet der Auktionator die aktiven
Auktionen in seinem Online-Shop
Auktionsmodul
für Openshop
Version 4.5
von Cold Fusion
Anbieter von OnlineShops auf Basis der Openshop-Software des gleichnamigen Herstellers können ihre Webpräsenz jetzt um Auktionen erweitern. Beim Einrichten einer neuen Auktion
hat der Administrator die
Möglichkeit, das Start- und
Enddatum, Startpreis und
Mindeststeigerung zwischen
den Geboten über ein WebInterface festzulegen. Weitere Features des “Openshop
Auction Moduls” sind eine
Historienliste, die Auskunft
über die zuletzt versteigerten
Artikel gibt sowie eine Statusanzeige der aktuellen
Auktionen. Das neue Modul
ist ab sofort erhältlich und
kostet knapp 5000 Mark.
(gh)
Der Web-Application-Server Cold Fusion von Allaire
geht in eine weitere Versionsrunde. Die Version 4.5,
die in Deutsch ab Anfang
2000 verfügbar sein soll,
überwacht jetzt Cold-Fusion-Server im Cluster und leitet Anwender bei einem
Hard- oder Softwaredefekt
automatisch auf einen anderen Server um.
Ebenfalls neu ist die Integration von Ciscos Local Director, der in Abhängigkeit
von der Belastung der Server
Zugriffe auf wenig in Anspruch genommene Maschinen verteilt. Durch die Unterstützung von Java-Objekten und Enterprise Java
Beans (EJB) können Unternehmen den ApplikationsServer jetzt auch um eigene
Module ergänzen. Neben der
Projektverwaltung will der
Hersteller auch die XML-
Info:
Openshop
Tel.: 089/45079-0
Web: www.openshop.de/
menude/News
E-Mail: g.malottke@openshop.com
Die neue Version 4.2 des
Unified Messaging Systems
Thor von Digitronic stellt
seine Funktionen Fax, Voice-Mail, E-Mail und SMS
nun auch Lotus Notes/Domino ab der Version 4.5 zur
Verfügung.
Da der Thor-Server auf die
selbe Datenbank wie der Lotus
Notes
Fax-Server
zurückgreift, kann dieser ohne Umstellungen ausgetauscht werden. Neu ist
ebenfalls die Unterstützung
von LDAP das (Lightweight
Directory Access Protocoll)
zur Benutzerverwaltung in
externen Verzeichnissen, eine überarbeitete Benutzeroberfläche sowie die Implementation der MicrsoftSpeech-API für zukünftige
Text-to-Speech-Engines anderer Hersteller.
Benutzer des MessagingServers können sich in der
neuen Version auch per SMS
oder Telefonanruf über den
Eingang neuer Nachrichten
informieren lassen. (gh)
Info:
Digitronic
Tel.: 04103/9142-0
Web: www.digitronic.de/
Thor_Produkt.htm
E-Mail: info@digitronic.de
L AN line 1/2000
51
PRODUKT-NEWS:
TELEKOMMUNIKATION
lers in allen Ländern für eine
einfache Einrichtung des weltweit zugelassenen Mobil-Modems sorgen. Um Kabelsalat
zu vermeiden, ist die ModemKarte mit einem neuen durchgängigen Verbindungskabel
zwischen PC-Card und Telefondose ausgestattet. Der Preis
des Cardbus Modem 56 Winglobal beträgt 309 Mark. (pf)
Die ISDN-Karte Diva Server 4BRI unterstützt digitalen, analogen und
GSM-Zugang
CAPI-ISDN-Karte
mit vier Ports
Als universelle ISDN-Server-Karte mit vier S0-Schnittstellen ist die neue Diva Server 4BRI von Eicon Technology konzipiert. Der mit einem RISC-Prozessor und acht
DSPs ausgestattete PCI-Adapter gestattet Remote-Zugriffe auf acht Kanälen
gleichzeitig, die entweder
über ISDN, Modems (bis
V.90) oder GSM möglich
sind. Neben Remote Access
unterstützt die Diva-ServerKarte auch den Internet-Zugang und eignet sich über die
CAPI-2.0-Anwendungsschnittstelle auch als Plattform für eine Vielzahl von
Applikationen wie Sprache,
Fax oder Unified Messaging.
Die Plug-and-Play-Karte
unterstützt nach Angaben des
Herstellers alle internationalen ISDN-Protokolle sowie
die Betriebssysteme Windows 9.x, NT, Windows 2000
Server, DOS, OS/2, Linux
und Unix. Die Adapter lassen
sich via Software-Upgrade
aktualisieren, ferner ist eine
Skalierbarkeit durch den Einsatz mehrerer Karten pro Ser-
52
L AN line 1/2000
ver gewährleistet. Diva Server 4BRI ist zum Preis von
3447 Mark erhältlich. (pf)
Info:
Eicon Technology
Tel.: 07152/930-218
Web: www.eicon.de
Cardbus-Modem für
Windows-Notebooks
Hinter der aufwendigen Bezeichnung Cardbus Modem 56
Winglobal (CBM56WG) verbirgt sich ein neues Mobil-Modem für Windows-Benutzer.
Die Typ-II-PC-Card unterstützt den 32-Bit-PCI-Bus des
Notebook-Rechners; sie soll
nach Angaben des Herstellers
hohe Leistungsfähigkeit mit
geringerem Stromverbrauch
und entsprechend verlängerter
Batterielebensdauer kombinieren.
Das V.90-Modem bietet
Übertragungsgeschwindigkeiten von bis zu 56 kBit/s. Der
Einsatz des Plug-and-Play-Systems ist speziell für WindowsBetriebssysteme
optimiert
(Windows 95 R2, 98, NT 4.0
und Windows 2000). Eine spezielle Konfigurations-Software
soll nach Angaben des Herstel-
Info:
Xircom Deutschland GmbH
Tel.: 089/607 68-350
Web: www.xircom.com
Zugangskonzentrator
für ISPs
Mit dem Zugangskonzentrator Max 3000 wendet sich Lucent Technologies sowohl an
Internet-Service-Provider mittlerer Größe als auch an Unternehmen, die beispielsweise
VPN-Architektur einsetzen.
Max 3000 ist sowohl kompakt
als auch skalierbar: Das stapelbare System unterstützt zwei
E1-Leitungen und 60 Modems
pro U-Rack (4,4 Zentimeter
Höhe, 43,2 Zentimeter Breite),
mehrere Geräte lassen sich als
ein virtuelles System verwalten.
Unterstützt wird nach Angaben des Herstellers ein komplettes Spektrum von WANSchnittstellen, insbesondere
auch vorhandene Max-Einsteckkarten. Über einen integrierten TDM-Switch lassen
sich Port-Ressourcen zu einem
Pool zusammenfassen, ferner
können Teile der E1-Bandbreite zur Unterstützung einer TKAnlage verwendet werden.
Speziell für den Einsatz in Unternehmen unterstützt das Produkt eine Vielzahl von VPNund Sicherheitsprotokollen wie
L2TP, ATMP, PPTP und
IPSec. Die Einbindung von
IPSec-Verschlüsselungs-Hardware ist für Anfang 2000 vorgesehen, ab Mitte des Jahres ist
VoIP-Unterstützung geplant.
Wie alle Max-Produkte läuft
auch Max 3000 unter dem Betriebssystem TAOS (True Access Operating System), das
globale Sprach-, Daten, Videound Funkstandards unterstützen soll. Die Wartung des Systems wird nach Angaben von
Lucent durch herausnehmbare
Systemträger und DIMMSpeicher erleichtert, ein neues
Kühlsystem soll Ausfallzeiten
reduzieren. (pf)
Info:
Lucent Technologies
Tel.: 0800/3603000
Web: www.lucent.de
Sprache und
Daten vereint
Unter der Bezeichnung IP
3000 hat das Sindelfinger Unternehmen Innovaphone ein
Voice-over-IP-Gateway auf
den Markt gebracht, das vor allem für Firmenstandorte mit
hohen Kommunikationskosten
geeignet sein soll. Die gemeinsame Übertragung von Sprache und Daten via IP läßt sich
insbesondere zur Kopplung
mehrerer TK-Anlagen an verschiedenen Standorten nutzen,
beispielsweise in einem größeren Unternehmen, das mit seinen Filialen über entsprechende Gateways kommuniziert.
Für die Anwender ändert sich
dabei an der bisherigen
Telefonumgebung nichts, auch
die gewohnte Sprachqualität
soll erhalten bleiben.
IP 3000 unterstützt Telefonie
auf bis zu 30 Kanälen, zwei
koppeln
S2M-Schnittstellen
das Gateway an die Amtslei-
PRODUKT-NEWS:
TELEKOMMUNIKATION
tung oder die Telefonanlage.
Die Anbindung ans IP-Netz erfolgt über eine 100BaseT-Ethernet-Schnittstelle. Ein
RISC-Prozessor und ein digitaler Signalprozessor sollen für
hohe Sprachqualität und die
nötige Sprachkomprimierung
sorgen. Das als 19-Zoll-Einschub konzipierte Gerät soll
durch einfaches Kaskadieren
beliebig erweiterbar sein. Das
Modell IP 3000 ist zum Preis
von 26.000 Mark erhältlich.
(pf)
VPN-Anwendungen.
Auch
lassen sich SNA-Verbindungen in Kombination mit dem
SNA-Server von Microsoft
oder dem Enetwork-Server
von IBM herstellen. Als Betriebssysteme werden Windows NT und Unixware unterstützt. Mit Hilfe des Digi-Dri-
ver-Kits können Systementwickler aber auch eigene Treiber für spezifische Umgebungen entwickeln.
Standardmäßig arbeitet der
Adapter mit dem PowerquiccProzessor MPC860 von Motorola mit 40 MHz und verwendet die Frame-Relay-Kompres-
sion FRF.9. Optional ist auch
ein EC603e-Prozessor von Motorola mit 100 MHz verfügbar.
Der WAN-Adapter Datafire
Sync/2000 cPCI ist zu Preisen
ab 2500 Mark erhältlich. (pf)
Info:
Digi International
Tel.: 0231/9747-0
Web: www.digieurope.com
Info:
ITM GmbH
Tel.: 02131/9526-01
Web: www.itm-group.com
WAN-Adapter
für Compact-PCI
Im Rahmen ihrer CompactPCI-Familie hat Digi International den synchronen WANAdapter Datafire Sync/2000
cPCI auf den Markt gebracht.
Die Karte ist wahlweise mit
zwei oder vier Ports ausgestattet und unterstützt Internet,
Frame Relay sowie X.25. Die
Compact-PCI-Familie, zu der
auch der Access-Konzentrator
Datafire DSP 30/60 (ein beziehungsweise zwei S2M-Ports,
V.90-Unterstützung)
zählt,
richtet sich nach Angaben des
Herstellers vor allem an Telcos, ISPs und große Unternehmen. Die Einsatzbereiche der
Produktfamilie decken WANRouting, Virtual Private Networking, Remote Access, Einund Auswahl für Internet-Applikationen und Faxanwendungen ab.
Die neue Karte Datafire
Sync/2000 bietet speziell den
schnellen WAN-Anschluß beispielsweise für Routing- und
L AN line 1/2000
53
PRODUKT-NEWS:
DATENENDGERÄTE
Thin-Clients
aus der Tube-Serie
Die Thin-Clients von Athena
wurden speziell für die Anbindung an das Server-based-Computing-Produkt
Meta-Frame
von Citrix konzipiert. Über die
Citrix-Device-Services lassen
sie sich auch direkt an den Windows-NT-Terminal-Server von
Microsoft anschließen. Zusätzlich enthalten die Geräte Terminal-Emulationen für den Zugriff auf Unix-Hosts und bieten
DOS-Grafikunterstützung. Sie
sind ausgestattet mit einer Soundkarte, einer PS/2-Maus, einer Grafikbeschleunigerkarte,
einem seriellen Port und einem
Ethernet-Anschluß. Außerdem
liegt ein User-InformationTool mit bei, das die Benutzeradministration vereinfachen
soll. Die Management-Software läuft unter Windows NT
4.0. Der Preis für die Minimalkonfiguration liegt bei zirka
1000 Mark. (gg)
men redundante im laufenden
Betrieb
austauschbare Stromversorgungs- und
Kühlaggregate. Das System
läuft unter AIX 4.3.3. Der
Escala EPC2400 ist von zirka 704.000 Mark an aufwärts
erhältlich. (gg)
re Daten dieses Notebooks
lauten: Der Arbeitsspeicher
beträgt 64 MByte, das TFTDisplay ist 13,3 Zoll groß, die
Festplatte verfügt über eine
Kapazität von 4,3 GByte, und
der Preis liegt bei 4999 Mark.
(gg)
Info:
Bull GmbH
Tel.: 02203/3050
Web: www.frec-bull.com
Info:
Gateway Europe
Tel.: 0800/1820854
Web: www.gateway.com/de
BusinessNotebook
RackmountServer
Speziell an Business-Anwender wendet sich das Solo2550-Notebook. Das Gerät
verfügt über einen 450-MHzPentium-III-Prozessor
für
mobile Systeme. Wahlweise
lassen sich einerseits CD-
Die auf Intel-Prozessoren
basierte Aviion-Server-Familie von Data General
reicht von Abteilungs-Servern bis zu High-end-Geräten. Die Server laufen unter
anderem mit Windows NT,
Server für
kleine Netze
High-EndServer
Unixware, Open Server, Intranetware und Citrix Winframe Enterprise. Sie sind
nach Herstellerangaben auch
für Multi-Node-LAN-Konfigurationen sowie Windows
NT- und Unix-Cluster-Lösungen geeignet. Das Einstiegsmodell kostet 40.600
Mark. (gg)
Der HP Net-Server E55 kostet in seiner Einstiegskonfiguration 3310 Mark, inklusive einer einjährigen Vor-OrtGarantie. Er besteht aus einem
PII-450-MHz-Prozessor, 64
MByte SDRAM Arbeitsspeicher (erweiterbar auf 1 GByte)
und 512 KByte Cache. Die
Festplattenkapazität
beträgt
9,1 GByte und Netzwerkkarte,
CD-ROM- sowie Diskettenlaufwerk sind integriert. (gg)
Info:
Senetco
Tel.: 089/8996980
Web: www.senetco.com
Info:
Hewlett-Packard GmbH
Tel.: 0180/5326222
Web: www.hewlett-packard.de/
network
Das Solo-2550-Notebook
54
L AN line 1/2000
Mit Flachbett- und Vorlageneinzug arbeitet der Duplex-Dokumentenscanner
M3092DC. Der Vorlageneinzug verarbeitet bis zu 50 Blätter. Die mögliche Darstellung
der Vorlagen reicht dabei von
Schwarzweiß über 256 Graustufen bis True Color mit 24
Bit-Tiefe. Twain-Treiber für
Windows 9x und NT gehören
mit zum Lieferumfang. Die Erfassungsgeschwindigkeit liegt
bei 15 A4-Seiten pro Minute
bei 200 dpi Schwarzweiß. Bei
150 dpi in Farbe kommt das
Gerät auf fünf Seiten pro Minute. Das Simplex-/Duplex-Verfahren ermöglicht ein- oder
zweiseitiges Einlesen der Dokumente. Dank einer Scan- und
eine Send-To-Taste läßt sich
der Scanner zusammen mit einem Drucker auch als Kopierer
einsetzen. Der Preis beträgt zirka 4470 Mark. (gg)
Info:
Fujitsu Deutschland GmbH
Tel.: 089/323780
Web: www.fujitsu-europe.com
Info:
Computer Links
Tel.: 089/930990
Web: www.computerlinks.de
E-Mail: info@computerlinks.de
Der “Escala EPC2400”Server enthält pro SMPKnoten bis zu 24 CPUs – und
maximal 32 dieser Knoten
können geclustert werden.
Als Prozessoren kommen
64-Bit-450-MHz-RS/64-IIICPUs zum Einsatz, der Level-2-Cache beträgt 8 MByte
und die systeminterne Bandbreite liegt bei 24 GByte pro
Sekunde. Außerdem stehen
16 unabhängige PCI-Busse
und 56 PCI-Adapter-Slots
zur Verfügung, dazu kom-
Two in One
ROM- oder DVD- und andererseits Disketten- oder LS120-Laufwerke in das Gehäuse integrieren. Darüber hinaus
arbeitet das Notebook mit einer AGP-Grafikkarte mit vier
MByte SGRAM und einem
integrierten
V.90-Modem.
Die Lösung nutzt einen 100MHz-Front-Side-Bus,
der
Daten schneller aus dem
Hauptspeicher in den Prozessor übertragen soll. Die weite-
PRODUKT-NEWS:
MESSTECHNIK
Testgerät für
Kupferaderpaare
PC-basierter
Protokollanalysator
Das Test- und Analysegerät
“LT2000” arbeitet mit Batterien und kann Kupferaderpaare
für analoge und digitale Datenübertragungen mit einer
Bandbreite von bis zu zwei Megahertz prüfen. Zusätzlich werden bei den getesteten Frequenzen Nah- und Fernnebensprechen, Übersprechen, Dämpfung und Störgeräusche angezeigt. Der LT2000 ist nach Angaben des Herstellers für die
verschiedensten Übertragungssysteme einsetzbar, einschließlich der Basisbandbreite für
POTS-Schittstellen (200 Hz bis
10 kHz) und für HDSL- und
ADSL-Anwendungen.
Der
Preis für ein Einzelgerät liegt
unter 5000 Mark. (gg)
chen: FSIQ3 (20 Hz bis 3,5
GHz), FSIQ7 (20 Hz bis 7,0
GHz) und FSIQ26 (20 Hz bis
26,5 GHz). Damit sind Nachbarkanal-Leistungsmessungen (ACPR) an W-CDMAGeräten möglich. Mit ihren
GPIB-Schnittstellen unterstützen die FSIQ-Analysatoren auch Fertigungsanwendungen. Das ermöglicht in
rechnergesteuerten Produktionssystemen das Reagieren
auf Befehle und das Ausgeben von Meßwerten. Die
Geräte kosten je nach Ausstattung zwischen 110.000
und 140.000 Mark. (gg)
Das Toolkit “Panther” besteht aus einer PC-Einsteckkarte mit T1/E1-Signalisierungsanalysator sowie einer Bedienund Auswertungs-Software für
Windows 9x. Auf Wunsch liefert der Hersteller das Testsystem komplett vorinstalliert in
einem tragbaren Industrie-PC.
Der Panther dekodiert die
SS7-Protokoll-Level MTP 1
bis 3 und ISUP (weitere Software-Optionen sind auf Anfrage erhältlich) und berücksichtigt dabei auch die national unterschiedlichen Protokollversionen. Alle Ergebnisse werden
im Klartext beziehungsweise
als Binär- oder Hex-Code angezeigt. Für eine spätere Auswertung lassen sich die Daten auch
direkt auf die Festplatte spoolen. Filterfunktionen und grafische Werkzeuge wie Histogramme oder Charts helfen bei
der Analyse. Gängige Testkonfigurationen und -abläufe können abgespeichert und bei Bedarf abgerufen werden. Der
Preis beträgt um die 53.000
Mark. (gg)
Info:
Rhode & Schwarz
Tel.: 089/41290
Web: www.rsd.de
Info:
EHS Electronic Systems GmbH
Tel.: 089/5467290
Web: www.ehs-gmbh.com
E-Mail: mhsadeler@aol.com
Info:
Trend Communications
Tel.: 089/32300930
Web: www.trendcomms.com
E-Mail: trend.infobox@
trendcomms.com
Glasfasertester für
LAN-Anwendungen
Zum Testen von Glasfasernetzen dient die Simpli-FiberProduktfamilie. Sie erlaubt die
Messung der optischen Dämpfung von Monomode- oder
Multimode-Lichtleiterkabeln
und -Komponenten bei verschiedenen Wellenlängen. Zusätzlich speichern die Geräte
die Meßdaten und erkennen die
Wellenlängen automatisch. Eine PC-Schnittstelle gehört zusammen mit der Microtest
Scanlink Software zum Lieferumfang. Das Standardpaket
umfaßt außerdem eine LEDLichtquelle für die beiden Wellenlängen 850 und 1300 Nanometer, ein Leistungsmeßgerät
Die FSIQ ermöglicht Spektrum-, Modulations- und Zeitanalyse
für 850/1300/1310/1550 Nanometer sowie ein PC-Verbindungskabel. Zusätzlich bieten
die Lösungen ein Tastenfeld
mit vier Tasten, eine LCD-Anzeige und stoßfeste Schutzabdeckungen. Die Geräte sind
mit ST- oder SC-Anschlüssen
erhältlich und kosten ab 2795
Mark. (gg)
Info:
Microtest GmbH
Tel.: 089/6076860
Web: www.microtest.com/SimpliFiber
E-Mail: salesMTE@microtest.com
Lösungen für
W-CDMA-Messung
Die
SignalanalysatorenReihe “FSIQ” ermöglicht
nach Herstellerangaben vollintegrierte Spektrum-, Modulations- und Zeitanalyse für
W-CDMA-Anwendungen
(Wideband Code Division
Multiple Access) und alle aktuellen Standards drahtloser
Kommunikation wie GSM,
IS-136 und IS95-CDMA. Die
FSIQ-Familie, die sich vor allem an Forschung, Entwicklung und Konstruktion bei der
Herstellung von Mobilfunkgeräten wendet, umfaßt drei
Analysatoren mit unterschiedlichen Frequenzberei-
L AN line 1/2000
55
NETZWERKTECHNIK
ELEKTROMECHANISCH UNTERSCHREIBEN
Eine Alternative
zum Paßwortschutz
Das Internet, der Fernzugriff von entfernten Mitarbeitern und die An-
kann jedes Sicherheitssystem zunichte machen, etwa: wenn der Anwender mit seinem
Paßwort nicht richtig umgehen kann, ihm
seine Identifikation gestohlen wird oder
wenn er seine Identifikationen zu unsicher
verwahrt. Deshalb sucht die Branche nach
Systemen, die die Person wirklich identifizieren können, weil sie beispielsweise auf
unverwechselbaren nicht zu fälschenden
biometrischen Merkmalen basieren.
bindung von Filialen erschweren es dem Administrator, das UnternehDIE VORGABEN DER ITSEC Die EU legte
mit ITSEC “Kriterien für die Bewertung
wender authentifizieren, um auf unternehmenskritische Bereiche im
der Sicherheit von Systemen der InformaNetz zugreifen zu können. Hierzu gibt es die unterschiedlichsten Vertionstechnik” fest, mit ihnen soll eine europaweit einheitliche Bewertung von IT-Syfahren, und die meisten basieren auf Paßwörtern oder PINs (personenstemen möglich sein. Dabei ist die IT-Sibezogene Identifikationsnummern). Doch es gibt auch Verfahren, die
cherheit als eine “Kombination aus Versich sicherer verwalten lassen und komfortabler für den Anwender sind. traulichkeit, Integrität und Verfügbarkeit”
definiert. Das Vertrauen in sicherheitsspezifische Funktionen bezeichnet ITSEC als
erkömmliche Paßwörter und PINs den Kollegen die Codes zu erfahren. Oder Vertrauenswürdigkeit, und diese soll sohaben als Zugangsschutz in Netzen der Interessent erfährt durch Zufall oder wohl für die Korrektheit als auch für
einige gravierende Schwächen. Zwar kann geschicktes Fragen die Geburtstage von die Wirksamkeit sicherheitsspezifischer
sich ein Anwender mühelos eine PIN oder Frau und Kindern, den Hochzeitstag, die Funktionen gelten. Da die meisten IT-Nutein Paßwort für eine Anwendung merken – Namenstage der wichtigsten Verwandten zer nicht in der Lage sind, die Sicherheit
beides wählt er ja oft selbst aus. Doch mitt- und ähnliche Daten. Auch wird niemand der eingesetzten Systeme und Produkte
lerweile arbeitet ein Anwender mit zahlreizu prüfen, sollen
chen Anwendungen mit jeweils separatem
dies neutrale Stellen
Paßwort- oder PIN-Schutz. Damit sie sich
übernehmen. ITSEC
diese weiterhin auswendig merken könsieht dabei vor, daß
nen, wählen sich viele Anwender dafür
das Prüfungsverfahleicht nachvollziehbare Daten wie Vornaren, Evaluation gemen oder Geburtsdaten aus und setzen sie
nannt, objektiv und
womöglich noch einheitlich für alle Annach genau definierwendungen ein. Hier hat ein Hacker leichten Kriterien verlautes Spiel! Der Anwender kann den Schutz
fen soll. Die ordzwar erhöhen, indem er verschiedene PINs
nungsgemäße Evaund Paßwörter verwendet und diese immer
luation wird nach
wieder wechselt. Doch dann kann er sich
ihrem Abschluß von
einer
Zertifiziesicher nicht mehr alle auswendig merken Druckverläufe von drei Unterschriften für ein Kennfeld
Quelle: Hesy rungsstelle wie beiund wird einige “sicherheitshalber” ir- Sensor 1 bis Sensor 4 von oben nach unten
spielsweise dem BSI
gendwo notieren. In diesem Fall können
(Bundesamt für die
die PINs und Codes noch so stark verschlüsselt sein, der Hacker kann sie auf einen Kollegen oder Freund des Raums Sicherheit in der Informationstechnik) beeinfache Art umgehen: Denn er erfährt via verweisen, wenn er die PIN eingibt. Mit stätigt. Bei dieser Evaluation wird auch ge“Social Engineering” die nötigen Zu- Codes ist es nicht anders. Von einer ver- prüft, inwiefern ein Sicherheitsmechanisgangsinformationen für das Unterneh- steckten Kamera sei erst gar nicht die Re- mus (egal, ob Hard- oder Software-Lömensnetz. Unter dieser Technik versteht de. Der kriminellen Phantasie sind dabei sung) einem direktem Angriff Widerstand
man zum Beispiel, wenn ein Mitarbeiter keine Grenzen gesetzt und dem Leichtsinn leisten kann. Hierzu definierte ITSEC die
versucht, durch Schnüffeln in Unterlagen, im Umgang mit PIN und Code auch nicht. drei Vertrauensstufen niedrig, mittel und
im Schreibtisch, im Zettelkasten oder unter Die Sicherheitsmechanismen mögen noch hoch. Wird die Stärke eines Mechanismus
der Tastatur des im gleichen Büro sitzen- so sicher sein – der menschliche Faktor nach der Vertrauenstufe “hoch” geprüft,
mensnetz vor unbefugtem Zugriff zu schützen. So müssen sich die An-
H
56
L AN line 1/2000
muß dieser in der Lage sein, einem Angreifer mit sehr guten Fachkenntnissen,
mit sehr guten Gelegenheiten und sehr guten Betriebsmitteln zu widerstehen. Entspricht ein Mechanismus dieser Vertrauensstufe, gehen die Spezialisten davon aus,
daß ein derartiger Angriff “normalerweise” nicht zum Erfolg führt. Doch diese Kriterien sind von herkömmlichen PINs und
Paßwörtern kaum zu erfüllen.
BIOMETRIE ALS LÖSUNG Lösungen, die
auf biometrischen Merkmalen basieren,
können hier Abhilfe schaffen. Zu den biometrischen Merkmalen zählen zum Beispiel ein Fingerabdruck, das Gesicht oder
die Schrift. Der Mensch hat diese Merkmale immer bei sich, niemand kann sie fälschen, und er kann sie auch nicht vergessen. Somit entfällt das bisher übliche Notieren der PIN oder der Paßwörter. Ferner
darf jeder bei der Eingabe zuschauen, die
korrekte Vorgehensweise, verbunden mit
nungsverfahren lassen sich in zwei
Gruppen einteilen:
in die statischen
Merkmale wie das
Gesicht und den Fingerabdruck und in
die
dynamischen
wie die Stimme, die
Lippenbewegung
und die Handschrift.
Statische Merkmale
haben den Vorteil,
daß sie bequem und
relativ schnell sind.
Die Frontansicht einer Unterschriftsgrafik; L = links unten
Quelle: Hesy Die Gefahr dabei ist,
daß der Anwender
nur ein Gesicht beder Bitte an den Kollegen, den Raum zu sitzt und bestenfalls zehn verschiedene
verlassen, entfällt ebenfalls. Allerdings be- Fingerabdrücke. Unabhängig davon, daß
sitzt die Biometrie auch einige Schwächen. in der Fachpresse von Überlistungen beDie zukünftig in großer Zahl einsetzba- stimmter Systeme berichtet wird, kann
ren und preiswerten biometrischen Erken- festgehalten werden, daß ein einmal “ab-
L AN line 1/2000
57
NETZWERKTECHNIK
handen” gekommener Fingerabdruck, genau genommen dessen digital vorliegende
Werte, für immer unbrauchbar für die
Identifizierung ist, weil Unbefugte ihn nutzen könnten. Dasselbe gilt für das Gesicht.
Abgesehen davon kann bei den modernen,
praktisch unsichtbaren Erfassungsgeräten
und -systemen ein ungewolltes Abnehmen
eines statischen Merkmals nicht ausgeschlossen werden. Die dynamischen biometrischen Merkmale lassen solch einen
einfachen Angriff nicht zu. Hier sind die
Hürden höher, außerdem läßt sich ein dynamisches biometrisches Merkmal austauschen. Daher hat zum Beispiel DCS in Berlin eine Authentifizierungslösung entwickelt, die aus einer Kombination von
Gesicht, Stimme und Lippenbewegung besteht.
DIE EIGENHÄNDIGE UNTERSCHRIFT
Auch die Unterschrift zählt zu den dynamischen Merkmalen und läßt sich in bis zu
vier Dimensionen digital erfassen: der
Schreibdruck in drei Richtungen sowie die
Schreibgeschwindigkeit. Damit ist sie
praktisch nicht zu fälschen. Die Warnfunktion einer eignhändigen Unterschrift ist unerreicht, und keiner gibt sie ungewollt ab.
Diese digitalisierte Unterschrift benötigt
neben dem Sensor einen Schreibstift als
“Werkzeug”. Der Stift bestand bisher aus
einem drucksensitiven Spezialstift, meist
japanischer Herkunft, mittlerweile kann
das aber nahezu jeder herkömmliche Stift
sein. Die zweite Komponente des Systems,
der Unterschriftenprüfer (Sensor), besteht
aus einer Schreibfläche beliebigen Materials (wie Metall, Kunststoff oder Glas), die
auf vier Wägezellen (Drucksensoren) gelagert ist. Die juristisch relevanten personentypischen Daten der Unterschrift, die
Schreibdrücke und die Schreibgeschwindigkeit, die beim Wandern des Stifts über
die Fläche entstehen, werden mit 1600
Werten pro Sekunde erfaßt, digitalisiert
und mit einer geeigneten Software verarbeitet. Da niemand immer exakt die gleiche Unterschrift leisten kann, wird aus
mehreren Unterschriften ein Kennfeld erstellt, in dem auch die folgenden Unterschriften liegen müssen. Damit gibt der
Anwender mit seiner eigenhändigen Un-
58
L AN line 1/2000
terschrift im wahrsten Sinne eine digitale
Signatur nach SigG ab. Diesen Zugriffsschutz via Unterschrift kann der Sicherheitsbeauftragte sogar gewichten: Er hat
die Möglichkeit, dieses Kennfeld für eine
strenge Zutrittskontrolle für sehr unternehmenskritische Bereiche eng zu dimensio-
Paßwort kennen, doch das System verlangt
darüber hinaus die eigenhändige schriftliche Eingabe dieses Paßworts, die mit der
Originalunterschrift des Anwenders weitgehend übereinstimmen muß, eine kaum
zu lösende Aufgabe. Erfolgt nun ein stündlicher, täglicher oder wöchentlicher Aus-
Verwendete Literatur:
– IT-Sicherheit, Heft 2/97, Seite 15, Datakontext-Fachverlag, Frechen
– Schönleber, Claus. “Die Verschlüsselung von PC-Daten”, (Franzis Verlag).
– Kriterien für die Bewertung der Sicherheit von Systemen der Informationstechnik (ITSEC),
Amt für Veröffentlichungen der EU, 1991, ISBN 92-826-3003-X
nieren, so daß der Anwender sehr exakt unterschreiben muß und unter Umständen
auch mehrmals, bis das System die Unterschrift akzeptiert. Für weniger dramatische
Unternehmensbereiche hat er dagegen die
Möglichkeit, dieses Kennfeld entsprechend großzügiger zu dimensionieren. Damit wird das System die Unterschrift in der
Regel auf Anhieb akzeptieren. Das System
soll in der Größenordnung von 200 bis 300
Mark pro Stück inklusive der Software für
die Aufnahme und Wiedererkennung der
Unterschriften kosten.
DIE VERWENDUNG IM NETZ Bei allen
Vorteilen der Biometrie bleibt eine Frage:
Ist es zwingend erforderlich, beispielsweise für den Zugang zu einem Netz, einem
Server oder einem PC ein so starkes Mittel
wie den Fingerabdruck oder die Unterschrift abzugeben? Denn eine PIN oder ein
Paßwort läßt sich problemlos auswechseln.
Wer auf diese Eigenschaft nicht verzichten
möchte, kann dies auch mit einem biometrischen Authentifizierungssystem erreichen. Hierzu kombiniert der Anwender die
Austauschbarbeit der PINs und Paßwörter
mit den Vorteilen der elektromechanischen Schrifterfassung: Eigenhändig geschriebene PINs oder Paßwörter stehen in
unendlicher Menge zur Verfügung, sie
dürfen notiert werden, jeder darf bei der
Eingabe zuschauen. Der Administrator
kann sogar ein und dasselbe Paßwort mehreren Nutzern im Netz erlauben. Ein unbefugter Eindringling mag vielleicht das
tausch der Paßwörter, hat der Unbefugte
kaum eine Chance, den Code zu knacken.
Werden die gespeicherten Daten verschlüsselt, reichen selbst große Rechenkapazitäten nicht aus, um rechtzeitig das gültige Paßwort herauszufinden, bevor es
wieder wechselt. Selbst wenn alle Nutzer
eines Netzes mit dieser Technik das gleiche Paßwort verwenden, sind durch die individuelle Schreibweise daraus individuelle Paßwörter geworden.
Die digitale Signatur ist übrigens nach
wie vor ein wichtiges Thema in juristischen Kreisen: Mitte September fand der
8. Deutsche EDV-Gerichtstag in Saarbrücken statt (htp://edvgt.jura.uni-sb.de).
Zu diesem Kongreß trafen sich juristische
Experten, um über EDV-Belange zu diskutieren, die in der anwaltlichen Praxis
auftauchen und dazu Lösungen zu erarbeiten. Diesmal wurden unter anderem
die verschiedenen Möglichkeiten der
“Digitalen Signatur” erörtert. Dabei waren sich die Juristen größtenteils einig
darüber, daß eine digitale Signatur via
PIN keine echte Unterschrift ersetzen
kann. Sie plädierten deshalb für ein System, das die Unterschrift elektromechanisch digitalisiert.
(René Baltus, Marc-Bernd Woop/db)
Weitere Informationen:
DCS
Web: www.dcs.de
Hesy
Web: www.hesy.de
NETZWERKTECHNIK
EJB FÜR ENTERPRISE-APPLIKATIONEN
Verteilte
Verarbeitung
Enterprise Java-Beans (EJB), die Java-Spezifikation für Server-Komponenten, stößt aufgrund ihrer Fähigkeit, geschäftliche Anwendungen zu
vereinfachen und skalierbar zu gestalten, auf großes Interesse bei
Software-Entwicklern. Im Prinzip erweitern EJB das Konzept der JavaBean-Komponenten vom Client auf den Server, so daß es auch dort
beim Entwickeln, Integrieren und Installieren genutzt werden kann.
usätzlich stehen auch Services
für Ressourcen-Management und
Transaktionen zur Verfügung, das gleiche gilt für Versionsverwaltung, Skalierung, Transport und Sicherheit. Damit
lassen sich auch ohne eine große Zahl
von Systemprogrammierern robuste unternehmenskritische Anwendungen entwickeln.
Die Entwicklung betrieblicher StandardSoftware sowie das Auftauchen neuer Anbieter zwingt viele Unternehmen zu einer
höheren Integration ihrer Applikationen.
Es genügt beispielsweise nicht mehr, Vertrieb, Fertigung, Finanzverwaltung und
Versand unabhängig voneinander zu automatisieren. Statt dessen müssen umfassende Geschäftsprozesse berücksichtigt werden, die alle diese Funktionen umfassen.
Für die übergreifende Technologie hat sich
allgemein der Begriff Enterprise Application Integration (EAI) durchgesetzt. Nach
Z
High-Level-Ansicht einer EJB
60
L AN line 1/2000
Ansicht von Experten wird sich die Nutzung von EAI drastisch erhöhen, je mehr
die Unternehmen unterschiedliche Anwendungen einsetzen und mit mehreren
Herstellern zusammenarbeiten. Auch eigene Entwicklungen und funktionale Erweiterungen spielen dabei eine zunehmende
Rolle. Herstellerneutrale EAI-Lösungen
ermöglichen dabei die Konstruktion von
dynamisch konfigurierbaren und skalierbaren Geschäftsprozessen.
Mit Hilfe der Java-Bean-Architektur
können Entwickler wiederverwendbare
Anwendungskomponenten erstellen. Die
gesamte Verhaltenslogik ist dabei innerhalb einer Textkomponente als JavaBean eingebettet. Diese “Bohne” arbeitet
mit anderen “Beans” (Komponenten),
entweder durch direkte Methodenaufrufe
oder Ereignisvisualisierung. Der Nutzer
einer Bean erkennt so deren Eigenschaften und Methoden und kann sie zum Zeit-
punkt des Einsatzes nach seinen Anforderungen manipulieren. Dadurch ergeben sich selbsterklärende Schnittstellen,
um das Verhalten der Bean zu steuern.
EJB erweitert dieses Konzept noch, indem die Architektur der Ausführungsumgebung – auch “Container” genannt –
spezifiziert wird. Ebenso wird das Interface zwischen Bean und Container festgelegt. Der Mechanismus der Eigenschaften dieser “erweiterten” Bean wird
nun genutzt, um sowohl ihre Semantik,
als auch die Services für Transaktionsund Ressourcen-Management, Versionsverwaltung, Skalierbarkeit, Mobilität
und Sicherheit einzubinden, die alle vom
EJB-Container unterstützt werden.
Damit etabliert EJB einen Standard zur
Entwicklung genau definierter Komponenten für Geschäftslogik sowie für Applikations-Server, um die Komponenten
zu betreiben. Dabei besteht eine klare
Trennung zwischen den Geschäftslogikkomponenten und der Ausführungsumgebung; beide konzentrieren sich auf ihre jeweiligen Stärken. Lange Zeit hat ein
solcher Standard gefehlt, was durch die
breite Unterstützung von EJB durch alle
großen Hersteller von Standard-Software
deutlich wird.
EJB verlangt von der Ausführungsumgebung die Bereitstellung von Diensten
wie Objekterstellung, Lastverteilung, Sicherheit, Transaktionsmanagement und
Objektzustandsverwaltung. Der Applikations-Server kann entsprechende JavaAPI-Standards wie etwa Sicherheit und
Transaktion dazu nutzen, die eigentlichen Dienste von Service-Providern zu
übernehmen.
Für die Busineß-Logikkomponenten
sieht EJB ein Interface vor, um die HostServer-Umgebung zu “erkunden”. Dadurch erfährt die Komponente, welche
der genannten Dienste der Server zur
Verfügung stellt und kann diese nutzen
oder durch eigene Services ersetzen.
Anbieter von Busineß-Logikkomponenten können so EJB-kompatible Komponenten entwickeln, mit der Gewißheit,
daß diese auf jedem EJB-kompatiblen
Applikations-Server laufen. Die Komponenten können außerdem die Qualität ih-
NETZWERKTECHNIK
Die EAI-Komponente der obersten Ebene beheimatet die Busineß-Logik
rer Services auf den jeweiligen Host-Server einstellen. Entwickler von Applikations-Servern wiederum brauchen keine
proprietären Schnittstellen, um die Logikkomponenten auszuführen. Sie können sicher sein, daß sich die Komponenten wie gewünscht verhalten.
