docDas Magazin für Netze, Daten- und Telekommunikation
download 
Report Transcription
Das Magazin für Netze, Daten- und Telekommunikation
DM 14,- ÖS 110,- Sfr. 14,- Nr. 9, September 2000 9 Das Magazin für Netze, Daten- und Telekommunikation www.lanline.de Das sichere Netz Strategien Strategien gegen gegen Skriptvirenattacken Skriptvirenattacken Das Magazin für Netze, Daten- und Telekommunikation September 2000 September 2000 Das sichere Netz/Drahtlose Kommunikation Sicherheit Sicherheit Made Made in in Germany: Germany: VPNs VPNs ohne ohne Hintertür Hintertür Gute Gute Cookies, Cookies, schlechte schlechte Cookies Cookies mit mit Marktübersicht Marktübersicht Antiviren-Software Antiviren-Software Im Test: Etherpeek 4.02 LAN-Analysator für Einsteiger SwitchMonitoring SMON auf dem Vormarsch Schwerpunkt: Drahtlose Kommunikation Von Bluetooth bis Hiperlan 09 4 398039 714002 B 30673 ISSN 0942-4172 EDITORIAL 151. AUSGABE Stefan Mutschler Chefredakteur TELEFONIEREN BALD UMSONST? Seit gut 30 Monaten tobt er nun – der Wettbewerb in der Telekommunikation. Und das sehr zum Vorteil der Anwender: Waren bis vor wenigen Jahren zu den Hauptzeiten beispielsweise noch knapp 70 Pfennige pro Minute für ein innerdeutsches Ferngespräch zu zahlen, telefoniert man heute für etwa neun Pfennige pro Minute bis in die USA – und zwar rund um die Uhr. Derzeit laufen Aktivitäten auf Hochtouren, um der Deutschen Telekom auch bei ihrem “Allerheiligsten”, dem Zugang in die Häuser (“letzte Meile”), massiv Konkurrenz zu machen. Als eine der vielversprechendsten Technologien, der Telekom die Hoheit im Ortsnetz streitig zu machen, scheint sich der Richtfunk zu entwickeln. Unternehmen wie Viag Interkom und Callino bauen mit Hochdruck an entsprechenden Infrastrukturen – zunächst vorwiegend für die Anbindung von Unternehmen. Aber es kommt noch dicker: die Konvergenz von Sprache und Daten in IP-Netzen zeigt nun auch außerhalb der firmeneigenen Netze erste einschneidende Resultate. Mit Acris hat kürzlich ein europaweit agierendes TK-Unternehmen seinen Dienst aufgenommen, das Telefongespräche im Ortsbereich in sein eigenes IP-Netz leitet und über dieses bis zum Ortsbereich des Gesprächspartners transportiert. Dort wird es wieder in das konventionelle Telefonnetz eingespeist. Ergebnis: Jedes dieser Telefonate kostet im Wesentlichen nur den Ortstarif. Und weitere Anbieter wie GTS, Level 3 oder die Bertelsmann-Tochter Mediaways, um nur einige zu nennen, stehen in den Startlöchern. Selbst die Deutsche Telekom will, wenn sie denn VoIP nicht verhindern kann, hier zum bedeutenden Player werden. Erste Pilotprojekte laufen derzeit in Niedersachsen. Der große Trend, der sich aus dieser Entwicklung ableiten lässt, führt zu einer völlig neuen Denkweise was Kommunikationskosten und Art der Tarifierung betrifft. Bezahlt wird künftig wohl nicht mehr für Leitungen oder Verbindungen sondern primär für Dienste. Bei entsprechender Bepreisung für Mehrwertdienste sowohl im Sprach- (etwa Auskunfts- oder Unterhaltungs-Services) als auch im Internet-Bereich (zum Beispiel garantierte Bandbreiten oder E-Commerce-Dienstleistungen) könnte “bloßes” Telefonieren und schlichtes Umher-Surfen im Internet kostenfrei mitlaufen. Beides würde damit quasi zum Grundrecht jeden Bürgers, ähnlich Radio und Fernsehen. Und Unternehmen hätten durch die Wahl zugelassener Services verbesserte Kalkulationsmöglichkeiten für den großen Posten Telekommunikation. Noch ist die öffentliche IP-Telefonie (nicht zu verwechseln mit der bezüglich Service-Qualitäten völlig unberechenbaren Internet-Telefonie) erst am Anfang, aber spätestens mit Acris ist sie nun auch in Deutschland Realität. Sie wird der gesamten TK-Szene neue Impulse geben, von denen Anwender schnell profitieren können. (sm@lanline.awi.de) www.lanline.de LANline 8/2000 3 INHALT Im Test: Cheetah X15 von Seagate, das erste Festplattenlaufwerk mit einer Rotationsgeschwindigkeit von 15.000 UPM (Seite 42) Im Test: Das Remote-Control-Programm Timbuktu Pro 2000 eignet sich zur Fernsteuerung in gemischten MacOS-/WindowsUmgebungen (Seite 74) netzMARKT Lucent Enterprise Networks jetzt Avaya: Besonderer Fokus auf Verkabelung.....8 netzTOOLBOX Im Test: Timbuktu Pro 2000: Fernsteuerung von MacOS und Windows.............................................74 Sprache und Internet im Paket: Ferngespräche zum Ortstarif..............10 Im Test: O&O Bluecon 2000: Bluescreen-Administration.................78 Xircom goes Wireless: Von Bluetooth über 802.11 bis GPRS.............................................14 Im Test: Etherpeek 4.02: Netzgeheimnissen und -fehlern auf der Spur.........................................82 3. bis 5. Oktober, Kongresszentrum Karlsruhe: Deutscher Internet-Kongress..............14 LANline Tipps & Tricks....................88 RUBRIKEN Editorial.................................................3 Seminarführer....................................161 Com-Navigator..................................163 Inserentenverzeichnis........................168 Fax-Leser-Service.............................169 Impressum.........................................170 Vorschau............................................170 DM 14,- ÖS 110,- Marktmeldungen.................................16 Das Magazin für Netze, Daten- und Telekommunikation netzLÖSUNGEN LAN- und WAN-Management: TÜV-geprüfte Netzwerksicherheit.....92 Im Test: Surf Control für Windows NT: Big Brother für den Web-Zugang......32 fokusTELEKOMMUNIKATION Auf die Migration kommt es an: Kleine Schritte zur IP-Telefonie.......152 Im Test: Iomega ZIP-250 USB/ Firewire: Für das kleine Backup zwischendurch....................................40 www.lanline.de Das sichere Netz Sicherheit Sicherheit Made Made in in Germany: Germany: VPNs VPNs ohne ohne Hintertür Hintertür Strategien Strategien gegen gegen Skriptvirenattacken Skriptvirenattacken Das Magazin für Netze, Daten- und Telekommunikation netzPRODUKTE/SERVICES Im Test: CAS Genesisworld 2.0: Bürolösung für die Microsoft-Welt....22 Gute Gute Cookies, Cookies, schlechte schlechte Cookies Cookies mit mit Marktübersicht Marktübersicht Antiviren-Software Antiviren-Software September 2000 Produkt-News....................................156 Im Test: Cheetah X15 mit 15.000 UPM: Die Rotation schreitet fort.......42 Im Test: Etherpeek 4.02 LAN-Analysator für Einsteiger SwitchMonitoring SMON auf dem Vormarsch Produkt-News.....................................46 Schwerpunkt: Drahtlose Kommunikation Von Bluetooth bis Hiperlan 09 4 398039 714002 B 30673 ISSN 0942-4172 netzTECHNIK SWITCH-ÜBERWACHUNG MIT SMON Monitoring-Generation für lokale Netze netzTOOLBOX Das in einem herkömmlichen Shared-Media-LAN mit Hilfe von Probes durchgeführte SNMP-basierte Monitoring ist den Anforderungen heutiETHERPEEK 4.02 IM TEST netzTECHNIK Switch-Überwachung mit SMON: Monitoring-Generation für lokale Netze........................................58 Dynamic DNS und Windows 2000, Teil 1: Erst die Dynamik bringt’s.......64 Netzgeheimnissen und -fehlern auf der Spur LAN-Analysatoren zählen noch immer zu den eher exotischen Werkzeugen im Sortiment von Netzschaffenden. Dabei gäbe es im Internet-Zeitalter, in dem interne und externe Netze zunehmend verschmelzen, genügend aufklärende Arbeit für sie. Grund für den oft zurückhaltenden Einsatz ist die verbreitete Meinung, dass Analysatoren zu teuer und zu kompliziert zu bedienen sind. Mit Etherpeek bietet AG Group ein interessantes Tool an, das zumindest diese Vorurteile abbauen kann. Das LANline-Lab wagte neue Einsichten in die spannende Welt der Pakete und Protokolle. it Cisco Systems International und den Novell Authorized Education Centers kann die AG Group bereits auf namhafte Partner verweisen, die ihre Trainingsprogramme auf den LAN-Analysator Etherpeek standardisiert haben. Dies liegt sicherlich nicht zuletzt auch an seiner einfachen Inbetriebnahme und Bedienung. Etherpeek nutzt für die Paketaufzeichnung Win- M dows-Netzkartentreiber ab NDIS3 mit Unterstützung des Promiscuous Mode. Die Netzanalyse funktioniert daher mit fast jedem Ethernet-Adapter für Windows 95/98 beziehungsweise Windows NT/2000. Diese Flexibilität gegenüber proprietären Hardware-Lösungen wird allerdings mit deutlichen Paketverlusten in 100-MBit/s-Netzen bei höherem Verkehrsaufkommen bezahlt. Der Her- steller empfiehlt daher als HardwareBasis für Fast Ethernet mindestens einen Pentium-II-Rechner mit 400 MHz und 128 MByte RAM. Allerdings unterstützen keineswegs alle Kartentreiber die volle Funktionalität. Für die Ermittlung von Fehlerstatistiken und die Analyse fehlerhafter Datenpakete eignet sich in aktuellen 100-MBit/s-Netzen ausschließlich der mitgelieferte Treiber für Adapter auf PCI/Cardbus-Basis mit Chipsatz von Digital Equipment (DEC). Es empfiehlt sich daher ein Besuch auf der entsprechenden Web-Seite des Herstellers (www.aggroup.com/support/hardware/ epw), auf der getestete Ethernet-Adapter mit ihren spezifischen Eigenschaften verzeichnet sind. Leider wechselt mit der aktuellen Version 4.02 von Etherpeek die besondere Unterstützung NE2000-kompatibler Karten auf solche mit DEC-Chipset. Der im LANline-Lab speziell für diesen Einsatzzweck – passend zur Vorgängerversion – ausgewählte Cardbus-Adapter von D-Link konnte daher nicht mehr mit dem neuen Spezialtreiber verwendet werden. Abgesehen von den genannten Einschränkungen bezüglich nicht eingefangener Fehlerpakete arbeitet die Karte jedoch problemlos mit Etherpeek zusammen. Ein Capturing über das DFÜ-Netzwerk von Windows 95/98 wird von Etherpeek offiziell nicht unterstützt. Die Entwickler haben dem Produkt allerdings – mit entsprechendem Hinweis – einen DFÜ-Treiber beigelegt. Im LANline-Lab tauchten prompt Probleme bei der Installation sowie im Betrieb (“Runtime Error...”) der DFÜ-Unterstützung auf. Etherpeek lässt sich daher kaum für Anwender empfehlen, die verdächtigen Aktivitäten über ISDN- oder Modemverbindungen nachgehen möchten. AUF PAKETFANG IM KABEL Jede Spu- Bei der Dekodierung von Datenpaketen beherrscht Etherpeek alle wichtigen Protokollfamilien 6 82 L AN line 9/2000 Sfr. 14,- Nr. 9, September 2000 L AN line 9/2000 rensuche im Netz beginnt mit einer möglichst klaren Fokussierung auf die zu untersuchenden Netzobjekte. Nur so lassen sich eine Informationsschwem- www.lanline.de ger Switching-Technik aufgrund der erheblich gestiegenen Anzahl der Netzwerksegmente nicht mehr gewachsen. Selbst die leistungsfähigeren RMON-(Remote Monitoring-)Probes zur Überwachung dieser Switched-LANs reichen nicht mehr aus. Als neue Methode wurde das Switch-Monitoring (SMON) entwickelt. SMON ermöglicht die Überwachung des durch einen Switch laufenden Datenverkehrs sowie von Virtual-LANs (VLANs) und die Steuerung von Switch-Funktionen für das Monitoring selber. SMON ist seit Mitte 1999 ein IETF-(Internet Engeneering Task Force-)Standard und wird ständig – entsprechend dem jeweiligen Stand der Netztechnik – weiterentwickelt. in reibungsloser Betrieb der Netzwerkinfrastruktur lässt sich nur sicherstellen, wenn alle Teile des Netzes überwacht und gesteuert werden können. Das Simple Network Management Protocol (SNMP) ist der Standard für das Management von Datennetzwerken, der allerdings nur einfache Basisfunktionen unterstützt. Die auf dem SNMP basierende Kontrolle der LAN-Probes ist in den RMON-Standards der Internet Engineering Task Force (IETF) spezifiziert. Die Remote-Monitoring-Standards RMON-I und RMON-II erweitern SNMP um die Unterstützung des Netzwerk-Monitoring durch Remote-Probes mit leistungsfähigen statistischen Funktionen. Wie SNMP war auch RMON für die früher dominierenden Shared-Media-Netze konzipiert. Für die Überwachung moderner Switched-LANs wurde das Switch-Monitoring (SMON) entwickelt. SMON wurde zunächst von Lannet, inzwischen Avaya, ehemals Enterprise Networks Group von Lucent Technologies als proprietäre Lösung konzipiert. Mitte 1999 wurde SMON zum offiziellen IETF-Standard, der E 58 82 58 L AN line 9/2000 RMON um den Bereich der SwitchedLANs erweitert. bung definieren. Es besteht aus den folgenden Elementen: – Spezifikationen für die Struktur von Managementinformationen (SMI), sie legen die Sprache und das Format für Managementinformationen fest. Managementinformationen werden durch Datenobjekte dargestellt, die in einer universellen Baumstruktur angeordnet sind. Der Ort eines Objektes in dem Baum definiert das Objekt und wird als Object Identifier (OID) bezeichnet. – Standard-MIB spezifiziert Standardobjekte für Monitoring und Steuerung, die für unterschiedliche Arten von Netzwerkelementen nützlich sind. Diese Objekte sind in der universellen Baumstruktur unter dem Zweig MIB-2 zu MIB-Gruppen zusammengefasst (Bild 2). – Das SNMP-Protokoll definiert das Protokoll für den Datenaustausch zwischen Managementeinheiten. SNMP ist Teil der Internet-Protokollfamilie (IP) der IETF und wird gewöhnlich oberhalb des verbindungslosen User Datagramm Protocol (UDP) übertragen. RMON-I UND RMON-II RMON wurde entwickelt, um die in der ursprünglichen MIB-2 definierten Monitoring-Fähigkeimentsystem besteht aus ein oder ten zu erweitern. RMON stellt Standardmehreren Netzmanagementsystemen methoden für die Kontrolle des Betriebs (NMS) oder Managern, die über ein Managementprotokoll mit den gemanagten Netzwerkelementen (so genannten Agenten) kommunizieren. Die Netzmanagement-Informationen werden in einer Management-Informationsbasis (MIB) or- Bild 1. Elemente einer verteilten Netzmanagement-Umgebung ganisiert wie in Bild 1 gezeigt ist. Das SNMP-Framework besteht aus ei- und Sammlung von Statistiken einer ner Reihe von IETF-Standards, die erfor- RMON-Probe zur Verfügung. derliche Protokolle und InformationsIn der ersten Phase der Entwicklung strukturen für das Netzwerkmanagement des RMON-Standards (RMON-I) wurin einer heterogenen, verteilten Umge- den zunächst MIBs und Definitionen zur SNMP DISTRIBUTED MANAGEMENT FRAMEWORK Ein verteiltes Manage- www.lanline.de www.lanline.de INHALT SCHWERPUNKT: DAS SICHERE NETZ Sichere Kommunikation über das Internet: Internet Protocol Security...................................................96 Key Recovery verunsichert Anwender: Security made in Germany...............................................100 Cookie-Filter erhöhen die Sicherheit: Gute Cookies und schlechte Cookies...............................106 Content Security schützt geistiges Eigentum: Keine Chance für Schnüffler............................................110 Digitales Ungeziefer: Strategien für besseren Schutz.........................................114 Konzepte fürs sichere Netzwerk: Regeln bringen Schutz......................................................118 Datensicherheit auf höchster Ebene: Application Level Proxies................................................124 Kommunikation mit SSH1, SSH2 und SSL: Plattformübergreifend abgesichert...................................128 Marktübersicht: Antiviren-Software................................131 Anbieterübersicht..............................................................132 SCHWERPUNKT: DRAHTLOSE KOMMUNIKATION Harter Kampf um die “letzten Meter”: Drahtlose Kommunikation im Überblick........................134 3Com Airconnect: Sprinter auf kleinen Distanzen.........................................141 Marktübersicht: Funk-LANs............................................144 Anbieterübersicht..............................................................145 Bluetooth auf dem Vormarsch: Drahtloser Kurzstrecken-Allrounder...............................146 Drahtlos mit Sprache und Daten: DECTs großer Bruder...................................................... 150 SCHWERPUNKT: DRAHTLOSE KOMMUNIKATION VIELE WEGE DURCH DIE LUFT HARTER KAMPF UM DIE “LETZTEN METER” www.lanline.de DRAHTLOSE KOMMUNIKATION 134 Kabel sind teuer und legen den Anwender “an die Leine”. Drahtlose Übertragungsverfahren bieten eine Alternative. Allerdings gibt es mit WLAN 802.11x, Hiperlan I/II, Bluetooth, Irda, DECT/ DMAP etc. so viele Optionen, dass die Orientierung leicht verloren geht. Folgender Beitrag gibt einen Überblick, welche Technologie sich wofür eignet – und wofür eben nicht. 134 L AN line 9/2000 www.lanline.de L AN line 9/2000 7 netzMARKT LUCENT ENG JETZT AVAYA Mehr Dampf für Unternehmensnetze Die Lucent Enterprise Networks Group, der Spinoff von Lucent Technologies, heißt ab sofort Avaya. Eine Sonderstellung innerhalb dieses neuen Unternehmens kommt dem Verkabelungsbereich zu, der direkt der Avaya-Zentrale in Irland untersteht. Mit Sonix hat dieser Bereich nun ein neues Kat-5-Verkabelungssystem für den SOHO-Markt im Programm. Eingeführte Namen sind für Lucent offenbar nur Schall und Rauch. Hatte die Kommunikationsabteilung von AT&T vor Jahren den Schutz der Mutter unter dem Namen Lucent verlassen, so macht sich jetzt wiederum ein Teil daraus, nämlich die Enterprise-Networks-Gruppe daran, unter dem für deutsche Ohren phonetisch eher ungeglückt wirkenden Firmennamen Avaya neue Ufer zu erklimmen. Den roten Faden bei diesem Bäumchen-wechsledich-Spiel bildet immerhin niemand geringerer als die Bell-Laboratorien. Dieses renommierte US-Forschungsund Entwicklungszentrum aus den frühen Tagen der Telekommunikation ist auch bei Avaya wieder mit an Bord – nicht nur, um Konfusionen mit dem neuen Namen zu bereinigen. Angeblich sollen alle Teile der Bell-Labs, die in erster Linie für Avaya Relevanz haben wie etwa die Systimax-Abteilung, auch direkt zu Avaya gerechnet werden. So ist Avaya vom Start weg 8 L AN line 9/2000 eine Acht-Milliarden-DollarCompany (Umsatz von Lucent in den heutigen AvayaGeschäftsfeldern) mit weltweit rund 30.000 Mitarbeitern. Avaya sieht sich als offenes, flexibles Kommunikationsunternehmen, das kleinen Start-up-Companies ebenso wie etablierten Großunternehmen die passende E-Business-Migration schmieden will. Die Produktpalette reicht von der Beratung über die Hard- und Software bis hin zu Anwendungslösungen. Dazu gehören Lösungen im Bereich Call-Center- und Sprachkommunikations-Systeme ebenso wie MessagingLösungen und strukturierte Verkabelungssysteme. Auch im Datenumfeld bringt Avaya ein umfangreiches Produktportfolio für Netze, darunter die LAN-Switching-Produkte der Cajun-Campus-Reihe sowie WAN-Systeme. Avaya übernimmt hier von Lucent eine installierte Basis von etwa einer Million LAN-Switching-Ports. Zur Führungsspitze von Avaya gehört neben Peterson auch Henry Schacht, ehemaliger Chairman und CEO von Lucent Technologies und davor CEO von Cummins Engine – er ist Chairman des neuen Unternehmens. Peterson war früher Executive Vice President und Chief Financial Officer (CFO) von Lucent. Die deutsche Geschäftsführung liegt bei Uwe Witt. EIGENE MACHT FÜR VERIm KABELUNGSBEREICH Rahmen der so genannen “ECommunication”-Strategie von Avaya Communication soll der Bereich Structured Connectivity Solutions (SCS) einen wichtigen Stellenwert einnehmen. Dieser Bereich umfasst die komplette Systimax-Produktfamilie, die durch SOHO-Lösungen ergänzt wird. Zu diesen SOHOLösungen gab es bereits die erste Ankündigung: Sonix ist ein universelles Verkabelungssystem, das im Bereich kleiner Büros alle Anwendungen bedienen soll – von LAN-Diensten über TV, Internet und Telefonie. Das Ganze zu einem günstigen Preis und mit “idiot proof”Plug-and-Play-Handhabung (O-Ton der Sonix Präsentationsfolien). Der Bereich SCS wird in der EMEA-Region direkt vom Avaya Communication Headquarter in Dublin/Irland geleitet. Noch in der Schwebe ist, ob auch der Bereich Funk-LANs künftig bei SCS eingegliedert wird, oder zum Rest von Avaya gehören soll. Für Mario Rieth, Sales Director Structures Connectivity Solutions EMEA für Deutschland, Österreich und die Schweiz, bisher bei Lucent genau für den Bereich Wireless-LANs verantworlich, bieten die neuen Organisationsstrukturen für die offensive Vermarktung der Systimax-Produktfamilie überdurchschnittliche Chancen: “Der Bereich Structured Connectivity Solutions verfügt mit Systimax über das weitweit führende und im Markt bestens eingeführte Verkabelungssystem. Wir konzentrieren uns ausschließ- Mario Rieth, Sales Director Structures Connectivity Solutions für Deutschland, Österreich und die Schweiz: “Als eigenständige Division können wir Systimax wesentlich stärker fokussieren als eines von vielen “Rädchen” innerhalb von Lucent.” lich auf die Vermarktung dieser Lösungsfamilie”. Ein besonderer Fokus liege dabei auf dem Auf- und Ausbau von Partnerschaften mit qualifizierten Distributions- (Anixter), Reseller- (Steinkühler, CMT) und Systemhaus-Partnern. Der indirekte Vertrieb soll auf jeden Fall beibehalten werden. (Stefan Mutschler) Info: Avaya Communications Tel.: 089/54752-0 (Avaya allgemein) oder 069/96377-0 (SCS) Web: www.lucent.de oder www.avaya.com www.lanline.de netzMARKT SPRACHE UND INTERNET IM PAKET Ferngespräche zum Ortstarif Nachdem das “globale Telefonieren zum Ortstarif” im Zuge der ersten Voice-over-IP-Lösungen vor gut fünf Jahren schon einmal groß in den Medien hochgekocht wurde, “schleicht” sich die mittlerweile gereifte Technologie jetzt eher leise in die Unternehmen. Die Berliner Acris Communications AG ist einer der ersten Telekommunikationsanbieter, die den vielzitierten Slogan von einst nun mit konkreten Produkten in eine seriöse Umgebung tragen. Vom Ende des herkömmlichen Telefonnetzes und dem Aufbruch in eine neue Kommunikationsära war die Rede, als die Berliner Acris Communications AG am 8. Juni das erste Voice over IP-Zentrum Europas in der deutschen Hauptstadt eröffnete (siehe LANline 7/2000, Seite 27). “Sprachkommunikation in ISDN-Qualität, Datenübertragung und die Bereitstellung von Mehrwertdiensten über ein einziges Netzwerk auf Voice over IP-Basis sind keine Zukunftsmusik mehr”, verkünden die drei Gründer der Acris Communications AG, Sven Hege, Uwe-Hartmut Döbler und Karsten Wittkopf. Mit der Hilfe des Siemens-Bereichs Information and Communication Networks (ICN) in München als Solution-Provider setzt Acris eine Technologie ein, die das Internet mit dem öffentlichen Telefonnetz verknüpft. Der große Vorteil: Ferngespräche kosten damit nicht mehr als ein Ortstelefonat. Mit 10 L AN line 9/2000 dieser Lösung will das Berliner Start-up-Unternehmen vor allem Telefongesellschaften oder expandierende Firmen als Kunden gewinnen. Aber auch Privatkunden wird in Zukunft der Weg zur integrierten VoIPTechnologie geebnet. “Wir wollen ISDN völlig abschaffen”, äußert sich Firmenchef Hege selbstbewusst. Im Blick haben die Gründer vor allem Business-to-Business-Geschäfte: Kabelnetzbetreiber etwa können gleichzeitig Tele- fon-Carrier werden und neben TV- sowie Broadcast-Diensten nun auch Internet- und Sprachdienste mittels einer gebündelten Lösung liefern. Endkunden wiederum – beispielsweise die Privathaushalte oder Firmen – sollen auch ohne traditionelle Netzbetreiber an das öffentliche Sprach- und Datennetz angebunden werden können. Attraktiv seien die Lösungen von Acris beispielsweise für ausländische Telefonkunden in Deutschland. “Kostengünstig und flexibel können wir zum Vorteil verschiedener ethnischer Gruppen Sprache und Daten in ihre Heimatländer wie die Türkei oder Indien liefern”, sagt Hege. TECHNIK INZWISCHEN AUSGEREIFT Dadurch, dass aus je- dem Ferntelefonat auf Basis der Voice-over-IP-Technologie quasi ein Stadtgespräch wird, ergeben sich erhebliche Einsparmöglichkeiten für die Anwender. Anhand eines Beispiels verdeutlicht Sven Hege die möglichen Kostenreduzierungen: Für ein normales Business-to-Business-Gespräch auf der Basis eines Pre-Selection-Vertrags zwischen Frankfurt und Paris zahlen Unterneh- Die drei Gründer der Acris Communications AG, Sven Hege, Uwe-Hartmut Döbler und Karsten Wittkopf men heutzutage rund 15 Pfennige pro Minute. Acris mache dasselbe Telefonat seinen vernetzten Kunden für drei Pfennige möglich. Für den Carrier Acris selbst bedeutet die Integration aller Kommunikationsmedien in ein Netz einen Kostenvorteil gegenüber konkurrierenden Anbietern, die Internet- und Sprachdienste heute noch über zwei Netze abwickeln. Denn das Management eines einzigen Netzes ist deutlich kostengünstiger. Das System, das Acris anbietet, funktioniert dabei recht einfach: Ferngespräche werden von einem Gateway in der Nähe des Anrufers über das IPNetz zu einem Gateway nahe des Angerufenen transportiert und dort wieder in das öffentliche Telefonnetz geleitet. Die Gesprächsteilnehmer können dabei einen herkömmlichen Telefonapparat nutzen. Mit der Technologie von Siemens ICN wird die Trennung in verschiedene geschlossene Netze aufgehoben. Internet-Service-Provider etwa können so Sprachdienste gleich mit anbieten. Umgekehrt können auch Sprach-Carrier Internet-Dienste über das Acris-Netzwerk aus einem Guss vermarkten. Inzwischen sei diese Technologie soweit gereift, dass Acris die erforderliche “Quality of Service” garantieren kann. Aber auch bei Acris funktioniert das nur, weil das Unternehmen für den Dienst ausschließlich sein eigenes Netzwerk oder das seiner vertraglichen Partner nutzt. Im offenen Internet wären solche garantierten Servicequalitäten nach wie vor illusorisch. Basis dafür ist das Acris-eigene Netzwerk, welches im Unterschied zum Telefonieren im offenen Inter- www.lanline.de netzMARKT net bei der Sprachkommunikation keine Pakete mehr verlieren soll. Siemens ICN spielt für die Berliner Acris Communications AG nicht nur die wichtige Rolle des Technologielieferanten, sondern fungiert auch als Systemintegrator. Denn die verschiedenen Systemplattformen und damit die Anforderungen der Endkunden müssen zur Nutzung des Acris-Netzes justiert und angepasst werden. Überdies unterstützt der Netztechnologie-Partner das Marketing des Berliner Newcomers. “Unser Ziel ist es, gemeinsam mit einem neuen europäischen Carrier auf dem kontinentalen Markt erfolgreich zu sein”, so Ivan Rahim Khan, Bereichsleiter für Sales Promotion Neue Carrier bei Siemens ICN. Das künftige virtuelle europäische Netzwerk des Berliner Start-ups sei auch für Unternehmen interessant, die mehrere Niederlassungen haben. Unternehmen nutzten heutzutage verschiedene Telekommunikations- und Datennetze wie das Internet, das Intranet für das interne Warenwirtschaftssystem oder das Sprachnetz. Acris biete seinen Kunden an, diese Anwendungen zu verbinden und auf ein einheitliches Medium mit den bekannten Dienstleistungsund Qualitätsmerkmalen zu übertragen. Erster Geschäftskunde von Acris ist die ISP Communications AG in Berlin. Der seit Mai 2000 operierende Pre-Paid-Card-Produzent und Calling-Shop-Betreiber will zukünftig auf das europaweite VoIP-Netzwerk von Acris zugreifen und die “Gesprächs- und Preisqualität” seines Partners an seine Endkunden weiterreichen. 12 L AN line 9/2000 UMFANGREICHE PRODUKTPALETTE Die Acris-Produkt- palette enthält sechs verschiedene Dienste, die unter der Markenbezeichnung “Acris Vone” – kurz für Acris Voice over Net – angeboten werden. “Acris Vone integrated” stellt eine kombinierte Sprach- und Datenlösung für Geschäftskunden dar. Die Grundlage bilden ein Internet-TelefonieGateway inklusive der LANund ISDN-Schnittstelle sowie eine Standleitung mit fester Bandbreite zum Acris-VoIP- Kunden Sprach- und InternetDienste aus einer Hand anbieten. Sprachverbindungen sind so zwischen mehreren nationalen oder internationalen Standorten oder ins örtliche Netz möglich. Ein Web-Interface unterstützt als Tool die Administration durch die Kunden. Zu “wettbewerbsfähigen Preisen” – so Sven Hege – können Geschäftskunden mit “Acris Vone Fax” über das Acris VoIP-Netzwerk fernkopieren. “Acris Vone Carrier to Carrier” bietet Telefonnetzbetrei- Marktforscher zu VoIP Nach einer Studie des Marktforschungsinstitutes Frost & Sullivan soll das Marktsegment Voice over IP (VoIP) bis zum Jahr 2004 auf ein weltweites Umsatzvolumen von 2,7 Milliarden Dollar wachsen. Dabei werden für die kommenden drei Jahre Wachstumsraten von 60 bis 80 Prozent erwartet, bevor sich diese bei etwa 30 Prozent pro Jahr stabilisieren. Nach Berechnungen von Frost & Sullivan betrug das Umsatzvolumen 1999 bereits 209 Millionen Dollar, für das laufende Jahr wird mit einer Steigerung auf 376 Millionen Dollar gerechnet. Die Investmentbank Morgan Stanley prognostiziert für das Jahr 2004 sogar ein weltweites Umsatzvolumen von etwa 13,6 Milliarden Dollar. Dabei wird von einer durchschnittlichen Wachstumsrate von 50 Prozent pro Jahr ausgegangen. Netzwerk. Die LAN-Schnittstelle bindet das System an das weltweite Internet an. Kommunikationssysteme mit LeastCost-Routing-Funktionalität oder ISDN-Geräte beispielsweise können als Endgeräte zur Sprachübertragung eingesetzt werden. Der Dienst “Acris Vone corporate” für Anwender mit mehreren Standorten basiert auf derselben technischen Konstellation und ermöglicht kostengünstige Interngespräche zwischen Niederlassungen. Mit “Acris Vone Wholesales” stellt Acris seinen Geschäftskunden weiterverkaufbare Sprachdienste zur Verfügung. Ein ISP kann damit beispielsweise seinen bern VoIP-Transitdienste über das Acris-Netzwerk an. Für junge TelekommunikationsUnternehmen – so wirbt der Dienstleister – seien so wiederverkaufbare internationale Sprachdienste verfügbar, und für Internet-Telephony-Service-Provider terminiert Acris Sprachdienste in Europa. Eigens für Kabelnetzbetreiber hat Acris den Dienst “Acris Vone Cable Connect” konzipiert. Mit diesem Produkt können die Betreiber nicht nur Fernseh- und Rundfunkdienste, sondern zusätzlich noch Internet- und Sprachdienstleistungen anbieten. Voraussetzung sind rückkanalfähige Kopfstationen im Kabelnetz und entsprechende Endgeräte bei Kunden. Über das AcrisVoIP-Netzwerk können die Kabelkunden dabei auch Fern- und Auslandsgespräche führen. Den kooperierenden Carriern in den europäischen Ländern wie etwa der British Telecom wird die Sprachkommunikation komplett übergeben. Die Partner wiederum transportieren Daten und Sprache zum Empfänger. In Deutschland existieren bereits 80 Zugänge zum Acris-Netz, die über derzeit zwei Gateways (Hilden und seit Ende Juli auch Berlin) mit dem öffentlichen Telefonnetz verbunden sind. Für den Ausbau seines kontinentalen Netzwerks plant das Unternehmen Investitionen in Höhe von 30 Millionen Mark, die überwiegend von VentureKapital-Gebern zur Verfügung gestellt werden. Die europäische Markterschließung treibe Acris in einem Tempo voran, bestätigt Hege, das im Vergleich zu den Wettbewerbern einzigartig sei. Mit “starken Joint-Venture-Partern” soll zukünftig der Markt auch jenseits des Kontinents – beispielsweise in den USA , wo bereits mehrere Dutzend IPAnbieter existieren – besetzt werden. Das Know-how vor Ort will Acris mit eigenen Leistungen bündeln. Sven Hege: “Wir wissen, dass wir uns mit unserem Angebot in einer Nische befinden; dennoch streben wir einen Umsatz an, der – konservativ geplant – mindestens 235 Millionen Mark jährlich beträgt.” Bereits im nächsten Jahr möchte Acris Communications die Gewinnzone erreichen. (Sebastian Nitz, Agentur Conosco/sm) www.lanline.de netzMARKT XIRCOM GOES WIRELESS TREFFEN DER POWERUSER Von Bluetooth bis GPRS Deutscher Internet-Kongress Bereits im März dieses Jahres hatte Xircom seine Vom 3. bis 5. Oktober 2000 findet der fünfte Deut- Pläne kundgetan, sich aggressiv um den Wireless- sche Internet-Kongress im Karlsruher Kongresszen- Markt zu kümmern. Jüngste Kooperationen mit trum (KKA) statt. Seit seinem Debüt vor vier Jahren Cisco und Ericsson sowie die Übernahme von Omni- hat er sich zum regelmäßigen Treffpunkt für die point konkretisieren das vielschichtige Vorhaben. professionellen Internet-User und Anbieter entwickelt. Erklärtes Ziel von Xircom ist es, eine Vielzahl an Wireless-Technologien wie Bluetooth, 802.11 Wireless LAN (WLAN), GPRS und CDMA, in ein breites Angebot an Lösungen mit Wireless-AccessOptionen zu integrieren. Das Abkommen mit Cisco sieht die gemeinsame Entwicklung, Vermarktung und den Vertrieb von mobilen, schnurlosen LAN(WLAN)-Netzwerkadaptern, basierend auf IEEE 802.11b WirelessEthernet-Standard vor. Xircom und Cisco wollen gemeinsam Universal-SerialBus-(USB)-, Mini-PCI- und PC-Card-Adapter sowohl nach Industriestandard als auch im speziellen Formfaktor von Xircom entwickeln und vermarkten. Bei der Realport2 Integrated PC Card wählt der Anwender aus verschiedenen Funktionskarten seine individuelle kabellose Lösung. Einer der ersten neuen drahtlosen Adapter, die als Teil der Vereinbarung entwickelt werden, soll das Springboard 802-11b Wireless LAN für den Handspring Visor sein. 14 L AN line 9/2000 Das Abkommen mit Ericsson beinhaltet die Zusammenarbeit in der Entwicklung, im Testverfahren, in der Herstellung und im Marketing der Bluetooth Wireless Connectivity-Produkte. Xircom soll Hauptanbieter der mobilen Informationszugangsprodukte für Ericsson werden. Dazu will das Unternehmen die Bluetooth-Technologie in seine schnurlosen Lösungen für Notebooks und HandheldPCs integrieren. Mit Omnipoint Technologies (OTI) will Xircom außerdem eine hundertprozentige Tochter von Voicestream Wireless Corporation (Nasdaq: VSTR) übernehmen. Dieser Kauf soll Xircoms Position im Bereich Wireless verbessern, da jetzt Produkte in den Bereichen Wide Area Network (WAN), Global System for Mobile Communications (GSM) und General Packet Radio Service (GPRS) zu den kabellosen Datenzugriffslösungen von Xircom hinzukommen. (sm) Info: Xircom Deutschland Tel.: 089/60768-0 Web: www.xircom.de Der Deutsche Internet Kongress richtet sich an professionelle Anwender, Technologieexperten und Anbieter von Produkten und Dienstleistungen rund ums Internet. Die Inhalte des Kongresses werden von einem Fachbeirat aus Industrie und Forschung zusammengestellt. Die Schwerpunkte in diesem Jahr sind unter anderem Supply Chain Management, Mobiler Internet-Zugang, Customer Relationship Management, Sicherheitsaspekte, IPInfrastrukturen und Design/Entwicklungswerkzeuge. Teilnehmer können sich in den Vorträgen der Tracks in- formieren, die sich spezifisch an die professionellen Internet-Anwender, Power-User und technisch interessierten Internet-Experten wenden. Zusätzlich werden Tutorials angeboten, die sich noch intensiver und länger mit dem jeweiligen Thema beschäftigen. Die Tutorials unterteilen sich in einen speziell wirtschaftlich ausgerichteten und einen eher technisch orientierten Part. Anmeldung und weitere Informationen: verlag moderne industrie Tel: 08191/125-433 Internet: http://www.DIK.2000. de Verlosung: 10 Eintrittskarten zu gewinnen Als Medienpartner des DIK verlost LANline zehn Eintrittskarten im Gesamtwert von 11.900 Mark (1190 Mark pro Karte). Und so können Sie gewinnen: Schicken Sie einfach eine Postkarte (Absender nicht vergessen!) mit dem Stichwort: Deutscher Internet-Kongress an: LANline Redaktion Edit Klaas Bretonischer Ring 13 85630 Grasbrunn Einsendeschluß ist der 14. September 2000 (Poststempel). Die Verlosung findet am 19. Sept. unter allen Einsendern statt. www.lanline.de netzMARKT SGI: Neue ModularTechnik für SuperComputer PERSONALKARUSSELL Silicon Graphics (SGI) führt mit der Computer-Familie SGI 3000 eine neue Unix-basierende Systemplattform ein, deren Architektur und modulare Konzeption den Markt des High-Performing-Computing (HPC) revolutionieren will. Die sofort verfügbaren Produktlinien – Server SGI Origin 3000 und Visualisierungssysteme SGI Onyx 3000 basieren auf SGIs neuer Modular-Technologie Numaflex – einem Baukastensystem, mit dessen Hilfe man aus einem Satz gemeinsamer Building-Blocks (Bricks) kleine bis extrem große Plattformlösungen für verschiedenste Einsatzzwecke zusammensetzt. Als ModulTypen gibt es folgende Arten von Bausteinen: C-Brick (CPU-Modul), P-Brick (PCIErweiterung), D-Brick (DiskStorage, Massenspeicher), RBrick (System/Memory-Verbindung), I-Brick (I/O-BasisModul), X-Brick (XIO-Erweiterung) sowie G-Brick (Graphiksubsystem Infinitereality). Weitere BuildingBlocks (Bricks) sollen folgen, so dass der Anwender mit der Numaflex-Modular-Technologie auch sehr spezielle Konfigurationen (etwa für Broadband-Data-Streaming) realisieren oder neueste Entwicklungen wie PCI-X und Infiniband integrieren kann, sobald diese am Markt verfügbar sein werden. Server und Visualisierungscomputer der 3000er-Familie DIETMAR WENDT leitet bei I B M künf- tig als Vice President den Geschäftsbereich Storage Solutions in Europa, im Mittleren Osten und in Afrika (EMEA). Er tritt damit die Nachfolge von JEAN-MARIE MATHIOT an, der jetzt Vice President Competitive Initiative und Sales E M E A ist. (db) Der Vorstand von STORAGETEK ernennt PATRICK J. MART I N zum Chairman of the Board und zum Präsidenten und C E O. Er übernimmt damit die Position von DAVID E. WEISS. (db) DOUGLAS B. FOX leitet künftig bei C O MP A Q COMPUTERS als Senior Vice President den Geschäftsbereich Marketing und Strategy und WILLIAM P. FASIG als Vice Presi- dent den Bereich Corporate Communications. (db) Der Funk-LAN-Anbieter PROXIM ernennt KURT BAUER zum Vice President und General Manager. Damit ist er weltweit für den Vertrieb, das Marketing und den Kundendienst des Unternehmens verantwortlich und außerdem für die kürzlich übernommene FARALLON-DIVISION. (db) VERENA LAUTZ betreut bei VERITAS SOFTWARE künftig als Reseller Account Managerin die Fachhändler im Partnerprogramm des Unternehmens in den Postleitzahlengebieten 0, 8 und 9. Ihr Schwerpunkt soll dabei auf den Software-Lösungen für Windows NT und Netware liegen. (db) 16 L AN line 9/2000 lassen sich in einem einzigen Shared-Memory-System von zwei bis zu 512 Prozessoren, bis zu 1 Terabyte Hauptspeicherkapazität sowie bis zu Petabytes an Online-Massenspeicher ausbauen. Als Einsatzbereiche für die Rechner mit Numaflex nennt SGI etwa die Automobil- und Flugzeugentwicklung, die Wetter- und Klimaberechnung sowie Medien. (sm) Info: Silicon Graphics Tel.: 089/46108-0 Web: www.sgi.com Cable & Wireless als IP-Business Solutions Provider Im Rahmen seiner europäischen Expansionsstrategie hat der globale Telekommunikationsdienstleister Cable & Wireless fünf europäische Firmen aus dem IP-Business-Umfeld für insgesamt 100 Millionen US-Dollar übernommen. Bei den Unternehmen handelt es sich um den Hamburger Internet Solutions Provider POP Point of Presence, die beiden holländischen Firmen Widexs und Impact, sowie Eaisa Group (Spanien) und Pictime (Frankreich). Seit Januar 1999 hat Cable & Wireless damit in Europa 21 IP-basierte Unternehmen erworben und dafür bereits 650 Millionen Dollar ausgegeben. Diese Mittel sind Teil eines 2,5 Milliarden-Dollar-Investitionsprogramms, mit dem Cable & Wireless den Ausbau eines europäischen Netzwerkes realisiert. Mit diesem Netz, das direkt mit dem globalen IPBackbone des Unternehmens gekoppelt ist, und einer umfangreichen Palette an Produkten und Services bietet Cable & Wireless seinen Geschäftskunden in Belgien, Deutschland, Frankreich, Großbritannien, Italien, den Niederlanden, Österreich, Schweden, der Schweiz und Spanien ein umfassendes Portfolio an IP- und E-Business-Lösungen aus einer Hand. Dazu zählen Internet-Zugriff, Web-Hosting, CoLocation-Einrichtungen, ASP (Application Service Providing), Web-Design, E-Commerce-Produkte oder spezielle Netzintegrations-Services. Bis 2002, wenn die Einwählknoten und Netzwerke aller seit Januar 1999 übernommenen ISPs voll integriert und der Ausbau des 9,6 Gigabit (OC192) IP Core-Networks von Cable & Wireless in Europa abgeschlossen sein sollen, werden laut Plan 200 europäische Städte mit dem globalen Netz des TK-Dienstleisters verbunden sein. (sm) Info: Cable & Wireless ECRC Tel.: 089/92699-0 Web: www.cwecrc.de Enterasys tritt 10 Gigabit Ethernet Alliance bei Auch der Cabletron-Sprössling Enterasys will bei der Entwicklung, Förderung und Standardisierung zukünftiger 10 Gigabit Ethernet-Lösungen mitwirken. Durch den Beitritt zur 10 Gigabit Ethernet Alliance (10 GEA) sieht sich Enterasys in der Lage, standard-basierte Technologien in seine Layer-2/3/4-Switching-Lösungen zu integrieren. Dazu gehören die Smart-Switches, die Smart-Switch Router und die kürzlich vorgestellte Produktfamilie der Matrix “Next Generation” Switches. 10 Gigabit Ethernet ist eine Hochgeschwindigkeitstechnologie für Netzwerkanwendungen in www.lanline.de netzMARKT LANs, MANs und WANs und liefert extrem hohe Bandbreiten. Bei LAN-Anwendungen ermöglicht 10 Gigabit Ethernet die Skalierung von Paket-basierten Netzwerken von 10 MBit/s auf 10.000 MBit/s. Durch die erhöhte Netzwerkleistung können Investitionen im Bereich Ethernet kompensiert werden. Internet Service Provider (ISPs) und Network Service Provider (NSPs) sind mit 10 Gigabit Ethernet in der Lage, in WANs und MANs erschwingliche Hochgeschwindigkeits-Verbindungen zwischen co-located Carrier-class Switches, Routern, Servern und DWDM Transport Equipment zu realisieren. Darüber hinaus liefert 10 Gigabit Ethernet Verbindungen zwischen 18 L AN line 9/2000 ISP Point-of-Presence (POP) Locations. Die 10 GEA wurde im Januar 2000 durch führende Netzwerk-Anbieter gegründet, darunter 3Com, Cisco Systems, Extreme Networks, Hewlett Packard, Intel, Nortel Networks, Sun Microsystems und World Wide Packets. Hewlett Packard (HP) präsentierte bereits im Frühjahr 1998 auf der Networld+InteropMesse in Las Vegas den Prototypen eines 10-Gigabit-Transceivers. Und als weltweit erster Hersteller brachte HP im Herbst vergangenen Jahres ein Gigabit-Ethernet-Modul für Kupfer-UTP-Kabel auf den Markt. Die derzeit 60 Mitglieder der 10 GEA unterstützen die Aktivitäten des IEEE 802.3 Kommittees, die Entwicklung des 10 Gigabit Ethernet-Standards sowie die Interoperabilität zwischen 10 Gigabit Ethernet-Produkten. (sm) Info: Enterasys Networks Tel.: 06103/991-233 Web: www.enterasys.com Hewlett Packard Tel.: 0180/5326222 Web: www.hewlett-packard.de Weitere Informationen zur 10 GEA sind unter www.10gea.org erhältlich. Offene Standards für Storage Area Networks Einer unabhängigen Studie der International Data Group (IDG) zufolge können Storage Area Networks (SAN) nur durch offene Standards eine weite Verbreitung erlangen. “The Promise of SANs” ist die dritte Studie in einer Reihe von Untersuchungen, bei der über 300 IT-Spezialisten befragt wurden, um Speichertrends im E-Business zu erfassen. Die Studie zeigte, dass mehr als 80 Prozent der IT-Spezialisten offene Standards für SANs als sehr wichtigen Faktor einstufen. Während die meisten Unternehmen den Einsatz von SANs in Erwägung ziehen, könnten zugleich fehlende offene Standards deren Implementation verlangsamen. Dietmar Wendt, Vice President Storage Solutions IBM EMEA, betont: “Die Zukunft der SANs besteht in echtem Data Sharing und in der Interoperabilität von Servern und Speichersystemen unterschiedlicher Hersteller. Die www.lanline.de netzMARKT Tage der proprietären Speicherlösungen sind gezählt.” Ein Ergebnis der Studie ist, dass die Bedeutung von SANs in Unternehmen schneller steigt als erwartet: Die Zahl der Befragten, die den Einsatz eines SANs in Erwägung ziehen, stieg von 45 Prozent auf 51 Prozent innerhalb von neun Monaten. Auf die Frage, welchem Unternehmen man am ehesten die Verbreitung offener Standards für SANs zutraut, wurde IBM mit 15 Prozent an erster Stelle genannt. EMC folgte mit 13 Prozent, Hewlett-Packard mit 9 Prozent, Compaq mit 8 Prozent, und Sun mit 7 Prozent. (sm) Info: IBM Storage Systems EMEA Tel.: +44-171/2025612 Web: www.ibm.com/de www.lanline.de Nortel Networks übernimmt Alteon Websystems Nortel Networks hat ein verbindliches Abkommen zur Übernahme von Alteon Websystems, eines Unternehmens für Content Aware Switching mit Sitz in San Jose, Kalifornien, unterzeichnet. Durch diese Übernahme will Nortel Networks zu einem marktführenden Anbieter auf dem Gebiet der Hochleistungs-Datenzentren für das Internet werden. Nortel wird für Alteon Websystems schätzungsweise 7,8 Milliarden US-Dollar (in Form von Stammaktien – unter Einbeziehung aller Umtausch- und Optionsrechte) zahlen. Nortel Networks kann durch diese Übernahme Internet-Datenzentren der nächsten Generation aufbauen, die Web-Inhalte unvergleichlich schnell, effizient und zuverlässig zur Verfügung stellen. Durch die Integration der Switching-Produkte von Alteon Websystems wird Nortel Networks künftig eine Komplettlösung für Internet-Datenzentren bieten können. Die Serviceangebote von Nortel Networks für Speicherung, Gigabit-Switches, Professional Services, Application Hosting sowie Caching werden durch die inhaltsorientierten Switches von Alteon Websystems ergänzt. Nach erfolgter Übernahme wird Alteon Websystems eine hundertprozentige Tochtergesellschaft von Nortel Networks werden. Die Zentrale von Alteon Websystems bleibt im kalifornischen San Jose. President und Chief Executive Officer Dominic Orr wird President der Geschäftseinheit Content Distribution Networks von Nortel Networks. (sm) Info: Nortel Dasa Network Systems Tel.: 069/6697-0 Web: www.nortel-dasa.de Cisco unterstützt OpenDSL-Initiative Cisco Systems hat zusammen mit Herstellern von DSLLösungen (Digital Subscriber Line) und Halbleitern, Systemintegratoren sowie Service Providern die OpenDSL-Initiative ins Leben gerufen. Die Initiative soll einen offenen L AN line 9/2000 19 netzMARKT Standard schaffen, der eine “Plug-and-Play”-Interoperabilität von DSL-Komponenten unterschiedlicher Anbieter ermöglicht. Dadurch soll die Installation von DSL-Geräten vereinfacht und der Vertrieb interoperabler Endgeräte auch über den Einzelhandel möglich werden. Ein ZertifizierungsProgramm für Dritthersteller, das deren DSL-Produkte testet und zertifiziert, ist ein weiterer Bestandteil der Initiative. Aufgrund der automatischen Konfiguration beziehungsweise Inbetriebnahme der Lösung mit einfach zu installierenden Modems und Routern werden aufwendige Technikerbesuche beim Teilnehmer überflüssig. Zudem sind Service Provider mit OpenDSL in der Lage, die Nachfrage nach DSL-Zugängen zu einem Massenmarkt auszuweiten. Durch OpenDSL können Service Provider eine größere Zahl von Teilnehmern schneller anschließen und dadurch Wartezeiten verkürzen. Zu den führenden DSL-Anbietern, die die OpenDSL-Initiative unterstützen, gehören 3Com, Cayman Systems, Cisco Systems, Efficient Networks, Globespan, Intel, Netopia, Texas Instruments, Virata, Westell Technologies und Xircom. Systemintegratoren wie KPMG Consulting, ILC, Pomeroy Select Integration Solutions und Pricewaterhouse Coopers unterstützen die Initiative ebenso wie die Service Provider Alltel, CAIS, Digital Broadband Communications, Hanaro Telecom, Network Plus, Qwest Communications International, Pathnet, Request DSL, SEC Communications und Vectris Communications. Die ersten OpenDSL-kompatiblen Produkte sollen ab 20 L AN line 9/2000 Anfang 2001 erhältlich sein. (sm) Info: Cisco Systems GmbH Tel.: 0211/9547-128 Web: www.cisco.de Weitere Informationen über die OpenDSL-Initiative gibt es unter www.opendsl.org. Phone.com fusioniert mit Software.com Die beiden Unternehmen Phone.com, Anbieter von Software, die den Zugriff auf internet-basierte Sprach- und Informationsdienste mit mobilen Endgeräten erlaubt, und Software.com, Anbieter von Internet-Infrastruktur-Software für Festnetz- und Mobilfunk-Service-Provider, wollen verschmelzen. Ziel ist es, mit diesem neuen globalen Unternehmen Carrier-Class-Software an Mobilfunk- und Festnetz-Carrier, Portal-Anbieter und Internet Service Provider zu liefern. Das fusionierte Unternehmen will führender Provider für hoch skalierbare Infrastruktur und Anwendungs-Software auf den Gebieten E- und Voice-Mail, Unified Messaging, Directory und drahtloser Internet-Zugang werden. President und CEO des fusionierten Unternehmens wird Donald J. Listwin, ehemaliger Executive Vice President von Cisco. Alain Rossman, CEO von Phone.com, wird Vorsitzender des Board of Directors und Executive Vice President. (sm) Info: Phone.com (Europe) Limited Tel.: +44-1442/288100 Web: www.phone.com Colt Telecom legt los Nach 15 Monaten Bauzeit nimmt die Colt den ersten Abschnitt ihres europäischen Breitband-Weitverkehrsnetzes in Betrieb. Das rund 3000 Kilometer lange Glasfasernetz verbindet die acht deutschen Colt-Stadtnetze in Berlin, Düsseldorf, Frankfurt, Hamburg, Hannover, Köln, München und Stuttgart. Als einer der wenigen neuen Anbieter verfügt Colt damit über eigene Infrastruktur sowohl im Fernbereich als auch im direkten Zugang zum Kunden. Bis Mitte nächsten Jahres soll das Weitverkehrsnetz des europäischen Carriers rund 14.000 Kilometer umfassen und sämtliche Stadtnetze von Colt in Europa verbinden. Derzeit betreibt Colt in 22 europäischen Städten eigene Glasfasernetze – bis Ende 2001 will das Unternehmen in 30 bis 32 Städten mit eigener Glasfaserinfrastruktur vertreten sein. Das internationale Netzwerk-Kontrollzentrum (INCC), das die Weitverkehrsstrecken in Europa überwachen wird, entstand in Düsseldorf. Ein entsprechendes Backup-Zentrum befindet sich in London. Im ersten Schritt arbeiten in den INCCs rund 40 neue Colt-Mitarbeiter aus ganz Europa in den Bereichen Netzüberwachung, Netzsteuerung und Auftragsabwicklung. Nach dem ersten Spatenstich im April 1999 verlegten Bauunternehmen mit rund 1.000 Arbeitskräften über 33 Millionen Meter Rohr quer durch Deutschland. Fast die Hälfte der Trasse führt entlang von Öl-Pipelines. Auch entlang von Autobahnen und Bahnstrecken wurde gegraben. Insgesamt mußten rund 2.600 Straßen, 191 Bahnlinien und 116 Autobahnen unterbohrt werden. Hinzu kamen über 1.100 aufwendige Fluß- und Bachquerungen. Ein bislang einmaliges Bauvorhaben in Deutschland. Noch niemals zuvor habe ein Carrier in einem Bauvorgang so viele Leerrohre auf einmal verlegt. Auch die eingesetzte Technik ist nach Angaben von DeutschlandChef Horst Enzelmüller “die modernste, die es derzeit am Markt gibt”. So besteht das Breitbandnetz aus optischen Glasfaserpaaren, die durch die DWDM-Technik (Dense Wavelength Division Multiplexing) besonders leistungsfähig gemacht werden. Die Übertragungskapazität pro Glasfaserpaar beträgt zur Zeit 320 Gigabit in der Sekunde; das entspricht der gleichzeitigen Übertragung von etwa vier Millionen Telefongesprächen. Schon im nächsten Jahr soll die Übertragungsgeschwindigkeit auf 1600 Gigabit pro Sekunde erhöht werden. (sm) Info: Colt Telecom Tel.: 069/95958-500 Web: www.colt.de KPN-Qwest liegt bei DSL-Einführung vor Plan Da der Internet Service Carrier KPN-Qwest bei der Einführung von DSL-Diensten (Digital Subscriber Line) in Europa weit vor Plan liegt, steckt sich das Unternehmen jetzt für die folgenden acht Jahre sehr viel höhere Planziele. Bis Ende Juni 2000 wurden 155 Teilnehmervermittlungsstellen aufgebaut und in 14 Städten in sechs Ländern mehr als 715 Kunden angeschlossen. KPN-Qwest will nun seine DSL-Pläne auf 65 Wirtschaftszentren in zwölf europäischen Ländern ausdehnen. (sm) Info: KPNQwest Germany Tel.: 0721/9652-323 Web: www.kpnqwest.de www.lanline.de netzPRODUKTE/SERVICES CAS GENESISWORLD 2.0 IM TEST Bürolösung für die Microsoft-Welt Ganz im Zeichen von Microsoft Backoffice präsentiert CAS Software seine aktuelle Lösung für die moderne Büroorganisation. Neben der Bereitstellung eines integrierten Werkzeugs zur Bewältigung des Büroalltags am Bildschirm haben sich die Entwickler der nicht minder anspruchsvollen Aufgabe gestellt, diverse Microsoft-Komponenten zu einer Gesamtlösung zu integrieren. Das LANline-Lab prüft das Groupware-Konzept in Theorie und Praxis. schichtige Client-/Server-Architektur auf der Basis verschiedener Microsoft-Backoffice-Produkte liefert das Fundament für die Groupware-Funktionalität. Bereits im Dezember 1998 – ein halbes Jahr vor dem eigentlichen Erscheinungstermin des Produkts – war dessen innovativer Ansatz mit “sehr guten Vermarktungschancen” der Europäischen Kommission eine Auszeichnung mit dem “European Information Technology Prize” wert gewesen. Seit Juni dieses Jahres verspricht die aktuelle Version 2.0 von Genesisworld jetzt auch den Terminaustausch mit Microsoft Outlook sowie eine Datenreplikation für Notebooks und Organizer. VIELSCHICHTIGE SYSTEMARCHITEKTUR Die zentrale Datenbank von Gene- AS Software aus Karlsruhe kann aufgrund seiner integrierten Bürolösung Teamworks bereits auf langjährige Erfahrungen im Groupware-Bereich zurückgreifen. Das 16-Bit-Relikt Teamworks mit proprietärer Datenbanktechnologie aus den Zeiten von Windows 3.1 hat seit Mai letzten Jahres einen Nachfol- C ger gefunden, der aus ganz anderem Holz geschnitzt ist. Das Produkt Genesisworld schickt sich nicht nur an, integrierte Kommunikationsstandards für Arbeitsgruppen zu bieten, sondern es versucht zugleich auch, eine Integration verschiedener Komponenten auf technischer Ebene zu erreichen: Eine skalierbare drei- MS SQL-Server 7.0 GW-Tabellen MS Exchange 5.5 MS Transaction Server MS Internet Information Server 4.0 (Dateisystem) GW Dokumenten -archiv Information Store GW-App.-ServerKomponenten (DCOM) GW-Komponenten (Active Server Pages) MAPI/CDO genesisWorld Windows-Client MS Outlook > *) entspricht weitgehend dem Windows-Client Die Komponenten von Genesisworld 2.0 22 L AN line 9/2000 genesisWorld ActiveX-Client* > Web-Browser (Internet Explorer) sisworld (GW) verwaltet Microsoft SQLServer 7.0. Für kleinere Teams bis zu fünf Clients kommt alternativ auch der “kleinere Bruder”, Microsoft Database Engine (MSDE), zum Einsatz. In der relationalen Datenbankstruktur werden die zentralen Informationseinheiten “Aktivitäten” (Termine, Aufgaben, Vorgänge und Urlaube), “Adressen”, “Dokumente” und “Projekte” abgelegt. Der auf COM(Common-Object-Model-) beziehungsweise Activex-Komponenten basierende Windows-Client greift nicht direkt auf den Datenbank-Server zu, sondern bedient sich eines “Applikations-Servers”, der sich aus DCOM-(Distributed-COM-) Komponenten, so genannten Genesisworld Business Objects, unter der Obhut von Microsofts Transaction Server zusammensetzt. Das Ergebnis ist eine dreischichtige Client-/Server-Architektur. Nutzt der Anwender Genesisworld über einen WebBrowser, so entsteht über den zwischen Client und Applikations-Server geschalteten Web-Server mit seiner Darstellungslogik auf der Basis von Actice Server Pages (ASP) sogar eine vierschichtige Architektur. Welche Auswirkungen hat dieses Design auf die Anwendungspraxis? Als zentrale Stärke setzt die Bürolösung die relationale Datenstruktur für den www.lanline.de netzPRODUKTE/SERVICES Anwender gewinnbringend ein, indem Benutzern und Benutzergruppen, die in beliebige n:n-Verknüpfungen zwischen der GW-eigenen Benutzerverwaltung anbeliebigen Datensätzen realisierbar sind. gelegt werden, lassen sich beispielsweise Konkret bedeutet dies zum Beispiel, dass auf einzelne Datensätze Zugriffsrechte sich ein Termin mit allen zugehörigen In- wie “nur Lesen” oder “Bearbeiten” zuteiformationen wie “Terminbeteiligte” len. Auf globaler Ebene kann auch der (Adressen), “benötigte Unterlagen” (Do- Zugriff auf bestimmte Informationstypen kumente) und “ausstehende Vorberei- beschränkt werden (zum Beispiel: “Antungstätigkeiten” (Aufgaben) verknüpfen wendergruppe X darf keine Adressen lässt. Per Drag-and-Drop von Datensät- hinzufügen oder löschen”). Als Folge der zen zwischen verschiedenen Listendar- eigenständigen Benutzerverwaltung stellungen lassen sich Verknüpfungen schnell mit der Maus herstellen. Auf diese Weise erzeugt der Anwender mit Hilfe von Genesisworld leicht nachvollziehbare Beziehungen zwischen andernfalls getrennten Informationseinheiten. Der Systemadministrator schätzt am mehrschichtigen Anwendungsdesign die prinzipiell gewährleistete Skalier- Verknüpfungsansichten zeigen die Beziehungen zwischen barkeit, da sich die verschiedenen Informationseinheiten verschiedenen Server-Dienste sowohl auf einem einzigen Windows-NT-Server müssen Benutzer und Benutzergruppen versammeln als auch zur Lastverteilung jedoch an drei Stellen weitgehend geauf mehrere NT-Server verteilen lassen. trennt voneinander gepflegt werden: Im Neben den genannten Vorteilen dürfen NT-Benutzerverzeichnis, in der Genesisallerdings auch Schattenseiten dieser Im- world-Benutzerverwaltung und im Explementationsart nicht verschwiegen change-Verzeichnis. Zwar bietet die werden. So bleiben beispielsweise Auf- GW-Benutzerverwaltung eine Importbau und Aufrechterhaltung des korrekten funktion für NT-Domänenbenutzer, die Zusammenspiels der unabhängigen Ser- übernommenen Informationen beschränver-Komponenten weitgehend Aufgabe ken sich aber auf die Attribute “Benutdes Administrators. Dies beginnt bei der zername” und “vollständiger Name”. Benutzerverwaltung. Genesisworld setzt Nach dem ersten Importlauf erfolgt die – unter anderem aus Gründen der Daten- weitere Benutzerverwaltung separat: Der bankunabhängigkeit (die Oracle-Unter- Anwender bemerkt dies an der getrennstützung ist in Vorbereitung) – nicht auf ten Systemanmeldung für das Windowsdas integrierte Rechtesystem von Micro- Netzwerk und Genesisworld einschließsoft SQL-Server, sondern implementiert lich unterschiedlicher Passwörter. eine eigene, sehr feingliedrige und eiGenesisworld führt unter seiner Obergentlich gelungene Zugriffssteuerung fläche drei voneinander getrennte Inforüber den Applikations-Server. mationsspeicher zusammen: Die zentra- www.lanline.de L AN line 9/2000 23 netzPRODUKTE/SERVICES zuständig bin”. Die ausgeführt werden, sind allerdings bei Modifizierbarkeit komplexen Fragestellungen entspreder Ansichten ist chend lange Wartezeiten nicht ungeden Entwicklern wöhnlich. sehr gut gelungen: Verbesserungswürdig sind auch die Mit wenigen Maus- Suchmöglichkeiten innerhalb des Geneklicks ändert der sisworld-Datenbestands. Eine BegriffsuAnwender Sortier- che ist nur innerhalb eines Informationsreihenfolge, Spal- typs (zum Beispiel: “Adresse”) und tenanordnung und innerhalb vorgegebener Datenbankfelder Gruppierung der möglich. Da Genesisworld über keine Datensätze nach sei- Volltextindizierung verfügt, bleibt dem nen individuellen Anwender zudem eine globale VolltextBedürfnissen. Prak- suche über den gesamten Datenbestand tisch ist auch, dass verwehrt. Datensatzfelder unPraktisch sind die Übersichtsgrafiken mit Zeitbalken DOKUMENTENVERWALmittelbar aus der EINFACHE Listenansicht heraus TUNG Neben der Verwaltung klassischer len GW-Informationen liegen in Tabel- bearbeitet werden können. Datenbankinformationen wie Adressen len des Datenbank-Servers, Elemente des Neben Datenbankansichten lassen sich und Termine verfügt die Bürolösung Dokumentenarchivs werden im Dateisys- aber auch beliebige Hyper-Links, zum auch über eine integrierte Dokumententem des Applikations-Servers vorgehal- Beispiel zu Intra- und Internet-Anwen- verwaltung, die grundsätzlich beliebige ten und der Information Store des – lose, dungen, sowie Verweise auf Dateiver- Dateiformate aufnimmt. Für Microsoft über den Client angebundenen – Exchan- zeichnisse und Windows-Anwendungen Word existiert zusätzlich eine spezielle ge-Servers speichert Mail- und andere in den Navigator einklinken. Auf diese Unterstützung. Adressdaten fließen autoCollaboration-Dokumente. Dem Admi- Weise besitzt Genesisworld das Potential matisch in entsprechende Word-Vorlanistrator verbleibt damit die Aufgabe, die zum zentralen Unternehmensportal. gen ein, und der fertig erstellte Brief lässt Verfügbarkeit und Zugriffssicherheit al- Unterschiedliche ler drei Datenspeicher zu gewährleisten Navigatorkonfiguund beispielsweise eine passende Online- rationen lassen sich Datensicherungsstrategie für alle drei zudem in Profilen unterschiedlichen Informationsspeicher abspeichern. Für den tätigkeitsaufzubauen. orientierten ÜberDAS BENUTZERERLEBNIS Dem Anwenblick sorgt zusätzder von Genesisworld bleiben die mög- lich der “persönlilichen Sorgen der Systemadministration che Informationsnatürlich verborgen. Ihm präsentiert sich agent” Activepia. zunächst einmal eine ansprechende Win- Dieser fasst dynadows-Oberfläche, über die er alle wichti- misch die Ergebgen Informationen für seine tägliche Ar- nisse mehrerer frei beit versammelt vorfindet. Highlight des definierbarer DatenExplorer-artigen Zugangs zum Informa- bankabfragen in eitionsmanagement im Team ist der für die ner HTML-basie- Die Willkommensmeldung von Outlook 2000 wird unter Genesisworld individuellen Informationsbedürfnisse renden Übersicht zerstückelt frei konfigurierbare Navigator. Dieser zusammen. So erstrukturiert über Ordner die verschiede- hält der Anwender nen, ebenfalls frei konfigurierbaren An- beispielsweise den Überblick über sämt- sich anschließend mit Verknüpfungssichten auf die Tabellen der GW-Daten- liche ausstehenden Aktivitäten in der ak- möglichkeiten zu allen anderen Informatuellen Woche samt verknüpften Kon- tionen im System ablegen. bank. Dokumente verwaltet Genesisworld Jede Ansicht entspricht einer Daten- taktinformationen aus dem Adressbebankabfrage wie beispielsweise: “Zeige reich. Da die Datenbankabfragen mit je- auf Wunsch entweder in einem eigenen mir die Adressen der Kunden, für die ich dem Aufruf der Activepia-Seiten erneut Archivbereich (Dateisystem des Appli- 24 L AN line 9/2000 www.lanline.de netzPRODUKTE/SERVICES kations-Servers) oder als Verknüpfung zum Dateisystem. Im letzteren Fall bleiben die Dateien an ihrem Originalplatz, und der Anwender muss selbst dafür Sorge tragen, dass Datenbankeinträge und Dateisystem nicht durch das versehentliche Löschen von Dateien inkonsistent werden. Das Utility Genesisworld Documentport hilft als Drag-and-Drop-Anwendung bei der Übernahme von bereits bestehenden Dateibibliotheken in die Obhut der integrierten Bürolösung. Auch mit Twain-konformen Scannern weiß Documentport umzugehen. Mit 40 Zeichen steht jedoch nur begrenzter Raum zur Benennung von Dokumenten (“Stichwort”) oder Datensätzen in Genesisworld zur Verfügung. Nach Aussage von CAS lässt sich diese Obergrenze zwar über eine direkte Modifikation des Datenbankschemas im SQL-Server erhöhen, unerwünschte Nebeneffekte sind dabei aber nicht völlig ausgeschlossen. Gerade auch im Bereich der Dokumentenverwaltung vermisst der Anwender schmerzlich eine integrierte Volltextsuche, mit der übrigens bereits der Produktvorgänger Teamworks aufwarten konnte. “Fortschritt” hat eben seinen Preis. MANGELNDE EXCHANGE-ANBINDUNG Im Gegensatz zum Vorgänger Teamworks verfügt Genesisworld über keinen eigenen Mail-Transportmechanismus. Das Produkt nutzt hierzu wahlweise einen externen SMTP/POP3-Server (SMTP: Simple Mail Transfer Protocol, POP: Post Office Protocol) oder aber Microsoft Exchange. In unserem Testaufbau interessierte insbesondere die Zusammenarbeit mit Microsofts Messaging-Plattform. Nach der benutzerspezifischen Zuordnung eines Mail-Profils (Genesisworld greift dazu auf ein vorhandenes MAPI-Profil zurück; MAPI: Mail Application Program Interface), erscheinen persönliche und öffentliche Exchange-Ordner im GW-Navigatorbaum. Der GW-Client erlaubt die Erstellung einfacher Mail-Nachrichten mit Dateianlagen (keine Richtext-Unterstützung) an Mail-Adressen aus GW-Adresseinträgen sowie über das Exchange-Adressbuch. 26 L AN line 9/2000 Leider enden an dieser Stelle bereits im Wesentlichen die Integrationsbemühungen des Entwicklerteams. Über den Genesisworld-Client lassen sich weder Ordner in der Exchange-Mailbox pflegen noch eingegangene Mails aus dem Posteingang in bestehende Ablageordner verschieben. Auch Richtext-Formatierungen, HTMLMails (HTML: Hypertext Markup Language) und Outlook-Formulare (Kontakte, Kalendereinträge und Zusatzformulare wie zum Beispiel zur Fax-Integration) sind für den GW-Client unerreichbar. Öffentli- mehrere einzelne Archivdokumente an. Die Standardbegrüßungsnachricht von Outlook 2000 (“Willkommen bei Microsoft Outlook 2000!”) teilt die Bürolösung zum Beispiel in insgesamt neun Dokumente auf (für jede integrierte Grafik ein eigenes Archivdokument). KOORDINIERTE TEAMARBEIT MIT STOLPERFALLEN Zur Koordination der Teamarbeit bietet Genesisworld eine zunächst von Exchange und Outlook unabhängige, eigenständige Verwaltung von Testumgebung im LANline-Lab Server: – Dell Poweredge 1300 mit Pentium-III/500 MHz und 384 MByte RAM – Microsoft Windows NT 4.0 Server mit Service Pack 6a – Microsoft SQL-Server 7.0 (Service Pack 2) – Microsoft Exchange 5.5 (Service Pack 3) – Microsoft Internet Information Server 4.0 – CAS Genesisworld 2.0.0.2052 Clients: – Dell Dimension XPS T500 mit Pentium-III/500 MHz und 256 MByte RAM sowie Notebook Dell Latitude CPi 366/XT mit Pentium-II/366 MHz und 128 MByte RAM – Microsoft Windows 98 SE, Windows NT 4.0 Workstation (SP5) und Windows 2000 Professional – Microsoft Office 2000 Premium mit Outlook 2000 – Microsoft Internet Explorer 5.01 und Netscape Communicator 4.7 – CAS Genesisworld Client (Standard & Activex) – Compaq Aero 2130 (16 MByte RAM) unter Windows CE 2.11 und Activesync 3.0 che Ordner aus Exchange sieht der GWBenutzer – abgesehen von entsprechenden Formularen – zwar grundsätzlich, er kann aber keine neuen öffentlichen Nachrichten bereitstellen. Ein paralleles Arbeiten mit Outlook bleibt daher in der Praxis unumgänglich. Doch auch hierbei existieren “Fallstricke”: In Outlook angelegte Ordner werden erst nach einem Neustart des GW-Clients sichtbar. E-Mails müssen bereits aus dem externen Exchange-Informationsspeicher in das GW-Dokumentenarchiv übertragen sein, bevor sie genutzt werden können. Da Genesisworld nur Dokumente mit verknüpften Dateien kennt, legt das System zur Archivierung von Mail-Nachrichten mit Anhängen unpraktischer Weise stets Aktivitäten: Termine, Aufgaben, Vorgänge (“Aktivität über einen längeren Zeitraum”) und Urlaube. Mit Hilfe dieser Datentypen lassen sich eigene sowie Aktivitäten anderer Teammitglieder koordinieren. Im Gegensatz zum Outlook-Kalender bietet Genesisworld nicht nur Kalenderansichten für eine Person, sondern auch kombinierte Ansichten mehrerer Teammitglieder. So ist ein Urlaubsübersichtskalender für das Team schnell erstellt. Auch der Fremdzugriff (“Identitätswechsel”) auf den persönlichen Terminkalender eines Kollegen ist mit entsprechenden Rechten möglich. Neben der üblichen Kalenderansicht auf Tages-, Wochen-, Monats- und Jahresbasis bietet Genesisworld auch gelungene Übersichtsgrafiken mit Zeitbalken www.lanline.de netzPRODUKTE/SERVICES wie man sie beispielsweise von MS Project world – auch manuell übertragen werden bekannt sind. Leider lässt sich gerade die- können. Anwender von Outlook 2000 finse zur Projektplanung am besten geeignete den hierzu eine neue Schaltfläche “GeneDarstellungsform ausschließlich am Bild- sisworld” vor, die zudem Outlook-Kontakschirm betrachten und nicht ausdrucken. te als neue Adresse in Genesisworld anlegt. Neu in der Version 2.0 ist die Synchro- Letztlich bleibt noch der Wunsch, einfache nisation von Terminen und Aufgaben aus Workflow-Basisfunktionen, zum Beispiel Genesisworld mit der Terminverwaltung zur Realisation serieller Dokumentenübervon Outlook, um die Zeitplanung in ge- arbeitungen oder von Rundlaufmappen, mischten Client-Umgebungen innerhalb als produktübergreifende Funktionen zu eines Unternehmens zu unterstützten. Da- gestalten. mit ist es jetzt möglich, aus Genesisworld Mit Version 2.0 unterstützt Genesisheraus Outlook-Benutzer zu gemeinsamen world erstmals die Datenreplikation zwiTerminen einzuladen. Auch der umge- schen zwei Standorten und zwischen Notekehrte Weg ist vorgesehen. Dabei müssen books beziehungsweise Home-Office-ArTermin- und Aufgabeneinträge jedes GW- beitsplätzen und einem zentralen Standort. Benutzers sowohl im GW-Kalender, als auch im Outlook-Kalender vorgehalten werden, damit die “Teilnehmerverfügbarkeit” unter Outlook beziehungsweise die “freie Terminsuche” unter Genesisworld funktioniert. Reine OutlookBenutzer berücksichtigt Genesisworld bei der “freien Terminsuche” derzeit allerdings nicht. Wün- Der “persönliche Informationsagent” Activepia fasst dynamisch den inschenswert bleibt dividuellen Informationsbedarf zusammen auch die Übernahme von Urlaubs- und Vorgangseinträgen unter Outlook. Neben den Nutzdaten werden dabei Die Synchronisation beider Datenban- auch Zugriffsrechte und optional das Doken arbeitet im Hintergrund in vordefinier- kumentenarchiv übertragen. Interessant baren Zeitintervallen und erfolgt durch den beim gewählten Lösungsansatz ist, dass GW-Client. Folglich können die Outlook- auch eine direkte Replikation zwischen Kalendereinträge auch nur dann erzeugt Einzelarbeitsplätzen ohne den Umweg werden, wenn der GW-Benutzer über den über eine zentrale Server-basierende InGW-Client und nicht per HTML-Client stallation möglich sein soll. Die Impleaktiv ist. Bedingt durch dieses Design zeig- mentation nutzt dabei nicht die integrierte ten sich in unserem Test öfter Inkonsisten- Replikationsfunktion von Microsofts Dazen in den Terminbeständen von Outlook tenbank-Engine. Sie basiert vielmehr auf und Genesisworld, wenn mit beiden einer eigenen Replikationslogik, die auf Clients parallel gearbeitet wurde. Begrü- Applikations-Server-Ebene (DCOM) reßenswert ist daher, dass sich die gesamte alisiert ist und Änderungen bis hinunter auf Synchronisationsautomatik auch abschal- Feldebene berücksichtigt. ten lässt und die entsprechenden Einträge – Leider findet stets eine – uneffiziente – zumindest von Outlook nach Genesis- Vollreplikation zwischen den Genesis- 28 L AN line 9/2000 world-Installationen statt. Inhaltlich selektive Replikation des Datenbestands, zum Beispiel nach bestimmten Kunden oder Projekten und den jeweils verknüpften Daten, wird nicht unterstützt. Eine für viele Anwendungssituationen wesentlich gravierendere Einschränkung der Praxistauglichkeit ergibt sich allerdings durch ein massives, designbedingtes Sicherheitsloch: Genesisworld kontrolliert den Informationszugriff zwar auch auf dem Notebook, die Anwendung kann aber nicht verhindern, dass sämtliche Daten über den direkten Zugriff via Datei- beziehungsweise Datenbanksystem frei zugänglich sind. Dies ist umso fataler, als über die Vollreplikation auch Daten physisch auf das Notebook wandern, auf die der Anwender eigentlich keinen Zugriff hat. Ein Novum für eine integrierte Bürolösung ist die Unterstützung sämtlicher aktuell relevanter Handhelds bereits aus der Standardbox heraus. Sowohl Palm-, Psion-, als auch Windows-CE-Geräte sollen laut CAS Anschluss finden und den Besitzer mit aktuellen Terminen, Aufgaben (nicht bei Windows CE) und Adressen auf seinen Reisen begleiten. Im LANline-Lab testeten wir das Zusammenspiel mit einem Compaq Aero 2130 unter Windows CE 2.11. Mühelos sausten Adressen und Termine zwischen großem und kleinem System hin und her. Schade ist nur, dass Aufgaben, Vorgänge und Urlaube in diesem ersten Wurf einer Synchronisations-Software unberücksichtigt bleiben. Da viele mobil Tätigen jedoch ohnehin eher auf Palm und Co zurückgreifen, treffen die CE-Einschränkungen derzeit eher einen kleinen Nutzerkreis. Als Alternative zum Handheld steht für Reisen und andere Situationen ohne Genesisworld-Client ein Browser-basierender Zugang zum Informationssystem bereit. Im Test blieb allerdings der Bildschirm nach der Anmeldemaske zunächst leer: Offensichtlich mag Genesisworld, ganz “Microsoft-artig”, nicht mit Netscape Communicator zusammenarbeiten. Erst nach dem Wechsel zum Internet Explorer tauchten die gewünschten Daten www.lanline.de netzPRODUKTE/SERVICES und Funktionen auf. Bis auf die fehlen- größeren Verwaltungsaufwand. Bisherige den Mail-Ordner und Übersichtsgrafiken Anwender von CAS Teamworks werden mit Zeitbalken zeigt der HTML-Client die Möglichkeit zur direkten Datenübersämtliche Ansichten des benutzerspezifi- nahme zu schätzen wissen, im Übrigen schen Navigatorprofils an. aber ein völlig neues Programm vorfinden, Das Entwicklerteam hat offensichtlich das mit dem Vorgängerprodukt nur noch viel Zeit in diesen alternativen Zugangs- wenig gemein hat. Nicht zuletzt Teamweg gesteckt, da in der Microsoft-Welt ge- works-Anwender werden auf jeden Fall trennte Entwicklungswerkzeuge für Win- die fehlende Volltextsuche schmerzlich dows- und Browser-Clients auch eine ge- vermissen. trennte Code-Entwicklung erfordern. Der Kritik muss sich die aktuelle Version vor Browser-Client lässt sich aufgrund seiner allem an der unbefriedigenden Integration ASP-Basis (Active Server Pages) weitgehend an individuelle Bedürfnisse anpassen. Ein Beispiel hierfür liefert das kostenlose WebAngebot www.free office.de (inklusive WAP-Zugang), das CAS auf der Basis von Genesisworld entwickelt hat. Eine einfachere Variante des HTML-Clients ohne grafische Benutzerunterstützung ist für Kleinst-Browser, wie sie auf ak- Word-Briefe lassen sich unmittelbar auf der Basis gespeicherter tuellen Handhelds Adressen erstellen eingesetzt werden, vorgesehen. von Microsoft Exchange und Outlook gefallen lassen. Aus der Perspektive einer FAZIT CAS liefert mit Genesisworld einen stetig wachsenden Bedeutung externer wie interessanten und insgesamt funktionsrei- interner Mail-Kommunikation im Unterchen Beitrag für die Landschaft integrier- nehmen kann bereits dieser Punkt eventer Bürolösungen, der sich primär an Mi- tuelle ausreichen, vor dem Einsatz von Gecrosoft-Backoffice-Kunden richtet. Positiv nesisworld zurückschrecken. Vielleicht hervorzuheben sind insbesondere die zu- sollte sich CAS überlegen, die aufwendige grundeliegenden Konzepte der Informa- und aussichtlose Entwicklung eines eigetionsverknüpfung und des ganz nach indi- nen Mail-Clients zugunsten einer direkten viduellen Arbeitsbedürfnissen konfigurier- Einbindung von Microsoft Outlook aufzubaren Datennavigators. Ob es sich jedoch geben. lohnt, extra zur Einführung von GenesisAuch den Anforderungen der meisten world die erforderliche Backoffice-Inte- mobilen Notebook-Anwender wird die gration in Angriff zu nehmen, bleibt der derzeitige Implementation der DatenreEinarbeitungsbereitschaft des jeweiligen plikation mit fehlender Datenselektion Systembetreuers überlassen. und -sicherheit nicht gerecht. Die ausgeIn der Praxis bedeutet die dreischichtige sprochenen Schwächen von GenesisClient-/Server-Architektur neben erhöhter world bei der Outlook-Integration und Skalierbarkeit auf jeden Fall auch einen bei der Datenreplikation enttäuschen um- 30 L AN line 9/2000 so mehr, als gerade diese beiden Punkte die wichtigsten Neuerungen von Version 2.0 darstellen sollen. Die Groupware-Architekten aus Karlsruhe scheinen sich mit ihrer aktuellen Produktversion insgesamt etwas übernommen zu haben. CAS bietet die Basislizenz von Genesisworld Enterprise Edition (ein Client, zwei Ressourcen) zum Preis von 498 Mark (ohne SQL-Server) beziehungsweise 698 Mark (inklusive MS SQL-Server 7.0 Runtime) an. Die Preise für Zusatz-Client-Lizenzen beginnen bei 398 Mark (ohne Datenbanklizenz) beziehungsweise 598 Mark (mit SQL-Runtime) pro Client. Nicht enthalten sind jeweils die Kosten für den Exchange-Server. Zusätzlich erforderliche Lizenzpakete zur Datenreplikation sind ab 3500 Mark (bis zu 25 Client-Lizenzen) erhältlich. Eine Genesisworld-Fassung auf der Basis der Microsoft Database Engine (MSDE) für kleine Teams mit bis zu fünf Clients ist laut CAS ebenso in Vorbereitung wie eine Enterprise Edition auf Oracle-Basis. CAS-Solution-Partner sind mit Hilfe eines Client-SDK, das für Endanwender nicht verfügbar ist, in der Lage, individuelle Modifikationen an Bildschirmmasken (zum Beispiel Starten externer Anwendungen samt Parameterübergabe) vorzunehmen und neue Objekte (zum Beispiel Aufträge) zu integrieren. Zusätzliche Eingabefelder lassen sich auch ohne SDK zu jedem Informationstyp hinzufügen. Ein aktuelles Verzeichnis der Zusatzprodukte von CAS-Partnern wie Archivierungslösungen und Anbindungen an Projekt- und Dokumentenmanagementlösungen finden sich unter http://www.cas-software.de/ Partner/ 99_FramesetPart_gW.htm. (Peter Meuser/pf) Der Autor ist selbstständiger IT-Consultant in München und Mitglied des LANline-Labs (pmeuser@itlab.de). Weitere Informationen: CAS-Software Tel.: 0721/96 38-188 Web: www.cas.de www.lanline.de netzPRODUKTE/SERVICES IM TEST: SURF CONTROL FÜR WINDOWS NT Big Brother für den Web-Zugang Die einen nennen es Zensur, andere sehen in Produkten zur Beschränkung des Internet-Zugriffs vom Arbeitsplatz ein adäquates Mittel zur Produktivitätssteigerung im Unternehmen. Unabhängig von einer ideologischen Einstellung hat sich LANline den Content-Filter Surfcontrol von JSB-Software für die Firewall-1 und den MS-Proxy-Server näher angesehen. aum noch denkbar ist ein Geschäftsbetrieb ohne Internet-Anschluss. Allerdings nutzen ihn selten alle Mitarbeiter ausschließlich für die Informationsgewinnung im Sinne des Unternehmens – zu sehr locken Sportnachrichten, Börsenkurse, Spiele und auch erotische Inhalte. Auch das “Absurfen” von Job-Angeboten kann den ureigenen Interessen des Arbeitgebers entgegenlaufen. Dem entgegen wirkt die Software Surfcontrol von JSB-Software. Sie will den Zugriff auf das Web einschränken, ohne erwünschte Seiten zu sperren. Dieses Ziel erreicht Surfcontrol durch den Einsatz so genannter Kategorien. Statt einzelne Websites oder Domains zu sperren, kann der Administrator bei- K spielsweise die Kategorie “Recruitment” verbieten, sodass Benutzer nicht mehr von ihrem Unternehmen aus nach einem neuen Arbeitsplatz suchen können. Letztendlich verstecken sich hinter den Kategorien lange Listen von redaktionell indizierten Seiten. Der Administrator muss die Listen regelmäßig von der Website des Herstellers herunterladen und kann sie bei Bedarf selbst ergänzen. Dabei bietet diese Software mehr als die einfache Filterung von Domänen wie sie heutzutage bereits in allen wichtigen Proxy-Servern integriert ist. Denn über Regeln kann die Unternehmensleitung zusätzlich genau festlegen, welche Benutzer zu welchen Zeiten welche Web-Seiten besuchen dürfen. Das Überwachungswerkzeug zeigt statistische Daten über Benutzer und Web-Sites an 32 L AN line 9/2000 www.lanline.de netzPRODUKTE/SERVICES ARBEITSWEISE Diverse Installationsmög- lichkeiten machen Surfcontrol flexibel. Die höchste Leistung bringt das Produkt im Stand-alone-Modus. Dabei läuft die Software auf einem Rechner, der neben dem Router oder Gateway zum Internet steht. Surfcontrol schaltet die Netzwerkkarte des Rechners in den “offenen Modus”, wodurch sie alle Datenpakete “mithört”, ohne die Daten selbst durchschleusen zu müssen. Erst wenn ein Benutzer eine gesperrtes URL aufruft, wird Surfcontrol aktiv. Technisch funktioniert dies wie folgt: Der Browser sendet die “verbotene” Anfrage an den Web-Server. Surfcontrol bekommt diese Anfrage mit, kann sie aber nicht unterbrechen, weil die Software nicht als Gateway konfiguriert ist. Nun muss Surfcontrol dem Browser eine Web-Seite (mit einem Hinweis auf das Verbot) schneller senden als der eigentliche Web Server. Erst nachdem der Browser die Web-Seite von Surfcontrol empfangen hat, erreicht die ursprünglich angeforderte Seite den Browser, der sie aber nicht darstellt. Vorteile dieser Lösung sind die Flexibilität (sie funktioniert bei jeder Art des InternetZugangs, unabhängig davon, ob lokal ein Proxy-Server eingesetzt wird) sowie dass dieses Setup die Systemleistung nicht beeinflusst. Nachteile sind, dass ein Ausfall von Surfcontrol alle Einschränkungen aufhebt und dass Daten gesperrter Sites unnötigerweise das Netzwerk belasten. Sicherer als im Stand-alone-Modus arbeitet die Software, wenn sie als Zusatzmodul in einen bestehenden Proxy-Server oder eine Firewall integriert wird. Derzeit bietet JSB-Software Surfcontrol für den Microsoft-Proxy-Server (1.0 und 2.0) auf Intel- und kompatiblen CPUs sowie als Zusatz für Checkpoints Firewall-1 4.x an. Als Plug-in für Firewall-1 nutzt Surfcontrol die OPSEC-Schnittstelle des Checkpoint-Produkts, wodurch die Software von JSB auch auf einem anderen Rechner im Netzwerk arbeiten kann. Da Firewall-1 bereits ein umfassendes und sehr leistungsfähiges Regelwerk besitzt, beschränkt sich die Funktionalität von Surfcontrol darauf, URLs in Form von Kategorien zu prüfen. Auch die Berichtsfunktionen fehlen vollständig, weil Firewall-1 selbst Berichte erstellen 34 L AN line 9/2000 kann. Die Berichte, die das Überwachungs-Tool erstellt, sind jedoch sehr umfassend. Hier kann sich der Administrator beispielsweise die zehn intensivsten Arbeitsstationen, die Internet-Nutzung über einen bestimmten Zeitraum oder die übertragenen Datenmengen pro Arbeitsstation ausgeben lassen. Die Berichte lassen sich in zahlreichen Formaten wie beispielsweise in HTML oder als Excel-Tabelle speichern. STAND-ALONE-VERSION Im Test musste sich Surfcontrol in allen drei Versionen bewähren. Zunächst wurde die Software als Stand-alone-Variante installiert. Das Setup auf einem NT-Server verlief problemlos und nach einem Systemstart war Surfcontrol einsatzbereit. Die Systemanforderungen halten sich mit einem Pentium 200 und 64 MByte Hauptspeicher in Grenzen, allerdings sollte der Administrator 1 GByte Plattenplatz für die Log-Datei reservie- Hat der Administrator diese Punkte beachtet, arbeitet die Software ohne Probleme. Korrekt protokolliert das Produkt alle Web- und FTP-Zugriffe mit. Auch andere Protokolle (wie POP3, SMTP, Telnet) lassen sich auf Wunsch aufzeichnen. Das Blockieren gesperrter Web-Sites funktionierte oft allerdings erst beim zweiten Aufruf der Seite durch den Browser. Offenbar benötigt Surfconrol zu viel Zeit, um seine eigene Domain-Datenbank zu durchforsten, die rund 45 MByte umfasst. Somit kamen Benutzer im Test häufig auf die Startseite gesperrter Sites, konnten dann aber keine Folgeseiten derselben Domain aufrufen. Einwandfrei klappte das Sperren bestimmter Domains. Die Bedienung der Software ist einfach. Statt die Eigenschaften der Regeln direkt zu bearbeiten, muss der Administrator zunächst die Elemente definieren, die er anschließend in den Regeln auswählen kann. Zur Konfiguration der Elemente dient das Der Check Point Policy Editor ermöglicht die Definition von Surfcontrol-Filtern für die Firewall-1 ren. Das Protokoll schreibt die Software im MS-Access-Format, wahlweise lassen sich die Daten aber auch auf einem SQL-Server ablegen. Wichtig ist, dass die Netzwerkkarte den offenen Modus beherrscht. Die im Test verwendete 3COM-905B-TX tat dies anstandslos, und Karten, die diesen Modus nicht kennen, sind rar. Ebenfalls muss der Systemverwalter darauf achten, dass das Internet-Gateway (beispielsweise ein Proxy-Server) über einen gewöhnlichen Hub mit dem Surfcontrol-System verbunden ist. Ein Switch hilft in diesem Falle nicht, denn er leitet Datenpakete nur an den Surfcontrol-Rechner, wenn diese auch für ihn bestimmt sind – und die Software soll ja fremde Daten abhören können. untere Teilfenster der Anwendung. Dort kann der Systemverwalter im Bereich “When” beispielsweise die Zeitpläne “Wochenende”, “Bürozeit” und “Kernarbeitszeit” erstellen. Im Bereich “Who” wählt er diejenigen Objekte aus, für die er später den Zugriff regeln will. Hier lassen sich Arbeitsstationen und Mac-Adressen angeben. Außerdem kann der Administrator beliebige dieser Elemente zu einer Liste zusammensetzen, um diese Liste in mehreren Regeln zu verwenden. Der Bereich (“Where”) gibt das Ziel des Zugriffs an. Möglich sind bestimmte Protokolle (zum Beispiel http oder FTP), eine der Surfcontrol-Kategorien, ein Subnetz, einzelne Hosts oder Domains. Auch hier kann der Verwalter beliebige dieser Elemente zu Listen zusammen- www.lanline.de netzPRODUKTE/SERVICES fassen. Im Bereich “Notify” lassen sich Benachrichtigungen konfigurieren, die Surfcontrol per E-Mail versendet, wenn eine Regel angewendet wird. Dabei kann er einer Regel beliebig viele Elemente zuordnen, also beispielsweise sowohl “Bürozeit” und “Kernarbeitszeit” für die Zeit und “Administratoren” und “Aufsichtsrat” für die Benutzer. Außerdem kann der Administrator jeder Regel eine Beschreibung geben und die einzelnen Regeln mit der Maus in die gewünschte Reihenfolge bringen. Ebenfalls konfigurierbar ist die Seite, die Surfcontrol Benutzern sendet, welche auf gesperrte Seiten gehen wollen. lediglich die Überwachung benötigt, kann die Stand-alone-Variante als abgespeckte Version kaufen, die dann nur noch die Berichte erstellt. Gefallen hat, dass sich die Überwachungsdatenbank auch teilweise und aus Stapeldateien heraus löschen lässt. benutzerdefinierten Kategorien für erlaubte und gesperrte Sites bearbeiten. Alle weiteren Konfigurationseinstellungen nimmt er in den Firewall-1-Regeln vor. Die Kategorien sind gleichzeitig die Stärke und die Schwäche der Software. Einerseits nehmen sie dem Administrator viel lästige Handarbeit ab. So wäre es beispielsweise nicht realistisch, ständig alle Domains mit Erotikseiten zu kennen und per Hand zu sperren. Leider berücksichtigen die Kategorien aber vornehmlich englischsprachige Web-Sites. So gelang es beispielsweise, auf deutsch- und französischsprachige Job-Angebote zuzugreifen, obwohl die Kategorie “Recruitment” gesperrt war. Die zusätzliche Option, Seiten basiert auf Schlüsselwörtern, zu sperren, ist kein effizienter Weg. So würde das Wort “Sex” ungewollt den Zugriff auf Seiten der britischen Universität Sussex oder auf Seiten der Firma “Deus Ex Machina” (deusexmachina) sperren. FAZIT JSB-Software bietet mit Surfcontrol MS-PROXY Surfcon- trol für MS-Proxy kann auch mit Namen von NT-Benutzern und -Gruppen umgehen. Dabei lassen sich diese Namen Zahlreiche Berichte geben Auskunft über die Aktivitäten der Benutzer sowohl bei den Zugriffsregeln angeben als auch bei der Berichterstattung anzei- So könnte der Administrator unter NT eigen. Dies funktioniert allerdings nur, so- nen “AT-Auftrag” anlegen, der an jedem lange der Administrator im MS-Proxy- Monatsanfang automatisch alle ProtokollServer den Zugriff nicht für NT-System- einträge löscht, die mindestens drei Monagruppen wie “Jeder” oder “Authentifizier- te alt sind. So hält sich Größe der Datente Benutzer” freigibt. In der Stand-alone- bank ohne manuellen Eingriff in Grenzen. Version soll das Zusatz-Tool “Enterprise User Monitoring” diese Funktionalität be- FIREWALL-1 Problemlos lief Surfcontrol reitstellen, welches auf jedem Domänen- für Firewall-1. Der Installationsaufwand Controller installiert werden muss. Leider ist allerdings etwas größer als bei den anfunktionierte es im Test nicht. So ließen deren beiden Varianten, weil der Admisich die Einschränkungen nur auf Basis nistrator Firewall-1 entsprechend anpasvon IP-Adressen, Host-Namen und MAC- sen muss, indem er eine KonfigurationsAdressen der Clients realisieren. MAC- datei per Hand bearbeitet. Dank der guten Adressen sind besonders in Umgebungen Anleitung ist dies aber kein Problem. Da mit DHCP sinnvoll, denn dabei ist die IP- Surfcontrol in dieser Variante lediglich Adresse von Clients nicht festgelegt. Auch die Kategorien zur Verfügung stellt, gibt in den Berichten tauchten keine Benutzer- es kaum Konfigurationsoptionen. Der namen auf. Wer keine Kontrolle, sondern Administrator kann lediglich die beiden 36 L AN line 9/2000 zwar ein leistungsfähiges Produkt an, aber wegen der fehlenden Berücksichtigung deutschsprachiger Sites ist der Einsatz des Produkts für Unternehmen in diesem Sprachraum nur eingeschränkt nützlich. Wer die Kategorien nicht benötigt und einzelne Web-Sites sperren oder erlauben möchte, sollte sich das Produkt aber näher anschauen. JSB Software bietet dazu eine 30-Tage-Testversion an. Sinnvoll wäre die abgespeckte Lösung zur Überwachung auch für den MS Proxy Server. Für die Stand-alone-Version mit 100 Benutzern verlangt der Hersteller 682 Mark, das Plugin für Microsofts Proxy-Server schlägt bei gleicher Benutzerzahl mit 4561 Mark zu Buche. Firewall-1-Anwender müssen rund 2270 Mark auf den Tisch legen. Die Pflege der Kontrolllisten übernimmt der Hersteller für 100 Benutzer für 2270 Mark. (Andreas Roeschies/gh Info: JSB-Software/Peapod Tel.: 06201/9045-0 Web: www.surfcontrol.com/products/ index.html E-Mail: sabine@peapod.de www.lanline.de netzPRODUKTE/SERVICES IM TEST: IOMEGA ZIP-250 USB/FIREWIRE Für das kleine Backup zwischendurch Während sich die Kapazitäten moderner Festplatten ungefähr im Jahresrhythmus verdoppeln, ließ sich Iomega viele Jahre Zeit, um das erfolgreiche ZIP-Laufwerk von 100 auf 250 MByte aufzurüsten. LANline hat sich den neuesten Sprössling der 250er-Generation in der externen USB- und Firewire-Version näher angesehen. as Iomega-ZIP-250 präsentiert sich mit den Maßen 17-12-2 (Zentimeter) deutlich graziler als der 100MByte-Urahn und soll das Auge des Benutzern durch ein blau-durchsichtigen Imac-Design erfreuen. Den Anschluss zum PC stellt der Anwender D befindet sich ein ein Meter langes USBKabel, ein sehr kleines Netzteil mit ausreichend dimensioniertem Netzkabel sowie eine CD mit deutschem Handbuch und der Utility-Suite Iomegaware 2.1. Dem Firewire-Adapter – der separat erworben werden muss – legte der Hersteller die Software-Suite in der Version 2.3 bei, jedoch nur auf Englisch. Für seine ersten Gehversuche erhält der Benutzer zudem eine FAT-formatierte ZIP-Diskette, mit der wir auch unsere Tests durchführten. Das Laufwerk kann wahlweise auf dem Tisch liegend oder hochkant betrieben werden. Für den stehenden Einsatz – der weniger Standfläche auf dem Tisch beansprucht – liefert Iomega einen kleinen Gummiständer mit INSTALLATION Die Installation unter Der Firewire-Adapter wird hinten an das ZIPLaufwerk gesteckt und macht das USB-Gerät IEEE-1394-tauglich über den Universal-Serial-Bus (USB) oder eine Firewire-Karte (IEEE 1394) her. Im Lieferumfang des Laufwerks 40 L AN line 9/2000 Windows 2000 erwies sich endlich einmal als wahres Plug and Play. Nachdem das ZIP-Laufwerk mit Strom versorgt und an einen USB-Port des Testrechner angeschlossen wurde, erkannte Windows 2000 nach der Benutzeranmeldung das Laufwerk korrekt als “Iomega-250MB-ZIP”, installierte den passenden Treiber und wies dem Gerät einen freien Laufwerksbuchstaben zu. Auch der Anschluss über den FirewireAdapter funktionierte problemlos. Der Zwischenstecker verlängert das Gerät um rund drei Zentimeter und wird hinten auf das Laufwerk gesteckt. Statt der www.lanline.de netzPRODUKTE/SERVICES Testumgebung und Benchmarks Prozessor: Hauptspeicher: Board: USB: Firewire: Betriebssystem: Celeron 466 256 MByte Asus P2B-N 2 x on board Exsys 6500 PCI Windows 2000 Prof. Der Universal-Serial-Bus (USB) liefert relativ konstante Durchsatzraten An der Firewire-Schnittstelle offenbaren sich die Grenzen des Laufwerks Test Winbench/ Overall Transfer Rate Winbench/ Disk Access Time Winbench/ Disk CPU Utilization Schreiben 225 MByte-Datei Lesen 225 MByteDatei USB Firewire 934 1714 Einheit 1000 Byte/s 56,3 54,5 Millisekunden 2,73 2,01 Prozent 265 200 Sekunden 256 132 Sekunden Workbench 99 USB- und ATAPI-Schnittstelle für eine PCMCIA-Karte verfügt das ZIP dann über einen Firewire-Anschluss. Leider machte der Adapter einen etwas wackeligen Eindruck, erfreut den Benutzer jedoch durch eine (glücklichmachende?) blaue Leuchtdiode. 1.1 grundsätzliche Leistungsdaten liefern. Im Anschluss maßen wir die Zeit für das Lesen und Schreiben einer 255 MByte großen Datei jeweils via USB und Firewire. Über die Firewire-Schnittstelle lieferte Winbench eine durchschnittliche Übertragungsrate von 1.714.000 Byte/s, der Universal-Serial-Bus schaffte 934.000 Byte/s. Die Zugriffszeit war bei beiden Anschlüssen fast identisch, und auch die CPU-Nutzung beim Laufwerkszugriff unterschied sich nicht signifikant. Interessant war vor allem, dass die Zugriffszeit unter USB über das gesamte Medium relativ konstant blieb, während die Firewire-Schnittstelle einen Abfall der Durchsatzrate deutlich zu Tage brachte. Während also bei USB (theoretisch 12 MBit/s) der Flaschenhals der Bus ist, zeigt Firewire (400 MBit/s) die Grenzen des Laufwerks selbst auf. Dabei liest das ZIP-250 deutlich schneller als es Daten schreibt, sofern sie schnell genug angeliefert werden (siehe Kasten auf dieser Seite). FAZIT Bei den heutigen Festplattenkapazitäten eignet sich das ZIP-250 vermutlich weniger als Backup-Medium für das gesamte System, sondern höchstens für kleinere Projekte. Wer jedoch auf vielen Rechner beispielsweise schnell mal ein Service-Pack oder einen etwas größeren Treiber einspielen möchte, der ist mit dem Iomega-ZIP250-Laufwerk gut bedient. Unter Windows 2000 benötigt der Administrator nicht einmal eine Treiber-CD, um mit dem Gerät arbeiten zu können. Rund 180 Dollar kostet das Laufwerk, für den Firewire-Adapter werden nochmals 80 Dollar fällig. Dafür erhält der Käufer zu dem Gerät noch eine passende Backup-Software für kleinere Sicherungsaufgaben dazu. (Georg von der Howen) INNERE WERTE Zum Test der Lauf- werksleistung bedienten wir uns zweierlei Vorgehensweisen: Zunächst sollte das Benchmark-Programm Winbench 99 (www.zdbop.com) in der Version www.lanline.de Info: Iomega Tel.: 0041 22/8797-000 Web: www.iomega.com/zip/products/ usb250.html L AN line 9/2000 41 netzPRODUKTE/SERVICES IM TEST: CHEETAH X15 MIT 15.000 UPM Die Rotation schreitet fort Den Sprung auf die 15.000 Umdrehungen pro Minute hat Seagate als erster Harddisk-Hersteller vollzogen. Die Cheetah X15 schafft dadurch eine durchschnittliche Verzögerungszeit von nur mehr zwei Millisekunden. Als Datenübertragungsraten gibt der Hersteller Werte zwischen 37,4 und 48,9 MByte/s an. Im Test musste es sich zeigen, ob sich die Cheetah X15 gegenüber der Vorgängerversion – aber auch gegenüber dem bisherigen Primus im Test der LANline, der Quantum Atlas 10K, durchzusetzen weiß. ereits zur CeBIT 2000 hatte Seagate sein schnellstes Exemplar aus der Cheetah-Familie angekündigt, die Cheetah X15 mit einer Spindeldrehzahl von 15.000 Umdrehungen pro Minute. Nach- B Die Verbesserungen im Datenblatt gegenüber der vergleichbaren Vorgängerversionen (Cheetah 18XL, siehe Tabelle 1) zeigen deutlich die starke Steigerung in all den Bereichen, die direkt von der Bild 1. Das erste Laufwerk mit einer Rotationsgeschwindigkeit von 15.000 UPM, die Cheetah X15, zielt vor allem auf den Server-Bereich dem das Unternehmen schon in der 10.000-UPM-Klasse das Debüt für sich verbuchen konnte, liefert Seagate mittlerweile auch die ersten Modelle der Cheetah X15 aus und stellt damit die Weichen in Richtung “15k-Drives”. 42 L AN line 9/2000 1,5-fachen Rotationsgeschwindigkeit abhängen. Vor allem für das Segment der High-end-Server scheint dieses Laufwerk konzipiert, denn die Erhöhung der Rotationsgeschwindigkeit reduziert in erster Linie die Zugriffszeiten beim Schreiben oder Lesen, denn die typische Zeit für eine halbe Umdrehung fällt nun von knapp drei auf nur mehr zwei Millisekunden. Im “Product Manual” für die Cheetah X15 spricht der Hersteller zudem von einem Durchmesser der Platten, der “etwa bei 2,5 Zoll liegt”. Damit ergibt sich ein Vorteil: die Positionierung der Schreib-/ Leseköpfe kann theoretisch schneller erfolgen, da aufgrund der Geometrievorgaben die Köpfe keine so weiten Wege auf der Plattenoberfläche zurücklegen müssen wie bei Festplatten, die mit 3,0- oder gar knapp unter 3,5-Zoll-Scheiben arbeiten. Andererseits reduziert sich in diesem Fall die maximale Datenübertragungsrate, die bei zunehmendem Radius auf der Scheibe auch zunimmt, denn die Winkelgeschwindigkeit steigt mit zunehmendem Radius. Hier verbucht die Cheetah X15 auch nur einen Vorteil um den Faktor 1,2 (bei der maximalen internen Datenübertragungsrate) gegenüber der Cheetah 18XL (die 10.033 Umdrehungen pro Minute schafft). Bei der minimalen internen Transferrate aber liegt der Faktor immerhin bei 1,35. Auch an anderer Stelle bringt der Vergleich der Laufwerksgeometrie Unterschiede zum Vorschein. Die Cheetah X15 benötigt fünf Platten und zehn Köpfe, wogegen die Vorgängerin nur mit drei Platten und sechs Köpfen auskommt, um die 18,4 beziehungsweise 18,38 GByte Kapazität zu erreichen. Auch hier ergibt sich für die Positionierung bei der Cheetah X15 ein Vorteil, denn pro Kopf ist weniger Fläche zuzuordnen. Als ein großes Plus führt der Hersteller für die Cheetah X15 ins Feld, dass dieses Laufwerk trotz der 1,5-fachen Drehzahl nahezu mit derselben Leistungsaufnahme wie das Vorgängermodell auskommt. Damit stehen Systemintegratoren vor keinen unüberwindbaren Hürden, wenn es darum geht, diese schneller drehende Version in bestehende Designs einzubauen und zugleich die Verlustwärme abzuführen. Auch die physikalischen Abmessungen der Cheetah X15 – sehr nah an der Cheetah 18XL – sind hierzu sehr hilf- www.lanline.de netzPRODUKTE/SERVICES reich. In puncto Geräuschentwicklung hat die Cheetah X15 sogar eine leichte Reduzierung erreicht, und in der MTBF weist sie dieselben Werte aus wie das Vorgängermodell. Für den Test standen drei SCSI-Ultra160-fähige Harddisks zur Verfügung. Neben der Cheetah X15 (ST318451LW mit 18 GByte Kapazität und 4 MByte Cache) mussten die Vorgängerversion, eine Cheetah 18XL (ST39204LW mit 9 GByte Kapazität und 4 MByte Cache) sowie der Primus aus dem letzten Test, eine Quantum Atlas 10K (9WLS mit 9 GByte und 8 MByte Cache) den Testparcours absolvieren. Im Rahmen dieses Vergleichstests wurde ein System (MidiServer mit 300 Watt Netzteil) neu aufgebaut. Es handelt sich dabei um einen Rechner mit Asus-Mainboard K7M, der mit einem AMD-Athlon-Prozessor (500 MHz) und 128 MByte DRAM (100 MHz DIMMs) bestückt ist. Als Grafikkarte kommt eine Viper 3000 zum Einsatz mit 16 MByte Grafikspeicher. Die angeschlossenen Massenspeicher sind eine Harddisk, Modell IBM-DTTA 371010 (die Systemplatte am primären IDE-Port) mit zirka 10 GByte, auf dem auch Windows 2000 Professional installiert wurde, sowie ein 40-fach-IDE-CD-ROM AOpen, Modell CD 940E/AKU Pro und ein internes ZIP250-Laufwerk (als Slave am zweiten IDE-Port). Zudem war in der Grundinstallation ein SCSI-160-Controller angeschlossen (Modell Adaptec 29160 mit einem 160-SCSI-Kanal, ohne eine SCSI-Harddisk installiert zu haben). Den Netzwerkanschluss besorgt eine 32Bit-PCI-Netzwerkkarte (Marke SVEC, mit Intel-21143-Chip) mit 10/100 MBit/s Ethernet. Nach der Installation des Betriebssystems und dem Überspielen der Testdaten auf die Festplatte DTTA 371010 wurde eine zu testende SCSI-Harddisk angeschlossen und in das Windows2000-System konfiguriert. Dabei wurde auf jeder der zu testenden Harddisks eine Partition mit je 4096 MByte eingerichtet und der Rest als zweite Partition vergeben. Die Testdaten wurden anschließend von der IBM-DTTA-Hard- 44 L AN line 9/2000 18 GByte Cheetahs im direkten Vergleich Die Vergleichskenngrößen aus den Datenblättern für die beiden letzten Generationen der Cheetah-Familie zeigen deutliche Unterschiede in der Laufwerksgeometrie. Modellbezeichnung Cheetah X15 Cheetah 18XL Modellnummer ST318451LW ST318404LW Formfaktor 3,5 Zoll 3,5 Zoll Formatierte Kapazität 18,35 GByte 18,4 GByte SCSI-Interface-Typ 68-polig Ultra-160 68-polig Ultra-160 Minimale interne Transferrate 385 MBit/s 285 MBit/s Maximale interne Transferrate 512 MBit/s 424 MBit/s Formatierte interne minimale Transferrate 37,4 MByte/s 26 MByte/s Formatierte interne maximale Transferrate 48,9 MByte/s 40 MByte/s Durchschnittliche Seek-Zeit (Lesemodus, typisch) 3,9 ms 5,2 ms Durchschnittliche Seek-Zeit (Schreibmodus, typisch) 4,5 ms 5,8 ms Track-to-Track Seek-Zeit (Lesemodus, typisch) 0,5 ms 0,6 ms Track-to-Track Seek-Zeit (Schreibmodus, typisch) 0,7 ms 0,9 ms Durchschnittliche Latency 2 ms 2,99 ms Pufferspeicher (KByte) 4096 4096 Spindeldrehzahl 15.000 upm 10033 upm Spinup-Zeit 20 Sekunden 20 Sekunden Power-on to Ready Time 20 Sekunden 20 Sekunden Anzahl physikalische Disks 5 3 Anzahl physikalische Köpfe 10 6 Areal Density (MBit pro Quadratzoll) 7516 6299 Track-Density 21400 Tracks pro Zoll 18145 Tracks pro Zoll Typische Stromaufnahme (12 V, ± 5 %) 1,05 Ampere 0,93 Ampere Stromaufnahme beim Starten (12 V, ± 5 %) 1,15 Ampere 0,97 Ampere Typische Stromaufnahme (5 V, ± 5 %) 0,8 Ampere 0,96 Ampere Stromaufnahme beim Starten (5 V, ± 5 %) 0,81 Ampere 1 Ampere Typischer Leistungsverbrauch (Idle-Modus) 10,7 Watt 8,5 Watt Geräuschentwicklung (Idle-Modus, typischer Wert) 4 Bels 3,8 Bels MTBF 1.200.000 Stunden 1.200.000 Stunden Preisempfehlung laut Website (Stand 31.7.2000) 619 Dollar 544 Dollar disk (der Systemplatte) auf die zuvor formatierte zweite Partition der SCSIHarddisk kopiert. Dann fanden die Testaufgaben auf den SCSI-Harddisks statt. Sie lehnen sich an die Aktionen an, die bereits in der LANline 2/2000 beim Vergleichstest der Harddisk-Laufwerke herangezogen wurden – damals allerdings noch unter Windows NT 4.0. Zuerst wurden die erste 4096 MByte große Partition formatiert und die Zeit dafür gestoppt. Danach waren die Testdaten (insgesamt 2,38 GByte, aufgeteilt in 18.855 Dateien und 1867 www.lanline.de netzPRODUKTE/SERVICES Bild 2. Die Konfiguration der Cheetah für den ersten Testlauf Ordner) auf die zweite Partition zu überspielen und anschließend diese Testdaten von der zweiten auf die erste Partition der SCSI-Harddisk zu kopieren. Bild 2 verdeutlicht diese Konstellation. Die Ergebnisse der einzelnen Tests zeigt Tabelle 2. Um die Unterschiede hinsichtlich der verschiedenen Laufwerkskapazitäten zu berücksichtigen, fanden allerdings bei Hersteller/Produktbezeichnung der Einsatz größerer Cache-Speicher auf dem Laufwerk einen Vorsprung gegenüber einer Steigerung der Umdrehungsgeschwindigkeit. Vergleicht man aber die beiden Cheetahs direkt miteinander und legt dabei den Preisunterschied noch als weiteres Kriterium an, dann sollte der Anwender auf die neue Cheetah X15 umsteigen. Denn für eine Formatieren (4 GByte) Kopieren über Partition, (Minuten:Sekunden) 2,38 GByte Daten (Minuten:Sekunden) Quantum/Atlas 10K 9WLS 3:01 6:21 Seagate/Cheetah ST39204LW 2:13 10:34 Seagate/Cheetah X15 ST318451LW (erste Konfig.) 