Letztlich bedeutet dies, daß Anwender
bei Applikations-Servern und Geschäftslogik die Wahl haben. Sie können ihre Logikkomponenten beispielsweise auf einen
anderen EJB-kompatiblen Server migrieren, der qualitativ bessere Services bietet.
Der semantische Inhalt der Logikkomponenten (zum Beispiel, ob sie persistent
oder transaktional sind, welche Geschäftslogik sie enthalten etc.) läßt sich programmatisch erschließen. Lokale oder verteilte
Komponenten können gleichermaßen genutzt werden. Für die Verbindung zwischen den Servern sorgt die EJB-Infrastruktur mit Hilfe von Corba/ RMI.
KONZEPTE
UND
KOMPONENTEN
EINER EAI-LÖSUNG Das übergreifende
Ziel jeder EAI-Lösung sollte die semantische Integration der Geschäftsprozesse
sein. Dies geht weit darüber hinaus, einfach nur Busineß-Objekte zwischen Appli-
62
L AN line 1/2000
Zum besseren Verständnis kann man
den Prozeß eines Kundenauftrags, ein
Vorgang, der praktisch allen Unternehmen gemeinsam ist, betrachten. Die Unteraktivitäten in diesem Prozeß umfassen
die Kundenanfrage (durch eine Front-Office-Anwendung), das Aufrufen der Produktinformation aus einem Katalog (zum
Beispiel eine ERP-Anwendung), das Erstellen des Service-Auftrags sowie den
Aufruf der Verarbeitungsanwendung
(dies könnte wiederum die ERP-Applikation sein), um die Bestellung auszufüllen.
Die Service-Auftragsnummer und -bestätigung gehen dann zur Front-OfficeAnwendung zurück, um sie dem Kunden
mitzuteilen.
Die Abbildung auf dieser Seite zeigt
ein solches Szenario: Die EAI-Komponente der obersten Ebene (dargestellt als
“Bestell-Auftrags-Erstellung”) enthält
die Busineß-Logik, diesen Geschäftsprozeß durchzuführen und zu übermitteln.
Die Unteraufgaben in diesem Bild erlauben es – falls sie mit Hilfe eines “Common Object Model” implementiert wurden – dafür Applikationen gleicher Funktionalität von unterschiedlichen Herstellern beliebig auszutauschen.
EAI-Lösungen benötigen nicht nur
Komponenten zur Integration auf der
kationen zu transportieren, Daten umzuformen oder Regeln und Filter anzuwenden. Die Stärke von EAI-Lösungen besteht
darin, den semantischen Inhalt der Geschäftsprozesse, der in ERP-Applikationen bereits implementiert ist, zu erweitern.
Dies geschieht durch die Anwendung von
Busineß-Logikkomponenten, die die Geschäftsprozesse einer
Anwendung auf verschiedene Arten repräsentieren können.
EAI-Komponenten
schließen somit die
Lücke zwischen den
Geschäftsprozessen
mehrerer ERP-Pakete und bilden zugleich einen übergreifenden Prozeß,
der die unterschiedlichen ERP-Geschäftsprozesse – oder auch
andere EAI-Komponenten – als Subprozesse betrachtet und Der untere rechte Quadrant bezeichnet den synchronen und asynchroKommunikationsbedarf. Er zeigt außerdem, daß die Performance
sie bei Bedarf auf- nen
beim Transport großer Datenmengen durch geeignete Mechanismen
ruft.
unterstützt werden muß.
Prozeßebene sondern auch eine “Technologieplattform” beziehungsweise Ausführungsumgebung, um diese Komponenten korrekt auszuführen. Die Architektur solch einer Technologieplattform
zeigt Abbildung 3.
Der obere rechte Quadrant umfaßt
Applikations-Server mit allen Services,
die in unternehmenskritischen Anwendungen von der Ausführungsumgebung
erwartet werden. Der obere linke Quadrant erfordert den Aufbau von Verbindungen und Verständnis für die Semantik
der unterliegenden Anwendung. Der untere linke Quadrant erfordert ein Visualisierungsmodell mit einem konsistenten
Interface. Dadurch sind Anwender ohne
weitgehende Programmierkenntnisse in
der Lage, die EAI-Komponenten und Geschäftsprozesse zu manipulieren. Das
Zusammenspiel von “Technologiepattform” und “EAI Busineß-Integrationskomponenten” sorgt für eine umfassende
EAI-Lösung.
Dies hat ebenso bedeutende Vorteile
auf der Systemebene. Ein EAI-System
kann EJB-kompatible Standardapplikationen als EJB-Container betrachten. Es
kann sich also über die angebotenen
Dienste der Anwendung informieren und
unter Umständen die gleichen Frameworks für Transaktionen, Sicherheit und
Systemmanagement nutzen.
Aus der Perspektive von EJB wird die
EAI-Logikkomponente zu einer Bean,
die Busineß-Methoden auf den Ebenen
des Anwendungsfalls (use case) oder des
Prozeßflusses bereitstellt. Gleichzeitig
werden Transaktionen zwischen mehreren Beans (für alle EJB-kompatiblen
Komponenten der ERP-Standardapplikation) automatisch mitbehandelt.
Konzeptionell ist die Ablösung der
Technologieplattform-Komponente
machbar. Allerdings gibt es in Integrationsumgebungen typische Services wie
kompensierende Transaktionen, formalisierende Formatierer und Regel-Engines, für die noch Lösungen zu finden
sind. Idealerweise ist die Spezifikation
des EJB-Containers erweiterbar gestaltet, um diese Dienste später mit aufzunehmen.
Der EJB-Standard befindet sich noch in
der Entwicklung und wird rapide erweitert
und durch andere Technologien wie XML
und Corba gestärkt. EJB 1.1 konzentriert
sich auf die Anforderungen für die Portabilität zwischen EJB-Containern, enthält
einen Vorschlag für ein besseres Sicherheitsmodell, bietet zusätzliche Unterstützung für XML und erhebt Entity-Beans zur
“Pflichtfunktionalität”. Diese Erweiterungen sowie die Addition fehlender Services
wird die Adaption der Technologie bei
EAI- und anderen Software-Herstellern
beschleunigen und ihre Rolle noch stärken.
Mit diesem Beitrag haben wir EJB und
EAI sowie die Rolle von EJB in EAI-Architekturen diskutiert – eine Rolle, die
insbesondere eine gemeinsame technologische Infrastruktur für Busineß-Komponenten aus EAI- und anderen Applikationen umfaßt. Dabei wurde ein Trend deutlich, der mit Applikations-Servern be-
ginnt, sich über die Erstellung von EJBServern fortsetzt und nunmehr die erforderlichen Services für unternehmenskritische Anwendungen miteinschließt.
Noch adaptieren die Entwickler von Anwendungs-Software das Publizieren von
Busineß-Komponenten durch ein EJBkompatibles Interface nicht so schnell
wie erwünscht. Einer der Gründe mag
sein, daß diese Firmen in proprietäre
Technologien oder andere InterfaceTechnogien investiert haben.
(Prashant Gupta/gg,mw)
Das Original dieses Artikels erschien
in Englisch in Distributed Computing,
Ausgabe Oktober 1999, Volume 2
www.DistributedComputing.com
Weitere Informationen:
Cross Worlds Software
Web: www.crossworlds.com
L AN line 1/2000
63
NETZWERKTECHNIK
&
Tips
Tricks
In der Rubrik Tips & Tricks
veröffentlicht LANline
regelmäßig interessante
Fragen und Antworten im
Umfeld der wichtigsten
Betriebssysteme und
Kommunikationslösungen.
Neue Treiber und Patches
inklusive Bezugsquellen
findet der Anwender hier
ebenso wie pfiffige Tips
und Tricks.
NEUE E-MAILATTACKE VBS/BUBBLE
VBS/Bubble benötigt als E-Mail-Programm Microsoft Outlook oder Outlook
Express, damit der Computer infiziert
werden kann. Der Wurm kann jedoch
nur Rechner infizieren, auf denen entweder Microsoft Windows 95 oder Windows 98 installiert ist. Durch einen Programmfehler ist es ihm nicht möglich,
Windows-NT-Rechner zu infizieren.
Zusätzlich benötigt der Wurm Microsoft
Internet Explorer 5.
Wenn die E-Mail-Nachricht geöffnet
wird, legt der Wurm eine Datei namens
UPDATE.HTA in das Windows Autostart-Verzeichnis ab. Beim nächsten
Rechner-Start versendet sich der Wurm
automatisch an sämtliche Adressen im
Outlook-Adreßbuch.
Außerdem werden die Registrierungs-Informationen von Windows wie
folgt geändert:
Firma: Vandelay Industries, Name:
BubbleBoy
Der Wurm verwendet ein ActiveXControl, welches fälschlicherweise
durch Microsoft als “sicher” markiert
wurde und dadurch aus Outlook und
dem Internet Explorer ohne Bestätigung
aktiviert werden kann. Microsoft hat sofort einen Patch herausgegeben, der die-
64
L AN line 1/2000
ses Problem behebt. Weitere Informationen dazu finden sich in Microsofts
Security Bulletin unter http://www.
microsoft.com/Security/Bulletins/ms99
-032.asp. Das Ändern der Sicherheitsstufe in Outlook oder im Internet Explorer auf “hoch” oder das Abschalten von
“Active Scripting” schützt ebenfalls vor
dem Wurm. Eine Anleitung zum Abschalten von Active Scripting finden sie
auf der Norman-Homepage unter
http://www.norman.de/local/active_scri
pt.htm
VBS/Bubble ist zur Zeit noch nicht
“in the wild”; das Verbreitungspotential
ist jedoch außerordentlich groß. Außerdem ist es sehr wahrscheinlich, daß in
Kürze andere Viren oder Würmer dieselbe Technik verwenden werden. Norman empfiehlt ausdrücklich, den oben
erwähnten Patch zu installieren oder das
“Active Scripting” zu deaktivieren.
Der Wurm hat zwei Varianten,
VBS/Bubble.A und VBS/Bubble.B.
Quelle: Norman Data Defense Systems
(mw)
PORT-ZUWEISUNG
BEI DAVID FÜR NETWARE 5.2
Wie kann ich unter Tobits David
für Netware Version 5.2 definierte
Benutzer einem bestimmten Port
und eine eigene Sendekennung zuordnen?
Port-Zuweisung: Sie können bei einzelnen Usern in deren Versandeinstellungen eine Include-Datei einrichten.
Hier läßt sich über @@PORT NUMMER definieren, welche Anwender
über welchen Port faxen sollen; also beispielsweise:
@@PORT 002.
Sendekennung: Auch die eigene
Sendekennung können Sie über eine Include-Datei abwickeln:
@@CSID +49 089 1234 fax
@@CSID Name@Firma.de email
Diese zwei Zeilen erlauben Ihnen, daß
ein Fax dieses Anwenders mit der eingetragenen Nummer als Sendekennung
verschickt wird, während eine E-Mail
mit dessen E-Mail-Adresse versandt
wird. Die Unterscheidung erfolgt also
über die Nachfolgekennung “Fax” beziehungsweise “email”.
(Computer 2000 Deutschland Gmbh/mw)
NDS FOR NT 2.0: GLOBALE
GRUPPE MIT USERN AUS ZWEI
DOMÄNEN
Sowohl Domäne A als auch Domäne B werden über die NDS verwaltet.
Die Benutzer, die vor der NDS-Integration angelegt wurden, sind im Zuge der Integration in die NDS übernommen worden. Ein Anwender aus
der Domäne B erhält die Berechtigung, als User in Domäne A aufzutreten. In den NDS ist es dann ein
NDS-User, der in beiden Domänen
erscheint. Wie ist dies aus NT-Sicht?
Angenommen, Heinz Müller aus
Domäne B möchte auf Domäne A
zugreifen. Er soll:
a) einen Share auf einem Fileserver
in Domäne A verbinden dürfen
(und muß daher die Berechtigung
auf dem Share zugewiesen bekommen),
b) Dateien auf dem Share lesen dürfen (und muß daher die Berechtigung für die Dateien zugewiesen
bekommen),
c) ein Postfach auf dem ExchangeServer in Domäne A von Outlook
öffnen können (benötigt ferner die
Berechtigung für das Postfach über
den Mailbox-Manager für NDS).
In allen drei Fällen wird der Anwender von Windows NT wie ein NTUser behandelt. Innerhalb einer
Domäne stellt dies kein Problem dar.
Doch was muß ich machen, damit
Heinz Müller auf Ressorcen in
Domäne A zugreifen kann? Wenn ich
Heinz Müller über die NDS in Domäne A “repliziere”, mit welcher SID
(Security Identifier) erscheint er in A?
Bekommt er dort eine zu dem
PDC (Primary Domain Controller)
gehörende SID oder wird die SID aus
NETZWERKTECHNIK
&
Tips
Tricks
Domäne B “durchgereicht”? Verwaltet die NDS für jeden User eine eigene SID pro Domäne oder wird die SID
mit der sich Heinz Müller in B anmeldet von der NDS entgegengenommen und dynamisch gegen die SID
aus A “ausgewechselt”?
Dies ist entscheidend für die Konzeption von großen Netzen mit mehreren Domänen, die über die NDS
verwaltet werden. Wenn es zwei SIDs
sind, muß eventuell eine Vertrauensstellung realisiert werden. Wie kann
ich eine globale Gruppe in Domäne A
erstellen, die alle User aus A und B
enthält?
In der NDS werden die SIDs gespeichert. Ich gehe davon aus, daß
ein NDS-User pro Domäne eine SID
erhält. Dann sind einem Anwender
mehrere domänenspezifische SIDs
zugeordnet. Wenn ein Anwender aus
eine Account-Domäne auf eine Ressource in einer Ressourcen-Domäne
zugreifen soll, wie gebe ich ihm das
Recht dazu? Er existiert definitiv
nicht in der Ressourcen-Domäne.
Aus meiner Sicht gibt es zwei Möglichkeiten:
– Einrichten eines einseitigen NTTrusts (nicht erwünscht).
– Replizieren des Users in die Ressourcen-Domäne.
Durch das Replizieren existiert der
Anwender in der Ressourcen-Domäne. Aus Windows-NT-Sicht ist dies
aber ein anderer User als der in der
Account-Domäne, da er eine andere
SID hat. Wie managt das Novells
NDS for NT 2.0?
Novells NDs for NT Version 2.0
tauscht lediglich die Datenbank aus, in
welcher die Domäneninformationen abgelegt sind (NDS anstatt SAM). Dieses
Verfahren ist für alle Windows-NT-Applikationen völlig transparent. Die SIDS
und RIDs (Resource ID) von Anwendern werden damit auch in der NDS
66
L AN line 1/2000
(im jeweiligen Domänenobjekt) abgelegt.
(Computer 2000 Deutschland GmbH/mw)
BROADCASTS AN
“ALTE” IP-ADRESSEN
In unserem Netzwerk befinden sich
unter anderem zwei Unix-Server sowie ein Windows NT Server 4.0 mit
Service-Pack 4 und zwei Netzwerkkarten. Öffentliche Adressen sind in
nicht-öffentliche geändert worden.
Der NT-Server schickt aber nach wie
vor Broadcasts an die “alten” IPAdressen ins Internet (im Abstand
von einer Minute). DHCP und WINS
wurden neu installiert.
Sie sollten die Unix-Server als statische Einträge in die WINS-Datenbank
eintragen und bei sämtlichen Clients alle festen Einstellungen entfernen sowie
auf DHCP umstellen.
(Computer 2000 Deutschland GmbH/mw)
PORT-KONFIGURATION
BEI DAVID FÜR NETWARE
In einer Netware-Umgebung läuft
Tobits David für Netware in der Version 5.2. In der Konfiguration des
Postman steht zwar der Port 003, ist
aber als “frei” gekennzeichnet. Nun
bin ich mir nicht sicher, ob der Port
vorhanden ist oder nicht.
Da es sich bei einem Postman-Port um
eine “virtuellen” Port handelt, der also
nicht – wie ein normaler Faxport – an eine bestimmte Hardware wie Modem
oder ISDN-Karte gebunden ist, wird
dieser Port im Postman unter Monitor,
Ports als “frei” angezeigt. Wichtig ist
nur, daß Sie im Service-Layer unter
Konfiguration, Ports hier auch tatsächlich den “P00x Postman” sehen (in diesem Fall P003 Postman) und bei dessen
Konfiguration in den unterstützten
Diensten der Punkt “E-Mail (SMTP)”
auf Ja gesetzt ist.
Sie benötigen definitiv eine Port-Lizenz für den SMTP-Port. Anschließend
müssen Sie den neuen Postman noch
einspielen: PMNW.EXE. Jetzt kann die
Postman-Konfiguration getestet werden: zuerst mit einem Ping vom Server,
der Router muß die Verbindung aufbauen. Mail-Versand beziehungsweise
-Empfang müssen ebenfalls funktionieren. Sollten noch Probleme mit der Konfiguration auftreten, überprüfen Sie, ob
aktuelle Netware-Patches wie etwa
TCPN05.EXE eingespielt sind, und ob
ein Default-Gateway-Eintrag im Netware-Server existiert.
(Computer 2000 Deutschland GmbH/mw)
NT-HARDWARE-PROFILE
SIND VESCHWUNDEN
Unter Windows NT Workstation
4.0 mit Service-Pack 4 sind sechs
Hardware-Profile verlorengegangen,
als wir die letzte funktionierende
Konfiguration geladen hatten. Wie
läßt sich das wieder rückgängig machen?
Die Hardware-Profile sind innerhalb
der jeweiligen Controlsets in der Registry abgespeichert. Sollte sich noch ein
Controlset ausfindig machen lassen
(ControlSet00X unter HKEY_LOCAL_MACHINE\SYSTEM) dann ist
dieser als Zahlenwert unter HKEY_LOCAL_MACHINE\SYSTEM\Select\Cu
rrent und HKEY_LOCAL_MACHINE\SYSTEM\Select\Default einzutragen. Ist ControlSet002 gültig, wird der
Wert 2 eingegeben.
(Computer 2000 Deutschland Gmbh/mw)
NETWARE 4: “RECORD LOCK
THRESHOLD EXCEEDED”
In einem Netware-4.0-Netz läuft
neben einem Zeiterfassungsprogramm mit Datenbank noch eine
weitere Datenbank auf dem Server.
Seit kurzem tritt folgende Fehlermeldung auf:
NETZWERKTECHNIK
&
Tips
Tricks
“Station 86 record lock threshold
exceeded total violation...”.
Im Servman unter den Locks-Parametern sollten Sie zunächst die Record- und
File-Lock-Parameter verdoppeln und
den Server beobachten. Falls der Fehler
weiterhin auftritt, die Werte nochmals
verdoppeln.
(Computer 2000 Deutschland GmbH/mw)
NT-PROFILES
REPLIZIEREN
Das Replizieren der Profiles unter
Windows NT Server mit Service-Pack
4 erzeugt Fehlermeldungen:
“Systemfehler 5. ID 32”, und
“C:\WINNT\System32\User32.dll
gescheitert. Prozeß wird nicht normal beendet.”
Wahrscheinlich sind auf dem ExportServer (PDC) kein Exportziel und kein
Import-Server eingetragen. Auf dem
Primary Domain Controller müssen Sie
in die Domäne exportieren und vom
PDC importieren. Auf den Backup Domain Controllern sollten Sie nicht exportieren und nur vom PDC importieren.
(Computer 2000 Deutschland Gmbh/mw)
NT-BACKUP ERSTELLT
KEINEN BANDKATALOG
Auf einem Windows NT Server Version 4.0 mit Service-Pack 4 läuft NTBackup in der Version 3.51. Bänder,
die mit NT-Backup der Version 3.51
erstellt wurden, können nur komplett
zurückgesichert werden. Einzelne
Dateien lassen sich nicht zurückspielen, weil der Katalog des Bandes
nicht erstellt wird.
Die Bänder waren bereits katalogisiert.
Sie haben zum Öffnen des Bandes allerdings immer auf das eingelegte Band
geklickt – dann erstellt die Backup-Soft-
68
L AN line 1/2000
ware immer wieder einen Katalog. Dabei
erscheint dann die Meldung: “Es wurden
nur katalogisierte Sätze auf diesem Band
gefunden.” Wenn Sie unter “Ansicht” auf
“Struktur und Verzeichnis” klicken, erhalten Sie in der rechten Hälfte des Fensters die Anzeige der gesicherten Partitionen. Ein Doppelklick hierauf öffnet Verzeichnisse und Dateien.
(Computer 2000 Deutschland Gmbh/mw)
MAIL-JOURNAL
FÜR EXCHANGE SERVER 5.5
Für die E-Mails, die über den
IMS unseres Exchange Servers
laufen, soll eine Art “Journal” eingerichtet werden, da die Geschäftsleitung einen Überblick
über die ein- und ausgehenden
E-Mails erhalten möchte. In dem
Journal sollte praktischerweise eine Kopie von jeder E-Mail stehen.
Wie läßt sich das realisieren? Angeblich bietet das Service-Pack 2
für Exchange 5.5 eine ähnliche
Funktion, allerdings werden dann
sämtliche (auch interne) E-Mails
mitgeschnitten, wodurch die Journale viel zu groß würden.
Es bestehen folgende Möglichkeiten,
um den Connector zu begutachten:
Stellen Sie das Nachrichten-Tracking
ein. Dies geschieht im Exchange Administrator im Container “Konfiguration”
im Objekt “IS-Standortkonfiguration”,
“MTA-Standortkonfiguration” und im
Container “Verbindungen” im Internet
Mail Connector. Aktivieren Sie dazu
den Punkt “Nachrichten-Tracking”.
Hier wird eine Log-Datei erstellt, in der
alle Mail-Vorgänge protokolliert werden. Diese lassen sich über den Nachrichtenmonitor auswerten. Über den
Nachrichtenmonitor können Sie gezielt
eine E-Mail verfolgen oder begutachten,
welcher Benutzer welchem anderen EMails schickt; Sie können sogar die Anzahl der E-Mails Server- und Gatewaybezogen auswerten lassen.
Eine zweite Möglichkeit besteht darin, die Diagnoseprotokollierung auf dem
IMC zu aktivieren und diese auf Maximum einzustellen. Ein Problem hierbei
ist, daß die Vorgänge in das WindowsNT-Eventlog geschrieben werden. Ändern Sie die Default-Einstellungen für
das Eventlog nicht, läuft Ihnen die Datei
voll, und der Server wird langsam. Empfehlenswert ist das nur zur Diagnose
massiver Probleme am Connector oder
bei Exchange.
Die E-Mails können nicht abgefangen
und eingesehen werden, das ist unter
Exchange – mit den gegebenen Werkzeugen – nicht realisierbar und würde
darüber hinaus gegen das Datenschutzgesetz verstoßen.
(Computer 2000 Deutschland Gmbh/mw)
VOLUME FÜR MACCLIENTS UNTER NT
Wie kann für Macintosh-Clients ein
Volume unter Windows NT Server
Version 4.0 konfiguriert werden?
Das Volume konfigurieren Sie über
Datei-Manager Winfile.exe. Wenn die
Services for Macintosh installiert sind, erscheint dort ein weiterer Menüpunkt für
die Definition eines Mac-Volumes.
(Computer 2000 Deutschland Gmbh/mw)
So erreichen Sie die Redaktion:
Doris Behrendt
089/45616-226
db@lanline.awi.de
Dr. Götz Güttich
089/45616-111
gg@lanline.awi.de
Georg von der Howen
089/45616-255
gh@lanline.awi.de
Rainer Huttenloher
089/45616-132
rhh@lanline.awi.de
Stefan Mutschler
089/45616-103
sm@lanline.awi.de
Kurt Pfeiler
089/45616-295
pf@lanline.awi.de
Marco Wagner
089/45616-105
mw@lanline.awi.de
Fax: 089/45616-200
NETZWERKPRODUKTIVITÄT
CITY-IP-NETZ IN FRANKFURT/MAIN
Fünf Administratoren
für 5000 Anwender
Mit nur fünf Mitarbeitern unterhält die Stadt Frankfurt/Main ein Hochleistungs-IP-Netz, das 180 Standorte und über 5000 Anwender über
einen Radius von 20 Kilometen verbindet. Für den Betrieb der zentralen
Server (WWW, Firewall, Proxy, Exchange etc.) und des städtischen Intranets ist das Amt für Informations- und Kommunikationstechnik der
Stadt Frankfurt (IKT) mit insgesamt elf IT-Experten zuständig. Das
Abwickeln so vieler Aufgaben mit einer derart dünnen Personaldecke
läßt sich nur mit einem zentralen Netzwerkdesign und wartungsarmen
Komponenten verwirklichen.
ückgrat des Frankfurter Netzes sind
zentrale Xylan-Switches und Modems
des israelischen Unternehmens RAD Data
Communications, die trotz verschiedener
Medien – Zwei- und Vierdraht-Kupferleitungen, Lichtwellenleiter und Standleitungen der Telekom – für ein homogenes
LAN sorgen.
Viele Kommunen stehen genau wie
Frankfurt vor der Aufgabe, ihre über die
Stadt verteilten Einrichtungen miteinander zu vernetzen und für moderne ITAnwendungen die nötigen Bandbreiten
bereitzustellen. In Frankfurt hat die
Umstellung von einer Zentralrechnerauf eine Client/-Server-Architektur den
Ausbau des Netzes notwendig gemacht.
R
WARUM EIN CITY-IP-NETZ? Das IP-Netz
der Stadt Frankfurt dient der Verbesserung
interner wie externer Kommunikation, beschleunigt den Informationsaustausch und
versorgt die Anwender mit sämtlichen Internet-Diensten. Das Intranet hilft bei der
Beantwortung von Bürgerfragen und unterstützt das Auftreten der Mitarbeiter.
Außerdem nutzt die Stadtverwaltung das
Netz als Basis für Workflow-Anwendungen zwischen den einzelnen Verwaltungen. Dabei sind die Anforderungen der einzelnen Ämter sehr verschieden. Sie reichen
70
L AN line 1/2000
vom Zugriff auf die zentralen Datenbankund Fileserver über die Nutzung von Internet-Diensten bis hin zur bandbreitenintensiven Übertragung von Videobildern des
Kanalsystems, die beispielsweise vom
Stadtentwässerungsamt über die Leitungen geschickt werden.
DIE AUFGABE Die Stadt Frankfurt besitzt
ein eigenes, gut ausgebautes Telekommunikationsnetz. Kupfer- und Lichtwellenleiter bilden die Basis, die für die Anbindung
entlegener Standorte durch Standleitungen
der Telekom ergänzt wird. Mit dieser Ausstattung hatte das Team um Roland Berlauer, dem Zuständigen für System- und
Netzwerkdienste, für eine Lösung zu sorgen, die aus der Sicht der Mitarbeiter ein
homogenes LAN mit entsprechender
Übertragungs-Performance darstellt. Dies
bedeutet, allen Anwendern mußte ein
schneller Zugriff auf die zentrale ServerFarm im IKT verschafft werden. Und dies
unter der Randbedingung, daß das gesamte Management des Netzes mit den wenigen Mitarbeiter des IKT zu leisten ist.
DIE LÖSUNG Um gleichzeitig die Nutzeranforderungen nach Performance zu befriedigen und möglichst wenig Personalressourcen für die Wartung zu investie-
Übertragungsmedien und -techniken.
Auch sie lassen sich zentral warten.
Denn die intelligenten Modems können
über einen Remote-Control- und Managementkanal aus der Ferne konfiguriert
und kontrolliert werden, Alarme überträgt das System in Echtzeit.
MANAGEMENT PARALLEL ZUM DATENVERKEHR Der Datenverkehr für
Die RAD-Modems bilden das Bindeglied zwischen den LAN-Segmenten der einzelnen
Standorte beziehungsweise den Switches und den verschiedenen Übertragungsmedien
und -techniken
ren, entschied sich das IKT für eine zentrale Switch-Architektur. An die Telekommunikationsleitungen sind XylanSwitches mit Ethernet-Ports durch RADModems gekoppelt.
Die Kupferleitungen transportieren per
xDSL 1 MBit/s (per Doppelader), die
Lichtwellenleiter 2 MBit/s zwischen den
Verwaltungsstandorten der Stadt und dem
155-MBit-ATM-Backbone. Die Switches
liefern die nötige Performance für die Ser-
ver-Zugriffe und sorgen gleichzeitig für
die erforderliche Zentralität. Statt mit vielen Mitarbeitern und Fahrzeugen dezentrale Router zu konfigurieren, können die
IKT-Mitarbeiter nahezu alle nötigen Netzwerkmanagementaufgaben im eigenen
Gebäude lösen.
Die RAD-Modems bilden das Bindeglied zwischen den LAN-Segmenten
der einzelnen Standorte beziehungsweise den Switches und den verschiedenen
den Managementkanal wird parallel
zum “regulären” Datenverkehr ohne Interferenzen über die gleiche Leitung betrieben.
Eines der wichtigsten Merkmale der
eingesetzten RAD-Modems sind eingebaute Ethernet-Chips. Diese erlauben
die direkte Anbindung der Switches und
LAN-Segmente an die jeweiligen Telekommunikationsmedien, ohne daß
Bridges dazwischengeschaltet werden
müssen; das LAN wird quasi einfach
verlängert.
So erwies sich in ausführlichen Tests,
daß die Papierwerte und realen Meßergebnisse der Leistungsdaten der Plugand-play-Modems auch unter harten
Randbedingungen kaum Abweichungen
aufwiesen. Darüber hinaus beruhen alle
Modems auf dem gleichen Gerätedesign
und passen somit in das gleiche Rack.
(Hartmut Giesen/gg/mw)
L AN line 1/2000
71
SCHWERPUNKT:
FIREWALLS
FIREWALL-
TECHNOLOGIEN
VOM PAKETFILTER ZUM INTEGRIERTEN FIREWALL-ROUTER
FIREWALLS
Neben Hackern und
Crackern treiben
immer häufiger auch
professionelle Wirtschaftsspione ihr
Unwesen, die den
betroffenen Unternehmen beispielsweise im
Vorfeld von Ausschreibungen enorme Verluste einbringen können.
Des weiteren müssen
Daten gegen unternehmensinternen
Mißbrauch geschützt
werden. Dennoch
verfügen derzeit erst
weniger als zehn
Prozent der deutschen
Unternehmen über
eine Firewall.
72
L AN line 1/2000
Die US-amerikanischen Bundesbehörden haben eine schwierige erste Jahreshälfte hinter sich. Nachdem Hacker zuerst
im Mai dieses Jahres die Websites des FBI,
dann zweimal hintereinander die Site des
US-Senats und des Weißen Hauses
gecrackt – sprich: unbrauchbar gemacht –
hatten, gelang es ihnen im Juni auch, die
Sicherheitsbarrieren zu den Websites des
US-Innenministeriums und -Energieministeriums zu überwinden. Und das, obwohl
solche Angriffe heute nicht mehr überraschend sind: Schon seit Jahren gelingt es
Hackern immer wieder, sich in die USamerikanischen staatlichen Rechnernetze
einzuhacken – so im September 1997 in
das des CIA und im Februar 1998 in das
des Pentagon. Ein rein amerikanisches
Phänomen? Mitnichten – wie die Manipulation der Labour-Party-Website oder die
Site des deutschen Verfassungsschutzes
belegen konnten.
Doch die gecrackten Websites machen
nur einen Bruchteil der gesamten Problematik der Daten- und Netzwerksicherheit
aus. In diesen Bereich fällt letztlich jeder
Vorfall, bei dem Programme von fremden Rechnern aus im eigenen Netz gestartet oder von der Ferne aus auf lokale
Systemressourcen zugegriffen wird.
CERT (Computer Emergency Response
Team) zeichnet seit 1988 alle Sicherheitslücken weltweit auf: 1998 waren es
3734, Tendenz steigend: Allein im ersten
Halbjahr 1999 wurden rund 4400 Vorfälle registriert. Dabei gehen rund 82 Prozent der unrechtmäßigen Zugriffe auf
Unternehmensdaten – das haben mehrere
1998 veröffentlichte Studien ergeben –
von Mitarbeitern aus. Nur 18 Prozent entfallen auf das Konto von externen
Hackern oder Crackern.
KLASSISCHE FIREWALL-SYSTEME Wie
aber kann man sein Netzwerk an den
Netzübergängen schützen? Hier kommen
Firewall-Systeme zum Einsatz. Ihre Aufgabe liegt zum einen in der Übersetzung
von Netzadressen: Nur die Firewall ist
für den Hacker als Zielsystem sichtbar,
die internen Netzwerkadressen dagegen
bleiben für ihn unsichtbar.
Eine weitere wichtige Aufgabe von
Firewall-Systemen ist es, durch Authentifizierungs- und Autorisierungsfunktionen den unberechtigten Zugriff auf interne Netzwerkressoucen zu unterbinden.
Durch sogenannte Strong Authentication
wird die User-Identität sichergestellt und
somit bestmöglicher Anwenderschutz
und Schutz vor Datenmißbrauch geboten.
Von entscheidender Bedeutung sind ferner Log- und Alert-Funktionen, die einen
Angriff sofort an ein Managementsystem
melden können und die eine genaue
Nachbearbeitung von Angriffen ermöglichen.
Was die Konfiguration von FirewallSystemen anbetrifft, so ist man in der Regel heute dazu übergegangen, sogenannte demilitarisierte Zonen (DMZs) im
Netzwerk einzurichten. Dabei werden die
an das externe Netzwerk angebundenen
Server (Web, Mail, FTP etc.) in ein separates Netzsegment gestellt, das über die
L AN line 1/2000
73
SCHWERPUNKT:
FIREWALLS
Firewall geschützt, aber vom internen
Netz getrennt ist. Dies ermöglicht ein
drittes Netzwerk-Interface in den Firewalls. Die Funktion der DMZs wurden
früher von sogenannten Bastion-Hosts
übernommen – eine Art Bollwerk-Firewall, die auf die direkte Konfrontation
mit dem Angreifer setzte.
Die außerordentlich hohe Zahl der Unternehmensmitarbeiter unter den Hackern
macht jedoch deutlich: Es reicht nicht, das
interne Netzwerk einfach nur durch eine
massive Firewall nach außen abzuschot-
delt es sich in der Regel um einen Standard-IP-Router, der gerade mit soviel Intelligenz ausgestattet ist, daß er die Datenpakete in bezug auf Quell- und Zieladresse sowie Protokolltyp analysieren
und entsprechende Zugriffsbeschränkungen umsetzen kann, die der Administrator zuvor definiert hat.
Der Vorteil des Paketfilters ist die
volle Transparenz und Geschwindigkeit
auf der Vermittlungsschicht (Network
Layer). Sein Nachteil ist, daß er lediglich
Ports (sprich: Dienste) sperren oder frei-
schen internen und externen Rechnern
ermöglicht werden, läßt klassischen
Hacker-Techniken wie IP-Spoofing
(Vortäuschen berechtigter IP-Adressen)
oder Source Routing (Umleitung von
Datenpaketen) leichtes Spiel. Dennoch
sind – mehr oder weniger intelligente –
Router-Paketfilter leider auch heute
noch das beliebteste Mittel für Department-Firewall-Lösungen im Inneren des
Netzes. Nur so glaubt man, die hier erforderliche Performance sicherstellen zu
können – zu Unrecht wie am Beispiel des
Stateful-Inspection-Konzepts noch zu
zeigen sein wird.
PROXY-LÖSUNG Im Gegensatz zum Pa-
Evolution der Firewall-Technologien: vom Paketfilter (Screening-Router) über das
Application-Level-Gateway bis hin zur HybridlLösung
ten, auch im Inneren müssen abgestufte Department-Firewall-Lösungen eingerichtet
werden, um beispielsweise besonders sensible Systeme oder ganze Server-Farmen gegen den Zugriff von innen zu schützen.
Grundsätzlich wird zwischen drei verschiedenen Technologien unterschieden:
Paketfilter (Screening Router), Application Level Gateway (Proxy-Lösung) sowie Hybridlösungen, welche die Vorteile
von Paketfilter und Proxy-Lösung in sich
vereinen. Hierbei spielt die von Check
Point patentierte Stateful-InspectionTechnologie eine besondere Rolle.
PAKETFILTER Die älteste und zugleich
schwächste Version ist der Paketfilter
(auch Screening-Router). Hierbei han-
74
L AN line 1/2000
geben kann und daß sich seine Wirkungsweise auf bestimmte Protokolle
der TCP/IP-Protokollfamilie beschränkt:
die IP-Adresse, TCP oder UDP (UserDatagram-Protokoll = Transportprotokoll auf Schicht 4) sowie deren Portnummern. Er kann nicht zwischen berechtigten und unberechtigten Paketen
einer Gattung unterscheiden oder Kausalitätsprüfungen durchführen und läßt
Anwendungsprotokolle unberücksichtigt.
Ein weiterer Nachteil ist, daß der Paketfilter den Datenverkehr entweder
durchläßt oder ablehnt, ein entsprechender Port aber permanent offengehalten
werden muß. Dies und die Tatsache, daß
überhaupt direkte Verbindungen zwi-
ketfilter, der sich auf die Analyse der IPHeader und TCP/IP-Protokolle beschränkt, kontrollieren Application Level Gateways und Proxy-Server auch
Verbindungen auf den darüberliegenden
Schichten: Die Proxy-Firewall ist nicht
nur in der Lage, die IP-Header zu analysieren, sondern auch zwischen verschiedenen Anwendungen zu unterscheiden.
Dabei spielt der Proxy-Server den Vermittler zwischen dem internen und dem
externen Rechner, wobei eine echte physikalische Trennung des externen und internen Netzes stattfindet. Das heißt: Jeder anfragende Rechner muß zunächst
eine TCP-Verbindung zum Proxy der jeweiligen Applikation aufbauen. Der
Proxy prüft die übertragenen Daten und
stellt schließlich eine Verbindung zur
Zieladresse her. Diese Stellvertreterfunktion hat auch den Vorteil, daß der
Proxy der einzige Ansatzpunkt für eine
Attacke ist – die internen IP-Adressen
dagegen bleiben für den Angreifer unsichtbar.
Wesentliche Nachteile der ProxyTechnologie sind die Notwendigkeit
spezifischer Proxys für jede Anwendung
– FTP, Telnet, HTTP etc. Die physikalische Trennung und damit fehlende
Transparenz und Connectivity wiederum
wirken sich negativ auf die Performance
aus. Caching-Proxies sollen hier Abhilfe
schaffen, ändern allerdings auch nichts
an der grundsätzlich fehlenden Transparenz und Connectivity.
SCHWERPUNKT:
FIREWALLS
STATEFUL INSPECTION Das Stateful-
Inspection-Konzept verbindet das Beste
aus den Welten der IP-Router und ProxyServer und wird deshalb auch als HybridFirewall bezeichnet. Es bietet gute Performance durch nahtlose Connectivity,
ting-Plattform mit Hochverfügbarkeitskonzept und Lastverteilung. Die Integration einer Firewall in einen Router bietet
eine ganze Reihe von Vorteilen – vor allem im Vergleich zu konventionellen Installationen, bei denen die Firewall in der
Die Proxy-Firewall kann IP-Header analysieren und auch zwischen verschiedenen
Anwendungen unterscheiden
gewährt allerdings Verbindungen nur für
die Dauer der Übertragung des zulässigen Verkehrs. Und es unterstützt alle
gängigen Netzwerkprotokolle auch auf
der Anwendungsschicht. Das Funktionsprinzip: Die Stateful-Inspection-Engine
ist zwischen den Schichten 2 (Sicherungsschicht) und 3 (Vermittlungsschicht) angesiedelt und analysiert die
Datenpakete während der Übertragung
auf der Netzwerkebene, wobei dynamische Zustandstabellen erzeugt werden.