1:57 8:18 Seagate/Cheetah X15 ST318451LW(zweite Konfig.) 2:09 8:25 der Cheetah X15 zusätzlich weitere Tests statt. Die erste Zeile der Testergebnisse der Cheetah X15 spiegelt die bereits beschriebenen Testläufe wider. Danach wurden jedoch zuerst 8,79 GByte als erste Partition auf der Cheetah X15 vergeben und erst anschließend die Platte mit einer 4-GByte-Partition und der Rest als dritte Partition vergeben. Die Ergebnisse zeigen es deutlich: Bei dieser Art von Test steht die Datenübertragungsrate im Vordergrund. Hier bringt www.lanline.de Verbesserung von etwa 20 Prozent im Hinblick auf Durchsatz sind nur zirka 13 Prozent mehr zu bezahlen. Zudem sollte speziell im Server-Bereich die schnellere Positionierung ihre Vorteile ausspielen können – vor allem in entsprechenden RAID-Konfigurationen. Hier reichen wir gerne spezielle “Server-RAID”-Tests nach, wenn die Harddisks in größeren Stückzahlen von den Herstellern bereitgestellt werden. (Rainer Huttenloher/mw) L AN line 9/2000 45 netzPRODUKTE/SERVICES INHALT PRODUKT-NEWS ENDGERÄTE Host-Anbindung: 47 Terminalemulationen, Web-to-Host Aktive Komponenten: 48 Bridges, Router, Hubs, Switches, Gateways, NICs, WLANs Verkabelung: 49 Kabel-(systeme), Stecker, Dosen, Schränke, Mediakonverter, Monitorzusammenschalter, Mobilar für Server-Räume Schutz/Sicherheit: 50 Firewalls, Virenschutz, KryptoProdukte, Authentisierungssysteme, PKI-Lösungen, USVs, Redundanzlösungen Messaging: 51 E-Mail, X.400, Faxlösungen, Verzeichnisdienste, Unified Messaging, EDI Management: 52 NOS, System- und Netzwerkmanagement, DBMS, Remote-Control, Dokumentenmanagement, CRM Messtechnik: 53 Kabeltester, Protokoll-Analyzer, ISDN-/ATM-Tester Speichersysteme: 54 RAID, Backup-Hardware/Software, Speichersubsysteme, Festplatten, optische Speicher, SANs Internet/Intranet: 56 Server und Clients für Internet basierte Dienste, Web-Server, Browser, E-Commerce, E-Business, Shop-Lösungen, HTML/XML-Editoren Linux-Thin-Client Der Igel-M von Melchers ist ein mobiler Embedded-Linux-Thin-Client mit Wireless-LAN- und GSM-Unterstützung. Das Gerät im Notebook-Design benötigt zum Server Based Computing nicht mehr als ein Funknetzwerk oder Telefonnetz, um auf Daten und Applikationen des Servers zuzugreifen. Der Client kommt dank des im Flash komprimierten LinuxKernels JNT Version 1.22 ohne Festplatte aus und verfügt über ein 8,2 Zoll großes SCC-Display mit PenTouchpanel-Funktion. Das Gerät arbeitet mit einer IntelMMX-266-Tillamook-CPUund 64 MByte SDRAM. Der Igel-M lädt aus seinem 32MByte-Flash-Memory zusätzlich zum Linux-Kernel den Netscape Communicator 4.6 mit Java Virtual Machine und E-Mail-Client. Der Zugang erfolgt entweder über den 802.11-Wireless-LANStandard oder GSM. Im Betriebssystem sind diverse Protokolle und Emulationen integriert, die es ermöglichen, das Gerät als ASCIIFarbterminal, als X- oder Java-Terminal beziehungsweise als NT- oder Windows2000-Terminal via RDP-Protokoll einzusetzen. Zum Anschluss an die IBM-Welt dienen die 3270- und 5250Emulationen. Die Basisversion des Igel-M kostet 2599 Mark. (mw) Info: Melchers Tel.: 0421/1769-0 Web: www.netcom.melchers.com E-Mail: sales04@melchers.de Multifunktionale Erweiterung Der Linux-basierende Thin-Client Igel-M bietet Wireless-LAN- und GSM-Unterstützung 46 L AN line 9/2000 Optraimage 242 ist Lexmarks neue multifunktionale Lösung zum Drucken, Scannen, Faxen und Kopieren im Netz. Alle Funktionen sind in einer Einheit zusammengefasst, die auf den Drucker aufgesetzt wird. Die Einheit besteht aus einem Scanner mit integriertem Bedienerpanel, der dazugehörigen Software und dem Netzwerk-SCSI-Adapter. Kopier-, Fax- und Scan-Funktionen werden über die Optraimage Bedienerkonsole gesteuert. So können etwa gescannte Dokumente an E-Mails angehängt, an einen Rechner geschickt, per Fax versendet oder auf einem Server abgelegt werden. Das Gerät unterstützt die Dateiformate Optraimage 242 ist eine netzwerkfähige Ergänzung zum Drucken, Scannen, Faxen und Kopieren JPEG, TIFF und PDF und ist kompatibel zu den Modellen der Optra-T-Familie und zu dem Farblaserdrucker Optra C710. Wird die Einheit mit Letzterem kombiniert, ersetzt Optraimage den Farbkopierer. Das Gerät kann als Komplettlösung mit dem Optra T610sx geliefert oder als Erweiterung zu den Optra-TDruckern beziehungsweise dem Farblaserdrucker hinzugefügt werden. Optraimage 242 ist ab sofort als Komplettlösung Optra T610sx zu einem Preis von zirka 5260 Mark oder als separate Einheit für zirka 2586 Mark erhältlich. (mw) Info: Lexmark Tel.: 0800/5 39 62 75 Web: www.lexmark.de www.lanline.de netzPRODUKTE/SERVICES HOST-ANBINDUNG Windows-2000Connectivity Kea! X Enterprise 2000 verbindet den AttachmatePC-X-Server mit den Connectivity-Funktionen von Extra! Enterprise 2000. Damit können Unternehmen Daten aus den unterschiedlichsten Host-Plattformen in ihr PCNetz einbinden. Darüber hinaus unterstützt die Lösung den OpenGL-Standard, was besonders für CAD- und CAM-Anwender wichtig ist, weil er den Zugriff auf viele 3-D-X-Anwendungen ermöglicht. Das Tool ist Windows2000-zertifiziert. Beispielsweise erlaubt es der so genannte “Roaming-ProfileSupport” den Anwendern, von jedem PC aus auf ihre individuell konfigurierten Connectivity-Applikationen zuzugreifen. Auch die Windows-Installer-Technik, die selbsttätig fehlerhafte Installationen korrigiert, wird unterstützt. Eine Benutzerlizenz kostet etwa 1030 Mark. (gg) frame beziehungsweise die AS400 sendet, können individuell nach den Bedürfnissen der Anwender gestaltet werden. Aus dieser Kombination der Vorteile von Host-Anwendungen und Java-Computing ist die Programmierung in jeder Java-Entwicklungsumgebung möglich. Zudem sind keine Veränderungen am Host nötig. Der bei der “GUI-fizierung” von Host-Bildschirmen entstehende Java-Code ist mit einem beliebigen Java-Compiler editierbar. Als Systemvoraussetzungen nennt der Hersteller für die Entwicklungsumgebung J-Term – Enterprise oder Local Configuration Model, Java-Compiler wie etwa Symantec Visual Café Version 3 oder höher sowie Hoblink 3270 beziehungsweise 5250, um die Host-Bildschirme für die Konvertierung aufzuzeichnen. (rhh) Info: HOB Tel.: 0911/9666295 Web: www.hob.de Info: Attachmate International Sales Tel.: 02104/93980 Web: www.attachmate.com/products/profile/0,1016,3228_1,00.html Host-Masken GUI-fiziert Mit dem J-Facelifter ist es möglich, alphanumerische Host-Anwendungen mit einer grafischen Benutzeroberfläche (GUI) zu versehen. Die Möglichkeiten zur automatischen GUI-fizierung, die J-Term bereits beinhaltet (GUI-on-theFly), werden mit dem J-Facelifter noch übertroffen. Sämtliche Bildschirme, die der Main- www.lanline.de L AN line 9/2000 47 netzPRODUKTE/SERVICES AKTIVE KOMPONENTEN Günstige Fast-Ethernet-NICs Zwei günstige Fast-Ethernet-Netzwerkkarten stellt Netgear vor. Beide NICs unterstützen den aktuellen 5-Volt sowie den neuen 3,3-VoltPCI-Bus-Standard und bieten laut Hersteller durch ihre Single-Chip-Lösung von National Semiconductor hohe Widerstandsfähigkeit auf kleinem Raum. Die FA311 unterstützt Autosensing, die FA312 zusätzlich Wake-on-LAN. Betriebssystemen gegenüber zeigen sich die Karten großzügig: Neben den gängigen Windows-Versionen (98, 2000, NT) arbeiten die Netzwerkkarten unter Novell Netware, Red Hat Linux und SCO Openserver. Die FA311 kostet 56 Mark, die FA312 geht für rund 68 Mark über den Ladentisch. (gh) Info: Netgear Tel.: 089/3505-2059 Web: www.netgearinc.de/ Produkte/Netzwerkkarten/ netzwerkkarten.html Gigabit-EthernetSwitches Marconi erweitert seine Produktpalette für EnterpriseKunden und Service-Provider um die Gigabit-EthernetSwitches ESR-5000 und ESR6000. Der ESR-5000 kann entweder als Gigabit-Switch oder Routing-Switch konfiguriert werden und verfügt über eine Backplane-SwitchingKapazität von 45,76 GBit/s. Das Gerät unterstützt bis zu 244 10/100-Ethernet-Ports oder 48 Gigabit-EthernetPorts sowie ATM-Uplinks mit Layer-2- und Layer-3-Switching/Routing an jedem Port. 48 L AN line 9/2000 Laut Hersteller verarbeitet der ESR-5000 in der GigabitSwitch-Version 33 Millionen Pakete pro Sekunde auf Layer 2. Als Routing-Switch soll er 18 Millionen Pakete pro Sekunde auf Layer-3 weiterleiten. Marconis ESR-6000 verfügt über eine 139-GBit/sBackplane und verarbeitet 41 Millionen Pakete pro Sekunde sowohl im Routing- als auch Switching-Modus. Das Gerät unterstützt maximal 128 Gigabit-Ethernet-Ports beziehungsweise 384 100Base-FXPorts mit ATM-Uplinks. Lüftung, Stromversorgung, Switch und Verbindungsaufbau arbeiten laut Marconi fehlertolerant. (gh) Info: Marconi Tel.: 07191/13-0 Web: www.marconi.com/products/ communications/routing_switching/ ethernet_enterprise/ net oder entfernte Firmennetzwerk einwählen. Die ebenfalls neue DCNR-LA bringt neben dem Fast-Ethernet-Port einen integrierten Audiochip mit, der Zwei- und Vierkanal-Soundeffekte beherrscht. Mit seinem 1024Stimmen-Wavetable seien laut Hersteller auch professionelle Musikanwendungen möglich. Beide Karten sind ab Oktober verfügbar und verrichten unter Windows 9x, NT 4.0, 2000, Linux, SCO Openserver und SCO Unixware ihren Dienst. Preise standen bei Redaktionsschluss noch nicht fest. (gh) Info: D-Link Tel.: 06192-9711-0 Web: www.dlink.de/products/adapter/ E-Mail: info@dlink.de Multifunktionskarte mit Bluetooth Netzwerkkarte mit Modem oder Audio Für Motherboard mit CNRSchnittstelle (Communication Network Riser) stellt D-Link zwei 10/100-MBit-Netzwerkkarten vor. Ein hierfür passender CNR-Steckplatz findet sich auf neuen ATX-, MicroATXund Flex-ATXMotherboards mit Intel-Chipsatz. Der CNR-Slot ergänzt vorhandene PCI-Steckplätze und ermöglicht den Einsatz von Multifunktionskarten. So integriert D-Link auf die neue DCNR-LM neben der Netzwerkfunktionalität noch ein V.90/K56flex-Modem auf den Adapter. Benutzer dieser Karte erhalten somit LANZugang und können gleichzeitig Faxe senden und empfangen oder sich in das Inter- Eine PC-Card für Notebooks mit Bluetooth-Vorbereitung vertreibt der Distributor IME unter dem neuen Hauslabel Addion. Die PCMCIA-Karte vom Typ II ist mit einem Ethernet-Anschluss (10Base-T, 100Base-T in Vorbereitung), einem analogen Modem (V.90/K56flex) sowie ISDN- und GSM- und Bluetooth-Funktionalität ausgestattet. Mit den so genannten Extension-Port-Kits kann der Anwender zwei Betriebsarten simultan benutzen. Die Kits sind kurze Kabel mit entsprechenden Buchsen und lassen sich während des Betriebs austauschen. Die Umschaltung der Anschlussart erfolgt automatisch. Das Herz der AddionKarte ist ein DSP-Prozessor von Motorola, der neben Daten- und Faxanwendungen auch Sprachapplikationen unterstützt. Die Multifunktionskarte läuft zur Zeit nur unter Windows 95 und 98, ein NTTreiber befindet sich im Betastadium. Die Karte kostet mit GSM-, ISDN-, Modem- und ISDN-Unterstützung inklusive einem GSM-Kit der Wahl knapp 1000 Mark, ein weiteres GSM-Kit schlägt mit rund 215 Mark zu Buche. Für das Bluetooth-Kit konnte IME noch keinen Preis nennen. (gh) Info: IME Tel.: 06821/9190-0 Web: www.ime.de E-Mail: ime@ime.de Die DCNR-LM-Netzwerkkarte von D-Link passt in einen CNR-Slot auf dem Motherboard und bietet neben dem LAN-Zugang V.90-Modemfunktionalität www.lanline.de netzPRODUKTE/SERVICES VERKABELUNG RJ45 für Industrienetze Das Fastconnect-Verkabelungssystem des Siemens-Bereichs Automatisierungs- und Antriebstechnik ist für Ethernet-Anwendungen im Industrieumfeld gedacht und arbeitet mit für diese Anwendun- Schleppleitung mit Litzenadern oder als halogenfreies Kabel mit Litzenadern für den Schiffsbau. (db) Siemens Automatisierungsund Antriebstechnik AD 438 Tel.: 0911/978-0 Web: www.ad.siemens.de/net E-Mail: infoserv@scn.de Anschlusssystem nach künftiger Kategorie 6 Die RJ45-Anschlusstechnik für die Ethernet-Industrieverkabelung Fastconnect von Siemens gen üblichen Twisted-PairKabeln mit großem Adernquerschnitt und verstärkter Schirmung. Doch die Anschlusstechnik basiert auf dem RJ45-Steckverbinder wie er aus der Datentechnik bekannt ist. Sie befindet sich in robusten Metallgehäusen und wird auf Hutschienen montiert; dabei sollen auch Mehrfachanschlüsse und Patch-Felder möglich sein. Das System besteht aus Schnellmontageleitungen Abisolierwerkzeug, den RJ45Anschlusskomponenten sowie Patch-Kabeln. Zur Konfektionierung eines RJ45-Anschlusses setzt der Monteur mit dem mitgelieferten Abisolierwerkzeug den Außenmantel und den Geflechtschirm angeblich in einem Arbeitsschritt maßgenau ab und legt das Kabelende in das Outlet ein, wobei die einzelnen Schneidklemmkontakte in den jeweiligen Adernfarben markiert sind. Die Kabel gibt es mit starren Adern, als www.lanline.de Das E-Dat-System von BTR soll den Anforderungen der künftigen Kategorie 6/ Klasse E entsprechen und sich damit für Übertragungsfrequenzen bis 200 MHz eignen. Das Anschlusssystem arbeitet mit einer werkzeuglosen Schneidklemmtechnik. Die Komponenten verfügen über einen großflächigen 360Grad-Schirmanschluss sowie rundum geschlossene Metallgehäuse. Das System eignet sich für anwendungsneutrale Verkabelungen und enthält Patch-Felder (19 Zoll, 24 Das E-DAT-Anschlusssystem von BTR Ports) sowie Aufputz- und Unterputzdosen mit ein oder zwei RJ45-Buchsen und farblich kodierbaren Staubschutzklappen. Auch ein Schrägauslass ist möglich. (db) Info: BTR Tel.: 07702/533-0 Web: www.ria-btr.de L AN line 9/2000 49 netzPRODUKTE/SERVICES SCHUTZ/SICHERHEIT Sicherheit durch Realtime-Management Der Internet-Security-andAcceleration-Server (ISA) von Microsoft ist ein Firewall- und Web-Cache-Server der auf Windows 2000 aufsetzt. Als ergänzendes Frontend-Sicherungs-Tool steht Netguards Realtime Performance Monitoring (RPM) zur Verfügung. Das RPM-Tool erlaubt nach Herstellerangaben Netzwerkadministratoren von einer zentralen Konsole aus die Echtzeitüberwachung, -diagnose und -kontrolle aller Internet-Aktivitäten sowie das sofortige Unterbinden von Denial-of-Service-Attacken und Bandbreitenmissbrauch. Die Bedienung erfolgt über eine grafische Benutzeroberfläche, die das aktuelle Geschehen im Netz anzeigt. Darüber hinaus bietet sie Anwendern die Möglichkeit, Bandbreiten und Firewall von jedem beliebigen Internet-Anschluss aus remote zu verwalten. Reports können in Echtzeit auf dem Bildschirm aufgerufen, ausgedruckt oder in SQL- und Access-Datenbanken exportiert werden. Der Preis beträgt etwa 450 Mark, eine 30-TageTestversion findet sich unter www.netguard.com/ISA. (gg) Info: Netguard Tel.: 00972/66449936 Web: www.netguard.com/isa gie (End to End Bonding) und bietet skalierbare Bandbreite, das heißt, die Anwender können analoge Modems, ISDN oder xDSL für den WAN-Zu- gang verwenden. Dabei lassen sich bis zu acht InternetVerbindungen aufbauen. Zur Verschlüsselung der Daten kommen Algorithmen wie DES oder 3DES zum Einsatz. Zudem verfügt die Lösung über eine integrierte Firewall. Der Preis liegt bei 1795 Mark für E-Pipe 2148, die Version mit vier asynchronen Schnittstellen und acht Hub-Ports, während E-Pipe 2188 mit acht asynchronen Schnittstellen 1995 Mark kostet. (gg) Sie greifen beispielsweise auf dieselbe Datenbank zu wie die Support-Mitarbeiter oder können den aktuellen Status ihrer Auftragsabwicklung ermitteln. Die Sicherung des Systems erfolgt über die Secur-ID-Benutzerauthentifizierung, und die Nutzung ist für Secur-ID- und Keon-Kunden sowie Geschäftspartner kostenlos. (gg) Info: RSA Security Tel.: 069/982410 Web: www.rsasecurity.com/rsaonline Info: D-Link Deutschland Tel.: 06192/97110 Web: www.dlink.de Info: Raab Karcher Elektronik Tel.: 02153/773-637 Web: www.rke.de/rke/vd/vdhome.nsf/ urll/vd_index/?OpenDocument VPN fürs SOHO E-Pipe von Stallion Technologies ist ein VPN-InternetGateway für kleine Unternehmen und Außenstellen. Er basiert auf der E2B-Technolo- Mit RSA Online bietet RSA Security ein System, das es Kunden und Geschäftspartnern des Unternehmens ermöglicht, via Web mit dem L AN line 9/2000 Residential Gateway Das DI-701-Gateway soll unerwünschte PC-Zugriffe verhindern. Das Gerät, das zwischen Kabelmodem/DSLAdapter und PC geschaltet wird, fungiert dabei als eine Art Firewall. Es ermöglicht den Internet-Anschluss von bis zu 32 Rechnern über einen Account. Mit DHCP (Dynamic Host Configuration Protocol) können durch dynamische Vergabe von IP-Adressen weitere 128 Clients des unternehmenseigenen Netzwerks angebunden werden. Ein 10/100-Dual-Speed-EthernetPort stellt die Verbindung zum Netzwerk her, und auf WAN-Seite verfügt die Lösung über einen 10-MByteEthernet-Global-Port. Zum Schutz des Netzwerks lassen sich spezifische Ports schließen. Eine Client-Software ist für den 700 Mark teuren DI701 nicht erforderlich, zur Konfiguration steht eine grafische Bedieneroberfläche für Windows zur Verfügung. (gg) Die VPN-Lösung E-Pipe Online-Tool für Kunden 50 Anbieter von Sicherheitslösungen in Verbindung zu treten. Damit sollen die Kunden einen interaktiven und personalisierten Support erhalten. Der DI-701 zum Schutz von Unternehmensnetzen www.lanline.de netzPRODUKTE/SERVICES MESSAGING Xiam-XML-Router Xiam ein Startup aus Irland, hat jetzt mit Xiam-XML sein erstes Produkt für das XMLRouting (Extensible Markup Language) vorgestellt. Der Router arbeitet mit einer regelbasierenden Routing-Engine, die die Unternehmen mit XML-basierenden Multicast-, Veröffentlichungs- und Abonnements- sowie PushTechnologien versorgt. Die Routing-Engine ist nicht nur dazu gedacht, XML zu routen und zu verteilen, sondern nutzt XML auch zur Darstellung der Regeln, mit denen die Informationen verbreitet werden. Der Xiam-XMLRouter kann in heterogenen Betriebsumgebungen einschließlich Embedded-Systemen arbeiten und wird als Hardware- und Software-Lösung angeboten werden. Eine Micro-XML-Router-Version für den Einsatz in EmbeddedSystemen ist geplant. Preise standen bei Redaktionsschluss noch nicht fest. (mw) zusammen mit dem Kommunikations-Server Hicom 150 E und der Hicom-Xpress@LAN-Lösung angeboten. Mit dieser Server-basierenden Kommunikationslösung können Anwender aus ihrem gewohnten E-Mail-System beziehungsweise aus einer Windows-Anwendung heraus Faxe senden und empfangen, SMS absetzen, einen Software-basierenden Anrufbeantworter nutzen, Sprachnachrichten versenden, im Internet surfen und gleichzeitig telefonieren. Das IxiServer-Package wird ausschließlich in Verbindung mit Hicom 150 E Office ab Ver- sion 2.2 mit Hicom Xpress @LAN (nur 2- und 3-KanalPackage) sowie für Hicom 112/118 ab Version 2.1 mit Hicom LAN Bridge (nur 1Kanal-Package) angeboten. (mw) Info: Servonic Tel.: 08142/4799-0 Web: www.servonic.com E-Mail: servonic@servonic.com Info: Xiam Tel.: 00353/1 638 48 50 Web: www.xiam.com E-Mail: robert.baker@xiam.com Servonic Ixi-Server Siemens nimmt den IxiServer von Servonic in die bestehende Produktpalette für Messaginglösungen auf. Ab sofort gibt es das Ixi-ServerSiemens-Package für drei Kommunikationskanäle mit den Funktionen Fax, Voice und SMS für die Microsoft Exchange- und PostofficeUmgebung. Das neue Servonic-Software-Package wird www.lanline.de L AN line 9/2000 51 netzPRODUKTE/SERVICES MANAGEMENT Windows-PCs verwalten Attachmate will mit der neuen Version 4.12 des Netwizard Plus alle Windows-Rechner in heterogenen Netzen zentral steuern und betreuen. Auf einem beliebigen DOS- oder Windows-Client installiert sammelt das Programm Informationen über dort vorhandene Hard- und Software und schickt diese Daten an die zentrale Managementkonsole. Auch zur Software-Distribution lässt sich das Tool einsetzen. Dabei verschickt es laut Hersteller nur die relevanten Daten an seine Clients und trägt damit zur Bandbreitenkonservierung im Firmennetz bei. Im Falle einer Netzstörung fährt das Programm nach deren Behebung mit einer begonnenen Installation fort. Die Rollback-Funktion erlaubt es dem Administrator, Installationen zu einem späteren Zeitpunkt wieder rückgängig zu machen. Um den Netzverantwortlichen vor Bußgeldern oder Gefängnisaufenthalten zu bewahren, überprüft der Netwizard gleichzeitig die korrekte Einhaltung von Lizenzverträgen. Will ein Benutzer eine nicht mehr lizenzierte Instanz eines Programms von einem Server starten, so meldet das Tool dies dem Administrator und unterbindet auf dessen Wunsch die illegale Nutzung. Hilflosen Anwendern kann der Administrator über die Remote-Control-Funktion auf die Sprünge helfen. Netwizard ist ab sofort verfügbar, Lizenzen gibt es ab 155 Mark. Ein Paket für 100 Clients schlägt mit knapp 11.000 Mark zu Buche. (gh) Info: Attachmate Tel.: 089/99351-0 Web: de.attachmate.com/products/ profile/0,1016,1642_14,00.html Remote-Access im Griff Der Netwizard von Attachmate inventarisiert Hard- und Software der Client-PCs im LAN 52 L AN line 9/2000 Den eher einfach strukturierten Radius-Servern will Acotecs Remote Access Manager for Enterprises (RAM) mehr Intelligenz einhauchen. Die Windows-NT-basierende Managementlösung arbeitet zu diesem Zweck als RadiusProxy zwischen RAS-Device und Radius-Server und ermöglicht die zentrale Verwaltung von Einwählverbindungen sowie VPN-Sitzungen. Über einen beliebigen Web- Browser spezifiziert der Administrator Regeln für den Zugriff auf das Unternehmensnetz, die der RAM anschließend umsetzt. So legt der Netzverwalter beispielsweise fest, wer sich von welchem Gerät oder Arbeitsstation aus wann zu welchen Ressourcen verbinden darf. Ein umfassendes Event-Management erkennt Richtlinienverletzungen, Mehrfachnutzung eines Accounts oder Ressourcenengpässe und generiert automatisch Meldungen als EMail oder SNMP-Trap. Sämtliche Information protokolliert Acotecs RAM in eine ODBC-Datenbank. Daraus erstellt die Software detaillierte Reports wie beispielsweise Call-by-Call-Berichte, Auflistungen aller Richtlinienverletzungen, Auslastungsdiagramme oder akkumulierte Reports pro Benutzer oder Port. Der RAM unterstützt RAS-Produkte von 3Com, Lucent, Bintec, Cisco, Intel sowie RFC 2128/2139-konforme RAS-Server. Die Verwaltung von 50 Ports (ISDN oder VPN) kostet rund 3500 Mark. (gh) Info: Acotec Tel.: 030/46706-0 Web: www.acotec.com www.lanline.de netzPRODUKTE/SERVICES MESSTECHNIK Web-Thermometer mit E-Mail Das Web-Thermometer von Wiesemann und Theis verfügt über eine EthernetSchnittstelle (Autosensing10/100-Base-T) und einen Internet-Anschluss. Der Anwender kann das Gerät vor Ort installieren und Grenzwerte eingeben. Werden diese über- oder unterschritten, meldet sich das Thermometer per E-Mail. Die Messwerte speichert es auf einer eigenen Website, die der Anwender per Browser konfigurieren und abfragen kann. Das Gerät arbeitet mit eine NTCoder PT-100-Messfühler von -45 bis 75 °C. Die Listenpreise für das Hutschienengerät beginnen bei rund 300 Euro. (db) Info: Wiesemann & Theis Tel.: 0202/2680-0 Web: www.Wut.de/57101.html Simulation und Fehlersuche Die Protokoll-Tester WWG 8630 und WWG 8631 von Wavetek Wandel Goltermann analysieren Kommunikationsprotokolle wie SS7, ISDN, V.5x, GSM oder GPRS. Das WWG 8630 soll als portabler Protokolltester Netzelemente simulieren und Mobil- sowie Festnetze analysieren. Der WWG 8631 dagegen ist ein Analysator auf PC-Card-Basis (PCMCIA) für die schnelle Fehlersuche vor Ort. Beide Geräte benutzen die gleiche Protokollanalyse-Software, sodass die Messergebnisse zwischen den Geräten portierbar sind. Auch www.lanline.de Formate anderer Geräte des Herstellers sollen unterstützt werden. Zur 86xx-Reihe gehört außerdem ein Integrationstestsystem sowie ein stationäres Überwachungssystem. (db) Info: Wavetek Wandel Goltermann Kennwort 8630/31 Tel.: 07121/86-2222 Web: www.germany.wwgsolutions.com Netzwerkanalyse bis 20 GHz Der vektorielle Netzwerkanalysator ZVM von Rohde & Schwarz arbeitet im Frequenzbereich von 10 MHz bis 20 GHz und eignet sich für die Entwicklung und Produktion von Geräten und Systemen der dritten Mobilfunkgeneration. Der Analysator misst in dem Frequenzbereich die Streuparameter mit einer Dynamik von 115 dB und in unter 500 µs pro Punkt. Der Analysator besteht aus Generator, Testset und Empfänger und erlaubt einen direkten Zugriff auf alle vier Empfangskanäle. Der ZVM arbeitet unter Windows NT und kann zum Beispiel SAW-Filter für Mobiltelefone oder Filterweichen von Basisstationen ausmessen. Auch gewobbelte nichtlineare Messungen an Verstärkern und Mischern sollen damit möglich sein. Kalibrieren kann der Anwender das Gerät über alle 7Term-Kalibrierverfahren sowie über das 15-Term-Verfahren TOM-X. Der ZVM ist ab rund 60.000 Euro erhältlich. (db) Info: Rohde & Schwarz Tel.: 089/4129-3779 Web: www.rohde-schwarz.com L AN line 9/2000 53 netzPRODUKTE/SERVICES SPEICHERSYSTEME Gadzoox-FibreChannel-Switches Gadzoox Networks hat seine Produktfamilie Capellix 2000 um zwei neue Modelle erweitert. Die Fibre-ChannelLoop-Switches Capellix 2000C und 2000F arbeiten unter anderem mit dem Standardprotokoll FC-AL und sollen den kostengünstigen Einstieg in die SAN-Technologie ermöglichen. Der Capellix 2000C verfügt über acht HSSDC-Copper-Ports und ist für den Schrankeinbau geeignet. Der empfohlene Listenpreis beträgt 2995 Dollar, was einem Port-Preis von 375 Dollar entspricht. Der Capellix 2000F ist laut Hersteller mit einem empfohlenen Listenpreis von 5795 Dollar und acht integrierten optischen Dual-SC-Ports die günstigste rein optische Switching-Lösung. Alle SAN-Switches der Capellix-2000-Reihe bieten 12 GBit/s verfügbare Bandbreite und können durch ein GBIC-Plug-in-Modul mit drei Ports auf maximal elf blockierungsfreie Ports erweitert werden. (mw) Info: Gadzoox Networks Tel.: 089/92 404 120 Web: www.gadzoox.com E-Mail: kdwittek@gadzoox.com Neues DDS-4-Laufwerk Tecmar hat die WangDAT-Produktlinie um ein neues DDS-4-Laufwerk ergänzt. Das Wang-DAT-9400Tape-Drive bietet mehr als 20 GByte natives Speichervolumen auf einer DAT-Cartridge bei einem Datendurchsatz von 2,75 MByte/s. Kapazität 54 L AN line 9/2000 und Übertragungsrate können mit der integrierten Datenkomprimierung verdoppelt werden. Das Laufwerk ist rückwärtskompatibel zu DDS1-, DDS-2- und DDS-3-Bandlaufwerken und verfügt über eine Ultra2-Wide-SCSI-LVDSchnittstelle sowie verbesserte Schreib-/Leseköpfe und 10 MByte Puffer. Das Gerät meldet per LED, wenn eine Reinigung der Köpfe erforderlich ist. Die Kopf-Band-Schnittstelle befindet sich in einer verschlossenen Kammer, die das Eindringen von Staub verhindern soll. Wang-DAT 9400 DDS-4 ist als internes Gerät und als externes Subsystem erhältlich. (mw) Info: Overland Data Tel. 02162/574 838 Web: www.overlanddata.com E-Mail: Michael_Einhaus@tecmar.com DLT-Standards zu DAT-Kosten Mit dem Faststor DLT1 präsentiert Adic den ersten Autoloader, der die neu entwickelte DLT1-Technologie von Benchmark Tape Systems integriert. Der Faststor DLT1 sichert mit sieben DLT1-Bändern automatisch alle Daten für eine volle Woche. Bei einer durchschnittlichen Kompressionsrate von 2:1 verfügt er über eine Speicherkapazität von 560 GByte und einer Durchsatzgeschwindigkeit von 6 MByte/s. Durch sein kompaktes Design passt der Faststor DLT1 auf jeden Standard-Server. In Rack-Systemen können sogar zwei Geräte auf nur sieben Zoll vertikal nebeneinander montiert werden. Das jüngste www.lanline.de netzPRODUKTE/SERVICES SPEICHERSYSTEME Mitglied der Faststor-Serie von Adic schreibt Daten im neuen DLT1-Format auf herkömmliche DLT4000-Bänder. Gleichzeitig kann er aber auch Dateien lesen, die mit DLT4000-Laufwerken aufgezeichnet wurden. VARs bieten den Faststor-DLT1Autoloader zu einem Listenpreis von 10.320 Mark an. (rhh) Skalierbare Datensicherung Der Netforce 1500 ist ein Multi-Protokoll-Server, der File-Sharing unter Windows NT/2000 und Unix ermöglicht. Dadurch ist der Einsatz in einem heterogenen Unternehmensnetzwerk für den Administrator einfach zu handhaben. Sicherheits- und Fernabfrage-Authentifizierung wird sowohl unter Unix als auch unter Windows NT/2000 unterstützt. Das Design des Netforce 1500 bietet neben dem fehlertoleranten RAID-Level 5 einen Anschluss für ein lokales TapeLaufwerk. Auf diese Weise kann zum Beispiel mit einem DLT7000-Tape-Laufwerk ein Backup angelegt werden, das die Bandbreite im Netz nicht beeinträchtigt. Die Server sind ab sofort mit Kapazitäten von 180 GByte, 360 GByte und 730 GByte verfügbar. Die Basisausführung erhält der Endkunde für 48.000 Mark. (rhh) Zur skalierbaren Datensicherung für Umgebungen von Workgroup- bis Rechenzentrumsgröße bietet Veritas die neuen Versionen 3.4 von Netbackup Datacenter und Netbackup Businesserver an. Letztere eignet sich für Workgroups und Remote Offices während Netbackup Datacenter Datenvolumina bis über ein Petabyte sichert. Beide Lösungen eignen sich für den Einsatz in Fibre-Channelbasierenden Storage Area Networks (SANs) und unterstützen die gängigen UnixDerivate, Netware, Linux, MacOS, Windows 9x und NT sowie jetzt auch Windows 2000. In NAS-Konfigurationen (Network Attached Storage) können Backup- und Recovery-Vorgänge via Network Data Management Protocol (NDMP) eingeleitet und kontrolliert werden. Erweiterungen für die einfache Sicherung und Wiederherstellung von individuellen Mailboxen und Ordnern sowie einzelner Nachrichten unter Exchange komplettieren die neuen Versionen. Netbackup Businesserver unterstützt jetzt bis zu acht Remote-Server oder Workstations. Ein einfacher Migrationspfad soll den Wechsel von Businesserver auf Datacenter erleichtern, da beide Lösungen auf dem gleichen Code basieren und über die gleiche grafische Benutzerschnittstelle verfügen. (mw) Info: Procom Technology Europe Tel.: 089/7411410 www.procom.com Info: Veritas Software Tel.: 089/94302-500 Web: www.veritas.com/de E-Mail: ce.sales@veritas.com Info: Adic Tel.: 07332/83222 www.adic.de NAS-Lösung mit 730 GByte www.lanline.de L AN line 9/2000 55 netzPRODUKTE/SERVICES INTERNET/INTRANET Application-Server für J2EE Sybase stellt die Version 3.6 ihres Application-Servers für die Java-2-Enterprise-Edition (J2EE) vor. Das Produkt bietet vollständige Unterstützung der J2EE-Technologien wie Enterprise Java-Beans, Java Servlets, Java Naming and Directory Interface (JNDI), Java Transaction Service (JTS) und der Java Database Connectivity 2.0 (JDBC). Als Client-Typen nennt der Hersteller unter anderem CORBA, XML, HTML, DHTML, Active-X, C, C++ und Powerbuilder. Die Software ist ab sofort in den Versionen Developer, Small Business, Advanced und Enterprise Edition verfügbar. (gh) Info: Sybase Tel.: 0211/5976-0 Web: www.sybase.de/produkte/ Cache am Rande des Netzes Erheblich kleiner und schneller als die hauseigene 200er-Serie ist Infolibrias Webcache Dynacache 40. Statt elf belegt das Modell 40 nur noch vier Höheneinheiten im Verteilerschrank. Durch ein Software-Upgrade auf die Version 3.0 verdreifacht sich zudem die Leistung gegenüber der Vorversion. So verarbeitet der neue Dynacache laut Hersteller jetzt 600 Caching-Operationen pro Sekunde bei einem Datendurchsatz von 60 MBit/s. Der Dynacache 40 ist mit redundanten Netzteilen, Log-Drives sowie zusätzlichen Lüftern ausgestattet, was seine Ver- 56 L AN line 9/2000 fügbarkeit deutlich erhöhen soll. Alle Komponenten lassen sich während des laufenden Betriebs austauschen. Die Software 3.0 ermöglicht der Cache-Appliance jetzt das Filtern von Inhalten, die auf Arbeitsplätzen der Mitarbeiter unerwünscht sind. Die Funktion “True-Client-IP” reicht die ursprüngliche IPAdresse des Clients an WebServer weiter, statt die Abfrage mit der IP-Adresse des Caches selbst durchzuführen. Dies soll Content-Anbietern die bessere Abstimmung ihrer Inhalte auf spezifische Nutzer ermöglichen. Das automatische Logfile-Management leitet die Informationen über das Surf-Verhalten der Mitarbeiter an einen ausgewählten Server zu Bearbeitung und Analyse weiter. Unternehmen und Internet Service Provider können den Dynacache 40 ab sofort für knapp 45.000 Dollar erwerben. (gh) Info: Infolibria Tel.: 0044 118/9657967 Web: www.infolibria.com/products/ index.html E-Mail: euro@infolibria.com Beschleuniger für SSL-Verbindungen Um Web-Server von der rechenintensiven SSL-Verarbeitung zu befreien, bietet Packeteer ab sofort den ISX50-SSL-Beschleuniger an. Das Gerät im 19-Zoll-Format findet seinen Platz zwischen WAN-Router und Web-Server und übernimmt die SSLVerschlüsselung der Verbindung zwischen dem eigenen Internet-Angebot und dem Web-Browser des Besuchers. Packeteers ISX-50 übernimmt die SSL-Verschlüsselung der Verbindung zum Besucher einer sicheren Website Der ISX-50 unterstützt neben RSA, DES, 3DES und IDEA zwölf weitere Verschlüsselungsalgorithmen und ist laut Hersteller in der Lage, bis zu 200 sichere Transaktionen pro Sekunde zu bewältigen. Ist dies zu wenig, lassen sich mehrere SSL-Acceleratoren kaskadieren. Eine FailoverPassthrough-Funktion reicht die SSL-Verbindung zum nächsten Gerät oder Server weiter, falls ein ISX-50 ausfällt. Packeteers SSL-Beschleuniger arbeitet unabhängig von dem eingesetzten Web-Server und dessen Betriebssystem. Die Administration erfolgt über die Kommandozeile. Für knapp 13.000 Dollar können Unternehmen ihre Web-Server entlasten. (gh) Info: Packeteer Tel.: 0031 182/634717 Web: www.packeteer.com/products/ isx/index.cfm Sicherheit für OnlineTransaktionen Der Legitimation-Server von Emagine ermöglicht die eindeutige Identifizierung von Kunden und deren Berechtigungen bei OnlineTransaktionen. Zur Legitimation unterstützt die Software die Verfahren Nutzername/ Passwort, PIN/TAN, Tokenbasiertes Challenge-Response sowie digitale Signaturen mit und ohne Zertifikat. Dabei kann der Administrator auch mehrere Verfahren kombinieren oder alternativ anbieten. Auf diese Weise können beispielsweise Kunden von zu Hause aus mit Hilfe einer Chipkarte über die digitale Signatur Aufträge erteilen, während bei der mobilen Nutzung von einem Laptop oder PDA aus das Challenge-Response-Verfahren zum Einsatz kommt. In vorhandene Infrastrukturen lässt sich das Tool über CORBA-Schnittstellen integrieren. Damit können alle Applikations-Server die Funktionen des LegitimationServer nutzen, die Programmiersprachen wie C++ und Java unterstützen. Die Benutzerdaten und -rechte legt das Programm in einer SQL-Datenbank ab. Die Administration erfolgt über eine grafische Benutzeroberfläche auf Java-Basis. Die Software läuft zur Zeit unter Solaris 2.7 und 2.8. Auf Wunsch portiert Emagine ihr Produkt auf weitere Plattformen wie Windows NT und 2000. (gh) Info: Emagine Tel.: 069/910-66174 Web: www.emagine.de/no_flash.htm eappserv.htm www.lanline.de netzTECHNIK SWITCH-ÜBERWACHUNG MIT SMON Monitoring-Generation für lokale Netze Das in einem herkömmlichen Shared-Media-LAN mit Hilfe von Probes durchgeführte SNMP-basierte Monitoring ist den Anforderungen heutiger Switching-Technik aufgrund der erheblich gestiegenen Anzahl der Netzwerksegmente nicht mehr gewachsen. Selbst die leistungsfähigeren RMON-(Remote Monitoring-)Probes zur Überwachung dieser Switched-LANs reichen nicht mehr aus. Als neue Methode wurde das Switch-Monitoring (SMON) entwickelt. SMON ermöglicht die Überwachung des durch einen Switch laufenden Datenverkehrs sowie von Virtual-LANs (VLANs) und die Steuerung von Switch-Funktionen für das Monitoring selber. SMON ist seit Mitte 1999 ein IETF-(Internet Engeneering Task Force-)Standard und wird ständig – entsprechend dem jeweiligen Stand der Netztechnik – weiterentwickelt. in reibungsloser Betrieb der Netzwerkinfrastruktur lässt sich nur sicherstellen, wenn alle Teile des Netzes überwacht und gesteuert werden können. Das Simple Network Management Protocol (SNMP) ist der Standard für das Management von Datennetzwerken, der allerdings nur einfache Basisfunktionen unterstützt. Die auf dem SNMP basierende Kontrolle der LAN-Probes ist in den RMON-Standards der Internet Engineering Task Force (IETF) spezifiziert. Die Remote-Monitoring-Standards RMON-I und RMON-II erweitern SNMP um die Unterstützung des Netzwerk-Monitoring durch Remote-Probes mit leistungsfähigen statistischen Funktionen. Wie SNMP war auch RMON für die früher dominierenden Shared-Media-Netze konzipiert. Für die Überwachung moderner Switched-LANs wurde das Switch-Monitoring (SMON) entwickelt. SMON wurde zunächst von Lannet, inzwischen Avaya, ehemals Enterprise Networks Group von Lucent Technologies als proprietäre Lösung konzipiert. Mitte 1999 wurde SMON zum offiziellen IETF-Standard, der E 58 L AN line 9/2000 RMON um den Bereich der SwitchedLANs erweitert. SNMP DISTRIBUTED MANAGEMENT FRAMEWORK Ein verteiltes Manage- bung definieren. Es besteht aus den folgenden Elementen: – Spezifikationen für die Struktur von Managementinformationen (SMI), sie legen die Sprache und das Format für Managementinformationen fest. Managementinformationen werden durch Datenobjekte dargestellt, die in einer universellen Baumstruktur angeordnet sind. Der Ort eines Objektes in dem Baum definiert das Objekt und wird als Object Identifier (OID) bezeichnet. – Standard-MIB spezifiziert Standardobjekte für Monitoring und Steuerung, die für unterschiedliche Arten von Netzwerkelementen nützlich sind. Diese Objekte sind in der universellen Baumstruktur unter dem Zweig MIB-2 zu MIB-Gruppen zusammengefasst (Bild 2). – Das SNMP-Protokoll definiert das Protokoll für den Datenaustausch zwischen Managementeinheiten. SNMP ist Teil der Internet-Protokollfamilie (IP) der IETF und wird gewöhnlich oberhalb des verbindungslosen User Datagramm Protocol (UDP) übertragen. RMON-I UND RMON-II RMON wurde entwickelt, um die in der ursprünglichen MIB-2 definierten Monitoring-Fähigkeiten zu erweitern. RMON stellt Standardmethoden für die Kontrolle des Betriebs mentsystem besteht aus ein oder mehreren Netzmanagementsystemen (NMS) oder Managern, die über ein Managementprotokoll mit den gemanagten Netzwerkelementen (so genannten Agenten) kommunizieren. Die Netzmanagement-Informationen werden in einer Management-Informationsbasis (MIB) or- Bild 1. Elemente einer verteilten Netzmanagement-Umgebung ganisiert wie in Bild 1 gezeigt ist. Das SNMP-Framework besteht aus ei- und Sammlung von Statistiken einer ner Reihe von IETF-Standards, die erfor- RMON-Probe zur Verfügung. In der ersten Phase der Entwicklung derliche Protokolle und Informationsstrukturen für das Netzwerkmanagement des RMON-Standards (RMON-I) wurin einer heterogenen, verteilten Umge- den zunächst MIBs und Definitionen zur www.lanline.de netzTECHNIK Ring-Infrastrukturen hinzugefügt. Mit RMON-II wurde der Standard um Gruppen zur Überwachung des über die Netzwerkschicht des OSI-Referenzmodells übermittelten Datenverkehrs erweitert. In Tabelle 1 sind die MIB-Gruppen von RMON-I und RMON-II aufgeführt. R M O N - E I N SCHRÄNKUNGEN IN EINER SWITCHED-UMGEBUNG Seit der Entwicklung des RMONStandards ist aufBild 2. Teil des MIB-2-Baums wie er in einem MIB-Browsing-Tool dargegrund der heute verstellt wird fügbaren schnellen LAN-Switches die Überwachung des über Schicht 2 des Anzahl der Netzwerksegmente in CamOSI-Referenzmodells transportierten pus-Netzen stark angestiegen. In vielen Datenverkehrs bereitgestellt. Die ersten Fällen ist jeder Anwender an einen dedineun RMON-Gruppen beziehen sich auf zierten Switch-Port angeschlossen, der Ethernet-Netze, und die zehnte Gruppe im Grunde genommen ein LAN-Segwurde zur Unterstützung von Token- ment ist. Da die dedizierte RMON-Probe nur wenige Segmente gleichzeitig überwachen kann, kann der Netzwerkadministrator keine Ansicht des gesamten Netzwerks erhalten. Neben dem Anstieg der dedizierten Segmente haben LAN-Switches auch neue Konzepte eingeführt, deren Monitoring eine andere Vorgehensweise erfordert. Das Layer2-Ethernet-Protokoll ermöglicht die Übertragung von Broadcast-Paketen, Bild 3. Struktur der IETF SMON-MIB 60 L AN line 9/2000 die alle an das Shared-Ethernet-Segment angeschlossenen Stationen erhalten. Ethernet-Switches emulieren dieses Verhalten, indem sie die Broadcast-Pakete an allen Ports reproduzieren, die als Teil eines VLAN-Segments definiert worden sind. Da das VLAN nur innerhalb des Switches existiert, kann ein herkömmlicher RMON-Probe, der an einen der Switch-Ports angeschlossen ist, den Traffic innerhalb dieses VLANs nicht sehen. IETF SMON Der von der IETF verabschiedete SMON-Standard (RFC 2613) bietet Lösungen sowohl für internes Switch-Monitoring als auch für die Steuerung eines Port-Copy-Mechanismus. Die Struktur der IETF SMONMIB ist in Bild 3 dargestellt. Die wesentliche Erweiterung des SMON-Standards im Vergleich zu RMON ist die Fähigkeit der Definition physikalischer Einheiten (beispielsweise gesamter Switches oder Switching-Fabric-Module) und logischer Einheiten (VLANs) als gültige Datenquellen für andere RMON-Gruppen. In der SMONMIB werden die an dem Switch verfügbaren Datenquellen und ihre Fähigkeiten aufgelistet. Die Integration von SMON in vorhandene RMON-Lösungen ist ebenfalls möglich. Die SMON-MIB gestattet es darüber hinaus, Statistiken für Datenquellen zu erstellen, die nicht einfach an vorhandene RMON-Tabellen angepasst werden können. Es gibt MIB-Gruppen für die Sammlung von VLAN-Verkehrsstatistiken und Verkehr unterschiedlicher Prioritätsstufen. VLANs und Prioritäten werden mit Hilfe der neuen IEEE-Standards für Packet-Tagging ermittelt. Damit ist es möglich, solche vormals internen Switch-Informationen auch in externen SMON- und RMON-Probes sichtbar zu machen. Port-Copy-Operationen werden durch eine spezielle Kontrolltabelle gesteuert. Jede Zeile in dieser Tabelle spezifiziert und aktiviert eine Port-Copy-Operation durch Angabe der zu kopierenden Datenquelle, des Ziels für den kopierten Verkehr und der Art der durchzuführen- www.lanline.de netzTECHNIK Tabelle 1. RMON-MIB-Gruppen den Port-Copy-Operation (das heißt einoder ausgehend oder beides). Es ist nun möglich, durch Verwendung einer neuen Port-Copy-Hardware mehr als einen Quell-Port an einen Ziel-Port zu kopieren oder den gesamten Verkehr eines bestimmten VLANs an den an die Probe angeschlossenen Port zu kopieren. Der RMON-II Probe-Konfigurationsgruppe wurde zudem ein neues MIB-Objekt hinzugefügt, das über den Umfang der Unterstützung Auskunft gibt, die ein bestimmtes Gerät für Standard-SMON bereitstellen kann. Die bislang besprochenen SMON-Lösungen sind hauptsächlich für das Monitoring der Layer-2-Performance geeignet. Mit diesen ist es jedoch nicht möglich, Verkehrsstatistiken einzelner IPHosts sichtbar zu machen, die sich nicht in demselben IP-Subnetz befinden wie der Layer-2-Switch. Außerdem fehlen Werkzeuge, um die in den letzten Jahren entwickelten Switches für Layer 3 und höhere Layer zu überwachen. Mit SMON-II werden Erweiterungen zur Verfügung gestellt, welche die Sammlung von Statistiken für Layer 3 und höhere Layer in einer Switched-Umgebung erleichtern. Als erste proprietäre SMON-IILösung wurde das Cajun-M770-M-MLS- SMON-II 62 L AN line 9/2000 Multilayer-Switch-Modul von Avaya im Markt eingeführt. Dieses Modul beinhaltet spezielle Hardware zur Erfassung von Statistiken auf Netzwerk- und Applikationsebene. Es ermöglicht unter anderem die Überwachung der Protokollverteilung im Switch, die Überwachung des Verkehrs in IP- und IPX-Subnetzen sowie des Verkehrs zwischen Hosts auf Netzwerkebene. ENTERPRISE SMON MIT TOP-DOWNMONITORING Ein nützlicher Ansatz für das Monitoring von sehr umfangreichen Netzwerken ist das Konzept des Topdown-Monitoring. Dabei erhält der Netzwerkadministrator eine globale Ansicht des Netzwerks, in der Probleme angezeigt und bis zu einem bestimmten Switch-Port zurückverfolgt werden können. Avayas SMON-Master stellt dem Administrator die für das Top-down-Monitoring benötigten Tools zur Überwachung von umfangreichen Netzwerken zur Verfügung (Bild 4). Der Administrator kann sich die Switch-Statistiken des gesamten Netzwerks auf einen Blick anzeigen lassen (Bild 4a), sich einzelne Switches herausgreifen (4b) und sich zusätzliche Statistiken auf Switch-, VLAN- und Port-Ebene anzeigen lassen (4c). Die erweiterte PortStatistik (4d) ermöglicht schließlich eine www.lanline.de netzTECHNIK sehr genaue Überwachung eines einzelnen Ports. VORGESCHLAGENE INTERFACETOPNERWEITERUNG Durch eine Vorverarbei- tung von Statistikanalysen in den einzelnen Netzwerkelementen werden Managementarchitekturen skalierbar, da das zentrale NMS entlastet wird und weniger Managementverkehr das Netz belastet. RMON spezifiziert einen Mechanismus, durch den die RMON-Probes das Sortieren von Host- und Matrix-Statistiken übernehmen können. Eine vorgeschlagene neue Erweiterung der IETF-RMON- und -SMON-MIBs soll die Übernahme der Sortiervorgänge für Port-Statistiken durch SMON-Geräte erleichtern. Diese InterfaceTopN genannte Erweiterung wird von der IETF-RMON-Arbeitsgruppe den üblichen Prüf- und Änderungsverfahren des Standardisierungsprozesses unterzogen. den Traffic beispielsweise an einen ZielPort senden, an den ein dediziertes Monitoring-Gerät (etwa ein Network-Analyzer) angeschlossen ist, um eine detailliertere Analyse zu erhalten. FAZIT Switch-Monitoring (SMON) ist ein wichtiges Monitoring-Tool für die Verwaltung moderner, umfangreicher Netzwerke. Es ermöglicht dem Netzwerkadministrator einen Einblick in die Switching Fabrics, aus denen das Netzwerk besteht. Im Gegensatz zu RMON behandelt SMON einen Switch eher als eine überwachte Einheit denn als eine zusammenhangslose Anordnung von LAN-Segmenten. SMON entwickelte sich aus einer von Lannet vorgeschlagenen proprietären Lösung zu einem IETF-Standard, und es wird zukünftig weiter an Verbesserungen gearbeitet. SMON-II bietet Möglichkeiten zum Monitoring von Multi-Layer-Switches. Bild 4. Top-down-Monitoring Momentan muss eine Managementstation, die mehrere Geräte verwaltet, zehntausende von Zählern mit SNMP-GetRequests abfragen. Die Anwendung der InterfaceTopN-Methode führt zu einer kürzeren Liste, in der die wichtigsten Interfaces nach ausgewählten Kriterien sortiert aufgeführt sind. Ein Netzwerkmanager könnte dann eine Port-Copy-Operation auf ein ausgewähltes Interface ausführen und www.lanline.de Enterprise SMON liefert den Rahmen zur Durchführung des Top-down-Monitoring eines mehrere Switches umfassenden Netzwerks. Durch den InterfaceTopNVorschlag wird es schließlich möglich sein, SMON-Geräten die Arbeit der Sortierung für Port-Statistiken zu übertragen. (Martyn Cooper, Technical Director Deutschland, Avaya Communication/mw) L AN line 9/2000 63 netzTECHNIK DYNAMIC DNS UND WINDOWS 2000, TEIL 1 Erst die Dynamik bringt`s Wer Windows 2000 mit all seinen Neuerungen und Vorteilen nutzen will, der muss an der Infrastruktur seines Netzwerks mitunter einige Umstellungen vornehmen. Ein wesentlicher Schritt ist die Verwendung von TCP/IP und dem Domain Name System (DNS). Doch hier kommen einige Neuerungen ins Spiel, die vom Administrator zu beachten sind. ereits bei Windows NT konnte man in der Windows-Welt seine Erfahrungen mit dem Domain Name System (DNS) sammeln. Es handelte sich dabei um eine eigenständige Implementierung des DNS, die nicht auf der im Unix-Lager üblichen Quelle der BIND-Software (Berkeley Internet Name Domain) basiert, aber trotzdem zu diesen kompatibel ist. Daher behaupteten viele, DNS sei lediglich eine optionale Einrichtung in Windows NT 4.0, denn weder NT selbst noch die NT-Domänen sind von DNS abhängig. Und in der Tat trifft es zu, dass die meisten Unternehmen, die DNSServer betreiben, diese Server nicht auf NT, sondern auf Unix am Laufen haben. Ganz anders sieht die Situation bei Windows 2000 aus. DNS spielt generell für die Funktionalität von Windows-2000-Domänen eine zentrale Rolle. Wenn eine Arbeitsstation im Windows-2000-Verbund im Rahmen des Anmeldevorgangs einen Domänen-Controller (DC) finden will, sucht sie den Namen der Servers im DNS (über die so genannten SRV-Einträge), um die Netzwerkadresse dieser Server zu ermitteln. Die Arbeitsstation fragt alle Adressen der DC der Reihe nach ab und wendet sich dann an denjenigen, der am schnellsten geantwortet hat. Damit lassen sich schon mal Probleme ausschließen, wenn ein anderer Domänen-Controller nur über eine WAN-Verbindung erreichbar ist. Eine Ausnahme hiervon gibt es nur, wenn Sites definiert sind und die Workstation ihre Site (also den Standort) schon kennt. B 64 L AN line 9/2000 Der DNS-Server bringt aber im Falle einer größeren Anzahl von möglichen Antworten das Round-Robin-Verfahren ins Spiel, das heißt, er teilt aus Gründen der Lastentkopplung jedem Client eine andere Reihenfolge mit. Jedes Gerät in einer Rechnerumgebung im Internet besitzt beim Einsatz des Protokolls IPv4 eine weltweit eindeutige, 32 Bit lange IP-Adresse (zum Beispiel 194.221. 237.254). Bei der Ausführung von Programmen, die eine Verbindung zum Internet herstellen, können diese Geräte über ihre IP-Adressen angesprochen werden. So ist ein Benutzer in der Lage, auf einen Server zuzugreifen, indem er in den Web- Browser die Zieladresse http://194.221. 237.254 eingibt. Doch die meisten Benutzer bevorzugen die Eingabe eines “lesbareren” und somit benutzerfreundlicheren Namens im Browser wie etwa http://www.updatew2k.de. Um die benutzerfreundlichen Namen zu verwenden, muss eine Datenbank existieren, die den Namen www.updatew2k.de in die Adresse 194.221.237. 254 umwandeln kann. Diese Umwandlung von Namen in Adressen wird als Namensauflösung bezeichnet. Seit 1984 verwenden Rechner im Internet hauptsächlich DNS zur Auflösung von Namen. Nach der Definition in den “Request for Comments” (RFCs) 952 und 1123 der IETF besteht ein DNS-Name eines Computers aus mehreren Teilen, die durch Punkte voneinander getrennt sind. Zum Beispiel besteht www.updatew2k.de aus den Komponenten www, updatew2k und de. Die einzelnen, Komponenten dürfen jeweils nicht länger als 63 Zeichen sein. Die einzigen in diesem RFC zugelassenen Zeichen, die in den Namenskomponenten verwendet werden können, sind die Buchstaben a bis z, die Ziffern 0 bis 9, der Bindestrich oder das Minuszeichen sowie der Punkt, der die Komponenten des Namens verknüpft. Die Neufassung für die gültigen Zeichen in einem DNS-konformen Namen im RFC 2181 bringt allerdings eine Ausweitung Bild 1. Viele Wege führen zur Installation von DNS, davon einer über diesen Assistenten www.lanline.de netzTECHNIK mit sich. Die Definition für einen gültigen DNS-Namen spricht dabei von einem “beliebigen Binärdaten-String”. Mittlerweile hat man sich darauf geeinigt, den UnicodeZeichensatz dazu zu verwenden. Deswegen verwendet Windows 2000 in DNSNamen beispielsweise auch Unterstrichzeichen. Das Dynamic DNS (DDNS) von Windows 2000 verwendet den UnicodeZeichenvorrat. Dieses Merkmal hat natürlich Konsequenzen für die Auswahl der DNS-Server. Die Registrierung eines Domänennamens übernimmt in der Regel der InternetService-Provider, bei dem man seinen Internet-Auftritt realisiert. Er wiederum bezieht sein Adresskontingent von einer im jedem Land zentralen Organisation, in der BRD das Denic. Die größte Stärke von DNS liegt in seiner hierarchisch verteilten Struktur. Eine Abfrage beim Denic zeigt schnell, dass der Name updatew2k.de in der Tat registriert wurde, offenbart aber keinerlei Informationen über diese Domäne. Die Computer von Denic können keine Auskunft darüber geben, ob es in der besagten Domäne einen bestimmten Computer gibt. Daher lässt sich auch die Frage nicht beantworten, ob ein Computer namens “oolong.update w2k.de” vorhanden ist. Selbst wenn dieser Rechner vorhanden wäre, könnte Denic dessen IP-Adresse nicht weitergeben. Mehr noch, Denic weiß oder kümmert sich in keiner Weise darum, was in der Domäne updatew2k.de vor sich geht, und gerade hier liegt die Attraktivität des hierarchischen Systems. Um funktionieren zu können, benötigt Denic nur die Namen einiger weniger Kontaktpersonen in der Domäne updatew2k.de sowie die Namen und IPAdressen von zwei Computern, die in dieser Domäne als DNS-Server fungieren. Angenommen der Domänenname upda tew2k.de wäre noch verfügbar, könnte sich jemand entschließen, diesen Namen registrieren zu lassen. In diesem Fall würde der Benutzer an die Registrierungsorganisation zunächst die Namen und IP-Adressen zweier Computer geben, auf denen eine Art DNS-Server ausgeführt wird. Die Computer könnten Rechner innerhalb des Netzwerks der Domäne upda 66 L AN line 9/2000 tew2k.de sein, oder der Benutzer könnte einfach seinen ISP dafür bezahlen, dass er die DNS-Daten auf einem seiner DNS-Server behält. Eine Maschine kann sogar als DNS-Server für viele DNS-Domänen eingesetzt werden. Der Benutzer entschließt sich zum Beispiel, einen dieser DNS-Server sozusagen bei sich (aber immer noch er- Angenommen der Benutzer erstellt Maschinen in der Domäne updatew2k.de mit Namen wie yunan.updatew2k.de, www.up datew2k.de oder darjeeling.updatew2k. de. Diese drei Namen werden den beiden DNSServern der Domäne updatew2k.de mitgeteilt. Beide DNS-Server enthalten eine Datenbank mit Informationen über die Domä- Bild 2. Über das Hinzufügen/Entfernen von Windows-Komponenten lässt sich auch das Domain Name System ebenfalls installieren reichbar aus dem Internet) auf einer Maschine mit der Bezeichnung names.upda tew2k.de (IP-Adresse 194. 221.237.250) zu betreiben und seinen ISP für den Betrieb des anderen DNS-Servers zu bezahlen. Der ISP trägt beispielsweise die DNS-Informationen der Domäne auf einem Server namens ns2.oberland.net (194.221.132.136) ein. In der DNS-Terminologie werden die beiden DNS-Server als maßgebliche Server (“Authoritative Servers”) für die Domäne updatew2k.de bezeichnet. Mit der richtigen Software ausgestattet, kann jeder Computer, der TCP/IP einsetzt, als DNS-Server fungieren. Die Implementierung mit der größten Verbreitung ist indes Berkeley Internet Name Domain (BIND) von Unix, aber es gibt auch Implementierungen auf Großrechnern (Mainframes) und Rechnern mittlerer Größe von IBM, auf VAX-Systemen von Digital (jetzt Compaq) sowie unter OS/2. ne updatew2k.de, die als Zonendatei (“Zone File”) bezeichnet wird, doch Vorsicht: Immer einer der beiden DNS-Server ist der “primäre”, der andere der “sekundäre”. Die Methode, mit der ein Datensatz, der einen neuen Computer, das heißt in der DNS-Terminologie einen neuen Host beschreibt, in die Zonendatei eines DNS-Servers eingefügt wird, hängt von der eingesetzten DNS-Server-Software ab. Die meisten DNS-Server arbeiten mit Zonendateien im ASCII-Format, sodass der DNS-Server durch eine einfache Bearbeitung dieser Datei von der Anwesenheit einer neuen Maschine in Kenntnis gesetzt werden kann. Andere Implementierungen von DNS-Servern (wie das DNS von Windows 2000 oder von Windows NT 4.0) bieten grafische Benutzerschnittstellen. Die Einträge sind bei Standard-Primary- und Standard-Secondary-Zonen – genauso wie bei BIND-Servern – ebenfalls in ASCII-Textdateien hinterlegt. www.lanline.de netzTECHNIK Nur bei den AD-integrierten Zonen von Windows 2000 gibt es keine Dateien mehr, weil hier alle Einträge im AD (Active Directory) geführt werden. Die neueren DNS-Server sind indes nicht mehr davon abhängig, über einen neuen Host informiert zu werden, da sie einen Standard implementieren, der als “Dynamic DNS” (DDNS) bezeichnet wird und in RFC 2136 beschrieben ist. In DDNS-konformen Netzwerken können sich Computer in DNS selbst eintragen, ohne dass ein Administrator die neuen Computer den DNS-Zonendateien hinzufügen muss. Wenn nun ein Client einen anderen Computer kontaktieren will, von dem er nur den DNS-konformen Namen kennt, wird ein komplexer Prozess angestoßen. Der Client – im DNS-Jargon als Requester bezeichnet – setzte eine “Resolver”-Anfrage an seinen lokalen Nameserver ab. Die server übernimmt diesen Job und versucht die Informationen für den Client zu ermitteln. Da die Anfrage “rekursiv” war, verweist der Nameserver den Client nicht einfach an einen anderen Nameserver. Angenommen, der lokale Nameserver besitzt die gewünschte Information nicht, muss er auf andere Nameserver zurückgreifen, um an die Information zu kommen. Dazu stehen ihm ebenfalls der iterative und der rekursive Weg offen. Ein kurzes Beispiel soll die rekursive Methode verdeutlichen: Ein Nameserver bekommt eine rekursive Anfrage nach einem System namens www.germany.meinefirma.com. Dann überprüft der Nameserver zuerst, ob er den oder die Nameserver für germa ny.meinefirma.com kennt. Falls dies zutrifft, stellt er die Anfrage an einen dieser Nameserver und bekommt das Ergebnis (die zutreffende IP-Adresse oder eventuell eine Fehlermeldung) zurück. Bild 3. Nur der DNS-Dienst soll hier installiert werden IP-Adresse seines lokalen Nameservers kennt er ja aus den TCP/IP-Einstellungen. Bei den Requests gibt es zwei Typen: rekursive und iterative. Im erstgenannten Fall setzt der Client eine rekursive Anfrage an den Nameserver ab, um so Informationen über eine bestimmte Domäne zu erfragen. Der Name- 68 L AN line 9/2000 Kennt der Nameserver aber die für ger many.meinefirma.com zuständigen Kollegen nicht, geht er eine Stufe höher in der Hierarchie und fragt nach, ob er die Nameserver für meinefirma.com kennt. Ist dies nicht der Fall, so muss er wieder eine Stufe höher gehen und nachschauen, ob er die Nameserver von com kennt. Sind ihm auch diese Systeme unbekannt, wendet er sich an die Root-Domäne. Spätestens die Nameserver für diese oberste Stufe in der DNS-Hierarchie sind ihm aber per Definition bekannt und von ihnen bekommt er die Aussage, welcher Nameserver als nächster in der Hierarchie – nun aber nach unten – kontaktiert werden muss. Von Vorteil erweist sich dieser Ansatz, da der Nameserver zuerst immer den “hierarchisch gesehen nächstgelegenen” Nameserver kontaktiert. Falls der die notwendige Information besitzt, wird die “Eskalation” nach oben vermieden, und letztendlich kommt man mit einem geringen Aufwand aus – der Auflösungsvorgang ist also immer möglichst kurz angelegt. Anders dagegen verhält sich der Auflösungsmechanismus, wenn iterative Abfragen ins Spiel kommen. Hier setzt der Requester eine entsprechende Anfrage an den lokalen Nameserver ab. Besitzt er diese Information nicht, gibt er seinerseits Anfragen an andere Nameserver aus. Jeder konsultierte Nameserver verweist seinerseits auf einen anderen Nameserver, der die “Verantwortung” über eine tiefer im gesuchten Namensraum liegende Zone besitzt und sich daher auch näher an den gesuchten Informationen befindet. Diese Information wird immer wieder zum lokalen Nameserver zurückgeliefert. Dadurch “arbeitet er sich sozusagen iterativ immer näher an die gewünschte Informationsquelle heran. Letztendlich fragt der lokale Nameserver den zuständigen Nameserver ab und erhält die Information. Ein weiterer Punkt, um die Auflösung zu beschleunigen, bietet sich durch den Einsatz von Caches an. Um die teilweise sehr komplexen Auflösungsvorgänge abzukürzen, merkt sich ein Nameserver in einem lokalen Speicher – dem Cache – was er im Rahmen seiner Interaktion in der DNS-Hierarchie “gelernt” hat. Er kann dann auf die Adressen vieler anderer Nameserver schneller zugreifen, da er nicht mehr die Abfragen starten muss. Seit der Version 4.9 der BIND-Software unterstützen Nameserver auch das negative Caching. Darunter versteht man die Eigenschaft, dass ein Nameserver auch die Information speichert, www.lanline.de netzTECHNIK dass eine Domäne oder aber bestimmte abgefragte Daten nicht existent sind. Wie bei allen Cache-Speichern ergibt sich aber ein Problem: Wenn die Daten zu lange im Cache liegen, können sie womöglich nicht mehr aktuell sein. Daher haben Administratoren innerhalb der Zone, für die sie zuständig sind, auch die Möglichkeit, einen Wert vorzugeben, mit dem die Gültigkeitsdauer der Informationen im ren, braucht der Administrator bei diesem System gar nichts umstellen. Nur alle anderen Nameserver im Verbund bekommen in ihrer Konfigurationsdatei den “Forwarder” über die entsprechende Anweisung mitgegeben. Die Hierarchie von DNS ist generell erweiterbar. Es könnte zum Beispiel eine Firma sowohl am Stammsitz in Grasbrunn als auch in der US-Niederlassung je einen lo- Bild 4. Eine hierarchische Struktur wartet nach der DNS-Installation auf weitere Konfigurierung Cache definiert ist. Diese “Time to Live” (kurz TTL) wird mit dem SOA-Eintrag (Start of Authority) eingestellt – lediglich für das negative Caching sind in der BINDSoftware zehn Minuten festgeschrieben. In diesem Zusammenhang ist noch die Konfiguration eines “Forwarders” zu erwähnen. Angenommen, die Anbindung an das Internet einer Firma wird über den Provider nach einer bestimmten Mengenstaffelung abgerechnet, empfiehlt es sich, den ausgehenden DNS-Verkehr auf ein Minimum zu beschränken. Wird ein Nameserver als Forwarder eingerichtet, laufen alle nach außen gerichteten Anfragen über ihn. Wenn er zugleich einen sehr großen Cache aufbauen kann, kann er mit der Zeit die meisten Anfragen zu Namen und Domänen aus seinem Cache bedienen. Um einen der Nameserver als Forwarder zu deklarie- 70 L AN line 9/2000 kalen DNS-Server betreiben wollen. Zur Eingliederung der beiden Niederlassungen kann eine zusätzliche Ebene in die Maschinennamen von updatew2k.de eingefügt werden: Anstatt auf updatew2k.de zu enden, enden die Namen der Maschinen nun mit grasbrunn.updatew2k.de beziehungsweise usniederlassung.updatew2k. de. Jeder DNS-Server verfügt über eine DNS-Unterdomäne. Bei einer Unterdomäne handelt es sich um einen zusammenhängenden Namensraum. Wird dieser von einem DNS-Server verwaltet, dann spricht man in der DNSTerminologie von einer Zone. Dies könnte beispielsweise die gesamte Domäne up datew2k.de mit allen Unterdomänen sein oder aber updatew2k.de plus lediglich der Unterdomäne “grasbrunn”, wobei ein anderer DNS-Server die Zone “usnieder lassung.updatew2k.de” verwalten könnte. Der treibende Gedanke für den Einsatz von zwei DNS-Servern ist die Zuverlässigkeit. Wenn ein Server ausfällt, kann der andere die Funktionen der Namensauflösung für updatew2k.de durchführen. Doch hierbei ist es sehr wichtig, die Server zu synchronisieren. Wenn zum Beispiel eine Maschine namens earlgreen.updatew2k.de der Domäne hinzugefügt wird, wie wird gewährleistet, dass sowohl der DNS-Server names.updatew2k.de als auch der DNS-Server ns2.oberland.net diese Informationen erhalten? Die Antwort auf diese Frage ist einfach: Zu diesem Zweck muss einfach ein Server als primärer DNS-Server und der andere als sekundärer DNSServer definiert werden. Sämtliche Bearbeitung der Zonendatei von updatew2k.de kann auf dem primären DNS-Server durchgeführt werden. Anschließend sendet der primäre Server die aktuellsten Zonendatei-Informationen an den sekundären Server. Wenn eine Maschine den sekundären Server nach upda tew2k.de abfragt, beantwortet der sekundäre Server die Abfrage mit Hilfe seiner Kopie der Zonendatei. Die Zonendatei des sekundären Servers besitzt in der Regel eine Zeiteinstellung für die “Lebensdauer”. Diese “Lebensdauer” für die Kopie einer Zonendatei auf einem sekundären DNSServer heißt “Aktualisierungsintervall” und ist im SOA-Eintrag gespeichert. Der sekundäre DNS-Server muss nach einem “Aktualisierungsintervall” von 15 Minuten versuchen, eine neue Kopie der Zonendatei zu bekommen. Klappt das nicht, hat er es jeweils nach einem “Wiederholungsintervall” von zehn Minuten neu zu versuchen usw., usw. Nach Ablauf von “Läuft nie ab” (das entspricht einem Tag) antwortet der sekundäre DNSServer nicht mehr auf Client-Anfragen. Allerdings informiert der primäre DNSServer seine sekundären Partner nur dann über Änderungen, wenn er entsprechend konfiguriert wurde. In diesem Kontext stellt sich die Frage: Welcher DNS-Server sollte der primäre, und welcher der sekundäre Server sein? Der übergeordnete ISP benötigt diese In- www.lanline.de netzTECHNIK formationen nicht und kümmert sich auch nicht darum, sodass diese Informationen auch nicht in der Datenbank dieser Firma zu finden sind. Welcher DNS-Server der primäre Namens-Server ist, lässt sich anhand des SOA-Datensatzes (“Start of Authority”) feststellen. Der SOA-Datensatz teilt außerdem dem sekundären DNS-Server mit, wie lange alte Zonendatei-Informationen zu behalten sind, gibt das Aktualisierungsintervall an und nennt die E-Mail-Adresse des technischen Kontakts der Domäne. Hierbei sollte man auch noch erwähnen, dass die DNS-Server von Windows 2000 die “Incremental Zone Transfers” unterstützen, also im Gegensatz zu klassischem DNS nur Änderungen und nicht jedes Mal die gesamte Zonendatei übertragen. Sekundäre DNS-Server können in beliebiger Anzahl eingerichtet werden. Dies klingt vielleicht vertraut, denn in mancherlei Hinsicht ähneln primäre und sekundäre www.lanline.de DNS-Server den PDCs (den primären Domänen-Controllern) und BDCs (den Sicherungs-Domänen-Controllern) unter NT 4.0 und NT 3.x., DNS und Windows 2000. DNS UND WINDOWS 2000 Ab dem RFC 2052 existieren Möglichkeiten, außer dem Mail-Server auch andere Arten von Servern im DNS zu erkennen. Dazu gibt es einen neuen Typus von DNS-Datensatz, den SRV-Datensatz. Mit Hilfe dieser SRV-Datensätze ist es möglich, einen DNS-Server abzufragen, ob ihm Maschinen bekannt sind, die als Server eines bestimmten Typs fungieren. “Windows-2000-sensitive” Maschinen suchen beispielsweise in den SRV-Datensätzen, um Domänen-Controller zu finden. Die “Windows-2000-sensitiven” Systeme nutzen zudem eine weitere DNS-Einrichtung aus: das DDNS. Wenn ein Windows-2000-Client gestartet wird, fordert er den lokalen DNS-Server auf, den Client- Namen in die Zonendatenbank aufzunehmen. Obwohl Systeme mit einer NT-Version einen DNS-Server nicht veranlassen können, ihre Namen der Zonendatenbank hinzuzufügen, verrichtet ein entsprechend konfigurierter DHCP-Server von Windows 2000 diese Aufgabe an ihrer Stelle, sodass der DNS-Server sogar ältere Maschinen dynamisch in die lokale Zonendatei einträgt. Eine DNS-Zonendatei unter Windows 2000 funktioniert in ähnlicher Weise wie eine WINS-Datenbank unter NT 4.0 und früheren Versionen. Windows 2000 nutzt DDNS aber auch auf andere Weise. Wenn eine AD-gestützte Domäne erstellt oder geändert wird, vollzieht der Domänen-Controller die Struktur dieser Domäne automatisch im AD nach. Außerdem verwendet der Domänen-Controller das DDNS, um diese Datensätze in die DNS-Datenbank einzutragen, allerdings nur wenn auf allen Domänen-Controllern der DNS-Server-Dienst installiert wurde. L AN line 9/2000 71 netzTECHNIK Zur vollen und problemlosen Nutzung zieren der Zonen-Dateien kann der DNSder Vorteile der Integration von DNS und Server aber auch auf die Dienste des AD AD empfiehlt sich der Einsatz des DNS- zurückgreifen. Daraus resultieren einige Servers, der mit Windows 2000 ausgelie- Vorteile: fert wird. Ältere BIND-basierende DNS- – Die DNS-Replikation wird vollständig Server (vor Version 8.1.2) können nicht vom AD übernommen. Es besteht kein weiter verwendet werden. Zur Arbeit mit zusätzlicher Bedarf, eine zweite RepliWindows 2000 haben DNS-Server eine kationstopologie für die DNS-Server im Reihe von Voraussetzungen zu erfüllen. Unternehmen aufzusetzen. Zunächst müssen sie den RFC 2052 (also den Datensatztyp Sichere Netzwerke mit Windows 2000 “SRV”) und den RFC Diese Artikelreihe stammt 2136 (und somit das zum überwiegenden Teil aus DDNS) unterstützen. dem Buch Viele aktuelle DNSServer-Produkte – “Sichere Netzwerke mit Windows 2000” einschließlich der aktuellen Version von (ISBN 3-8272-2014-9) des VerBIND – bieten mittlag Markt & Technik. lerweile eine solche Unterstützung. Wir danken für die freundliZudem müssen die che Genehmigung, diese Teile veröffentlichen zu dürfen. DNS-Server auch Host-Namen akzeptieren, in denen Unterstrichzeichen vorkommen. Denn viele der Datensätze, die vom AD automatisch generiert werden, – Das AD bietet eine sehr weitreichende enthalten diese Unterstrichzeichen. Da Granularität (bis auf die Ebene der EiDNS Unterstrichzeichen jedoch nicht stangenschaften) für die Replikation. dardmäßig akzeptiert, werden viele DNS- – Das AD wickelt die Replikation auf eine Implementierungen der jüngeren Zeit sichere Art und Weise ab. DDNS-Registrierungen von Namen nicht – Ein primärer DNS-Server ist nicht länger annehmen, die Unterstrichzeichen enthalein “Single Point of Failure”. Das “norten. Alternativ bietet sich ein Verfahren an, male” DNS folgt bei der Replikation eibei dem eine vorhandene DNS-Domäne in nem Single-Master-Ansatz. Dabei muss zwei oder mehr Zonen untergliedert, die der primäre DNS-Server alle sekundären Windows 2000- und NT-Maschinen in eiDNS-Server aktualisieren. Dagegen arne neue Zone verlegt, ein Windows-2000beitet das AD mit einem Multi-MasterSystem zum maßgeblichen DNS-Server Modell, wobei ein jeder Domänen-Conlediglich für diese Zone gemacht und alle troller eine Replikation auslösen kann. anderen Maschinen in der alten Zone beDie Änderungen werden dann an alle anlassen werden. deren DC weitergegeben. Wenn nun das Ein großer Vorteil des neuen DNS-SerDNS in das AD integriert ist, wickelt die vers von Windows 2000 (falls das DNS Replikationsfunktion des AD die SynAD-integriert ist) bezieht sich auf die Intechronisation der DNS-Zonen-Informagration von DNS, und zwar auf die Art und tionen sozusagen automatisch mit ab. Weise, wie das AD das Speichern des VerBeim automatischen Aktualisieren der zeichnisses sowie die Replikation hand- DNS-Einträge treten aber noch zwei Seihabt. Neben der konventionellen Vorge- teneffekte auf. Zum einen ist es mit dem hensweise beim Abspeichern und Repli- automatischen Hinzufügen von Einträgen 72 L AN line 9/2000 nicht getan. Denn es kommen nicht nur Einträge hinzu, sondern es werden auch Systeme aus einem Netzwerkverbund herausgenommen. Somit wäre auch ein automatisches Entfernen dieser “veralteten Einträge” sinnvoll. Dazu bietet der DNSServer von Windows 2000 eine Funktion, das “Scavenging”. Sie sucht in der DNSDatenbank nach veralteten Einträgen und löscht sie. Dabei hat der Administrator natürlich über einen derart gefährlichen Vorgang noch eine Kontrollmöglichkeit. Das zweite Problem beim automatischen Hinzufügen von Einträgen hängt mit der Sicherheit zusammen. Findet aber eine Integration des DNS-Servers mit dem AD statt, kann das System die gesamten Sicherheitsmöglichkeiten auch auf das DNS ausdehnen. Unter Windows 2000 lässt sich ein so genannter Security-Context definieren. Nur in diesem Rahmen können dann die Transaktionen zwischen “Aktualisierer” und DNS-Datenbank durchgeführt werden. Damit soll sichergestellt werden, dass nur “zugelassene” Systeme die Einträge ändern können. Hierbei handelt es sich um das “Secure Dynamic Update Protocol”, mit dem sich “nur gesicherte Aktualisierungen” vorgeben lassen. Doch leider ist es damit noch nicht getan, denn nun steht man vor einem Problem, wenn DNS-Einträge von DHCPServern vorgenommen werden – diese können dann unter Umständen nicht mehr geändert werden. Doch dies wird später im Rahmen dieser Serie beim DHCP-Dienst im Zusammenhang mit der Gruppe “DNSUpdateProxy” besprochen. AUFSETZEN DES DNS-SERVERS VON WINDOWS 2000 Das Installieren des DNS-Servers erfolgt beim Aktualisieren eines PDC (Primärer Domänen-Controller) mit Windows NT 4.0 auf Windows 2000 Server nahezu automatisch im Rahmen des “Dcpromo”. Bei dieser Art der Installation des DNS treten allerdings einige Gefahren und Nachteile auf, die sich im Rahmen der “automatischen” Vorgehensweise ergeben. Eine andere und empfehlenswertere Möglichkeit der Installation von DNS geht über den Assistenten “Windows 2000 Server konfigurieren”. Hier kann der Administ- www.lanline.de netzTECHNIK rator im linken Feld (Bild 1) unter “Netzwerk” die Option DNS selektieren. Doch auch explizit lässt sich der DNSServer installieren. Dazu muss der Administrator über die Startleiste auf die Einstellungen und dann auf die Systemsteuerung verzweigen. Hier ist das Software-Icon auszuwählen, mit dem Software hinzugefügt oder entfernt werden kann. Bild 2 zeigt das zugehörige Fenster. Der “Assistent für Windows-Komponenten” kommt hierbei ins Spiel. Dabei sind die Netzwerkdienste anzugeben. Allerdings sollte der Administrator hier beachten, dass er nicht die Checkbox am Anfang der Zeile ankreuzt, sondern bei leerer Checkbox nur die Option “Netzwerkdienste” angegeben (und somit grau hinterlegt) ist. In diesem Dialog ist dann unbedingt der Details-Button anzuklicken. Denn hier werden alle möglichen Dienste und Protokolle angegeben, die der Administrator installieren kann. Ein Klick auf die Checkbox www.lanline.de vor dem DNS stellt die Weiche in die korrekte Richtung (Bild 3). Danach verlangt das System nach der entsprechenden Windows-2000-ServerCD und kopiert anschließend die notwendigen Dateien. Falls das System noch nicht mit den Vorgaben und Konfigurationen für die grundlegenden TCP/IP-Einstellungen ausgestattet ist, fragt der Assistent noch nach der IP-Adresse des Servers, nach der Subnetzmaske und nach dem “Default Gateway”. Die entsprechenden Werte sind hier einzugeben. Danach folgt noch die Frage, ob bereits andere DNS-Server im Netzwerk aktiv sind. Diese Systeme müssen dann noch bekannt gemacht werden und zudem der primäre DNS-Server entsprechend gekennzeichnet werden. Ist der zu installierende DNS-Server der einzige seiner Gattung, bleibt das Feld mit den weiteren DNS-Servern einfach leer. Anschließend ist nur noch über die entsprechenden Bestätigungen – das obligatori- sche OK – aus der Konfiguration auszusteigen und danach der Assistent mit “fertig stellen” abzuschließen. Dann bleibt nur noch das Fenster zu schließen, in dem die Installation der Windows-Komponenten initiiert wurde. Denn damit ist der DNSServer schon am Laufen (allerdings sind bei dem hier beschriebenen Installationsweg noch die Forward- und Reverse-Lookup-Zonen manuell zu konfigurieren). Dies lässt sich mit dem DNS-Manager (über Programme, Verwaltung, DNS) überprüfen. Bild 4 zeigt, welche Hierarchien und Einträge direkt nach der Installation verfügbar sind. Im nächsten Teil dieser Serie kommen zum einen die Interoperabilitätsprobleme zur Sprache, die sich bei einem gemischten Betrieb mit anderen DNS-Servern ergeben, und zum anderen werden Auswege geschildert, wie sich diese Klippen sicher umgehen lassen. (Rainer Huttenloher, mw) L AN line 9/2000 73 netzTOOLBOX IM TEST: TIMBUKTU PRO 2000 Fernsteuerung von MacOS und Windows Software zur Fernsteuerung von entfernten Rechnern gibt es zuhauf. Doch beschränken sich die meisten Applikationen auf eine bestimmte Plattform. Timbuktu Pro 2000 von Netopia will hier einen Schritt weitergehen und die Betriebssysteme Windows und MacOS einander näher bringen. LANline hat sich das Produkt näher angesehen. eder Systemadministrator kennt diese Probleme: Auf dem frisch aufgesetzten Server im Keller fehlt “nur noch” ein bestimmter Treiber. Der Benutzer aus der Sales-Abteilung kommt mit den Einstellungen seines neuen Web-Browsers nicht zurecht. Und der firmeneigene Web-Server beim 50 Kilometer entfernten Internet-Service-Provider benötigt noch dringend ein Software-Upgrade. In allen Fällen muss sich der Administrator an dem betreffenden Rechner vor Ort lokal anmelden – sei es auch nur für ein paar Minuten. Die Software-Industrie hat auf diese Anforderun- J gen schon seit längerem reagiert und bringt immer ausgereiftere und kompaktere Remote-Control-Pakete auf den Markt. Diese Programme schicken die Bildschirmausgaben eines Servers auf den lokalen ClientPC des Benutzers. Gleichzeitig werden die Tastatur- und Mausbewegungen vom eigenen Rechner an den Server übertragen – man kann also den entfernten Computer genauso benutzen als säße man direkt davor. Timbuktu 2000 ist das neueste Produkt dieser Gattung aus der Software-Schmiede Netopia. Das Programm liefert der Hersteller in einer Windows- und Macintosh- Version aus. Dies ist wohl das überzeugendste Argument, Timbuktu in einer gemischten Netzwerkumgebung einzusetzen. Zum Lieferumfang der Software gehören für die Macintosh- und PC-Version jeweils ein Handbuch, eine Kurzanleitung, die Release Notes und natürlich die Installations-CDs. Die PC-Version arbeitet unter Windows 9x und NT. Die aktuelle Version ist zudem unter Windows 2000 lauffähig. MacOS wird bis System 9 unterstützt. Die Windows-Version testete LANline auf einem PII-266 mit Windows 2000, die Macintosh-Version auf einem Power-Mac 9500/200 unter System 8.1. INSTALLATION Bei der Installation der Windows-Version traten bis auf ein paar kleine Ungereimtheiten keine groben Fehler auf. Möchte man sich, nachdem die Installationsroutine gestartet wurde, noch einmal die Release-Notes mit einem Klick auf den dafür vorgesehenen Button ansehen, so führt dies zu einer Fehlermeldung. Hier wurde vom Programmierer einfach nur der Dateipfad falsch angegeben. Ein etwas größerer Nachteil ist jedoch der notwendige Neustart der Rechner nach der Installation. Gerade in einer Hochverfügbarkeitsumgebung kann dies zu Problemen führen – der Administrator sollte sich also vorher genau überlegen, wann er den Reboot durchführen kann. Hier hätte sich Netopia noch einiges bei den Konkurrenzprodukten wie zum Beispiel Remotely Anywhere abschauen können, die ohne Neustart bei der Installation auskommen. Bei der Macintosh-Installation sind die Probleme ähnlich. Hier müssen sogar schon vor der Installation alle anderen Programme beendet werden. Der anschließende Reboot bleibt einem hier auch nicht erspart. Unter Windows kann Timbuktu als Dienst gestartet werden. Hierbei aktiviert sich das Programm automatisch beim Hochfahren des Rechners. Dies ist besonders bei der Fernwartung von Servern nützlich und notwendig. FERNSTEUERUNG Den Kontakt zu einem Timbuktu Pro bei der Fernsteuerung eines Windows-Rechners. Gleichzeitig läuft im Hintergrund ein Datenaustausch. 74 L AN line 9/2000 entfernten Rechner stellt Timbuktu direkt über eine TCP/IP-Verbindung her. Zusätzlich unterstützt die Software eine direkte Modem-zu-Modem-Verbindung. Dieses www.lanline.de netzTOOLBOX Feature wurde jedoch nicht getestet, da eine solche Konfiguration in der Praxis wohl nur in sehr seltenen Fällen – beispielsweise bei hohen Sicherheitsanforderungen – verwendet wird. Bei der IP-Verbindung muss der Administrator zunächst den entfernten Rechner mit Hilfe der IP-Adresse identifizieren. Danach kann er den Rechner entweder als Eintrag in ein Adressbuch aufnehmen oder einen Shortcut für eine Remote-Control-Session mit diesem Rechner auf dem eigenen Desktop anlegen. Der Benutzer hat zusätzlich die Möglichkeit, durch einen Rechtsklick auf einen Timbuktu-Rechner in der Netzwerkumgebung über das Kontextmenü die verschiedenen Features wie Remote-Control oder FileAustausch auszuwählen. Dies ist jedoch nur bei Windows-Rechnern möglich. Ist die Bildschirmauflösung auf dem ClientRechner geringer als auf dem Server, bewegt die Software den Bildschirminhalt des Servers automatisch in die Richtung, die der Benutzer mit der Maus vorgibt. Dies vereinfacht die Fernbedienung sehr, vor allem im Helpdesk-Einsatz. Das Fernsteuern von mehreren Rechnern funktionierte ohne einen merklichen Performance-Verlust. Auf der Mac-Seite kann man nun endlich auch das Hintergrundbild während einer Remote-Control-Session ausblenden. Dadurch verringert sich die www.lanline.de LDAP UND E-MAIL-REGISTRIERUNG Um sich an einen entfernten Rechner anmelden zu können, musste der Benutzer bisher die jeweilige IP-Adresse des Servers kennen. In der aktuellen Version kann der Administrator nun zusätzlich einen LDAP-Server konfigurieren, an dem sich der Rechner automatisch anmeldet. ,Sfr. 14 110,00 ,- ÖS ril 20 DM 14 . 4, Ap Nr e.de lanlin www. 4 zin für Maga Das ion nikat ommu d Telek n- un , Date Netze s twork d Ne und WAN erge N Conv fonie im LA TAPI 3.0 le stelle n IP-Te hnitt -Netze in IP ediasc lität gen Multim ösun icequa CTI-L Serv sicht über Markt ng war tu Fern ternet s via In 2000 k e-Shop Laplin Onlin te ar ie st im Te zur M , skalierb l ig Günst ofessionel und pr Netopia bietet diesen Dienst sogar kostenlos an, jedoch sollte gerade bei großen Windows-2000-Netzwerken ein LDAPServer zur Grundausstattung gehören. Nach einer etwas längerer Suche und einem Anruf beim Support des deutschen Distributors stellte sich allerdings heraus, dass LDAP nicht von der MacintoshVersion von Timbuktu unterstützt wird. Anders sieht es bei einer weiteren Feinheit des Programms aus, dem so genannten Internet-Locator-Dienst. Dieser wird ebenfalls von Netopia kostenlos angebo- : h an c i s n det wen sspezialistiealisten e n i l LAN unikationationsspezen mm tor nik ● Ko ekommu ministra d l n ● Te tzwerk-A anager treuer vider e-Pro c i ● Ne tzwerk-M und IT-Be leute v r Se h ● Ne anager net-Fac onal bei s M a n r r e t e T t I n p s I i l t/ ● Fach erne pezia ce ● Int hnisches lefonies nd VARs tzerservi e u c u T e n n r T e e e r t B ● mpu grato e im ● Co tem-Inte Fachleut ler s d y ● S N-/COM Fachhän ● LA N-/COM- der i ● LA -Entsche V D ● rvert: Se n erpunk unge Schw ster-Lös are w lu und C s und Net ainframe 4 0 w M Windo ren den ie 2 714 00 2-4172 attack 039 4 398 094 ISSN 73 B 306 a Firm 2000 April 2000 April e mbH ANlin llschaft L i AW sgese 3 g ng 1 Verla ischer Ri n n Breto Grasbrun 101 0 6 8563 9/4 56 1 200 8 0 6Tel.: 89/4 56 1 0 Fax: nline.de .la www Menge der Daten, die gesendet werden müssen, beachtlich. Dies macht sich sehr stark beim Öffnen, Schließen und Verschieben von Fenstern bemerkbar. n unge ion r-Lös nikat uste ommu und Cl d Telek rvern- un s/Se , Date twork d Ne Netze erge zin für Conv Maga s Da - und aten D , e Netz n für n i z a Mag atio Das mmunik o Telek Timbuktu Pro kontrolliert einen Macintosh-Rechner. Die Shortcuts für die einzelnen Funktionen lassen sich sehr einfach verwalten. in Sie e n r e Ford heft an! e Prob e Nam ame Vorn Str. Ort PLZ/ L AN line 9/2000 75 netzTOOLBOX ten. Der Benutzer trägt hierbei in der Software seine E-Mail-Adresse ein, die das Programm anschließend mit der aktuellen IP-Adresse an Netopias Server übermittelt. Das Nachsehen der eigenen IP-Adresse bleibt dem Benutzer dabei erspart. Der Administrator kann sich durch Das Macintosh-Dateiformat Eine Macintosh-Datei besteht immer aus zwei Teilen. Diese werden als “data fork” (Datenzweig) und “resource fork” (Ressource-Zweig) bezeichnet. Der Datenzweig ist – auch wenn er leer sein kann – obligat, der Ressource-Zweig ist optional. Bemerkbar macht sich diese Zweiteilung beim Datenaustausch via E-Mail. Da der Ressource-Zweig in der Nicht-Mac-Welt unbekannt ist, wird er beim elektronischen Übermitteln einfach ignoriert und geht verloren. Damit das nicht passiert, müssen vor dem Versenden alle Informationen in der Data-Fork untergebracht werden. Das geschieht bei der Komprimierung der Daten mit Programmen wie “Stuffit” oder “Zipit”. Da kleinere Dateien auch Übertragungszeit sparen, ist das “Stuffen” oder “Zippen” die beste und sicherste Lösung. die Eingabe der E-Mail-Adresse des Servers mit dem entsprechenden Rechner verbinden. Sehr interessant wird der Einsatz dieser Funktion auf Laptops von Benutzern, die von unterwegs aus eine kurze Hilfestellung vom Administrator benötigen. Im Test funktionierten beiden Funktionen problemlos. Zum Einsatz kam hier der LDAP-Server von Netopia. DATEIÜBERTRAGUNG Zum Test der Dateiübertragung kamen zwei verschiedene Dateitypen zum Einsatz: eine rund 3 MByte große MP3-Datei sowie ein 100 KByte großes Word-97-Dokument. Bei der Übertragung vom Macintosh auf den PC traten bei beiden Dateien keinerlei Fehler auf, die DOC-Datei ließ sich nach dem Import in Word 97 problemlos weiterverarbeiten. In der umgekehrten Richtung funktionierte jedoch nur die Übertragung des Soundfiles; die Word- 76 L AN line 9/2000 Datei war am Macintosh unlesbar, was jedoch mit der Art und Weise zusammenhängt, wie Dateien beim Mac aufgebaut sind (siehe auch Kasten “Das Macintosh-Dateiformat”). Netopia bewirbt auch eine so genannte “Find File” Funktion, mit der sich recht einfach Dateien auf der entfernten Maschine finden lassen sollen. Jedoch verschweigt der Hersteller, dass dies nur zwischen zwei Macintosh-Rechnern funktioniert. POPUPS Beim Einsatz von Timbuktu in einer Helpdesk-Umgebung ist es manchmal für den Administrator sehr nützlich, mit dem Benutzer am anderen Ende in Kontakt zu treten. Dies ist einerseits durch eine Chat-Funktion möglich, bei der sich Administrator und Benutzer auf dem Bildschirm unterhalten können. Zusätzlich gibt es die Möglichkeit, so genannte Flash-Notes an einen anderen Rechner zu schicken. An diese Flash-Notes kann der Benutzer sogar Dateien anhängen – jedoch nur mit den vorher beschriebenen Einschränkungen des Macintosh-Dateisystems. Zusätzlich könnten sich zwei Anwender sogar mit Hilfe eines Mikrofons und Lautsprecher auf beiden Seiten direkt unterhalten. Im Zeitalter von Mobil- und Festnetztelefonen ist dies jedoch ein eher überflüssiges Feature, das wir deswegen auch nicht weiter getestet haben. SICHERHEIT Sehr vorteilhaft für den Ad- ministrator sind die Sicherheits-Features des Programms. So lässt sich der Bildschirm des ferngesteuerten Rechners ausblenden, solange der Administrator die Kontrolle über den Rechner hat. Außerdem werden die Passwörter und laut Aussage des Supports auch der gesamte Datenstrom bei der Übertragung verschlüsselt, sodass ein Mitschnitt des Passwortaustausches unmöglich wird. Vereinfacht wird die Benutzerverwaltung auf der Windows-NT-Plattform durch die nahtlose Einbindung der NT-Benutzer. Zusätzlich können den verschiedenen Benutzern unterschiedliche Rechte unter Timbuktu zugeteilt werden. So kann man zum Beispiel dem Administrator nur gestatten, die Veränderungen am anderen Rechner zu beobachten, jedoch nicht selber einzugreifen. Es ist sogar möglich, nur nach Bestätigung der Person am kontrollierten Rechner eine Remote-ControlSession zu starten, vorausgesetzt, es befindet sich auch jemand am anderen Ende. Unter Windows NT werden außerdem alle Operationen im Eventlog mitgeschrieben, beim Macintosh in einer separaten Log-Datei. DEINSTALLATION Die Deinstallation von Timbuktu ist leider – wie die Installation – recht unglücklich gelöst. Auf beiden Plattformen ist nach der Deinstallation ein Neustart notwendig. Beim Macintosh muss sich im Rechner zusätzlich noch die Installations-CD befinden, denn dort entfernt die Installationsroutine das Programm. Unter Windows ist die Situation für den Administrator noch schlimmer. Denn zur Deinstallation muss – anders als beim Macintosh – das Programm selbst beendet sein. Der Administrator ist also gezwungen, vor Ort am Rechner zu sein, um eine Deinstallation durchzuführen. Hier muss Netopia also auch noch Hausaufgaben machen. FAZIT Timbuktu Pro 2000 überzeugt durch seine Möglichkeiten in einer gemischten Netzwerkumgebung. Der Einsatz als Administrations-Tool für Server ist sehr zu empfehlen, hier bleiben keine Wünsche offen. Auch im Helpdesk-Bereich kann Timbuktu das Programm der Wahl sein, jedoch könnte hier der etwas überhöhte Preis abschrecken. Das Programm kostet rund 550 Mark für zwei, 1925 Mark für zehn Lizenzen und 5100 Mark für 30 Lizenzen. Zu bemerken ist, dass der Support des deutschen Distributors Brainworks sehr freundlich und zuvorkommend war. Die Techniker konnten kompetent und detailgenau alle Fragen zu Timbuktu beantworten. (Fabian Warkalla/gh Info: Netopia/Brainworks Tel.: 089/326764-0 Web: www.netopia.com/software/ products/tb2/2000/ www.lanline.de netzTOOLBOX O&O BLUECON 2000 IM TEST BluescreenAdministration Schon eine defekte Treiberdatei kann dafür sorgen, dass Windows NT oder Windows 2000 nicht mehr booten. Ein Tool zur Fehleranalyse und -behebung unter NT ist das schon länger erhältliche ERD Commander von Winternals (siehe LANline 4/2000, Seite 72). Nun bietet die Berliner Software-Schmiede O&O mit Bluecon 2000 eine Alternative, die auch unter Windows 2000 läuft, deutlich weniger kostet und den “Platzhirsch” in einigen Punkten ausstechen will. ootet ein Windows-NT/2000-SysMit Befehlen wie COPY, DEL, ATtem nicht mehr, stehen dem Admi- TRIB und MD kann der Administrator nistrator nur wenige Optionen offen. Ei- Dateien kopieren, löschen, ihre Attribune Erleichterung bedeutet eine 500 te verändern und Verzeichnisse erstelMByte große FAT-Partition auf dem len, so wie einst unter DOS oder an der Server (idealerweise als Systempartiti- NT/2000-Eingabeaufforderung. Damit on), denn sie ermöglicht die schnelle In- werden beispielsweise Treiberdateien stallation einer Minimalversion von gelöscht, die defekt sind und den SysWindows NT, welche wenigstens den temstart verhindern. DELTREE löscht Zugriff auf die NTFS-Dateisysteme des einen ganzen Verzeichnisbaum. BeachServers ermöglicht, ohne zwingend auf ten muss der Administrator, dass Bluediese schreiben zu müssen. Die Parallelinstallation ermöglicht sogar das Bearbeiten der Registrierung des defekten NT/2000- Bluecon 2000 verhält sich wie der DOS-Prompt, läuft aber im BlueSystems, allerdings screen von Windows NT/2000, ab startet somit vor fehlerhaften Diensten, Treibern und Programmen sind dazu gewisse Kenntnisse der Registrierungsdateien und der Registrie- con 2000 möglicherweise die Laufrungseditoren vonnöten. Diese Vorge- werksbuchstaben anders als NT/2000 hensweise ist daher weder komfortabel zuweist; der Befehl INFO gibt Ausnoch schnell. Bequemer ist Bluecon kunft, welche Festplatte einem Buch2000, das zudem noch weitere Funk- staben zugeordnet ist. Bluecon bietet tionen bietet. Es unterbricht den Boot- einen einfachen Texteditor (EDLIN), Vorgang des Betriebssystems während mit dem sich zum Beispiel die Datei des “blauen Bildschirms“, um eine BOOT.INI oder andere KonfigurationsDOS-ähnliche Oberfläche bereitzu- dateien bearbeiten lassen. stellen. Die Tastatur lässt sich zwiWeitere Befehle ändern Startart von schen US- und deutschem Layout um- Diensten und Gerätetreibern. So lassen schalten. sich defekte Gerätetreiber oder Dienste B 78 L AN line 9/2000 deaktivieren. Oder versehentlich unter NT/ 2000 abgeschaltete Gerätetreiber (zum Beispiel für einen SCSI-Controller) wieder aktivieren. Insgesamt gibt es drei Möglichkeiten, Bluecon 2000 zu starten. Nach der Installation kann der Administrator BootDisketten erstellen, eine startbare CD vorbereiten oder den Start von der Festplatte aktivieren – in diesem Fall unterbricht das Programm den Boot-Vorgang auf Tastendruck. Beim Erstellen der Disketten benötigt Bluecon 2000 die drei (NT) oder vier (Windows 2000) Installationsdisketten, welche die Software anpasst. Sind die Installationsdisketten nicht greifbar, kann der Administrator sie mit Hilfe der NT/ 2000-CD erstellen. Das Anlegen einer startbaren CD erfordert etwas Handarbeit. Zunächst kopiert der Bluecon-Assistent alle erforderlichen Dateien in ein Verzeichnis auf der Festplatte, die dann mit einem Brennprogramm auf CD gebracht werden. Dabei muss der Benutzer im Brennprogramm bestimmte Optionen angeben, welche die Online-Hilfe von Bluecon 2000 nennt. Praktischerweise ist im Fenster zum Erstellen der CD eine Schaltfläche enthalten, die das entsprechende Thema der Hilfe direkt anspringt. START VON DER FESTPLATTE Am ein- fachsten ist der Start von der Festplatte. Das Tool gibt bei entsprechender Konfiguration während des Bootens von Windows NT/2000 eine Meldung aus, woraufhin der Administrator per Tastendruck den Startvorgang des Betriebssystems unterbricht und dabei Bluecon 2000 aktiviert. Dabei muss er Namen und Kennwort des Administrators eingeben. Änderungen sind nur an derjenigen Installation möglich, deren Boot-Vorgang unterbrochen wurde. Da das Betriebssystem in diesem Moment noch nicht vollständig gestartet ist, funktioniert die Software auch bei mehreren (aber nicht bei allen) Startproblemen. Beim Start von Disketten oder CD entfällt die Eingabe das Namens und des Kennworts des Admins, und Bluecon 2000 fragt bei be- www.lanline.de netzTOOLBOX stimmten Befehlen, an welcher der existierenden NT/2000-Installationen die gewünschten Änderungen vorgenommen werden sollen. Besonders leistungsfähig ist der Befehl PASSWD, der das Kennwort eines beliebigen Benutzers (auch des Administrators) ändert. So ist es kein Problem mehr, wenn der Administrator die Firma verlassen und das Kennwort “mitgenommen“ hat. Der Systemadministrator kann dank Bluecon 2000 ein neues Kennwort einstellen, sofern er physischen Zugang zum Rechner besitzt und ein Ausfall des Systems für knapp zehn Minuten hinnehmbar ist. Diese Tatsache unterstreicht die Wich- Benutzer zunächst den textbasierenden Registrierungseditor. Mit DOS-ähnlichen Befehlen kann er sich ohne Berücksichtigung der Schlüsselberechtigungen im hierarchischen System der beiden Hauptstrukturen HKEY_ LOCAL_MACHINE und HKEY_ USERS bewegen, wobei unter den USERS leider nur der Vorgabebenutzer angezeigt wird und nicht alle lokal auf dem System existierenden Benutzerprofile. REGELMÄSSIGES SICHERN DER REGISTRIERUNGSDATENBANK Eine in- teressante Zusatzfunktion ist die regelmäßige Sicherung der Registrierungs- Der Test verlief ohne Schwierigkeiten. So bereitete es kein Problem, die CD zu erstellen. O&O-Software empfiehlt dazu die Recording Software CDRWIN von Goldenhawk. Die kostenlose Demoversion des Brennprogramms (http://www.goldenhawk.de) schreibt zwar nur mit einfacher Geschwindigkeit, was wegen der geringen Datenmenge (4,5 MByte) in diesem Fall keine echte Einschränkung darstellt. Auch das Erstellen der Boot-Disketten verlief reibungslos. Ebenso funktionierten die Befehle zum Bearbeiten von Textdateien und der Registrierung, allerdings kann Bluecon 2000 keine Inhalte von Binärwerten oder von Werten ohne Namen bearbeiten. Der mächtige PASSWD-Befehl hingegen überzeugte nicht ganz. In den meisten Konfigurationen arbeitete er zwar korrekt, aber auf einem Domänen-Controller unter Windows 2000 blieb PASSWD wirkungslos. Offenbar ist der Befehl nicht in der Lage, auf die Active-DirectoryDatenbank zuzugreifen. FAZIT Im Vergleich zum direkten Kon- Ein Assistent hilft beim Erstellen der startfähigen CD-ROM und der zugehörigen Boot-Disketten tigkeit, Server nicht an allgemein zugänglichen Orten aufzustellen. Zudem sollte das Diskettenlaufwerk im BIOS abgeschaltet und der BIOS-Zugriff mit einem Kennwort geschützt werden. Geht auch dieses Kennwort verloren, ist eine Software-Lösung machtlos – der Rechner muss geöffnet werden, damit das NVRAM per Jumper gelöscht werden kann. ARBEITEN DIREKT AN DER REGISTRIERUNGSDATENBANK Im Gegensatz zu ERD Commander ist es mit Bluecon 2000 möglich, direkt an der Registrierung zu arbeiten. Dazu startet der 80 L AN line 9/2000 datenbank; sie stellt eine stark erweiterte Variante des NT-Tools RDISK dar und kopiert bei jedem Systemstart alle Registrierungsdateien in ein lokales Verzeichnis, wobei der Administrator die maximale Anzahl der gesicherten Kopien mit einer grafischen Oberfläche unter Windows NT/2000 konfigurieren kann. Festplattenspeicherplatz spart die Möglichkeit ein, nur geänderte Registrierungsdateien zu sichern. Um eine ältere Registrierungsdatenbank wiederherzustellen, muss