Diese Statustabellen ermöglichen es,
mehrere Pakete im Zusammenhang zu
betrachten und dabei die Protokolle aller
sieben OSI-Schichten mit einzubeziehen.
Sogar zusammengehörige ein- und ausgehende Pakete können im entsprechenden Kontext miteinander verglichen werden. Dabei unterstützt die Stateful-Inspection-Engine über 150 Protokolle beziehungsweise Dienste – ohne die Notwendigkeit applikationsspezifischer Proxies.
VOLLINTEGRIERTER FIREWALL-ROUTER Noch einen Schritt weiter geht das
Konzept des integrierten Firewall-Routers von Nokia. Nokia integriert die Stateful-Inspection Firewall-1 in eine Rou-
76
L AN line 1/2000
Regel auf einer Workstation betrieben
wird. Hochverfügbarkeit ist überall dort
entscheidend, wo garantierte Kapazitäten
im Sinne eines Service-Level-Agreements geboten werden müssen und wo
die Daten- und Netzwerksicherheit kritisch für das Unternehmen ist – etwa im
Bereich Online-Banking, E-Commerce,
kritischer E-Mail-Verkehr etc. Hochverfügbare Systeme haben darüber hinaus
den Vorteil, daß das Maß an notwendiger
Vor-Ort-Maintenance verringert und
Wartungsfenster optimiert werden können. Bei konventionellen Workstationbasierenden Firewalls müssen für eine
Hochverfügbarkeitskonfiguration entsprechende Soft- und Hardware-Komponenten von einem Drittanbieter angeschafft und die Mitarbeiter in eine neue
Applikation eingearbeitet werden. Bei
den integrierten Firewall-Routern der IPSerie dagegen besteht die Hochverfügbarkeitskonfiguration ganz einfach aus
zwei oder bis zu zwölf parallel geschalteten redundanten Firewall-Routern mit
Lastverteilung für alle Funktionalitäten.
Die Firewall-Router kommunizieren miteinander über das Virtual Router Redundant Protocol (VRRP), das eine permanente Synchronisation zwischen einer
Vielzahl von Routern im MillisekundenTakt ermöglicht. VRRP ist ein offizieller
Standard (RFC 2338), der von Nokia mitentwickelt worden ist. In dieser Hochverfügbarkeitskonfiguration ist jeder Firewall-Router für den jeweils anderen Master und Hot-Standby zugleich. Das
heißt: Fällt der eine Firewall-Router aus,
so springt der andere nahezu verzögerungsfrei ein. Dabei können Cluster von
bis zu zwölf Online-Firewall-Systemen
definiert werden.
Bei der Hochverfügbarkeitskonfiguration kommt ein weiterer Vorteil der Stateful-Inspection-Technik zum Tragen:
Das redundante Sekundärsystem erhält
aus den Zustandstabellen alle nötigen Informationen, um bestehende Verbindungen bei einem Ausfall der primären Firewall zu übernehmen. Im Firewall-Router
verbinden sich die Sicherheit und Geschwindigkeit einer Stateful-InspectionFirewall mit der Performance eines
Hochleistungs-Routers. Der integrierte
Firewall-Router IP 400 von Nokia beispielsweise ermöglicht einen Durchsatz
von zirka 150.000 Datenpaketen pro Sekunde und eine Firewall-1-Performance
von nahezu 100 MBit/s. Im Vergleich zur
Das Prinzip der Stateful Inspection
Workstation-basierenden Firewall bietet
der integrierte Firewall-Router zudem einen besonderen Schutz: Der Router verfügt über ein spezielles besonders abgesichertes Betriebssystem und ist somit gegen die für PCs und Workstations typi-
schen Bugs gefeit, über die sich der GastUser etwa via FTP-, HTTP- oder TelnetVerbindung einhacken kann, um von dort
aus in andere Systembereiche zu gelangen.
Weitere Merkmale sind Fehlertoleranz
und Rerouting-Funktion sowie die Unterstützung aller gängigen Routing-Protokolle. Wollte man dagegen eine Workstation-basierende Lösung beispielsweise
auf OSPF (Standard-Routing-Algorithmus für das Routing innerhalb des Netzwerks) aufrüsten, so müßte der entsprechende Protokoll-Stack – in Form von
zusätzlicher Hard- und Software – erst
von einem Drittanbieter angeschafft und
die Mitarbeiter in eine neue Applikation
eingearbeitet werden. Dies gilt im übrigen auch für Online-Backups, verschlüsselte Updates und alle anderen Funktionsmerkmale, die bei einem Router
selbstverständlich sind. Hinsichtlich der
Verwaltung kann der Firewall-Router
wie jeder andere Router in einem Netzwerk behandelt werden. Der Administrator wendet dieselben Funktionen an – ob
Ping (Packet Internet Grouper, Implementierung des Echoprotokolls zum Testen der Erreichbarkeit von Zielstatio-
Quelle: Check Point
nen) oder Traceroute (Tool, das die spezifischen Gateways bei jedem Hop durch
das Internet aufzeichnet). Er braucht sich
für Setup, Verwaltung oder Fehlersuche
in keine neue Applikation einzuarbeiten.
Über ein Web-basierendes Netzmanage-
L AN line 1/2000
77
SCHWERPUNKT:
FIREWALLS
mentsystem können die verschiedenen
Komponenten der Netzwerk-Sicherheitslösungen auch remote verwaltet werden.
VIRTUELLE PRIVATE NETZWERKE Im
Rahmen der zunehmenden Bedeutung
des Internets haben sich virtuelle private
Netzwerke (VPNs) als feste Größe in der
Netzwerkinfrastruktur von Unternehmen
etabliert. Ziel eines VPNs ist es, sichere
und kostengünstige Kommunikationskanäle im öffentlichen Netz zu ermöglichen. Im Grunde ist das VPN nicht mehr
als ein logisches Netzwerk, das Teil des
öffentlichen Netzes – des Internets – ist.
Dabei werden die Datenpakete innerhalb
des VPNs in IP-Pakete verpackt – “getunnelt” – und am Bestimmungsort wieder entpackt. Bei der Einrichtung von
VPNs ist der Einsatz von Verschlüsselungsverfahren sehr zu empfehlen, da
sich hierdurch die Datensicherheit deutlich erhöhen läßt. Ein Kriterium für die
Stärke der Verschlüsselung ist die Länge
des Schlüssels, die heute in der Regel
zwischen 56 Bit und 3 x 56 Bit beträgt.
Doch nicht nur die Länge des Schlüssels
ist wichtig, sondern auch, mit welcher
Geschwindigkeit man diesen wechselt.
Entscheidend ist, daß die Verschlüsselungsstärke auf die Datenpriorität abgestimmt wird.
MANAGEMENT Die Verwaltung der Rou-
ter-Funktionen und Firewall-Policies kann
remote in Eigenregie oder von einem
zentralen Netzwerkmanagementsystem
(NMS) durchgeführt werden. Die Administrationsverbindungen werden verschlüs-
78
L AN line 1/2000
Hot-Standby, Resilience, Lastverteilung
selt, um so einen unbefugten Eingriff in die
laufende Datenverbindung zu verhindern.
Zum anderen wird die Zugriffsregelung
durch Authentisierung des Administrators
über Benutzername und Paßwort überprüft. Voraussetzung hierfür ist natürlich,
daß zunächst berechtigte Benutzerrnamen,
Paßwörter und IP-Adressen für den/die
Administrator/en definiert werden. Die
Administration erfolgt über eine grafische
Benutzeroberfläche. Selbst komplexe Unternehmensnetze können so bequem zentral verwaltet werden, oder ein Netzbetreiber kann die Verwaltung als Dienstleistung
anbieten.
KOMPETENTE BETREUUNG UNERLÄSSLICH Viele Unternehmen haben die Ent-
scheidung über die Einrichtung einer
Firewall unnötig auf die lange Bank geschoben. Der Grund: Man glaubte, dafür
müßten erfahrene Netzwerkadministratoren eingestellt oder eigene Mitarbeiter für
viel Geld geschult werden. Ein Irrtum,
denn unter dem Stichwort Managed Firewall Services hat sich auch das komplette Outsourcing von Firewall-Systemen
schon lange etabliert. Mißverständnisse
wie diese verdeutlichen, wie wichtig Systemintegratoren sind, die nicht nur
Technik verkaufen, sondern auch eine
ausführliche Beratung und langfristige
Betreuung bieten: Netzwerksicherheit ist
ein sehr beratungsintensives Geschäft. Es
gilt, Netzwerksicherheit als Prozeß zu
verstehen, der die Organisation des Un-
ternehmens selbst berührt, der eine klare
Sicherheits-Policy erfordert mit genau
abgegrenzten Zugangsberechtigungen,
die für jeden Anwender/Dienst separat
vergeben werden. Ein Prozeß schließlich,
der in den Köpfen der User selbst stattfindet – bis hin zur Sensibilisierung der
Mitarbeiter auf Datensicherheit (Paßwortwahl etc.)
Für den Fachhandel bedeutet dies
Chance und Herausforderung zugleich.
Die Chance liegt in der optimierten Kundenbindung: Der Händler kann sich als
“Partner in Netzwerksicherheit” dauerhaft positionieren und seinen Kunden
aufbauend auf der Sicherheitslösung
neue Mehrwertdienste anbieten wie beispielsweise Content Security – das heißt
das Scannen ab- und eingehender
E-Mails nach bestimmten Schlüsselwörtern.
Die Herausforderung liegt in der Breite und Tiefe des erforderlichen Knowhows. Deshalb müssen die VAR (Value
Added
Reseller)
beziehungsweise
Systemintegratoren sehr sorgfältig ausgesucht werden: Es kommen ausschließlich hochqualifizierte und spezialisierte
Unternehmen in Frage, denen die Welt
der LAN-/WAN-Technologie ebenso
vertraut ist wie die Bedeutung individueller Sicherheitskonzepte.
(Thorsten Jüngling/mw)
Thorsten Jüngling ist System-Marketingmanager bei Nokia Networks.
SCHWERPUNKT:
FIREWALLS
SECURITY WIRD OFT VERNACHLÄSSIGT
Einsatz von Multicast in
Unternehmensnetzen
In Unternehmensnetzen wächst der Anteil von Multicast-Paketen, die
durch Videokonferenzen, Application Sharing und Groupware-Anwendungen entstehen. In naher Zukunft werden sie einen erheblichen
Anteil am Gesamtverkehr aufweisen. Dabei ist festzustellen, daß man
sich hinsichtlich der Multicast-Fähigkeit von Sicherheitsmechanismen
wie Firewalling und Verschlüsselung bislang zu wenig Gedanken
gemacht hat.
P-Multicasting fristete anfangs ein
Schattendasein, da nur halbherzig an
eine Standardisierung bei IPv4 gedacht
wurde, und wenige Applikationen diesen
Pakettyp ausnutzen konnten. Hinzu kam,
daß die vorhandenen Routing-Protokolle
im WAN nicht in der Lage waren, Multicast-Pakete zu transportieren, so daß sich
Multicast zunächst nur im LAN unter
Testbedingungen einsetzen ließ. Dies hat
sich inzwischen grundlegend geändert,
so daß sich IP-Multicasting für die
Kommunikationsinfrastruktur zu einer
Schlüsseltechnik entwickeln könnte, da
die Verteilung von Informationen an viele Empfänger im Internet gleichzeitig
möglich geworden
ist.
Fast der gesamte
Datenverkehr besteht heute noch aus
Unicast-Paketen wie
er bei typischen
TCP-Anwendungen
benötigt wird. Sollen Daten allerdings
an mehrere Empfänger gleichzeitig
übertragen werden,
muß eine Mehrfachaussendung erfolgen. Bei einem
Broadcast werden
die Daten an alle
Empfänger innerhalb eines bestimmten Subnetzes weitergeleitet.
Eine
Möglichkeit nur bestimmte Empfänger
Verteilung von Multicast-Paketen durch einen Router
anzusprechen gibt es
I
80
L AN line 1/2000
IP-Multicast-Adressen
Multicast-Adressen besitzen wie UnicastAdressen in der IPv4-Version eine Länge
von 32 Bit und nutzen die Adreßklasse D
nach RFC-1112. Zur Definition von Gruppenadressen stehen 28 Bit zur Verfügung,
wodurch man zwischen 228 Gruppen differenzieren kann. Multicast-Adressen werden
nur für die Dauer einer Kommunikationsverbindung zugeordnet und nicht einem Endsystem fest zugeordnet. Das heißt, man sucht
sich für die Dauer einer Session eine Adresse
von den 228 möglichen aus. Bedingung
dabei ist, daß diese nicht schon verwendet
wird, da es sonst zu einer doppelten Nutzung
kommt. Die Internet Engineering Task Force
(IETF) entwickelt dabei gerade ein mehrstufiges Verfahren für die zeitlich befristete
Reservierung von Multicast-Adressen. Weltweit kommt es allerdings zu wenigen Doppelnutzungen, da Multicast-Adressen durch
das Feld Time-to-Live (TTL), das am Sender
gesetzt und bei jedem Netzknoten um eine
Zahl verringert wird, normalerweise auf eine
bestimmte Region begrenzt werden. Im lokalen Netz wird TTL=1 gesetzt, während
TTL=15 für Stadt, TTL=63 für Land und
TTL=127 für die ganze Welt steht. Zusätzlich besteht die Möglichkeit, bestimmte
Adreßbereiche durch das Verfahren “Administratively Scoped IP Adresses” auch ohne
TTL-Feld in der Reichweite zu limitieren.
Die Nachfolgeversion des jetzigen InternetProtokolls IPv6 mit einer Adreßlänge von
128 Bit hat 112 Bit für die Gruppenadressen
vorgesehen. 4 Bit stehen dabei für die maximale Reichweite zur Verfügung, die “Hop
Limit” genannt werden. Anders als bei IPv4
sind Anycast-Adressen für IPv6 vorgesehen
worden, so daß alle Adressentypen
unterstützt werden.
Multicast-Pakete gehen an eine bestimmte
Gruppenadresse, wobei sich der Empfänger
einer Gruppe automatisch über Join-theGroup anschließt. Dabei arbeiten zwar alle
Router zusammen, um die Daten den Empfängern der Gruppe auszuliefern, aber es
wird nicht garantiert, daß keine Pakete verloren gehen oder die Reihenfolge eingehalten
wird. Empfänger können dabei nicht erkennen, wer sendet, obwohl die Absenderadresse letztendlich in den empfangenen Paketen
wiederzufinden ist. Für den Sender ist es
noch schwieriger, die Empfängeradressen
herauszubekommen, weil die
Gruppenzugehörigkeit durch Protokolle
höherer Schichten festgelegt wird. Die Netztopologie bleibt dabei von diesen Protokollen unberücksichtigt, da ausschließlich der
Router diese Aufgabe wahrnimmt.
SCHWERPUNKT:
FIREWALLS
dabei nicht. Eine Mehrfachaussendung
entfällt zwar, aber es bekommen auch alle Empfänger die Informationen mitgeteilt. Neben sicherheitsrelevanten Themen sollte dabei auch die zusätzliche
Rechner- und Netzlast mit beachtet werden. Multicast ist eine Kombination aus
beiden Verfahren und ermöglicht das differenzierte Ansprechen einer bestimmten
Empfangsgruppe. Ein Paket einer definierten Multicast-Adresse braucht, unabhängig von der Anzahl der Adressaten,
nur einmal gesendet werden. Das Netz
leitet das Paket weiter und vervielfältigt
das Paket an den geeigneten Stellen, die
möglichst dicht beim Empfänger liegen
sollten.
Durch die einmalige Sendung eines
einzelnen Datenpakets wird eine geringere Auslastung des Netzes erreicht, bei
gleichzeitiger Kostenreduzierung. Neben
der Verminderung der Netzlast im Backbone wird eine Verringerung der Übertragungsverzögerung erreicht, da die Da-
MBone-Tools
Mit MBone-Tools wird eine Software-Sammlung bezeichnet, die für multimediale OnlineKonferenzen geeignet ist und für den Datenaustausch den Multicast-Backbone (MBone) nutzt.
Mit dieser Tool-Sammlung ist es für den Anwender möglich, alle CSCW-Möglichkeiten (Computer Supported Co-operative Work) in heterogener Netzwerkumgebung anzuwenden. Unterschiedlichen Tools für Audio-/Video-Datenübertragung (vic, vat), zum gemeinsamen Betrachten und Bearbeiten von Dateien (nt, wb) sowie zum Steuern der Tools (sdr) können einzeln oder
gemeinsam verwendet werden.
Die MBone-Tools (vic, vat, nt, wb, sdr) wurden an der Universität Berkeley/USA entwickelt.
TCP/IP-CSCW-Lösungen bevorzugen diese Tools, da sie gleichermaßen für das Internet als
auch für IP-over-ATM-Übertragungen geeignet sind. Durch ihre Verbreitung haben sie sich zu
einem Quasistandard entwickelt. Zusätzlich haben sie den Vorteil, praktisch für jede Plattform
unentgeltlich zur Verfügung zu stehen.
Alle Anwendungen laufen unter X-Windows für Linux- und Unix-Betriebssysteme.
Neuerdings wird auch der Betrieb unter Windows 95 unterstützt. Die meisten Tools lassen sich
von den entsprechenden FTP-Servern für die gewünschte Systemplattform als Binaries herunterladen. Weitere Informationen und die MBone-Software finden sich unter der URL-Adresse
http://www.mbo ne.com/. Zum Empfangen von Multicast-Daten reichen die Binaries aus.
Wenn man aktiv in eine multimediale Konferenz einsteigen möchte, sind natürlich zusätzlich
Videokarte, -kamera und Mikrofon erforderlich. Die Tools laufen alle unabhängig voneinander,
so daß beispielsweise nur Audio (vat), Video (vic), Texteditor (nt) oder das Whiteboard (wb)
verwendet werden können.
Die Audio-/Video-Tools basieren auf dem vorgeschlagenen Realtime Transport Protocol
(RTP), das von der IETF-Gruppe Audio/Video Transport Working Group spezifiziert wurde.
RTP ist ein Protokoll auf der Anwendungsschicht, das vollständig durch das Programm “Visual
Audio Tool” (vat) genutzt wird. Das bedeutet, daß keine zusätzlichen Systemerweiterungen
nötig sind, um RTP zu verwenden. Dabei werden Multicast-Verbindungen (Punkt-zuMehrpunkt) eingesetzt. Die Übertragung der Echtzeitdaten findet aufgrund der hinderlichen
Quittungsmechanismen des TCP-Protokolls mit UDP-Protokollen statt. Das heißt, die Pakete
werden nicht permanent auf Reihenfolge, Verlust und Duplikate überprüft. Das ermöglicht
schnellere Übertragungen der verzögerungsempfindlichen Daten. Eine Fehlerüberprüfung bei
reiner Datenübertragung muß durch Protokolle eines zusätzlichen Konferenzmanagers
abgewickelt werden.
Hohe Übertragungsraten machen die Kompression der Datenströme durch zusätzliche Hardware erforderlich. Ansonsten würde es zu hohen Belastungen der CPU des Rechners kommen.
Bei geringeren Übertragungsraten genügt es, die Kompression durch die Software
vorzunehmen. Das “Video Conferencing Tool” (vic) der MBone-Sammlung ermöglicht es, zusätzliche Hardware nach dem H.261-Standard einzusetzen. Der Konferenzmanager Confman
der Universität Hannover faßt die MBone-Tools zusammen und ermöglicht so eine effektivere
Ausnutzung sowie intelligentere Steuerung. Unter der Adresse http://www.rvs.unihannover.de/products/
confman/v2.0/ kann man die aktuellen Versionen herunterladen. Diese sind verfügbar für die
Betriebssysteme Solaris 2.6, Windows9x, Windows NT, Linux 2.0 mit GNU-Libc (libc6) und
für Irix6.5.
82
L AN line 1/2000
ten nur einmalig ausgesandt werden müssen und alle Empfänger gleichzeitig erreichen. Hinzu kommt die Reduzierung
der Belastung des Senders, weil die Daten nicht mehrfach gesendet werden, wodurch viele verschiedene Empfänger
gleichzeitig angesprochen werden können.
SICHERHEITSPROBLEME MIT MULTICAST-PAKETEN Die Vorteile, die Multi-
cast-Pakete hinsichtlich der Netzauslastung und Gruppenkommunikationen
bieten, müssen allerdings auch die notwendige Sicherheit ermöglichen, um eine
ungestörte Kommunikation durchführen
zu können. Dabei sind folgende Punkte
ausschlaggebend:
– Vertraulichkeit,
– Integrität,
– Verbindlichkeit,
– Zugriffskontrolle.
Vertraulichkeit wird durch symmetrische oder asymmetrische Verschlüsselung hergestellt. Dabei müssen bei symmetrischer Schlüsselvergabe alle Mitglieder einer Multicast-Gruppe den gemeinsamen Schlüssel kennen und nutzen.
Das eröffnet natürlich Mittel und Wege,
um sich diesen Schlüssel anzueignen beziehungsweise ihn während einer Sitzung
aufzuschlüsseln. Eine bessere Methode
ist es, wenn durch asymmetrische Verschlüsselung der öffentliche Schlüssel
von allen Sendern an alle Empfänger verteilt wird und umgekehrt.
Integrität wird durch die Bildung kryptographischer Prüfsummen (zum Beispiel MD5) Rechnung getragen, während
das Problem der Verbindlichkeit durch
die digitale Signatur gelöst werden muß.
Die Zugriffskontrolle ist schwieriger
durchzuführen, da hierbei Zugangskontrollisten und Key-Management entscheidend sind. Die Zugangskontrollisten sind
für die Schlüsselverteilung oder digitale
Signatur zuständig und lassen nur Mitglieder zu, dessen Signatur erkannt wurde.
Ohne diese Kontrolle ist jede Sitzung öffentlich und kann von jedem besucht werden. Das Key-Management wird hingegen
für die Generierung, Verteilung und Überwachung der Schlüssel benötigt und stellt
SCHWERPUNKT:
FIREWALLS
im Grunde den Schwerpunkt der Multicast-Kommunikation dar.
Verschlüsselungen können auf verschiedenen OSI-Schichten vorgenommen werden. Unterscheiden kann man
die Ansätze durch die Begriffe Application und Network Coupled. Das heißt, es
wird entweder in der Anwendungs- (zum
Beispiel PGP, SSL, SSH) oder Transportschicht (zum Beispiel IPSec) verschlüsselt. Dabei lassen sich die folgenden Vor- und Nachteile ausmachen, die
die folgende Tabelle aufzeigt.
UNTERSTÜTZUNG VON MULTICASTPAKETEN BEI DER FIREWALL Eine
Firewall wird zum Schutz des internes
Netzes eines Unternehmens hauptsächlich zwischen Internet und Intranet plaziert. Dabei existieren unterschiedliche
Typen, die man in den Grundkonzepten
Paketfilter und Application-Level-Gateway oder Dual-homed-Gateway wie-
derfindet. Der Paketfilter wird dabei
meistens im Router realisiert beziehungsweise integriert. Sie filtern nach
Ziel- und Quelladresse sowie den jeweiligen Ports. Das Application Level
Gateway arbeitet auf der Anwendungsschicht. Hier wird in einem komplexen
Regelwerk festgelegt, welche Dienste
verwendet werden dürfen und welche
verboten sind. Für jeden Dienst werden
Security-Proxies eingeführt. Ein direkter Zugriff ist nicht mehr möglich. Ein
Kombination beider Verfahren wird als
Screened-Gateway bezeichnet und erhöht die Sicherheit der Firewall gegenüber den beiden anderen Lösungen erheblich. Die Anordnung der beteiligten
Komponenten kann variieren und erlaubt die individuelle Realisierung eines Security Concepts.
Bei der Nutzung von Multicast-Paketen sollten hinsichtlich der Sicherheit
auch hier strenge Regeln aufgestellt
Verschlüsselungsverfahren
Vorteile
Application Coupled
– Anwendung entscheidet, welche
Daten welche Sicherheitsanforderungen haben
– Anwendung nimmt alle sicherheitsrelevanten Maßnahmen vor
– Untere Schichten werden nicht
in den Prozeß einbezogen
– Sicherheitskritische Information
bleibt auf der Schicht 7
Network Coupled
–
–
–
–
L AN line 1/2000
Nachteile
– Sicherheitsinformationen liegen in
der Anwendung oder Bibliotheken
– Anwendung kann Sicherheit
beeinflussen
– Fehlerhafte Synchronisation zwischen den unterschiedlich gesicherten Anwendungen
– Performance-Probleme durch
gleichzeitige Schlüsselspeicherung
und Management durch die
Anwendung
Mechanismen und Schnittstellen
– Anwendung muß der Netzwerksind für alle Anwendungen auf
schicht vertrauen
einem Rechner gleich
– Verschlüsselung wird für alle
Keine Änderung der Anwendung
Daten gleichermaßen vorgenomerforderlich
men, wodurch Flexibilität der
Datenbanken für Schlüssel
Anwendung verlorengeht
können transparent für die Anwen- – Schlüssel für Anwender sind
dung und den Anwender genutzt
schwieriger zu realisieren
werden
Sicherheitsmechanismen und
Key-Management sind dadurch
eingekapselt
Router und Firewalls können zusätzliche Aufgaben übernehmen,
wodurch Virtual Private Networks
gebildet werden können
Vor- und Nachteile unterschiedlicher Verschlüsselungsansätze
84
werden, die verhindern, daß MulticastAnwendungen unkontrolliert benutzt
werden. Das heißt, man sollte definieren, wer Multicast-Pakete verschicken
und empfangen sowie an Sitzungen teilnehmen darf. Weiterhin sind Sessions
zu protokollieren, um zu erkennen, wie
lange die Sitzung aktiv ist und wer
wann wie lange Daten gesendet oder
empfangen hat. Hinzu kommt die Bandbreite, die für den Teilnehmer begrenzt
werden sollte.
Zur Umsetzung dieser Anforderungen
muß die Firewall die Benutzeridentität
kennen und wissen, was dieser beabsichtigt. Bei Multicast-Anwendungen ergibt
sich dabei das Problem, daß kein standardisiertes Kontrollprotokoll für die Anwendung existiert, welches von der Firewall beobachtet werden könnte, um dynamische Filter für den UDP-Datenfluß
zu setzen. Das Kontrollprotokoll IGMP
kann hier nicht helfen, da es von Router
SCHWERPUNKT:
FIREWALLS
zu Router geschickt wird und nichts über
den eigentlichen Sender aussagt. Zusätzlich kann nur das erste IGMP-Paket an einer Sitzung teilnehmen, da anschließend
der Routing-Tree aufgebaut ist und keine
IGMP-Meldungen mehr versandt werden.
Bei Verwendung von Unicast-Paketen
hat es die Firewall leichter, da sie das
Vertrauen in die Teilnehmer einer Verbindung setzen kann. Bei Multicast-Sitzungen sind aber nicht alle Teilnehmer
bekannt, wodurch man die Daten untersuchen muß. Dadurch ist die digitale Si-
lich ermöglicht es konfigurierbare Reaktionen auf abgelehnte Zugriffsversuche.
SOCKS ist inzwischen ebenfalls um Multicast erweitert worden, das folgende Vorteile eröffnet:
– Multicast SOCKS Server (MSS) kennt
die Benutzeridentität desjenigen, der
an der Sitzung teilnehmen möchte, da
er sich authentifizieren muß.
– Der MSS kennt neben der Gruppenadresse, an der der Client teilnehmen
möchte, auch den Port, über den die
Kommunikation stattfinden soll.
IPSec-Implementierung bei Secure VPN von 3Com
gnatur notwendig, die allerdings erheblich Performance fordert. Zusätzlich ist
die Firewall dafür verantwortlich, daß interne Multicast-Pakete nicht nach außen
gelangen und ungewollte Multicast-Pakete von außen nicht nach innen. Hinzu
kommt, daß die Firewall in der Lage sein
muß, dynamisch zu entscheiden, wann
die Daten einer Gruppe ins interne Netz
übertragen werden sollen und dann diese
Übertragung vornehmen, wodurch teilweise die Funktionalität eines MulticastRouters übernommen wird.
Im Zusammenhang mit der Realisierung
von Proxies hat sich SOCKS, inzwischen
in der Version 5, durchgesetzt. SOCKS
bietet Protokollierung, die jedoch größtenteils auf dem Client stattfindet. Das ergibt
Probleme bei der Speicherung an einem
zentralen Ort, um die Daten später auswerten zu können. SOCKS protokolliert Verbindungsanfragen auf dem Server, bietet
Zugangskontrolle anhand des Quell- und
Zielrechners und des Protokolls. Zusätz-
86
L AN line 1/2000
– Der MSS kann ebenfalls – wenn nötig
-Multicast-Pakete in Unicast-Pakete
umwandeln.
Die Verwendung von SOCKS bietet eine höhere Sicherheit beim Einsatz von
Multicast-Paketen über eine Firewall an.
Diese Lösung hängt jedoch stark vom
eingesetzten Betriebssystem ab, da ausschließlich Unix diese Vorteile bietet.
Gefahren lauern bei der Verwendung von
Tunneln, um Multicast-Pakete zu empfangen und zu senden, da hierüber auch
Unicast-Pakete geschickt werden könnten. Dies wird aber durch die vorhandenen mrouter-Codes bislang verhindert, so
daß hier nur Multicast-Pakete akzeptiert
werden. Bei Routern sollte man dies explizit überprüfen. Das Firewall-System
muß weiterhin in der Lage sein, neben IPin-IP-Paketen genauso TCP-, UDP- und
ICMP-Pakete zu erkennen. Sollte das Paketfilter IP-in-IP-Pakete nicht an dem
Namen erkennen, kann man auch die
Protokollnummer 4 angeben.
IPSEC ALS GEMEINSAMER NENNER Bei-
de Ansätze – Application und Network
Coupled – können ebenfalls gemeinsam
eingesetzt werden. Es macht beispielsweise Sinn, wenn die Verschlüsselung auf der
Netzwerkschicht vorgenommen wird, und
die Einhaltung der systemweiten Sicherheitsanforderung oder Parameterauswahl
geschieht auf der Anwendungsschicht.
IPsec verwendet die sogenannte Security
Association (SA), welche die einzuhaltenden Sicherheitsparameter einer bestimmten Kommunikationsbeziehung, die durch
ihre Zieladresse eindeutig definiert ist,
festlegt und den Security-Parameter Index
(SPI). Folgende Sicherheitsparameter können dabei definiert werden:
– Algorithmus für Authentifikation und
Verschlüsselung,
– Schlüssel für Authentifikation und Verschlüsselung,
– Initialvektor für die Verschlüsselung,
– Gültigkeitszeitraum der Schlüssel und
SA,
– Senderadresse.
Der Empfänger definiert dabei den SPI
und den Inhalt der SA. IPsec ist ein relativ
neuer Standard nach RFC-2401, der im
Grunde aus der Entwicklung des IPv6-Protokolls kopiert wurde und einen Authentification Header (AH) und die Encapsulation Security Payload (ESP) enthält. Der
gemeinsame Authentifikationsalgorithmus
ist MD5. IPsec unterstützt auch Multicast,
wobei die Multicast-Gruppe als Empfänger betrachtet wird, der die SA und SPI
festlegt. Dafür muß ein Gruppenverantwortlicher definiert werden. Theoretisch
könnte eine SA für die Multicast-Gruppe
Abkürzungsverzeichnis
Authentification Header
Computer Supported
Co-operative Work
ESP
Encapsulation Security Payload
ICMP
Internet Control Message
Protocol
IETF
Internet Engineering
Task Force
IGMP
Internet Group Message
Protocol
IKE
Internet Key Exchange
IP
Internet Protocol
IPV4
Internet Protocol, Version 4
IPV6
Internet Protocol, Version 6
ISAKMP Internet Security Association
and Key Management Protocol
LAN
Local Area Network
MD5
Message Digest 5
MSS
Multicast SOCKS Server
PGP
Pretty Good Privacy
SA
Security Association
SKIP
Simple Key management for
Internet Protocols
SPI
Security Parameter Index
SSH
Secure Shell
SSL
Secure Socket Layer
TCP
Transmission Control Protocol
TTL
Time-To-Live
UDP
User Datagram Protocol
WAN
Wide Area Network
AH
CSCW
genutzt werden. Dies wird aber vermieden,
da sich zusätzliche Angriffspunkte ergeben, wenn einige Nachrichten bekannt
sind. Wenn AH symmetrische Verfahren
wie MD5 nutzt, kann der Sender jeder aus
der Multicast-Gruppe sein, da alle den gleichen Schlüssel verwenden. Wirkliche Authentifikation ist daher in diesem Zusammenhang nur möglich, wenn jeder Sender
die digitale Signatur einsetzt. Die bisherigen Verfahren lassen aber ein Signieren aller Pakete nicht zu, da sie zu rechenintensiv
sind. Abbildung 2 zeigt eine Implementierung von 3Com, wo IPsec für den Aufbau
eines sicheren Virtual Private Networks
(VPNs) durch das Internet verwendet wird.
KEY-MANAGEMENT Nicht nur die Ver-
schlüsselungstechnik ist für die Sicherheit
einer Kommunikationsbeziehung entscheidend, sondern auch das dazugehörige
Key-Management. Hier ist es allerdings
noch zu keiner Einigung bei der IETF ge-
kommen, wodurch sich folgende zwei Ansätze ergeben haben:
– Schlüsselinformationen werden mit dem
IP-Paket durch zusätzliche Header verschickt.
– Separates Key-Management-Protokoll,
welches auf der Anwendungsschicht
aufsetzt.
Zuerst hat man auf den ersten Ansatz gesetzt. Das Simple Key Management for Internet Protocols (SKIP) von Sun wurde anfangs favorisiert, inzwischen aber durch die
Internet Security Association and Key Management Protocol (ISAKMP) von Cisco
verdrängt. Ein konkreter Entwurf hiervon
ist ISAKMP/Oakley, das in Internet Key
Exchange (IKE) umbenannt wurde. IKE
arbeitet in zwei Phasen, die sich in Authentifikation und Schlüsselaustausch sowie
Schlüsseletablierung unterteilt. Aus einem
Master-Schlüssel werden dabei mehrere
symmetrische Schlüssel abgeleitet, die
dann zur Verschlüsselung von Nachrichten
dienen. In der zweiten Phase werden kryptographische Verfahren und die dazu notwendigen Schlüssel für beliebig andere
Protokolle (etwa IPSec) ausgetauscht. Vorteilhaft ist, daß ohne großen Aufwand neue
Schlüssel etabliert werden können und
ebenfalls das Schlüsselverfahren gewechselt werden kann. Nachteilig ist, daß die
bisherigen Entwicklungen nicht alle frei
außerhalb Nordamerikas verfügbar sind.
Der Standard IPSec, der die Verschlüsselung auf Netzwerkebene durchführt, ist
ein neuer sinnvoller Ansatz, da die Firewall weiterhin die IP-Pakete verarbeiten
kann. Übernimmt allerdings die Firewall
die Verschlüsselung, kommt es zu Performance-Problemen. So kann der Datenverkehr bei AH schon auf ein Zehntel
der möglichen Gesamtrate sinken,
während die Hinzunahme von ESP
nochmals den gleichen Verlust bedeuten
kann. Vor allem ESP verlangsamt den
Datenverkehr erheblich. Für Videodaten
wäre diese Möglichkeit aber unakzeptabel, da hier eine Echtzeitverschlüsselung
eingesetzt werden müßte.
Größtes Problem bei Multicast-Sitzungen ist noch die sichere Schlüsselverteilung und das Key-Management, welches
noch unzureichend standardisiert ist. Aus
diesem Grund gibt es noch keine Realisierungen oder Implementierungen. Multicast-Produkte nehmen aber immer mehr
zu, so daß die Standardisierung der fehlenden Sicherheitsmechanismen nicht mehr
lange auf sich warten lassen wird.
(Kai-Oliver Detken/mw)
Dipl.-Ing. Kai-Oliver Detken studierte
Informationstechnik an der Universität
Bremen. Heute ist er als Berater bei der
Optinet GmbH (http://www.optinet.de)
tätig und leitet das Competence Center Future Knowledge (CC-FK).
ZUSAMMENFASSUNG Firewall-Syste-
me sind heute auf Unicast-Verkehr ausgelegt und berücksichtigen Multicast-Pakete noch unzureichend. So ist beispielsweise SOCKSv5 immer noch ein Internet-Draft und kein abgeschlossener Standard. Es gibt zwar Lösungen, wie Firewall-Systeme mit Multicast umgehen
können, die aber von der Unternehmenspolitik beziehungsweise den Anforderungen abhängen. Die höchste Sicherheit
kann jedoch nur dann erreicht werden,
wenn Authentifikation und Verschlüsselung eingesetzt wird. Probleme entstehen
dabei nur, wenn die Verschlüsselung
außerhalb der Firewall durchgeführt
wird, da die Identität und die Kontrolle
des Datenstroms verloren geht. Diesen
Verkehr darf man nicht zulassen.
Literaturhinweis
[1] Dr. Carsten Bormann, Nils Seifert:
Multicast – Rundfunk in IP-Netzen; Gateway 11/98; Computerwoche Verlag;
München 1998
[2] Detken, Kai-Oliver: Sicherheitsmechanismen für Internetumgebung;
63. Aktualisierung “Telekommunikation”, Mai 217563, Interest-Verlag, ISBN
3-8245-2175-8; Augsburg 1999
[3] Detken, Kai-Oliver: Local Area Networks – Grundlagen, Internetworking und
Migration; ISBN 3-7785-3911-6; HüthigVerlag; Heidelberg 1999
[4] Eekhoff, Reckziegel: Analysis and
Assessment of Secure Mechanisms for
the Building of a Secure Server Network;
Diplomarbeit der Hochschule Bremen;
1999
L AN line 1/2000
87
SCHWERPUNKT:
FIREWALLS
ZENTRALE SYSTEME MÜSSEN LAUFEN
Hochverfügbarkeitslösungen für Firewalls
Hochverfügbarkeit besagt, daß ein System oder eine Funktionalität des
Systems nahezu ohne Ausfallzeiten zur Verfügung steht. Deshalb müssen hochverfügbare Systeme immer mindestens doppelt ausgelegt sein.
Eine weitere Anforderung besteht darin, daß im Fehlerfall kein manueller Eingriff für die Wiederherstellung der Funktion notwendig sein sollte,
da lange Ausfallzeiten die Folge wären. Es bieten sich verschiedene Verfahren der Verfügbarkeit an.
old Standby-Systeme sind die einfachsten und ältesten, aber zugleich
auch wirkungslosesten Systeme. Im ColdStandby-Betrieb wird zum Produktivsystem ein baugleiches Ersatzsystem als
Backup bereitgehalten. Gibt es ein Problem mit dem ersten System, wird es abgeschaltet und das zweite manuell hochgefahren. Die Nachteile sind offensichtlich. Zum bestehenden System muß das
zweite System vorgehalten werden und
zusätzlich Personal für die Überwachung.
Eine komfortablere Lösung bieten HotStandby-Systeme. In diesem Fall steht eine zweite Maschine bereit, die mit Hilfe
entsprechender Software die Funktion
der ersten überwacht. Wird eine Fehlfunktion festgestellt, übernimmt die
zweite Maschine die Initiative und damit
alle Funktionen der ersten. Ist jedoch die
erste Maschine nicht wirklich “down”,
sondern nur zeitweise abwesend, kann es
in dieser Lösung zu zusätzlichen Konflikten kommen.
Die wirklich befriedigende, aber meist
nicht ganz billige Lösung ist es, ein HASystem (High Availability) im Parallelbetrieb zu fahren. Unter Kostengesichtspunkten ist sie dennoch die günstigste
Lösung, da alle beteiligten Systeme
gleichzeitig zur Funktionalität des Gesamtsystems beitragen und ihre volle
C
88
L AN line 1/2000
Leistungsfähigkeit zur Verfügung stellen. Nur im Fehlerfall muß ein System
die Aufgaben des gerade nicht zur Verfügung stehenden Systems übernehmen.
Daraus resultiert natürlich ein kurzfristiger Performance-Verlust, aber die Funktionalität bleibt vollständig erhalten.
HOCHVERFÜGBARKEIT FÜR FIREWALLS Firewall-Systeme stellen oft ein
Zwitterwesen aus Router und Server dar.
Sie arbeiten als Paketfilter und zugleich
als Application-Level-Gateways, was einem Server-System ähnlich ist. Zusätzlich kommt auf Firewall-Systemen spezielle Software zum Einsatz, die in der Regel sehr eng mit dem Betriebssystem verknüpft ist. Darüber hinaus bestehen Firewall-Systeme oft aus mehreren Komponenten, die Sicherheit garantieren. Alle
diese Komponenten müssen daher redundant ausgelegt werden. HA-Lösungen für
Firewall-Systeme müssen diesen Rahmenbedingungen Rechnung tragen:
– Die HA-Lösung darf die Sicherheitsfunktionen des Firewall-Systems auf
keinen Fall beeinträchtigen.
– Die HA-Lösung muß sowohl Routingals auch Server-Funktionen hochverfügbar halten.
– Die HA-Lösung muß auch für komplexere Systeme aus mehreren Komponenten die Ausfallsicherheit garantieren.
Diesen Anforderungen gerecht zu werden, ist auch für versierte Firewall-Experten keine leichte Sache. Daher ist der
Markt an Lösungen auch noch sehr überschaubar.
PAKETFILTER: DER EINFACHE WEG
Firewall-Systeme, die als reine Paketfilter arbeiten (reine Router-Lösungen, die
meisten Firewall-1-Installationen, CiscoPix etc.) sind relativ einfach redundant
auszulegen. Für sie gelten ähnliche Regeln wie für Router. Der zugrundeliegende Vorgang wird dynamisches Routing
genannt. Dabei wird das interne System
per dynamischem Routing-Protokoll mit
den Firewalls gekoppelt. Diese Aufgabe
übernimmt in der Regel ein interner Zentral-Router.
Nebenbei wird mit dieser Anordnung
auch Load-Balancing, die ausgewogene
Verteilung der anfallenden Datenlast
auf mehrere Systeme, erreicht. Der interne Router wird so konfiguriert, daß er
bei gleicher Routing-Metrik alle Firewall-Systeme gleichermaßen mit Paketen versorgt. Leider versagt dieses Verfahren jedoch schon bei Systemen, die
per Stateful-Packet-Filtering alle Pakete
einer Verbindung zuordnen wollen.
Geht ein Paket an die eine Firewall und
eines an die andere, wird der StatefulPaketfilter seinen Dienst verweigern. Firewall-1 sieht für diese Möglichkeit vor,
Änderungen in der Statetable an andere
Systeme zu übermitteln. Wie zuverlässig das System bei 100 MBit/s Datendurchsatz noch funktioniert, bleibt jedoch offen. Eine Alternative ist hier der
Firewall-1-Fast-Mode, in dem das Stateful-Packet-Filtering weitgehend abgeschaltet wird.
APPLICATION-LEVEL-GATEWAYS We-
sentlich schwieriger gestaltet sich eine
Hochverfügbarkeitslösung auf Basis von
Application-Level-Gateways
(ALG),
der höheren Stufe einer Firewall. Sie arbeiten anders als Paketfilter nicht auf
Ebene 3 und 4 des OSI-Schichtenmodells, sondern auf Ebene 7. Übersetzt bedeutet das, es werden per Definition keine Pakete über die Firewall übertragen,
sondern lediglich Daten. Für das Endsystem stellt sich das Firewall-System
nicht mehr als Router, sondern als Server-System dar.
Application-Level-Gateways gelten
als die sicherste Firewall-Architektur,
weil keine direkten Verbindungen zwischen Systemen vor und hinter der Firewall möglich sind. Leider wird damit
auch der Aufbau einer Hochverfügbarkeitslösung sehr viel komplizierter.
Plötzlich reicht es nicht mehr, RoutingProtokolle auf Redundanz auszulegen,
sondern ganze Dienste (FTP, HTTP)
müssen angepaßt werden. ApplicationLevel-Gateways haben eigene Adressen,
die von Client-Systemen angesprochen
werden. Bei mehreren Systemen müssen
demzufolge auch mehrere Adressen immer erreichbar sein.
Für eine reine HA-Lösung heißt das,
daß für Application-Level-Gateways
nicht nur der Dienst eines Systems, son-
dern auch dessen IP-Adressen übernommen werden. Das Ziel besteht darin, daß
die HA-Lösung Dienste wie DNS,
E-Mail, Web-Proxy, Authentisierung,
VPN etc. sicher an andere Systeme übergeben kann.
Ein weiteres Problem liegt darin, daß in
HA-Lösungen für Application-LevelGateways auch keine generischen Protokolle wie OSPF zur Verfügung stehen,
um den Zustand des Systems zu übermitteln. Proprietäre Protokolle müssen mit
großem Entwicklungsaufwand erstellt
werden, um den Zustand eines Systems
an die anderen zu übertragen.
MEHRSTUFIGE FIREWALLS Nicht zu-
letzt durch die Empfehlungen des BSI
(Bundesamt für Sicherheit in der Informationstechnologie) ist die sogenannte
P-A-P-Struktur (Paketfilter-ApplicationLevel-Gateway-Paketfilter) zum Standard für den Einsatz von Firewall-Syste-
men in Hochsicherheitsbereichen geworden. In einer P-A-P-Konfiguration muß
nicht nur lediglich ein Firewall-System,
sondern ganze drei hochverfügbar ausgelegt werden. Dabei kann man nur durch
eine Kombination von mehreren Methoden ein befriedigendes Ergebnis erzielen.
Dynamische Routing-Protokolle werden
mit aktiven Überwachungseinheiten und
Übernahmefunktionen für Dienste und
Adressen kombiniert. Zusätzlich kommen Protokolle wie VRRP oder BGP
zum Einsatz. Nur so kann die gesamte
Kette der P-A-P zuverlässig abgesichert
werden.
In einer Kombination von mehreren Sicherungskomponenten muß eine Komponente die Schlüsselrolle übernehmen.
Sie entscheidet, ob die Kette der verbunden Komponenten funktioniert oder
nicht. Diese Rolle kommt in der Regel
dem ALG zu, da hier die komplexen
Dienste konfiguriert sind. Wird von hier
L AN line 1/2000
89
SCHWERPUNKT:
FIREWALLS
aus eine Fehlfunktion der Kette P-A-P
festgestellt, wird der gesamte Betrieb einer Kette von der zweiten übernommen.
Dies läßt sich durch den Einsatz von
als Router oder Bridges und werden den
redundanten Firewall-Systemen vorgeschaltet. Das Firewall-System selbst ist
dabei nicht zu modifizieren, da die Fire-
Doppel-Firewall aus Paketfilter und ALG: Durch den Einsatz der Genugate-Cluster wird
das Firewall-System Genugate zur integrierten HA-Lösung mit Parallelbetrieb und
Load-Balancing.
OSPF zwischen dem ALG und dem Paketfilter realisieren, wenn das ALG seine
Adressen von einer Kette zur nächsten
übergibt. Freilich gilt auch hier die Maxime, daß keine beteiligte Komponente
außer Acht gelassen werden darf. Interne
und externe Router sind per VRRP redundant auszulegen und als Doppelsysteme einzusetzen.
LÖSUNGEN FÜR FIREWALLS Momentan
sind wenige funktionierende Lösungen
auf dem Markt, einige seien hier kurz
vorgestellt:
– Fireproof:
Die israelische Firma Radware bietet
mit Fireproof eine Hardware-Box an, die
eigentlich ein Abkömmling der LocalDirector-Familie dieses Unternehmens
ist. Ursprünglich wurde sie für die Hochverfügbarkeit von Web-Servern entwickelt. Die Fireproof-Boxen arbeiten
90
L AN line 1/2000
proof-Boxen abwechselnd TCP-Verbindungen jeweils dem einem und dem anderen Firewall-System zuordnen. Funktioniert ein System nicht mehr, werden
alle Verbindungen über das zweite System geroutet.
Die Firewall-Systeme sind dabei weitgehend identisch konfiguriert. Was in
dieser Konfiguration fehlt, ist der Konfigurationsabgleich zwischen den Firewall-Systemen. Schon bei zwei Systemen wird es schwierig, die Systemkonfiguration konsistent zu halten. Möchte
man mehr als zwei Firewalls bedienen,
ist eine saubere Konfiguration der Gesamtanlage nicht mehr ohne großen Aufwand möglich.
– Stonebeat:
Stonebeat ist eine nur für Firewall-1
konzipierte HA-Lösung, die bis zur Version 2 lediglich für den Einsatz im HotStandby-Betrieb vorgesehen war. In der
Version 3 wir auch Load-Balancing und
Parallelbetrieb von mehreren Firewall-1Systemen möglich sein. Stonebeat stellt
im wesentlichen die Synchronisation der
Statetables der Stateful-Inspection sowie
die Verfügbarkeit der Systeme selbst zur
Verfügung. Der Konfigurationsabgleich
wird über die Download-Funktion der
FW-1-Management-Konsole realisiert.
Weitere Firewall-Komponenten lassen
sich mit Stonebeat nicht überwachen.
– Genugate Clustering:
Die deutsche Firma Genua bietet mit
den Genugate-Clustern eine in ihr eigenes Firewall-System Genugate intergrierte HA-Lösung mit Parallelbetrieb
und Load-Balancing an, die dem Charakter der Genugate-Lösung als DoppelFirewall aus Paketfilter und ALG Rechnung trägt (P-A). Hier kommen alle Methoden der HA-Schule zum Einsatz.
OSPF im internen Netz, VRRP auf angeschlossenen Routern und eine vollständige Funktionsübernahme mit Adressen
und Diensten auf dem Application-Level-Gateway. Zusätzlich wird von dem
System der Konfigurationsabgleich zwischen den beteiligten Systemen im Cluster sichergestellt. Loadbalancing wird
über mehrfache DNS-Einträge erreicht
und ist auf Verbindungsebene realisiert.
Es gibt keine Grenze für die Anzahl der
parallel arbeitenden Systeme.
TOTALE AUSFALLSICHERHEIT Hoch-
verfügbarkeitslösungen für Firewalls
sind möglich und machbar, einfach sind
solche Lösung jedoch nie. Insbesondere
in Hochsicherheitsbereichen, in denen
mehrere Firewall-Systeme in Reihe geschaltet werden, wird mit Hochdruck an
wirksamen Lösungen gearbeitet. Totale
Ausfallsicherheit gibt es nicht, aber man
kann ihr sehr nahe kommen. Hat man
durch intensiven Kapitaleinsatz seine eigenen Firewall-Systeme fast ausfallsicher konfiguriert, bleibt immer noch die
Anbindung an den Provider als Schwachstelle.
(Dr. Magnus Harlander/mw)
Dr. Magnus Harlander ist technischer
Geschäftsführer der Genua GmbH.
SCHWERPUNKT:
FIREWALLS
HOCHVERFÜGBARE SICHERHEIT
Eine Frage
der Stabilität
Je wichtiger das Internet für eine Organisation wird, um so bedeutsamer ist eine stabile und dauerhaft verfügbare Firewall. Nicht selten
gehört heute E-Mail oder die Verfügbarkeit des eigenen Web-Servers
zu den essentiellen Anforderungen an den IT-Bereich.
ie Qualität der lokalen oder standortübergreifenden Vernetzung ist
ein entscheidender Produktivitätsfaktor
für ein Unternehmen. Sie zeichnet sich
insbesondere durch die ständige Verfügbarkeit der Dienste aus, die im Netzwerk angeboten werden. Der Ausfall
des Web-Servers zum Beispiel, über
den die Produkte des Unternehmens den
Kunden zum Verkauf angeboten werden, kann rasch zu beträchtlichen finanziellen Einbußen führen. Internet-Dienste wie Web-Proxy-Server zur Informationsbeschaffung oder Mail-Server zur
Kommunikation mit externen Partnern
müssen ebenso wie das VPN über das
Internet zu wichtigen Geschäftspartnern rund um die Uhr zur Verfügung
D
stehen. Auch die Firewall-Software als
wichtige Komponente für die Netzwerksicherheit eines Unternehmens
muß an sieben Tagen der Woche 24
Stunden lang ihren Dienst tun.
Von einer hochverfügbaren FirewallUmgebung kann daher nur gesprochen
werden, wenn alle ihre Komponenten
ständig zur Verfügung stehen. In der Praxis wird es aber immer wieder zum Ausfall der einen oder anderen Komponente
kommen. Ursachen hierfür sind häufig
Hardware-Probleme wie zum Beispiel
ein Festplatten-Crash oder der Ausfall eines Routers. Aber auch die Anwendungsdienste selbst können beispielsweise in
Folge von Ressourcenmangel oder fehlerhaften Konfigurationsänderungen für
Internet
Heartbeat
Gate a
Gate b
Management
Zwei Firewall-Gateways wurden zusammensgeschaltet, so daß im Fehlerfall das eine jeweils die
Funktionen des anderen übernehmen kann
92
L AN line 1/2000
einen gewissen Zeitraum nicht mehr zur
Verfügung stehen. Hieraus ergibt sich die
Forderung nach dem redundanten Ausbau aller Komponenten einer FirewallUmgebung. Dazu gehört das redundante
Vorhandensein von Hardware (also
Netzwerkkomponenten wie ZugangsRouter, Hubs oder Netzwerkkarten sowie
Server und deren Peripherie wie etwa Festplatten) auf der einen Seite sowie von Software (zum Beispiel Proxy-Server oder
Firewall-Software) auf der anderen Seite.
Sollte es zum Ausfall einer Komponente in der Firewall-Umgebung kommen, übernimmt die redundante Komponente nahtlos deren Funktion, so daß für
den Anwender weiterhin alle Dienste wie
gewohnt zur Verfügung stehen. Solange
jedoch nicht geklärt ist, wie die redundante Komponente erkennen kann, daß
ihr Gegenstück nicht mehr zur Verfügung steht und sie jetzt dessen Funktion
zu übernehmen hat, kann von Hochverfügbarkeit nicht gesprochen werden. Einige dieser Techniken werden im Verlauf
dieses Artikels vorgestellt.
Folgende Fragen sollten bei der Konzeption beziehungsweise Planung von
High-Availability-Firewalls
beachtet
werden:
– Welche Elemente der Firewall müssen
hochverfügbar sein?
– Müssen Schnittstellen, Router oder
Netzwerke ebenfalls betrachtet werden?
– Welche Techniken liefern die hohe
Verfügbarkeit?
– Wie werden Konfigurationen oder Benutzerdaten zwischen eventuell redundanten Systemen abgeglichen?
– Welche neuen Angriffsmöglichkeiten
oder Sicherheitsrisiken entstehen
durch die verwendeten Techniken?
– Ist neben der Redundanz auch eine
Lastverteilung gewünscht oder möglich?
Die ersten beiden Fragen betreffen die
Komponenten des gesamten Systems.
Bei einer Internet-Firewall sind dies typischerweise die Verbindung ans Internet
über Provider mit Wähl- oder Standleitungen, der Zugangs-Router eines oder
mehrere Firewall-Gateways, Filter und
SCHWERPUNKT:
FIREWALLS
Proxies sowie eventuell interne Router.
Hinzu kommen je nach Anforderungen
Authentifikations-Server, Intrusion-Detection-Systeme, Log-Hosts etc. Zwischen den Komponenten befinden sich
Netzwerksegmente, Hubs und eventuell
Switches, die ebenfalls betrachtet werden
müssen.
Die möglichen Techniken zur Realisation von HA-Firewalls können sehr unterschiedlich sein. Aus dem Server-Bereich kennt man bereits seit langem HASysteme oder Cluster, die man als Plattform für einzelne Komponenten verwenden könnte. Unter Umständen sind diese
Systeme jedoch teurer und erfüllen die
speziellen Anforderungen nicht so gut
wie andere Lösungen.
Der klassische und nach wie vor flexibelste Weg für Systeme wie die Firewall1 von Checkpoint sind spezielle Zusatzprodukte, die zwei Firewall-Gateways so
zusammenschalten, daß beide Gateways
aktiv sind und im Fehlerfall das eine jeweils die Funktion des anderen übernehmen kann.
Im Fall von Stonebeat für die Firewall-1 werden zwei Firewall-Filter
identisch installiert und parallel geschaltet. Im normalen Betrieb kann die
Netzwerklast statisch über beide Systeme verteilt werden.
Damit beide Firewalls gleich konfiguriert werden können, trennt man in
der Regel das Firewall-Management
von den beiden Filtern und stellt eine
dritte Maschine in ein Managementnetz
zwischen die beiden Firewalls. Auf dieser Managementmaschine werden dann
die Regeln und Benutzer gespeichert
und von dort auf die eigentlichen Filter
geladen.
Falls die Managementmaschine selbst
ausfällt, können die Filter autonom weiterlaufen, ohne daß die Verfügbarkeit des
Gesamtsystems betroffen wird.
Besonders kostengünstig können HAFirewalls mit Hilfe von speziellen und
standardisierten Protokollen wie HSRP
(Hot Standby Routing Protocol) und
VRRP aufgebaut werden. Dabei können
sich zwei Router oder Firewalls gegenüber den angeschlossenen Rechnern
94
L AN line 1/2000
wie ein einziger Router darstellen. Die
Gateway-Adresse, welche die Server in
ihren Routing-Tabellen verwenden,
kann bei Bedarf automatisch von dem
Damit kann eine hochverfügbare
Firewall realisiert werden, ohne daß zusätzliche Software-Produkte benötigt
werden. Schon die Nokia-IP-Geräte
HSRP
router-x
router-y
Virtueller
router-a
HA-Firewalls können mit Hilfe von Protokollen wie HSRP oder VRRP aufgebaut werden
aktiven Router auf den bisher inaktiven
Router übernommen werden. HSRP
kommt von Cisco Systems und wird
von nahezu allen Cisco-Routern unterstützt.
In sehr ähnlicher Form wird dieses
Prinzip von anderen Herstellern, beispielsweise Nokia-IP, unter dem Namen
Virtual Router Redundancy Protocol
(VRRP) verwendet. Die Nokia-IP-Geräte sind prinzipiell Router, die über eine
vollständige Implementation der Firewall-Module von Checkpoint verfügen.
Über VRRP können zwei solcher Firewall-Router parallel geschaltet und von
allen Seiten als ein virtueller Router betrachtet werden.
Die folgende Liste zeigt einige der
Möglichkeiten für HA-Firewalls:
–
–
–
–
–
HA-Server und Cluster,
dynamisches Routing,
HSRP/VRRP,
intelligente Hubs und Switches,
spezielle Software für einzelne
Firewalls,
– Verbindungsverteiler/Dispatcher,
– HA auf Anwendungsebene.
selbst bieten eine sehr einfache Installation und Wartung, da gegenüber einer
Unix- oder NT-basierten Firewall nahezu keine Betriebssystem-Kenntnisse
nötig sind.
In der Praxis kann man nicht generell
sagen, daß eine HA-Technik für Firewalls für sich alleine betrachtet besser
oder schlechter geeignet ist. Häufig muß
eine hochverfügbare Firewall auch eine
hoch sichere Firewall sein, was bedeutet,
daß sie mehrstufig aus unterschiedlichen
Produkten aufgebaut ist. Dementsprechend wird man auch mehrere der obigen
Techniken auf verschiedenen Ebenen
kombinieren.
Besondere Anforderungen werden bei
derartig komplexen Firewalls auch an die
Überwachung und den Betrieb des Gesamtsystems gestellt. Um die Firewall
später mit vertretbarem Aufwand betreuen zu können, wird man beispielsweise
um eine Integration von Directory-Servern zur übergreifenden Verwaltung von
Benutzer-IDs innerhalb der Firewall oder
um den Aufbau eigener Überwachungsund Visualisierungs-Tools nicht herumkommen.
(Steffen Gundel, IT Security
Consultant bei Integralis Centaur/mw)
SCHWERPUNKT:
FIREWALLS
SICHERHEITSKONZEPTE ÜBERPRÜFEN
Abwehrstrategien
fürs Internet
Das Internet ist wirtschaftlich, da es weltweit existiert und flächendeckende Zugänge zum Ortstarif zur Verfügung stellt. Da aber die
Sicherheit im Internet durch aktive und passive Angriffe gefährdet wird,
ist ein ganzheitliches Konzept notwendig, um alle Sicherheitslücken
ausklammern zu können.
er Übergang des internen zum externen Netz muß durch Firewall-Lösungen gesichert werden. Firewall-Systeme
können aber nur die Verbindungen vom
Intranet zum Internet schützen. Eine universelle Sicherheit gibt es dabei nicht, da
auch komplexe Systeme verwundbar sind.
Zusätzlich können sie auch nur so sicher
sein wie die Teilnehmer und Administratoren mit den Systemen umgehen. Das heißt,
wie verantwortungsbewußt sind Paßwörter
abgesichert, können Einträge durch den
Netzwerkverwalter vorgenommen werden, und welche Dienste sind zugelassen.
Ein gutes Beispiel ist dabei das Zulassen
von Hintertüren, sogenannten Trapdoors.
Diese Hintertüren führen direkt an der
Firewall vorbei und lassen sich nicht kontrollieren. Sicherheitskonzepte sollten dies
in jedem Fall berücksichtigen.
Weiterhin liegen Angriffe von innen auf
das Netz oder die Firewall im Bereich des
Möglichen. Dies kann fatale Folgen haben,
wobei es keinen Schutz vor solchen Fällen
gibt. Die Firewall schützt das interne sichere Netz und kennt keine Mechanismen,
auch noch die Kommunikation aus dem sicheren Netz heraus zu kontrollieren beziehungsweise Gegenmaßnahmen einzuleiten.
Angriffe über den Inhalt von Anwenderdaten sind eine weitere Gefahr. Das heißt,
Viren lasen sich beispielsweise über Textdokumente unbemerkt eingeschleusen, die
dann Sicherheitslücken verursachen. Zusätzliche Probleme verursachen ActiveXund CGI-Skripts, die unbemerkt Informa-
D
96
L AN line 1/2000
tionen nach außen weiterleiten. Diese Art
der Kommunikation sollte deshalb nicht
erlaubt werden, wenn man eine erhöhte Sicherheit bevorzugt.
SICHERHEITSKONZEPTE Damit die Absicherung durch Firewall-Systeme auch eine entsprechende Wirkung hat, muß vorab
ein Sicherheitskonzept erstellt werden.
Erst dieses wird eine effiziente Lösung mit
dem zugesicherten Sicherheitsstandard ermöglichen. Um letztendlich offene Sicherheitslücken erkennen und abschätzen zu
können, sind unabhängige Sicherheitsgremien wie das Computer-Emergency-Response-Team (CERT) vorhanden, die kontinuierlich nach Mängeln suchen. CERT
wurde 1988 von der DARPA gegründet
und hat in Verbindung mit diversen
Schwesterorganisationen die Aufgabe, Informationen über Sicherheitsaspekte und
-vorfälle im Internet zu sammeln und zu
veröffentlichen. Das CERT-Koordinationszentrum studiert Sicherheitsmängel
im Internet und liefert Attackenbeschreibungen. Darüber hinaus werden Sicher-
Angriffstypen
– VIREN: Befallen Programme und verbreiten sich über diese weiter, indem sie meist den
ausführbaren Code des Kernels modifizieren. Wird das infizierte Programm ausgeführt,
versucht das Virus, weitere Programme zu infizieren.
– WÜRMER (WORMS): Breiten sich in einem Netz selbständig von Knoten zu Knoten
aus, ohne jedoch andere Programme zu infizieren und richten im allgemeinen keinen
Schaden, außer einen erhöhten Verbrauch der Ressourcen an.
– TROJANISCHE PFERDE (TROJAN HORSES): Programme, die von Benutzern ausgeführt werden und dabei anstelle der gewünschten Aktion andere unbeabsichtigte Seiteneffekte hervorrufen.
– LOGISCHE BOMBEN (LOGIC BOMBS): Werden meist in anderen ausführbaren Programmen versteckt und werden durch bestimmte Bedingungen ausgelöst, beispielsweise
an einem bestimmten Tag, oder wenn ein Mitarbeiter nicht mehr auf der Gehaltsliste
steht. Meistens zerstören sie dann Daten oder setzen Viren frei.
– HINTERTÜREN (TRAPDOORS): Programmteile, mit deren Hilfe ein Zugriff auf das
System unter Umgehung der Authentisierungsverfahren oder mit erhöhten Privilegien
ermöglicht wird.
– SNIFFING: Abhören des Datenverkehrs zwischen Server und Client. Ist es einem
Hacker gelungen, Nachrichten und somit auch Log-on-Informationen eines Benutzers
abzuhören, kann er diese Informationen verwenden, um sich fälschlicherweise als dieser
User auszugeben (Spoofing).
– IP-SPOOFING: Beim IP-Spoofing wird eine IP-Adresse vorgetäuscht oder gefälscht.
Applikationen, die IP-Adressen-basierende Authentifikation durchführen, sind damit
verwundbar. Dadurch ist es möglich, sich für einen anderen Teilnehmer auszugeben, indem man ihm die Adresse vorher entwendet hat.
– REPLAY: Ein altes Paket wird in den Datenstrom wieder eingebracht und erscheint als
gültig.
– TCP-(SESSION-)HIJACKING: Aufgebaute aktive Verbindungen von berechtigten Benutzern werden nach der Authentifikation übernommen.
– AUFSPÜREN VON MOBILEN CODES: Die steigende Nutzung von Java-Applets im
Internet birgt neue Gefahren wie beispielsweise das Decompilieren von Bytecode (zum
Beispiel Bytecode (Java-Quellcode)). Somit kann ein heruntergeladener Code (Paßwörter, Urkunden, Seiteninformationen, Adressen etc.) bezüglich seiner Sicherheitslücken
untersucht und damit auch angreifbar werden.
heitsalarme und Forschungsinhalte bezüglich der Sicherheit veröffentlicht. Dadurch
hilft das CERT den Teilnehmern am Internet gegenüber Hackern und Crackern zu
widerstehen und Risiken zu erkennen. Das
CERT-Koordinationszentrum ist Teil des
Networked-Systems-Survivability-Program des Software Engineering Institute
der Carnegie Mellon Universität. Unter der
URL-Adresse http://www.cert.org sind detaillierte Informationen verfügbar.
Die stetig steigenden Sicherheitsanforderungen und die Notwendigkeit, den immer
neu bekannt werdenden Schwachstellen
entgegenzuwirken, erfordert von Verantwortlichen und Systemadministratoren ein
immer höheres Maß an Arbeit. Insbesondere bei dem Management von größeren
Rechnernetzen, in denen verschiedene Betriebssysteme von unterschiedlichen Herstellern eingesetzt werden, zeigt sich dabei
oft eine Mangel an Know-how, Personal
und/oder Zeit, was dazu führt, daß diese
Aufgabe nur unzureichend erfüllt wird.
Obwohl die Beschaffung und Installation neuer Patches und die möglichst sichere Konfiguration von Rechnern ein elementarer Bestandteil der Administration
sein sollte, können durch die Komplexität
und Vielfalt der eingesetzten Systeme Fehler nie ausgeschlossen werden. So kann es
durchaus passieren, daß altbekannte Sicherheitslücken auf einzelnen Rechnern in
einem Netz noch nicht behoben wurden,
weil sie beispielsweise bei der Änderung
der Konfiguration nicht im Netz waren.
Um eine möglichst hohe Sicherheit erreichen zu können, sind Sicherheitsaspekte
wie Schutz des Netzwerks vor unbefugtem
Eindringen und Sicherstellen der Netzwerkverfügbarkeit grundsätzlich zu beachten. Sicherheitskonzepte für lokale Netzwerke können sich auf eine Vielzahl von
unterschiedlichen Ansätzen stützen. Jede
Technologie arbeitet dabei auf ihre spezielle Art und Weise und weist eigene Vor- und
Nachteile auf.
ANGRIFFS-TOOLS ZUM ERKENNEN
VON SICHERHEITSLÜCKEN Zusätzlich
sind Tools verfügbar, um die Sicherheitsmechanismen des eigenen Netzes zu
überprüfen. Teilweise ist diese Software
kostenlos erhältlich, so daß aber auch die
Gefahr besteht, daß Laien diese Tools
nutzen, um Angriffe zu fahren. Dies erhöht natürlich das Gesamtrisiko, daß unbefugte Nutzer in das eigene Netz einbrechen können. Die Tools können in folgende Kategorien eingeteilt werden:
– Security-Scanner,
– Remote-Administration-Tool,
– spezielle Attacken wie etwa Denial of
Service.
Security-Scanner überprüfen
Schwachstellen in den Rechnern des Netzes; diese können sowohl die Konfigura-
SATAN
GUI für die Server-Konfiguration
tion betreffen als auch Anwendungen und
Dienste. Gute Tools unterstützen den Administrator bei der Behebung der Sicherheitslücken. Das bekannteste und älteste
Tool dieser Art ist das Security-Administrator-Tool for Analyzing Networks (Satan), das von Dan Farmer und Wietse Venema entwickelt und verbreitet wurde.
Einmal gestartet, kann sich der Administrator Schwachstellen eigener oder per
Netzwerk erreichbarer Systeme anzeigen
lassen. Insbesondere letzteres hat zu heftigen Diskussionen und Kontroversen und
nicht zuletzt deswegen zu einer hohen Bekanntheit von Satan geführt. Die Aufregung war offenbar großteils von Medien
entfacht, die in Satan eine weitere Mög-
lichkeit sahen, das von der Öffentlichkeit
mit argwöhnischen Augen betrachtete Internet als einen Ort darzustellen, der überwiegend von skrupellosen Crackern besiedelt wird. Tatsächlich deckt Satan nur sehr
oberflächliche Sicherheitslücken auf, die
den meisten Administratoren und natürlich
auch Crackern schon bekannt sind. Satan
versetzt den unerfahrenen Administratoren
in die Lage, die Sicherheit seines Netzes
durch automatische Einbruchsversuche zu
testen und gibt ihm erste Hinweise, was an
seinem System noch besser geschützt werden muß, um möglichen Crackern den all
zu leichten Zugang zu verwehren. So liefert Satan, nachdem
die Verwundbarkeiten des Systems aufgedeckt
wurden,
auch sogleich Lösungsvorschläge, um
die
Sicherheitslücken erfolgreich zu
schließen.
Allerdings ist Satan nicht
weiter
entwickelt
worden. Sein Nachfolger heißt Saint
und ist ebenfalls frei
verfügbar. Es besitzt
ein
komfortables
HTML-Front-end,
um es über einen
Browser bedienen zu
können. Durch den
Einsatz via Browser
ist es praktisch für alle Plattformen einsetzbar. Andere Tools testen beispielsweise den Paßwortschutz. Cops, ein Software-Paket zur Analyse von Schwachstellen in Unix-Systemen, beinhaltet Crack,
welches schwache Paßwörter findet.
TROJANISCHE PFERDE UND HINTERTÜREN: BACK ORIFICE UND NETBUS
Back Orifice (BO) ist ein Trojanisches
Pferd, das von der Hacker-Gruppe Cult-ofthe-Dead-Cow (CDC) geschrieben wurde
und seit August 1998 im Internet verfügbar
ist. Auch wenn es von CDC (http://www.
cultdeadcow.com) als Remote-Administration-Tool (RAT) bezeichnet wird und
Microsoft das Programm nicht als gefähr-
L AN line 1/2000
97
SCHWERPUNKT:
FIREWALLS
lich eingeschätzt hat, handelt es sich bei
diesem Tool neben Netbus um eine der
stärksten Bedrohungen, die es zur Zeit im
Internet gibt. Back Orifice besteht aus einem Server- (bo2k.exe) und einem ClientProgramm (bo2kgui.exe), welches zur Remote-Bedienung von Rechnern in einem
Netzwerk (Intra- oder Internet) eingesetzt
werden kann. Zur Konfiguration des Server-Programms existiert noch ein weiteres
leicht bedienbares Programm (bo2kcfg.
exe). BO installiert sich selbst und kann an
andere Programme angehängt werden, so
daß eine Verbreitung unbemerkt erfolgt.
BO wird in der Task-Liste nicht angezeigt
– Aktivieren eines HTTP-Servers (auf einem beliebigen Port),
– Manipulationen am File-System wie
Kopieren, Löschen, Umbenennen und
Suchen,
– Modifikation von Registry-Schlüsseln
und -Werten,
– Netzwerkkontrolle (inklusive Umleiten
von Paketen!),
– Monitoring von Netzwerkpaketen (mit
Plug-in BUTTSniffer),
– Scannen eines Netzes nach aktiven BOServern.
Zusätzlich besitzt Back Orifice ein Plugin-Interface, über das ein beliebiger Programmcode unentdeckt
ausgeführt
werden kann. Über
diese Schnittstelle ist
BO jederzeit in der
Lage, sich Remote
auf den neusten
Stand zu bringen. BO
nutzt in der DefaultEinstellung den Port
31337 des UDP-Protokolls. Allerdings
kann die Port-Nummer beliebig verändert werden.
Es gibt konkrete
Untersuchungen, die
zeigen, daß Back
Grafische Oberfläche von Back Orifice unter Windows 95/98/NT
Orifice beim Scannen des Netzes auf
und beim Hochfahren des Rechners unter aktive Server, jede gefundene Adresse per
einem beliebigen Namen gestartet. Wäh- HTTP an http://www.netninja.com sendet.
rend der BO-Client auf allen möglichen Auf diese Weise besteht die Möglichkeit,
Betriebssystemen lauffähig ist, gibt es den dort eine riesige Datenbank mit aktiven
BO-Server momentan nur für Windows BO-Servern aufzubauen. Dies und die
Massenverbreitung des Tools als Trojani95/98.
Back Orifice verfügt unter anderem über sches Pferd zeigen eindeutig, daß Back
Orifice nicht nur friedlichen Zwecken diefolgende Funktionalitäten:
nen soll. Weitere Hinweise darauf sind das
– Aufzeichnen von Tastatureingaben,
– Steuern von Multimedia-Funktionen Verstecken des Servers und die nicht vorwie etwa das Erstellen von Screenshots, handene Dokumentation sowie die VerBedienung angeschlossener Videoka- weigerung von Support-Leistungen durch
den Hersteller.
meras etc.,
Inzwischen gibt es außerdem noch Er– Re-Booten des Rechners,
– Auslesen von Systeminformationen gänzungs-Tools für BO, die folgende Bewie beispielsweise CPU, Windows- zeichnung und Aufgaben haben:
Version, Paßworte, Netzwerkzugän- – Speakeasy: Ein IRC-Plug-in, das gesichertes Einloggen in einen vorher defige etc.,
98
L AN line 1/2000
nierten Server ermöglicht und die IPAdresse des Hosts weitergibt.
– Silk Rope: Ein Packager, der es ermöglicht, BO an fast jedes beliebige Programm zu binden.
– Saran Wrap: Ebenfalls ein Packager, der
es ermöglicht, Back Orifice hinter einem
Install Shield (zum Beispiel Installer) zu
verstecken.
– Butt Trumpet: Ein Plug-in, das eine
E-Mail mit der IP-Adresse des Hosts
verschickt, wenn BO installiert wurde.
Bei Netbus handelt es sich ebenfalls um
ein Trojanisches Pferd, das in seiner Funktionalität BO entspricht, also eine Hintertüre (Trapdoor) öffnet, über die man über
das Netzwerk unbemerkt auf den Rechner
zugreifen kann. Netbus ist allerdings noch
handlicher in der Bedienung und mächtiger als BO. Es wurde von dem Schweden
Carl-Fredrik Neikter geschrieben, der die
erste Version Mitte März 1998 veröffentlichte. Derzeit liegt das Programm in der
Version 2.01 vor und ist inzwischen als
Shareware zu erhalten.
Netbus besteht aus einem Server- (netbus.exe) und einem Client-Programm
(häufig: patch.exe, bei Version 1.5x: Sysedit.exe), welches zur Verwaltung von
Remote-Rechnern eingesetzt werden
kann. Es arbeitet über den fest eingestellten TCP/UDP-Port 12345 beziehungsweise bei Netbus Pro 20034.
Netbus besitzt dabei die folgende
Funktionalität:
– Aufzeichnen von Tastatureingaben,
– Einschalten eines Key-Clicks,
– Steuerung der Maus (inklusive Vertauschen von rechter und linker Maustaste),
– Öffnen und Schließen der CD-ROM
(gegebenenfalls automatisch in Intervallen),
– Generieren von Fehler-, Warn- und Infomeldungen (mit Anzeige der Antwort),
– Starten von Anwendungen,
– Anspringen von WWW-Seiten (URL),
– Erstellen eines Bildschirm-Dumps (als
BMP oder JPG),
– Abspielen von WAV-Dateien,
– Aufnahmen über ein angeschlossenes
Mikrofon,
– Manipulationen am File-System,
– Anzeigen und Schließen aller geöffneten Fenster,
– Auslesen von Systeminformationen,
– Re-Booten des Rechners.
Zusätzlich kann von dem Remote-Rechner der Zugang zum Server über ein
Paßwort gesichert werden. Ein Deinstallieren (Remove) des Servers über das Netzwerk ist ebenfalls möglich. Inzwischen ist
die Version 2.0 entwickelt worden, die zusätzliche Leistungsmerkmale aufweist
(http://www.multimania.com/cdc/netbus2
pro.html) wie eine Installationsroutine für
Windows 9x und NT, eine neue grafische
Oberfläche für Client und Server, Plug-inManager, Aufzeichnen von Aufnahmen einer Webcam, Unterstützung von SOCKS4-Servern. Gerade der letzte Punkt bedeutet, daß Firewalls angreifbarer werden.
WINNUKE Winnuke ist ein reines AngriffsTool für Denial-of-Service-Attacken. Durch
das Senden von speziellen Paketen (Outof-Band-Packets) ist es möglich, Windows
95 und Windows NT zum Absturz zu bringen. Winnuke sendet ein TCP-Paket mit
gesetztem Urgent-Flag (URG) auf einen
beliebigen TCP-Port (meistens Port 139 =
Netbios, da Bestandteil des Betriebssystems). In diesem “dringenden” Paket
weist der entsprechende Zeiger allerdings
auf das Ende des Pakets. Dies kann Windows nicht ordentlich verarbeiten. Die Reaktion von Windows for Workgroups
(WfW) hängt von dem installierten Protokollstapel ab, aber im Normalfall erscheint der Blue-Screen. Durch einen
Online-Test (URL: http://www.rrzn.unihannover.de/ cgi-bin/winkill.sh) kann
man feststellen, ob der eigene Rechner
betroffen ist. Die Universität Hannover
(URL: http://www.rrzn.uni-hannover.de)
bietet diese Testmöglichkeit an. Damit ist
ebenfalls das Angreifen anderer Rechner
möglich, was allerdings strafrechtliche
Konsequenzen haben kann. Eine Update
für Windows 95/NT aus der Microsoft
Knowledge Base kann diesen Bug aber
beheben.
NEWTEARDROP Bei dieser relativ neuen
Denial-of-Service-Attacke handelt es
sich um eine Abwandlung von TeardropAngriffen. Newteardrop, auch Boink genannt, arbeitet mit ungültigen UDP-Headern. Windows 95/NT reagiert auf diese
Pakete mit einem Systemabsturz. Es ist
bislang nicht bekannt, ob auch andere
Betriebssysteme anfällig gegen diese Pakete sind. Bei Boink werden zwei IP-Datenfragmente gesendet, die in ein ungültiges UDP-Datagramm eingefügt werden. Ein überlappender Offset bewirkt,
daß ein Teil des Headers im ersten Datagramm überschrieben wird und so ein unvollständiges Paket produziert wird. Updates für Windows 95 und NT sind auch
hier verfügbar.