der Administrator den Bluecon-Textmodus aufrufen. Dort kann er auch die Datenbank per Hand sichern und die Sicherungsoptionen ändern. kurrenten ERD Commander macht Bluecon eine gute Figur. So kann die Software die Registrierung und Textdateien bearbeiten und die Registrierung regelmäßig sichern. Zudem sind Online-Hilfe und Tastaturbelegung in Deutsch. Wer Windows NT auf AlphaSystemen einsetzt oder Software-basierende, fehlertolerante Dateisysteme verwendet (Stripe Sets, Datenträgersätze/Volume Sets oder Spiegelsätze), kommt um den ERD Commander nicht herum. O&O Bluecon 2000 kostet in der Einzelplatzlizenz etwa 85 Mark. Der Preis für die 25-Rechner-Lizenz beträgt zirka 1602 Mark. Eine kostenlose Testversion steht unter www.oo-soft ware.de zum Download bereit. (Andreas Roeschies/mw) Info: O&O Software Tel.: 030/4303 4303 Web: www.oo-software.de E-Mail: iinfo@oo-software.de www.lanline.de netzTOOLBOX ETHERPEEK 4.02 IM TEST Netzgeheimnissen und -fehlern auf der Spur LAN-Analysatoren zählen noch immer zu den eher exotischen Werkzeugen im Sortiment von Netzschaffenden. Dabei gäbe es im Internet-Zeitalter, in dem interne und externe Netze zunehmend verschmelzen, genügend aufklärende Arbeit für sie. Grund für den oft zurückhaltenden Einsatz ist die verbreitete Meinung, dass Analysatoren zu teuer und zu kompliziert zu bedienen sind. Mit Etherpeek bietet AG Group ein interessantes Tool an, das zumindest diese Vorurteile abbauen kann. Das LANline-Lab wagte neue Einsichten in die spannende Welt der Pakete und Protokolle. it Cisco Systems International und den Novell Authorized Education Centers kann die AG Group bereits auf namhafte Partner verweisen, die ihre Trainingsprogramme auf den LAN-Analysator Etherpeek standardisiert haben. Dies liegt sicherlich nicht zuletzt auch an seiner einfachen Inbetriebnahme und Bedienung. Etherpeek nutzt für die Paketaufzeichnung Win- M dows-Netzkartentreiber ab NDIS3 mit Unterstützung des Promiscuous Mode. Die Netzanalyse funktioniert daher mit fast jedem Ethernet-Adapter für Windows 95/98 beziehungsweise Windows NT/2000. Diese Flexibilität gegenüber proprietären Hardware-Lösungen wird allerdings mit deutlichen Paketverlusten in 100-MBit/s-Netzen bei höherem Verkehrsaufkommen bezahlt. Der Her- Bei der Dekodierung von Datenpaketen beherrscht Etherpeek alle wichtigen Protokollfamilien 82 L AN line 9/2000 steller empfiehlt daher als HardwareBasis für Fast Ethernet mindestens einen Pentium-II-Rechner mit 400 MHz und 128 MByte RAM. Allerdings unterstützen keineswegs alle Kartentreiber die volle Funktionalität. Für die Ermittlung von Fehlerstatistiken und die Analyse fehlerhafter Datenpakete eignet sich in aktuellen 100-MBit/s-Netzen ausschließlich der mitgelieferte Treiber für Adapter auf PCI/Cardbus-Basis mit Chipsatz von Digital Equipment (DEC). Es empfiehlt sich daher ein Besuch auf der entsprechenden Web-Seite des Herstellers (www.aggroup.com/support/hardware/ epw), auf der getestete Ethernet-Adapter mit ihren spezifischen Eigenschaften verzeichnet sind. Leider wechselt mit der aktuellen Version 4.02 von Etherpeek die besondere Unterstützung NE2000-kompatibler Karten auf solche mit DEC-Chipset. Der im LANline-Lab speziell für diesen Einsatzzweck – passend zur Vorgängerversion – ausgewählte Cardbus-Adapter von D-Link konnte daher nicht mehr mit dem neuen Spezialtreiber verwendet werden. Abgesehen von den genannten Einschränkungen bezüglich nicht eingefangener Fehlerpakete arbeitet die Karte jedoch problemlos mit Etherpeek zusammen. Ein Capturing über das DFÜ-Netzwerk von Windows 95/98 wird von Etherpeek offiziell nicht unterstützt. Die Entwickler haben dem Produkt allerdings – mit entsprechendem Hinweis – einen DFÜ-Treiber beigelegt. Im LANline-Lab tauchten prompt Probleme bei der Installation sowie im Betrieb (“Runtime Error...”) der DFÜ-Unterstützung auf. Etherpeek lässt sich daher kaum für Anwender empfehlen, die verdächtigen Aktivitäten über ISDN- oder Modemverbindungen nachgehen möchten. AUF PAKETFANG IM KABEL Jede Spurensuche im Netz beginnt mit einer möglichst klaren Fokussierung auf die zu untersuchenden Netzobjekte. Nur so lassen sich eine Informationsschwem- www.lanline.de netzTOOLBOX me unrelevanter Datenpakete vermeiden und der kostbare freie Arbeitsspeicher zur schnellen und verlustfreien Pufferung eingefangener Pakete optimal nutzen. Gefragt ist eine möglichst effiziente Filterung der zur weiteren Analyse einzufangenden Pakete. Etherpeek bietet hierzu zunächst eine einfache Auswahl beziehungsweise Eingabe von Netzknoten und verbreiteten Anwendungsprotokollen wie HTTP, Lotus Notes oder MSN Messenger. Nicht vorgegebene Protokolle lassen sich über ihre Port-Adresse vom Anwender selbst definieren. Wer noch mehr ins Detail gehen möchte, kann komplexere Filter mit logischen Operatoren und Bedingungen wie spezielle Werte oder Textpassagen, auf die hin einzufangende Datenpakete durchsucht werden sollen, anlegen. Einmal definierte und abgespeicherte Filter sind anschließend bequem mit einem Mausklick aktivierbar. Sie lassen sich auch in der späteren Analyse universell zur Auswahl und gefilterten Anzeige von Paketen verwenden. Zu den Einsatzmöglichkeiten zählt auch das Filtern in Verbindung mit Triggern. Trigger definieren Bedingungen, die eine Paketaufzeichnung auslösen beziehungsweise beenden. Auf diese Weise lässt sich ein Netzwerk auch über einen längeren Zeitraum auf eine zeitlich nicht vorhersehbare Situation hin überwachen, die bei ihrem Eintreten automatisch aufgezeichnet wird. Wer immer schon wissen wollte, wer des Nachts einen bestimmten Dateitransfer im LAN initiiert, kann dies mit Hilfe von Etherpeek durchaus herausbekommen. Zusätzlich zur automatischen Paketaufzeichnung löst das Analyseprogramm auf Wunsch auch eine Benachrichtigung in Form eines Protokolleintrags, einer SMTP-Mail, einer PagerNachricht oder eines beliebigen zu startenden Programms aus. Etherpeek 4 beherrscht mehrere gleichzeitig aktive Capturing-Windows mit jeweils eigenen Filtern und Statistiken. So lässt sich zum Beispiel während einer Paketaufzeichnung eine andere abgeschlossene 84 L AN line 9/2000 Sitzung parallel analysieren und als Referenz heranziehen. NETZGEHEIMNISSE IM KLARTEXT Zur verständlicheren Klartextanzeige eingefangener Pakete beherrscht Etherpeek die Dekodierung der wichtigsten Protokollfamilien wie Internet-Anwendungsprotokolle (IP), IPv6, Appletalk, Netware IPX/SPX, NetBIOS und SMB (Server Message Block). Wer sich in der Welt der Protokollkürzel noch nicht so sicher fühlt, erhält jederzeit entsprechende Kurzbeschreibungen der Protokollfunktion, die allerdings Grund- eine Übersicht aller aktiven Netzknoten mit übertragener Datenmenge, die jeweiligen Kommunikationspartner einzelner Knoten inklusive verwendeter Protokolle sowie die mengenmäßige Protokollverteilung im Netz. Entsprechende Statistiken für das gesamte Netzwerk werden auch unabhängig von Paketaufzeichnungen ab dem Start von Etherpeek automatisch geführt. Auf diesem Weg ist ein erster schneller Überblick über den überwachten Netzbereich gewährleistet. Im Praxiseinsatz wird der Anwender schnell die insgesamt angenehm zu bedienende Oberflä- Etherpeek führt automatisch für jeden Netzknoten Verkehrsstatistiken wie Kommunikationspartner und Protokollverteilung kenntnisse nicht ersetzen können. Die Anzeige der Paketinhalte, die bereits während einer aktiven Aufzeichnungssitzung jederzeit möglich ist, erfolgt in einem übersichtlichen, optional zweigeteilten Fenster: Es lassen sich sowohl die Rohdaten anzeigen als auch die dekodierten Paketinformationen, die in einer flexiblen Baumdarstellung und aufgegliedert nach den verschiedenen Protokollebenen dargestellt werden. Bereits während der Paketaufzeichnung präsentiert Etherpeek in Echtzeit die wichtigsten Eckdaten der aufgezeichneten Netzaktivität. Dazu zählen chenlogik zu schätzen wissen. So wird der Griff zum ausführlich informierenden Handbuch schon nach kurzer Einarbeitungszeit überflüssig. Ein interessantes Feature von Etherpeek sind die so genannten Plug-in-Module, mit denen sich die Basiseigenschaften des Analyseprogramms um “Expertenwissen” erweitern lassen. Auf IP-Ebene werden dann doppelt vergebene IP-Adressen, versuchte “Land”-Attacken (IP-Pakete mit identischer Quell- und Zieladresse) sowie übergroße IP-Pakete (zum Beispiel “Ping-ofDeath”-Attacken) automatisch von www.lanline.de netzTOOLBOX Etherpeek gemeldet. Auf Anwendungsebene analysieren entsprechende Plugins für geläufige Internet-Dienste das Nutzungsverhalten der Anwender. So lassen sich beispielsweise in Echtzeit aufgerufene HTTP-URLs, FTP-Downloads und -Uploads sowie die Newsgroups-Nutzung protokollieren. So mancher Netzbenutzer dürfte nach der Konfrontation mit solchen Aufzeichnungen rote Ohren bekommen. Abgerundet werden die Analysatoreigenschaften von Etherpeek mit der Funktion, Pakete zu Testzwecken gezielt zu versenden. Die Ausgangsbasis dazu ist ein bereits aufgezeichnetes Paket; es lässt sich zwar inhaltlich nachbearbeiten, nicht jedoch in seiner Größe verändern. Dies schränkt die Simulationsmöglichkeit bestimmter Netzsituationen leider unnötig ein. HILFREICHE GEISTER Wer sich regel- mäßig mit IP-Netzen beschäftigt, hat sicherlich im Laufe der Zeit eine kleine Sammlung von nützlichen Kommandozeilenbefehlen wie Ping und Utilities wie Name Lookup zusammengetragen. Die AG Group spendiert Etherpeek unter der Bezeichnung Agnettools gleich einen ganzen Grundwerkzeugkasten von GUI-basierenden Utilities, die schnell über ein Icon auf der WindowsTask-Bar zur Hand sind und kaum einen Wunsch offen lassen. Zur Ausstattung zählen unter anderem Ping Scan (Ping über IP-Adressbereiche), Trace Route, Name Lookup, Port Scan und Service Scan (Suche aktiver Dienste über einen IP-Adressbereich). Eine weitere nützliche Idee der Entwickler ist das Hilfsprogramm Etherhelp. Als abgespeckte Fassung von Etherpeek beschränkt es sich ausschließlich auf die Paketaufzeichnung und darf lizenzfrei weitergegeben werden. Auf diese Weise können beispielsweise Systemhäuser Etherhelp in betreuten Netzen standardmäßig installieren und bei Bedarf Netzproben per Fernwartung zur Fehleranalyse entnehmen. Die weitere Analyse der abgespeicherten Daten erfolgt anschließend in 86 L AN line 9/2000 gewohnter Weise mit Etherpeek. Zur einfachen Weiterleitung der Probe greift Etherhelp auf Wunsch auf installierte MAPI-Provider (zum Beispiel Testumgebung im LANline-Lab Etherpeek-Notebook unter Windows 98: – Dell Latitude CPi 366/XT mit Pentium II, 366 MHz, 128 MByte RAM – PC-Card-Ethernet-Adapter (32-Bit) D-Link DFE-660TX (10/100 MBit/s, NE2000-kompatibel) – Psion Goldcard mit ISDN-Upgrade (für DFÜ-Netwerkanalyse) – AG Group Etherpeek 4.02 Etherpeek-Workstation unter Windows 2000 Professional: – Dell Dimension XPS T500 mit Pentium III, 500 MHz, 256 MByte RAM – Ethernet-Adapter 3Com Etherlink 10/100 3C905c-TX (keine Fehlerstatistiken) – AG Group Etherpeek 4.02 Traffic Generator – Dell Dimension XPS T500 mit Pentium III, 500 MHz, 256 MByte RAM und Windows NT 4.0 Workstation (Service-Pack 5) – Ethernet-Adapter 3Com Etherlink 10/100 3C905c-TX (keine Fehlerstatistiken) – Network Instruments Observer 7 Exchange) zurück. Ebenso liest Etherpeek Capture-Sitzungen von Novells nicht mehr weiter gepflegtem Produkt Lanalyzer. Etherpeek selbst erlaubt auch den Export von Capture-Sitzungen im Sniffer-Trace-Format, was eine Weiterverarbeitung innerhalb der verbreiteten Sniffer-Produktfamilie von Network Associates erlaubt. FAZIT Etherpeek 4 hinterlässt im LANline-Lab mit seinem insgesamt runden Funktionsumfang, dem hohen Bedienungskomfort und seinen übersichtlichen Auswertungen einen guten Eindruck als Einstiegsprodukt in die Netz- werkanalyse. Es empfiehlt sich daher insbesondere für Netzschaffende, die gelegentlich zur Analyse von Problemen bei der Internet-Anbindung, verdächtigen Aktivitäten im Netz oder dem Test der eigenen Sicherheitsmaßnahmen auch etwas tiefer in den Netzverkehr eindringen müssen. Externe Netzwerkbetreuer werden dabei die Hilfe von Etherhelp für die Paketaufzeichnung in entfernten LANs zu schätzen wissen. Um den Status als Allzweckwerkzeug in diesem Anwendungsbereich zu erfüllen, wären allerdings ein flexiblerer Verkehrsgenerator sowie die Unterstützung von DFÜ-Verbindungen erforderlich. Letzteres beherrscht sogar der einfache Microsoft-Netzwerkmonitor des Windows NT/2000 Server (Lite) beziehungsweise der Monitor des MicrosoftSystem-Management-Server (Vollversion). Etherpeek 4 bietet zudem keine besonderen Mechanismen, um Netzumgebungen mit Switched-Ethernet in den Griff zu bekommen. Die Firma Synapse in Bonn, die sich auf Netzwerkanalysis und -Monitoring spezialisiert hat, bietet Etherpeek 4 zu einem Preis von 2090 Mark an. Eine Macintosh-Version von Etherpeek sowie Tokenpeek für Windows sind ebenfalls erhältlich. Wer in das Thema Netzwerkanalyse tiefer einsteigen will, dem sei das deutschsprachige Buch “Networker’s Guide – LAN Analysis & Windows Troubleshooting” von Frank R. Walther, erschienen bei Markt&Technik, ans Herz gelegt. (Peter Meuser/pf) Der Autor ist selbstständiger IT-Consultant in München und Mitglied des LANline-Labs (pmeuser@itlab.de). Info: Hersteller: AG Group Tel.: 001/925/937-7900 Web: www.aggroup.com Distributor: Synapse Tel.: 0228/934 58-0 Web: www.synapse.de www.lanline.de netzTOOLBOX & Tipps Tricks warteten Verbindungsabbruch” (Service Control Manager ID: 7024). Kann man einen Wert für das Quit-Signal nach erfolgter Datenübertragung spezifizieren? In der Rubrik Tipps & Tricks veröffentlicht LANline regelmäßig interessante Fragen und Antworten im Umfeld der wichtigsten Betriebssysteme und Kommunikationslösungen. Neue Treiber und Patches inklusive Bezugsquellen findet der Anwender hier ebenso wie pfiffige Tipps und Tricks. FESTPLATTENFREIGABE BEI NT-SERVER Ich habe in einen Windows-NT-Server eine neue Festplatte eingebaut. Jetzt möchte ich eine Freigabe von einer vorhandenen Festplatte auf die neue Festplatte übertragen. Bei einem Testverzeichnis habe ich festgestellt, dass die eingetragenen Zugriffsrechte nicht übernommen werden. Ist das normal, und wie kann ich die Freigabe mit den kompletten Rechten übertragen? Funktioniert das Backup und ein anschließendes Restore mit Arcserve-It NT? Die Rechte werden nur in folgendem Kontext beibehalten: Sie verschieben eine Datei oder ein Verzeichnis innerhalb einer Partition. In diesem Fall wird nur der Pointer auf die Datei in der File Allocation Table (FAT) aktualisiert. In allen anderen Fälle, sprich: – Sie kopieren eine Datei (oder ein Verzeichnis) innerhalb einer Partition – Sie kopieren eine Datei (oder ein Verzeichnis) von einer Partition in eine andere Partition oder – Sie verschieben eine Datei (oder ein Verzeichnis) von einer Partition in eine andere Partition werden die Rechte nicht beibehalten, sondern Sie erhalten die Rechte des neuen Verzeichnisses. Im letzten Fall (verschieben) wird die Datei zuerst in das neue Verzeichnis kopiert und in dem alten gelöscht. Dies ist der Grund, warum dieses “Verschieben” eigentlich ein “Kopieren” ist. Das Kopieren über Arcserve-It (mit dem entsprechenden Copy-Befehl) ist eine Möglichkeit, um die Berechtigungen beizubehalten. Wenn Sie innerhalb Arcserve-It ein Verzeichnis von einer Partition in eine andere kopieren, werden die Rechte mit übertragen. (Computer 2000 Deutschland GmbH/mw) EXCHANGE SERVER BRICHT VERBINDUNG AB Im Einsatz ist der Exchange Server 5.5 mit Service-Pack 3. Woran erkennt der Exchange Server, dass ein Mail versendet ist? Wir erhalten als Fehlermeldung einen “uner- 88 L AN line 9/2000 Es besteht keine Möglichkeit, einen Wert für das Quit-Signal zu definieren. Das Signal wird ohne Verzögerung vom sendenden Computer nach erfolgter Datenübertragung übermittelt. Die Fehlermeldung “Service Control Manager, ID:7024, der Nachrichtendienst terminierte mit Dienstfehler 2270”, hat folgende Bedeutung: Der Computername existiert bereits in diesem Netzwerk (er ist nicht eindeutig). Beim Versenden von Nachrichten – nach erfolgter Datenübermittlung – wird der Nachrichteninhaltsdatenstrom vom sendenden Computer durch Senden eines allein in einer Zeile stehenden Punkts (.) beendet. Die Verbindung wird mit dem Befehl “QUIT” getrennt (Teil des SMTP- Prozesses). (Computer 2000 Deutschland GmbH/mw) SBS 4.5 MIT EXCHANGE-SERVER-PROBLEMEN In unserem Netz läuft unter anderem Microsoft Backoffice Small Business Server 4.5 (SBS 4.5) mit Service-Pack 5 sowie Exchange Server 5.5 mit Service-Pack 4. Wie können wir alternative E-Mail-Adressen für Exchange-ServerObjekte erstellen? Zudem erhalten wir folgende Fehlermeldung: ID:10067 MSEXCIMC.EXE 0xc0000005. Bei der Installation des POP3-Connectors traten Probleme auf. Dieser wurde daraufhin wieder deinstalliert. Dabei wurde leider auch der Internet-Mail-Dienst entfernt. Wie kann man diesen wieder installieren? Verwenden Sie die Registerkarte “Adressierung”, um alternative E-Mail-Adressen für Microsoft-Exchange-Server-Objekte zu erstellen oder zu ändern. E-Mail-Adressen werden verwendet, um Microsoft-Exchange-Server-Objekte für Gateways und Connectoren zu identifizieren, die Microsoft Exchange Server mit anderen Messaging-Systemen verbinden. Verwenden Sie die Registerkarte “Adressierung”, um einen oder mehrere der folgenden Adresstypen zu erstellen, zu ändern oder zu entfernen: benutzerdefinierte Adresse – Microsoft-Mail-Adresse – Mac-Mail-Adresse – X.400-Adresse – Internet-Adresse – cc:Mail-Adresse. Standardmäßig generiert Microsoft Exchange für jedes Empfängerobjekt mit Hilfe der von Ihnen eingegebenen Informationen Lotus cc:Mail-, Microsoft Mail-, X.400- und InternetAdressen. Wenn Sie Empfängerinformationen ändern, die zum Erstellen von E-Mail-Adressen verwendet werden (wie bei- www.lanline.de netzTOOLBOX & Tipps Tricks spielsweise den Vornamen, Nachnamen oder Alias eines Postfachs), werden die E-Mail-Adressen nicht automatisch aktualisiert. Bereits generierte E-Mail-Adressen müssen Sie manuell bearbeiten. Vorsicht: Viele andere Exchange-Server-Dienste verwenden diese Standardadressen. Beim Ändern oder Entfernen der Standardadressen können Probleme bei Messaging- und nachrichtenbasierten Diensten wie etwa der Verzeichnisreplikation auftreten. Die Fehlermeldung “ID:10067 MSEXCIMC.EXE 0xc0000005” verweist eindeutig auf ein Problem mit der X.400-Adresse für das Administrator-Postfach auf dem Exchange-5.5-Server. Die X.400-Adresse für das Admin-Postfach existiert nicht. Sie sollten zunächst das aktuelle Service-Pack für Exchange installieren und Folgendes überprüfen: 1. Sind Exchange-Dienst-Admin-Berechtigungen vorhanden? 2. Netzwerkeinstellungen, TCP/IP, DNS-Server überprüft? 3. Systemmonitor, Server-Monitor und andere Überwachungsagenten sowie SNMP deaktivieren. 4. Ist unter Dienste in der Systemsteuerung der IMC zu sehen? 5. Viren-Scanner-Software, Backup-Agents installiert? Sie können die Exchange-Server-Installation direkt von der SBS-CD 3 starten und die Option: “alles nochmals installieren” auswählen. Das Setup-Programm wird die Dateien des Exchange-Servers gemäß Ihrer momentanen Setup-Konfiguration neu installieren. Bereits bestehende Datenbanken bleiben erhalten. Es ist trotzdem empfehlenswert, zuerst den Exchange-Server (Priv.edb, Pub.edb und Dir.edb), besser den ganzen SBS 4.5 mit einem Backup komplett zu sichern. Der Pfad lautet: SBS4.5 CD3\ExchSRVR\Server\Setup\I386\ Setup.exe ENVIRO.TXT abgelegt und müssen nach der Installation wieder geändert werden. In Zusammenhang mit der Tobit-TimeLAN-Funkuhr ist hier der SET-Parameter “SET TIMESYNC HARDWARE CLOCK” entscheidend, der für eine saubere Synchronisation durch die Time-LAN-Funkuhr auf OFF gestellt sein muss. 2. Werden IDE-Devices im Server verwendet (HDDs, CDROMs), so zeigt selbst der IDEATA.HAM aus dem derzeit aktuellen NW5SP5.EXE noch ein Zeitsynchronisations-Problem (Treiber vom 29. März 2000). In diesem Fall muss unbedingt der IDEATA.HAM aus dem Zusatz-Patch IDEATA5A.EXE eingespielt werden. Der Treiber sollte also mindestens vom 05. Juni 2000 sein. (Computer 2000 Deutschland Gmbh/mw) MAILS UNTER EXCHANGE SERVER 5.5 AUTOMATISCH AUSDRUCKEN Wir setzen Exchange Server 5.5 und Outlook 2000 ein. E-Mails, die in dem öffentlichen Ordner reinkommen, sollen automatisch ausgedruckt werden. Wie lässt sich das realisieren? Es ist mit Exchange nicht möglich, Nachrichten aus öffentlichen Ordnern automatisch auszudrucken. Mit Outlook 2000 können Nachrichten aus dem Posteingang über den Regelassistenten ausgedruckt werden. Richten Sie die Umgebung derart ein, dass alle Nachrichten in einem speziellen Postfach eintreffen, von dort ausgedruckt werden und anschließend in den öffentlichen Ordner verschoben werden. Dazu ist es notwendig, dass auf einem Client (Server) Outlook permanent läuft. (Computer 2000 Deutschland GmbH/mw) (Computer 2000 Deutschland GmbH/mw) PDC LÄSST SICH NICHT ZUM BDC UMKONFIGURIEREN KEINE SYNCHRONISATION MIT TOBIT-FUNKUHR Bislang konnte der Netware-5-Server sauber über die Tobit-Time-LAN-Funkuhr synchronisiert werden. Seit dem Einspielen des Service-Pack 5 für Netware 5 kommt aber keine Synchronisation mehr zustande. Woran kann dies liegen? Dafür können zwei Gründe dafür verantwortlich sein: 1. Mit dem Einspielen eines Netware-5-Service-Packs kommt es häufig vor, dass alle geänderten SET-Parameter wieder auf Default zurückgesetzt werden; nicht unbedingt mit dem NW5SP5, aber auf jeden Fall kann dies bis zu NW5SP4 inklusive passieren (siehe auch das Readme im Service-Pack 4). Die eingestellten (geänderten) SET-Parameter werden bei der Installation des Service-Packs in der Text-Datei SYS:\ 90 L AN line 9/2000 Wir haben einen neu installierten Small-Business-Server (SBS), der in ein Netz mit einem bereits vorhandenen primären Domänen-Controller (PDC) integriert werden soll. Der bereits vorhandene PDC kann aber nicht zum Backup-Domänen-Controller (BDC) umkonfiguriert werden. Er synchronisiert sich stundenlang, und weiter passiert nichts. Im Ereignisprotokoll sind anscheinend keine Fehler. Der Small-Business-Server muss der PDC der SBS-Domäne sein. Sie können den SBS nicht als Backup-Domänen-Controller zu einer vorhandenen Domäne installieren. Der SBS wird PDC, und der vorhandene PDC muss als BDC neu installiert werden. (Computer 2000 Deutschland GmbH/mw) www.lanline.de netzLÖSUNGEN LAN- UND WAN-MANAGEMENT TÜV-geprüfte Netzwerksicherheit Die Überwachung und Administration komplexer, heterogener Netzwerke ist immer noch eine Herausforderung. Geht diese Aufgabe über die Verwaltung eines LANs hinaus und betrifft ein WAN mit mehreren Standorten, steigen die Anforderungen hinsichtlich der Komplexität, der Sicherheit und einfachen Handhabung. Die TÜV Nord Gruppe mit über 30 Standorten und rund 300 verschiedenen Systemkomponenten im WAN hat eine Lösung implementiert, um das Weitverkehrsnetz und alle LANs von einer zentralen Konsole aus zu überwachen und zu administrieren. ie TÜV Nord Gruppe hat in Deutschland ein weit verzweigtes Geflecht von Standorten in SchleswigHolstein, Nordrhein-Westfalen, Niedersachsen, Sachsen-Anhalt, MecklenburgVorpommern, Berlin und Bremen. Darüber hinaus ist sie in Nord- und Osteuropa sowie in China aktiv. Neben den beiden Hauptstandorten Hamburg und Hannover bestehen mit über 30 weiteren Standorten noch 150 TÜV-Stationen von Flensburg bis Göttingen und von Osnabrück bis Neubrandenburg. Diese Standorte mit LANs sind über WAN-Strecken verbunden und enthalten 250 bis 300 aktive Komponenten. Die Administration der Cisco-Router lässt sich dabei noch relativ leicht lösen. Aber auch hunderte von Hubs und Switches vieler verschiedener Hersteller werden zentral überwacht, um dem Netz höchste Sicherheit und Verfügbarkeit zu garantieren. Schließlich arbeiten insgesamt mehr als 4000 Mitarbeiter mit rund 2000 PCs, 1000 Laptops und 1000 Arbeitsplatzdruckern in der TÜV Nord Gruppe, die rund 250.000 Kunden hat und beispielsweise pro Jahr rund 3,5 Millionen Kraftfahrzeuge prüft. “Wenn nur eine WAN-Leitung ausfällt, an die weitere Standorte angeschlossen sind, dann bedeutet das einen Ausfall mit mehreren Multiplikatoren. D 92 L AN line 9/2000 Die damit verbundene Kosten wären enorm”, beschreibt Martin Kansteiner, Teamleiter Support und Netzwerkdesign beim von der TÜV Nord Gruppe beauftragten IT-Dienstleister Fleischhauer aus Hannover die Aufgabenstellung. Mit nur je zwei Mitarbeitern bei der TÜV Nord Gruppe und bei Fleischhauer muss das WAN mit 35 Standleitungen und auch jede einzelne Komponente innerhalb der Netzwerktopologie rund um die Uhr überwacht werden. Das gilt für Störungen ebenso wie für die Lastanalyse. Nur dann sind der Datenfluss und die Kommunikations- und Übertragungswege gesichert. Aufgabe von Fleischhauer war es, eine geeignete Administrations-Software zu implementieren, mit der unter einer einheitlichen grafischen Benutzeroberfläche auf Windows-Basis das zentrale Monitoring dieses komplexen und heterogenen Netzwerks möglich wurde. Jede einzelne Netzwerkkomponente – gleich, von welchem Hersteller – musste einerseits hierarchisch mit dem richtigen Standort im Netzwerk angezeigt werden und gleichzeitig in all seinen Funktionen überwacht werden können. Endgeräte wie PCs sind allerdings von der Überwachung ausgenommen. Den Anforderungen wurde nach umfangreichen Tests seit 1996 letztlich nur das Netzwerkmanagementsystem Cinema 2000 von LMC gerecht. Im Zuge der Umstellung des Systems auf 32Bit-Technologie wurde die Software eingeführt und ist seit Anfang 1999 im Einsatz. Ebenfalls in Erwägung gezogene andere Systeme erwiesen sich als zu mächtig und unflexibel und waren darüber hinaus nicht in der Lage, Komponen- Bild 1. Cinema 2000 ermöglicht das LAN/WAN-Management der TÜV Nord Gruppe von einer zentralen Konsole aus www.lanline.de netzLÖSUNGEN ten verschiedener Hersteller einheitlich darzustellen. Alle aktiven Bestandteile des Netzwerks (Router, Hubs, Switches und Server) werden in ihren spezifischen Funktionalitäten überwacht. Für jede Komponente gibt es dazu in Cinema 2000 ein produktspezifisches Modul (PSM), das auf die Basisfunktionalität der Software mit einer zentralen Datenbank für die Konfigurationsinformationen jeder Komponente aufgesetzt wird. Diese produktspezifischen Module werden von LMC selber erstellt. Dadurch kann die Software an alle Netzwerktopologien individuell angepasst werden. “LMC hat sich im Rahmen des seit Juni 1999 bestehenden Software-Servicevertrags verpflichtet, PSMs auch für solche bei uns eingesetzten Komponenten zu entwickeln, die gar nicht mehr auf dem Markt erhältlich sind”, betont Dirk Meyer, Leiter Datenverarbeitung/Kommunikation bei der TÜV Nord Gruppe, Standort Hannover. “Damit sind die einmal getätigten Investitionen in Hardware abgesichert. Und für zukünftige Generationen von Netzwerkkomponenten gilt das Versprechen des Herstellers, innerhalb weniger Wochen nach Erscheinen auf dem Markt das passende PSM bereitzustellen.” EINHEITLICHES GUI SORGT FÜR ZENTRALE KONTROLLE Durch die einheitli- che Oberfläche mit funktionaler Darstellung der einzelnen Komponenten, unabhängig vom Typ oder Hersteller, ist die zentrale Administration des weit verzweigten WANs erst möglich geworden. Auf einem GUI ist das Netzwerk ähnlich dem Explorer einerseits als Baum, andererseits auf einer Karte und auf einer Liste dargestellt (Bild 1). Von dort aus ist das Verzweigen auf tiefere Ebenen der Hierarchie bis zu einem bestimmten Hub oder Switch in einem LAN jederzeit möglich. Auf diese Weise kommen die Administratoren am Bildschirm schnell zu den Komponenten im Netzwerk, die nach ihrem Einbau konfiguriert werden müssen, die defekt sind oder Probleme in der Performance bereiten. Wartung und Konfiguration erfolgen dann per Fern- 94 L AN line 9/2000 wartung mit Telnet zentral von Hannover aus. “Wir haben vor Ort keine Administratoren. Alles passiert von meinem PC aus”, betont Bernhard Bsteh, Systemund Netzwerkadministrator bei der TÜV Nord Gruppe. Voraussetzung dafür ist ein schnelles und präzises, abgestuftes Überwachungssystem. Im WAN-Bereich werden alle Ports aktiv überwacht, sodass jederzeit der Status jeder Komponente angezeigt wird. Dadurch lassen sich Schwankungen in der Performance des Netzes sofort erkennen. Dann bleibt noch Zeit, die Dienste auf andere Systeme des redundant ausgelegten WANs zu überführen. “Trotz dieser Redundanz wird durch die eingesetzte Software mehr Sicherheit gewährleistet, weil alle Beteiligten einfach schneller von Problemen im Netzwerk erfahren”, bemerkt Martin Kansteiner. Überschreiten solche Schwankungen bestimmte vom Administrator festgelegte Schwellwerte oder wird ein Fehler erkannt, meldet die Software diesen Fehler automatisch auf die Überwachungskonsole von Bernhard Bsteh. Bei einem kritischen Event wird automatisch ein abgestuftes Alarmsystem ausgelöst. So wird die Hotline nur darüber informiert, dass eine Komponente defekt ist. Der Administrator bekommt gleichzeitig detaillierte Informationen über Art und Ausmaß der Fehlfunktion. Dadurch können die Systemverantwortlichen schnell und kompetent Auskunft geben, wenn ein Anwender nachfragt und den Fehler zügig beheben. Die Übermittlung der Events kann auf verschiedene Weise erfolgen. Die Operatoren beziehungsweise Administratoren erhalten die automatisch generierten Nachrichten mittels Pager-Funktion entweder als Fax, E-Mail oder mit SMS aufs Handy. Kann Bernhard Bsteh das Problem nicht direkt über die Fernwartung lösen, tritt die zweite Überwachungskonsole bei der Firma Fleischhauer auf den Plan. Dort besteht eine zweite Backup-Verbindung zu den Routern. Von hier aus werden auch die Leitungen überwacht. Im schlimmsten Fall macht sich dann ein Service-Team von Fleischhauer auf den Weg, um die defekte Komponente auszutauschen. Client-seitig wird das Netzwerk von Standard Windows-PCs aus überwacht. Die Logfiles und Fehler-Reports werden extern in einer Access-Datenbank gespeichert und in Excel für Statistiken und Grafiken verarbeitet. “Das hat den Vorteil, dass wir auch die Historie sauber dokumentieren können”, merkt Bernhard Bsteh an. Mittels einer Schnittstelle von Cinema 2000 zu Microsoft Office sollen diese Informationen demnächst direkt in Access importiert werden. Künftig sollen die LANs sukzessive zu vollständig geswitchten Netzen ausgebaut werden. Und im WAN wird an die Einführung von Frame Relay, VPNs und Voice over IP gedacht. Auch die dafür notwendigen Netzwerkkomponenten sollen dann durch die Netzwerkmanagement-Software Cinema 2000 konfiguriert und überwacht werden. (Juliane Schindel-Ledwoch/mw) So erreichen Sie die Redaktion: Doris Behrendt 089/45616-226 db@lanline.awi.de Dr. Götz Güttich 089/45616-111 gg@lanline.awi.de Georg von der Howen 089/45616-255 gh@lanline.awi.de Rainer Huttenloher 089/45616-132 rhh@lanline.awi.de Stefan Mutschler 089/45616-103 sm@lanline.awi.de Kurt Pfeiler 089/45616-295 pf@lanline.awi.de Marco Wagner 089/45616-105 mw@lanline.awi.de Fax: 089/45616-200 www.lanline.de SCHWERPUNKT: DAS SICHERE NETZ INTERNET PROTOCOL SECURITY SICHERE KOMMUNIKATION ÜBER DAS INTERNET DAS SICHERE NETZ Das Internet Protocol (IP) ist durch seine sehr offene Architektur ein effizientes, wirtschaftliches und flexibles Tool für die lokale und globale Kommunikation. Es hat jedoch eine allgemein bekannte Schwäche: die Sicherheit des Datentransfers. IPsec stellt einen Standard zum Schutz von IP-Verkehr dar und kann alle IP-basierten Dienste und Anwendungen verhältnismäßig wirkungsvoll schützen. 96 L AN line 9/2000 www.lanline.de SCHWERPUNKT: DAS SICHERE NETZ Durch zahlreiche Marktfaktoren steigt der Bedarf an sicheren Netzwerken. Die wichtigsten Faktoren sind der exponentielle Anstieg der E-Business- und ECommerce-Aktivitäten sowie das Wachstum des Internets selbst. Sowohl die Inhalte eines Datenpakets als auch die Transaktionsdaten stellen eine Zielscheibe der Netzwerkkriminalität dar. Die Sicherheit ist daher immer noch der Hauptfaktor, der Unternehmen daran hindert, geschäftskritische Anwendungen ins Internet, Firmen-Intranet oder Extranet zu stellen. Mit zunehmender Komplexität und Verwundbarkeit des Internets benötigen Unternehmen deshalb immer bessere Sicherheitssysteme zum sicheren Übertragen geschäftskritischer Daten. Eine Schlüsselrolle spielen hier Virtual Private Networks (VPNs). Prognosen von Datamonitor zufolge soll allein der europäische Markt für VPNs 2001 ein Volumen von einer Milliarde Dollar erreichen. VPNs ermöglichen die Herstellung sicherer Datenverbindungen zwischen verschiedenen Netzwerken oder Netzwerkterminals über unsichere öffentliche Netze wie das Internet. VPNs bestehen aus Intranets, Extranets und Fernzugängen. Ohne die richtigen Tools führt diese Vielfalt zu großen Unsicherheitsfaktoren im Netz. Um die heutigen IP-basierten Aktivitäten zu schützen und neue Geschäftspotenziale zu erschließen, wurden verschiedene Sicherheitslösungen entwickelt. Vielen dieser Lösungen fehlen jedoch Standards, die die Entwicklung miteinander kompatibler Produkte ermöglichen – ein entscheidender Faktor für die globale Kommunikation. IPsec ist ein Standard der Internet Engineering Task Force (IETF) zum Schutz von IP-Verkehr auf Paketebene, der alle IP-basierten Dienste und Anwendungen schützen kann. Zahlreiche Anbieter haben IPsec bereits übernommen und die Lösung so zum Standard für sichere Kommunikation im Internet gemacht. DAS IPSEC-PROTOKOLL Grob gesagt ist der Standard ein Kompendium mehrerer Richtlinien für die sichere Kommunikation. Er kann die TCP/IP-Kommunikation sicher machen, ohne ihre Flexibilität einzuschränken. Es gibt dabei unterschiedliche Verschlüsselungsmethoden und -protokolle für verschiedene Internet-Sicherheitsbereiche. Hierzu zählen beispielsweise SSL für HTTP-Verkehr, SSH für das sichere Einloggen, S/MIME und PGP für E-Mail und eben IPsec für die Sicherheit auf Paketebene. Das Ziel der IPsec-Protokoll-Suite liegt also darin, einen sicheren Standardweg zur Kommunikation über das TCP/IP-Protokoll zu bieten. IPsec ist ein Paket von Sicherheitserweiterungen, das durch den Einsatz moderner Verschlüsselungsmethoden die Vertraulichkeit und Authentizität von Daten gewährleistet. Es arbeitet im Gegensatz zu PPTP oder L2TP auf der Netzwerkschicht (Ebene 3) und verschlüsselt die Datenpa- www.lanline.de L AN line 9/2000 97 SCHWERPUNKT: DAS SICHERE NETZ kete inklusive aller Informationen wie Empfänger und Statusmeldungen. Zusätzlich fügt es einen normalen IP-Header hinzu. Um den Inhalt eines IP-Datagramms zu schützen, werden die Daten durch Verschlüsselung umgewandelt. Zwei verschiedene Umwandlungsarten bilden die Bausteine von IPsec: die AH-Umwandlung (Authentication Header) und die ESP-Umwandlung (Encapsulating Security Payload). Die Konfiguration erfolgt in einer Security Association (SA) genannten Datenstruktur. MD5, DES oder der Secure Hash Algorithm. IPSEC-VERBINDUNGEN Bevor zwei Stationen Daten über IPsec austauschen können, müssen einige Schritte vollzogen werden. Zunächst ist der Sicherheitsdienst festzulegen. Dabei einigen sich die Stationen, ob sie Verschlüsselung, Integrität, Authentifizierung oder alle drei Methoden anwenden. Dann legen sie die Algorithmen fest, etwa DES zur Verschlüsselung. Im folgenden AH-UMWANDLUNGEN Der AH authentifiziert das Datagramm. Außerdem schützt er entsprechend den Angaben in der Security Association alle Daten im Datagramm einschließlich der Felder, die sich bei der Umwandlung nicht ändern. Über den AH stellt IPsec also sicher, dass das empfangene Paket tatsächlich vom richtigen Absender stammt (und nicht von einem Hacker, der sich in die Kommunikation einklinken will). Er enthält auch eine Sequenznummer, die mögliche “Replay”-Attaken mit alten Paketen vermeidet, gewährleistet jedoch, da er nicht verschlüsselt, keine Vertraulichkeit. ESP-UMWANDLUNGEN Der ESP-Hea- der bietet dagegen Vertraulichkeit, Authentizität des Datenursprungs, verbindungslose Integrität, Anti-Replay-Protection sowie Schutz gegen Verkehrsflussanalysen im Sinne einer Limited Traffic Flow Confidentiality. Er erzielt dies durch die komplette Verschlüsselung des Inhalts des Datagramms entsprechend den Angaben in der Security Association. Die ESP-Umwandlungen ver- und entschlüsseln Teile des Datagramms und hüllen es optional in ein anderes IP-Datagramm ein, sodass kein zusätzlicher AH notwendig ist. Die eigentliche Methode zur Verschlüsselung und Authentifizierung ist dabei nicht festgelegt. Allerdings hat die IEFT bestimmte Algorithmen zwingend für IPsec-Implementierungen vorgeschrieben. Dazu gehören beispielsweise 98 L AN line 9/2000 SSH IPSEC Express und TCP/IP-Stack zeigt ein Beispiel dafür, wie sich SSH IPSEC Express in das zugrunde liegende Betriebssystem integrieren lässt Schritt müssen dann die Schlüssel für die Sitzung ausgetauscht werden. Für die Sicherung der Kommunikation verwendet IPsec die Security Association (SA). SECURITY ASSOCIATIONS, SAS Aus Sicht von IPsec ist eine Security Association eine Datenstruktur, die beschreibt, wie die Stationen Sicherheitsdienste zur Kommunikation verwenden, also welche Umwandlung sie wie auf ein Datagramm anwenden. Die Umwandlung spezifiziert Größe und Inhalt einer Security Association. Eine Association ist entweder sta- tisch, das heisst, sie enthält nur Daten, die sich bei der Umwandlung nie ändern, oder dynamisch, was bedeutet, sie enthält Daten, die bei der Umwandlung beibehalten und bei jeder Verarbeitung der Daten geändert werden. Auf Seriennummern basierender Anti-Replay-Protection und Kompression sind Beispiele für Umwandlungen, die dynamische Daten erfordern. Ein willkürlicher 32-BitWert, der so genannte Security Parameter Index (SPI) sowie die Adresse des Ziel-Hosts und der IPsec-ProtokollIdentifier identifizieren jede SA. Bei einer Kommunikation zwischen zwei Stationen bestehen immer auch zwei SPIs, einer für die Kommunikation von A nach B, einer für den umgekehrten Weg. Der SPI wird einer SA bei der Aushandlung zugewiesen. Auf die SA lässt sich durch den Einsatz eines SPI in AH- und ESPUmwandlungen Bezug nehmen. SAs sind unidirektional. Sie werden in der Regel als Bundles generiert, da für die Kommunikation normalerweise zwei SAs nötig sind. Die SA-Verwaltung erfolgt ebenfalls in Bundles (Einrichten, Löschen, Umkodieren). IKE (INTERNET KEY EXCHANGE) IPsec baut auf das Vorhandensein solcher SAs, bietet jedoch zum Erzeugen einer solchen Assoziation keinen Mechanismus. Deshalb müssen vor dem Beginn einer sicheren Sitzung die miteinander kommunizierenden Parteien die Bedingungen für die Kommunikation aushandeln. Damit sich der Vorgang in globalen Netzwerken wie dem Internet realisieren lässt, ist ein automatisiertes Protokoll zum Erzeugen von SAs erforderlich. Dieses automatisierte Protokoll heißt IKE. Es dient zum Erzeugen, Aushandeln, Modifizieren und Löschen von SAs. IKE kombiniert das Internet Security Association and Key Management Protocol (ISAKMP) mit dem Oakley Key Exchange. ISAKMP definiert ein Rahmenprotokoll zum Erzeugen von verbindungsspezifischen Parametern, das sich nicht auf IPsec beschränkt. Derzeit stellt IPsec jedoch das einzige Einsatzgebiet für das ISAKMP dar. Oakley www.lanline.de SCHWERPUNKT: DAS SICHERE NETZ auf der anderen Seite ist die eigentliche Ausprägung des ISAKMP-Rahmenprotokolls zur Generierung des IPsecSchlüssels und der SA. IKE arbeitet in zwei Phasen: Das Ziel der ersten Phase liegt im Erzeugen eines sicheren Kanals für den weiteren Verhandlungsverkehr und der Authentifizierung der verhandelnden Parteien. Sie schafft eine SA für das ISAKMP selbst. In der zweiten Verhandlungsphase wird dann die SA für IPsec erzeugt. Beim ersten Aushandeln ist der zweistufige Ansatz zwar zeitaufwendiger als ein einstufiger Ansatz, nach Abschluss der ersten Phase lassen sich die häufiger vorkommenden Aushandlungen der zweiten Phase jedoch schneller durchführen. Für die Erzeugung der SA der ersten Phase stehen zwei Modi zur Verfügung: der Main-Mode und der AggressiveMode. Der Aggressive-Mode ist etwas schneller, bietet jedoch keinen Identitätsschutz für die verhandelnden Knoten. Der Quick-Mode dient zur Erzeugung der SA der zweiten Phase. Dies geht, wie der Name schon verrät, sehr schnell, wenn die erste Phase erst einmal abgeschlossen ist. Eine Lösung wie das SSH-IPSECExpress-Toolkit, das gemäß den Spezifikationen der IETF entwickelt wurde, bietet durch den Einsatz starker, unbegrenzter Verschlüsselung umfassenden Schutz für vertrauliche Informationen. SSH ISAKMP/Oakley stellt eine vollständige Implementierung des ISAKMP/Oakley-Protokolls dar. Es ist ein eigenständiges Modul, das sich entweder in Kombination mit SSH IPSEC Express oder als getrenntes Schlüsselverwaltungsprodukt einsetzen lässt. Es ermöglicht auch manuelles Verschlüsseln und das Hinzufügen weiterer Schlüsselverwaltungsprotokolle. Als Implementierung des IPsec-Protokollstandards lässt sich dieses Toolkit in VPN-Lösungen, Firewalls, Router, Betriebssysteme, Embedded-Systeme, Netzwerkmanagement sowie E-Banking-Anwendungen integrieren. VERHINDERN VON “DENIAL OF SERVICE”-ANGRIFFEN Jeder Host mit Ver- bindung zum Internet oder jedes andere unsichere Netzwerk kann Opfer von www.lanline.de “Denial of Service”-Angriffen (DoS) werden. Der erste Schutz gegen solche ressourcenbelastende DoS-Angriffe ist in die IPsec-Protokollspezifikation integriert. In einem eingehenden Paket entscheidet der SPI-Wert zusammen mit der Zieladresse über die zur Entschlüsselung oder Überprüfung des eingehenden Datagramms einzusetzende Security Association. Kennt ein Angreifer keine gültige Dreierkombination (Protokoll, SPI, Zieladresse), so besteht nur geringe Wahrscheinlichkeit, dass er eine errät. Jede Partei, die eine gültige Dreierkombination kennt, kann jedoch durch den Versand verschlüsselter oder integritätsgeschützter Pakete, die sich nicht entschlüsseln lassen oder gültig zu sein scheinen, Ressourcen belegen. Bei SSH IPSEC Express wurde die Verarbeitung eingehender Pakete so ausgelegt und implementiert, dass ein fehlerhaftes Datagramm so früh wie möglich fallen gelassen wird. So werden nicht mehr Ressourcen belegt als zur Ermittlung der Gültigkeit des Datagramms unbedingt erforderlich. Wenn das Datagramm eine fehlerhafte Quelloder Zieladresse hat, lässt die Lösung es fallen. Auch wenn das Protokoll, der SPI und die Zieladresse nicht gefunden werden und Sicherheitsinformationen erforderlich sind, wird das Datagramm fallen gelassen. Außerdem lassen sich Limits für die Ressourcenbelastung konfigurieren, zum Beispiel die Anzahl der SAs oder die Anzahl der SAs pro Host. Die IPsec-Technologie löst viele der heutigen Internet-Sicherheitsprobleme. Sie genießt die breite Unterstützung aller wichtigen Branchenvertreter und bietet darüber hinaus ein hohes Maß an Sicherheit sowie Kompatibilität. Damit kommt sie der Forderung der verschiedenen Marktteilnehmer nach einheitlichen Sicherheitsstandards nach. (Timo Rinne/gg) Timo Rinne ist Vice President Engineering bei der SSH Communications Security Corp. L AN line 9/2000 99 SCHWERPUNKT: DAS SICHERE NETZ KEY RECOVERY VERUNSICHERT ANWENDER Security Made in Germany Die weltweite Kommunikation zwischen den vernetzten Datensystemen international tätiger Konzerne ist ohne den Schutz der Vertraulichkeit durch Verschlüsselung nicht mehr zu verantworten. Andererseits vereitelt dieser Schutz den Zugriff der Strafverfolgungsbehörden und der Nachrichtendienste. Aus diesem Grund wenden verschiedene Staaten Exportkontrollen an, um die Verbreitung kryptographischer Produkte möglichst einzuschränken. Wie aber kann ein Unternehmen die Sicherheit vertraulicher Informationen gewährleisten? eit einiger Zeit hat sich die Erkenntnis durchgesetzt, dass die auf Verweigerung basierte Politik der Einschränkung kryptographischer Produkte heute nicht mehr zweckmäßig ist. Ohne Kryptographie kann die Wirtschaft neue Technologien wie das Internet nur beschränkt nutzen. Außerdem sind die Hersteller kryptographischer Produkte in Ländern mit besonders strengen Exportbestimmungen im Wettbewerb benachteiligt. Deshalb suchen verschiedene Staaten nach einem Kompromiss, der wirtschaftlichen Schaden abwendet und zugleich die Interessen der Strafverfolgung und des Staatsschutzes angemessen berücksichtigt. Das Schlüsselwort für diesen Kompromiss heißt: Key Recovery. Besonders wichtig für die Anwender sind die Regelungen der USA, da viele Anbieter von Hard- und Software mit integrierten kryptographischen Produkten dort ihren Firmensitz haben. Nach Jahren des strikten Exportverbots kryptographischer Produkte mit Schlüssellängen über 40 Bit konnte unter dem Druck der amerikanischen Wirtschaft in den letzten Monaten eine gewisse Liberalisierung erreicht werden. S LOCKERUNG DER EXPORTBESTIMMUNGEN So wurde in einer Pressemit- teilung 100 des US-Handelsministeriums L AN line 9/2000 vom 12. Januar 2000 eine Lockerung der amerikanischen Exportbestimmungen für Europa angekündigt. Exportgenehmigungen dürfen nicht länger nur für Banken, sondern auch für beliebige andere Unternehmen erteilt werden. Ohne Genehmigung können nun Verschlüsse- Der VPN-Switch Conet-Plus lungsprodukte mit einer Schlüssellänge bis zu 56 Bit und Schlüsselmanagementsysteme mit Schlüssellängen bis zu 512 Bit nach Europa exportiert werden. Produkte mit starker Verschlüsselung (Schlüssel größer 56 Bit) erhalten aber erst “after a technical review” eine Exportgenehmigung (siehe auch: www.bxa. doc.gov). Kritische Anwender befürchten nun zum einen, dass der amerikanische Geheimdienst inzwischen über entsprechend leistungsfähige Computersysteme verfügt, um mit 56 Bit verschlüsselte Nachrichten quasi verzögerungsfrei zu entschlüsseln und mitzulesen, und dass zum anderen der in der oben genannten Pressemeldung zitierte “technical review” nur dazu dient, das Vorhandensein von geeigneten Key-Recovery-Mechanismen zu überprüfen. WAS IST KEY RECOVERY? Unter Key Recovery versteht man Techniken zur Wiedergewinnung eines Schlüssels, der zur Entschlüsselung von Nutzdaten notwendig ist. Dies kann durch einfaches Hinterlegen einer Kopie des Schlüssels (key escrow) oder durch Informationen, die den verschlüsselten Daten beigefügt sind, erreicht werden. Ein simples Konzept liegt im Verschlüsseln des Sitzungsschlüssels, mit dem die Kommunikation zwischen zwei Partnern gesichert wird, mit dem öffentlichen Schlüssel eines dritten Partners, dem so genannten RecoveryAgent. Ein Recovery-Agent ist eine Organisation, welche bei der Wiedergewinnung von Schlüsseln oder von Daten bei Vorlage einer richterlichen Verfügung mitwirkt. Falls notwendig, kann der ausschließlich den Kommunikationspartnern bekannte Sitzungsschlüssel, der den Daten in verschlüsselter Form im so genannten Law Enforcement Access Field (LEAF) beigegeben ist, vom RecoveryAgenten mit dessen privatem Schlüssel wiedergewonnen werden. In den letzten Jahren wurden eine Vielzahl von Key-Recovery-Mechanismen entwickelt. Alle großen Hersteller haben sich intensiv mit diesem Thema beschäftigt und zum Teil entsprechende Verfahren implementiert. Während manche Firmen ganz offen über das Thema sprechen, halten sich andere total bedeckt. Es ist bekannt, dass bestimmte amerikanische Hersteller beispielsweise bei Verwendung eines 64-Bit-Schlüssels jeweils 24 Bit hinterlegen. Andere Hersteller benutzen zwar lange Schlüssel, füllen aber die höherwertigen Bits mit Nullen oder www.lanline.de SCHWERPUNKT: DAS SICHERE NETZ Einsen auf oder verwenden Teilschlüssel, die leicht zu dechiffrieren sind. Wiederum andere Hersteller stellen die Key Recovery als besonderes Feature dar, das es erlaubt, dass zum Beispiel der Firmenleiter einen generellen Nachschlüssel für verschlüsselte Mails der Mitarbeiter einbauen kann oder dass die Möglichkeit besteht, verlorene Schlüssel für gespeicherte Daten wiederzugewinnen. Allerdings sind diese Produkte von vornherein mit Vorsicht zu genießen. Wenn nämlich ganz offensichtlich Hintertürchen existieren, kann man nie mit Gewissheit sagen, wer diese nutzt. Weiterhin ist es denkbar, dass in gewissen Produkten die Zufallszahlen, die für die Kryptographie eingesetzt werden, nicht ganz zufällig sind. Institutionen wie die VPN-Gateway Compact NSA (National Security Agency) könnten in so einem Fall mittels BruteForce-Attacken den Schlüssel herausfinden, weil sie nicht den kompletten Zahlenraum, sondern nur eine Teilmenge davon ausprobieren müssten, um einen Schlüssel zu knacken. Eine Sammlung diverser Key-Recovery-Verfahren findet sich unter www.cs.georgetown.edu/ ~den ning/crypto/Appendix.html). Aber nicht nur in Amerika ist Key Recovery ein heißes Thema. So möchte beispielsweise das britische “House of Lords” am 5. Oktober 2000 eine Gesetzesvorlage der englischen Regierung verabschieden, die es örtlichen Behörden erlauben soll, den gesamten Internet-Verkehr des Landes zu überwachen. Der Regierungsentwurf sieht vor, dass geheimdienstliche und polizeiliche Regierungsbehörden in Großbritannien über eine staatliche Überwachungsstelle, dem “Government Technical Assistance Center” (GTAC), Informationen über Internet-Anfragen und E-Mail-Nachrichten entschlüsselt auslesen können. Diese 102 L AN line 9/2000 Regelung soll auch für Datenpakete gelten, die über England weiterversandt werden, sodass diese Maßnahmen auch internationale Auswirkungen haben. VIELE FRAGEN SIND NOCH OFFEN Key Recovery birgt allerdings für den Anwender eine Vielzahl ungeklärter und kritischer Fragen: – Kann der Anwender sicher sein, dass die mit der Abwicklung des Key Recovery beauftragten Key-Recovery- Agents und deren Personal nur aufgrund einer rechtsgültigen Verfügung die ihnen anvertraute Information preisgeben? Ist die Frage der Haftung für Schäden geklärt, die aus widerrechtlicher Verwendung oder Weitergabe geheimer Information durch einen Treuhänder entstehen? – Ist sichergestellt, dass Key-RecoveryVerfahren die technische Sicherheit des kryptographischen Vertraulichkeitsschutzes nicht beeinträchtigen? – Kann man sich darauf verlassen, dass die Behörden aufgrund einer richterlichen Verfügung keine Informationen für die Wiedergewinnung der Schlüssel eines Anwenders, sondern nur die entschlüsselte Information erhalten? – Gibt es verlässliche Verfahren, die eine zeitliche Beschränkung der Wirksamkeit richterlicher Verfügungen und die rückwirkende Einschränkung auf Informationen eines bestimmten Zeitraums garantieren? – Kann der Anwender auf den Schutz vor Wirtschaftsspionage durch private wie durch staatliche Organisationen vertrauen? Die Grenzlinie zu berechtigten Anliegen des Staatsschutzes dürfte dort unscharf sein, wo Geheimdienste für Wirtschaftsspionage eingesetzt werden. Es ist speziell darauf zu achten, dass die nationalen Regelungen den Geheimdiensten keine Hintertüren öffnen. – Ist es möglich, aufgrund eines richterlichen Beschlusses nur die Daten herauszugeben, die mit bestimmten Terminen verknüpft sind, nicht aber zur Herausgabe aller Daten? Hierzu wäre es notwendig, neben dem Key Recovery (Wiedergewinnung der Schlüssel) ein Data Recovery (Wiedergewinnung der verschlüsselten Daten) zu etablieren. Dabei erhält der unabhängige Data-Recovery-Agent den Schlüssel vom Key-Recovery-Agent und gleichzeitig die verschlüsselten Daten beispielsweise von der Staatsanwaltschaft. Nach der Entschlüsselung prüft er die Daten auf den Zeitpunkt ihrer Übermittlung und überreicht der Staatsanwaltschaft nur die geforderte Untermenge. Ein solches Vorgehen erscheint kompliziert und hätte auch technische Konsequenzen beim Umsetzen. Literatur – Belser U. et al., Cryptographic Key Recovery, Ein Beitrag zur Entspannung der Kryptographiediskussion – US Department of Commerce, Pressemeldung vom 12.01.2000, Commerce Announces Streamlined Encryption Export Regulations (www.bxa.doc.gov) – Denning Dorothy E., Description of Key Escrow Systems (www.cs.georgetown.edu/~denning/crypto/Appendix.ht ml) – Büllingen Franz et al., Position und Chancen der deutschen IT-Sicherheitsindustrie im globalen Wettbewerb, Studie des Wissenschaftlichen Instituts für Kommunikationsdienste (WIK) im Auftrag des Bundesministeriums für Wirtschaft und Technologie (BMWi). www.lanline.de SCHWERPUNKT: DAS SICHERE NETZ – Was passiert bei einer länderübergreifenden Kommunikation? Jede Regierung möchte, dass möglichst nur ein einziger Key-Recovery-Agent hinzugezogen werden muss, der zudem innerhalb des von der Regierung kontrollierten Raums sitzt. Die Konsequenz daraus wäre, dass man gezwungen wäre, seine Schlüssel einer Vielzahl von nationalen Key-RecoveryAgents anzuvertrauen, welche alle die dung der digitalen Unterschrift benötigte Private Key nur dann Authentizität garantieren kann, wenn er nicht mehr als einmal existiert. Verlorene Signaturschlüssel sollen deshalb zurückgezogen (Revocation) und mit neu generierten und zertifizierten Schlüsseln ersetzt werden. Die Konsequenz daraus ist, dass bei Verwendung von Public-Key-Kryptographie mindestens zwei Schlüsselpaare pro Mit dem entsprechenden Equipment lässt sich ein 56-Bit-Schlüssel sehr schnell knacken Schlüssel einzeln wiedergewinnen können. Eine solche Vereinbarung ist für den Anwender absolut untragbar. Wesentlich sinnvoller: das Splitting der Schlüssel zwischen mindestens zwei Key-Recovery-Agenten, wobei alle Agenten nötig sind, um die Schlüssel wiederzugewinnen. Außerdem lassen sich so genannte Threshold-Schemes realisieren, bei denen eine bestimmte Anzahl (ein Schwellenwert) aus einer theoretisch unbegrenzten Anzahl von Key-RecoveryAgenten ihre Informationen kombinieren müssen, um eine Wiedergewinnung der Schlüssel zu ermöglichen. Weil ein solches System nur dann korrumpiert werden kann, wenn alle Agenten korrupt sind, scheint es am besten geeignet, die unterschiedlichen Interessen einander anzunähern. – Key-Recovery-Verfahren dürfen nur auf Chiffrierschlüssel, nicht aber auf Signaturschlüssel angewendet werden. Denn die Hinterlegung eines Signaturschlüssels hätte zur Folge, dass die Beweiskraft der digitalen Unterschrift verloren geht, weil der zur Bil- 104 L AN line 9/2000 Anwender zu erzeugen und zu verwalten sind, ein Schlüsselpaar für das Chiffrieren und eines für digitale Signaturen. – Schließlich darf eine technische Schwäche von Key Recovery nicht unerwähnt bleiben. Es gibt keine Lösung dafür, wie illegal verschlüsselte Informationen im Gewand eines legal angewandten Key-Recovery-Verfahrens erkannt werden können. Daten könnten zwei- oder mehrfach verschlüsselt sein, was man erst dann bemerken würde, wenn aufgrund eines richterlichen Beschlusses die Aufdeckung des Schlüssels und die Entschlüsselung der Daten vorgenommen wurde. Abgesehen von mehrfacher Verschlüsselung könnten geheime Nachrichten auch mittels Steganographie unauffällig in anderen Dateien versteckt werden. Mit diesen Verfahren lassen sich beispielsweise geheime Informationen in unverdächtigen Dateien wie einem digitalen Bild verstecken. Wer die dazu gehörende geheime Vereinbarung nicht kennt, kann möglicherweise auch nach der Entschlüsselung nicht erken- nen, dass sich geheime Nachrichten in den Daten verbergen. Führen diese Möglichkeiten die ganze Diskussion um Key Recovery nicht ad absurdum? Die erwähnten Aspekte zeigen, in welchem Spannungsfeld wir uns heute mit dem Thema Key Recovery bewegen. Das Kernproblem liegt sicherlich darin, dass mit technischen Mitteln ein Konflikt gelöst werden soll, der nicht technischer, sondern politischer Natur ist. SECURITY MADE IN GERMANY Daher kommt der Trend, dass deutsche Anwender gerne zu deutschen Produkten greifen, wenn es um das Thema Security geht. Nach einer vom Bundesministerium für Wirtschaft beauftragten Studie, die im Mai 2000 vom Wissenschaftlichen Institut für Kommunikationsdienste (WIK) und der Gesellschaft für Mathematik und Datenverarbeitung (GMD) veröffentlicht wurde, liegt der Marktanteil deutscher Securtiy-Unternehmen an der deutschen Krypto-Wirtschaft bei derzeit 50 Prozent. Amerikanische Produkte genießen gerade einmal das Vertrauen von 25 Prozent der deutschen Anwender. Stellvertretend für die deutschen Bestrebungen in diesem Bereich sei hier auf die Firma Conware Netzpartner verwiesen. Dieses Karlsruher SecurityUnternehmen vereint unter dem Markennamen “Secu-Ware” aufeinander abgestimmte Produkte, Lösungen und Dienstleistungen zum Aufbau und Betrieb sicherer Netze. Secu-Ware gliedert sich in die drei Bereiche SecuStructure, Secu-Access und Secu-Control. Secu-Structure realisiert eine sichere Netzinfrastruktur, Secu-Access sichert Datenübertragung und Netzzugang und Secu-Control sorgt für die sichere Verteilung, Ablage und Organisation von Daten. Die Produkte VPNSwitch, VPN-Gateway und VPN-Client zum Aufbau sicherer virtueller privater Netze arbeiten alle mit starker Verschlüsselung ohne Schlüsselhinterlegung. (Klaus Eppele/gg) www.lanline.de SCHWERPUNKT: DAS SICHERE NETZ COOKIE-FILTER ERHÖHEN DIE SICHERHEIT Gute Cookies und schlechte Cookies Die guten alten Cookies sind ins Gerede gekommen. Zu Recht, wenn man die Praktiken einiger Werbetreibender im Netz genauer unter die Lupe nimmt. Cookies aber komplett zu verteufeln wäre falsch: Das verunsichert nur die Anwender, und die Online-Anbieter würden ein einfaches, bewährtes und in den meisten Fällen harmloses Werkzeug verlieren. Mit Hilfe von Internet-Filtern lassen sich gute Cookies von schlechten unterscheiden: Die einen dürfen passieren, die anderen müssen draußen bleiben. nerwünschte Effekte – wie das Ausspionieren von Web-Nutzern für Marketing- und Werbezwecke – lassen sich durch Cookie-Filter weitgehend ausschließen – das Netz wird dadurch erheblich sicherer. Doch was genau ist denn nun ein Cookie? Bezüglich des Kommunikationsablaufs stellt HTTP ein recht einfaches Protokoll dar. Ein Web-Browser stellt eine Verbindung zum Server her und fordert eine URL an. Es ist nicht unbedingt notwendig, weitere Daten mit der Anforderung zu schicken. Das macht es für Server möglich, eine große Anzahl von Clients in kurzer Zeit zu bedienen. Üblicherweise werden mit einer Anforderung noch weitere Parameter verschickt wie der Typ des verwendeten Browsers und die Plattform. Ein Server hat es aber schwer, wenn er einen Zustand oder Einstellungen für einen bestimmten Benutzer speichern möchte, da es keine direkte Zuordnung zwischen Anforderungen und Benutzern gibt. An dieser Stelle erweisen sich Cookies als hilfreich. In den Kopfdaten der Antwort kann der Server den Browser anweisen, ein Cookie für ihn zu speichern. Der Browser erzeugt dann einen Eintrag in seiner Cookie-Datei. Das Cookie muss ein Namen-Werte-Paar und ei- U 106 L AN line 9/2000 nen Domänen-Namen enthalten, einige zusätzliche Optionen sind zulässig. Wenn der Browser eine URL anfordern möchte, überprüft er zunächst seine Cookie-Sammlung, ob dort ein Cookie für Die Web-Washer-Statistik-Funktion gibt Aufschluss über die Art und Anzahl der gefilterten Elemente die Domäne der URL verzeichnet ist. Wenn passende Cookies gefunden werden, hängt der Browser die gespeicherten Namen-Werte-Paare an die Anforderung, die er dann zum Server sendet. Der Server kann dann auf diese Werte reagieren. Ein gutes Beispiel ist ein Shop im Web, der Cookies benutzt, um den Einkaufswagen zu realisieren. Wenn der Käufer ein Produkt in den Warenkorb legt, erhält der Browser mit der Bestätigungsseite ein Cookie, das beispielsweise Produktname und Menge als Namen-Werte-Paar enthält. Geht der Kunde dann “zur Kasse”, verschickt der Browser alle Cookies, also die ausgewählten Produkte, an den Server. Dieser kann dann die zusammenfassende Seite aufbauen, die alle Waren und deren Preise enthält. Die optionalen Daten, die sich bei einem Cookie setzen lassen, enthalten das Datum, zu dem das Cookie aus der Sammlung beim Browser wieder gelöscht werden soll. Zudem lässt sich ein Pfad angeben, sodass der Browser die Cookies nur solchen Anfragen hinzufügt, deren URL mit dem Pfad beginnen. Als letzte Möglichkeit kann der Server das Senden der Cookies auf sichere Verbindungen einschränken. GUTE UND SCHLECHTE COOKIES Ein Cookie kann sehr hilfreich sein. Viele Anwender schätzen es, dass sie nur bei der ersten Benutzung eines Shops ihre Adresse eingeben müssen oder dass sie sich nicht immer wieder mit Namen und Kennwort auf einer Seite anmelden müssen, die eine Registrierung der Benutzer verlangt. Wie sieht es aber mit dem Schutz der Privatsphäre aus? Ein Cookie selbst gibt keine zusätzlichen Daten des Surfers preis, sondern enthält nur die Daten, die der Server hineingeschrieben und zuvor auf andere Weise erfahren hat. Zum Beispiel durch das Ausfüllen eines Formulars auf seiner Seite oder einfach durch das Klickverhalten auf den Seiten des Servers. Jeder Browser ist zudem so programmiert, dass ein Server nur die Cookies erhält, die für seine Domain gesetzt wurden und nicht die Cookies von Dritten. Weshalb also die ganze Aufregung um Cookies? Ein schweres Sicherheitsloch stellen Cookies bereits auf dem lokalen Rechner da. Gerade, wenn ein Computer von mehreren Personen benutzt wird, besteht die Gefahr, dass beispielsweise eine www.lanline.de SCHWERPUNKT: DAS SICHERE NETZ Online http://www.lanline.de Das Netzwerk für Netzwerk-Profis Volltextarchiv Web-Seite von einer anderen Person durch das Cookie erreichbar ist, für die normalerweise eine kennwortgeschützte Anmeldung erforderlich ist. Wenn das Cookie persönliche Daten unkodiert enthält, vereinfacht das das Ausspähen der Informationen zusätzlich. Ein anderes Problem ist inzwischen als “Doubleclick-Methode” bekannt geworden: Viele Internet-Seiten enthalten Werbe-Banner der Firma Doubleclick, dem weltweiten größten Anbieter von Werbe-Bannern. Wenn zum ersten Mal Halten wir an dieser Stelle fest, dass Cookies mit einer kurzen Lebensdauer kaum ein Gefährdungspotential haben. Denn für das Erstellen von Benutzerprofilen steht nur wenig Zeit zur Verfügung, und nach dem Löschen des Cookies lassen sich die Daten dem Surfer nicht mehr zuordnen. Kurzlebige Cookies sind also nicht wirklich “schlecht”, sondern gelten als “gut” oder “neutral”. Langlebige Cookies können im Gegensatz dazu entweder “gut” oder “schlecht” sein. Unglücklicherweise ist es unmög- Das Volltextarchiv mit Hunderten von Artikeln aus allen AWiZeitschriften liefert Ihnen im Handumdrehen maßgeschneidertes Profi-Wissen. Marktübersichten Der Web-Washer kennt drei unterschiedliche Klassen von Cookies Über 100 Markt- und Anbieterübersichten schaffen Durchblick im Produktangebot und helfen bei Ihrer Investitionsplanung. Stellenmarkt Ein neuer Job gefällig? Hier haben Sie die Wahl zwischen mehreren tausend aktuellen Angeboten speziell für DV-Profis. verlag münchen wir informieren spezialisten. 108 L AN line 9/2000 ein solches Banner geladen wird, setzt der Server ein Cookie, der den Benutzer von nun an identifiziert. Bei der Anforderung jedes weiteren Banners, egal, auf welcher Seite, wird das Cookie wieder an Doubleclick verschickt, weil die Domäne jedes Mal dieselbe ist. An der URL des angeforderten Banners kann der Server nun ersehen, auf welcher Seite dieser Banner platziert ist. Also erhält die Werbefirma nacheinander Informationen, dass der Benutzer zunächst auf den Seiten der Firma xyz.com und dann bei abc.de war. So lässt sich ein interessantes Profil des Anwenders erstellen, das seine Interessen immer genauer beschreibt, ohne dass dieser es ahnt. Mit diesen Profilen soll die Werbung immer gezielter geschaltet werden; der Verkauf derartiger Profile an Dritte ist ein überaus lukratives Geschäft. lich, zu entscheiden, was ein beliebiges Cookie wirklich tut. In vielen Fällen enthält es nur eine Kennung für einen Datenbankeintrag beim Server. “Gute” Cookies sind Vertrauenssache. WIE KANN MAN SICH VOR SCHLECHTEN COOKIES SCHÜTZEN? Die gängi- gen Browser bieten inzwischen die Möglichkeit, Cookies abzuschalten. Davon wird aber kaum Gebrauch gemacht. Der Benutzer muss bald feststellen, dass viele interessante Seiten ohne Cookies nicht funktionieren. Auch die Option, das Setzen eines jeden Cookies mit einer Meldung quittieren zu lassen, geht schnell auf die Nerven, da bei vielen Seiten gleich Dutzende von Cookies gesetzt werden. Und wer weiß schon bei einer Domäne, die er präsentiert bekommt, ob diese auf der schwarzen Liste steht? www.lanline.de SCHWERPUNKT: DAS SICHERE NETZ Hier bietet sich die Benutzung eines Tools wie Web-Washer an. Dieses Werkzeug, das als Werbefilter bekannt geworden ist, enthält seit der Version 2.1 zum Schutz der Privatsphäre auch einen Cookie-Filter. Dieser Filter ist nach dem oben erwähnten Dreistufenprinzip aufgebaut. Domänen, die Cookies setzen, werden in die Kategorien “gut”, “schlecht” oder “neutral” eingestuft. Der Web-WasherCookie-Filter hat einige entscheidende Vorteile gegenüber dem eingebauten Cookie-Schutz des Browsers, aber auch gegenüber anderen Filter-Tools: Wichtig ist in diesem Zusammenhang, dass außer dem Aktivieren des Filters nicht notwendigerweise weitere Einstellungen gemacht werden müssen. Die werksseitige Voreinstellung bringt alles mit, um “schlechte” Cookies sofort zu blockieren und auch unbekannte schlechte Cookies zu neutralisieren. Das gilt auch für Cookies, die sich der Surfer bereits eingefangen hat oder die durchgerutscht sind als der Web-Washer zwischendurch mal nicht verwendet wurde. Wichtig ist hier auch, dass existierende nützliche Cookies bestehen bleiben. Vielleicht gehört zu den Lieblingsseiten des Nutzers eine Seite, bei der er sich registrieren musste und ein Kennwort eingegeben hat. Ohne dass er davon wusste, hat der Anwender bei der Registrierung ein Cookie erhalten, das die Anmeldung seit dieser Zeit übernimmt. Wenn das Cookie aber gelöscht würde oder aus der Anforderung an den Server gestrichen wird, fragt die Seite nach dem Namen und dem Kennwort des Surfers. Ob er sich in so einem Fall daran erinnert? Der Web-Washer bringt hier den Vorteil, dass er über eine umfangreiche interne Filterliste verfügt, die für das Blockieren von Banner-Werbung verwendet wird. In dieser tauchen die meisten Namen der Profilsammler wie Doubleclick bereits auf. Cookies dieser Domänen lassen sich also leicht erkennen und als “schlecht” bewerten. Diese schlechten Cookies werden beidseitig geblockt, das heisst, dass WebWasher das Cookie aus dem Kopfteil der Server-Antwort löscht, bevor er die Antwort an den Browser weiterleitet. Der www.lanline.de Browser erhält so gar nicht die Chance, dieses Cookie zu speichern. Sollte ein solches Cookie aber bereits vom Browser gespeichert sein, löscht Web-Washer dieses auch aus den folgenden Anforderungen an den Server. “Gute” Cookies hingegen werden ungehindert und unverändert von WebWasher durchgelassen. Allerdings sind in der Voreinstellung keine Domänen auf “gut” gesetzt, da Web-Washer nicht die unbedenkliche Nutzung der durch das Cookie gewonnenen Daten garantieren kann. Die Einstellung “neutral” für alle anderen Domänen bietet aber einen ausgeklügelten Schutz selbst vor neuen schlechten Cookies, die noch nicht in der internen Filterliste stehen, und macht dennoch die Benutzung aller Internet-Seiten möglich. “Neutrale” Cookies werden in der Richtung vom Browser zum Server durchgelassen. Anmeldungen bei kennwortgeschützten Seiten funktionieren also weiterhin. Besitzt aber ein Cookie das Attribut “neutral”, achtet Web-Washer darauf, dass dieser nur eine begrenzte Lebensdauer hat. Diese ist auf 24 Stunden voreingestellt, lässt sich aber nach Belieben vom Benutzer verändern. Das Verfallsdatum des Cookies wird auf dem Weg vom Server zum Browser umgestellt oder, falls nicht vorhanden, hinzugefügt. Bleiben noch die guten Cookies, von denen man sich wünscht, dass man sie länger als einen Tag behält. Hier gilt es, Web-Washer etwas auf die Sprünge zu helfen. Der Einstellungsdialog bietet die Möglichkeit, eine Liste von Domänen zu erstellen und die Kategorisierung selbst vorzunehmen. Der Nutzer kann sich also auf seine Lieblingsgeschäfte im Netz besinnen und auf die Seiten, von denen er auch noch in Zukunft namentlich begrüßt werden möchte. Bei allen anderen und gerade den großen Werbeanbietern ist Anonymität zum Schutz der Privatsphäre vorzuziehen. (Martin Stecher/gg) Martin Stecher ist Director Software Development bei der webwasher.com AG L AN line 9/2000 109 SCHWERPUNKT: DAS SICHERE NETZ CONTENT SECURITY SCHÜTZT GEISTIGES EIGENTUM Keine Chance für Schnüffler In ihrer Studie “Content Security – Policy-basierter Informationsschutz und Datenintegrität” prognostiziert die International Data Corp. (IDC) dem Weltmarkt für Content-Security-Produkte ein außergewöhnliches Wachstum. Bis 2004, so schätzen die Experten von IDC, werden die Umsätze im Content-Security-Segment um 1400 Prozent ansteigen. Während 1999 weltweit insgesamt 66 Millionen Dollar in diesem Bereich umgesetzt wurden, erwartet man für 2004 einen Gesamtumsatz in Höhe von 952 Millionen Dollar. Dieser Beitrag zeigt, woher der verstärkte Bedarf kommt. aut IDC deckt Content Security zwei Marktsegmente ab: das Scannen von E-Mail- und Web-Inhalten sowie das Malicious-Mobile-Code-Management. Das rasante Wachstum wird auf das gesteigerte Bedürfnis von Firmen und Organisationen zurückgeführt, sich vor den negativen Folgen des E-Mail-Verkehrs und der ansteigenden Internet-Nutzung zu schützen. Sicherheit im EDV-Bereich wurde viel zu lange nur als Sicherheit der technischen Übertragungswege und als Schutz vor Virenattacken gesehen. Der Schutz vor möglichen Schäden an Daten und geistigem Eigentum sowie potenzielle Produktivitätsverluste und rechtliche Folgen von E-Mail- und Internet-Missbrauch geraten mittlerweile immer stärker ins Blickfeld. Für IT-Verantwortliche und auch Anwender ergeben sich daraus neue Anforderungen. Ein Blick in ein modernes Büro zeigt, dass heute fast jeder Arbeitsplatz mit einem Internet-Anschluss ausgestattet ist, ein Großteil der Korrespondenz erfolgt elektronisch, und die Anwender verschicken selbst wichtige Geschäftsdokumente per E-Mail. Zwar ist die damit verbundene Sicherheitsproblematik den meisten Unternehmen bekannt, doch vie- L 110 L AN line 9/2000 le vertrauen allein auf den Schutz von Firewalls. Dies reicht aber nicht. Zum Vergleich stelle man sich einen Flughafen vor: Eine Firewall übernimmt in einem solchen Szenario die Passkontrolle und überwacht, “Wer” das Land beziehungsweise das Netzwerk betritt und verlässt. Content Security dagegen übernimmt die Rolle der Zollbehörde, die kontrolliert, “Was” in die Organisation hinein, aus der Organisation heraus oder innerhalb der Organisation bewegt wird. Selbst wenn jemand autorisierten Zugang zum Internet oder zum Netzwerk einer Firma hat – sind die ein- und ausgehenden Daten sicher? Content Security kann sowohl die Netzwerk- als auch die Geschäftsintegrität von Unternehmen vor Bedrohungen aus E-Mail- und Internet-Inhalten schützen. Sie verhindert einerseits, dass gefährliche Inhalte das Firmennetzwerk erreichen und sich negativ auf die Geschäftstätigkeit auswirken, und andererseits, dass unerwünschte Inhalte das Unternehmensnetzwerk verlassen. Eine der bekanntesten Bedrohungen der Netzwerkintegrität sind Viren, die aus dem Internet oder E-Mail-Anhängen stammen und zu Datenverlusten oder kompletten Netzwerkausfällen führen können. Aber Content Security umfasst nicht nur den Schutz vor Viren – auch andere versteckte Gefahren wie zum Beispiel destruktiver HTML-, Java- oder ActiveX-Code beeinträchtigen die Netzwerkintegrität. Nicht zuletzt belasten Spam und Spoofing das Netzwerk. Während Spam- oder Junk-Mails oft nicht mehr als Zeitverlust für den Mitarbeiter bedeuten, werden sie im Zusammenhang mit Spoofing, wo die Identität des Angreifers unerkannt bleibt, zur echten Gefahr – ebenso wie in Verbindung mit Denial-of-Service-Attacken oder E-Mail-Bomben, die ein Netzwerk komplett lahm legen können. Die Geschäftsintegrität gefährden auch Cookies oder Cyberwoozling, das unerkannte Abzapfen von Daten während des Internet-Surfens. Zusätzlich führen eventuelle Vertrauensbrüche durch Mitarbeiter zu Beeinträchtigungen, wenn etwa vertrauliche Dokumente absichtlich oder durch ein Versehen an Dritte gelangen. Der Austausch von Daten mit Dritten kann Unternehmen aber auch Image-Schäden verursachen oder sogar straf- und zivilrechtliche Folgen nach sich ziehen. Dies gilt unter anderem für geschlechtsoder rassendiskriminierende Äußerungen, Beschimpfungen oder pornographische Inhalte, die von Mitarbeitern ohne Wissen des Arbeitgebers versendet werden. Solche Vorfälle bringen ebenfalls Produktivitätseinbußen mit sich. Ein Beispiel dafür: Ein Mitarbeiter nutzt seinen E-Mail-Account regelmäßig zum Versand von rassistischen Botschaften an Gleichgesinnte. Durch einen falschen Knopfdruck schickt er dann aus Versehen eine dieser HassMails an einen Topp-Kunden des Unternehmens. Dieser Kunde wird im Zweifelsfall die Geschäftsleitung der Firma informieren und anschließend die Geschäftsbeziehungen abbrechen. Der erste Schritt für den Schutz von Dateninhalten ist das Ausarbeiten eines umfassenden auf klar definierten Sicherheitsrichtlinien basierenden Systems von Regeln für den E-Mail-Verkehr und die Nutzung des Internets. Dieses legt fest, www.lanline.de SCHWERPUNKT: DAS SICHERE NETZ welche Inhalte wie, wann und von wem gesendet oder empfangen werden können. Solche Regeln, im englischen “Policies”, gibt es in vielen Unternehmen schon für so alltägliche Dinge wie zum Beispiel Brieflayout, Besprechungsberichte, Rechnungsstellung und vieles andere. Aber eine Übertragung dieser Regeln auf die neuen elektronischen Kommunikationsformen hat meist noch nicht stattgefunden. Dies liegt – weil es die Außendarstellung des Unternehmens betrifft – jedoch nicht nur in der Verantwortlichkeit der EDV-Abteilung, sondern lässt sich nur in Zusammenarbeit mit der Geschäftsleitung und den Mitarbeitern realisieren. Im Rahmen der Implementierung einer Content Security Policy stellt die Schulung der Mitarbeiter einen wichtigen Bestandteil dar, denn nur so ist die Umsetzung der Policy möglich. Vier Ziele sollten bei der Festlegung der Regeln nicht aus dem Auge verloren wer- www.lanline.de den: der Schutz von Informationen, die Maximierung der operationalen Unternehmenseffektivität, die Minimierung der Unternehmenshaftbarkeit und der Schutz des Firmen-Images. Zu den Regeln für elektronische Kommunikation gehören zwei wichtige Punkte. Der “Schutz vor Missbrauch” legt fest, dass der Einsatz der elektronischen Medien für unerwünschte Zwecke wie etwa Mobbing sowie rassistische und sexistische Beleidigung verboten ist. Unter “Schutz vor Ausspähung” sind Vorsichtsmaßnahmen gegen die zufällige, fahrlässige oder gar gezielte Weitergabe relevanter Unternehmens- oder Produktdaten an Dritte festzulegen. Im nächsten Schritt werden aus diesen grundsätzlichen Regeln verbindliche Anweisungen an alle Mitarbeiter ausgearbeitet. E-MAIL-PRÜFUNG Für den Schutz des E-Mail-Verkehrs müssen die allgemei- nen Regeln zunächst in Anweisungen für das für die Überprüfung eingesetzte Programm übersetzt werden. Damit sich diese Anweisungen sinnvoll auf ein- und ausgehende E-Mails anwenden lassen, sind die Objekte im E-Mail-Datenstrom im Rahmen einer Inhaltsanalyse zu analysieren und zu überprüfen. Zur Identifizierung des ursprünglichen Inhalts zerlegt das Programm die Objekte rekursiv. Dazu sollte es die gängigsten Formate, die in E-Mail-Übertragungen zum Einsatz kommen, erkennen und regelkonform behandeln. Fundamentale Bedeutung haben in diesem Zusammenhang Komprimierformate wie ARJ, CAB oder mehrere ZIP-Varianten, Dokumentenformate (CDA, PDF oder Plain Text), ausführbare Dateien (Anwendungen für DOS und Windows, Dateien mit Byte-Code für Java), Bildformate (BMP, GIF, TIF, JPG etc.), Videoformate (AVI, MPEG, QT, RM) L AN line 9/2000 111 SCHWERPUNKT: DAS SICHERE NETZ und Verschlüsselungsformate wie S/MIME und PGP. Dabei sollten Dateiinhalte anhand der Dateiarchitektur und nicht nur anhand der Dateierweiterung erkannt werden. Ein leistungsfähiges Tool verschiebt die Datenformate, die es nicht kennt, in einen von der Policy definierten Quarantänebereich. Anschließend überprüft es entsprechend der Sicherheitsrichtlinien die mengefügt werden. Wichtig ist auch die automatische Untersuchung von Zertifikaten auf Gültigkeit und Vertrauenswürdigkeit. Moderne Content-Security-Lösungen überprüfen digitale Unterschriften, akzeptieren sie, weisen sie zurück oder entfernen sie. Im dritten Schritt erfolgt die Klassifizierung beziehungsweise Bewertung der Nachrichten sowie die Auswahl der Wei- Funktionsweise eines Content-Security-Systems E-Mail-Inhalte unter anderem auf Dateityp, Nachrichtengröße, Dateigröße sowie auf die Anzahl der Anlagen und Empfänger. Sowohl E-Mail-Kopf als auch Betreffzeile, Nachrichtentext und Anlagen lassen sich auf anstößige Textpassagen, diskriminierende Äußerungen, vertrauliche Informationen, Geschäftsgeheimnisse sowie nach Hinweisen für gefälschte Absenderadressen untersuchen. Mit Hilfe einer Echtzeit-Ausschlussliste erkennt die Sicherheitslösung Massen-Mails. Bestimmte Textmodule wie zum Beispiel Haftungsausschlüsse fügt sie bei Bedarf selbstständig an die E-Mail an. Für das sichere Aufspüren von Viren sind nach Möglichkeit mehrere Antivirenprogramme zu unterstützen, soweit das Programm verdächtige Mails nicht bereits über das Regelwerk in den Quarantänebereich verschiebt (etwa Textanhänge mit ausführbarem Code und dem Betreff LOVELETTER). In Zusammenarbeit mit Antivirenprogrammen können die infizierten Mails sogar bereinigt und erneut zusam- 112 L AN line 9/2000 terverarbeitungsmethoden. Dazu legt das Tool fest, welche Nachrichten direkt an den Empfänger weiterzuleiten sind, welche zunächst in die Quarantäne umgeleitet und welche an den Absender zurückgeschickt werden. Die Ergebnisse der Validierung sollten für eine übersichtliche Auswertung in grafischen Berichten erfolgen. DIE INHALTE Das Überprüfen der Internet-Inhalte erfolgt meist durch einen Proxy-Server, der die Validierung von HTTP- und passiven FTP-Downloads ermöglicht und der am besten in der demilitarisierten Zone einer Firewall eingesetzt wird. Hier leitet das Content-Security-Tool den Überprüfungsvorgang ebenfalls durch eine rekursive Zerlegung der Objekte ein, um ihren ursprünglichen Inhalt zu identifizieren. Auch in diesem Fall sollte es die gängigsten und für Internet-Downloads typischen Datenformate erkennen und mit Antiviruslösungen zusammenarbeiten. Das Tool unter- sucht zusätzlich auch Internet-Seiten auf Wörter und Textpassagen mit pornographischen oder sonstigen anstößigen Inhalten und kontrolliert sie auf Basis von PICS (Platform for Internet Content Selection), die es ermöglicht, Metadaten mit Internet-Inhalten zu assoziieren. Darüber hinaus erkennt eine gute Anwendung Java, Java-Script und ActiveX und weist diese Komponenten – je nach Regeldefinition – ab. Eine Seitenkontrolle lässt sich meist auch realisieren. Datei-Downloads werden mit Hilfe von Authenticode validiert. Weitere wichtige Punkte sind das Behandeln von Cookies und das Erkennen von Cyberwoozling. Fällt die Validierung einer Seite negativ aus, beispielsweise weil das Tool einen Virus erkennt, zeigt es im Browser zur Benutzerinformation eine Meldung oder eine HTML-Seite an. Beim Herunterladen oder Validieren einer umfangreichen Datei muss sichergestellt sein, dass die Verbindung zwischen Browser und Internet-Server nicht wegen zu langer Inaktivität abgebrochen wird. Diese Funktion lässt sich auch einsetzen, um den Benutzer ständig über den Status des Ladevorgangs zu informieren. Einen ganz wichtigen Punkt stellt das tägliche vom Benutzer konfigurierbare Protokoll dar. Darin müssen die Daten zu sämtlichen Download-Anforderungen enthalten sein, zum Beispiel der Host-Name, das Ziel des Downloads, dessen Umfang sowie Datum und Uhrzeit. Die Kenntnis der grundlegenden Sicherheitsregeln schafft beim Anwender auch ein gesteigertes Bewusstsein über die Problematik der Sicherheit elektronischer Kommunikationswege. Für ITVerantwortliche ist nach der Einführungsphase im Idealfall mit einem deutlich geringeren Aufwand zu rechnen, da die Content Security weitgehend automatisch abläuft. (Frank Brandenburg/gg) Frank Brandenburg ist Geschäftsführer der deutschen Niederlassung von Content Technologies. www.lanline.de SCHWERPUNKT: DAS SICHERE NETZ So ein Vorfall zieht bei den Virenprogrammierern eine enorme Produktivität nach sich. So tauchte eine Woche später, am 19. Mai, ein neuer destruktiver Wurm namens VBS_NEWLOVE auf. Im Gegensatz zu VBS_LOVELETTER überschreibt VBS_NEWLOVE alle Dateien mit sich selbst, was sowohl einen Neustart des befallenen Systems als auch die weite VerAm 4. Mai wunderten sich immer mehr Anwender über digitale Liebesbreitung des Schädlings verhindert. Dengrüße. Etliche davon führten die Attachments nach dem Motto “Erst noch wurden noch etwa 10.000 Computer in den USA befallen. Am 26. Mai kam es klicken, dann fragen” aus und starteten damit eine digitale Lawine von dann mit “W97M_Resume” wieder verComputerwürmern, die weltweit Mail-Server lahm legte; der Schaden einzelt zu Vorfällen, da dieser Wurm sich wird von vielen auf Milliarden von Mark beziffert. Durchdachte Strateals elektronischer Lebenslauf im Winword-Format verschickte. gien helfen dabei, in so einem Fall die Unternehmensdaten zu sichern. Auch deutschsprachige Virenautoren blieben nicht untätig: Am 30. Mai wurde bwohl ständig in IT-Sicherheit und hersteller eine digitale Signatur, um diesen ein Wurm namens “VBS_Fireburn” entVirenschutzprodukte investiert wird, Schädling aufzuspüren – anscheinend wur- deckt, der in der Lage ist, zu überprüfen, ob gelang es Jugendlichen aus Manila, mit den die Antivirenprogramme aber nicht es sich um ein deutschsprachiges Betriebsdem Computerwurm VBS_LOVELET- rechtzeitig aktualisiert. system handelt. Dann verschickt er sich TER aufzuzeigen, dass die jetzigen KonDie Antivirenhersteller hatten gleichzei- mit dem Betreff “Moin, alles klar?”, der zepte zum Virenschutz nicht ausreichend tig mit zahlreichen Varianten zu kämpfen, Text der E-Mail lautet: “Hi, wie geht´s dir? sind. die von so genannten Script Kiddies in die Guck dir mal das Photo im Anhang an, ist Hier kamen mehrere Faktoren zusam- Welt gesetzt wurden. War früher ein Virus echt geil bye, bis dann..”. Die Attachments, men, die bewirkten, dass sich dieser die so “vielverspreSchädling so schnell und effektiv verbreichende” Namen wie ten konnte. Ultra-HardcoreBondage.JPG.vbs, – Der Virenvorfall mit “Melissa” lag Christina__NUschon über ein Jahr zurück, und das BeDE!!!.JPG.vbs oder wusstsein über digitale Schädlinge war CuteJany__Bigbei den Anwendern nicht mehr so ausTits!.GIF.vbs aufgeprägt. weisen, enthalten – Die Zahl der E-Mail-User ist stark gedann den Wurm. Bei stiegen, und VBS_LOVELETTER veranderen Betriebssysschickte sich über das Outlook-Adresstemsprachen wurde buch an alle Einträge, während “Meliseine entsprechende sa” sich mit den ersten 50 Einträgen zuDiese E-Mail landete am 04.05.2000 bei vielen Anwendern im englische Mitteilung frieden gab. verschickt. Am 17. – Der als mächtig, aber von Sicherheitsex- Posteingang Juni kam es dann mit perten auch als gefährlich eingestufte “VBS_STAGES” Windows-Scripting-Host wurde mit der Aktualisierung der Systeme zur Beseiti- in Assembler programmiert und nur mit zum nächsten Vorfall, bei dem ein .VBSgung der Jahr-2000-Problematik auto- entsprechenden Kenntnissen umzubauen Schädling in einer Scrap-Datei eingebettet matisch zusammen mit der neuesten und zu erweitern, ist dies heutzutage mit wurde. Die oben aufgezeigten Beispiele zeigen, den Script-Sprachen, die meist auf Basic Browser-Generation installiert. Bedenklich stimmt es, dass dieser Wurm basieren, sehr einfach möglich. So reichen wie einfach sich heutzutage Würmer und in Asien startete, dann in Europa zuschlug acht Zeilen aus, damit sich der Schädling Viren selbstständig per E-Mail verschiund sich trotz etlicher Warnungen auch über Outlook verschicken kann. Am Frei- cken und weltweiten Schaden anrichten. sehr effektiv in Amerika verbreitete. Bis tag, dem 5. Mai, gab es bereits 50 Varian- Also müssen neue Schutzkonzepte erarbeizum Arbeitsbeginn an der Ostküste der ten, mit denen die Antivirenhersteller und tet und andere Methoden zu Virenbekämpfung zur Verfügung gestellt werden. Vereinigten Staaten hatten alle Antiviren- Anwender “beglückt” wurden. DIGITALES UNGEZIEFER Strategien für besseren Schutz O 114 L AN line 9/2000 www.lanline.de SCHWERPUNKT: DAS SICHERE NETZ Antivirenprogramme sind nur für sehr begrenzte Zeit aktuell. Üblich ist eine wöchentliche, automatische Aktualisierung, die in den oben geschilderten Fällen viel zu selten erfolgt. Einige Antivirenhersteller bieten in den Produkten eine tägliche Aktualisierung an, was jedoch bei VBS_LOVELETTER nicht erfolgreich gewesen wäre. Hier werden noch kürzere Intervalle erforderlich. Allerdings hilft der beste Automatismus nichts, wenn im Falle eines “VirenOutbreaks” zehntausende von Anwendern gleichzeitig versuchen, eine neue Virensignatur von einem Web-Server in den USA herunterzuladen. Folglich wurde die globale Verteilung und lokale Präsenz der einzelnen Antivirenhersteller ein wichtiges Kriterium. Kunden sollten die kritische Frage an “ihre” Antivirenhersteller stellen, ob die deutschsprachigen Webpages auch auf einem Web-Server in Deutschland liegen und zeitgerecht aktualisiert werden. Hier wird leider oft an der falschen Stelle gespart, was dazu führt, dass sowohl das Web-Housing als auch die Aktualisierung in den USA liegen, was dann bei einem Outbreak in Deutschland zu Verzögerungen führt. Ebenso wichtig wie die Verfügbarkeit der Updates ist ein Frühwarndienst seitens des Antivirenherstellers, um bei einem Vorfall schnell Maßnahmen zu ergreifen – auch wenn noch kein Gegenmittel ge- www.lanline.de natur. Um während der Wartezeit auf diese Signatur nicht hilflos zu sein, verlangen viele Anwender für den Notfall eine Funktion zur Selbsthilfe. Diese Selbsthilfe kann darin bestehen, dass das Antivirenprodukt nach Aktivierung einer Zusatzfunktion beispielsweise sämtliche Attachments blockiert, die die EnScan-Mail for Microsoft Exchange blockiert alle Attachments mit der dung .VBS aufweiEndung .vbs und .shs sen. Besonders effektiv ist dies natürlich gen den neuen Virus vorhanden ist. Da im beim Eindringen des unerwünschten Codes Falle des VBS_LOVELETTER viele Mail- in das Intranet, also auf den Exchange-SerServer ausgefallen waren oder bewusst ab- vern. geschaltet wurden, ließ sich eine AlarmieDieses Verfahren eignet sich darüber rung per E-Mail nur begrenzt realisieren. hinaus auch zum Blockieren aller AtHier sind alternative Benachrichtigungs- tachments, falls im Unternehmen ein unmethoden mit dem Antivirenhersteller zu gewöhnlicher Anstieg der E-Mails bevereinbaren, zum Beispiel Fax- oder SMS- merkt wurde und die Ursache auf einen ViMitteilungen. Aber auch nach der Alarmie- rus oder Wurm hindeutet. Damit gewinnt rung durch den Antivirenhersteller oder un- der Anwender Zeit, die der Antivirenherabhängige Computer-Emergency-Respon- steller benötigt, um die Bedrohung genau se Teams (CERT) bleibt das bange Warten einzugrenzen und ein Gegenmittel bereitauf das Gegenmittel, die aktuelle Virensig- zustellen. L AN line 9/2000 115 SCHWERPUNKT: DAS SICHERE NETZ Auch auf dem Internet-Gateway ist es – Was passiert bei einem Virenvorfall? möglich, SMTP-E-Mails zwischenzuSind die Anwender “mündig” und bespeichern und auf eine Lösung von Seiachten die Vorschläge zur Bekämpten des Herstellers zu warten. Sobald fung? Hier ist zu bedenken, dass es imdiese Lösung verfügbar ist, aktivieren mer noch zur Auslösung des VBS_LOdie Administratoren die Mail-WeiterVELETTER kommt, obwohl die ganze leitung wieder, woraufhin die Software Welt mittlerweile wissen müsste, dass die Mails vor der eigentlichen Zustelman besser nicht ein Attachment nalung bereinigt. mens “LOVE-LETTER-FOR-YOU” Diese Verfahren dienen nur dazu, Zeit zu ausführen sollte. gewinnen. Einen hundertprozentigen Vi- – Wie lange ist das betroffene Unternehrenschutz kann es nicht geben, da der Antimen ohne E-Mail “lebensfähig”? Gevirenhersteller zuerst ein Muster des neuen gebenenfalls sollten die Verantwortschadhaften Codes benötigt. Logischerweise muss dazu erst irgendwo auf der Welt eine Infektion festgestellt worden sein. Vergingen früher zwischen Entdeckung eines neuen Schädlings und weltweiter Verbreitung Wochen oder Monate, zeigen die neuen Computerwürmer, dass sich binnen Minuten eine weltweite Verbreitung erreichen lässt. Damit nun der Administrator die beschriebenen Schutzsysteme einsetzen kann, sind zuerst eine Bedrohungsanalyse und eine Bestands- Inter-Scan Virus-Wall speichert die Mail zwischen, bis eine Erkennung aufnahme der vor- für den neuen schadhaften Code bereitgestellt wird handenen Schutzsysteme vorzunehmen. Dazu müssen die Anwender die typischen lichen zusätzliche E-Mail-Strukturen Eindringmöglichkeiten für “Schadhaften schaffen, die im Notfall zum Einsatz Code” analysieren und eine Security Polikommen, um “lebenswichtige” Ecy aufstellen. Einige Denkanstöße dazu: Mails abzusetzen. Hierbei müssen die – Wie verteilen sich Viren und Würmer Verantwortlichen bedenken, dass nach heutzutage? Um diese Frage zu beanteinem Virenvorfall innerhalb des worten, muss der Administrator die VerUnternehmens die primären Mail-Serteilmechanismen von aktuellen Viren ver als Verteilstation für Viren und und Würmern beachten. Dies sind meisWürmer dienen können und deshalb oft tens Mail-Systeme, basierend auf Microabgeschaltet werden. Oftmals empsoft Exchange in Verbindung mit Microfiehlt sich der Einsatz eines “Puffersoft Outlook. Servers”, der die Mail zwischenspei- 116 L AN line 9/2000 chert, bis die normale E-Mail-Struktur wieder in Betrieb geht. – Wie reagiert der Hersteller des Antivirenprodukts bei Virenvorfall? Ein wichtiger Punkt ist, dass die Kunden sich von vornherein belegen lassen, wie die Notfallstruktur bei ihrem Antivirenhersteller aussieht und sich darüber informieren, wie schnell dieser zum Beispiel bei VBS_LOVELETTER reagiert hat. Wie schnell wurden Aktualisierungen der Virendatenbanken zur Verfügung gestellt und waren die Web-Server erreichbar, um auch an diese Virendatenbanken heranzukommen? Gibt es alternative Methoden zum Download und zum Einspielen der Datenbanken, falls der/die Web-Server des Herstellers überlastet ist/sind? – Stimmt das Backup-Konzept? VBS_LOVELETTER hat viele Bildagenturen und Webmaster empfindlich getroffen, da dieser Wurm Bilddateien auf den lokalen Festplatten überschrieben hat. Bei VBS_NEWLOVE wurden sogar die meisten Daten auf den lokalen Datenträgern überschrieben. Hier hilft nur ein aktuelles Backup. – Mit welchen Dateitypen arbeiten die Anwender? Ist es wirklich nötig, “.VBS”Dateianhänge im Unternehmen zu verwenden oder lassen sich potenziell gefährliche Attachments einfach unterdrücken? Auf Basis dieser Fragen und weiterer Bedrohungsanalysen stellen die Verantwortlichen dann die Security Policy auf. Es ist hierbei wichtig, sich darüber im Klaren zu sein, was heutzutage überhaupt durch Antivirenprogramme abgesichert werden kann und wie hoch das Bedrohungsrisiko ist. INTERNET-GATEWAY Beim Internet- Ga- teway können E-Mails und HTTP/FTPDatentransfer auf Viren untersucht werden. Das Durchsuchen von E-Mails muss sich nicht nur auf das Attachment beziehen, auch der E-Mail-Body lässt sich zum Beispiel auf Active Scripting in HTML-EMails durchsuchen. Dieses Verfahren ermöglicht auf solchen Systemen einen hohen Datendurchsatz. So gibt es Maschinen, die am Tag 1,5 Millionen E-Mails mit 150 www.lanline.de SCHWERPUNKT: DAS SICHERE NETZ GByte Attachment-Volumen scannen. Die Wahrscheinlichkeit, sich einen Virus über HTTP oder FTP einzufangen, ist geringer. 95 Prozent aller heutigen Infektionen erfolgen über E-Mail. MAIL-SERVER Auf den E-Mail Systemen, die auf Microsoft Exchange oder Lotus Notes aufbauen, sollten eingehende Mails in Echtzeit durchsucht und bestehende Datenbanken sowie Mailboxen auf schadhaften Code überprüft werden. Nichts ist für den Administrator unangenehmer als die Tatsache, dass sich gefährliche E-Mails in diesen “gekapselten Datenbanken” befinden und einige Anwender diese trotz Warnungen ausführen. Hier wird oft erst nach Auftreten eines Virenbefalls eine Lösung installiert, was durch den dabei herrschenden Zeitdruck auch manchmal zur Zerstörung der Datenbanken führt. FILESERVER Für diese Server gibt es be- währte Antivirenprodukte, die meisten Unternehmen haben Erfahrungen damit. Da die Systeme aber meist schon lange im Einsatz sind, ergeben Überprüfungen nach einen Virenvorfall sehr oft, dass sie sich nicht auf dem neuesten Stand befinden. ARBEITSPLATZRECHNER Durch die Zu- nahme von Enduser-zu-Enduser-Verschlüsselung, die sich mit den vorher genannten Schutzsystemen meist nicht entschlüsseln lassen, wird es immer notwendiger, einen stets aktuellen Schutz auf den Arbeitsplatzrechnern zu haben. Probleme gibt es beim Ausbringen des Echtzeitschutzes und der Aktualisierung. Viele Anwender unterlaufen das Schutzkonzept, indem sie den Virenschutz deaktivieren oder nicht aktualisieren. Deshalb muss die Ausbringung und Überwachung von einer zentralen Managementkonsole erfolgen. Nach dem Überprüfen des technisch Machbaren und Sinnvollem geht es daran, dieses Schutzkonzept umzusetzen. Dazu sollten erst verschiedene Antivirenprodukte gesichtet und getestet werden, bevor das Unternehmen sich für einen oder mehrere Hersteller entscheidet. Der Test im Produktivbetrieb ist besonders wichtig, um sicherzustellen, ob der Virenschutz mit den www.lanline.de eingesetzten Systemen zurecht kommt. In diesem Kontext sollten die Administratoren auch bedenken, dass die Wahl verschiedener Hersteller zwar ein Plus an Sicherheit bringen kann (die Hersteller sind bei der Entwicklung von Gegenmaßnahmen unterschiedlich schnell), dass dies aber immer zu Lasten des Managements und der Übersichtlichkeit geht. Außerdem nimmt damit fast automatisch die Anzahl der Fehlalarme zu, da die von einem Produkt gesäuberten Dateien oft noch Fragmente eines Virus enthalten, die ein anderes Produkt dann als virulent identifiziert. Darüber hinaus gibt es leider keine allgemeingültigen Namenskonventionen der “Malicious Codes”. Da die Virenautoren aus verständlichen Gründen meist nicht ihren Namen und den Namen des Virus im Quellcode hinterlassen, gestaltet sich die Namensgebung schwierig. Die Antivirenhersteller versuchen zwar, die Namen der Viren anzugleichen, aber ein gefundener Virus kursiert trotzdem eventuell unter verschiedenen Bezeichnungen, was nicht gerade hilft, den Vorfall einzugrenzen und eindeutig zuzuordnen. Nach der Implementierung der Schutzsysteme sollte eine Überprüfung stattfinden. Dafür bedient der Administrator sich dann der Eicar-Test-Files, die eigentlich alle Antiviruslösungen erkennen. Da es sich hierbei nicht um Viren handelt, kann gefahrlos getestet werden, was zum Beispiel beim Verschicken der Testdateien über EMail passiert. Die Eicar-Dateien in verschiedenen, auch gepackten Formaten finden sich zum Beispiel unter: http://www. trendmicro.de/virinfo/eicar.html. Beachtet ein Unternehmen all diese Vorschläge, garantiert das allerdings immer noch keine hunderprozentige Sicherheit – das ist technisch nicht möglich. Aber bei einem Virenvorfall greifen dann die Vorsorgemaßnahmen im Unternehmen, die Kommunikation mit dem Antivirenhersteller funktioniert und man kann die Infektion schneller eingrenzen und bekämpfen. (Raimund Genes/gg) Raimund Genes ist Geschäftsführer der Trend Micro Deutschland GmbH. L AN line 9/2000 117 SCHWERPUNKT: DAS SICHERE NETZ KONZEPTE FÜRS SICHERE NETZWERK Regeln bringen Schutz Der erste Schritt zur Sicherheit eines Netzwerks ist das Bewusstsein über dessen Verwundbarkeit. Im Wort Bewusstsein steckt auch das Wort Wissen – und darauf sollten Ihre Vorbereitungen aufbauen, um nicht das “Geschäft mit der Angst” zu machen. Dieser Artikel soll einen praktischen Eindruck vermitteln, wie und worüber an dieser kritischen Stelle Kontrolle ausgeübt werden kann. enn wir heute von der Sicherheit eines Netzwerks sprechen, so bewegen wir uns in einem sehr breiten Umfeld das von organisatorischen und technischen Überlegungen zur Platzierung der EDV-Geräte bis hin zu ausgeklügelten Intrusion-Detection-Systemen reicht. Jetzt konzentriert sich unsere Aufmerksamkeit jedoch vorwiegend auf einen zentralen Punkt im Netzwerk – dem Gateway, also der Verbindung mit der Außenwelt. W DAS NETZWERK In allen Lehrbüchern und vielen Artikeln zu diesem Thema findet sich der Schichtenaufbau einer TCP/IP-Umgebung. Genau dieses Modell soll auch Grundlage für die folgenden Sicherheitsüberlegungen sein. Die Aufgabe der Schichten liegt darin, den Datenaustausch zwischen zwei oder Source 10.0.0.0/24 Any/0 Destination Any/0 10.0.0.0/24 Source Port 1024 - 65535 80 mehreren Endsystemen stufenweise zu abstrahieren und die Benutzung des darunterliegenden Netzwerks zu vereinfachen. Das beginnt bei der am tiefsten gelegenen Ebene, die die Signale behandelt, um den physikalischen Datentransfer zu ermöglichen. Diese Signale werden in 118 L AN line 9/2000 Form von Datenpaketen an die darüberliegenden Schichten weitergereicht. Schließlich landen die Daten in einer geordneten Form auf der Applikationsebene – also dort, wo das Netzwerk für bestimmte Dienste angewandt wird. Technisch ausgedrückt heißt das, der Physical Layer (das Netzwerkkabel) wird durch den Link Layer (den Netzwerkkartentreiber) gesteuert. Der darüber liegende Network Layer (die Ebene, auf der sich das Internet Protocol befindet) bewertet das Paket nach der Zieladresse und dirigiert es in die entsprechende Richtung. Die grundlegenden Informationen des Internet Protocol sind die IP-Adressen der Quelle und des Ziels. IP selbst ist verbindungslos, das bedeutet, es kümmert sich nicht um viel mehr als dass Pakete vom Sender zum Empfänger geschickt werden. Weder garantiert IP die Destination Port Action 80 accept 1024 - 65535 accept Reihenfolge der Pakete noch deren Auslieferung selbst. Das Transport Control Protocol auf dem Transport Layer bietet der darüberliegenden Schicht einen geordneten Datenstrom an. Für den Transport über IP muss dieser Strom in Pakete zerlegt werden. TCP stellt die Reihenfolge der Pakete gegebenenfalls beim Empfang wieder her, um dann den geordneten und gesicherten Datenstrom an die Applikation (zum Beispiel den WebBrowser) zu liefern. Eine TCP-Connection ist somit tatsächlich eine virtuelle Verbindung, die über einem verbindungslosen Dienst abläuft. Im Blickwinkel der Sicherheit hat nicht nur jede Schicht ihre Angriffspunkte, sondern auch die Kombination aus dem Schichtenaufbau. Wie eingangs beschrieben, werden alle Daten über das Netzwerk in Form von Paketen verschickt. Ein Packet-Filter hat ursprünglich die Aufgabe eines Routers, das heisst, er leitet Pakete in die eine oder andere Richtung weiter. Jedes Paket, das zwischen physikalisch getrennten Netzwerken ausgetauscht werden soll, muss über einen Router vom einen Netz in das andere gelangen. Der Packet-Filter kann nun die Informationen von IP und TCP, die im Header eines jeweiligen Pakets gespeichert sind, genauer analysieren und über eine Regelbasis entscheiden, wie mit dem Paket zu verfahren ist. Dazu gibt es folgende Entscheidungsmöglichkeiten: – verweigern (deny): das Paket wird verworfen, – zulassen (accept): das Paket wird angenommen und weiterverarbeitet, – abweisen (reject): das Paket wird verworfen; anders als bei “deny” wird das dem Absender aber mitgeteilt. Der erste Schritt beim Aufbau einer Sicherheitsarchitektur ist die Definition der Policy – also der Grundregel, wie mit dem Paket verfahren werden soll, wenn keine andere Regel gefunden wird. Für ein Gateway empfiehlt sich hier eine sehr restriktive Politik: zuerst alles zu deaktivieren (deny), um dann die erforderlichen Positiv-Fälle bewusst zuzulassen. So könnte eine Regel aussehen, die allen Rechnern im LAN (Adressbereich 10.0.0.