L AN line 1/2000
99
SCHWERPUNKT:
FIREWALLS
ICQ-EXPLOITS UND HOAXES ICQ
(http://www.icq.com/icqhomepage.html)
hat sich inzwischen zu einem regelgerechten Renner entwickelt. Sogenannte
E-Mail-Viren (Hoaxes) sind Spam-Nachrichten, die Ähnlichkeiten mit ICQAttacken haben. Es gibt inzwischen aber
–
Literaturverweis
[1] Detken: Security Concept:
Sicherheitsmechanismen für das Intranet;
Netsikom99; Computas Konferenz
25 Mark, 26.01.99; Köln 1999
[2] Detken: Extranet-Serie, Teil 2: Safer
Net; Gateway 5/99; Computerwoche Verlag GmbH; München 1999
[4] Detken: Local Area Networks –
Grundlagen, Internetworking und Migration; ISBN 3-7785-3911-6; Heidelberg
1999
[3] Luckhardt, Norbert: Mauerbrecher
Trojanische Pferde bedrohen die
Rechnersicherheit; c’t special; Heinz Heise Verlag; Hannover 1998
auch Programme, die zur Störung des
ICQ-Betriebs (Bombing, Flooding, Spamming) oder zum Ausspionieren (Hacking,
Spoofing) von verdeckten Informationen
verwendet werden können. Beim Stören
des ICQ-Betriebs handelt es sich um Programme, die einen Partner mit größeren
Mengen unsinniger Nachrichten überschütten und hierbei gegebenenfalls sogar
eine andere Identität vortäuschen, so daß
das jeweilige Opfer nicht nachvollziehen
kann, wer den Angriff durchgeführt hat.
Darüber hinaus gibt es auch Patches, die
ein normales E-Mail-Bombing für den Gebrauch bei ICQ adaptieren. Mit den Programmen Sniffing und Hacking ist es hingegen möglich, verschiedene Informationen ohne das Wissen und den Willen des
Anwenders, auszulesen. Hierzu gehört
auch die (versteckte) IP-Adresse oder das
ICQ-Paßwort. Diese Utilities bereiten sozusagen den Weg für den Einsatz anderer
Hacker-Tools (etwa Winnuke) vor.
Bekannte ICQ-Hackprogramme sind:
– ICKILLER: Trojanisches Pferd, das
auf dem eigenen Rechner einen Prozeß
mit dem Namen Explorer startet, der es
100
L AN line 1/2000
–
–
–
–
erlaubt, von außen auf das System zuzugreifen, das heißt Daten auszuspionieren und zu löschen. Nebenbei werden auch noch ICQ-Bomben verschickt.
PCICQ: DOS-Patch, der die Datei
IRQ.EXE derart modifiziert, daß jede
User Identity Number (UIN) direkt in
eine Kontaktliste aufgenommen werden kann – unabhängig davon, ob eine
Autorisierung durch den Anwender
vorgesehen ist oder nicht.
ICQCRK: Patch, der ICQ so modifiziert, daß er immer die IP-Adresse anzeigt!
ICQSNIFF: Programm zum Ausspähen von IP-Adressen, wenn sie vom
Anwender auf “nicht sichtbar” eingestellt worden sind.
ICQPROTECTOR: Schützt durch Öffnen von vielen Ports vor möglichen
Bomben/Flooding, kann aber keinen
Universalschutz bieten.
ISOAQ: Mit diesem Programm können
alle denkbaren Patches unter Windows
durchgeführt werden. Weiterhin funktioniert es mit allen existierenden ICQVersionen.
FAZIT Bevor ein zu flacher Sicherheits-
schutz in ein Unternehmen integriert wird,
sollte man die Kommunikationsprozesse
und -abläufe untersuchen. Dies sollte
durch ein umfassendes Sicherheitskonzept
analysiert und dargelegt werden. Nur dadurch kann der Administrator Lücken in
den Betriebssystemen, Netzstruktur, Organisation, Verwaltung etc. konsequent aufdecken. Erst daran anschließend läßt sich
eine Firewall-Lösung planen und umsetzen. Dabei ist zu beachten, daß keine Firewall eine hundertprozentige Sicherheit garantieren kann und ständig gepflegt werden sollte, da sie sonst wirkungslos wird.
Die Sicherheit muß durch Analyse-Tools
überprüft werden. Hierfür sollten zumindest die bekannten Angriffs-Tools eingesetzt werden, um diese Bedrohung auszuschließen, da durch die leichte Benutzung
jeder zum Hacker oder Cracker avancieren
kann. Dies sollte nicht durch den Netzwerkadministrator vorgenommen werden,
da dieser eventuell Lücken bereits kennt
und nur spezifische Angriffe durchführen
wird. Man kommt nicht umhin, entweder
das Intranet von Internet physikalisch zu
entkoppeln oder ein tägliche Wartung und
Überprüfung der Log-Dateien durchzuführen. Dies sind zwar zusätzliche Kosten,
stehen aber in keinem Verhältnis zu den
möglichen Schäden, die ein Verlust sensitiver Daten dem Unternehmen beifügen
könnte.
Darüber hinaus sollte der Verantwortliche den Einsatz von weiteren Test-Tools
in Erwägung ziehen oder ein externes
Unternehmen mit der Überprüfung der
Sicherheit beauftragen. Erst dann kann
ein optimaler Schutz anhaltend gewährleisten werden.
(Kai-Oliver Detken, Christine
Reckziegel/mw)
Dipl.-Ing. Kai-Oliver Detken studierte
Nachrichtentechnik an der Hochschule
Bremen und Informationstechnik an der
Universität Bremen. Heute ist er als Berater bei der Optinet GmbH (http://www. optinet.de) tätig und leitet den Competence
Center Future Knowledge (CC-FK).
Dipl.-Ing. [FH] Christine Reckziegel
absolvierte ihr europäisches Elektrotechnikstudium an der Hochschule Bremen.
Heute arbeitet Sie bei der Optinet GmbH
im CC-FK in den Fachrichtungen Security, Verschlüsselung und Management.
Abkürzungsverzeichnis
Back Orifice
Cult-of-the-Dead-Cow
Computer Emergency Response
Team
D A R P A Defence Advanced Research
Projects Agency
FTP
File Transfer Protocol
GUI
Graphical User Interface
IP
Internet Protocol
TCP
Transmission Control Protocol
LAN
Local Area Network
RAT
Remote Administration Tool
RPC
Remote Procedure Call
S A T A N Security Administrator Tool for
Analyzing Networks
UDP
User Datagram Protocol
URL
Unified Resource Locater
WAN
Wide Area Network
WWW
World Wide Web
BO
CDC
CERT
102
●
ja
●● ● ● ●
IP, IPX, SMA,
Features
Zahl unterstützter LAN-Interfaces
Adreß-Translation (IP-Masquerading) mögl.
externe Authentisierung möglich
(Inbound Services)
Verfahren
verschlüsseltes IP-Tunneling für
folgende LAN-Protokolle
Aufbau von Virtual Private Networks
(VPN) möglich (Firewall zu Firewall)
Client-Komponenten
Virtual Private Networks
LDAP-Client
SNMP-Client
Schutz
Spezifischer Schutz besteht für
folgende Internet-Protokolle
Stateful Inspection
Protokoll-Gateway
Circuit-Level Gateway
mit Protokollumsetzung
unterstützte Internet-Dienste
Pathbuilder S 400
integrierte Benutzerverwaltung
3Com
basiert auf folgendem
Betriebssystem
Produktname
Unterstützte Firewall-Technologien
● ● ja
ja
alle
●
● ● ja
ja
alle
●
● ● ja
ja
alle
●
28
● ● ja
ja
alle
●
28
● ● ja
IP
Securid, X.509
Sicherheitszertifizierungen
ICSA
Apple Talk
●
Pathbuilder S 500
ja
●● ● ● ●
IP, IPX, SMA,
Apple Talk
●
Office Connect
ja
●● ● ● ●
IP, IPX, SMA,
Netbuilder
Apple Talk
●
Superstack Net-
ja
●● ● ● ●
IP, IPX, SMA,
builder SE
All Secure
Apple Talk
●
Magistrate VPN
●● ● ●
NT, Solaris,
alle
HP-UX, AIX
bel.
V3, Radius, NT,
LDAP, Entrust,
NDS
Algorithmic
Private Wire
●●
ja
● ● ● ● ● alle TCP
●●●
Solaris
Research
a Virt
Win NT, Sun
Gateway
●●
Win NT, 9x
Skriptsprache
ja
IP komplett
8
ja
TCP/IP, UDP
ja
ja
IPsec, Swipe
Ace, Cryptocard, ● bel. ICSA
Anpassung
ja
● ●
● TCP/IP, UDP
● ● ● POP 3, HTTP,
●
8
FTP, Telnet,
SMTP
Axent
●
Raptor Firewall 6.0
NT, Solaris,
ja
● ● ● ● ● HTTP, FTP, CIFS,
HP-UX
● ● alle Internet-
SMTP, NNTP,
Dienste
Defender, Radius,
RA, Telnet
Biodata
Borderware
Bigfire +
●
● proprietär
ja
Big Application
●
NT/Linux
ja
Borderware Firewall Server V. 6.1
● ● BSD-Linux
●● ● ●
alle
Tacacs, S-Key
●
TCP/UDP
● FTP, HTTP, HTTPS,
●● ●
● FTP, HTTP, HTTPS, ●
● ja
ja
IP
Radius
●
3
SSL
NT-Password,
●
2
Secure ID, DES ●
3
SMTP, NNTP, DNS,
SMTP, NNTP, DNS,
Username
POP 3, Imap 4,
POP 3, Imap 4,
Password
Real Audio
Real Audio
● WWW, SMTP, ●
POP, FTP, DNS
●
FTP, NNTP, POP,
ja
TCP, UDP
Oracle, Real Au-
Gold, Crypto
dio, SMTP, WWW
Card
ITsec, E3 hoch in Zert.
ICSA, West Coast Labs, NSS
SCHWERPUNKT:
FIREWALLS
Hersteller
Komplettlösung
reine SW-Lösung
basiert auf eigenem Betriebssystem
Plattform
Paket-Filter
TCP-orientierte Dienste
UDP-orientierte Dienste für folgende
RPC-orientierte Dienste Internet-Protokolle
Proxy-Server (Application Level Gateway)
LANline 1/2000
Marktübersicht: Firewalls
Safeword
Hersteller
Produktname
Borderware
Firewall Server
(Forts. v. S. 102)
6.02
Bullsoft
Netwall V 4.1
Check Point
▼
Firewall-1
VPN-1
●
●
●●
AIX, Solaris,
Unix
Win NT, div.
● ● BSDI
ja
NT
div. Unix, Em- ja
ja
●● ●
● ● ● ● alle
● ● ● ● ● alle
●
● ● ● ● ● FTP, Telnet, SM- ●
TP, HTTP, NNTP,
●
●●
●●●
H.323, VoIP,
● HTTP, FTP,
SMTP
● ● FTP, Telnet, RPC, ● ● ja
● ● ja
● ● ja
ja
ja
ja
Zahl unterstützter LAN-Interfaces
cure ID, X.509,
Adreß-Translation (IP-Masquerading) mögl.
Ipsec +
externe Authentisierung möglich
(Inbound Services)
Verfahren
verschlüsseltes IP-Tunneling für
folgende LAN-Protokolle
Aufbau von Virtual Private Networks
(VPN) möglich (Firewall zu Firewall)
Client-Komponenten
Schutz
LDAP-Client
SNMP-Client
Unterstützte Firewall-Technologien
Spezifischer Schutz besteht für
folgende Internet-Protokolle
Stateful Inspection
Protokoll-Gateway
Circuit-Level Gateway
mit Protokollumsetzung
unterstützte Internet-Dienste
Paket-Filter
TCP-orientierte Dienste
UDP-orientierte Dienste für folgende
RPC-orientierte Dienste Internet-Protokolle
Proxy-Server (Application Level Gateway)
integrierte Benutzerverwaltung
basiert auf folgendem
Betriebssystem
Komplettlösung
reine SW-Lösung
basiert auf eigenem Betriebssystem
Plattform
Virtual Private Networks
bedded SysteSQLnet, IIOPus, Tacacs, Ta-
me, Win NT
Corba-Orbix,
cacs+, Axent
DCOM, DCE RPC,
Pathw., S/Key,
PC Anywhere
etc.
ISAKMP/
Oakley
Features
Sicherheitszertifizierungen
Smartgate, Se- ●
3
ICSA, West Coast Labs, NSS
SQLnet
●
30
ICSA, ITsec
H323, Real Au-
dio/Video
Secur ID, Radi- ● bel. ITsec, E 3, ICSA
uvm.
● bel.
LANline 1/2000
103
IOS
●● ● ●
Netshow, Java
●
HTTP, FTP, Tel-
Blocking, CBAC
●
Feature Set
IOS
ja
●● ● ●
Netshow, Java
●
HTTP, FTP, Tel-
●
●
ja
GRE, Ipsec
Zahl unterstützter LAN-Interfaces
Adreß-Translation (IP-Masquerading) mögl.
externe Authentisierung möglich
(Inbound Services)
Verfahren
verschlüsseltes IP-Tunneling für
folgende LAN-Protokolle
Aufbau von Virtual Private Networks
(VPN) möglich (Firewall zu Firewall)
Client-Komponenten
LDAP-Client
SNMP-Client
● ● Ipsec
Cisco, Secur ID, ●
Sicherheitszertifizierungen
NCSA
Tacacs+, Radius
● ● Ipsec
GRE, Ipsec
net, TFTP
● ● ● ● ● Archie, Gopher, ●
Features
Virtual Private Networks
net, TFTP
Blocking, CBAC
PIX 515 Firewall
Spezifischer Schutz besteht für
folgende Internet-Protokolle
Stateful Inspection
Protokoll-Gateway
Circuit-Level Gateway
mit Protokollumsetzung
unterstützte Internet-Dienste
integrierte Benutzerverwaltung
ja
Schutz
Cisco, Secur ID, ●
BSI, ICSA
Tacacs+, Radius
HTTP, FTP, TFTP, ● ● Ipsec
GRE, Ipsec
Tacacs+, Radius, ●
Telnet, SQLnet,
PPTP, ICMP, GRE,
AAA-Server,
Multimedia, Net-
SNMP
Cisco Secure
4
BSI, NCSA
●
4
BSI, NCSA
●
16
ITsec, E3
●
16
ITsec, E3
show, Real Audio
PIX 520 Firewall
●
●
ja
● ● ● ● ● Archie, Gopher, ●
HTTP, FTP, TFTP, ● ● Ipsec
GRE, Ipsec
Cisco Secure,
Telnet, SQLnet,
PPTP, ICMP, GRE,
Tacacs+, Radius,
Multimedia, Net-
SNMP
AAA-Server
show, Real Audio
CSM
●
Enterprise Proxy
Server
NT, Solaris,
CSM-User,
● HTTP, FTP, SM-
HTTP, FTP, SM-
Linux
NT-Domain,
● ●
TP, IMAP 4, POP
TP, IMAP 4, POP
LDAP
3, RA, RTSP, Tel-
3, RA, RTSP, Tel-
net, VDO, News,
net, VDO, News,
Socus
Cyberguard
●
Cyberguard for NT
● ● ● ● ● HTTP, NNTP,
NT
ja
TCP/IP
CSM-eigene
IPsec
DES
Smart/Token-
Socus
●
●
Telnet, FTP, etc.
●
Cyberguard for
● ● ● ● ● HTTP, NNTP,
Unix 4.1
Unix
Elron
Firewall NT
Genua
Genugate
cards
●
●
IPsec
●
●
NT 4.0
ja
●● ●
alle
BSD/OS
ja
●● ●
● alle
●
BSD/OS
ja
●● ●
●
HTTP
●●
HTTP, FTP, POP,
● alle
●●
HTTP, FTP, POP,
Telnet, NTTP
GTA
GNAT Box
IBM
IBM Sercureway
●●●
●
Firewall 4.1
●● ● ●
Win NT 4.0 m. ja
●● ●
alle gängigen
Smart/Tokencards
Telnet, NTTP
Genugate Pro
DES
Telnet, FTP, etc.
●●
● HTTP, FTP, Tel-
ja
alle
● RSA-Auth.,
RSA-Auth.,
RSA-Auth.,
Crypotcard
Crypotcard
Crypotcard
● RSA-Auth.,
RSA-Auth.,
RSA-Auth.,
Crypotcard
Crypotcard
Crypotcard
alle
●●
ja
ACE/Server,
SP 4, AIX ab
net, NNTP, SN-
RSA Security,
V. 4.3.2
MP, Real Audio,
Token, Secure ID
●
3
●
12
ITsec, E3 hoch in Zert.
●
12
ITsec, E3 hoch in Zert.
●
3
ICSA
● bel. ICSA
Video
ID-Pro
k. A.
●
Linux
LDAP
●● ●
● alle
●
●
● ja
TCP/IP
●
32
SCHWERPUNKT:
FIREWALLS
●
Cisco Systems IOS Firewall
basiert auf folgendem
Betriebssystem
Produktname
Komplettlösung
reine SW-Lösung
basiert auf eigenem Betriebssystem
LANline 1/2000
Hersteller
Unterstützte Firewall-Technologien
Paket-Filter
TCP-orientierte Dienste
UDP-orientierte Dienste für folgende
RPC-orientierte Dienste Internet-Protokolle
Proxy-Server (Application Level Gateway)
104
Plattform
●
Unix, NT
● HTTP, FTP,
ja
Firewall Kit
●
● Linux
ja
●● ●
Zahl unterstützter LAN-Interfaces
Adreß-Translation (IP-Masquerading) mögl.
externe Authentisierung möglich
(Inbound Services)
Verfahren
verschlüsseltes IP-Tunneling für
folgende LAN-Protokolle
Aufbau von Virtual Private Networks
(VPN) möglich (Firewall zu Firewall)
Client-Komponenten
LDAP-Client
SNMP-Client
Spezifischer Schutz besteht für
folgende Internet-Protokolle
Features
Virtual Private Networks
Sicherheitszertifizierungen
HTTP, FTP,
SMTP
Kryptokom
Schutz
Stateful Inspection
Protokoll-Gateway
Circuit-Level Gateway
mit Protokollumsetzung
unterstützte Internet-Dienste
Paket-Filter
TCP-orientierte Dienste
UDP-orientierte Dienste für folgende
RPC-orientierte Dienste Internet-Protokolle
Proxy-Server (Application Level Gateway)
Mimesweeper
integrierte Benutzerverwaltung
Integralis
basiert auf folgendem
Betriebssystem
Produktname
Unterstützte Firewall-Technologien
SMTP
● alle
●●
alle
ja
ja
Paßwort, S-Key,
2
Challenge, Re-
ITsec, BSD, E3 hoch in
Zert.
sponse, Chipkarte
Lucent
Lucent Managed
Technologies
Firewall
Matranet
M>Wall
●
● ●
●
Proxy-HTTP,
ja
Radius, ACE
●
M>Wall.Key,
● bel. E3 in Zert.
3
ICSA
SMTP
●●
Win NT, HP-UX, ja
●● ●
● alle gängigen
● ● HTTP, FTP, Tel-
● ● opt.
alle
Solaris, BSDI-
net, POP 3, SM-
Secur ID, S/Key,
Unix, Digital
TP, TCP
Smart Card
Unix
Netguard
●
Guardian
NT 4.0, Win
ja
● ● ● ● ● alle
●
●● ●
●
alle
●
ja
TCP/UDP
ja
alle
2000
●
main, Secure ID
● proprietär
Netopia
S9500
Network
Gauntlet Firewall ● ●
Solaris, HP-UX, ja
● alle
● ● ● ● ● alle
● HTTP
●●●
alle
● ● ja
alle, IP
Win NT, BSDI
Associates
Radius, NT-Do- ● bel. ICSA
●
HTTP, FTP,
3
NCSA
● bel. NCSA, UK-ITsec
Security Dynamics
Netscreen
Netscreen 100
●
●
ja
●● ●
alle
●
●
Netscreen 10
●
●
ja
●● ●
alle
●
●
IP 330
●
● IPSO (Unix-
ja
●● ● ●
alle
●
● ja
Radius, ICE
●
Radius, ICE
●
3
ICSA
Technologies
Nokia
● ja
● ● ja
IPsec
Derivat)
Radius, Tacacs
3
20
ICSA, ITsec, E 3
20
ICSA, ITsec, E 3
20
ICSA, ITsec, E 3
Tacacs+, S-Key,
LANline 1/2000
IKE
IP 440
●
● IPSO (Unix-
ja
●● ● ●
alle
●
● ● ja
IPsec
Derivat)
Radius, Tacacs
Tacacs+, S-Key,
IKE
IP 650
●
● IPSO (Unix-
ja
●● ● ●
alle
Derivat)
●
● ● ja
IPsec
Radius, Tacacs
Tacacs+, S-Key,
IKE
105
Open Path
Open Path
Software
Datax
▼
●
HTTP
SAP
SAP
SCHWERPUNKT:
FIREWALLS
Hersteller
Komplettlösung
reine SW-Lösung
basiert auf eigenem Betriebssystem
Plattform
●● ●
alle gängigen
HTTP, FTP, SMTP,
Features
●
Zahl unterstützter LAN-Interfaces
Adreß-Translation (IP-Masquerading) mögl.
externe Authentisierung möglich
(Inbound Services)
Verfahren
verschlüsseltes IP-Tunneling für
folgende LAN-Protokolle
Aufbau von Virtual Private Networks
(VPN) möglich (Firewall zu Firewall)
Client-Komponenten
Virtual Private Networks
LDAP-Client
SNMP-Client
Spezifischer Schutz besteht für
folgende Internet-Protokolle
Stateful Inspection
Protokoll-Gateway
Circuit-Level Gateway
mit Protokollumsetzung
unterstützte Internet-Dienste
●
integrierte Benutzerverwaltung
Sheriff on Board
basiert auf folgendem
Betriebssystem
Packet Tech-
Schutz
Sicherheitszertifizierungen
1
POP 3, Impap,
nologies
TFTP, ICMP, Telnet, ICQ, Chat,
News
Radguard
CI Pro
●
ja
●● ●
alle
IPsec, IKE
● ● ja
alle
Radius, Secure ●
3
ICSA, Tolly, Mier
ID, LDAP
● Secured BSDI
Secure Compu- Secure Zone
●● ●
● alle
●●
ja
IPsec, IKE
Password,
● bel.
Token
ting
● Secured BSDI
Sidewinder
●● ●
● alle
●●
ja
IPsec, IKE
Password,
●
8
Token
Sun
Sunscreen EPS
●
Unix
Solstice Firewall-1
●
NT, Unix,
●
ja
●● ● ●
Solaris
SMTP, Telnet,
●
ja
ja
ja
ja
UDP, TCP
ja
bel.
FTP, HTTP, HTTP9
Trend Micro
●
Viruswall
● HTTP, FTP,
Unix, NT
HTTP, FTP,
SMTP
Valuesoft
Gateland
●● ●
Real Time OS
SMTP, Content
● DMS, FTP, SMTP,
TCP, UDP,
HTTP
●
Isline Router Firewall
Watchguard
Firebox II
●● ●
Win 3.11, 98,
ja
●
NT
●
●
32
CHAP, PAP
●
6
NT-, Radius-,
●
3
ICSA, BSI in Zert.
●
3
ICSA, BSI in Zert.
3x
ICSA, Common Criteria
ICMP
FTP, DNS,
ja
SMTP, HTTP
● ● ● ● ● alle gängigen
Linux
●●●●
● ja
IPsec, IKE
CryptocardServer, PPTP
Firebox II plus
●
● ● ● ● ● alle gängigen
Linux
●●●●
● ja
IPsec, IKE
NT-, Radius-,
CryptocardServer, PPTP
Live Security
●
Linux
ja
● ● ● ● ● DCE-RPC, FTP,
●●●
DCE-RPC, FTP,
HTTP, SMTP,
HTTP, SMTP,
H323, Real Net-
H323, Real Net-
works, VDO Live
works, VDO Live
ja
●
PPTP, IPsec,
Firebox, NT-
TCP/IP
Server, Radius,
10/
Crypotcard
100
SCHWERPUNKT:
FIREWALLS
Produktname
Komplettlösung
reine SW-Lösung
basiert auf eigenem Betriebssystem
LANline 1/2000
Hersteller
Unterstützte Firewall-Technologien
Paket-Filter
TCP-orientierte Dienste
UDP-orientierte Dienste für folgende
RPC-orientierte Dienste Internet-Protokolle
Proxy-Server (Application Level Gateway)
106
Plattform
Anbieter: Firewalls
Hersteller/Anbieter
3Com
Telefon
01805/671530
Produkt
Pathbuilder S 400
Pathbuilder S 500
Office Connect Netbuilder
Superstack Netbuilder SE
Magistrate VPN
Private Wire
Preis in DM
k. A.
k. A.
k. A.
k. A.
k. A.
k. A.
k. A.
k. A.
k. A.
k. A.
040/352253
02203/305-0
0811/600520
06022/2623-30
Gateway
Raptor Firewall 6.0
Raptor Firewall 6.0
Raptor Firewall 6.0
Big Fire +
Big Application
Borderware Firewall
Server V. 6.1
Borderware Firewall
Server V. 6.1
Borderware Firewall
Server V. 6.02
Borderware Firewall
Borderware Firewall
Server
Borderware Firewall
Netwall V. 4.1
Firewall-1
VPN-1
089/94573-0
089/607-20961
0221/9542310
040/401946-0
Firewall-1
Firewall-1
Firewall-1
Firewall-1
k. A.
k. A.
k. A.
k. A.
06201/90450
06022/2623-0
All Secure
Algorithmic Research/
Applied Security
a Virt/CCom-Inet
Axent/CBC
Axent/IT Protect
Axent/NDH
Biodata
0721/61090
069/973770
02332/7596-0
02203/935300
06454/9120-0
Borderware
06201/901050
Borderware/CCM Consult 0228/98645-0
Borderware/IOK
05246/9290-0
Borderware/Mandata
Borderware/Netzwerk
Kommunikationssysteme
Borderware/Topologix
Bullsoft/Bull
Check Point
Check Point/Applied
Security
Check Point/Articon
Check Point/BData
Check Point/BDG
Check Point/Blue Communications Software
Check Point/Cybernet
Check Point/Danet-IS
Check Point/Group
Check Point/Haitec
Check Point/Internet 2000
Check Point/Login S & C
Check Point/NCT
Check Point/The Bristol Group
Check Point/Telemation
Check Point/Uni-X Software
Cisco Systems
02845/294-0
039203/720
Cisco Systems/Articon
Cisco Systems/K & K
Cisco Systems/Telemation
CSM
CSM/Telemation
Cyberguard
Cyberguard/BDG
Cyberguard/Pan Dacom
Elron/Internet 2000
Genua
GTA/XNC
089/99315-0
06151/868-0
0721/4901-0
08642/887-0
089/6302730
0228/978590
06151/916623
06103/2055300
06171/977-0
0541/71008-0
01803/671001
Firewall-1
Firewall-1
Firewall-1
VPN-1
Firewall-1
Firewall-1
Firewall-1
Firewall-1
Firewall-1
Firewall-1
IOS Firewall
Feature Set
PIX 515 Firewall
PIX 520 Firewall
089/94573-0
PIX Firewall
02303/254000
PIX Firewall
06171/977-0
PIX 520 Firewall
0043/1/5134415 Enterprise Proxy
Server
06171/977-0
Enterprise Proxy
Server
0044/1276/683713 Cyberguard Firewall
0221/9542310
Cyberguard
Cyberguard for NT
Cyberguard for Unix
06103/9320
Cyberguard for NT
Cyberguard for Unix
089/6302730
Firewall NT
089/991950-0
Genugate
Genugate Pro
02203/695091
GNAT Box
k. A.
k. A.
k. A.
k. A.
Hersteller/Anbieter
IBM
Telefon
07034/15-2605
IBM/Haitec
ID-Pro
Integralis/Group
Kryptokom
Lucent Technologies
08642/887-0
0228/42154-0
0721/4901-0
0241/963-0
0228/2430
Lucent Technologies/
BSP.Service
0941/92015-20
k. A.
k. A.
k. A.
k. A.
k. A.
k. A.
k. A.
k. A.
k. A.
k. A.
k. A.
k. A.
k. A.
k. A.
k. A.
k. A.
k. A.
k. A.
k. A.
k. A.
k. A.
k. A.
3838-37121
k. A.
k. A.
k. A.
k. A.
k. A.
k. A.
k. A.
k. A.
k. A.
Preis in DM
k. A.
089/99315-200
Gauntlet Firewall
k. A.
0511/319274
Gauntlet Firewall
k. A.
Lucent Technologies/Netz- 039203/720
werk Kommunikationssysteme
Matranet
0033/134584400
Matranet/Intec
Netguard
Netguard/PSP Net
k. A.
k. A.
k. A.
Produkt
IBM Security Firewall
4.1
IBM Firewall
Linux-bas.
Mimesweeper
Firewall Kit
Lucent Managed
Firewall
Lucent Managed
Firewall
VPN Gateway
Lucent Managed
Firewall
M>Wall
Netguard/Traicen
Netopia/Internet 2000
Network Associates/
ATM Computer
Network Associates/
Cybernet
Network Associates/
Krauss-Systeme
Netscreen/Pan Dacom
k. A.
k. A.
k. A.
k. A.
k. A.
k. A.
k. A.
k. A.
3659-19056
Euro
07471/9852-0
M>Wall
k. A.
00972/6/644-9936 Guardian
4787-17332
06430/22-33
Guardian
k. A.
Guardian/Netguard k. A.
Control Center
06251/4876
Guardian
k. A.
089/6302730
S 9500
k. A.
07531/808-4327 Gauntlet Firewall
k. A.
06103/9320
Netscreen 100
Netscreen 10
06172/925826
IP 300
IP 400
IP 600
VPN 200
06172/9258158
Nokia IP 330
Nokia IP 440
Nokia IP 650
001/909/5945815 Open Path Datax
k. A.
k. A.
Nokia
k. A.
k. A.
k. A.
k. A.
Nokia/TLK Computer
k. A.
k. A.
k. A.
Open Path Software
10000 -–
100000 $
Packet Technologies
00972/3/5587001 Sheriff on Board
Single User
10-20 $
Radguard
00972/3/7657999 Ci Pro
4950 –
9850 $
Secure Computing
001/408/9186121 Secure Zone
3500 $
Sidewinder
19900 $
Secure Computing/
0228/98645-0
Secure Zone 3.0
k. A.
CCM Consult
Sidewinder Security k. A.
Server
Secure Computing/Group 0721/4901-115
Secure Zone
k. A.
Secure Computing/
02332/7596-00
Secure Zone
k. A.
IT-Protect
Sidewinder
k. A.
Secure Computing/Topolo- 040/352253
Sidewinder
k. A.
gix
Secure Zone
k. A.
Sun/Articon
089/94573-0
Sunscreen EPS
k. A.
Solstice Firewall-1
k. A.
Trend Micro/Group
0721/4901-115
Viruswall
k. A.
Valuesoft
089/99120-0
Gateland
k. A.
Isline Router/Firewall k. A.
Watchguard/CDS
02303/25009-0
Firebox II plus
k. A.
Watchguard/DNS
08141/326-817
Live Security
k. A.
Watchguard/Extended
07032/9454-0
Firebox II
k. A.
Systems
Firebox II plus
k. A.
Watchguard/PDV-Systeme 03528/48030
Firebox II
k. A.
Watchguard/Telemation
06171/977-0
Firebox II
k. A.
Watchguard/Wick Hill
040/237301-77
Firebox II plus
k. A.
LANline 1/2000
107
ENDGERÄTE UND
ANWENDUNGEN
MOBILE COMPUTING
WIRELESS APPLICATION PROTOCOL
Zu den heißesten
Themen im Mobilfunkmarkt zählt heute der
Schulterschluß
zwischen Mobilfunkern und dem
Internet, vermittelt
über das Wireless
Application Protocol
(WAP). Ob Internationale Funkausstellung,
Telecom oder Systems:
WAP-fähige Endgeräte
und Anwendungen
stehen momentan im
Brennpunkt des Interesses – wenngleich der
wahre Boom frühe
stens nächstes
Jahr beginnen
dürfte.
108
L AN line 2/2000
Die Prognosen sind hervorragend: Bis
zum Jahr 2001 sollen etwa 50 Millionen
WAP-fähige Handys auf dem Markt sein,
gibt IDC nach einer Analystenumfrage an.
Eigene Prognosen von Ericsson gehen davon aus, daß im Jahr 2001 fast die Hälfte
aller Mobiltelefonierer WAP verwenden
werden. Der Grund für den Boom ist einfach zu benennen: Nachdem sich das Internet zum weltweiten Informationsnetz
Nummer eins entwickelt hat, liegt eigent-
lich nichts näher, als diesen Erfolg auf die
mobile Welt zu übertragen. Und genau
dies leistet das Wireless Application Protocol. Die zur Zeit in der Version 1.1 vorliegende Spezifikation ist der von der gesamten Branche akzeptierte offene und herstellerübergreifende Standard zur Übertragung und Aufbereitung von Internet-Inhalten für mobile Endgeräte. Mehr als 120
Unternehmen, darunter Handy-Hersteller,
Software-Produzenten, Service-Provider
und Informationsanbieter haben sich inzwischen auf diesen Standard geeinigt.
WAP-fähige Endgeräte werden dafür sorgen, schnell und unkompliziert textbasierende Web-Inhalte abzurufen und einfache
Grafiken darzustellen. Gegenüber dem im
Internet üblichen Übertragungsverfahren
Hypertext Transfer Protocol (HTTP) für
Web-Seiten bietet WAP dabei den Vorteil,
daß es weniger Overhead erzeugt und damit besser für die niederbitratige Luftschnittstelle der Mobilfunknetze geeignet
ist. Dies ist wichtig, weil auch in naher Zukunft die Bandbreiten in Mobilfunknetzen
geringer und teurer bleiben dürften als im
Festnetz. Das WAP-Protokoll setzt auf der
Wireless Markup Language (WML) auf,
der Seitenbeschreibungssprache für mobile Web-Seiten. Diese eignet sich im besonderen für die Darstellung von Web-Seiten
auf kleinen Displays beziehungsweise
Bildschirmen, auf denen sich HTML nur
unzureichend anzeigen läßt.
LÖSUNGEN FÜR UNTERNEHMEN UND
ENDKUNDEN Der WAP-Markt läßt sich
in die beiden Segmente Geschäftskunden
und Privatkunden aufteilen. Nachgefragte
Anwendungen im Geschäftskunden-Bereich dürften insbesondere die IntranetAnbindung, Mobile Unified Messaging,
Mobile Commerce und Security-Lösungen sein, die das Ziel verfolgen, einen sicheren mobilen Zugriff auf unterschiedlichste unternehmensinterne Anwendungen zu gewährleisten. Diese Dienste verlangen in der Regel nach einer individuell
an die IT-Infrastruktur des Unternehmens
angepaßten Lösung. In Zukunft wird es sicherlich Mobiltelefon-Clients für SAP-Systeme, Helpdesk-Lösungen, Lagerbestände etc. geben. Ein Techniker kann dann
beispielsweise über sein WAP-fähiges
Handy die Verfügbarkeit eines benötigten
Ersatzteils abfragen und gleich die Bestellung aufgeben. Die Bestätigung der Bestellung mit Angabe der Lieferzeit kann dabei
ebenfalls über WAP zum Mobiltelefon erfolgen.
Endkunden erwarten dagegen ein breites
Informationsangebot, interaktive Dienste
und den Zugriff auf Netzbetreiber-Basisdienste wie zum Beispiel Telefon-
L AN line 2/2000
109
verzeichnisdienste. Auch Mobile Unified
Messaging wird als wichtiges Kommunikationsmedium in den Privatkunden-Bereich einziehen. Als erste Anwendungen
erwartet Ericsson E-Mail, Nachrichten
von Speichersystemen (Voice Messaging, Unified Messaging), Terminkalender, Bankgeschäfte, Reiseplanung und
Stadtführer, Kartenbestellungen, Restaurantreservierungen und vieles mehr.
Maßgeschneiderte WAP-Portale werden
die Anlaufstellen für WAP-Surfer sein,
die sie zu ihren bevorzugten Diensten
weiterführen.
ERSTE INHALTE Doch noch zeichnen die
genannten Anwendungen eine Welt, die
weitgehend erst auf dem Reißbrett existiert. Dafür gibt es mehrere Gründe. Einer
der wichtigsten ist, daß WAP nicht nur entsprechende Telefone voraussetzt, sondern
jeder “Wapper” auch einen Server (Gateway) vom Mobilfunkanbieter benötigt, um
sich in WAP-Dienste einwählen zu können. Und hier haben die großen Netzbetreiber von T-Mobil über Mannesmann
Mobilfunk, E-Plus bis Viag Interkom gerade erst damit begonnen, diese zu installieren. So beauftragte beispielsweise
jüngst Mannesmann Mobilfunk Siemens
und Phone.com (ehemals Unwired Planet)
mit der Realisierung eines kommerziellen
WAP-Systems. Im Rahmen dieses Auftrags soll Siemens die Uplink-Server-Lösung von Phone.com in das D2-Netz integrieren. Die Betreiber geben sich optimistisch – und arbeiten bereits eng mit Content-Providern zusammen, um rasch
WAP-Anwendungen anbieten zu können.
So stellen heute bereits die Online-Redaktionen von Handelsblatt und Ntv ihre Wirtschaft- und Finanzinformationen auf
WAP-Servern bereit. Die ARD bringt ihre
Nachrichten aus der Tagesschau auf das
Mobiltelefon. Der Suchmaschinenanbieter
Yahoo Deutschland will allen D2-Nutzern
WAP-fähige Versionen der Services
“Yahoo Wetter”, “Yahoo Finanzen”,
“Yahoo Schlagzeilen” zur Verfügung stellen. Über den Dienst “Mein Yahoo!” sollen Interessenten maßgeschneiderte Informationen nach einem zuvor festgelegten
persönlichen Nutzungsprofil erhalten.
110
L AN line 2/2000
Auch T-Mobil gibt sich gut vorbereitet
für das WAP-Zeitalter. Die Angebote
werden nach Angaben des Unternehmens
von der mobilen Fahrplanauskunft bei
der Deutschen Bahn bis hin zu Fluginformationen der Lufthansa reichen. Dabei
will man eng mit T-Online zusammenarbeiten. So sollen D1-Kunden einen eigenen T-Online-Account ohne zusätzlichen
Grund- und Bereitstellungspreis erhalten,
den sie auch im Festnetz verwenden können. Viag Interkom will noch in diesem
Herbst erste WAP-Dienste vermarkten.
Solange es WAP aber noch nicht oder
nicht flächendeckend gibt, stellt der in letzter Zeit stark propagierte Kurzinformationsdienst SMS eine – nicht zuletzt kostengünstige – Alternative dar. Bei diesem
Dienst können Anwender Nachrichten teilweise sogar zum Festtarif von 15 Pfennigen verschicken und empfangen. Wetterdienste, Börsenkurs- oder Kontostandsabfragen sind dabei ebenso eingeführt wie
die E-Mail-Kommunikation über das Internet. Allerdings ist eine SMS-Nachricht
auf 160 Zeichen beschränkt, während eine
Aktien- und Bankgeschäfte via WAP-Handy
Die “1822 S Inform Software” mit Sitz in Frankfurt – ein Tochterunternehmen der Frankfurter Sparkasse und der Informatik Kooperation – hat in Kooperation mit dem IT-Dienstleister Dr. Materna eine WAP Brokerage-Lösung entwickelt. Damit wird es zukünftig möglich
sein, via WAP-Handy Aktien anzukaufen oder zu verkaufen, Depotstände abzurufen, Charts
und Nachrichten abzufragen und vieles mehr. Aber auch als alternativer Vertriebsweg für
Banken und Sparkassen bietet sich die neue Lösung nach Angaben von Dr. Materna an. So
ist auf diesem Weg beispielsweise eine direkte Ansprache der Kunden möglich. Kaufoptionen, aktuelle Immobilienangebote und aktuelle Zinssätze können dem Kunden via Handy
übermittelt werden. Voraussetzung für die Nutzung dieses zukunftsweisenden Services sind
WAP-fähige Handys. Damit ist eine Schnittstelle zwischen den Mobilfunknetzen und dem
Internet geschaffen. Mit dieser Anwendungslösung ist die 1822 S Inform Software einer der
ersten Anbieter, der eine WAP Brokerage-Lösung präsentieren kann. Die Vorstellung einer
marktreifen Lösung ist gemeinsam mit der Dr. Materna GmbH zur CeBIT 2000 geplant. Als
einer der ersten Anwender wird die “1822 direkt” – die Direktbank der Frankfurter Sparkasse – die Lösung einzusetzen.