* - 24 ist die Identifikation einer Class-C-Adresse mit der Subnetz-Maske 255.255.255.0) Zugriff auf Web-Server ermöglicht. www.lanline.de SCHWERPUNKT: DAS SICHERE NETZ Hier fällt vor allem auf, dass als QuellPorts nur diejenigen erlaubt sind, die über 1023 liegen. Es hat sich etabliert, einzelnen Diensttypen bestimmte Port-Adressen zuzuordnen, die üblicherweise aus dem Bereich < 1024 kommen. Dieser Bereich wird auch als priviligierter Pool angesehen. Eine Benutzerapplikation, die einen Port für die Identifikation der Verbindung benötigt, nimmt diesen in der ken erlaubt ist. Source-Routing setzt sich darüber hinweg und lässt sich dazu verwenden, trotzdem Pakete durchzuschicken. Da mehrere ICMP-Pakettypen als Sicherheitsloch anzusehen sind, lassen die meisten Policies nur wenige Varianten zu: – Destination-unreachable erlaubt einzig die für das klaglose Funktionieren des Überwachungsbildschirm mit der Zahl der aktiven Verbindungen Regel aus dem nicht-priviligierten Bereich oberhalb der definierten Grenze. So lassen sich Server-Dienste leicht von Benutzerapplikationen trennen. Die Regel ist in der Tabelle ein zweites Mal mit vertauschter Quell- und Zieladresse eingetragen, damit die Antwortpakete vom Web-Server auch die Erlaubnis haben, den Weg zurück ins LAN zu nehmen. SPEZIALFALL ICMP Viele ICMP-Nach- richten, die einen Host erreichen, sind nur für eine bestimmte Verbindung relevant oder werden durch ein bestimmtes Paket ausgelöst. ICMP enthält einen Pakettyp, der genauer zu betrachten ist: die Source Route Option. Damit ist es möglich, die Route einer Verbindung umzuleiten. Das kann Auswirkungen auf eine Firewall haben, auch wenn dort das IP-Forwarding komplett deaktiviert wurde, das heißt, eigentlich kein Routing zwischen Netzwer- 120 L AN line 9/2000 Netzwerks sehr wichtige Statusmeldung, dass ein Rechner nicht erreichbar ist. – Echo-Request und Echo-Reply kommen für Diagnosezwecke zum Einsatz, um zu sehen, ob das Zielsystem noch reagiert (Kommando ping). DIE APPLIKATIONSEBENE Bisher haben wir uns rein mit dem paketorientierten Datenverkehr beschäftigt. ApplicationLayer-Gateways (ALG) haben den zusätzlichen Vorteil, dass sie auf den geordneten Datenstrom aufsetzen und daher transaktionsorientiert eine gute Kontrolle über den Inhalt ausüben können. Die ALG-Software muss allerdings die verwendeten Protokolle wie HTTP, SMTP oder FTP genau kennen. Nur dadurch ist sie in der Lage, zu entscheiden, ob einzelne Kommandos erlaubt werden oder nicht. Ein anschauliches Beispiel findet man bei den “HTTP Cookies”. Das Hypertext Transfer Protocol ist inzwischen wohl eines der am meisten verwendeten Protokolle. Ein Grundproblem dieser Lösung liegt allerdings darin, dass für den Datenaustausch sehr kurzlebige Verbindungen zum Einsatz kommen. Die Verbindung besteht nur für die Dauer des Transfers einer HTML-Datei. Jede weitere Anfrage – wie in die Seite eingebettete Bilder – lösen neue Verbindungen aus, die ebenfalls nur für den jeweiligen Request aufrecht gehalten werden. Sobald der Transfer einer Seite mit all ihren Elementen abgeschlossen ist, besteht zwischen dem Client und dem Server kein Kontakt mehr. Die Cookies ermöglichen es dem Programmierer einer Website, Daten von einer Anfrage zur nächsten weiterzureichen und somit eine Art Applikationsablauf zu simulieren. Zuerst setzten die Website-Betreiber Cookies für Shopping-Applikationen ein, um so den Inhalt eines virtuellen Einkaufswagens von einem Request zum nächsten zu speichern. Sie sind aber schnell dahinter gekommen, dass sich damit auch Informationen über die Benutzer abfragen und Profile über deren Verhalten auf der Website erstellen lassen. Am Heimarbeitsplatz wird es heute jedem selbst überlassen, den Browser so einzustellen, dass Cookies gar nicht oder nur nach Rückfrage akzeptiert werden. Soll etwas Vergleichbares aber in eine Unternehmens-Policy einfließen, so kann das Gateway hier nützliche Dienste leisten, indem es die Cookies an der Schnittstelle nach außen herausfiltert. Source Any/0 Destination Any/0 Protocol icmp Any/0 Any/0 Any/0 Any/0 icmp icmp Type destinationunreachable echo-request echo-reply Action Allow Allow Allow www.lanline.de SCHWERPUNKT: DAS SICHERE NETZ Neben dem Einschränken und Überwachen der Zugriffe von außen hilft eine Sicherheits-Policy aber auch dabei, die Aktivitäten der Benutzer genauer unter die Lupe zu nehmen. Sehr häufig besteht heute die Anforderung, dass einzelne Benutzer oder Benutzergruppen nur auf einen eingeschränkten Bereich des Internets zugreifen sollen. Das Gateway benötigt hierfür eine Zuordnung der Benutzer zu einem entsprechenden Profil, das den Zugriff steuert. Basis für diese Zuordnung ist normalerweise die Identifizierung des Benutzers am Gateway in Form einer Anmeldung. Im einfachsten Fall legt das Profil eine Liste von Websites fest, auf die zugegriffen werden darf. Die theoretischen Möglichkeiten zur Verfeinerung des Profils sind aber nahezu unbegrenzt. Heutige ALGs gehen aber im Schutz der Applikationsprotokolle noch einen guten Schritt weiter, indem sie auch Inhalte analysieren. Eine E-Mail kann beispielsweise ein mit einem Virus infiziertes Attachment enthalten. Das ALG ist in der Lage, das Virus bereits am Eingang abzufangen, bevor es in das Netzwerk hinein kommt. PROTOKOLLE Ein gutes Sicherheitskonzept darf sich nicht nur auf die Definition von Regeln für die Zugriffe von außen beziehungsweise die Aktivitäten von in- 122 L AN line 9/2000 nen beschränken. Es konzentriert sich auch auf den täglichen Betrieb des Gateways und des gesamten Netzwerks. Auch Sicherheits-Software ist Software. Die Geschichte zeigt uns, dass immer wieder neue Wege und Mittel auftauchen die eingesetzten Schranken zu umgehen oder dass Fehler in der Software ungewollt Lücken öffnen. Informationen über Verletzungen der Regeln müssen länger zur Verfügung stehen als nur für den Zeitpunkt, an dem die Aktion statt findet – das heißt, es muss protokolliert werden. Das Augenmerk sollte nicht zuletzt auf der Ausführlichkeit der Protokolle liegen. Zu ausführliche Logs führen leicht zu einer Datenfülle, die für eine Analyse nicht mehr zu bewältigen ist. Zu wenig detaillierte Informationsquellen nehmen den Administratoren aber die Möglichkeit der genaueren Analyse oder überhaupt des Erkennens von Verletzungen. DIENSTE Eine Schicht, die häufig verges- sen wird, sind die Dienste selbst – ob sie nun am Gateway-Rechner oder am Server für die öffentlichen Internet-Dienste laufen. Der folgende Auszug aus der Ausgabe von “netstat -ln” auf einem Unix-System zeigt deutlich, dass hier mehr Services laufen als für diesen Web- und Mail-Server erforderlich. Der sichere Weg liegt hier im Deaktiviern von allem was nicht unbedingt erfoderlich ist. Dann kann es auch nicht passieren, dass Teile der Server-Software die eigentlich nicht benötigt werden, zu Sicherheitsproblemen führen. FAZIT Sicherheit betrifft nicht nur Soft- ware, sondern muss als ein komplexes Konzept gesehen werden, das die Software als Werkzeug verwendet, aber auch Infrastruktur und Organisation umfasst. In der Praxis hat sich bewährt, sich bei der Auswahl der Gateway-SicherheitsSoftware nicht nur auf eine Ebene zu be- Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address tcp 0 0 0.0.0.0:80 tcp 0 0 0.0.0.0:25 tcp 0 0 0.0.0.0:515 tcp 0 0 0.0.0.0:40001 tcp 0 0 0.0.0.0:20005 tcp 0 0 0.0.0.0:6711 tcp 0 0 0.0.0.0:113 : Empfehlenswert ist in vielen Fällen ein zweistufiges Konzept, das generelle Regelverletzungen in einem Protokoll ablegt und genauere Informationen in einer separaten Datei speichert, die häufiger recycled wird. Neben der Überlegung, was zu protokollieren ist, stellt sich auch die Frage der Ablage. Sollte der Gateway-Rechner geknackt werden, so versucht der Einbrecher vermutlich auch, seine Spuren zu verwischen. Die meisten Systeme bieten hier eine einfache Möglichkeit, die Ausgabe auf einen anderen Computer weiterzuleiten, per E-Mail zu verschicken oder einen Ausdruck zu generieren. Foreign Address 0.0.0.0:* 0.0.0.0:* 0.0.0.0:* 0.0.0.0:* 0.0.0.0:* 0.0.0.0:* 0.0.0.0:* State LISTEN LISTEN LISTEN LISTEN LISTEN LISTEN LISTEN schränken, sondern sowohl die Paketebene als auch die Applikationsebene zu berücksichtigen, um so die Vorteile beider Welten zu nutzen. Der wohl wesentlichste Punkt im Sicherheitskonzept wird in der Praxis aber oft stark vernachlässigt: das dauernde Beobachten des Systems, Lesen der Protokolldateien und Verfolgen von ungewöhnlichem Verhalten, um so die eingesetzten Mechanismen laufend an Fehler oder neue Situationen anzupassen. (Heinz Drstak/gg) Weitere Informationen: CSM Security Management AG Web: www.csm-security.com www.lanline.de SCHWERPUNKT: DAS SICHERE NETZ DATENSICHERHEIT AUF HÖCHSTER EBENE Application Level Proxies Der Markt für Firewalls ist verhältnismäßig unübersichtlich. Die Marketingstrategen der Anbieter greifen daher immer wieder Einzelaspekte wie zum Beispiel die Performance heraus, um sich gegenüber dem Wettbewerb abzuheben. Dies geschieht allerdings zu Lasten anderer, meist weniger diskutierter Firewall-Eigenschaften, die jedoch gerade durch ihr Zusammenspiel die Voraussetzung für das erfolgreiche Absichern eines Unternehmensnetzwerks schaffen. Welche Faktoren das sind, zeigt dieser Beitrag. aut einer Studie von IDC aus dem Jahr 1999 sind 50 Prozent der Käufe von Firewalls Erstanschaffungen. Mangels Erfahrung müssen sich die Kunden in Sachen Internet-Sicherheit daher besonders auf die Beratung des Verkäufers verlassen. Denn die Unternehmen haben meist nur eine vage Vorstellung darüber, welche Art Datenverkehr die Firewalls passieren darf. Dazu gehören in den meisten Fällen die wichtigsten Protokolle wie SMTP, HTTP, FTP und Telnet. Oft reicht L es aber nicht aus, die anderen Dienste zu blocken, um effektiven Schutz vor gefährlichen Viren oder sonstigen Attacken auf das Unternehmensnetzwerk zu verwirklichen. Um ein vernünftiges Maß an Sicherheit zu schaffen und die Gefahren, die im Internet lauern, abzuwehren, muss jedes Unternehmen in seiner Security Policy genau definieren, welche Sicherheitsanforderungen es an die Firewall stellt. Darüber hinaus sollte die Firewall heute einige zusätzliche Kriterien erfül- Ein Application Level Proxy untersucht die Paketinhalte auf Layer 7 124 L AN line 9/2000 len, die mit dem Regelwerk, dem Hardening des Betriebssystems und der Ebene des ISO/OSI-Schichtenmodells, auf der der Datenverkehr überwacht wird, zusammenhängen. UNABHÄNGIGES REGELWERK Bei der Konfiguration einer neuen Firewall sollte in jedem Fall die Security Policy des Unternehmens wohl durchdacht sein und dementsprechend alle Regeln über die erlaubten sowie verbotenen Aktivitäten enthalten. Die meisten Firewalls verfügen heute über ein abhängiges Regelwerk (Order Dependent Rules). Das heisst, dass die Regeln in einer bestimmten Reihenfolge und einem definierten Abhängigkeitsverhältnis, also hierarchisch, aufgestellt werden müssen. Inzwischen gibt es aber auch Firewalls, welche die Regeln unabhängig von ihrer Hierarchie anwenden können. Das Regelwerk solcher Firewalls ist also flexibel, sodass die Regeln unabhängig von ihrer Reihenfolge in ein Verzeichnis eingetragen werden. Das macht die Konfiguration und das Management sehr einfach, ohne dass der Administrator bei der Implementierung neuer Regeln auf deren Reihenfolge zu achten hat. Über ein abhängiges Regelwerk verfügen alle zustandsorientierten PaketfilterFirewalls (Stateful-Packet-Filtering-Firewalls). Der Nachteil ist, dass jeder ProxyServer individuell konfiguriert werden muss. Das gestaltet die Konfiguration viel aufwändiger und erhöht die Wahrscheinlichkeit, Fehler zu machen. Hier gilt nämlich die Devise: Hard to configure is hard to secure. Schleicht sich beispielsweise während der Installation eine falsche Hierarchie ins Regelwerk ein, vergrößert das das Sicherheitsrisiko. Wie wichtig die Unabhängigkeit von einer festgesetzten Regelhierarchie ist, soll das folgende Beispiel veranschaulichen: Die Stateful-Packet-Filtering-Firewalls gebrauchen einen “First-Fit-order-ParsingAlgorithmus”. Dieser sorgt dafür, dass immer die erste Regel angewandt wird. In einer festgelegten Regelhierarchie kommt die zweite Regel nicht zum Einsatz, wenn die erste passt. Im folgenden Beispiel www.lanline.de SCHWERPUNKT: DAS SICHERE NETZ Allow 10.1.1.0 to Any for HTTP, FTP and SMTP (ERLAUBE) Deny 10.1.1.5 to Any FTP (VERBIETE) wird die zweite Regel nie erreicht, das heißt, dass in diesem System der Durchgang über die 10.1.1.5 gestattet würde. Eine vom Regelwerk unabhängige Firewall (order independent) dagegen würde den Durchgang nicht gestatten. Sie vergleicht bei einer Verbindung alle Regeln, findet mit Hilfe des “best-fit”-Algorithmus die Deny-Regel sofort und verhindert dadurch eine unzulässige Verbindung. Mit diesen Zusatzmerkmalen können sie ein erweitertes Content-Scanning durchführen. Sie überprüfen den Inhalt aller Datenpakete, die ins Netz gehen. Dazu packen sie die Pakete aus und verpacken dann nach der Prüfung ihren Inhalt neu. Im Gegensatz dazu überprüfen Paketfilter-Firewalls nicht die Inhalte der Pakete, ihres vergleichsweise niedrigen Datendurchsatzes in Tests schlechter benotet werden. In Wirklichkeit sind ApplicationProxies nicht mehr viel langsamer als Paketfilter-Firewalls. Der ihnen nachgesagte Performance-Nachteil ist bei den Proxies der dritten Generation fast aufgebraucht. High-end-Firewalls mit der Technologie AUTOMATISCHES SYSTEM-HARDENING Um ein Netzwerk zu schützen, muss eine Firewall auch das System, auf dem sie installiert ist, absichern. Aus diesem Grund führen heute viele Firewalls während der Installation ein so genanntes System-Hardening durch. Dazu gehören Maßnahmen zum Verhindern des Forwarding beziehungsweise Routing des gesamten IP-Verkehrs. Auch der Durchlass von anderen Protokollen – wie zum Beispiel IPX – wird unterbunden. Hinzu kommt die Schließung aller User-Accounts ohne Administratorrechte. Um Attacken auf IP-Ebene (Source Route, Frag Attack, Address Spoofing, TCP SYN Flood) vorzubeugen, fügen diese Lösungen einen speziellen IPLevel-Code hinzu. Darüber hinaus unterbrechen sie unnötige Services für Windows NT oder überflüssige Unix-Prozesse. Das Hardening des Betriebssystems ist aber nicht nur bei der Installation wichtig. Es sollte kontinuierlich durchgeführt werden, um unsichere Aktivitäten permanent im Griff zu haben. APPLICATION-LEVEL-PROXIES Die meis- ten Firewalls haben hinzugefügte Proxies, die auf der Low-Level-Ebene angesiedelt sind. Höchste Sicherheit bieten jedoch nur die reinen Application-Proxies oder Proxy-Server-Firewalls. Denn nur sie überwachen den Datenverkehr auf der Applikationsebene. Neuere Application-Proxies der dritten Generation verfügen darüber hinaus auch über Merkmale wie Strong/Weak User Authentication, Detailled-Logging, Command-Filtering und URL-Filtering, um nur einige zu nennen. 126 L AN line 9/2000 Strukturierte Warnmeldungen helfen dem Administrator beim Finden von Sicherheitslücken sondern nur die Header-Dateien. Hier lässt sich eine Parallele zu normalen Postpaketen aufstellen. Es ist so, als ob man nur die Adresse überprüfen würde und nicht den Inhalt. So kann ein Angreifer beispielsweise bei einer Paket-Firewall mit einer bestimmten Befehlsfolge via HTTP auf Port 80 den Web-Server übernehmen. Ein Application-Proxy erkennt im Gegensatz dazu diese Befehlsfolge und wehrt den Angriff ab. Weiterhin findet ein ApplicationProxy als einziger gefährliche HTTPfremde Befehle wie die heutzutage sehr verbreiteten Trojanischen Pferde Back Orifice oder Net-Bus. von Axent beispielsweise können auf aktuellen Hardware-Plattformen Durchsatzgeschwindigkeiten von 50 bis 80 MBit/s erreichen. So kontrollieren sie ohne weiteres T3-Leitungen ohne Performance-Einbußen. PERFORMANCE VERSUS SICHERHEIT? FAZIT Unabhängiges Regelwerk, kontinuierliches System-Hardening und Sicherheits-Ckecks auf Applikationsebene sind wichtige Kriterien, die beim Anschaffen einer Firewall beachtet werden sollten. Denn nur vor dem Hintergrund dieses Kriterienkatalogs lässt sich vernünftig abwägen, welche Firewall-Technologie am besten zu den Anforderungen passt. (Richard Hellmeier/gg) Den Application-Level-Proxies wird nachgesagt, dass sie keine sehr gute Performance haben. So kommt es vor, dass sie wegen Richard Hellmeier ist Vorstandsmitglied der Computer-Links AG. www.lanline.de SCHWERPUNKT: DAS SICHERE NETZ KOMMUNIKATION MIT SSH1, SSH2 UND SSL Plattformübergreifend abgesichert Remote Access muss für den Anwender einfach, universell und sicher sein. Das heisst, dass die Verbindung unabhängig vom Endgerät und dem Kommunikationsweg einheitlich und weitgehend automatisiert hergestellt wird. Um dabei die Sicherheit aufrechtzuerhalten, gibt es eine Reihe von Tools. eistungsfähige Host-ConnecitivityProdukte unterstützen die neuesten Verschlüsselungs- und Authentifizierungsverfahren wie SSL v2 und v3 sowie SSH1 und SSH2. Das gilt im Idealfall nicht nur für Großrechner, sondern auch für Windows NT sowie Unix-Systeme und das zunehmend populäre Linux. Die Grenzen zwischen öffentlichen und privaten Netzen verschwimmen. Zunehmend entstehen virtuelle private Netzwerke auf Basis des Internet-Protokolls IP, die Kostenvorteile, höhere Flexibilität und bessere “Connectivity” versprechen. Die notwendige Abgrenzung der “Privatsphä- L re” erfolgt dabei über Verschlüsselungsund Authentifizierungsverfahren; die Verbindung zwischen zwei Rechnern läuft dann durch einen kryptographisch von der Öffentlichkeit abgeschirmten “Tunnel”. So arbeiten zwar die Verbindungen zwischen den Rechnern eines privaten Firmennetzes über öffentlich zugängliche Telekommunikationsnetze – die darüber beförderten Daten aber bleiben dank der abgesicherten “Tunnelwände” trotzdem vertraulich. Solange diese Tunnelwände nicht von Hackern, (Industrie-) Spionen, Kriminellen oder einfach auch nur neugierigen Menschen geknackt werden. Anbindung von Zielsystemen mit direkter SSHD- oder SSL-Unterstützung 128 L AN line 9/2000 Mit der zunehmenden Abwicklung geschäftlicher Transaktionen über öffentliche Netze und der Sensibilisierung nach spektakulären Hacker-Angriffen wird Informatiksicherheit immer mehr großgeschrieben. Führte dieses heikle Thema über lange Jahre eher ein Mauerblümchendasein in elitären Forscherzirkeln und hinter den verschlossenen Türen von Militärs und Geheimdiensten, so forcieren es heute universitäre und industrielle Forschungsund Entwicklungslabors mit aller Kraft. Ergebnis ist eine rasante Entwicklung neuer Sicherheitsmechanismen und -produkte auf technischer Ebene. RASANTE FORTSCHRITTE BEI SECURITY-TECHNOLOGIEN Die technische Si- cherheit befasst sich mit der Umsetzung von Sicherheitsdiensten wie sie zum Beispiel im Rahmen der OSI-Sicherheitsarchitektur (gemäß ISO/IEC 7498-2) definiert sind: – Authentifikationsdienste müssen die Identität von Kommunikationsteilnehmern oder den Ursprung von Daten verifizieren. – Datenvertraulichkeitsdienste haben die Vertraulichkeit von übertragenen Daten zu sichern. – Datenintegritätsdienste müssen die Integrität von übertragenen Daten sichern. – Zugriffskontrolldienste haben den Zugriff auf Betriebsmittel auf eine geeignete Art und Weise zu kontrollieren. – Verbindlichkeitsdienste müssen schließlich sicherstellen, dass Kommunikationsteilnehmer nicht nachträglich abstreiten können, Daten versandt oder empfangen zu haben. Geht es um die Sicherheit der Kommunikation, kommen in der Internet-Welt kryptographische Sicherheitsprotokolle zum Einsatz. Noch sehr verbreitet in der Windows-Welt ist trotz seiner bekannten Schwächen das Point-to-Point-Tunneling Protocol (PPTP), das einen sicheren Tunnel zwischen zwei Rechnern etabliert, indem es die verschlüsselten Daten in TCP/IP-Pakete packt. Flexibler ist die sich als neuer Security-Standard abzeichnende Erweiterung des Basisprotokolls IP: IPsec. Ursprüng- www.lanline.de SCHWERPUNKT: DAS SICHERE NETZ lich für die Verbindung von LANs über das Internet konzipiert, erlaubt es IPSec, verschiedene Firewall-, Verschlüsselungs- und TCP/IP-Protokoll-Stack-Produkte zu kombinieren, hat aber noch gewisse Schwächen, beispielsweise in der Authentifizierung einzelner User beziehungsweise Clients. Es verwendet dazu zwei standardisierte Verfahren zum Austausch des Schlüssels für den kryptographischen Algorithmus, entweder Internet Key Exchange (IKE) oder das Simple Key Exchange Internet Protocol (SKIP) sowie für die sichere Übertragung, entweder Encapsulating Security Payload (ESP) oder Authentication Header (AH). Während ESP das gesamte TCP/IP-Paket (inklusive Adressinformation etc.) verschlüsselt und für den Transport über das Internet in ein größeres Paket einpackt, verwendet AH lediglich das weniger sichere Verfahren der Authentifizierung. www.lanline.de SSH im Überblick Das Secure-Shell-Protokoll SSH dient zur Absicherung von Remote Login und anderen sicherheitsrelevanten Netzwerk-Services über unsichere Netze. Das Protokoll setzt sich aus drei wesentlichen Komponenten zusammen. Das Transportschicht-Protokoll sorgt für ServerAuthentifikation, Vertraulichkeit und Integrität, das User Authentifikations-Protokoll identifiziert den Client gegenüber dem Server, und das Verbindungsprotokoll multiplext den verschlüsselten “Tunnel” auf verschiedene logische Kanäle. Das Authentifikations-Protokoll unterstützt verschiedene Verfahren, vom Public Key über Passwörter bis hin zu diversen Host-basierten Authentifikationsmethoden. Es setzt auf der SSH-Transportschicht auf und liefert genau einen authentifizierten Tunnel für das SSH-Verbindungsprotokoll. Die SSH-Transportschicht ihrerseits setzt üblicherweise auf TCP/IP auf, auch wenn mit IPSec derzeit eine Erweiterung des IP-Protokolls schnell an Popularität gewinnt. Die SSH-Transportschicht liefert starke Verschlüsselung und Server-Authentifikation inklusive “perfect forward secrecy” zur Absicherung der Schlüsselübergabe, falls gewünscht auch Komprimierung. Das Verbindungsprotokoll schließlich erlaubt interaktive Login-Sessions, Ausführung von Remote Commands sowie das Forwarding von TCP/IP- und X11-Verbindungen. Aufbauend auf IP finden derzeit diverse Protokolle Verbreitung, aufgrund der rasanten Entwicklung des Kenntnisstandes in verschiedenen Versionen. Als vielleicht wichtigster neuer Standard zeichnet sich das Secure-Shell-Protokoll (SSH) ab, das seit kurzem in der neuen Version 2 vorliegt. Weit verbreitet sind das Secure-So- L AN line 9/2000 129 SCHWERPUNKT: DAS SICHERE NETZ ckets-Layer- beziehungsweise TransportLayer-Security-Protokoll (SSL beziehungsweise TLS); beim populären SSL sind heute die beiden Standardversionen 2 und 3 relevant. Die Authentifikation der remote arbeitenden Anwender leisten entsprechende Authentifikationssysteme, darunter als populärstes Kerberos sowie entsprechende Public-Key-Infrastrukturen. In der Praxis haben sich auch noch Erweiterungen für das kryptographisch abgesicherte Austauschen von elektronischen Nachrichten als sinnvoll erwiesen wie beispielsweise Pretty Good Privacy (PGP) oder Secure MIME (S/MIME). SECURITY KONTRA CONNECTIVITY? Allein diese kurze Skizze der heutigen Security-Landschaft macht deutlich, dass es keineswegs trivial ist, die Sicherheit der Kommunikationsbeziehungen nach dem aktuellen Stand der Technik zu gewährleisten und gleichzeitig den Remote Access für die User so einfach und universell wie möglich zu gestalten. Diese Problematik gewinnt eine zusätzlich Dimension, sollen auch noch Kunden oder Lieferanten mit unterschiedlichsten Hardware- und Software-Systemen sicheren Remote-Zugang zu den zentralen Rechnersystemen eines Unternehmens erhalten wie es beim Aufbau von E-Commerce- oder Supply Chain-Managementsystemen erforderlich ist. Um an dieser Stelle die nötige Flexibilität zu schaffen, hat Geyer & Weinig ihre Produktfamilie zur Host-Connectivity um die beiden Produkte GW-TEL Secure und GW-TEL Secure Plus ergänzt. Zielsetzung dabei war, die bereits vorhandene Wahlfreiheit sowohl beim Anschluss an unterschiedliche Host- und Server-Systeme als auch bei der verwendeten Kommunikationstechnologie mit der Unabhängigkeit bei den Security-Mechanismen abzurunden. Denn es nutzt nichts, wenn der User von seinem Client aus eine Verbindung zum Host aufbauen und dann beispielsweise 3270-Anwendungen auf IBM-Mainframes nutzen könnte, ihm aber in der Praxis der Zugriff verwehrt wird, weil sein Rechner die erforderlichen Security-Protokolle nicht unterstützt. 130 L AN line 9/2000 GW-TEL OD arbeitet auf der Emulations- und Filetransfer-Seite schon lange mit den relevanten Plattformen zusammen, neben IBM-Mainframes auch Siemens BS2000-Rechner, Unisys- oder Bull-Mainframes und die IBM AS/400, aber auch Unix-Rechner diverser Hersteller. Das funktioniert über unterschiedlichste LANund WAN-Verbindungen. Jetzt bindet GW-TEL Secure nun auch für Zielsysteme eine direkte SSH- oder SSL-Unterstützung an – und zwar transparent für den Anwender. Von seinem PC aus – GW-TEL läuft dabei mit allen relevanten Windows-Versionen bis hin zu Windows 2000 – kann der User dann Legacy-Anwendungen wie 3270/9750, aber auch grafische Anwendungen oder eigene Server-Applikationen aufrufen. Als Kommunikationsverbindung kommt dabei entweder eine mit SSH1/2 abgesicherte Telnet-Session, die SSLv2/ v3Kommunikation mit TN3270E oder ein grafischer Secure-FTP-Dialog in Betracht, wobei auf dem Zielsystem ein SSH2-Dämon als Pendant mitläuft. Die Grundlage für die Ver- und Entschlüsselung der zu übertragenden Daten liefert die Benutzerauthentifizierung. Sie kann mit Hilfe von User-ID und Passwort, Smartcard oder auch über den Schlüssel erfolgen. Mit Hilfe des Schlüsselgenerators lässt sich ein Schlüsselpaar für eine Benutzerauthentifizierung erzeugen. Diese Art der Authentifizierung basiert auf einem Kryptographie-Algorithmus, der die Verund Entschlüsselung mit unterschiedlichen Schlüsseln durchführt – einem öffentlichen und einem privaten Schlüssel. Wichtig ist die Tatsache, dass die erzeugten Schlüssel zusätzlich über die so genannte Passphrase verschlüsselt und somit nach frei definierbaren Policies zusätzlich gesichert werden – denn die Authentifizierung erfolgt sowohl lokal als auch remote. Die Lösung unterstützt bei SSH die gängigen bekannten Verfahren starker Kryptographie. Zudem sind auch ein grafischer SFTP-Client und die Funktion des X11Forwarding integriert. Im Bereich SSL bietet die ConnectivitySuite beide derzeit aktuellen Verfahren SSL v2 und v3, wobei die Public-Key-Au- thentifikation mit den beiden in dieser Protokollwelt gebräuchlichen Verfahren RSA und Diffie-Hellman implementiert ist. Zur Datenstromverschlüsselung dienen ebenfalls die bekannten starken Kryptographiealgorithmen. Die SSL-Unterstützung aller genannten Terminalemulationen ist möglich, ebenso das Drucken in abgesicherter Form über das Netz. PORT-FORWARDING – DAS ZAUBERWORT FÜR UNSICHERE ZIELSYSTEME Ein entscheidender Vorteil von GW-TEL Secure liegt in der Möglichkeit, auch Zielsysteme mit SSH-Absicherung anzusprechen, die dieses Protokoll gar nicht unterstützen. Zu diesem Zweck hat der Anbieter einen SSH-Port-Forward-Manager entwickelt, der es erlaubt, auf dem Front-end Policies zu definieren, mit denen die Kommunikation auf bestimmten Ports abgefangen, umgeleitet und über einen zu diesem Zweck etablierten SSH-Tunnel geleitet wird. Gegenstück kann dann hierbei ein UnixRechner mit SSH-Dämon sein, der wiederum eine im Rahmen von SSH mögliche Port-Umleitung vornimmt und die autorisierten Verbindungen dann innerhalb des geschützten Firmennetzes an nicht SSH-fähige Systeme weiterleitet. So lässt sich die Lücke schließen, die dadurch entsteht, dass zur Zeit für die meisten Legacy-Host-Systeme noch keine SSHD-Implementierung existiert. Das mit der Lösung unterstützte Konzept der Zentralisierung der Security-AccessServices schafft nicht zuletzt auch die notwendige Flexibilität, wenn es darum geht, innovative Security-Mechanismen oder andere Kommunikationsprotokolle als TCP/ IP zu unterstützen. Denn noch ist der Weisheit letzter Schluss für die Absicherung der Kommunikationsbeziehungen nicht gefunden. Grund genug für die Hersteller, wirkungsvollere Alternativen auszutüfteln – die es unverzüglich einzubinden gilt, um den Hackern keine Chance zu geben. (Thomas Ruhmann/gg) Thomas Ruhmann ist Vertriebs-/und Marketingleiter der Geyer & Weinig GmbH www.lanline.de SCHWERPUNKT: DAS SICHERE NETZ Marktübersicht: Antiviren-Software Produktbezeichnung Aladdin E-Safe Command ●● ●● E-Safe Protect Gateway ● E-Safe Protect Enterprise ● ● ● ●● Command Antivirus ●● ●● ●● ●● ●●●●●● ●●●●●● ●●● ●●●●●●● Update der Software Software bietet Schnittstellen zu Management-Systemen monatlich alle 2 Monate alle 3 Monate automatisch via FTP Hersteller SW kann Software erkennt Viren bei Virenfund folgende Aktionen ausführen unterstützte Clients Netware 3.x (NLM) Netware 4.x (NLM) Netware 5.x (NLM) Windows NT 3.5x Windows NT 4.x Windows 2000 OS/2-basierend Linux-basierend Unix-basierend OS/2 Unix Linux Macintosh WfW 3.1x (peer-to-peer) Windows 95 (peer-to-peer) Windows 98 Windows NT 3.5x Windows NT 4.x Windows 2000 TSR Client-Software VxD ist ausgelegt als Standalone-Applikation Makro-Viren Boot-Sektor-Viren polymorphe Viren Stealth-Viren scannt komprimierte Dateien scannt E-Mail-Attachments Viren, die d. SW unkekannt sind löscht infizierte Dateien beseitigt Virus verschiebt infizierte Dateien in einen sicheren Bereich benennt infizierte Dateien um informiert Benutzer in periodischen Abständen SW scannt in Echtzeit unterstützte Server-Betriebssysteme ●●●●●●●●●● ● ● ● ● ●●●●●●● ●● ● ●● ● ● ●●●●●●●●●● ● ●● ● ●●● ● ●●●● ●●●●●●● ● ● Software ● ●●●●●● ●● ● ● ● ● ● CA Unicenter TNG ● ● ●●●●●●●● ●●●●●● ●● ● ●●●● ● ● ●●●●●●●●● ● ●●●● ● ●●● ● ●● ● ●●●●●●●●●●●●●●●●●●● ● ● ● ● ● Tivoli, SNMP, CA Uni- CA Computer Inoculate it für Win NT Associates Inoculate it Netware ●●● Datsec Kaspersky-AVP ●●●●●●●●●● ● ● Frisk Software FP-Win Professional F-Secure F-Secure Antivirus ●●●●●●●● ● ●●●●● ● ●● ●●●●●●● ●● ● ● center TNG, F-Secure Policy Manager H+BEDV Daten- Antivir 6 ●●● ● ● ● ● ●●●●●● ●●●●●●●●●●● ● ● ● ● ● Firewall, Lotus No- ● ● ● tes, Mimesweeper, technik Contentscanner Kasperski Lab AVP Leprechaun Virusbuster ●●●●●●●●●● ● ● ●● ●●●●●● ●●● ●●●●●●●●●● ●●●●●●●●● ● ●●●● ●●●● ● ● ● ● Software Network Asso- McAfee Virsuscan 4.5 ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● eigene, Tivoli, Mi- ●●●●●●●●●●●● ● ●● ●●●●●●●●●● ● ●●●● ● ●● ●●●●●●●●● ● ●● ●●●●●● ●● ● ●●●● ●●●●●●●●●●●●●●●●●●● ● ●●● ● ●● crosoft SMS ciates McAfee PGP Norman Data ● ●●●●● ●●●● ● Norman Virus Control ● ● ● ● ● ● ● ● ● ● Notes Develop- ND Cerberus ● ●●●●● ●●●●●● ● ● ● ● ● Lotus Notes ment Percomp FP-Win Anti-Virus Sophos Sophos Antivirus Symantec Norton Antivirus ●●●●●●●●●● ● Tivoli Secure Way ●●●●●●● ●●●●●●●●● ● ● ●●●●●●●●● ● ●●●●●● ●●●●●●●●●● ● ● ● Symantec System- ● Center ●●● Trend Interscan Trend Micro Office Scan Corporate ● ● ● ● ● ● ● ●●● ●●●●●●●●● ● ●● ● ●●●●●●●●● ● ●● ● ●●●●●●●●● ● ●● ● ●●●●●●●●● ● ●● ● Edition Server Protect ●●● Scanmail für Exchange ●●● ●●●●●●●●● ● ●● ● Scanmail für Lotus Notes ● ● ● ● ● ● ●●●●●●●●● ● ●● ● ●●●●●●●●● ● ●● ● Web Manager www.lanline.de ●●●●●● Viruswall ●● ●● ● ● ● ●●●●●●● ● ● LANline 9/2000 131 SCHWERPUNKT: DAS SICHERE NETZ Anbieter: Antiviren-Software Hersteller Anbieter/Tel. Produktbezeichnung Preis für (in DM) 5 25 100 Server Clients Clients Clients Aladdin Aladdin/089/894221-0 The Bristol Group/06103/2055300 Command Software CA Computer Associates Percomp/040/69628160 CA Computer Associates/089/9961-9110 E-Safe E-Safe Protect Enterprise E-Safe Protect Gateway Command Antivirus Inoculate it für Win NT Inoculate it Netware Inoculate it Inoculate it für Win NT Enterprise Edition FP-Win Professional F-Secure Antivirus F-Secure Antivirus F-Secure Antivirus Antivir 6 Virusbuster McAfee Virusscan 4.5 McAfee PGP Personal Edition Norman Virus Control Norman Virus Control ND Cerberus ND Cerberus FP-Win Anti-Virus Sophos Antivirus Sophos Antivirus Norton Antivirus Norton Antivirus Norton Antivirus Virus Wall Office Scan Corporate Edition Server Protect Viruswall Scanmail für Exchange Scanmail für Lotus Notes Virus Wall Virus Wall Virus Wall Server Protect 4.0 Office Scan Corporate Edition 3.52 Office Scan Corporate Edition Server Protect Virus Wall Scanmail Trend Micro Virus Control System Interscan Scanmail für Exchange Viruswall für Linux Office Scan Corporate Edition Viruswall Server Protect Scan Mail für Lotus Notes Web Manager Office Scan Scanmail für Exchange Server Protect Office Scan Corporate Edition Virus Wall Virus Wall Virus Wall Office Scan Scanmail für Lotus Notes Office Scan Corporate Edition Server Protect Scanmail for Exchange Viruswall Interscan kostenlos k. A. k. A. k. A. k. A. 1300 580 1053 k. A. 1053 k. A. 1070 84 k. A. k. A. k. A. 358 829 1172 2855 1276 1100 580 802 509 125$ 280 $ 885 354 k. A. k. A. 805 767 192 767 4000 k. A. 4000 k. A. k. A. k. A. k. A. k. A. 1125 197 k. A. k. A. 96 345 k. A. k. A. k. A. k. A. k. A. k. A. k. A. k. A. k. A. k. A. k. A. k. A. k. A. k. A. 651 k. A. k. A. 450 k. A. k. A. k. A. k. A. k. A. k. A. k. A. k. A. k. A. k. A. k. A. k. A. k. A. k. A. k. A. k. A. k. A. k. A. k. A. k. A. k. A. k. A. k. A. k. A. 2270 k. A. 1200 k. A. 1125 k. A. 1815 k. A. 995 k. A. 1125 k. A. 1200 k. A. k. A. 995 1589 k. A. k. A. 2430 4040 k. A. 4040 k. A. k. A. k. A. k. A. k. A. k. A. k. A. k. A. k. A. k. A. k. A. k. A. k. A. Frisk F-Secure H+BEDV Datentechnik Leprechaun Network Associates Norman Data Notes Development Percomp Sophos Symantec Trend Micro 1Value.com/089/93939060 Tim/0611/2709-51 Percomp/040/69628160 F-Secure/089/24218425 Allasso/089/450660-0 Percomp/040/69628160 H+BDEV Datentechnik/07542/93040 Leprechaun/0061/7324/58525 Network Associates/089/37070 Net 2000/0211/43027-14 IAP/040/306803-0 Thales Communication/040/251522-0 Notes Development/0511/165030 Edcom/089/3840850 DTP Neue Medien/040/6699100 Sophos/06136/91194-0 Secureware/0228/9813810 Net 2000/0211/43027-14 Secureware/0228/9813810 Tivoli Systems/0800/1815300 Applied Security/06022/262330 BDG/0221/9542310 Connect/06131/80137-0 Icon Systems/0811/555150 Infoconcept/07243/5380-0 ITB Ingenieurgesellschaft/0571/8709-50 IQproducts/089/944940-0 Netzwerk Kommunikationssysteme/039203/720 PDV-Systeme/03528/4803-0 R2R/08032/9899-15 Recomp/02664/9953-00 Secureware/0228/9813810 TLK Computer/089/45011202 Trend Micro/089/37479700 132 LANline 9/2000 4205 k. A. k. A. 2300 1479 1479 618 k. A. 800 2924 3185 1300 1438 1150$ 885 k. A. 1725 1725 k. A. k. A. k. A. 979 129 k. A. 1625 k. A. k. A. k. A. k. A. k. A. k. A. k. A. k. A. 995 k. A. 1090 1100 k. A. k. A. k. A. k. A. k. A. 3000 1125 k. A. 990 k. A. k. A. k. A. k. A. k. A. k. A. k. A. 995 k. A. 2430 k. A. k. A. k. A. k. A. k. A. k. A. k. A. k. A. 13224 k. A. k. A. 7400 k. A. k. A. 963 k. A. 2555 5867 6600 4200 k. A. 3800$ 2921 k. A. 4407 4407 k. A. k. A. k. A. 2099 k. A. k. A. 4200 k. A. 4100 k. A. k. A. k. A. k. A. k. A. 1158 2000 k. A. 2890 2192 k. A. k. A. k. A. k. A. k. A. 5000 3960 4040 2000 k. A. k. A. k. A. k. A. k. A. k. A. k. A. 2000 k. A. 4320 k. A. k. A. k. A. k. A. k. A. k. A. k. A. k. A. www.lanline.de SCHWERPUNKT: DRAHTLOSE KOMMUNIKATION VIELE WEGE DURCH DIE LUFT HARTER KAMPF UM DIE “LETZTEN METER” DRAHTLOSE KOMMUNIKATION Kabel sind teuer und legen den Anwender “an die Leine”. Drahtlose Übertragungsverfahren bieten eine Alternative. Allerdings gibt es mit WLAN 802.11x, Hiperlan I/II, Bluetooth, Irda, DECT/ DMAP etc. so viele Optionen, dass die Orientierung leicht verloren geht. Folgender Beitrag gibt einen Überblick, welche Technologie sich wofür eignet – und wofür eben nicht. 134 L AN line 9/2000 www.lanline.de SCHWERPUNKT: DRAHTLOSE KOMMUNIKATION Einige generelle Tendenzen weisen darauf hin, dass die verkabelte Kommunikation in absehbarer Zeit in schwere Argumentationsnöte kommen wird: Die Verbesserung von Übertragungstechniken (Modulation, Codierung, Synchronisation, Entzerrung, Interferenz-Unterdrückung usw.) und die Empfindlichkeit der Empfänger wird den gerade beginnenden Durchbruch drahtloser Systeme mit Sicherheit erheblich verstärken. Die heute zum Teil noch existierenden Beschränkungen bei der Dienstgüte (Durchsatz, Verzögerung, Bitfehlerhäufigkeit usw.) sollen ebenfalls bald überwunden sein. Die zukünftige Kommunikation im teilnehmernahen Bereich wird, wo immer dies vorteilhaft ist, drahtlos sein. DER STANDARD-WIRRWARR Ein Teil der für die drahtlose Kommunikation zur Verfügung stehenden Verfahren ist primär für den Heimbereich konzipiert, darunter SWAP (Shared Wireless Access Protocol), Openair und Home-RF (Home Radio Frequency). Diese sollen im Folgenden nicht weiter behandet werden. DMAP (DECT Multimedia Access Profile), die um Datendienste erweiterte Variante des DECT-Standards für Schnurlostelefone, adressiert zwar ebenfalls sehr stark den Home-Markt, will aber auch im SOHO-Bereich Fuß fassen – im Prinzip überall da, wo heute schnurlose Telefone zum Einsatz kommen. DMAP will sich vor allem als Multimedia-Funkstandard etablieren, immerhin lassen sich Audio- und Videosignale mit bis zu 128 kBit/s austauschen. DMAP hat im Gegensatz zu Bluetooth und SWAP den Vorteil, dass es mit dem 1,9GHz-Band ein reserviertes Frequenzband benutzt. So sind Komplikationen mit anderen Anwendungen ausgeschlossen. Urspünglich wurde DECT (Digital Enhanced Cordless Telekommunications) von dem Europäischen Telekommunikations Standard Institut (ETSI) als flexibler High-end-Standard für mikrozellulare Funknetzwerke mit einem Radius von 300 Metern entworfen. DECT ist heute darüber hinaus auch beispielsweise Trägertechnologie des Wireless Application Protocols (WAP) in den GSM/GPRS-Mobilfunknetzen. Bluetooth-Produkte erreichen mobil zehn, in stationären Geräten bis zu 100 Meter. DECT verfügt über eine rauschfreie, nahezu abhörsichere Sprachübertragung. BLUETOOTH Bluetooth geistert schon seit rund zwei Jahren durch die Schlagzeilen. Als Ad-hoc-Funktechnologie etwa für Handys, Laptops/Notebooks, PDAs und Peripheriegeräte eines Netzwerks steht Bluetooth nach seiner Standardisierung im Sommer letzten Jahres der Durchbruch in den Massenmarkt bevor. Dieser soll sich nach den Einschätzungen der Marktauguren in zwei Schritten vollziehen: zum Ende dieses Jahres durch eine erste Produktgeneration als “Appetithappen”, zum Ende des nächs- www.lanline.de L AN line 9/2000 135 SCHWERPUNKT: DRAHTLOSE KOMMUNIKATION rund 25 Dollar liegen. Seit Sommer 1999 besteht der Standard Bluetooth 1.0, der ähnlich wie IEEE 802.11 arbeitet, jedoch den Schwerpunkt auf eine besonders kleine Sende-/Empfangseinheit (Transmitter/Receiver, Transceiver) legt. Bluetooth benutzt wie IEEE 802.11 und 802.11b das 2,4-GHz-Band. Die Signale werden durch Frequenz-Hopping moduliert. Neben der Bandbreite (die Multiplexdatenrate an der Funkschnittstelle beträgt etwa 700 kBit/s) ist auch die Reichweite eingeschränkt (10/100 Meter). Damit ist die Anwendung der Technik praktisch auf das Heim oder auf Kleinbüros beschränkt. Aber es lassen sich bis zu acht Geräte miteinander verbinden. Somit könSoll im Oktober auf den Markt kommen: Der Bluetooth Internetnen Notebooks, PC, Server von Red-M Modem, Drucker, Fernsteuerungen, PDA und andere digitale Acten Jahres schließlich in voller Breite – cessoires im engen Umkreis miteinander getrieben vor allem durch höher inte- kommunizieren. Die Datenrate eignet grierte Bluetooth-Chips mit niedrigerem sich eher für Anwendungen mit seltenem Stromverbrauch, kleineren Abmessun- Datenaustausch in meist kleinem Umgen und nicht zuletzt natürlich günstige- fang. So bildet Bluetooth keine Konkurren Preisen. Auf der Bluetooth-Konfe- renz zu Wireless-LANs (WLANs), da renz im Frühjahr dieses Jahres diskutier- dort inzwischen Bandbreiten von 11 ten die Teilnehmer noch sehr kontrovers MBit/s eingeführt wurden. Die wesentliüber die Kosten der Technologie. Ver- chen Bluetooth-Applikationen, die in treter des Bluetooth-Konsortiums hielten Betrieben von Mitarbeitern angenomeinen Hardware-Preis pro Gerät in Höhe men werden, bestehen aus unternehvon fünf Dollar für angemessen. Aber menseigen Anwendungen wie MessaVertreter der Hardware-Hersteller hiel- ging, Knowledge Management (Unwiten die “magische Fünf-Dollar-Grenze in red Portal), Datenbankabfragen usw. soden kommenden drei Jahren für nicht wie dem Zugang zum Internet. Die Gründerfirmen von Bluetooth machbar”. Das Chip-Set für die ersten in diesem Jahr verfügbaren Geräte wird bei (Ericsson, Toshiba, IBM, Intel und 136 L AN line 9/2000 Nokia) haben sich in der Special Interest Group (Bluetooth SIG) zusammengeschlossen. Seit dem 1.12.1999 bilden 3Com, Lucent, Microsoft und Motorola mit der bisherigen SIG die so genannte Promotor-Gruppe der Bluetooth SIG. In der Zwischenzeit unterstützen mehr als 1600 Mitglieder Bluetooth. IRDA Der Irda (Infrared Data Associati- on)-Standard für den Kurzstreckenbereich (wenige Meter) gehört schon fast zu den Veteranen der drahtlosen Technologien. Entsprechende Hardware ist sehr preisgünstig und heute Grundausstattung in Notebooks, Palm-, Handspring- und CE-Plattformen sowie Handys. Mobile Telefone mit Infrarotschnittstelle gibt es beispielsweise von Siemens, Nokia, Qualcomm, Motorola und Ericsson. Seit dem Frühjahr dieses Jahres wird die Infrarot-Technologie mit 16 MBit/s-Transceiver ausgeliefert. Ein schwerwiegendes Handikap herrscht aber bei der Irda-Technik, denn Sender Anzeige und Empfänger benötigen eine direkte Sichtverbindung. Dieses Manko hat sich in der Praxis als so drastisch erwiesen, dass die Akzeptanz von Irda inzwischen in den Keller gerutscht ist. Die Hersteller haben bereits reagiert – in vielen Fällen www.lanline.de SCHWERPUNKT: DRAHTLOSE KOMMUNIKATION Bandbreite/Geschwindigkeit Hiperlan/1/2 802.11a Irda 802.11b 802.11 FHSS DECT/DMAP Bluetooth UMTS GSM Zellgröße/Flächendeckung Wireless-Technologien in der Performance-Flächenmatrix wird wohl Irda demnächst von Bluetooth ersetzt, obwohl Irda als Lichtüberträger keine Rangeleien um Funkfrequenzen kennt und natürlich auch keinerlei Microwellen-Strahlung emittiert. Eine weitere Einschränkung der Irda-Anwendung: Es sind nur Punkt-zu-Punkt-Verbindungen möglich. WIRELESS LOCAL AREA NETWORK In Wireless Local Area Networks (WLANs) können mobile Endgeräte – zumeist Notebooks – mittels Infrarotoder Funktechnik über an Wänden oder Decken installierte Access-Points kommunizieren. Diese Funkschnittstellen sind in der Regel an ein drahtgebundenes LAN angeschlossen. Teilweise sind auch Peer-to-Peer-Topologien realisierbar. Während Infrarotlösungen preisgünstig kurze Distanzen mit Sichtkontakt überbrücken, lassen sich per Funk Entfernungen über mehrere Kilometer bewältigen. Nachdem lange Zeit proprietäre Systeme um die Gunst der Käufer buhlten, hat das US-amerikanische Institute of Electrical and Electronics Engineers (IEEE) 1997 den Standard 802.11 für Wireless-LANs verabschiedet. Dieser wurzelt in seinen Grundzügen im Ethernet-Protokoll für Festnetze und nutzt das 2,4-GHz-Band. Zur Da- www.lanline.de tenübertragung sind zwei Modulationsverfahren vorgesehen: Frequency Hopping und Direct Sequence. Die Datendurchsatzrate ist bei 2 MBit/s festgelegt. Durch Zellulartechnik lässt sich eine gute Flächenabdeckung erzielen. Auch Roaming wird unterstützt – wie beim zellularen Mobilfunk merkt der Anwender nicht, dass er sich mit seinem Laptop während einer Verbindung gerade in das Gebiet einer anderen Funkzelle bewegt. Mit der angestrebten Interoperabilität von Geräten verschiedener Hersteller war es allerdings nicht weit her, da die 802.11-Spezifikation nur die Basisanforderungen festlegt. Zudem bewegte die zum Standardisierungszeitpunkt technisch bereits überholte Bitrate von 2 MBit/s viele Hersteller dazu, zusätzlich auch individuelle, leistungsfähigere Übertragungsmodi zu implementieren. So kam im November 1999 mit dem IEEE 802.11b-Standard (auch als 802.11 High Rate bekannt) bereits ein Nachfolger, der die maximale Durchsatzrate auf 11 MBit/s anhebt und sich derzeit anschickt, einen überwältigenden Siegeszug anzutreten. Auch große, traditionelle amerikanische Netzwerkfirmen wie 3Com, Cisco und Compaq ebenso wie die skandinavischen Mobilfunker Ericsson und Nokia sind nunmehr eingestie- L AN line 9/2000 137 SCHWERPUNKT: DRAHTLOSE KOMMUNIKATION gen, da sie sich hier ein gutes Geschäft versprechen (Marktprognosen siehe Kasten auf Seite 140). Mit dem schnellen und interoperablen Standard war allerdings Unternehmen, die sich ausschließlich auf eine eigene schnelle Technologie gestützt hatten, völlig der Boden entzogen. Populärstes Opfer dürfte das USUnternehmen Radiolan sein, das mit seinem proprietären 10-MBit/s-WLAN im 5-GHz-Band im Frühsommer dieses Jahres Konkurs anmelden musste. Prinzipiell lassen sich mit WLANs komplette, auch sehr große Netzwerke aufbauen, die völlig ohne Kabel auskommen. Wie groß genau, hängt davon ab, wie viele Access-Points sich maximal in ein Netz integrieren lassen und wie viele Stationen ein Access-Point bedienen kann. Hier gibt es durchaus beträchtliche Unterschiede (siehe auch Marktübersicht WLANs auf Seite 144). Eines der größten WLAN-Projekte Europas ist derzeit beispielsweise an der Universität in Rostock installiert, wo mehrere tau- send Endgeräte kabellos miteinander vernetzt sind. In der Regel wird man aber sinnvollerweise eher Mischstrukturen aufbauen, in denen beispielsweise im High-speed-Backbone ein entsprechendes Kabel zum Einsatz kommt, während man auf Etagenebene mit WLANs weiterbaut. 