Diese sollen auf den Angeboten des
hauseigenen Internet-Providers PlanetInterkom basieren. Zu den Content-Providern sollen Anbieter wie die Süddeutsche Zeitung und das Handelsblatt
gehören. Ausgangsplattform für die neuen WAP-Dienste sei das Homezone-Angebot Genion. Unter dem Motto: “Direkt
ins Netz mit den neuen WAP-Diensten
von E-Plus” macht dieser Betreiber derzeit bereits lautstark Reklame für WAP.
Ob den Anwender die Börsenkurse interessieren oder Flugverbindungen, oder ob
er ins Kino gehen will – alles soll auf seinem Handy aktuell verfügbar sein. Der
Nutzer zahlt laut E-Plus dafür 39 Pfennig
pro Minute und das bei einer Abrechnung
im 10-Sekunden-Takt. Die WAP-Dienste
sollen in allen E-Plus Laufzeitverträgen
angeboten werden.
WAP-Information mehrere Display-Seiten umfassen kann. Hinzu kommt, daß die
Eingabe eines SMS-Textes sehr umständlich ist.
PROBLEM BANDBREITE Eine derzeit gra-
vierende Einschränkung bei WAP ist, daß
die heutige Basistechnologie der mobilen
Datenübertragung CSD (Circuit Switched
Data) Übertragungsraten bisher von nur
9,6 kBit/s bietet. Techniken, um in GSMNetzen zukünftig Informationen mit wesentlich höheren Geschwindigkeiten zu
transferieren, sind allerdings bereits weit
fortgeschritten. Eine davon ist der von Nokia zuerst marktreif angebotene Standard
HSCSD (High Speed Circuit Switched Data). Ab Mitte November will als erster EPlus bis zu viermal schnellere Datenübertragung in neuer Spitzengeschwindigkeit
offerieren. Dies soll laut Anbieter in der
Startphase zunächst mit einer Datenrate
von bis zu 38,4 kBit/s erfolgen. Bis zum
Sommer 2000 werde die Datenrate auf bis
zu 56 kBit/s gesteigert.
High Speed Mobile Data richtet sich jedoch in erster Linie an geschäftsreisende
Notebook-Nutzer und private Nutzer, die
zuverlässige Bandbreiten für dringende
Datentransfers fordern. Diese benötigen
dazu einen Laptop, einen Datentarif von EPlus und ein Card Phone, das in den herkömmlichen PCMCIA-Steckplatz am
Laptop eingesteckt wird und die Daten
funkt. Die Suche nach einer Datenbuchse
im Hotel soll damit ebenso entfallen wie
eine komplizierte Kabelverbindung zwischen Laptop und Handy. Mit einem Ohrhörer ausgestattet wird das Card Phone zudem zum Telefon. High Speed Mobile Data sei ein Angebot von E-Plus an alle mobilen Notebook-Nutzer, gleichgültig, bei
welchem Mobilfunkanbieter sie Kunde
seien, so der Anbieter. Laptop-Besitzer,
die bisher in einem anderen Mobilfunknetz
als E-Plus telefonierten, könnten High
Speed Mobile Data für 39,95 Mark pro
Monat und einem Minutenpreis ab 0,29
Mark nutzen. Für E-Plus-Kunden betrage
der zusätzliche monatliche Grundpreis zu
einem bestehenden Laufzeitvertrag 15
Mark.
ALWAYS ON, ALWAYS CONNECTED
High Speed Mobile Data ist laut E-Plus der
Startschuß für den Aufbau eines breiten
Mobile-Data-Angebots für alle Kundengruppen. So soll für überwiegend geschäftliche Nutzer im Jahr 2000 auch GPRS (General Packet Radio Service) einführt werden. Dies haben für das kommende Jahr alle großen Netzbetreiber in Deutschland angekündigt. Erst mit GPRS wird die wirkliche WAP-Ära beginnen. General Packet
Radio Services ist ein Funkstandard, der
auf wesentlichen Erweiterungen der heute
schon im Betrieb befindlichen GSM-Systeme sowie auf paketvermittelter Übertragung basiert. Daten können hierbei – theoretisch – mit einer Geschwindigkeit von
bis zu 115 kBit/s übertragen werden. Für
die Dauer einer Verbindung werden dabei
nicht ständig ganze GSM-Kanäle
112
L AN line 2/2000
blockiert, vielmehr wird nur die Übertragungskapazität belegt, die auch tatsächlich
benötigt wird. So ist auch eine Abrechnung
nach übertragenem Datenvolumen denkbar. T-Mobil etwa hat bereits angekündigt,
daß die Tarifstellung für WAP sich eventuell bei Einführung von GPRS ändern
könnte.
Neben GPRS gibt es noch EDGE, Enhanced Data Rates for GSM Evolution.
Dieses Verfahren soll Datenraten von bis
zu 384 kBit/s auf der Basis von GSM-Netzen ermöglichen. Um diese Bandbreite zu
erreichen, kommt ein Modulationsverfahren zum Einsatz, das die Übertragungsrate
eines GSM-Kanals auf bis zu 48 kBit/s erhöht. Bis zu acht Kanäle können gleichzeitig genutzt werden. Auch hierfür muß
allerdings die Netzinfrastruktur – wie bei
GPRS – angepaßt werden. Bislang ist offen, welcher Netzbetreiber EDGE in
Deutschland einführen wird, zumal ja bereits mit UMTS (Universal Mobile Telecommunications) die ultima ratio der mobilen Datenübertragung sozusagen greifbar ist. Mit UMTS als Nachfolgesystem
der derzeitigen GSM-Netzinfrastruktur
steht die sogenannte dritte Generation des
Mobilfunks in den Startlöchern. Diese erlaubt – voraussichtlich ab 2002 – Übertragungsraten von bis zu 2 MBit/s. UMTS
wird aufgrund dieser Bandbreite die mobile Kommunikation wohl völlig revolutionieren, da dem Transfer von Sprache, Musik, Bildern, Video und Daten mittels Handy dann nichts mehr im Wege steht.
CONTENT PROVIDER Die Verbreitung
und Nutzung von WAP hängt natürlich in
erster Linie von verfügbaren Anwendungen ab. Für die Entwicklung WAP-fähigen
Contents, auf den analog zu Web-Seiten
von überall öffentlich zugegriffen werden
kann, bietet das Protokoll dabei Programmierern eine eigene Sprache, die bereits erwähnte Wireless Markup Language
(WML), spezifiziert als ein XML Dokumententyp. Dadurch können viele HTMLEntwicklungsumgebungen zur Erstellung
von WML-Applikationen verwendet werden. Weil die WAP-Spezifikation HTTP
1.1 für die Kommunikation zwischen
WAP-Gateway und Web-Server nutzt,
können Web-Entwickler ihre Anwendung
auf jedem gängigen Web-Server einsetzen,
was die Anzahl WAP-fähiger Applikationen beschleunigen dürfte.
Auch WAP-Server gibt es bereits auf
dem Markt, wobei diese sich meist noch im
Beta-Stadium befinden. Bei dem NokiaWAP-Server etwa handelt es sich um eine
Server-Plattform für mobile Anwendungen und ein Verbindungsglied zwischen
den Funknetzen und dem Internet oder
dem internen Netzwerk eines Unternehmens. Das Produkt kann laut Hersteller Inhalte aus zentralen Servern wie beispielsweise Web-Servern oder anderen firmeninternen Informationssystemen abrufen und sie WAP-kompatiblen Endgeräten
via Funkverbindung zur Verfügung stellen. Der WAP-Server basiert auf Java und
nutzt nach Angaben von Nokia die WAPMarkmale durch offene Programmierschnittstellen. Die Datenübertragung erfolgt durch Kurzmitteilungen (WAP 1.0)
oder Datenruf (WAP 1.1). Vorgesehen
sind nach Angaben des Unternehmens zudem Adapter für die gängigsten Kurzmitteilungszentralen sowie für leitungsvermittelte Datenverbindungen. Das Produkt soll
Zugriffskontrolle und Firewall-Funktionalitäten bieten, die es ermöglichen, den Zugriff auf bestimmte Dienste aus Gründen
der Sicherheit oder der Kostenkontrolle
einzuschränken oder zu personalisieren.
Das Software-Haus Dr. Materna bietet
die Realisierung professioneller WAP-Lösungen als Full-Service an, das heißt den
WAP-Server inklusive einer kompletten
Service-Plattform. Grundlage ist dabei das
WAP-Gateway des Herstellers. Es bietet
neben der reinen WAP-Anbindung die Basis für eine Vielzahl weiterer Mehrwertdienste, die stets als “Customized Solutions” für den jeweiligen Kunden individuell angepaßt werden. Dies reicht von mobilen Messaging-Lösungen über Banking/Commerce-Applikationen bis hin zum
Outsourcing der kompletten Mehrwertdienst-Infrastruktur für Mobilfunk-Netzbetreiber inklusive Übernahme des mandantenfähigen Billings.
Auch Ericsson, Mitbegründer des WAPForums, ist in der WAP-Entwicklung engagiert. Dazu zählt beispielsweise der Be-
reich digitale Signaturen, die das Handy
für wichtige Geschäfte bereit machen sollen. Ericsson und Sonera Smarttrust haben
hierfür ein sicheres Verschlüsselungsverfahren angekündigt. In Deutschland laufen
bei Ericsson Forschungen zu diesem Thema. Der deutsche Partner Datadesign zeigte bereits WAP bei Bankenanwendungen
über den bankenspezifischen HBCI-Standard (HBCI: Home Banking Computer Interface).
ENDGERÄTE Mit Einführung und Durchsetzung von WAP werden – darin sind sich
alle Experten einig – ganze Generationen
von neuen Endgeräten entwickelt werden.
Hierzu gehören in erster Linie Handys mit
größerem Display, aber sicherlich auch Organizer in unterschiedlichen Ausführungen. Insgesamt bewegt sich der Trend derzeit hin zu Internet Appliances, also Zugangsgeräten aller Art. Dies wurde beispielsweise auf der diesjährigen Messe Internet World in New York deutlich. Nach
einer dort vorgestellten Studie des Marktforschungsinstituts Cyberdialogue ist der
PC-basierte Web-Zugriff in den USA bereits an einem Wendepunkt angelangt. Immer mehr potentielle Nutzer sind stark am
Zugang über Fernseher und sogar Spielkonsolen, vor allem aber über Handys interessiert, die dann meist über ein größeres
Display als herkömmliche Geräte verfügen. Etliche WAP-fähige Endgeräte waren
auf den Messen der vergangenen Monate
zu sehen – die meisten werden allerdings
erst ab Anfang 2000 auf dem Markt erhältlich sein.
Bereits im Februar dieses Jahres hatte
beispielsweise Nokia auf dem GSM-Weltkongreß in Cannes sein Dualband-Handy
“7110” vorgestellt, das nunmehr zumindest in kleineren Stückzahlen ausgeliefert
wird. Besonderes Augenmerk richtete man
natürlich auf die Optimierung der Leseund Eingabefunktionen. So ermöglicht das
7110 dank eines großen Displays eine Ansicht verschiedener Schriftgrößen, fettes
oder normales Textformat sowie Grafiken.
Die Texteingabe wurde durch eine lernfähige Texterkennung verbessert. Für einen schnelleren Zugriff auf sämtliche Handy-Funktionen sorgt der Nokia-Navi-Rol-
ler, mit dem die Menüs und Telefonfunktionen bedienbar seien.
Unter dem Namen “IC35 – The Unifier”
stellte Siemens auf der Telecom ’99 einen
den Handy ergänzenden mobilen Begleiter
vor. Er ermöglicht den Zugang zum Internet, das Verschicken von E-Mails, ShortMessage-Services (SMS) und papierloses
Faxen – und ist dabei nicht größer als ein
Zigarettenetui. In Verbindung mit Smartcards oder Multimedia-Cards kann der
IC35 zum Beispiel auch zum Mobile Banking genutzt werden. Die Verbindung mit
einem Handy wird über eine Infrarotschnittstelle oder über ein Kabel herge-
ten Sprachspeicher, mit dem Sprachnotizen aufgenommen werden können sowie
einen Kalender. Das Ericsson R320s soll
ab Anfang nächsten Jahres erhältlich sein.
Wer bei einem WAP-Handy auch viele Organizer-Funktionen benötigt, für den ist
laut Ericsson das R380s das richtige:
Großer Touchscreen hinter der aufklappbaren Zifferntastatur über die gesamte
Länge des Geräts. Wer dagegen unterwegs
mit einer richtigen Tastatur und einem
großen Display arbeiten will: Für den bietet der Hersteller den Handheld-Computer
MC218 mit Infrarotverbindung zum Handy, der WAP-Fähigkeit, Organizer- und
Der rund 160 Gramm leichte “Unifier” von Siemens eignet sich neben dem WAPBrowsen im Internet auch zum Versenden von E-Mails, Short Messages sowie papierlosen Faxen
Quelle: Siemens
stellt. Der Zugang zum Internet erfolgt
über einen im Gerät integrierten WAPBrowser. Das Gerät kann auch als Organizer genutzt werden, da es sich leicht mit
dem PC über eine “Syncstation” genannte
Docking Unit synchronisieren läßt. Es soll
voraussichtlich Anfang nächsten Jahres
am Markt verfügbar sein.
Das WAP-fähige Dual-Band-Handy
R320s von Ericsson besitzt bereits einen
eingebauten WAP-Browser. Das integrierte Modem und die Infrarotschnittstelle sollen aus dem Mobiltelefon ein vollwertiges
Kommunikationsinstrument machen. Neben der WAP-Fähigkeit besitzt das Handy
laut Ericsson eine Vielzahl zusätzlicher
Features wie zum Beispiel einen eingebau-
Computerfunktionen in Einem bietet. Der
“mobile Begleiter” unterstützt mit voller
WAP-Tauglichkeit Funktionen wie EMail-, Fax-, SMS-Mitteilungen und Internet-Browsing. Der Ericsson MC218 ist seit
Ende Oktober 1999 verfügbar.
Auch Motorola zeigte auf den vergangenen Messen mit dem Timeport P7389 triband sein erstes WAP-fähiges Endgerät, das
noch Ende 1999 auf den Markt kommen
soll. Zu den weiteren angekündigten Produkten gehören unter anderem das “Smart
Phone” von Panasonic sowie “Mondo” von
Trium. Bei diesem Gerät soll laut Hersteller
das große Display etwa zwei Drittel der gesamten Gerätefläche einnehmen.
(Thomas Schepp/gh)
L AN line 2/2000
113
SCHWERPUNKT:
MOBILE COMPUTING
TEST: IBM MOBILE CONNECT 2.2
Palm-OS und CE treffen
Domino und Exchange
Bislang galten der Palmpilot und seine Artgenossen eher als persönliches Steckenpferd der Endanwender und blieben damit in unternehmensstrategischen Überlegungen weitgehend unberücksichtigt.
Mit IBM Mobile Connect 2.2 zeichnet sich eine für den unternehmensweiten Einsatz praktikable Lösung ab, um Palm-OS- und Windows-CEGeräte als mobile Zugangsmedien zu den Groupware-Plattformen
Lotus Notes/Domino, Microsoft Exchange sowie Datenbankanwendungen einzusetzen. Das LANline-Lab testete das Produkt in der Praxis.
er wünscht sich als Abhängiger von
aktuellen Informationen nicht, über
Mail-Eingang, Kontaktadressen und Terminabsprachen immer und überall auf dem
laufenden zu sein? Aus diesem Bedürfnis
heraus erfreuen sich PDAs (Personal Digital Assistants) auf Basis von 3Coms PalmOS und Windows CE immer größerer Beliebtheit. Die Bewegungsfreiheit des Anwenders wird allerdings noch spürbar
durch die Abhängigkeit vom Datenabgleich mit dem eigenen Arbeitsplatzcomputer eingeschränkt (siehe hierzu auch “Informationen aus der Hemdtasche” in
LANline 11/99). Gefragt ist daher ein
möglichst direkter Zugriff auf Server-Daten ohne Umweg, am besten gleich über
das omnipräsente GSM-Netz.
IBM vertreibt unter dem Produktnamen
Mobile Connect eine flexible Lösung des
Herstellers Extended Systems, die sich
zum Ziel setzt, vielfältige Typen von Informationen zwischen mobilen HandheldComputern und Unternehmens-Servern
automatisch und unter zentraler Verwaltung zu transferieren. Unterstützt werden
auf der mobilen Seite sowohl Palm-OSGeräte, als auch Handhelds auf Basis von
Windows CE. Server-seitig sollen diese im
Test Lotus Domino 4.5/4.6, Microsoft
Exchange 5.5 und relationalen Datenbanken (DB2 und andere via ODBC)
W
114
L AN line 1/2000
Connect Server 2.3 für den Zugriff von
Windows-CE-Geräten auf Exchange (einmalig pro Unternehmen) von der Microsoft-Website herunterladen können. PalmOS-Geräte und Domino-Server lassen sich
leider sich bei diesem Angebot nur 60 Tage zum Test einbinden. Damit scheint
Microsoft einen genialen Marketing-Coup
gegen den Marktführer 3Com zu landen,
um Windows CE zusammen mit Exchange im Unternehmenseinsatz populär zu
machen. Insbesondere kleinere innovative
Firmen werden bei diesem Angebot sicherlich zugreifen. Dem LANline-Lab lag
die zum Testzeitpunkt aktuelle Fassung
IBM Mobile Connect 2.2 vor, auf die sich
alle weiteren Angaben beziehen.
IT-FREUNDLICHE ARCHITEKTUR Die
näherrücken. Extended Systems selbst bietet das funktionell identische Produkt als
“Xtnd Connect Server” (ehemals bekannt
unter dem Namen “Asl-Connect” an (Extended Systems übernahm im September
1999 den britischen Entwickler Advanced
Systems). Darüber hinaus kündigt Extended Systems eine strategische Zusammenarbeit mit Microsoft an, die einen dritten,
äußerst attraktiven Vertriebsweg als Ergebnis hat: Jeder Besitzer einer WindowsCE-Lizenz soll ab dem 15. Dezember kostenlos eine zeitlich unlimitierte 25-Benutzer-Lizenz der kommenden Version Xtnd
wesentlichen Bestandteile von Mobile
Connect sind der Mobile Connect Client
für Palm-OS, CE und demnächst auch
Epoc32 (derzeit in Beta), auf dem zum
Beispiel der Psion Serie 5 MX Pro basiert.
Der Client baut eine Verbindung zum Mobile-Connect-Service unter NT auf, der die
Datensynchronisation mit Exchange, Domino und relationalen Datenbanken über
die auf der gleichen Maschine installierten
korrespondierenden Clients (Notes, Outlook 98/2000 und DB-Treiber) steuert (siehe Grafik). Durch diese Architektur müssen Domino-Server und relationale Datenbank-Server nicht zwingenderweise ebenfalls unter NT betrieben werden. Für die
IBM Mobile Connect
Monitor
unter Windows 95/98/NT
PalmOS
oder CE Device
mit
GSM-Modem
TCP/IP
GSM-Netz
IBM Mobile Connect
Service & Admin
unter Windows NT
RAS
Infrarot (IrDA)
mit
analogem Modem
oder
ISDN-Adapter (V.110)
mit
IBM Mobile
Connect Client
>
Microsoft Exchange 5.5
unter Windows NT
>
Remote Access Service
oder anderes
PPP-basiertes Dial-In
Lotus Domino 4.5/4.6
auf beliebiger
Plattform
TCP/IP
mit
Lotus Notes,
Outlook 98/2000,
und/oder DB-Treiber (ODBC)
IBM Mobile Connect Proxy
und ActiveSync (nur CE)
unter Windows 95/98/NT
DBMS-System
(DB2, SQL-Server,
Oracle etc.)
PalmOS oder CE Device
über serielle Verbindung
(»Cradle«)
Komponenten von IBM Mobile Connect 2.2 und Xtnd Connect Server
Anbindung des Connect-Clients steht
wahlweise die direkte TCP/IP-Kommunikation über sämtliche vom PDA unterstützte Übertragungsnetze (GSM, analoges Telefonnetz, ISDN, LAN-Anschluß,
etc.) oder eine indirekte serielle Verbindung zu einem Arbeitsplatz zur Auswahl,
auf dem der sogenannte “Mobile Connect
Proxy” gestartet wurde. Damit wird der
serverorientierte Datenabgleich über Mobile Connect sowohl in jeder mobilen Situation, als auch im Büro gewährleistet.
Wichtig ist dabei festzuhalten, daß für die
Büroanbindung keine feste Beziehung
zwischen PDA und Arbeitsplatz wie bei einer lokalen Desktop-Synchronisation unter 3Coms Hotsync (Palm-OS) und Microsofts Activesync (CE) erforderlich ist. Der
Proxy übersetzt lediglich auf Übertragungsebene zwischen serieller Anbindung
und dem TCP/IP-LAN, um die direkte
Kommunikation mit dem Server herzustellen. Auf diese Weise sind Einsatzszenarien
denkbar, in denen allgemein zugängliche
“Cradle”-Stationen im Unternehmen als
schnelle Datentankstellen für die mobilen
Einheiten fungieren.
Eine Installation des Mobile-ConnectService, der als NT-Dienst betrieben
wird, bedient Palm- und Windows-CE
Geräte gleichzeitig, kann jedoch die
Palm- beziehungsweise CE-Welt jeweils
nur entweder mit Exchange- oder Domino-Servern verbinden. Dies sollte für die
meisten Unternehmenssituationen ausreichen, da darüber hinausgehende Kombinationsanforderungen durch den Betrieb weiterer Mobile-Connect-Services
im Netz abgedeckt werden können. Die
Konfiguration erfolgt vollständig über
den Mobile Connect Admin, der sich einschränkender Weise nur auf demselben
Computer wie der Service selbst aufrufen
läßt. Dies erschwert eine zentrale Konfigurationsverwaltung, die sich so nur umständlich durch Zusatzprogramme wie
PC Anywhere gestalten läßt. Der MobileConnect-Monitor, ein einfach gehaltenes
Snap-in für Microsofts Management
Console (MMC) erlaubt jedoch wenigstens die Überwachung des laufenden
Dienstes (aktive Sitzungen und Fehler
und deren Protokollierung).
KONFIGURATION Die Einrichtung des
PDA-Zugriffs auf Domino- und Exchange-Server gestaltet sich mit etwas Grundverständnis für die beiden GroupwarePlattformen dank dem “Site Wizard” im
Mobile Connect Admin als überschaubar.
Für Palm-OS- und CE-Geräte werden mit
seiner Hilfe jeweils getrennte Konfigurationsdateien angelegt, die zentral festlegen,
welche Standard-Groupware-Synchronisationsoptionen für den Anwender verfügbar sind (zum Beispiel Abgleich von In-
tung des PDAs auf, bereitet Daten von und
zu einem PDA-verständlichen Format auf
und tauscht sie schließlich zwischen Mobile-Connect-Client und Groupware-Server
aus. Dazu ist zunächst eine Authentifizierung des PDA-Benutzers für den Groupware-Zugriff erforderlich. Mobile Connect
bietet dazu in der Version 2.2 zwei
grundsätzliche Vorgehensweisen: Entweder wird jeder PDA-Anwender in einer internen Benutzerverwaltung angelegt oder
aber gegen das Benutzerverzeichnis eines
Exchangebeziehungsweise Domino-Servers authentifiziert. Letzterer Ansatz empfiehlt sich
für jede größere Installation, deren Administratoren ihre
ohnehin schon knapp
bemessene Zeit nicht
auch noch mit einer
weiteren Benutzerverwaltung belasten
wollen. Sollen jedoch nur bestimmte
Notes-Benutzer mobilen PDA-Zugriff
erhalten, bleibt nur
Unspektakulär aber wirksam: IBM Mobile Connect Client unter
der Weg über die
Windows CE und Palm-OS
manuelle Erfassung
unter Mobile Connect Admin. Hier
box, Outbox, Terminen, Adressen und wäre eine Zugangssteuerung über das DoAufgaben) und ob der Anwender diese mino- beziehnungsweise Exchange-Verzwingend oder wahlweise erhält. Nützlich zeichnis wünschenswert.
Im Fall von Exchange sind damit bereits
ist in diesem Zusammenhang auch die regelmäßige, automatische oder alternativ alle wesentlichen Weichen gestellt, um
vom Anwender anzufordernde Sicherung Mails, Adressen, Kontakte und Aufgabenund Rücksicherung des PDAs. Zusammen listen in den nativen PIM-Anwendungen
mit der Möglichkeit, zentral bereitgestellte (Personal-Information-Manager) der jeAnwendungen und Daten automatisch auf weiligen PDA-Plattform mit auf den Weg
den PDA während einer Synchronisation zu nehmen. Domino erfordert dagegen arzu übertragen, erhält die IT-Administra- chitekturbedingt zunächst weitergehende
tion ein Werkzeug zur zentralen Pflege der Planung und zusätzliche vorbereitende Arim Unternehmen verstreuten, mobilen Ein- beiten auf Domino-Seite. Notes baut bei
heiten in die Hand. Die Verteilung eines der Benutzerauthentifizierung gegenüber
Palm-Utilities glückte im LANline-Lab der einfachen Benutzernamen-/PaßwortKombination von Exchange auf Notes-IDprompt.
Der Mobile-Connect-Service baut die Dateien mit korrespondierenden ZuVerbindung zum Groupware-Server über griffspaßwort. Mobile Connect erlaubt entdie nativen Groupware-Clients in Vertre- weder die Nutzung einer zentralen Notes-
L AN line 1/2000
115
SCHWERPUNKT:
MOBILE COMPUTING
ID-Datei für sämtliche Notes-DatenbankZugriffe plus Benutzerauthentifizierung
über das individuelle Internet-Paßwort eines jeden Benutzers oder individuelle No-
für eine der beiden Optionen sollte daher
gut mit dem sonstigen Sicherheitskonzept
im Unternehmen abgestimmt werden. Das
für Mitte Dezember 1999 angekündigte
Xtnd Connect 2.3
soll nach Aussagen
von Extended Systems die Sicherheitslücke beim Datentransfer zwischen
Client und Server beseitigen und Verschlüsselungsalgorithmen auf PublicKey-Basis von Certicom (http://www.
certicom.com) enthalten.
Sollen auch persönliche AdreßbüÜber den Mobile Connect Admin werden Synchronisationsaktionen
zwischen den Unternehmens-Servern und PDAs angelegt
cher aus Notes mit
dem PDA abgeglites-ID-Dateien plus passendem Paßwort chen werden, müssen diese zunächst über
für jeden Benutzer. Im ersten Fall muß ei- den Domino-Server erreichbar sein. Stanne Notes-ID existieren, die entsprechende dardmäßig verwaltet der Notes Client das
Rechte auf sämtliche Mailbox-Datenban- persönliche Adreßbuch des Anwenders
ken besitzt (zum Beispiel “server.id”). Im auf der lokalen Arbeitsstation. Für die
zweiten Fall muß jeder Benutzer entweder Server-Verfügbarkeit des persönlichen
innerhalb von Mobile Connect mit indivi- Adreßverzeichnisses ist daher eine Datenduellen Parametern angelegt werden bank-Replik auf dem Domino-Server not(wahlweise per Importdatei) oder ein vor- wendig. Mobile Connect bietet verschiedefiniertes Feld im Domino-Verzeichnis dene Verfahrensweisen, um aus dem Naden Namen der Notes-ID-Datei enthalten men der Mailbox-Datenbank eines jeden
und in jedem Fall die passende Notes-ID
lokal auf dem Mobile Connect Service
Computer vorliegen. Der Rückgriff auf eiTestumgebung im LANline-Lab
ne lokal vorliegende Notes-ID pro BenutWindows CE Geräte:
zer bleibt unumgänglich, wenn auch verCompaq Aero 2130 (16 MB RAM)
schlüsselte Mails auf dem PDA zu lesen
Compaq Aero 8000 (16 MB RAM)
sein sollen, da sie vor dem Transfer auf das
HP Jornada 480 (8 MB RAM, englisch)
handliche Lesegerät ohne nativem NotesHP Jornada 620 (16 MB RAM)
Client zunächst entschlüsselt werden müsPalm-OS:
3Com Palm IIIx (4 MB RAM und Enhansen. Dieser Betriebsmodus setzt nicht nur
ced Infrared Update)
umfassende Absicherungsmaßnahmen geGroupware-Server:
gen unerwünschte Zugriffe auf die verMicrosoft Exchange 5.5, Service Pack 2
sammelten Notes-IDs im Dateisystem des
Lotus Domino R5.01b (Int.)
Mobile-Connect-Service-Computers vorjeweils unter NT Server 4.0, Service Pack 5
IBM Mobile Connect 2.2
aus, sondern untergräbt auch die End-toGlobalware Serversync 1.0
End-Sicherheit verschlüsselter Mails unter
Kommunikation:
Notes: Diese werden unverschlüsselt zwiUS-Robotics (3Com) Sportster Voice 33.6
schen Connect-Service und Connect-CliFaxmodem (Dial-In-Modem über NTs Reent übertragen und vor allem auf dem PDA
mote Access Service)
ungeschützt abgelegt. Die Entscheidung
Siemens S25 Handy
116
L AN line 1/2000
Benutzers automatisch auch den Namen
der Adreßbuchdatenbank abzuleiten. Auch
der gemeinsame Zugriff auf ein Adreßbuch ist zusätzlich möglich.
BENUTZERERLEBNIS Der Connect-Client
präsentiert sich unter Palm-OS und Windows CE funktionell identisch, unprätentiös und geradlinig in der Bedienung. Als
Verbindungsparameter werden lediglich
IP-Adresse beziehungsweise DNS-Namen
des Mobile-Connect-Service und die gewünschte Verbindungsart zum Synchronisationsdienst (Remote-Netzwerkverbindung, serielle oder Infrarotverbindung zum
Mobile-Connect-Proxy) gefordert. Je nach
administrativer Freigabe wählt der Benutzer optionale Aktionen wie Synchronisation von Inbox, Outbox und/oder Adressen
und startet nach Eingabe seiner Kennung
den eigentlichen Synchronisationsvorgang. Palms erlauben standardmäßig gegenüber CE-Geräten auch den Austausch
von “Memos” mit den Groupware-Servern, die dort als Aufgabe mit vorgestelltem “Memo:” in der Betreffzeile abgelegt
werden. So lassen sich auch auf einfache
Weise kleine Referenzdokumente wie
Kurzanleitungen auf den Palm übertragen.
Mit der Verbindungsaufnahme zum Mobile-Connect-Service erhält er die aktuellen
Client-Einstellungen und überträgt ebenfalls PDA-Statusparameter wie Maschinentyp und Informationen zur Betriebssystemversion, Batterieladung und Speicherbelegung an eine zentrale Access-Datenbank, die sich auch durch andere ODBCkonforme Datenbanksysteme ersetzen
läßt. Aus diesen zentral gesammelten Daten erstellt das Admin-Programm auf
Wunsch nützliche Berichte, die einen ersten Überblick zum PDA-Bestand, seinen
Benutzern und über erfolgreiche wie auch
fehlerhafte Verbindungsversuche liefert.
Im Einsatz unterwegs wünscht sich jeder
Anwender an die für ihn relevanten Informationen möglichst schnell heranzukommen. Dies bedeutet auch die insbesondere
im GSM-Netz nur begrenzt verfügbare
Übertragungsbandbreite (derzeit 9.600
Bit/s) optimal auszunutzen. Dem Anwender stehen zum Beispiel für den Mail-Empfang die Optionen offen, Nachrichtentexte
ab einer vorgegebenen Zeichenzahl abzuschneiden, nur ungelesene Nachrichten
oder Post innerhalb eines vorgegebenen
Zeitraums zu übertragen und Anhänge entweder ganz oder ab einer gewissen PDAunverträglichen Größe auszulassen. Im
Test griffen die Mechanismen von Mobile
Connect, um wirklich nur modifizierte Daten über das Netzwerk zu schicken. Da der
Connect Client jedoch nur als Middleware
zwischen Groupware-System und den
standardmäßigen PIM-Anwendungen der
unterstützten PDAs agiert, wird deren
Funktionsumfang selbst nicht erweitert.
Zum Beispiel stehen für den mobilen Einsatz nützliche Funktionen wie zunächst nur
Betreffzeilen und Absender neuer Post zu
übertragen und daraufhin selektiv interessante Nachrichten komplett anzufordern
nicht zur Verfügung.
Wie nicht anders zu erwarten traten im
Zusammenspiel mit dem in unserer Testumgebung vorliegendem Lotus Domino
R5 kleinere Inkompatibilitäten auf. Das
ausdrücklich nur für Domino 4.5 und 4.6
freigegebene Produkt spiegelt zum Beispiel auf den PDAs Kalendereinträge über
mehrere Tage nicht korrekt wieder: Es
wird lediglich der erste Tag als belegt gekennzeichnet. Die volle Kompatibilität mit
R5 sieht Extended Systems für die kommende Version 2.3 vor.
DATENSYNCHRONISATION Der Infor-
mationstransfer zwischen mobilen Arbeitern und dem Unternehmen endet bei Mobile Connect nicht mit den PIM-Daten der
Groupware-Systeme. Intern arbeitet das
System mit einem flexiblen Modell aus
gruppierbaren Aktionen (“Action Sets”)
wie Dateitransfer, Datenbanksynchronisation und Skriptausführung, die sich durch
“Trigger” wie Benutzeranmeldung, Wechsel des PDA-Besitzers, Benutzeranforderung oder in bestimmten zeitlichen Abständen (einmal täglich) auslösen lassen.
Auch hinter den Standard-PIM-Aktionen
wie “Inbox” steckt intern ein individuell
modifizierbares Aktionsset, dessen Grundeinstellung administratorfreundlich durch
die integrierten Wizards des Administrationsprogramms jeweils für CE- und PalmEndgeräte vorkonfiguriert wird. In unse-
Mobile Geräte: Die Qual der Wahl
In unserem mobilen Praxistest verschiedener PDAs kamen Unterschiede zum Vorschein, die
der reine Vergleich von Datenblättern nur unzureichend widerspiegelt. So bieten HP mit seinem
Jornada 420 und Compaq mit seinen Aeros 21x0 vom Format (Palm-size PC) nahezu identische
Geräte an, die sich für den Jackentascheneinsatz gerade noch eignen, doch ist das Handling-Konzept grundverschieden. Wo HP mit vielen “Klappen und Kläppchen” aufstieß, die im rauhen
Außeneinsatz kaum eine Saison überleben dürften, gefiel uns Compaq mit einer kompakten,
schnörkellosen Gehäusegestaltung. Unersichtlich blieb auch, warum das HP-Gerät eine Stromversorgung nur in Verbindung mit der Docking-Station zuläßt. Dafür fällt HPs Docking-Station und
Netzadapter deutlich flacher und weniger wuchtig aus als Compaqs Design, das für “Ausbeulungen” in der Aktentasche sorgt.
Handheld-PCs wie der HP Jornada 680 bieten gegenüber den palmsized PCs nicht nur eine eingabefreundliche Tastatur gegenüber reiner Stiftakrobatik, sondern auch mehr Offenheit zu Hardware-Erweiterungen wie Netzwerk- und ISDN-Adapter auf PC-Card-Basis und ausgewachsenere
Anwendungen. Zu den “soften” Stärken gehören zum Beispiel Pocket-Word und Pocket-Excel,
die zwar funktionell nicht mit ihren großen Geschwistern aus Office 97/2000 konkurrieren können, aber völlig ausreichend sind, um entsprechende Mail-Attachments aus der Office-Welt öffnen, betrachten und in Grenzen modifizieren zu können. Diese Informationen bleiben palmsized
PCs derzeit verschlossen. Auch die standardmäßige Integration eines Web-Browsers in Form des
Pocket-Internet-Explorers öffnet zusammen mit dem doch deutlich größeren Bildschirm den Informationshorizont (siehe auch “Domino und Exchange über IMAP, HTTP & Co.”). Wer nicht
immer ganz bindungslos kommunizieren will, sondern öfter auch auf analoge Telefonanschlüsse
zurückgreifen will, wird ein im Handheld fest integriertes Modem mit schnellen 56 kBit/s wie
beim Jornada 680 und Compaq Aero 8000 (Handheld PC/Pro) zu schätzen wissen. All dies hat
natürlich auch seine Größe und sein Gewicht. Der Schritt von der “Konfektionsgröße” Handheld PC/Pro wie dem neuen Compaq Aero 8000 zum Sub-Notebook ist nicht mehr allzu groß. Auch
dieser muß wie der typische Sub-Notebook auf ein berührungsempfindliches Display und damit
auf die Stiftführung bei einer mäßigen Bildschirmauflösung von 640 x 480 Punkten verzichten.
Jeder CE-Anwender sollte sich auf jeden Fall die wesentlich schnellere Direkt-PC-Anbindung unter dem neuen Activesync 3.0 (bis zu 115 KBytes/s statt langsamen 19,2 KBytes/s) nicht entgehen
lassen (http://www.microsoft.com/windowsce).
Wer auf farbiges und lautes Doom-Spielen (zum Beispiel auf Compaq Aero 2130) verzichten
kann und sich nicht zuletzt auch durch die eingängige Benutzerführung auf eine geradlinige Arbeit konzentrieren will, greift eher zu einem Palm-OS-Gerät. Die Rückbesinnung auf das Wesentliche wird bei Geräten wie den Palms von 3Com und den baugleichen IBM Workpads mit einem
deutlich geringer ausgebeulten Jackett bei gleicher Funktionalität gegenüber den gängigen Windows CE Geräten belohnt. Das teurere Modell Palm V suggeriert einen Fortschritt zum IIIx, hinter der wohlgeformten, glänzenden Fassade verbirgt sich im Zusammenhang mit mobilen Unternehmensdaten jedoch auch ein entscheidender Rückschritt: Der Palm V besitzt mit 2 MB gerade
einmal die Hälfte des Arbeitsspeichers des IIIx. Dafür muß der Reisende mit Palm IIIx entweder
den zusätzlichen Platz für Reservebatterien oder einem externen Ladegerät für Akkus der Größe
AAA mit einplanen. Der Palm V verfügt bereits über integrierte Akkus.
In Verbindung mit allen von uns im Test eingesetzten mobilen Geräten (einschließlich Notebooks mit Windows 98) gefiel das Handy Siemens S25: Dank integriertem Modem und IrDAkonformer Infrarotschnittstelle erweist sich die Kontaktaufnahme zu Palm & Co. als problemlos.
Unter CE muß lediglich ein entsprechender Treiber installiert werden, den Siemens kostenlos auf
seiner Website anbietet (http://www.siemens.de/ic/products/cd/english/index/products/mobiles/
tips/pda.htm). Der Palm benötigt das “Enhanced Infrared Update” oder das neue Palm-OS 3.3,
das diesen bereits beinhaltet (siehe http://www.palm.com/custsupp/downloads).
rem Praxistest synchronisierten wir zum
Beispiel mit wenig Anpassungsarbeit einen öffentlichen Exchange-Ordner mit
Kontaktdaten und eine Notes-Adreßdatenbank mit dem Adreßverzeichnis der PDAs.
Individuelle Datenbankanwendungen im
Unternehmen, die auch mobil nutzbar sein
sollen, erfordern natürlich deutlich mehr
Konfigurationsarbeit. Mobile Connect liefert als Datenbankbasis für Palm-OS und
Windows CE dazu Unterstützung (“Plugins”) für IBM DB2 Everywhere und zu-
L AN line 1/2000
117
SCHWERPUNKT:
MOBILE COMPUTING
Domino und Exchange über IMAP, HTTP & Co.
Als grundsätzliche Alternative zum Einsatz einer spezialisierten Middleware zwischen
Groupware-Plattformen und PDAs bietet sich auch der Zugriff auf Domino und Exchange über
die integrierten Internet-Standards an. Für den Zugriff auf die persönliche Mailbox eignet sich
zum Beispiel IMAP4 (POP3 ist für den Unternehmenseinsatz aufgrund fehlender Server-seitiger
Mail-Verwaltung nicht zu empfehlen), Adressenverzeichnisse öffnen sich per LDAP und der
persönliche Kalender steht prinzipiell auch per HTTP zur Verfügung. Der Groupware-Zugang
mittels Internet-Protokolle bietet zwar nicht denselben Integrationsgrad wie spezialisierte Middleware, bietet sich aber auch für kleinere Installationen an, in denen ein limitiertes Budget die
erforderliche Infrastruktur nicht zuläßt.
Für die Palm-OS-Welt empfiehlt sich als derzeit einzige IMAP4-Lösung Multimail Pro 3.0
von Actualsoft (http://www.actualsoft.com). Multimail beherrscht neben SMTP, POP3 und
IMAP4 auch das NNTP-Protokoll, um auf spezielle NNTP-Diskussionsdatenbanken
(Datenbankvorlage “NNTP Discussion”) unter Domino R5 oder entsprechend freigeschaltete
öffentliche Ordner unter Exchange zugreifen zu können. Lediglich eine LDAP-Unterstützung
für den Zugriff auf unternehmensweite Adressenverzeichnisse fehlen zum ganzen Glück. Auch
Besitzer von palmsized PCs unter Windows CE haben derzeit noch keine Wahl: Lediglich das
simple IMAP-Force von Ruksun (http://www.ruksun.com) beherrscht die Server-seitige
Verwaltung von Mails mittels IMAP4. In unserem Praxistest konnte das Programm im Gegensatz zu Multimail allerdings keine besondere Begeisterung auslösen: Ordnerhierarchie und Dokumente werden in der uns vorliegenden Version 2.1 Explorer-artig und nur in Grenzen verrückbar nebeneinander dargestellt, was sich auf der Palm-PC-Bildschirmgröße als unbrauchbar erweißt. Beim Zugriff auf größere Mail-Ordner (> 100 Mails) quittierte IMAP-Force mit konsequenten Abstürzen ganz seinen Dienst. Ab der Konfektionsgröße Handheld-PC unterhält sich
das integrierte Pocket-Outlook von Windows CE 2.11 mit Servern auf Wunsch auch über
IMAP4 und LDAP. Spezielle Zusatzprogramme sind daher nicht zwingend erforderlich. Domino und Exchange bieten standardmäßig den Zugriff auf die persönliche Mailbox und PIM-Informationen mittels Web-Browser. Diese eignen sich allerdings kaum für den praktischen
Gebrauch auf Bildschirmen in Palm-Größe und fehlender Unterstützung gängiger PDA-Webbrowser für Frames, Javascript oder gar Java-Applets. Ohne spezielle eigene Anpassungsarbeit
der jeweiligen Browser-Darstellung von Exchange und Domino ist also nicht viel zu wollen.
Allerdings lohnt sich der Aufwand durchaus: Ein Browser-Interface eröffnet nicht nur den Online-Zugriff auf umfangreiche Mailboxen, die ansonsten für den Offline-Gebrauch keinen Platz
im PDA finden würden, sondern ermöglichen zum Beispiel unter Domino auch weitergehende
Funktionen wie die Volltextsuche. Damit ergänzen Sie selbst Lösungen wie IBM Mobile
Connect.
sätzlich ADO (Active X Data Objects) für
CE. Mit der reinen Datensynchronisation
zwischen Datenbankserver und PDA ist es
allerdings noch nicht getan, da auch ein
entsprechendes Benutzer-Interface mit
Programmlogik auf dem PDA verfügbar
sein muß. In diesem Punkt paßt Mobile
Connect im Gegensatz zu Produkten wie
Pylon Pro/Server Sync von Globalware im
Notes-Umfeld (siehe LANline 11/99) und
verweißt auf Zusatzprodukte wie Sattelite
Forms von Pumatech für das Palm-OS und
Microsofts Entwicklungsumgebung für
CE. Mobile Connect bietet zur Entwicklung komplexerer mobiler Lösungen auf
der Service-Seite eine Einbindung von
Microsofts Vbscript, um Daten für und von
den PDAs automatisch zu verarbeiten. So
118
L AN line 1/2000
lassen sich zum Beispiel mit überschaubaren Aufwand Workflow-Meldungen beim
Eingang neuer Datensätze generieren oder
zur Übertragung auf die mobilen Einheiten
vorgesehene Office-Dokumente automatisch in ein PDA-verträgliches Format
konvertieren.
FAZIT IBM vertreibt mit Mobile Connect
eine vielversprechende Lösung für alle abhängigen “Streetworker” von tragbaren
und aktuellen Informationen aus dem
“Corporate Memory”. Die bereits jetzt beeindruckende Unterstützung eines weiten
Kreis von PDAs und Groupware-Plattformen wird mit sich mit zukünftiger Unterstützung von EPOC32 und Domino R5
noch erweitern. Für den Unternehmensein-
satz mobiler Endgeräte unerläßlich ist die
zentrale Verwaltung der PDA-Konfigurationen. Die interne Architektur schafft hier
ein großes Potential für zugeschnittene
Unternehmenslösungen. Schade ist nur,
daß Mobile Connect seinen administrativen Ansatz nicht auch in einer zentralen
Verwaltung der Mobile-Connect-Server
weiterführt. Wünschenswert für die Zukunft ist auch die direkte Integration einer
Entwicklungsumgebung für datenbankbasierte PDA-Anwendungen, für die Mobile
Connect in der heutigen Form nur als
Middleware agiert. IBM wird seine zum
Testzeitpunkt aktuelle Preisgestaltung aufgrund der neuerlichen Entwicklungen sicherlich nochmals überdenken. Eine Server-Lizenz liegt derzeit offiziell bei 9110
Mark zuzüglich Client-Lizenzen zwischen 405 Mark (1 bis 20 Benutzer) und
203 Mark ab 1000 Benutzern. Das funktionell identische Produkt bietet Extended Systems zu Endkundenpreisen von
782 Mark (fünf bis neun Benutzer) bis
196 Mark (ab 1000 Benutzer). Die Server-Lizenz muß nicht zusätzlich erworben werden. Das Programm dürfte nicht
zuletzt aufgrund der von Microsoft angekündigten “Geschenkaktion” einen
breiten Freundeskreis finden. Vielleicht
zieht ja auch Lotus mit einer ähnlichen
Aktion nach. Insgesamt ist ein vollständiger Ersatz des Notes-Clients oder von
Outlook für den Büroeinsatz nicht zu erwarten.
(Peter Meuser/gh)
Peter Meuser (mailto:pmeuser@lanlab.
de) ist selbstständiger IT-Consultant in
München und Mitglied des LANline-Labs.
Das LANline-Lab dankt der Firma Deckarm & Co für die freundliche und kompetente Unterstützung.
Info:
IBM, IBM Mobile Connect 2.2
Tel.: 0511/516-1329
Web: www.ibm.com/solutions/mobile/
Info:
xtended Systems GmbH, Xtnd Connect 2.2
Tel.: 07032/9454 351
Web: www.extendedsystems.de/
TEST: COMPAQ AERO 8000 UND HP JORNADA 820E
Zwei Giganten
mit Windows CE
Der Compaq Aero 8000 und der Hewlett-Packard Jornada 820e sind
Notebook-ähnliche High-end-Windows-CE-Geräte. Sie heben sich von
diesen durch höhere Akkulaufzeit und den Verzicht auf bewegliche Teile
ab. Der Test befaßt sich mit dem praktischen Einsatz: Internet-Zugang,
Synchronisation der Daten und dem eigentlichen “Feeling” beim
Umgang mit den Geräten.
eide Geräte wenden sich an mobile
Anwender, die so arbeiten wollen, wie
sie es von Notebooks her gewöhnt sind,
aber eine längere Akkulebensdauer
benötigen. Die Handhelds kommen mit
folgender Ausstattung: Windows CE 2.11,
einem Notebook-ähnlichen Gehäuse sowie der Desktop-Software CE-Dienste
2.2. Der Jornada ist etwas kleiner als der
Aero (Details zu Abmessungen und Aus-
stattung finden sich in den jeweiligen Kästen) und verfügt in der getesteten Version
820e im Gegensatz zum Compaq-Gerät
nicht über ein internes Modem. Um einen
Internet-Zugang mit dem Jornada herzustellen, wird ein PCMCIA-Modem vom
Typ TDK Global Freedom 5660 mitgeliefert, das vom Betriebssystem problemlos
erkannt wurde und auch den Akku nicht zu
sehr belastete. Beim Aero wurde im Test
das interne Modem
verwendet. Beide
Geräte fallen durch
die unkomplizierte
Art und Weise der
Internet-Konfiguration auf: Mit dem
Windows-CE-Remote-Netzwerk ließ
sich binnen fünf Minuten ein Zugang
zum Mobilcom Intenet-by-Call-Testzugang einrichten. Lediglich beim Arbeiten mit Internet-Accounts, die beim
Log-in
spezielle
Scripts abarbeiten,
kommt man mit den
CE-Geräten
um
Handarbeit
nicht
herum. Der InternetZugang kann übrigens auch via LAN
Fast ein “richtiges” Notebook: der Compaq Aero 8000
B
Ausstattung des HP Jornada 820e:
– Fast-Notebook-Format (24,5 Zentimeter breit, 17,5 Zentimeter tief und
3 Zentimeter hoch), Gewicht 1,12 Kilogramm
– Strong-Arm-SA-1100-Prozessor mit
190 MHz
– 16 MByte RAM/16 MByte ROM
– 640 mal 480 VGA Flüssigkristall-Display mit 256 Farben (flimmert zeitweise ein wenig, ist kein TFT)
– Tastatur mit recht angenehmem
Anschlag, die auch flüssiges Schreiben
erlaubt
– elf Hotkeys für häufig benötigte
Programme
– Ein serieller Port (spezielles Format,
kein SUB-D neunpolig) mit Anschlußkabel auf neunpolig zum Anschluß an
den PC
– Windows-CE-Version 2.11 mit
Features wie externem
Monitoranschluß (bis 1024 mal 768)
und USB-Anschluß
– ein Slot für PCMCIA-Karten (Typ II)
– ein Slot für Compact-Flash-Karten, wie
sie beispielsweise in vielen digitalen
Fotoapparaten zum Einsatz kommen
– Infrarotschnittstelle
– Audio In/Out
Ausstattung des
Compaq Aero 8000:
– Notebook-Format (28,35 Zentimeter
breit, 22,15 Zentimeter tief und 2,54
Zentimeter hoch), Gewicht 1,27 Kilogramm
– Hitachi-SH4-Prozessor mit 128 MHz
– 16 MB RAM/16MB ROM
– 800 mal 600 VGA-DSTN-Display mit
256 Farben
– angenehme Tastatur, die flüssiges
Schreiben erlaubt
– neun Hotkeys für häufig benutzte Programme
– serieller Port mit neunpoligem
Anschlußkabel zum Anschluß an den
PC
– Windows CE 2.11 mit externem Monitoranschluß und USB-Anschluß
– neunpolige serielle Standardschnittstelle
– Slot für PCMCIA-Karten (Typ II)
– Slot für Compact-Flash-Karten
– integriertes V.90-Modem
– Smart Card Reader
– Infrarotschnittstelle
– PS/2-Mausanschluß
– Audio In/Out
L AN line 1/2000
119
SCHWERPUNKT:
MOBILE COMPUTING
unter Verwendung eines Proxy-Servers
realisiert werden.
Zum Datenabgleich sind zunächst die
Windows-CE-Dienste auf dem DesktopRechner zu installieren. Beide CE-Geräte
werden mit speziellen Verbindungskabeln
geliefert, die einen Anschluß an die serielle Schnittstelle ermöglichen, verfügen aber
alternativ auch über Infrarotschnittstellen.
Nachdem die gewünschte Schnittstelle
konfiguriert ist (einer der häufigsten Stolpersteine liegt darin, daß nicht überall die
gleiche Übertragungsrate eingestellt wird),
lassen sich Daten mit dem Desktop abgleichen, Programme auf den Handhelds installieren und Dateien kopieren. Negativ
fiel auf, daß Windows-CE-Software prozessorabhängig ist: Auf der Suche nach einem File-Explorer beispielsweise, der den
funktionell doch sehr eingeschränkten
Windows-CE-Explorer ersetzen sollte,
ließen sich zwar etliche vielversprechende
Applikationen im Internet finden, diese
verweigerten aber schon bei der Installation die Mitarbeit, da das verwendete Gerät
nicht unterstützt wird. Der Grund dafür
liegt darin, daß jede CPU ihre eigene Kompilation mit dem Windows-CE-Developer-Kit erfordert. Eigentlich schade, da
man auf diese Weise oft sehr lange herumprobieren muß, bis man eine befriedigende
Lösung findet.
DAS TÄGLICHE ARBEITEN Da es sich bei
beiden Geräten um Windows-CE-Lösungen auf einem vergleichbaren Entwicklungsstand handelt, sind der Umgang mit
der Software und die Konfiguration sehr
ähnlich. Anders sieht es beim praktischen
Arbeiten mit den Handhelds aus: Der HP
Jornada 820e ist ein gutes Stück kleiner als
der Compaq Aero 8000 und verfügt folglich auch über ein kleineres Display (Bilddiagonale 21 Zentimeter), das auf Flüssigkristallbasis arbeitet und immer wieder
leicht schliert. Das DSTN-Display des
Aero mit einer Bilddiagonale von 25,38
Zentimetern hinterläßt einen besseren Eindruck. Genau umgekehrt sieht es beim integrierten Touchpad aus: Das ist zwar bei
beiden Geräten etwas gewöhnungsbedürftig, läßt sich aber beim Jornada viel einfacher meistern als beim Aero. (Dafür läßt
120
L AN line 1/2000
Akku mit zehn Stunden Betriebsdauer: der HP Jornada 820e
sich am Aero eine PS/2-Maus anschließen.) Hewlett-Packard gibt die Akkulaufzeit des Jornada 820e mit zirka zehn
Stunden an, und dieser Wert erwies sich
bei eingeschalteten Power-Safing-Funktionen als durchaus realistisch. Leider dauert auch das Aufladen entsprechend lang
und kann sich schon mal bis zu fünf Stunden hinziehen. Der Ladevorgang beim
Aero geht deutlich schneller, hier ist ein leerer Akku bereits nach gut einer Stunde wieder voll, dafür beträgt die Laufzeit aber nur
sieben Stunden. Die Tastaturen beider Geräte sind vernünftig dimensioniert und ermöglichen angenehmes und schnelles Tippen.
MITGELIEFERTE SOFTWARE Sowohl
Compaq als auch Hewlett-Packard liefern
mit ihren CE-Geräten etliche Dienstprogramme mit: Bei Compaq sind das unter
anderem Tools zur Datensicherung auf
PC-Cards, zur Konfiguration der Hintergrundbeleuchtung und zum Einstellen von
Sicherheitsoptionen. Hewlett-Packard verfolgt einen ähnlichen Ansatz und liefert
beispielweise ein Backup-Tool und eine
Lösung, die das Erstellen der Wählverbindung erleichtern soll. In der Praxis stellte
sich aber heraus, daß diese “HP-Wählverbindung” immer von der Landeskennzahl
“1” für die USA und der Ortskennzahl
“206” ausging und deshalb die Verbin-
dungsnummern völlig durcheinanderbrachte. Mit dem Einsatz der WindowsCE-“Bordwerkzeuge” ließ sich die Verbindung schneller und einfacher herstellen.
Sehr gut ist jedoch “HP Show”, eine Applikation mit der sich die Bildschirmausgabe auf externe Monitore umlenken läßt.
FAZIT Für Anwender, die mit den einge-
schränkten Möglichkeiten von Windows
CE leben können und die nicht allzu hohe
Ansprüche an ihre SynchronisierungsSoftware stellen, sind der Compaq Aero
8000 und der Hewlett-Packard Jornada
820e eine gute Alternative. Die Geräte stellen keinen Ersatz für richtige Notebooks
dar, kommen aber ohne bewegliche Teile
aus und bieten eine deutlich längere Laufzeit. Vor allem der Akku des Jornada konnte überzeugen. Ob das jedoch im Unternehmenseinsatz den Aufwand für die Unterstützung eines weiteren Betriebssystems
(Windows CE) rechtfertigt, ist in den meisten Fällen wohl eher fraglich und sollte unternehmensspezifisch entschieden werden.
(Götz Güttich)
Weitere Informationen:
Compaq
Web: www.compaq.de
Hewlett-Packard
Web: www.hewlett-packard.de
TEST: SYMANTEC MOBILE ESSENTIALS
Guter Geist
für mobile Benutzer
Gerade für mobile Anwender ist es lästig, an jedem neuen Standort
das Notebook für den Netzwerk- und Internet-Zugang umkonfigurieren
zu müssen. Diese Aufgabe will Symantec dem “Road-Warrior” mit ihren
Mobile Essentials nun abnehmen. LANline hat sich die Software näher
angesehen.
obile Essentials besteht aus einem
Client-Programm, das auf den mobilen Rechnern installiert wird, sowie aus einem eigenen Verwaltungsmodul für den
Netzwerkadministrator. Während der Administrator zentral Profile für beliebige
Standorte definiert und auf den Mobilrechnern verteilt, sorgt der Client beim Start
des Laptops nach Auswahl eines Standortes für die Konfiguration des lokalen Rechner entsprechend den Vorgaben. Hierbei
berücksichtigt die Software folgende Parameter:
– TCP/IP-Einstellungen für den LAN- und
Internet-Zugang einschließlich DHCP,
Vergabe von festen IP-Adressen, Gateway und WINS
– Netzwerkkonfiguration mit Zuordnung
von Laufwerksbuchstaben zu Netzlaufwerken, NDS- und Bindery-Login, NTDomänen und Arbeitsgruppen
– Auswahl eines Standarddruckers
– Einrichtung der DFÜ-Einstellungen für
die Einwahl ins Firmennetz und Internet
– Netzwerkverbindung mit Standardeinwahl
– Windows-Programme in der AutostartGruppe
– Anpassung der Programme Lotus Notes,
Ccmail, Internet Explorer, Netscape
Communicator, Winfax Pro und Talkworks Pro an die Netzwerk- und Telefoneinstellungen.
Während Mobile Essentials unter Windows 9x den Anmeldebildschirm von Windows ersetzt und um die Standortauswahl
M
ergänzt, wird diese unter Windows NT der
normalen Anmeldemaske vorgeschaltet.
Im Test verlief die Anpassung der Clients
mit verschiedenen Profilen problemlos.
Während auf Client-Seite im Idealfalls
außer der Standortwahl keine Arbeitsschritte notwendig sind, muß der Administrator bei der Anpassung und Verteilung
der Software jedoch einige Dinge beachten.
Gut gelöst ist auch die Verteilung der
Standortprofile an die Benutzer. So kann
der Administrator wahlweise die Konfigurationsdatei auf einem Server ablegen, per
E-Mail-Attachment an seine Benutzer verschicken oder die Verteilung dem “Mobile
Update Agent” überlassen. In letzterer Variante wählt der Netzverwalter die Empfänger der Profile lediglich aus seinem
Outlook-Adreßbuch aus. Die Admin-Software generiert daraufhin automatisch eine
entsprechende E-Mail und hängt die zu
verteilenden Profile dort an. Auf Benutzerseite überwacht der Mobile Update Agent
den Posteingang es mobilen Anwenders.
Trifft dort eine E-Mail mit einer bestimmten Betreffzeile ein, so installiert der Agent
die dort angehängten Profile automatisch
und löscht anschließend die E-Mail. Auf
diese Weise ist ein Profil-Update ohne
Benutzerinteraktion möglich. Im Test
verliefen alle drei Varianten ohne Probleme. Lediglich die Administrator-Konsole stürzte gelegentlich beim Einlesen der
über 500 E-Mail-Adressen aus dem Outlook-Adreßbuch mit einer Schutzverletzung ab.
ADMINSTRATION Bei der Installation des
Administrator-Moduls hat der Netzverwalter die Möglichkeit, eine zentrale Installationsroutine für die Client-Software
anzulegen. Dabei kopiert das Setup-Programm alle notwendigen Dateien in ein
spezielles Verzeichnis, von dem aus später
die Laptops ihre Client-Installation starten.
Anschließend legt der Administrator fest,
welche Eingriffsmöglichkeiten Benutzer
in ihren Client haben dürfen. Restriktive
Einstellungen erlauben dem Anwender
später lediglich die Auswahl eines Standorts, in der freizügigsten Variante haben
die Benutzer die Möglichkeit, beliebige
Standorte und deren Parameter selbst zu
konfigurieren. Nach Abschluß der ClientKonfiguration im Test rief das Setup-Programm zuletzt das “Live-Update-Utility”
auf. Dabei fand das Helferlein prompt eine
neue Version des deutschen Clients auf
dem Symantec-Server und lud das 730
KByte große Update automatisch herunter.
Dies ist ein sehr nützliches Feature, an dem
sich andere Hersteller durchaus ein Beispiel nehmen können.
FAZIT Symantecs Mobile Essentials ist
ein sehr leistungsstarkes Programm zur
Verwaltung mobiler Anwender. Durch
die zahlreichen Konfigurationsmöglichkeiten ist daher eine genau Planung vor
dem Einsatz der Software unumgänglich.
Dabei geht dem Administrator das deutsche Handbuch hilfreich zur Hand. Die
mobilen Anwender hingegen freuen sich
über den Wegfall der lästigen Konfigurationsarbeit, wenn sie ihren Standort gewechselt haben. Dem Administrator, der
eine große Zahl mobiler Benutzer betreuen muß, kann die Software daher bedenkenlos empfohlen werden. Pro mobilem
Arbeitsplatz werden allerdings je nach
Zahl der Lizenzen zwischen 85 und 115
Mark fällig.
(Georg von der Howen)
Info:
Symantec
Tel.: 069/66410300
Web: www.symantec.com/region/de/leiden/
antwort.html
L AN line 1/2000
121
SCHWERPUNKT:
MOBILE COMPUTING
DATENSICHERUNG AUSSERHALB DES NETZES
Mobile Daten
müssen sicher sein
Gerade Desktops außerhalb des Unternehmensnetzes und Laptops sind
diejenigen Computer, auf denen in vielen Fällen die wichtigsten Daten
liegen. Denn Manager und Handelsvertreter sind mit ihren Notebooks
oft tagelang unterwegs, ohne eine Sicherung vornehmen zu können.
Kritische Dateien werden in dieser Zeit nur auf lokalen Festplatten
gespeichert. Ein intelligentes Konzept, um dieses “mobile Know-how”
auf einfache Art zu sichern, kann im Notfall viel Zeit und Geld sparen.
ahlreiche Manager und Außendienstmitarbeiter arbeiten heute bereits mobil, mit schönen Notebooks auf
ihren Schreibtischen, im Zug oder im
Flughafen. Auf diesen Notebooks befin-
Z
Festplatte gehalten werden. Dieses Verhalten ist auch irgendwie menschlich:
Die Anwender möchten die Dateien, die
für sie wichtig sind, in ihrer Nähe wissen.
Denn wer weiß schließlich, was irgend-
Im Idealfall integriert eine Backup-Software die notwendigen Funktionen zur Sicherung
und Wiederherstellung von Dateien in für den Anwender gewohnten Oberflächen wie
den Windows Explorer
den sich schöne Daten wie aufwendige
Multimedia-Präsentationen oder arbeitsintensive Pflichtenhefte. Aus ihrer Situation heraus speichern die “Road Warriors” unter den PC-Anwendern ihre Dateien nur auf ihrer lokalen Festplatte. Dabei befinden sie sich in guter Gesellschaft. So vermutet das Marktforschungsinstitut IDC, daß in vielen Abteilungen eines Unternehmens ein Großteil
aller Dateien “privat” auf der lokalen
122
L AN line 1/2000
ein anderer mit auf dem Server gespeicherten Daten anstellt?
VERGESSENE KINDER Bei der Konzep-
tion einer unternehmensweiten Datensicherungsstrategie vergessen viele ITManager die Einbindung dieser “mobilen
Daten”. Doch gerade hier ist die Wahrscheinlichkeit eines Datenverlusts besonders hoch. So kann der Anwender eine
wichtige Datei schnell aus Versehen lö-
schen, oder eine Festplatte gibt im mobilen Einsatz ihren Geist auf. Nicht zu vernachlässigen ist auch der zunehmende
Diebstahl wertvoller Laptops und Notebooks in den Firmen oder auf Reisen.
Heute sind die meisten unternehmensweiten Backup-Strategien auf Server
ausgelegt. In der Praxis werden dabei Datenbank- und Fileserver gesichert, Workstations und Notebooks in der Regel jedoch nicht. Die Organisationen, die erkannt haben, daß hier unter Umständen
wichtige Informationen verloren gehen
können, arbeiten im wesentlichen mit
zwei Strategien, um dieses Problem zu
beheben:
Die erste Variante beruht auf einer organisatorischen Lösung. Dabei verpflichtet das Unternehmen seine Mitarbeiter,
wichtige Daten auf dem Fileserver abzulegen, wenn sie ein Backup ihrer Dateien
wünschen. Alle Daten, die nicht auf dem
Fileserver liegen, werden folglich auch
nicht gesichert. Die Anwender sind also
für ihre Daten selbst verantwortlich. Das
ist so lange in Ordnung, so lange diese
Daten nur für den einzelnen Anwender
und nicht für das gesamte Unternehmen
wichtig sind. Im Fall eines Datenverlusts
erleidet dann nur eine Person Schaden,
nämlich die, der die Daten gehören. Doch
ist dies eine eher kurzsichtige Denkweise, da alle Informationen auf den Notebooks und Workstations mehr oder weniger zum Unternehmenserfolg beitragen.
Folglich müßte die Sicherung aller Daten
auf einem Fileserver erzwungen werden.
Bei Nichtbefolgen dieser Sicherungsstrategie kann ein Unternehmen zwar Strafen
aussprechen und Konsequenzen androhen. Aber es ist immer möglich, daß ein
Mitarbeiter einfach vergißt, seinen Dateien zu kopieren oder das Notebook über
Nacht gestohlen wird.
Die zweite Strategie zur Datensicherung plant auch Notebooks und “remote”
Workstations in die Server-Sicherung
ein. Diese Sicherungen können jedoch
nicht nachts durchgeführt werden, weil
sie einerseits das Server-Backup behindern würden und andererseits einige Anwender ihre PCs ausschalten, wenn sie
nicht daran arbeiten oder auf Reisen sind.
Tagsüber würde jedoch der Produktionsbetrieb durch die laufenden Sicherungen
behindert. Daher ist es sehr schwierig, einen optimalen Zeitpunkt für die Sicherung
der “lokalen Daten” zu finden. Falls es einen solchen Zeitpunkt gibt, bleibt immer
noch das Problem der Notebooks. Denn
von Natur aus sind diese Geräte mobil und
damit auch nicht fest mit dem Netzwerk
verbunden. Eine geplante Sicherung für
Notebooks wird dann zur Glückssache.
VORAUSSETZUNGEN Ein intelligentes
Konzept für die unkomplizierte Sicherung dieser mobilen Daten im Unternehmen kann im Notfall viel Zeit und Geld
sparen. Voraussetzung dafür ist eine Sicherungs-Software, die beispielsweise
große Datenbestände optimal komprimiert, so daß diese auch über Modem innerhalb weniger Minuten übertragen
werden können. Diese Funktion ist gerade für diejenigen Anwender wichtig, die
Informationen außerhalb von Fileservern
halten und trotzdem sichern müssen.
Zwar erreichen die besten Komprimierungsprogramme für Daten in der Regel
einen Faktor von 2:1, das ist jedoch zu
wenig, um ein Backup über eine RemoteVerbindung durchführen zu können.
Deshalb benötigt die Sicherungs-Software zusätzliche Intelligenz, um weitere
HL-ZSKompression
RedundantFileElimination
RedundantBlockElimination
Networker
Remote
Client
Networker
Remote
Server
Durch die Kombination aus Datenkompression, Redundant-File- und Block-Elimination kann die
zu sichernde Datenmenge bis auf ein Zehntel reduziert werden
Einsparungen bei der Übertragung der Daten zu erzielen. Die Schlüsselbegriffe hierbei lauten Redundant-File-Elimination
(RFE) und Redundant-Block-Elimination
(RBE). Mit diesen beiden Verfahren kann
das zu übertragende Datenvolumen auf bis
zu ein Zehntel reduziert werden.
Viele Dateien auf den Notebooks der
Anwender sind identisch mit denen ihrer
Kollegen. Dies sind beispielsweise Windows-Systemdateien oder eine OfficeSuite. Auch können dies Dokumente und
Präsentationen sein, die alle mobilen Benutzer mit sich führen, aber einfach nur
L AN line 1/2000
123
SCHWERPUNKT:
MOBILE COMPUTING
Duplikate von Standards sind, die jeder
im Unternehmen verwendet. Einen Ansatz für die Datenreduktion beim Sicherungsvorgang bietet hier RFE mit einem
Algorithmus, der jeder Datei einen individuellen identifizierenden Schlüssel zuordnet. Beim Backup werden dann nur
die Dateien übertragen, die der Sicherungs-Software nicht bekannt sind. Damit kann die gesamte zu übertragende
Datenmenge auf ein wesentlich geringeres Volumen reduziert werden als dies mit
einer herkömmlichen Komprimierung
möglich wäre. Das ist bereits ein großer
Gewinn für die Backup-Dauer und die
Ausnutzung der Ressourcen. Zusätzlich
kann ein sogenannter Remote-Agent bei
allen geänderten Dateien die Art der Änderung feststellen und überträgt dann mittels
RBE nur diejenigen Blöcke, die sich geändert haben. Bei einer 2 GByte großen Datei können das beispielsweise nur einige
wenige KByte sein.
Als Backup-Server dient in diesem
Konzept ein sogenannter Vault, der die
Daten der Clients sammelt und ordnet.
Um jederzeit Änderungen an den Referenzen vornehmen zu können, werden die
Daten des Vaults nicht auf Band, sondern
direkt in einer Server-Datenbank gehalten. Das erste jemals auf diesen Vaults
durchgeführte Backup – das “SeedBackup” – ist die Basisreferenz für alle
nachfolgenden Sicherungen. Alle anderen Backups beziehen sich auf diese erste
Sicherung. Wann immer zusätzliche Sicherungen erfolgen, beziehen sich diese
wiederum auf die dort vorgehaltenen
Versionen. Nur neue Informationen werden tatsächlich hinzugefügt, auf die sich
wiederum die nachfolgenden beziehen
und so weiter. Da diese Art der Sicherung
zwar sehr effektiv ist, aber anfällig bezüglich der Daten in der Datenbank, sollte daher von dieser Datenbank eine Bandsicherung durchgeführt werden. Dieses
inkrementelle Konzept ermöglicht dann
eine effektive Sicherung über eine Modemverbindung.
Für viele Administratoren ist jedoch
die Verringerung der Netzwerkbelastung
wesentlich wichtiger. Zwar wird durch
die verschiedenen Komprimierungs-
124
L AN line 1/2000
schritte nur ein Minimum an Daten übertragen. Starten jedoch einige 100 oder
1000 PCs ihre Backups gleichzeitig, bedeutet dies trotzdem eine gewaltige Belastung für das Netz. Hier muß ein Vorgehen gefunden werden, das über verschiedene Parameter die Netzwerkbelastung optimiert. Dazu gibt der Administrator bei der Planung der Backups einfach ein Zeitfenster an, in dem gesichert
werden darf, und legt die Anzahl an Maschinen fest, die maximal zur gleichen
Zeit sichern dürfen. Das Ergebnis: Aus
einer Menge von PCs wird immer nur eine (zufällige) maximale Anzahl gesichert, alle anderen versuchen nach einer
zufälligen Wartezeit nochmals Kontakt
mit dem Backup-Server aufzunehmen.
DISASTER RECOVERY Die größte Gefahr
für Daten auf Notebooks ist der Diebstahl
des kompletten Geräts. Den materiellen
Schaden übernimmt zwar meist die Versicherung. Der Schaden, der durch den
Verlust wichtiger Informationen entsteht,
kann jedoch um ein Vielfaches höher
sein. Auch das Risiko einer Beschädigung von Notebooks ist aufgrund ihrer
Mobilität wesentlich höher. Daher sollte
eine Backup-Software in der Lage sein,
eine Disaster-Recovery-Diskette zu erzeugen, die genügt, um einen neuen
Computer mit dem Backup-Server zu
verbinden und die Daten auf diesem
Rechner wiederherzustellen. Für den Recovery-Prozeß sollte so gut wie keine Interaktion des Benutzers notwendig sein.
FAZIT Wenn man führenden Beratungsun-
ternehmen glauben darf, dann liegen heute
fast 70 Prozent aller unternehmenskritischen Dateien auf den “C-Platten” der Anwender. Dieser Umstand legt zwei Konsequenzen nahe: entweder die Abschaffung
aller lokalen Festplatten und die Rückkehr
zur zentralistischen Datenhaltung, oder eine flexible Datensicherungslösung, die jederzeit in der Lage ist, sich den dynamischen Änderungen am Markt anzupassen.
(Thomas Madsen/gh)
Thomas Madsen ist Regional Manager
Central Europe bei Legato Systems
REMOTE-ACCESS-LÖSUNGEN
Herausforderung oder
Managementproblem
Immer mehr mobile Mitarbeiter und Teleworker verlangen von ihrem
Arbeitgeber den Zugriff auf das Unternehmensnetz – von überall aus.
Während Remote-Access bis vor kurzem oft noch eine technische
Herausforderung darstellte, wird die Technologie heute eher zu einem
Managementproblem für Administratoren, da die ihnen anvertrauten
Benutzer nicht mehr vor Ort anzutreffen sind.
ährend der Begriff “Remote-Access” oft großzügig auf die unterschiedlichsten Einsatzbereiche ausgedehnt wird, so liegt der Schwerpunkt
doch im Netzwerkbereich und meint
speziell die Aufgabe, Home Offices und
W
Erste RemoteAccess-Lösungen wurden als Zusatzdienst für bestehende Server realisiert.
Administratoren rüsteten zu diesem
Zweck Novell Netware, Windows NT
und Unix-Systeme mit Modem- und
VORAUSSETZUNGEN
Der Remote Client Manager ist ein Verwaltungswerkzeug, mit dem der
Administrator den Zugang mobiler Rechner zum Firmennetz verwalten kann
mobilen Arbeitsplätzen den Fernzugriff
auf das Firmennetzwerk zu ermöglichen. Ob der Anwender sich unterwegs,
vor Ort beim Kunden oder am Flughafen befindet: Zu jeder Zeit kann der Zugriff auf bestimmte Daten den Ausschlag zwischen Erfolg und Scheitern
geben.
ISDN-Karten aus. Spezielle Software
übernahm die Aufgaben eines Routers
und leitete Datenpakete vom lokalen
Netz über die Telefonleitung. Mittlerweile setzen sich in Unternehmen jedoch immer mehr spezialisierte und Hardwarebasierende Remote-Access-Server durch.
Die hierfür eigens entwickelte Hardware
nimmt weniger Platz in Anspruch, arbeitet effizienter und konzentriert mehr
Ports pro Fläche. Die Geräte sind flexibel, Einschubmodule können um zusätzliche Ports für die Nutzung neuer Verbindungsmedien erweitert werden. Aber
auch ein autarker Remote-Access-Konzentrator steht nicht für sich allein. Er ist
in ein Netzwerk eingebunden und muß
als aktiver Teilnehmer im Netz verwaltet
werden. Der Administrator muß Benutzer einrichten, die Auslastung kontrollieren und sicherstellen, daß der Konzentrator richtig läuft. Dies geht einfacher und
schneller, wenn das Gerät Teil einer umfassenden Managementlösung ist. Denn
ein Zugang von außen ist zwar für jedes
Unternehmen wichtig. Doch können
nicht nur die eigenen Mitarbeiter einen
Weg ins Firmennetz finden, sondern auch
allerlei unliebsame Zeitgenossen interessieren sich für solche Zugänge. Ohne
strenge Richtlinien geht bei der Administration daher schnell die Übersicht verloren. Und ohne Übersicht schlüpfen ungebetene Gäste leichter durch die Abwehrgitter.
Viele Anwender nehmen Remote-Access nur während des Einwählvorgangs
wahr. Sobald die Verbindung steht, ist
für sie die Sache erledigt. Aber für ein
Remote-Access-System geht die Arbeit
mit der Einwahl erst los: Darf die Person den Einwahlzugang überhaupt benutzen? Und ist sie die, die sie vorgibt
zu sein? Um hier für die nötige Sicherheit zu sorgen, kann man eine ZweiFaktoren-Autorisierung
verwenden.
Nur wenn beide Faktoren korrekt sind,
erlaubt der Remote-Access-Server den
Zugang zum Firmennetzwerk. Doch
selbst strengste Vorkehrungen können
ausgehebelt werden. Daher obliegt es
dem Administrator, Vorkehrungen zu
treffen und im Ernstfall den Einbruch
zu erkennen. Er muß Maßnahmen ergreifen und solche Fälle abzuwehren.
Das wichtigste Werkzeug dabei sind
lückenlose Protokolle. Alles was an den
Einwahlports geschieht, sollte daher detailliert aufgezeichnet werden. Uhrzeit,
Datum, IP-Adresse, MAC-Adresse der
Netzwerkkarte, Berechtigungen – jedes
L AN line 1/2000
125
SCHWERPUNKT:
MOBILE COMPUTING
Detail kann helfen, um das System abzuschotten und Mißbrauch aufzuspüren.
MASSE UND KLASSE Die Einbindung von
Home-Office-PCs und mobilen Arbeitsplätzen in Firmennetzwerke gehört zu den
heikelsten Aufgaben der Netzwerkverantwortlichen. Dabei ist der eigentliche Zugriff technisch betrachtet gar nicht so
Notebook wählt sich über eine Telefonleitung in das Firmennetz ein. Der Begriff “PC” ist dabei mittlerweile eine
recht dehnbare Bezeichnung. Immer
mehr PDAs (persönliche digitale Assistenten) besitzen E-Mail-Funktionalität
und einen Webbrowser, verhalten sich also wie ausgewachsene Personalcomputer
und lassen sich – in Grenzen – auch
so einsetzen. Nun arbeiten viele mobile
VPN Gateway
Wählt der mobile Benutzer den Weg durch das Internet, sorgt ein VPN-Tunnel für eine
abhörsichere Kommunikation mit der Firmenzentrale
schwierig zu lösen. Die Frage ist vielmehr,
wie die wachsende Zahl der externen Clients verwaltet werden kann und wie man
das Netzwerk vor unberechtigtem Zugriff
und Mißbrauch schützt. Je größer das
Netzwerk und je sensibler die Daten, desto
existentieller ist das Sicherheitsproblem.
Ein effektives Policy-Management regelt
den Zugriff durch einzelne Benutzer auf einen Remote-Access-Server und schützt
damit das Firmennetz vor unberechtigtem
Zugriff. Remote-Access läßt sich jedoch
nicht nur über traditionelle Wählverbindungen, sondern auch über das Internet
nutzen. Hierbei entsteht ein weiteres Sicherheitsrisiko: Das Internet ist nach allen
Seiten offen, und eine sichere Verbindung
durch diese offenen Netze muß erst virtuell erzeugt werden. Durch das sogenannte
“Tunneling” bezeichnet, kreieren Virtuelle
Private Netze (VPN) geschlossene und somit geschützte Transportwege von Daten
durch das Internet. Solche VPN-Verbindungen müssen wiederum durch eine Software sowohl auf Server als auch auf Client-Seite administriert werden.
MANAGEMENT In der Regel weisen Re-
mote-Access-Anwendungen immer das
gleiche Grundmuster auf: Ein PC oder
126
L AN line 1/2000
Anwender sowohl mit einem PDA als
auch mit einem Notebook und einem
Desktop-PC. Klar, daß die Daten auf allen Geräten identisch sein müssen, also
ist eine flexible und komfortable Lösung
für deren Abgleich notwendig. Wichtig
ist dabei die Erkenntnis, daß Remote-Access nicht einfach nur ein technisches
Problem ist. Der technische Aspekt, also
die Verbindung zwischen entferntem
Client und Netzwerk aufzubauen, ist relativ einfach zu lösen. Viele Unternehmen
verfügen im Grunde über die erforderliche
Technologie. Das weitaus größere Problem stellen die Verwaltung, Sicherung
und Wartung dieser Zugriffssysteme dar.
Daher spezialisieren sich Software-Anbieter auf Management-Software für umfangreiche Remote-Access-Szenarien. Diese
Management-Software regelt die entfernte
Anbindung von Clients an Netzwerke, gewährleistet den reibungslosen Ablauf der
Datenübertragung und sichert das Netzwerk vor unberechtigtem Zugriff.
Mit der Zahl der einzubindenden externen Arbeitsplätze nimmt der Administrations- und Distributionsaufwand für die
erforderliche Software, für das Management der Zugriffe und die Pflege der
Clients erheblich zu. Man stelle sich vor:
Das Netzwerk eines mittleren bis großen
Unternehmens enthält schnell einige
hundert Clients. Bei jedem dieser Clients
muß die entsprechende Software installiert und regelmäßig gepflegt werden. Es
dürfte einleuchten, welch hoher Verwaltungsaufwand damit verbunden ist. Bei
Remote-Access-Szenarien kommt es daher nicht nur darauf an, den Server mit einer effizienten Management-Software
auszustatten, sondern auch für den Client
am anderen Ende muß gesorgt werden.
Wie man sieht, gibt es also zwei Seiten
zu betrachten, wenn man über RemoteAccess spricht: Einerseits die Verwaltungs-, Kontroll- und Schutzfunktion aus
der Sicht des Firmennetzwerks, auf das
zugegriffen wird (Remote-Access-Management). Und andererseits die zentrale
Einrichtung, Verwaltung, Kontrolle und
Pflege der Clients (Remote-Client-Management). Handhabbar werden RemoteAccess-Lösungen vielfach erst durch die
Kombination beider Aspekte, spätestens
bei einer größeren Zahl von Clients, die
sich schon vom Zeitaufwand her nicht
mehr geräteweise, vor Ort oder in der
Zentrale, bearbeiten läßt. Ein RemoteAccess-Managmentsystem sollte daher
beide Seiten umfassend bedienen.
ACCOUNTING Anwender früherer Remote-Access-Lösungen klagten vor allem über einen Kostenfaktor: zu hohe
Telefongebühren. Jede Verbindung
wurde direkt, Punkt-zu-Punkt, über eine
herkömmliche Wählverbindung (Modem, Telefon) zwischen Client und Server aufgebaut, egal über welche Distanz, auch wenn dazwischen ein Ozean
oder ganze Kontinente lagen. Heutzutage kann man sich über lokale Verbindungen in das Internet einwählen, dabei
entfallen die Gebühren für Ferngespräche, was die Telekommuniktionskosten senkt. Ein weiterer Vorteil der
neuen Technologie ist die höhere Geschwindigkeit der Datenübertragung,
durch die Verbindungszeiten reduziert
werden. Doch unabhängig davon, wie
sich die Telefonkosten reduziert haben,
legt der Controller immer noch Wert auf
eine genaue Kostenübersicht. Daher
sollte auch eine entsprechende Accounting-Software Bestandteil einer Managementlösung sein, die genaue Angaben zu den Verbindungskosten liefern
kann.
Weg von A nach B über etliche Teilnetze. Auf diesem Weg können sie abgefangen und mitgelesen werden. Datenpakete
außerhalb der schützenden Firewall sind
ohne technischen Aufwand lesbar. Das
Internet ist weitestgehend ein rechtsfreier
Raum, und es gibt keine zentrale Instanz,
die alle angeschlossenen Teilnetze beaufsichtigt. Viele der Subnetze sind privat
und werden von Firmen oder Universitäten betreut, unterliegen also dem Einfluß
unbekannter Organisationen und Personen. Daher sollte schließlich neben Management und Kostenkontrolle auch der
Sicherheitsaspekt Teil der Managementlösung sein.
FAZIT Remote-Access ist aus der heuti-
gen Geschäftswelt nicht mehr wegzudenken. Im Gegenteil, es wird sich immer mehr durchsetzen und gleichzeitig
immer komplexer und vielfältiger werden. Parallel dazu wächst der Bedarf an
Management-Software zur optimalen
Administration der Remote-Access-Lösungen. Denn nur dadurch läßt sich der
stetig wachsende Aufwand für Verwaltung und Pflege von Remote-AccessServern und Clients überhaupt bewältigen.
(Amelie Heinrichsdorff,
Michael Wehe/gh)
Dr. Amelie Heinrichsdorff ist verantwortlich für Public Relations bei Acotec. Michael Wehe ist PR-Berater für
Acotec.
SICHERHEIT Das Internet eignet sich bestens als Verbindungsmedium für Netzwerke und Computer. Der Nachteil hierbei: die Datenpakete wandern auf ihrem
L AN line 1/2000
127
SCHWERPUNKT:
MOBILE COMPUTING
DER MOBILE ADMINISTRATOR
Server-Überwachung
mit dem Handy
Um sicher zu gehen, daß jeder Web-Server rund um die Uhr verfügbar
ist, überwachen Mitarbeiter der Cybernet AG die Rechner in der
firmeneigenen Server-Farm per Handy und den Short-Message-Service
(SMS). Über ihr Mobiltelefon können die Administratoren auch
abgestürzte Server neu starten.
n der Web-Farm der Cybernet AG am
Münchner Rosenkavalierplatz laufen
rund 100 Server, die namhafte Firmen dem
Internet-Service-Provider (ISP) anvertraut
haben. Zu den Unternehmen, die ihre Server zur Rund-um-die-Uhr-Überwachung
und Vermeidung von Personalkosten außer
Haus geben, zählen unter anderem ein Automobilkonzern und zahlreiche Finanzdienstleister. Bei etwa 70 Servern ist die
I
MOBILER ADMINISTRATOR Der für die
Server-Überwachung zuständige Mitarbeiter aus dem Support-Team muß jedoch
am Abend nicht im Büro ausharren. Er
kann sich guten Gewissens im Biergarten
mit Freunden treffen, sofern er in einer halben Stunde seinen Arbeitsplatz erreichen
kann. Denn es genügt, wenn er auf seinem
Handy eingehenden SMS-Meldungen
liest. Erreicht ihn beispielsweise die Nach-
Der SMS-Gateway ist das Bindeglied zwischen dem SMS-Center des Mobilfunknetzbetreibers und dem lokalen Netzwerk
Überwachung aufgrund kritischer Prozesse
oder vertraglicher Übereinkünfte permanent erforderlich. Um das Versprechen der
hundertprozentigen Verfügbarkeit der
Web-Server gegenüber den Kunden einzulösen, ist Cybernet nicht nur über ein
Call-Center (First Level Support) erreichbar. Im Second Level Support teilt sich das
Team von Operationsmanager Michael Simon eine 7-mal-24-Stunden-Bereitschaft.
128
L AN line 1/2000
richt “red host HTTP connection to
www...”, so muß der Mitarbeiter nicht
gleich hektisch ins Büro zu fahren. Mit einer
SMS und dem Befehl “remote shutdown”
fährt er einfach das betroffene System über
sein Handy herunter und stößt mit “reset”
einen Neustart an. Systemabstürze sind die
Fehler, die in Server-Farmen am häufigsten
auftreten. Über das Mobiltelefon erzielen
jetzt auch diejenigen Team-Mitglieder, die
gerade auf Dienstreise sind, sehr kurze Reaktionszeiten bei der Überwachung und
beim Neustart der Rechner. Neben den sieben Mitarbeitern aus dem Team von Operationsmanager Michael Simon nutzen bereits etwa 20 Kunden der Cybernet AG das
Handy, um jederzeit und von jedem beliebigen Ort aus mit ihrem Web-Server in
Kontakt zu treten.
Alle Abfragen und Befehle über das
Mobiltelefon an die Cybernet-Server laufen dabei über das Gateway “SMS-Message-Center” der Münchner Software-Firma
Solutions E.T.C. Das SMS-Message-Center ist im Gegensatz zur Masse der SMSProdukte in der Lage, Befehle von einem
Mobiltelefon via SMS an einen Rechner zu
übermitteln. Jedes Mail-fähige System
kann mit dem Gateway von Solutions
E.T.C. kommunizieren. Das SMS-Message-Center überträgt die Kurznachrichten
mit maximal 160 alphanumerischen Zeichen nicht nur über ISDN- oder X.25-Netze (Datex-P), sondern auch über ein GSMModem in die Mobilfunknetze.
ARCHITEKTUR Die Einbindung der be-
treuten Server in die Überwachung – die
Cybernet AG setzt das Unix-SharewareTool “Big Brother” ein – erfolgt über ein
Konto auf einem POP3-Mail-Server. Treten an einem überwachten Server Fehler
auf, so leitet Big Brother die Alarmmeldungen per E-Mail an den Mail-Server
weiter. Das SMS-Gateway holt diese
Nachrichten dort ab und versendet sie an
die im Betreff angegebene Handy-Nummer. Die Abbildung zeigt die prinzipielle
Funktionalität des Gateways: Die an ein
sogenanntes Front-end (in diesem Fall
POP3) angelieferten Nachrichten werden
dort protokolliert und in eine Warteschlange eingestellt. Dabei kommt ein semipersistentes Queuing-Modell zum Einsatz, bei
dem die Warteschlangen über das sogenannte Memory Mapping nicht nur im
Speicher, sondern auch auf der Festplatte
abgebildet werden. Dadurch kann keine
Nachricht verlorengehen, und nach einem
Wiederanlauf, beispielsweise nach einem
Stromausfall, werden die noch nicht versendeten Nachrichten weiterbearbeitet.
Der auf die Front-ends folgende Router
Der Message-Router des SMS-Gateways übernimmt die Verteilung der Kurznachrichten
auf die verschiedenen Kommunikationskanäle der Back-ends
übernimmt die Nachrichten und verteilt sie
auf die Warteschlangen. Dabei stehen ihm
unterschiedliche Regeln wie Zielnetz (D1,
D2, E-Netz – ermittelt aus der Empfängerrufnummer), Verfügbarkeit des Back-ends
sowie aktuelle Auslastung und eine innerhalb des Systems mögliche Priorität zur
Verfügung. Mit dieser Priorität lassen sich
Nachrichten aus einer bestimmten Quelle
vor anderen Nachrichten wie allgemeine
Weiterleitung von E-Mails an SMS-Empfänger in die Warteschlangen einstellen.
Das Back-end versendet die Nachricht
dann über das ihm zugeteilte Gerät (Modem, GSM-Modem, X.31- beziehungsweise X.25-Modem oder ISDN-Karte) an
den Empfänger. Gleichzeitig werden die
Nachrichten hier wieder protokolliert. Das
Back-end nimmt natürlich auch Nachrichten aus dem GSM-Netz entgegen, die dann
über den Router an das entsprechende
Front-end weitergegeben werden. In den
Back-ends sind die für den Anschluß an
das jeweilige GSM-Netz notwendigen
Protokolle implementiert: PDU (Protocol
Description Unit), TAP (Telecator Alphanumeric Protocol), UCP (Universal Computer Protocol), SMPP (Short Message
Peer-to-Peer). Auch unterschiedliche
Transportwege (X.25, TCP/IP, TCP/IP
über X.25 etc.) können realisiert werden.
Um nun einen Befehl wie beispielsweise “restart” auf einem der Server abzusetzen, muß die vom Handy eingehende
Nachricht an das “Command-Front-end”
weitergeleitet werden. Die notwendige Information entnimmt der Router hier der
Absenderkennung (Rufnummer des Handys). Das Front-end überprüft die Absenderkennung und ein zusätzlich zu übermittelndes Paßwort. Damit ist es nur autorisierten Benutzern möglich, einen entsprechenden Zugang zu erhalten. Der übermittelte Befehl wird anschließend in einem
vom Front-end eröffneten Prozeß ausgeführt. Natürlich kann an dieser Stelle auch
ein Programm oder Script aufgerufen werden. Allerdings sind keinerlei Rückmeldungen bis auf den “exit status” des Prozesses möglich. Dieser wird per SMS an
das rufende Handy zurückgemeldet. Eine
Befehlszeile auf dem Handy sieht dann
beispielsweise so aus: “Passwort!rcontrol
shutdown\server1” (“rcontrol” ist in diesem Fall ein Script, und die beiden folgenden Begriffe sind die dazugehörigen Parameter). Die Rückmeldung an das Handy
lautet dann zum Beispiel: “Process completion with exit code 0”. Um den Kaltstart der
Web-Server vom Handy aus zu ermöglichen, baute Cybernet in die 19-Zoll-Racks
eine Schalterlösung mit einem Relay ein.
Über die serielle Schnittstelle des SMSGateways läßt sich mit einem entsprechenden Programm die Stromversorgung oder
der Hardware-Reset der Rechner schalten.
senden, genügt freilich noch nicht für die
Überwachung einer Server-Farm per Mobilfunk. Cybernet hat daher das Gateway
um eine Art Firewall ergänzt. So wird bei
eingehenden Anrufen über eine Datenbankabfrage nicht nur die Caller-ID (Rufnummer des Handys) sowie in der SMS enthaltene Paßwort überprüft, sondern es stehen
auch jedem berechtigten Benutzer nur bestimmte Befehle und Parameter zu Verfügung. Damit kann verhindert werden daß
der Administrator der Server-Gruppe A
auf andere Server innerhalb der Farm zugreifen kann. Stimmt auch nur ein Parameter nicht mit den Angaben in der Datenbank überein, bricht das SMS-Gateway
den Kontakt zum Handy kommentarlos ab.
Unbefugte Eindringlinge erhalten auf diese Weise keine Möglichkeit, aus Antworten vom SMS-Gateway irgendwelche
Rückschlüsse zu ziehen.
(Thomas Lemmer/gh)
Dr. Thomas Lemmer ist Geschäftsführer
von Solutions E.T.C. in München
SICHERHEIT Allein die Fähigkeit, Nach-
richten von einem Rechner mit einem Handy zu empfangen und Befehle zurückzu-
L AN line 1/2000
129
SCHWERPUNKT:
MOBILE COMPUTING
Marktübersicht: GSM-Adapter
Treiberunterstützung
Hersteller
Produktname
Abocom
GFM 560
●
●
●
● ● ●
AVM
AVM Mobile ISDN-Controller M1
●
● ● ●
● ● ● ● ●
AVM Mobile ISDN-Controller M2
●
Compaq
Funktionen und Protokolle
Optionale unterFunktionen stützte
Netze
CPC-Card Typ I
CPC-Card Typ II
CPC-Card Typ III
eunterstützt PC-Card Standard
eunterstützt CardBus Standard
öbenötigt externes Telefon
MGSM-Telefon ist integriert
Anschluß von
Sprechgarnitur möglich
S DOS
dWindows 3.x
dWindows 95
dWindows 98
dWindows NT
dWindows 2000
dWindows CE
ux
Linux
cO
MacOS
eDaten 9600 Bit/s
g Upgrade auf 14,4 kBit/s möglich
mKompression nach V.42bis
Fax G3 Senden u. Empfangen
Fax Class 1
Fax Class 2
1V.110 transparent
mKompression nach MNP 5
leFehlerkorrektur MNP 4
leFehlerkorrektur RLP
eUnterstützung Full/Half Rate
efTelefonbuch (ETSI GSM 07.05)
S SMS (ETSI GSM 07.05)
NPSTN V.32
NPSTN V.34
NPSTN K56flex
NPSTN V.90
NISDN
e Ethernet
MGSM 900 (D-Netz)
MGSM 1800 (E-Netz)
MGSM 1900 (USA)
Kartentyp
SpeedPaq GSM PC Card
● ● ●
● ● ●
● ● ● ● ● ●
● ●
●
●
●
● ● ●
●
●
● ● ● ● ● ●
● ● ● ●
●
● ●
●
● ●
●
● ●
● ●
● ● ● ●
● ●
●
● ●
●
● ●
●
● ● ● ● ● ● ● ●
● ●
●
●
● ● ● ●
● ● ● ● ● ●
● ●
Modem
D-Link
DM-560 GSM
●
●
● ● ● ● ●
Digi International
Datafire Go! Pro
●
●
Ericsson
GC 25
●
IMK
I-Kurier+ 56K+GSM
●
●
● ● ● ● ●
●
● ● ● ● ● ● ● ● ● ● ●
●
I-Link+ 56K+LAN+GSM
●
●
● ● ● ● ●
●
● ● ● ● ● ● ● ● ● ● ●
● ● ● ●●
Nokia
Card Phone 2.0
●
Option International
Firstfone
●
●
GSM Only
●
●
●
● ● ● ● ●
GSM-Ready 33.6
●
●
●
GSM-Ready 56K
●
●
●
GSM-Ready 56K/ISDN
●
●
● ● ●
GSM-Ready Cellular Only
●
●
●
● ● ●
●
● ●
●
PC 70
●
●
●
● ● ● ● ●
●
● ●
PC 80
●
●
●
● ● ● ● ●
●
●
●
●
●
●
●
● ● ●
●
● ● ●
●
● ● ●
●
●
●
● ● ● ● ●
● ● ● ●
●
● ● ● ●●
●
●
● ● ● ● ● ● ● ● ● ● ● ● ●
● ● ● ● ●
● ●●
● ●
● ● ● ● ● ●
● ● ●
● ●
●
●
● ●
●
● ●
● ● ●
● ● ●
● ●●
● ● ●
●
● ●
●
● ●
●
●
● ● ● ●
● ●●
● ● ●
●
● ●
●
● ●
●
● ● ● ● ● ● ● ●
● ●●
●
●
Snap-On für Palmpilot
● ●
● ●
●
● ● ● ● ● ● ● ● ● ● ●
● ●●
● ●
●
● ●●
●
● ●
● ● ●
● ●
● ●
● ●●
●
● ●
● ● ●
● ●
● ● ●
● ●●
● ● ● ● ● ● ● ● ● ●
● ●
●
● ●
● ● ● ●
● ●●
Panasonic
EB-PAD 70
●
Portable Add-Ons
Freespirit Global 56K V90
●
●
●
● ● ● ● ● ● ●
●
●
● ● ● ● ● ●
Netmobile Fast
●
●
●
● ● ● ● ● ●
●
●
●
● ● ● ●
● ● ● ● ● ● ● ● ● ●●
Netmobile Fast Card
●
● ● ●
● ● ● ● ● ●
●
●
●
● ● ● ●
● ● ● ● ● ● ● ● ● ●●
Gold Card Global GSM/PCS
●
●
●
● ● ● ● ●
● ● ● ● ● ● ● ● ● ● ● ● ● ●
●
● ●●
●
●
●
● ● ● ● ●
● ● ● ● ● ● ● ● ● ● ● ● ● ●
●
● ●●
Psion Dacom
● ●
● ●
● ●
● ●
● ● ● ● ●
● ●●
1900
Global GSM/PCS 1900Upgrade
Siemens
M 20
●
TDK
Global Freedom analoges
●
●
●
● ●
●
●
●
● ● ●
●
●
● ● ●
●
●
●
● ●
●
● ● ● ● ●
● ● ●
● ●
● ●
● ● ● ●
●
●
● ●
● ●●
● ● ● ●
●
● ● ● ● ● ● ● ● ● ●●
●
● ●
●
● ●
● ● ● ● ● ●●
● ●●
Modem V.90+ GSM
Global Pro ISDN V.90 analog
+ISDN+GSM
GSM Data PC-Card Serie
● ●
●
●
6000
●
●
●
Credit Card GSM
●
●
●
GSM-Connection Kit
● ● ● ● ●
Pro Digital 10/100 LAN
● ●
●
+GSM+ISDN
Xircom
130
LANline 1/2000
●
● ● ● ●
● ● ● ● ● ●
●
●
●
● ●
●
●
● ● ● ● ● ● ● ● ● ●●
Anbieter: GSM-Adapter
Hersteller/Anbieter
Abocom
AVM
Compaq
D-Link
Digi
Digi/CDS
Ericsson
IMK/ICS
Nokia
Option International
Option International/IME
Option International/
Nova Media
Panasonic
Psion Dacom
Portable Add-Ons
Siemens
TDK
TDK/IME
Xircom
Xircom/CDS
Telefon
Produkt
001/886/578-9090 GFM 560
030/39004404
AVM Mobile ISDNController M 1
AVM Mobile-ISDNController M 2
0180/3221221
SpeedPaq GSM PC
Card Modem
06192/971121
DM-560 GSM
0231/9747-0
Datafire Go! Pro
02303/25009-0
Datafire Go! Pro
0180/3242220
GC 25
02181/29570
I-Kurier+ 56K+GSM
I-Link + 56K+LAN+
GSM
0211/90895-197 Card Phone 2.0
089/212676-66
Firstfone
GSM Only
GSM-Ready 33.6
GSM-Ready 56 K
GSM-Ready 56 K/
ISDN
GSM-Ready Cellular
Only
PC 70
PC 80
06821/9074-60
Firstfone
GSM-Ready 33.6
GSM Ready 56 k
GSM-Ready 56 k/
ISDN
GSM-Ready Cellular
Only
Snap-On für Palmpilot
030/3909040
Firstfone
GSM-Only
GSM-Ready
GSM-Ready 56 K
Snap-On für Palmpilot
040/8549-0
EB-PAD 70
06172/663-250
Gold Card Global
GSM/PCS 1900
Global GSM/PCS
1900-Upgrade
0044/1256/361333 Freespirit Global
56 K V.90
Netmobile Fast
Netmobile Fast Card
0180/5333226
M 20
02102/487-216
GSM Data PC-Card
Serie 6000
Global Freedom
analoges Modem
V.90+GSM
Global Pro ISDN
V.90 analog +ISDN
+GSM
Pro Digital 10/100
LAN+GSM+ISDN
06821/9074-60
Global Freedom
analoges Modem
V.90+GSM
Global Pro ISDN
V.90 analog+ISDN+
GSM
Pro Digital 10/100
LAN+GSM+ISDN
089/60768346
Credit Card GSM
GSM-Connection Kit
02303/25009-0
Credit Card GSM
Preis in DM
k. A.
980
1480
k. A.
k. A.
895
k. A.
829
456
861
749
775
223
233
330
546
233
516
749
775
241
335
559
223
223
689
223
749
516
172
602
394
249
k. A.
k. A.
k. A.
602
453
649
749
900
387
646
559
426
278
k. A.
LANline 1/2000
131
Informationen schnell per
Inserenten
Inserent
Seite
Kennz.
Acer
AddOn
ADN
Akademie f. Netzwerksicherheit
Aladdin
ARTHUR ANDERSEN
Articon
Atlantik Systeme
AVM
Check Point Software
Compaq
Compaq
Compu-Shack
Computer Competence
ComputerLinks
ComputerLinks
CompuTrain
Connect
Consultix
Crocodial
CSG
CyberGuard
Cybex
Dafür
Dakota
dc congresse
Debis Systemhaus
DEUTSCHE PEROT SYSTEMS
Deutsche Telekom
D-Link
33
51
145
145
29
134
146
39
2
155
4/5
156
31
146
21
145
146
7
53
146
146
79
47
55
131
101
138
139
13
9
019
028
016
062
022
001
002
005
003
018
012
006
029
043
026
030
058
052
067
068
009
007
Inserent
Seite
DV-Job.de
132
DV-Markt
132
edcom
146
Eicon Technology
111
ELSA
15
Enterprise
71
Ergotron
30
FiberLan
89
GeNUA
77
Huber + Suhner
146
HUK-COBURG
140
IBM
61
Icon
83
Infratec plus
103
Innominate
142
LANDIS
145
LANworks
145
Legato
43
Loewe Opta
136
Logica
138
MCI WorldCom Deutschland
135
MCI WorldCom Deutschland
143
Multimatic
70
NETCOMM
67
NetGuard
75
Object Masters
144
ODS
99
OpenCom Informationstechnologie142
Overland Data
37
Pan Dacom
23
Kennz.
060
059
054
010
039
017
047
042
069
033
045
053
072
024
064
066
063
073
038
036
040
074
051
071
021
013
Inserent
Seite
Panduit
65
Pentair
48/49
Ponsit Information Technologies 144
PwC Deutsche Revision
141
RADWARE
45
Raritan
57
RBR Networks
95
Reichle & De-Massari
59
S&N
145
Secure
124
SEH
63
Seicom
3
Senetco
35
Servonic
127
Siemens
91
SoftService
123
Software AG
137
TDK
27
Telemation
11
The Bristol Group
76
TIM
25
TLK
41
Trefz & Partner
146
ZyXel
19
Kennz.
035
027
075
070
025
031
050
032
056
034
004
020
057
048
055
065
015
008
041
014
023
011
Beilagen und Beihefter
Articon Information
Recherche im WEB
Web: Sie suchen in unserer Online-Datenbank
die für Sie interessanten Produkte. Dann entscheiden Sie, in welcher Form Sie kontaktiert
werden möchten. Wir leiten Ihre Anfrage an
den Ansprechpartner weiter, der Sie dann auf
dem von Ihnen gewünschten Weg kontaktiert.
Und so funktioniert LANline Info: Unter
http://www.lanline.de/info
Der Web-Kennzifferndienst LANline Info
macht die gezielte Suche im WWW so komfortabel und schnell wie nie zuvor. Dieses Tool
funktioniert im Prinzip wie das Leser-Info-Fax,
das den LANline-Lesern ja seit Jahren vertraut
ist, allerdings mit erheblich erweiterten Möglichkeiten und allen Vorteilen des World Wide
wählen Sie zunächst aus, in welcher Ausgabe
der LANline Sie recherchieren möchten. Dann
wählen Sie eine oder mehrere Produktkategorien aus. Alternativ können sie, falls Sie schon
genau wissen, wofür Sie sich interessieren,
direkt den Namen des Anbieters eingeben.
Zusätzlich steht Ihnen noch die Option “Alle
Anzeigen und redaktionellen Beiträge” zur
Verfügung. Drücken Sie die Schaltfläche
“Weiter”, um Ihre Abfrage zu starten.
Das System stellt nun eine Liste aller Inserenten und redaktionellen Beiträge zusammen,
die Ihren Suchkriterien entsprechen. Wenn die
Firma eine eigene Website besitzt, dann ist der
Firmenname in der linken Spalte mit einem
Hyperlink unterlegt. Damit kommen Sie direkt
auf die Web-Seiten des Anbieters. Wichtig für
Ihre Info-Anforderung sind die letzten vier
Spalten. Hier können Sie bei jeder Firma ankreuzen, ob Sie weitere Informationen per EMail, Post, Fax oder Telefon erhalten möchten.
Selbstverständlich können Sie hier mehr als eine Firma ankreuzen. Auf diese Weise können
Sie ohne zusätzlichen Aufwand gleich mehrere
Anfragen generieren.
Bei der erstmaligen Benutzung von LANline
Info drücken Sie jetzt einfach den “Weiter”Button und gelangen damit zur Eingabemaske
für Ihre Kontaktinformationen. Noch schneller
geht es, wenn Sie das System schon einmal benutzt haben. Dann reicht die Eingabe Ihrer EMail-Adresse aus, und ihre Daten werden automatisch ergänzt.
Wenn Sie jetzt “Weiter” drücken, gelangen
Sie auf eine Bestätigungsseite, und das System
generiert für jeden der von Ihnen angekreuzten
Anbieter eine Anfrage, die per E-Mail an den
zuständigen Ansprechpartner verschickt wird.
Dieser setzt sich mit Ihnen auf dem von Ihnen
gewünschten Weg in Verbindung. Auf der Bestätigungsseite finden Sie außerdem eine kleine
Online-Umfrage, deren Ergebnisse uns dabei
helfen, die LANline auch weiterhin mit den
richtigen und wichtigen Informationen für Sie
zu füllen.
(Frank-Martin Binder/rhh)
Info-Fax oder Internet
▲
● Tragen Sie die entsprechende Kennziffer unter www.lanline.de/info an der vorgesehenen Stelle ein und Sie
gelangen direkt und ohne Umwege zu Ihren gewünschten Zusatzinformationen.
●Info-Fax
# 023
▲
●Info-Fax
▲
Der moderne Weg zu detaillierten Informationsmaterial zu der in dieser Ausgabe veröffentlichten Anzeigen.
www.lanline.de/info
▲
● Selbstverständlich haben Sie nach wie vor die Möglichkeit, weitere Anzeigen-Produkt-Infos mit dem untenstehenden Faxformular abzurufen. Einfach ausfüllen und an die Fax-Nummer 08621/97 99 60 faxen. Zum schnellen Überblick haben wir
alle inserierenden Firmen auf der gegenüberliegenden Seite aufgelistet.
# 023
www.lanline.de/info
An AWi-Verlag
LANline-Leserservice
Edith Winklmaier
Herzog-Otto-Str. 42
83308 Trostberg
ine
l
N
L A 2000
1/
Meine Anschrift lautet:
Ich möchte Informationsmaterial zu Anzeigen mit folgenden
Kennziffern (siehe nebenstehende Übersicht):
Firma
Abteilung
1.
2.
3.
4.
5.
6.
Vorname/Name
Straße/Nummer
PLZ/Ort
7.
8.
9.
10.
11.
12.
Telefon
Fax
Meine Funktion: (bitte ankreuzen) ❑ Spezialist ❑ Gruppen-/Abteilungsleiter ❑ Einkauf ❑ Unternehmensleitung ❑
Mein Unternehmen beschäftigt:
❑ 1 bis 19 Mitarbeiter
❑ 100 bis 249 Mitarbeiter
❑ über 1000 Mitarbeiter
❑ 20 bis 49 Mitarbeiter
❑ 250 bis 499 Mitarbeiter
Mein Unternehmen gehört zu folgender
Branche:
❑ Elektroindustrie
❑ Maschinenbau
❑ Fahrzeughersteller und -zulieferer
❑ Chemisch pharmazeutische Industrie
❑ Transport- und Logistikbranche
❑ Geldinstitute/Bausparkassen
❑ Versicherungswesen
❑ Reise- und Touristikbranche
❑ Handel und Dienstleistungen
❑ Öffentliche Verwaltung
❑ Hochschulen und Forschungsinstitute
❑ Nahrungs- und Genußmittel
❑ 50 bis 99 Mitarbeiter
❑ 500 bis 999 Mitarbeiter
Ich interessiere mich für folgende Computer- und Kommunikationssysteme:
Betriebssysteme:
Hardware:
❑ MS-DOS
❑ VMS/OpenVMS
❑ Windows
❑ OS/2
❑ Windows NT
❑ Ultrix
❑ UNIX
❑ OSF/1
❑ System 7
❑ Windows 95
❑ IBM
❑ DEC
❑ HP
❑ Sun
❑ Siemens
❑ Apple
❑ RISC-Systeme
❑ andere:
Kommunikationssysteme/
-lösungen:
❑ DECnet
❑ Novell-NetWare
❑ Banyan Vines
❑ LAN Manager/LAN Server
❑ PC-Host-Verbindung
❑ Pathworks
❑ ISDN/WANs
❑ Windows NT
Advanced Server
❑ andere:
Damit Hersteller und Anbieter von Produkten, für die ich mich interessiere, meine Kennziffernanfragen so gezielt wie möglich beantworten können, bin ich damit einverstanden, daß
diese Daten elektronisch gespeichert und weitergegeben werden.
Ort, Datum
Unterschrift
VORSCHAU
2/2000
erscheint am
21.01.1999
VIER HARDDISKS
IM VERGLEICHSTEST:
18 und 36 GByte mit
10.000 Umdrehungen
AUSFALLSICHERHEIT
MARKTÜBERSICHTEN:
UNTERBRECHNUNGSFREIE
STROMVERSORGUNGEN
(USVS),
HARDDISKS FÜR
SERVER-SYSTEME
ANALYSE IN TCP/IP-NETZEN:
Einführung in die
Netzwerkanalyse
(Teil 3)
INTELS KÜNFTIGE
PROZESSORARCHITEKTUR:
IA-64 auf der Basis
von EPIC-Technologie
MASSENSPEICHERSYSTEME
I M P R E S S U M
HERAUSGEBER:
Eduard Heilmayr (he)
REDAKTION:
Rainer Huttenloher (Chefredakteur) (rhh)
Stefan Mutschler (Chefredakteur) (sm)
Doris Behrendt (db)
Dr. Götz Güttich (gg)
Georg von der Howen (gh)
Kurt Pfeiler (pf)
Marco Wagner (mw)
STÄNDIGER MITARBEITER:
Thomas Schepp
AUTOREN DIESER AUSGABE:
Ulrich Averesch, Frank-Martin Binder, Jürgen Brand,
René Baltus, Werner Degenhardt, Kai-Oliver Detken,
Hartmut Giesen, Steffen Gundel, Prashant Gupta,
Dr. Magnus Harlander, Amelie Heinrichsdorff, Thorsten
Jüngling, Dr. Thomas Lemmer, Thomas Madsen, Peter Meuser, Christine Reckziegel, Andreas Roeschies, Oliver Thewes,
Frank R. Walther, Michael Wehe, Marc-Bernd Woop
REDAKTIONSASSISTENZ
Edith Klaas, Tel.: 0 89/4 56 16-101
REDAKTIONSANSCHRIFT:
Bretonischer Ring 13, 85630 Grasbrunn,
Fax: 0 89/4 56 16-200
LANline-Compuserve-ID: lanline@compuserve.com
http://www.lanline.de
LAYOUT, GRAFIK UND PRODUKTION:
Carmen Voss, Tel.: 089/45616-212,
Edmund Krause (Leitung)
ANZEIGENDISPOSITION:
Carmen Voss, Tel.: 089/45616-212
Sandra Pablitschko, Tel.: 089/45616-108
TITELBILD:
Wolfgang Traub
ANZEIGENVERKAUF:
Christine Endres (Leitung), Tel.: 0 89/456 16-106
E-Mail: ce@lanline.awi.de
Anne Kathrin Latsch, Tel.: 089/456 16-102
E-Mail: la@lanline.awi.de
154
L AN line 1/2000
LANline Spezial:
CeBIT-Messeheft
Aus- und Weiterbildung
erscheint am
22.02.2000
ANZEIGENVERKAUFSLEITUNG AWI
Cornelia Jacobi, Tel.: 0 89/71 94 00 03
E-Mail: cj@awigl.awi.de
ANZEIGENPREISE:
Es gilt die Preisliste Nr. 11 vom 1.1.1999
ANZEIGENASSISTENZ:
Davorka Esegovic, Tel.: 0 89/4 56 16-156
ANZEIGENVERWALTUNG:
Gabriele Fischböck, Tel.: 0 89/45616-262
Fax: 089/45616-100
ERSCHEINUNGSWEISE:
monatlich, 12 Ausgaben/Jahr zuzüglich 6 Themenhefte
ABONNEMENT-BESTELL-SERVICE:
Vertriebs-Service LANline
Edith Winklmaier,
Herzog-Otto-Str. 42,
83308 Trostberg,
Tel. 0 86 21/64 58 41,
Fax 0 86 21/6 27 86
Zahlungsmöglichkeit für Abonnenten:
Bayerische Vereinsbank München
BLZ 700 202 70
Konto-Nr. 32 248 594
Postgiro München
BLZ 700 100 80
Konto-Nr. 537 040-801
VERTRIEB EINZELHANDEL:
MZV, Moderner Zeitschriften Vertrieb,
Breslauer Str. 5, 85386 Eching
BEZUGSPREISE:
Jahresabonnement Inland: 148,– DM
Ausland: 174,– DM (Luftpost auf Anfrage)
Vorzugspreise DM 110,- (Inland), DM 121,80 (Ausland) für
Studenten, Schüler, Auszubildende und Wehrpflichtige – nur
gegen Vorlage eines Nachweises (Immatrikulations-/ Schulbescheinigung o.ä.).
Sollte die Zeitschrift aus Gründen, die nicht vom Herausgeber zu vertreten sind, nicht geliefert werden können, besteht
kein Anspruch auf Nachlieferung oder Erstattung vorausbezahlter Bezugsgelder.
VORSCHAU auf kommende
LANline-Schwerpunkte
Ausgabe
Erscheint Schwerpunktthemen
am
Redaktionsschluß
03/2000 11.02.
2000
Zugangstechnologien, 14.12.
E-Commerce-Dienst- 1999
leister, Netzwerkbetriebssysteme
Sonder- 22.02.
heft
2000
LANline Spezial:
04.01.
CeBIT-Messeheft
2000
Aus- und Weiterbildung
04/2000 31.03.
2000
Converged Networks,
Server- und Clusterlösungen
05/2000 28.04.
2000
Verkabelung, Optische 10.03.
Speichertechnologien 2000
11.02.
2000
Wenn Sie zu einem oder mehreren dieser Themen einen Beitrag
schreiben möchten, rufen Sie uns einfach an: 089/456 16-101
SONDERDRUCKDIENST:
Alle in dieser Ausgabe erschienenen Beiträge sind in Form
von Sonderdrucken erhältlich. Anfragen richten Sie bitte an
Edmund Krause, Tel.: 0 89/4 56 16-240 beziehungsweise
Fax: 0 89/4 56 16-250
DRUCK:
R. Oldenbourg Graphische Betriebe Druckerei GmbH, Hürderstr. 4,
85551 Kirchheim/Heimstetten
URHEBERRECHT:
Alle in der LANline erscheinenden Beiträge sind urheberrechtlich geschützt. Alle Rechte, auch Übersetzungen, vorbehalten.
Reproduktionen, gleich welcher Art, nur mit schriftlicher Genehmigung des Herausgebers.
Aus der Veröffentlichung kann nicht geschlossen werden, daß
die beschriebenen Lösungen oder verwendeten Bezeichnungen frei von gewerblichem Schutzrecht sind.
© 1999 AWi LANline Verlagsgesellschaft mbH
MANUSKRIPTEINSENDUNGEN:
Manuskripte werden gerne von der Redaktion angenommen.
Mit der Einsendung von Manuskripten gibt der Verfasser die
Zustimmung zum Abdruck. Kürzungen der Artikel bleiben
vorbehalten. Für unverlangt eingesandte Manuskripte kann
keine Haftung übernommen werden.
VERLAG:
AWi LANline Verlagsgesellschaft mbH
Ein Unternehmen der AWi Aktuelles Wissen Verlagsgesellschaft mbH, Bretonischer Ring 13, 85630 Grasbrunn
Web: http://www.awi.de
Geschäftsführer: Eduard Heilmayr, Cornelia Jacobi
ISSN 0942-4172
i
v
w
Mitglied der Informationsgemeinschaft
zur Feststellung der Verbreitung von
Werbeträgern e.V. (IVW).
Bad Godesberg
Mitglied der Leseranalyse
Computerpresse 1999