100 oder 1000 MBit/s – im Backbone heute keine Seltenheit mehr – lassen sich auch mit der schnellsten WLAN-Technologie derzeit bei weitem nicht erreichen. drahtlosen Netze dreht sich die Geschwindigkeitsspirale nun scheinbar immer rascher nach oben. Bei allen Ansätzen ist man sich soweit einig, dass das 2,4-GHz-Band nunmehr ausgereizt ist und man nun auf das 5-GHz-Band gehen muss. Dies trifft für den bereits spezifizierten 802.11a-Standard (Übertragungsraten prinzipiell von 6 bis 54 MBit/s – festgelegt wurden bisher 6, 12 und 24 MBit/s) ebenso zu wie auf die Fa- Die schwedische Firma Anoto, ein Gemeinschaftsunternehmen von Ericsson und C-Technologies, hat ein neuartiges Handschriftensystem entwickelt. Dazu wurde ein ARM-Prozessor, eine Infrarotkamera, ein Bildverarbeitungssystem sowie ein Bluetooth-Transceiver in einen äußerlich normal aussehenden Kugelschreiber integriert. Der Stift wird in der üblichen Art und Weise auf einem Spezialpapier benutzt. Dabei erkennt die Elektronik den handschriftlichen Text und sendet ihn via Bluetooth an einen PC, einen Handheld oder ein Handy für die Übermittlung der Daten an einen Server. Neben der Handschrifterkennung ist eine Vielzahl von Dienstleistungen denkbar. Anwendungen wären etwa das Verfassen von E-Mails auf Papier und das Ausfüllen vorgedruckter Formulare. Ericsson legte Anfang Juni dieses Jahres mit der Bluetooth-PC-Card einen Zahn zu. Zusammen mit weiteren neuen Bluetooth-Produkten wie den Mobiltelefonen T36m und R520 verfügt Ericsson jetzt als erstes Unternehmen über ein komplettes Bluetooth-Produktfolio zur Sprach- und Datenübertragung. Intel und Microsoft planen die Integration des Bluetooth-Standards in Windows für IntelPlattformen. So soll Bluetooth bis Mitte 2001 in das Betriebssystem Windows eingebunden werden. Zusätzlich sind die Unternehmen dabei, Standardmethoden zu entwickeln, um PCs durch die Bluetooth-Technologie zu verbinden. Diese Methoden können dann Lizenznehmer in ihre Produkte einbauen. Motorola und Logitech haben eine Kooperation für die Entwicklung von Bluetooth-Technologien für PCs, PDAs, Mobiltelefone und Kraftfahrzeuge geschlossen. Logitech ist mehr an der Produktion von drahtlosen Kommunikationsgeräten interessiert wie zum Beispiel Mäusen, Tastaturen, Joysticks und Game-Pads. Madge Networks hat im Juni dieses Jahres mit Red-M gar ein Tochterunternehmen gegründet, das sich ausschließlich der drahtlosen Kommunikation mit Bluetooth widmet. Im August präsentierte Red-M einen Bluetooth-Server, der alle Bluetooth-fähigen Endgeräte im Umkreis von bis zu 100 Metern drahtlos mit einem ISDN- oder DSL-Anschluss verbindet und gleichzeitig die Connection zum lokalen Netz herstellt. Im Oktober dieses Jahres will Red-M damit auf den Markt kommen. L AN line 9/2000 Anzeige HIPERLAN Doch auch im Bereich der Einige Aktivitäten rund um Bluetooth 138 milie der Hiperlan-Standards (High Performance Radio Local Area Network). Hiperlan wurde vom ETSI schon während der Zeit von 1991 bis 1996 ent- wickelt – parallel zu 802.11. Mit 802.11a überschneiden sich die beiden Standardlinien zum Teil sehr weitgehend, sodass eine Konsolidierung sicherlich angebracht wäre. Obwohl Hiperlan Type 1 schon seit mehreren Jahren als Standard vorliegt und neben der hohen Übertragungsrate von bis zu 24 MBit/s auch Quality of Service-(QoS-)Parameter und die Abwicklung isochronen Datenverkehrs bietet, kam diese Variante bislang nicht so recht in die Gänge. Als einer der wenigen Anbieter hatte beispielsweise Proxim letztes Jahr mit Rangelan-5 ein Hiperlan/1-System vorgestellt. Der große Durchbruch, sowohl bei der Nachfrage als auch daraus folgend beim Angebot, fand jedoch nicht statt. Hiperlan/1 nutzt das Gauss´sche Minimum-Shift-KeyingModulationsverfahren (GMSK) und koexistiert ohne weiteres mit vorhandenen WLANs im 2,4-GHz-Band. Zur Komplettierung des Hiperlan/1Standards wurde ein neues Projekt gestartet, um die drahtlose Version von ATM zu definieren. Dieses drahtlose www.lanline.de SCHWERPUNKT: DRAHTLOSE KOMMUNIKATION DECT Bluetooth frequency band 1,9 GHz reserved unlicensed 10 channels 2,4 GHz ISM unlicensed 80 channels, limit Japan/Spain/France gros bitrate 1,152 (3,456) MBit/s 1 MBits/s access scheme freq.hops/s TDMA / FDMA TDMA, max.1600 CS-CD, 24 slots fixed hop seq., 6 slots TX power 24 dBm 0 [(-30)-(+20)] dBm mod. scheme GFSK BT = 0.5 mod index 0.5 GFSK BT = 0.5 mod index 0.28 ... 0.35 channel spacing 1,728 MHz 1 MHz RX sensitivity -86 dBm (typ.-95 dBm) -70 dBm voice coding 32 kBit/s ADPCM 64 kBit/s CSVD (1/3 FEC) Vergleich: Spezifikationen von DECT und Bluetooth ATM-Projekt ist unter der Bezeichnung Hiperlan Type 2 (Hiperlan/2) bekannt, und dieses scheint in der Industrie auf deutlich höheres Interesse zu stossen, als Typ 1. Die drahtlose ATM-Variante unterstützt natürlich die gleichen QoSParameter wie die drahtgebundene Version. Außerdem verfügt Hiperlan/2 über zahlreiche Sicherheits-Services und das so genannte Hand-over – wenn eine Bewegung zwischen lokalen Bereichen und Weitbereichen oder von firmeninternen nach öffentlichen Umgebungen stattfindet. Hiperlan/2 hat eine sehr hohe Übertragungsrate, die auf dem physikalischen Layer bis zu 54 MBit/s und auf Layer 3 bis zu 25 MBit/s beträgt. Um diese zu bewerkstelligen, macht Hiperlan/2 von einer Modularisierungsmethode Gebrauch, die sich Orthogonal-Frequency-Digital-Multiplexing (OFMD) nennt. Offensichtlichstes Indiz für die hohe Akzeptanz von Hiperlan/2 ist die rasche Gründung eines globalen Industrieforums zu diesem Standard (Hiperlan/2Global-Forum, kurz H2GF). So fanden sich hier die Firmen Bosch, Dell, Ericsson, Nokia, Telia und Texas Instruments, mit dem Ziel, Hiperlan/2 weltweit zu fördern. Inzwischen haben sich Unternehmen wie Alcatel, Adaptive Broadband, Axis Communications, Cambridge Silicon Radio, Canon, Grundig, Matsushita Communication, Motorola, NTT, Philips, Samsung, Siemens und Silicon Wave diesem Forum www.lanline.de angeschlossen. Die generellen Features der Hiperlan/2-Technologie sind hier zusammengefasst: – High-speed Übertragung, – verbindungsorientierte Arbeitsweise, – Quality-of-Service- (QoS)Support wie ATM, – automatische Frequenzbestimmung, – Unterstützung von Sicherheits-Features, – Mobility-Support, – Unabhängigkeit von Netzwerk und Anwendung, – energiesparende Arbeitsweise. Die Architektur eines Hiperlan/2Netzwerks sieht analog zu den bekannten WLANs Access-Points vor, die sich gemäß den Erfordernissen kaskadieren lassen. Bei der Raumabdeckung geht man im 5-GHz-Band von einem Radius von etwa 50 Metern aus, in dem sich die mobilen Stationen um den Access-Point bewegen dürfen. Verbindungen werden im Time-Division-Multiplexverfahren über die Luftschnittstelle realisiert. Es sind dabei zwei Typen von Verbindungen möglich: Point-to-Point und Pointto-Multipoint. Punkt-zu-Punkt-Verbindungen sind bidirektional, während Punkt-zu-Multipunkt-Verbindungen unidirektional in Richtung des mobilen Terminals verlaufen. Erste Produkte für den Hiperlan/2-Standard werden zur CeBIT 2001 erwartet. Andere Applikationen, die innerhalb der Hiperlan-Familie identifiziert wurden, umfassen den drahtlosen festen Zugriff (oder Wireless Local Loop), der urspünglich unter der Bezeichnung Hiperlan Type 3 geführt wurde und der nun als Hyper-Access läuft. Hochgeschwindigkeits-Punkt-zu-Punkt-Verbindungen, die zunächst mit Hiperlan Type 4 bezeichnet wurden, tragen jetzt den Namen Hiperlink. WIRELESS LOCAL LOOP (WLL) Unter der Bezeichnung Wireless Local Loop (WLL) werden mehrere Funktechniken zusammengefasst, die die “Letzte Meile” drahtlos überbrücken. Damit wird die Strecke zwischen der Telefon-Ortszentrale und dem Anschluss des Fernmeldeteilnehmers bezeichnet, die hierzulande Der europäische Markt für Wireless-LANs Wireless-LANs standen lange in dem Ruf als kostenintensive und leistungsschwache Nischentechnologie. Mit den sinkenden Preisen und der gleichzeitigen Ausweitung der Bandbreiten haben sie sich in der Zwischenzeit als einfache und kostengünstige Alternativlösung etabliert. Davon profitiert der gesamte Europamarkt für Wireless-LANs: 1999 noch auf 120 Millionen Dollar geschätzt, sollen die Umsätze im Jahr 2006 bereits bei über 350 Millionen liegen. Zu diesem Ergebnis kommt die Unternehmensberatung Frost & Sullivan in einer neuen Studie. Der anhaltende Boom bei der Mobil- und Funktechnologie hat sich dabei als bedeutendster Wachstumsmotor herauskristallisiert. Die Infrarot-Wireless-LANs, 1999 nur mit einem Umsatzanteil von 2,2 Prozent am Gesamtmarkt beteiligt, sind wohl zukünftig zu vernachlässigen. Als wahre Wachstumsraketen wird sich die neue Bandbreite von 5 GHz erweisen. Frost & Sullivan prognostizieren dem Sektor eine Steigerung der Umsatzanteile von 0,9 Prozent im Jahre 1999 auf über 43 Prozent im Jahre 2006. Die Hauptimpulse für die Umsatzexplosion sollen von der verbesserten Leistung und der Integrierbarkeit in PAN-(Personal Area Networks-) und WAN-(Wireless Area Networks-)Technologien ausgehen. L AN line 9/2000 139 SCHWERPUNKT: DRAHTLOSE KOMMUNIKATION in der Regel nach wie vor in den Händen der Deutschen Telekom liegt. In gewisser Weise kann man WLL als Erweiterung oder Spezialform der WLANTechnologie betrachten – oft sind es die gleichen Hersteller mit zum Teil den gleichen Komponenten. In Deutschland sind zwei Frequenzbänder für WLL-Lizenzen verfügbar: 3,4 und 26 GHz. Beide verwenden Mikrowellenrichtfunk und zwar als Punktzu-Multipunkt-Verfahren (PMP). Ein Sender oder eine Basisstation bedient dabei mehrere Abnehmer. Diese müssen ihre Empfangsantennen in Sichtweite zum WLL-Sender platzieren – das wohl gewichtigste Handikap der Lösung. Eine Basisstation kann bis zu 300 Teilnehmer bedienen. Der 3,4GHz-Bereich lässt Übertragungen von 2 bis 3 MBit/s zu, dies bei einer Reichweite von bis zu zehn Kilometern, sofern sich eben eine Sichtverbindung auf diese Distanz realisieren lässt. Das 26GHz-Band weist mit 30 bis 40 MBit/s eine höhere Bandbreite auf, muss aber bei der Reichweite mit drei bis fünf Kilometer Einbußen hinnehmen. DRAHTLOS ODER MOBIL? Drahtlose Funknetze sind für ortsfeste oder gelegentlich langsam bewegte Terminals (zum Beispiel Mensch mit Laptop in der Hand) gedacht. In diese Klasse gehören die Systeme DECT, Bluetooth und alle drahtlosen lokalen Netze inklusive Hiperlan. Im Unterschied dazu erlauben mobile Funknetze wie GSM, TETRAx und UMTS hohe Bewegungsgeschwindigkeiten, sind bei hoher Geschwindigkeit aber bisher auf relativ kleine Multiplexübertragungsraten der Funkschnittstelle beschränkt. Die Funkschnittstelle steht gleichzeitig mehreren Terminals für Kommunikation zur Verfügung. Daher müssen sich die Terminals die Multiplexrate des jeweiligen Systems teilen. Mobile Kommunikation ist Gegenstand des LANline-Schwerpunkts Mobile Computing in Ausgabe 1/2001. RESUMEE Das Jahr 1999 war und ist eindeutig das Jahr des 802.11b-Stan- 140 L AN line 9/2000 dards. Interoperabilität unter den Herstellern und Übertragungsraten ähnlich dem klassischen Ethernet verschafften der Technologie einen ungeheuren Push. Noch in diesem Jahr sollen auch Systeme auf den Markt kommen, die über diese WLAN-Infrastruktur neben Daten- auch schnurlose Sprachkommunikation abwickeln: Konvergenz von Sprache und Daten auch im drahtlosen Bereich. Das deutsche Unternehmen Artem hatte im Februar dieses Jahres bereits entsprechende Access-Points (Com-Point Vox) angekündigt, die mit den Voice-over-IP- (VoIP-)Handsets von Spektralink auch Sprache abwickeln sollten. Die Marktverfügbarkeit hat sich – so die jüngsten Ankündigungen – von Juli auf nunmehr Oktober/November dieses Jahres verschoben. Bereits im Umgang mit sowohl Sprache als auch Daten vertraut ist die DMAP-Technologie, die ob der doch überschaubaren Zahl an Aktivisten von allen vorgestellten Technologien vielleicht am schwierigsten einzuschätzen ist. Technisch ist sie gleichwohl sehr vielversprechend. Noch vielversprechender ist auf jeden Fall Bluetooth, mehr als 1600 unterstützende Unternehmen sprechen eine deutliche Sprache. Allerdings müssen Technologie und Anwendungen noch reifen. Gleiches gilt für Hiperlan/2. Klare Loser auf dem Spielfeld der drahtlosen Kommunikationstechnologien sind Irda (weil in vielen Anwendungsfällen wegen erforderlichem Sichtkontakt unpraktisch) und Hiperlan/1 (zu wenig Player). (Dieter Bode, freier Journalist/sm) Interessante Web-Links zum Thema: www.bluetooth.com www.dect-mmc.com www.irda.org www.hiperlan.com www.hiperlan2.com www.wlana.com Links zu den Herstellern genannter Produkte: www.anoto.com www.artem.de www.ericsson.com www.madge.com www.lanline.de SCHWERPUNKT: DRAHTLOSE KOMMUNIKATION KURZTEST: 3COM AIRCONNECT Sprinter auf kleinen Distanzen Mit 802.11b sind drahtlose Netze seit Ende letzten Jahres auf einem Geschwindigkeitniveau standardisiert, das zumindest gängige Büroanwendungen halbwegs zügig zu bedienen verspricht. 3Com hat als Newcomer in Sachen WLANs mit Airconnect jetzt ebenfalls ein 802.11b-System herausgebracht – neben den Standards bietet es auch noch ein paar sinnvolle Extras. rste Produkte im 802.11b-Standard waren im Frühjahr dieses Jahres kommerziell verfügbar. Inzwischen gibt es eine erkleckliche Auswahl, wenngleich beispielsweise Cisco seine im Juni angekündigte High-speed WLAN-Linie bis Anfang August noch nicht liefern konnte. Auch Artem, deren Lösung uns wegen der simultanen Abwicklung von Sprachverkehr neben den Daten besonders interessiert hätte, konnte für den Test noch nicht liefern. So haben wir uns “zum Eingewöhnen” erst einmal die neue 3Com-Lösung angesehen und gleichzeitig beschlossen, in einer der nächsten Ausgaben einen aus- E www.lanline.de führlichen Vergleichstest zu fahren, in dem wir die Komponenten mehrerer Hersteller gegen- und miteinander testen werden. Die Airconnect-Produktfamilie von 3Com erlaubt also den Aufbau von drahtlosen Netzen nach IEEE 802.11b-Standard. Ein zentraler Access-Point dient dabei als Brücke zum verkabelten Ethernet und übernimmt die Steuerungs- und Übertragungsfunktionen für bis zu 63 angebundene Clients. Dabei stehen Airconnect PCCards für die drahtlose Anbindung von Laptops oder PCI-Karten für Desktop-PCs zur Verfügung. Das zum Test georderte Starterkit umfasst neben einem Access- Point vier PC-Cards, das Netzteil für den Access-Point sowie ein kleines so genanntes Power-Base-T-Modul, dessen Wert sich zeigt, sobald man den Access-Point an der Decke montiert: so kann man sich die Verlegung des Stromkabels dorthin sparen und stattdessen das ohnehin heranzuführende Kategorie-5-Kabel gleichzeitig für die Power-Zufuhr nutzen. Das Netzteil ist dazu lediglich statt an den Access-Point an das Power-Modul anzuschließen. Das Ethernet-Kabel, das die Verbindung zum Hausnetz herstellt (vom Hub oder Switch), geht ebenfalls nicht direkt in den AccessPoint sondern wie der Strom über das Power-Modul. Am Ausgang dieses Kästchens ist der Strom mit auf die Kat-5Adern gepackt. Dieses Feature spart insbesondere in größeren Umgebungen mit vielen Access-Points durchaus erheblichen Verkabelungsaufwand. EINFACHE INSTALLATION Der zweite Punkt mit dem sich 3Com aus der “Menge” der 802.11b-Anbieter herausheben will, ist die einfache Installation und Handhabung. “Simplicity” sei oberstes Kredo beim Produkt-Design gewesen. Im Test konnten wir das allerdings erst nach einer kleinen Irritation verifizieren: Unserem Starterkit lag kein Handbuch bei sondern nur zwei (englischsprachige) Kurzanleitungen zur Installation samt Treiber- L AN line 9/2000 141 SCHWERPUNKT: DRAHTLOSE KOMMUNIKATION gessen – den AccessPoint einfach mit unserem NetzwerkHub verbinden (Kat5-Kabel nicht inklusive), PC-Card in den Laptop stecken, dort Treiber installieren und Netzwerkverbindung konfigurieren – fertig. Und genau so einfach lief es denn auch – die Installations-Software für den Laptop hatte unserem Tecra in wenigen Minuten alles nötige aufgespielt. An den Stellen, wo Das Airconnect Starterkit verbindet über einen Access-Point bis zu vier das Betriebssystem – Geräte mit Typ II PC-Card-Slot in unserem Falle Windows 98 SE – /Utility-CD – eine für den Access-Point das Einlegen der Original-Windows-CD und eine für die PC-Cards. Laut 3Com soll forderte, holte sich der mit vorinstalliertem es im regulären Paket auch ein Handbuch Windows ohne Original-CD gelieferte Tosgeben. Die Anleitung für den Access-Point hiba-Rechner die benötigten Softwareführte uns kurz und bündig in die Irre. Komponenten automatisch von seiner FestUnser Anliegen war es, einen einzigen platte. In den Windows-NetzwerkverbinAccess-Point einzurichten, um daran mit- dungen fanden wir nun die 3Com-Karte mit tels unseres Test-Laptops – ein neuer TCP/IP, wo wir jetzt unsere IP-Parameter Toshiba Tecra 8100 – das Übertragungs- (DNS-Verbindung, Gateway IP-Adresse/ verhalten in Abhängigkeit der Entfernung Subnetz-Maske) eingeben konnten. Nach und im zweiten Durchgang auch unter Ein- dem obligatorischen Reboot zeigte der bei beziehung einer beliebten Störquelle der Installation auf dem Laptop gleich mit(Microwellengerät in der Kaffee-Küche) eingerichtete 3Com Connectivity-Manager zu untersuchen. Ganz nach Kurzanleitung (im “3Com Launcher”) bereits Verbindung verbanden wir den Access-Point via zum Access-Point an. Kurze Zeit später Nullmodem-Kabel (mitgeliefert) mit ei- surften wir mit dem drahtlos verbundenen nem unserer PCs, wo wir von der CD alle Tecra bereits über den ISDN-Router unsemöglichen Administrations-Tools inklusi- res Redaktions-LANs im Internet, wobei ve Hyperterminal-Software installierten. sich die Geschwindigkeit nur kaum merkMittels dieser für unseren Geschmack lich von der eines unserer Arbeitplatzrechdoch etwas überholten Terminal-Emulati- ner unterschied. Der Performance-Test mit den entspreon hätten wir nun den zentralen Zugriffsknoten umfassend konfigurieren sollen – chenden Tools des 3Com Launchers (misst darunter sämtliche IP-Netzwerkparameter Signalstärke und Link-Performance) gab inklusive natürlich einer IP-Adresse bezie- der Begeisterung ob der einfachen Installahungsweise DHCP-Server. Da uns das für tion leider heftige Dämpfer. Die im Dateneine Plug- and-Play-Lösung ziemlich blatt ausgewiesenen 100 Meter Reichweimerkwürdig vorkam, konsultierten wir te scheinen wirklich nur dann erreichbar, vorsichtshalber den 3Com-Support. Nach- wenn zwischen den Kommunikationspartdem wir diesem unser Vorhaben geschil- nern keinerlei Hindernis ist. In unserem dert hatten, lautete seine Devise: alles ver- Falle brachte schon das Verlassen des 142 L AN line 9/2000 Raums, in dem wir den Access-Point aufgebaut hatten, fast eine Halbierung der Brutto-Datenrate (das Tool misst die Brutto-Rate – netto liegt man in etwa bei der Hälfte) von 11 auf nurmehr 6 MBit/s – und das bei einfachen Gips-Wänden. Die Enttäuschung war groß, als wir auf dem Flur schon vor Erreichen der etwa 20 Meter entfernten Kaffeeküche die Verbindung verloren – bereits nach etwa 15 Metern und einigen weiteren Gipswänden hatten wir nur noch 1 MBit/s auf dem “Tacho”. Das Herauslegen des Access-Points auf den Flur (nicht ohne Grund sollte man ihn ja dort an der Decke montieren!) brachte Besserung – nun hatten wir in der Kaffee-Küche immerhin noch rund 2 MBit/s. Das Einschal- Die Wireless Ethernet Compatibility Alliance (WECA) testet die Interfunktion zwischen Transceivern und Access-Points gemäß dem 802.11b Standard: www.wi-fi.org ten des Mikrowellengeräts brachte allerdings gleich wieder den völligen Exodus. Obwohl das 3Com-WLAN zu den modernen Doppelantennenlösungen zählt (jede PC-Card verfügt über zwei Antennen, wobei jeweils immer die mit dem besseren Kontakt für die Übertragung genutzt wird), ist es offenbar recht zimperlich in Bezug sowohl auf Hindernisse, sprich Wände, als auch Störquellen, sprich Mikrowellen. Ob das generell für drahtlose Netze nach dem 802.11b-Standard gilt, können wir an dieser Stelle nur vermuten – in Kürze werden wir es testen. Positiv bei der AirconnectLösung ist die einfache Installation und die Stromversorgung des Access-Points via Kat-5-Kabel. Sind mehrere Access-Points installiert, ist es sicher sinvoll, ihnen eine IP-Adresse zu geben. Dann nämlich lassen sie sich via eingebautem Web-Browser und SNMP-Agenten auch über das Internet konfigurieren. (Stefan Mutschler) Weitere Informationen: 3 Com Web: www.3com.de Tel.: 0180/5671530 www.lanline.de Breezecom Cabletron/ Enterasys Cisco Systems www.lanline.de Aironet 340 Series Air-PCI 340 Compaq Compaq WL-Series Corinex Corinex Link Digital Wireless SEM2410 Ericsson W-LAN Funklantechnik BR110-XXL Paulus BR11R-XXXL BR11S-XXXL Homewireless Airway Transport Networks Airway 416-8 616 Lucent Techno- Orinoco/Wave logies Access Wave Access Link BR132 Nokia C110/C111 C020/C021 Proxim Harmony Stratum MP Range LAN DS Range LAN 2 Symphony Symphony HRF ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● 11 11 11 11 11 11 11 11 3 11 3 11 200 45 180 180 180 180 ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● 50 km 50 km 2000 66 11 11 11 2/11 460 120 11 600 11 1,152 11 50 50 7000 ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● bel. bel. ● 63 10 2048 2048 2048 3 bel ● ● ● ● ● 128 128 256 30-40 bel. bel. 18 ● 2048 bel. ● ● ● ● bel. 2048 2048 2048 63 16 255 bel. 1024 1024 1024 ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● 150/300 150/300 50 ● ● ● ● ● ● ● ● ● ● ● bel. 10 10 ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● 50/5 50/15 2 15 3 11 1-3 11 30 10 11 20 40 10 4/6 20/35 6/11 11 0,230 11 11/2 11/2 11/2 ● 1 bel. ● ● 15 ● ● ● ● ● ● ● ● ● ● 10 ● 11 1,6 1,6 1,6 11 ● ● ● ● ● bel. 30 ● ● ● ● ● ● ● ● ● ● ● ● 11 300 11 300 1,6/11 150/300 Funktionen Ausführung ● ● ● ● ● ● 61 unterstützte Betriebssysteme Netware 3.x Netware 4.x Netware 5.x Netware NDS Windows 9x Windows NT 3.5x Windows NT 4.x Windows 2000 OS/2 Linux andere 200 Übertragungsrate in MBit/s 11 max. Entfernung Bridge-Bridge in km ● Gebäude-Verbindungen (Bridges) 10Base-T 10Base-5 10/100Base-TX 1000Base-TX in Access-Point integriert eigene Komponente Point-to-Point Point-to-Multipoint Spanning Tree ● max. Access-Points pro Netz ● ● ● ● Netzwerkanschluss max. Stationen pro Access-Point überbrückbare Distanzen in Meter 3Com Apple Artem Produktname 1st Wave Access Point Air Connect Apple Airport Com Point VOX Com Point ISDN Com Point Com Card Com Card ISA Com Card PCI Breezenet Pro.11 Breezenet DS.11 Breeze Access Roam About max. Übertragungsrate in MBit/s Hersteller 1st Wave Features der Access-Points Kommunikation Access-PointStationen Kommunikation auch ohne Access-Points modulares Antennensystem Load Balancing Repeater-Funktion Bridge-Funktion Router-Funktion Roaming Sprachvermittlung (VoIP) PCMCIA ISA PCI anderer proprietär 802.11 802.11 (HR, WiFi) Hiperlan-1 SWAP (Home RF) anderer 2,4 GHz Frequenz5 GHz band anderes FHSS unterstützte DSSS Modulationsverfahren andere LANline 9/2000 Standard Formfaktor Boards ● ● ● ● ● ● ● ● ● 7,5 ● 2,7-11 ● 11 ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● 3,2-16 0,3 0,3 11 11 7 9 4 1,6 ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● SCHWERPUNKT: DRAHTLOSE KOMMUNIKATION 144 Marktübersicht: Funk-LANs SCHWERPUNKT: DRAHTLOSE KOMMUNIKATION Anbieter: Funk-LANs Preis für (in DM) Hersteller Anbieter/Tel. Produktbezeichnung 1st Wave 3Com Compulan/06003/815110 Bedea Berkenhoff & Drebes/06441/801138 Net Stemmer/08142/4586-100 Apple/0800/2000136 Artem/0731/1516-311 1st Wave Access Point Air Connect Air Connect Apple Airport Com Point VOX Com Point ISDN Com Point Com Card Com Card ISA Com Card PCI Com Point VQX Com Point ISDN Com Point Com Card Com Card ISA Com Card PCI Access Point AP4811-E Network Interface Card AC4811-PC Universal Client UC4811-E Onair Compoint Onair Compoint ISDN Onair Compoint VOX Breezenet Pro.11 Breezenet DS.11 Breezenet Breeze Access Breezenet DS.11 Breezenet Pro.11 Breeze Access Roam About Roam About Aironet 340 Series Aironet Air-PCI 340 Compaq WL-Series Corinex Link SEM2410 W-LAN BR110-XXL BR11R-XXXL BR11S-XXXL Airway Transport Airway 416-8 616 Orinoco Orinoco/Wave Access Orinoco Orinoco Orinoco Orinoco Orinoco Wave Point II Wave Access Link BR 132 Orinoco Outdoor Router Orinoco Orinoco Orinoco Orinoco Orinoco C110/C111 C020/C021 Harmony Stratum MP Range LAN DS Range LAN 2 Symphony Symphony HRF Range LAN 2 Symphony Apple Artem Conzen-Lappcom/0711/781902-11 Otra Deutschland/02921/59012-22 Breezecom Breezecom/00972/54/225543 Connect Kommunikationssysteme/06131/80137-0 Wind/02131/52732-10 Compaq Corinex Global Corp. Digital Wireless Ericsson Funklantechnik Paulus PDV-Systeme Sachsen/03528/4803-0 Scaltel Netzwerktechnik/0831/540540 Ace/07121/9758-0 Net Stemmer/08142/4586-100 SKM Spezialkabel München/089/431982-0 1Value.com/089/93939060 Corinex Global Corp./0041/79/601-3878 Digital Wireless/089/614503-19 Ericsson/0211/9504 Funklantechnik Paulus/07392/965060 Homewireless-Networks Krone/0331/2333247 Lucent Technologies Lucent Technologies/069/96377-0 Bachert Datentechnik/06442/9285-0 BSP.Network/0941/92015-0 CMT-Communications/0203/9181-0 Esesix/08441/4031-0 MMS Communication/040/211105-40 Net 2000/0211/43627-14 Cabletron/Enterasys Cisco Systems Nokia Net Stemmer/08142/4586-100 Netlight/0781/9199-0 Netzwerk Kommunikationssysteme/039203/720 Qunix/0711/7796-550 R.K. Data Network/040/73638-0 TLK Computer/089/45011233 Proxim Axicom/089/80090812 Tekelec Airtronic/089/5164-0 www.lanline.de PCMCIA-Karte Access-Point 394 k. A. k. A. 229 k. A. k. A. k. A. ab 375 ab 595 ab 595 k. A. k. A. k. A. k. A. k. A. k. A. k. A. 695 k. A. k. A. k. A. k. A. k. A. k. A. 975 k. A. 920 948 1000 ca. 550 467 ca. 400 k. A. k. A. 428 k. A. k. A. k. A. k. A. k. A. k. A. 600 400 179 $ 394 366 375 455 426 k. A. k. A. k. A. 460 355 400 370 k. A. 410 410 k. A. k. A. 480 638 339 k. A. 638 339 1415 k. A. k. A. 699 ab 3190 ab 2190 ab 1890 k. A. k. A. k. A. k. A. k. A. k. A. k. A. k. A. k. A. 3350 k. A. k. A. k. A. k. A. k. A. k. A. k. A. 3240 k. A. 5750 3450 3500 ca. 2100 1844 ca. 1800 k. A. k. A. 2142 k. A. k. A. k. A. 10999 12999 11999 1100 800 995 $ 2189 1998 2460 2140 2366 k. A. k. A. k. A. 3000 1970-2760 2000 2000 k. A. 2200 2200 k. A. k. A. 2500 2100 909 k. A. 2100 909 LANline 9/2000 145 SCHWERPUNKT: DRAHTLOSE KOMMUNIKATION BLUETOOTH AUF DEM VORMARSCH Protocol Stack & Radio Drahtloser Kurzstrecken-Allrounder Applications TCP/IP RFCOM Audio Logical Link Control L2CAP Noch ist Bluetooth in der breiten Öffentlichkeit kaum jemandem ein Begriff, und doch gilt der neue TK-Standard für Kurzstrecken-Funkübertragung schon jetzt als die schnellstwachsende technologische Neuerung seit dem Siegeszug der Mobiltelefone. Die ursprünglich von Host Controller Interface Link Manager Applications Ericsson, IBM, Intel, Nokia und Toshiba ins Leben gerufene Bluetooth Special Interest Group (SIG) hat unlängst die Version 1.0 des länderübergreifenden Standards freigegeben, der heute von rund 1900 Mitgliedern – darunter 3Com, Lucent, Microsoft und Motorola – unterstützt wird. ie nach dem Wikingerkönig Harald Blatand (Blauzahn) benannte Funkschnittstelle soll nicht nur die Geschäftswelt, sondern auch unser Privatleben revolutionieren. Marktbeobachter schätzen, dass bis in zwei Jahren fast alle elektronischen Geräte für Büros und Geschäftsreisende serienmäßig mit Bluetooth ausgestattet sein werden – ebenso wie hochwertige Geräte der Unterhaltungselektronik, Küchengeräte und selbst Kraftfahrzeuge. Der Boom Bluetooth-fähiger Geräte soll noch in diesem Jahr einsetzen. D FUNKTIONSWEISE Bluetooth-Geräte kommunizieren über den Austausch kurzer Datenpakete miteinander. Sie wechseln dabei 1600-mal pro Sekunde die Frequenz. Ist eine bestimmte Frequenz gestört, wird Bluetooth somit nicht beeinträchtigt. Zwei Sendeleistungen sind im Standard vorgesehen: zum einen ein Milliwatt für kleine, portable, batteriebetriebene Geräte, zum anderen 100 Milliwatt für stationäre Geräte. Dabei ist die Sendeleistung von einem Milliwatt ausreichend, um Verbindungen bis zu einer Entfernung von zehn Metern aufzubauen. Sie wurde bewusst so gering gehalten, damit sich benachbarte Geräte nicht stören und die Standby-Zeit der Batterie durch den Bluetooth-Einsatz nicht zu sehr beeinträchtigt wird. Denn die Nach- Neue Bluetooth-Chips sind klein und leistungsstark 146 L AN line 9/2000 Radio Interface Radio Antenne Ein komplettes Bluetooth-Modul besteht aus einem Radioempfänger, einem Basisband-LinkController und einem Verbindungsmanager barschaft Bluetooth-fähiger Geräte ist durchaus gewollt: Sie sollen so genannte Piconetze bilden. In jedem dieser lokalen Piconetze können bis zu sieben Geräte untereinander gleichzeitig kommunizieren. In größeren Gebäuden können daher viele solcher Piconetze unbeeinflusst voneinander koexistieren. Damit mehr als sieben Geräte im Netz zusammenarbeiten können, ist ein Führungsgerät vorgesehen. Dieses erhält die Kontrolle über die benötigten Geräte, nicht benötigte werden ausgeschaltet. Bei Bedarf, also wenn Daten von dem Gerät geholt werden sollen, wird es dann wieder “geweckt”. Ein Gerät kann auch Mitglied zweier Piconetze sein, es muss jedoch dem jeweiligen Leitgerät während des ihm zugeteilten Takts zur Verfügung stehen. Ansonsten kann es mit beliebigen anderen Geräten kommunizieren. Damit Datenpakete nicht verloren gehen, enthält jedes eine Kennung. Diese Kennung gibt an, welcher Datensatz welchem Gerät angehört. Verlorengegangene Pakete werden erneut übertragen. Der Datenaustausch im Piconetz läuft nicht automatisch. Allein der jeweilige Benut- www.lanline.de SCHWERPUNKT: DRAHTLOSE KOMMUNIKATION Bluetooth-Einsatzszenarien Mit Bluetooth lassen sich Daten drahtlos mit 1 MBit/s beispielsweise vom Handy auf das Notebook oder den PC übertragen. Die Reichweite beträgt dabei bis zu zehn Metern, zwischen stationären Geräten mit separater Stromversorgung sind bis zu 100 Meter realisierbar. Auch Drucker und digitale Kameras können künftig ohne lästigen Kabelsalat angesprochen werden. Doch die Einsätze der Bluetooth-Technik sollen sich stark ausweiten, wenn Bluetooth zunehmend in Notebooks, PCs, Handys, Druckern, Fernsehern, Radios und elektronischen und Haushaltsgeräten aller Art integriert wird. Ob im Büro, zu Hause, im öffentlichen Verkehr, im Restaurant oder im Auto – überall sind Einsatzbereiche schon vorgedacht. Hier ein paar Zukunftsszenarien wie sie beispielsweise Motorola vorschweben: Im Büro... Sie kommen ins Büro und stellen Ihre Aktentasche ab. Während Sie sich im Büro aufhalten, synchronisiert sich Ihr Palmtop automatisch mit Ihrem PC und überträgt Daten, E-Mails und Kalendereinträge. Zu Hause... Zu Hause angekommen, öffnet sich die Tür automatisch, die Eingangslampe geht an, und die Heizung erwärmt die Wohnung auf Ihre bevorzugte Temperatur. Im öffentlichen Verkehr... Sie kommen am Flughafen an. Eine lange Reihe hat sich vor der Flug- und Sitzplatzreservierung gebildet. Sie vermeiden die Warteschlange, indem Sie via Palmtop ein elektronisches Ticket vorweisen und automatisch Ihren Sitz reservieren. Im Auto... Während Sie einsteigen, werden Sie auf Einträge in Ihrem Tagesplan hingewiesen. Außerdem erscheinen Resultate des letzten Diagnosetests Ihres Fahrzeugs. tooth-Chips (in CMOS-Technologie) erwartet, die nur noch bei etwa fünf Dollar liegen. Schon jetzt stürzen sich Chipproduzenten und Software-Entwickler auf die lizenzfreie Technik, um eine gute Startposition im Markt zu ergattern. Denn wer als Erster praxistaugliche Geräte und Applikationen bereitstellt, hat fast eine Lizenz zum Gelddrucken in der Tasche: Während es 1999 noch keine Bluetooth-Umsätze gab, werden sie nach Meinung der Analysten von Forst & Sullivan dieses Jahr bereits bei 36,7 Millionen US-Dollar liegen und bis 2006 auf etwa 700 Millionen klettern. BLUETOOTH HEUTE Bevor Anwendungen wie sie beispielsweise Motorola vorschweben, realisierbar sind, ist zwar noch ein gutes Stück Weg zurückzulegen, doch die ersten konkreten Produkte liegen bereits vor. So hat Motorola während der Eröffnung der letzten Bluetooth-Konferenz Mitte Juni in Monte Carlo ein Bluetooth- Auf Veranstaltungen... Sie nehmen an einer Handelsausstellung teil. Sie haben Ihre Präferenzen für Produktinformationen auf Ihrem Palmtop gespeichert. Während Sie zwischen den Ständen durchgehen, entdeckt Ihr Palmtop andere Bluetooth-fähige PDAs und tauscht Präferenz-Informationen aus. So erleichtert Bluetooth den Austausch von Informationen und hilft Ihnen, andere Personen mit gleichen Interessen aufzuspüren. Die Beispiele sind gar nicht so weit hergeholt wie sie auf den ersten Blick vielleicht anmuten. Beispielsweise überlegt Bosch derzeit den Bluetooth-Einsatz im Automobil zur Übertragung von Motordaten an die Werkstatt, und die Lufthansa plant bereits die drahtlose Informationsübertragung in Flugzeugen. zer legt fest, welche Daten er dem Piconetz geben will. Bluetooth ist lediglich die Verbindungstechnologie. Bluetooth ist universell einsetzbar, preiswert (Sender-/Empfänger-Baustein und ein Protokoll-Stack passen auf einen Chip), nutzt öffentliche, unregulierte Übertragungsfrequenzen (2,45 GHz) und funkt “durch die Wand”. Und Bluetooth ist schnell – mit einer maximalen Übertragungsrate von 1 MBit/s derzeit etwa 15-mal schneller als eine ISDN-Leitung. Die nächste Generation von Bluetooth-Chips soll bereits Übertragungsraten bis 2 MBit/s erlauben. www.lanline.de Damit es in Zukunft zu keinen Funkstörungen mit dem Funk-LAN-Standard IEEE 802.11 (11 MBit/s; Frequenz: 2400 bis 2483,5 MHz) kommt, arbeiten IEEE und Bluetooth-SIG eng zusammen. Ob man dadurch die gegenseitige Beeinflussung auf einen vernachlässigbaren Wert reduzieren kann, bleibt allerdings abzuwarten. Die Bluetooth-Chips sind bisher noch als Multichip-Module aufgebaut. Doch schon nächstes Jahr sollen komplette Einchiplösungen auf dem Markt sein, bei denen Basisband-, Speicher- und HF-Funktionen in einem CMOS-IC vereinigt sind. Bis 2002 werden Preise für derartige Blue- L AN line 9/2000 147 SCHWERPUNKT: DRAHTLOSE KOMMUNIKATION Bluetooth Headset Kit vorgestellt, das zunächst IBM und Toshiba in Teile ihrer PC-Linien standardmäßig einbauen wollen. Ein weiteres Bluetooth-Kit für Fahrzeuge wurde ebenfalls von Motorola vorgestellt. Damit ist das Unternehmen Pionier bei der Einführung der drahtlosen Bluetooth-Technologie für Kraftfahrzeuge. Im Handy-Bereich liegt jetzt Ericsson vor Nokia. Ericssons neue nur 20 Gramm schwere Funk-Freisprecheinrichtung ist in der Lage, Sprache digital zum Bluetooth-Modul des Handys zu übertragen. Damit kann das Handy zukünftig getrost in der Tasche bleiben, wenn der Benutzer via Headset einen Anruf entgegennimmt oder über Spracheingabe initiiert. Als erstes hat Ericsson die beiden Handys T 36 und R 520 standardmäßig damit ausgerüstet. Doch auch im PDA-Umfeld tut sich einiges. So will die Acer-Tochter Neweb ihre PDAs drahtlos vernetzen. Auf bis zu zehn Meter Entfernung soll eine kleine Platine im Erweiterungsschacht andere PDAs mit gleicher Ausrüstung in der Umgebung erkennen und kontaktieren können. Außerdem plant Acer einen “Blue Dongle” als Aufsatz auf die ParallelSchnittstelle eines PCs. BLUETOOTH-UNTERNEHMEN FORMIEREN SICH Abgesehen von der Vorstellung einzelner neuer Produkte steckt Bluetooth trotz allem noch in der Anfangsphase, in der eifrig Allianzen geschmiedet werden. So war der Bluetooth-Kongress in Monaco auch die Bühne, auf der sich etliche Hersteller öffentlich zusammentaten. Etwa Palm mit Silicon Wave (San Diego, USA) – Palms Odyssey-Chip soll Palm-Plattfor- Drahtlose Internet-Server-Technologie Red-M, jüngster Spross von Madge Networks N.V., entwickelt eine drahtlose InternetServer-Technologie für die drahtlose Kommunikation am Arbeitsplatz. Einsatzschwerpunkt der Technologie sind mobile Commerce-Lösungen, die eine Integration der drahtlosen Daten-, Sprach- und Videokommunikation in Arbeitsumgebungen bieten. Diese Lösungen sollen den zuverlässigen und sicheren Zugang zu Internet, Intranet und unternehmenskritischen Applikationen über verschiedene mobile Geräte eröffnen – einschließlich PCs, Mobiltelefonen, PDAs, intelligenten Telefonen mit WAP-Funktionalität und weiteren neuen Informationssystemen. Gemeinsam mit Ericsson arbeit Red-M derzeit daran, WAP-Handys Bluetooth-fähig zu machen. Die Internet-Server-Technologie von Red-M basiert auf einer Kombination von Bluetooth und Linux. Dabei steuert die Server-Software mehrere mobile Endgeräte. So will Red-M einen großen Funktionsumfang an mobilen Lösungen für zukünftige m-Commerce Anwendungen zur Verfügung stellen. Im Oktober sollen die ersten RedM-Produkte auf den Markt kommen. 148 L AN line 9/2000 men mit Bluetooth-Technologie ausstatten; oder Psion mit Compaq – Palm-Konkurrent Psion wird Compaq mit Karten versorgen, die Desktops und Notebooks von Compaq Bluetooth-fähig machen. Schon im letzten Jahr hat der Marktforscher Dataquest prognostiziert, dass die Zahl der Bluetooth-fähigen Geräte von 430.000 im Jahr 2000 auf 61,2 Millionen bis Ende 2003 wachsen wird. “Die Idee, alle persönlichen Geräte miteinander kommunizieren zu lassen, ist sehr reizvoll”, bestätigt Rebecca Thompson, Produktplaner bei Microsoft. Microsoft hat sich, genau wie 3Com, Lucent Technologies und Motorola, erst dieses Jahr dem BluetoothKonsortium angeschlossen. Noch ein Indiz, dass sich Bluetooth nicht aufhalten lässt: Das französische Militär hat sich jetzt dem Druck der Hightech-Anbieter gebeugt und will jetzt zum Beginn des kommenden Jahres das 2,4-GHz-Frequenzband freigeben, das sowohl von Bluetooth als auch vom IEEE-Standard 802.11 genutzt wird. Damit dürfte dem Bluetooth-Siegeszug auch in Frankreich nichts mehr im Wege stehen. Das französische Verteidigungsministerium befürchtete bislang Störungen der militärischen Kommunikation und wollte daher das Frequenzband nicht zur freien Verfügung stellen. Viele große Namen findet man unter den Mitgliedsunternehmen der Bluetooth SIG – beispielsweise Sony und Bang & Olufsen, die Foto-Firma Hasselblad und eine große Anzahl weiterer Anbieter/Hersteller von digitalen Kameras sowie den Flugzeughersteller Boeing und den Automobilhersteller Volvo. Zu den Hoffnungsträgern der BluetoothTechnologie zählen Spezialisten wie Atmel, Cadence oder Red-M, für die Analysten ein dramatisches Umsatzwachstum voraussehen. Denn die benötigte Software ist keine triviale Angelegenheit. Bis zu acht Geräte sollen synchronisiert werden können – das erfordert komplexe Parallelisierungsalgorithmen. Um sich voll und ganz auf diese Anforderungen konzentrieren zu können, hat zum Beispiel Madge Networks mit Red-M eine eigenständige Tochter für die Entwicklung Bluetooth-basierter Lösungen gegründet (siehe Kasten). Oberstes www.lanline.de SCHWERPUNKT: DRAHTLOSE KOMMUNIKATION Ziel von Madge ist es dabei, die Vorteile der Bluetooth-Technologie auch am Arbeitsplatz zu erschließen. Die mobile Technik schreitet schon heute rasant voran. Notebooks werden immer preiswerter und entwickeln sich zu praktischen und kostengünstigen Arbeitsmitteln für Geschäftsreisende und Außendienstmitarbeiter. Bereits seit Jahren erlaubt es die GSM-Technik, das Mobiltelefon mit einem tragbaren PC zu verbinden und so den drahtlosen Internet-Zugang zu erhalten. www.lanline.de Dass diese Möglichkeit jedoch bisher kaum genutzt wird, liegt an den benutzerunfreundlichen, komplexen Konfigurationsund Verbindungsanforderungen, den niedrigen Übertragungsraten sowie am Fehlen weltweiter Datendienste. Und genau hier setzt Bluetooth ein. Bluetooth löst das lästige Kabelproblem, erledigt die SoftwareKonfiguration automatisch und kann sich voraussichtlich schon im Laufe dieses Jahres auf schnelle GSM-Datenübertragungsdienste stützen. (Volker Worringer, Country Manager Central Europe, Red-M/sm) Web-Adressen genannter Unternehmen www.ericsson.de www.nokia.de www.red-m.com/technology/technology. asp www.motorola.com/bluetooth Die offizielle Bluetoth-Website: www.bluetooth.com L AN line 9/2000 149 SCHWERPUNKT: DRAHTLOSE KOMMUNIKATION DRAHTLOS MIT SPRACHE UND DATEN DECTs großer Bruder Kaum mehr ein Schnurlostelefon, das nicht nach dem digitalen Standard DECT (Digital Enhanced Cordless Telecommunication) funktioniert. Weit weniger populär ist die seit letztem Jahr standardisierte Multimediavariante von DECT – DECT-MMAP oder kurz DMAP (DECT Multimedia Access Profile). Diese führt nicht nur Handsets schnurlos an die Telefonbuchse, sondern zum Beispiel auch PCs und Laptops, um in ISDN-Speed beispielsweise im Internet zu surfen. ie modern die Zeiten mit Computer, Tastatur, Maus, ISDN-Telefon, Fax und Drucker in den Büros auch sein mögen, an eines mag man sich einfach nicht so recht gewöhnen: an den Ka- W 150 L AN line 9/2000 belsalat rund um den Schreibtisch. Kein Wunder also, dass kabellose Kommunikation stets hoch im Kurs steht. DECT hat in dieser Diskussion seinen lange angestammten Platz – allerdings nur bei Telefonielösungen. Nun zur Multimediatechnologie gereift, versucht DECT im Umfeld eines harten Mitbewerbs zwischen Bluetooth, WLAN und IrDA seinen Platz zu finden. Bereits 1993 wurden erste schnurlose Systeme zur Sprachübertragung vorgestellt, die auf dem damals neuen DECTStandard beruhten. Damit wurde ein kabelfreier Traum Wirklichkeit – das ungebundene Telefonieren übers Festnetz zu Hause oder im Büro in bemerkenswerter digitaler Qualität und mit hoher Abhörsicherheit. In nur wenigen Jahren eroberten die DECT-Telefone den Markt und lösten die analogen Vorgänger im alten CT1/CT1plus-Standard in der Gunst der Käufer ab. Doch um Daten per Funk etwa vom PC zur Telefondose zu transportieren, dafür war DECT zu langsam. Es dauerte daher bis 1998, bis die ersten drahtlosen Datenprodukte für den Verbraucher auf den Markt kamen. Die Fäden für die technologische Basis dieser erweiterten DECT-Variante liefen in der Münchner High-Tech-Schmiede Dosch & Amand zusammen, die sich ausschließlich der kabelfreien Datenkommunikation verschrieben und an der Weiterentwicklung von DECT getüftelt hatte. Ziel: Die Datenkommunikation per Funk sollte gepaart werden mit der flotten Übertragungsgeschwindigkeit mindestens von ISDN, und zwar auf der europaweit standardisierten Grundlage von DECT. Das Ergebnis ist DMAP (DECT Multimedia Access Profile), eine Multimediaplattform, die den kabellosen Zugriff auf Festnetze wie ISDN oder ADSL erlaubt. Auch lassen sich über DMAP Dokumente von verschiedenen Nutzern schnurlos auf ein und demselben Printer drucken. Dazu ist der Drucker über die parallele Schnittstelle an eine DMAP-Basisstation anzuschließen. So wird der Aufstellort einzelner Datenkomponenten unabhängig vom Rechnerplatz und autonom vom Installationsort der Telefondose. Mit diesen Fähigkeiten ist die Technologie auch auf künftige technische Neuentwicklungen wie etwa schnurlose Web-Pads, Settop-Boxen oder Internet-taugliche Fernsehapparate vorbereitet. Ein weiterer Vorteil: Die Anwender können ihre bereits vorhandenen GAP-fähigen DECTSchnurlostelefone an einer DMAP-Basis weiter nutzen wie zuvor an ihrer alten DECT-Basis. 1999 wurde DMAP zum So soll das Dosch & Amand-Web-Pad aussehen, dessen Markteinführung für den Herbst 2000 geplant ist europaweit anerkannten ETSI-Standard (EN 301 650) für drahtlose DECT-Multimediaanwendungen. Durch die Bündelung mehrerer DECTSlots erreicht die Datenübertragung zwischen einer DMAP-Basisstation und zum Beispiel einem Computer derzeit ISDNGeschwindigkeit (64 kBit/s je ISDN-Basiskanal), maximal also 128 kBit/s. Die Theorie sieht brutto sogar 1 MBit/s, beziehungsweise seit letztem Jahr auch 4 MBit/s vor – entsprechende Geräte laufen im Moment allerdings noch in einem www.lanline.de SCHWERPUNKT: DRAHTLOSE KOMMUNIKATION DMAP und Bluetooth DMAP ist eine multimediafähige Weiterentwicklung von DECT. Bei DECT teilen sich mehrere Geräte eine Frequenz, indem sie zu unterschiedlichen Zeiten senden und empfangen. Beim Telefonieren per DECT herrscht also eine feste Zuordnung so genannter Zeitschlitze (Slots). Zunächst senden maximal zwölf Geräte an ihre Basis die Sprachdaten, anschließend sendet die Basis die Sprachdaten über zwölf weitere Kanäle zurück (insgesamt also 24 Zeitschlitze). DMAP hebt diese reglementierte Belegung der Zeitschlitze auf. Die Slots lassen sich bei DMAP in beliebiger Übertragungsrichtung nutzen, bei Bedarf können auch mehrere Slots gebündelt und benachbarte Zeitschlitze zusammengefasst werden. So erreicht DMAP eine ISDN-Datenübertragungsrate von maximal 64 kBit/s je Basiskanal. DECT verwendet ein reserviertes Band bei 1.9 GHz wohin gegen Bluetooth im 2.4 GHz ISM-Band arbeitet. Der Vorteil des ISM-Bands liegt in seiner einheitlichen weltweiten Verfügbarkeit wie auch der Bandbreite von 80 MHz gegenüber 20 MHz bei DECT. Das ISM-Band war jedoch ursprünglich nicht für die Telekommunikation geplant – vielmehr war es als Ausweichplatz für unerwünschte nicht vermeidbare Hochfrequenzaussendungen von elektronischen Geräten gedacht. Prominentester Vertreter ist dabei die handelsübliche Mikrowelle, die zum Teil erhebliche Störungen verursacht. Die ISM-Bänder sind zwar auch für Telekommunikation verwendbar, es ist jedoch ein verhältnismäßig großer Aufwand notwendig, um Störungen durch beispielsweise die Mikrowelle zu verhindern. So führt ein BluetoothSystem maximal 1600 mal pro Sekunde Frequenzwechsel durch, um statistisch verteilt nur kurz mit anderen Systemen zu kollidieren. Ein weiterer Störfaktor sind Wireless-LAN-Systeme nach 802.11-Standard, die ebenfalls im ISM-Band funken. Sowohl DECT als auch Bluetooth verwenden ein Bruttodatenrate von etwa 1 MBit/s, mittlerweile wurde jedoch für DECT auch die vierfache Bruttodatenrate definiert. Wiederum beide System verwenden ein Zeitschlitzverfahren, um den Zugriff von mehreren Geräten auf den gleichen Übertragungskanal zu ermöglichen. Mit seinen 24 Zeitschlitzen hat jedoch DECT gegenüber Bluetooth die vierfache Kapazität. Beide Standards verwenden die gleichen Modulationsschemata, aufgrund des geringeren Kanalabstands bei Bluetooth jedoch mit einem reduzierten Modulationsindex, was sich wiederum nachteilig auf die Reichweite auswirkt. Generell lassen auch beide Standards die gleiche Empfindlichkeit zu, definiert wird jedoch bei DECT ein deutlich besserer Wert. Eine entsprechende Anforderung wurde bei Bluetooth nicht berücksichtigt, um einen möglichst kostengünstigen Empfänger bauen zu können. Beide Systeme garantieren eine sehr hochwertige Sprachqualität mit einer zum Beispiel gegenüber GSM deutlich reduzierten Kompression aber auch eine deutlich höhere Bandbreite. frühen Versuchsstadium. Die mit 128 kBit/s aber dennoch respektablen Übertragungsraten werden durch das DMAPeigene Regelsystem DRM (Dynamic Resource Management) realisiert, das zum Datentransfer so viele Kanäle (Slots/Zeitschlitze) verwendet wie für die Übertragung nötig. Freie Kanäle können damit gleichzeitig für andere DMAPSysteme genutzt werden. Eine DMAPBasisstation wird an die ISDN-Leitung angeschlossen und ersetzt damit eine herkömmliche DECT-Basis zur reinen Telefonie. Damit sich neben den Telefonen auch noch Rechner und Laptops mit der DMAP-Basis per Funk verständigen können, muss die Computer-Hardware mit entsprechenden ISA- beziehungsweise PCMCIA-Cards aufgerüstet werden. Als DCA/DCS-System (Dynamic Channel Allocation/Selection) ist DMAP prinzipiell auch für die Versorgung innerhalb von Gebäuden spezifiziert und soll Multimediazellen mit einer Gesamtleistung von bis zu 20 MBit/s pro Funkzelle reali- www.lanline.de Boxen. Aber auch Videokameras, Drucker, Modems und Scanner sollen per DMAP-Interface drahtlos Verbindung halten. Seit 1998 führt die Deutsche Telekom unter den Namen Teledat Cordless ISDN eine DMAP-Basisstation sowie DMAPtaugliche ISA- und PCMCIA-Cards. Auch der TK-Distributor 1&1 vertreibt diese Geräte, hier unter der Bezeichnung PC-onair. Bei Ascom trägt die DMAPReihe den Namen Voodoo. Auf der CeBIT 2000 präsentierte Dosch & Amand das weltweit erste Web-Pad auf DMAP-Basis für den schnurlosen Internet-Zugang mit Telefoniefunktion. Dieses so genannte Freepad soll im Herbst 2000 auf den Markt kommen. Und auch Hersteller wie Canon, Hagenuk oder Siemens arbeiten an DMAP-fähigen Produkten. (Alexandra Krauß, freie Journalistin/sm) sieren. Bislang ist dies allerdings noch Theorie, die man bestenfalls als Perspektive der DMAP-Technologie in Betracht ziehen sollte. Damit sich künftig die Peripheriegeräte auch untereinander verstehen, haben sich Hersteller wie etwa Ascom, Canon, Dosch & Amand, Ericsson, Hagenuk, Loewe, Sagem und National Semiconductor 1999 zu einem DECT-Multimediakonsortium zusammengeschlossen (DECT-MMC). Zweck ist es, die Weiterentwicklung von DMAP voranzutreiben, weitere DMAP-Spezifikationen in ihre Endgeräte aufzunehmen und gemeinsame Schnittstellen (PnP-Interfaces) für die drahtlose Verständigung (Interoperabilität) in die Produkte zu integrieren. Auf den Verpackungen aller DMAP-Produkte soll künftig ein DECT-MMC-Logo kleben. Andere Multimediautensilien sollen folgen: PC-Karten (PCMCIA, ISA, PCI, USB) etwa für den schnurlosen Internet- und E-Mail-Zugang, Internet(IP-)Telefone, Web-Pads und Settop- L AN line 9/2000 151 fokusTELEKOMMUNIKATION AUF DIE MIGRATION KOMMT ES AN Kleine Schritte zur IP-Telefonie An der IP-Telefonie führt für die Unternehmen auf Dauer kein Weg vorbei. Zu verheißungsvoll sind die Perspektiven, den Sprach- und Faxverkehr gemeinsam mit den Daten via IP zu übertragen. Doch bestenfalls Start-ups sind in der Lage, ad hoc in die neue Form der Telefonie einzusteigen. Für alle anderen Unternehmen zählt ein sanfter Wechsel von der bestehenden Telefonie ins neue Telefonie-Zeitalter, schon um bestehende Investitionen nicht zu gefährden und die Migrationsphase für notwendige organisatorische Veränderungen zu nutzen. Zudem gilt für die Praxis: Erst wenn die IP-Telefonie an die Qualität der klassischen Telefonie heranreicht, werden die Unternehmen mit ihrer Telefonie komplett die Seiten wechseln. Der Blick auf die Vorteile macht deutlich, wieso über kurz oder lang für die Unternehmen kein Weg an der IPTelefonie vorbeiführt: Durch die gemeinsame Kommunikationsschiene “IP” wird die Komplexität zweier Kommunikationswelten auf “eine Welt” reduziert. Damit muss auch nur eine Welt überwacht und administriert werden, was die Betriebskosten gegenüber dem Status quo erheblich reduziert. Telefonate und Faxe mit geringem Bandbreitenbedarf können quasi zum Nulltarif gemeinsam mit den Daten über das IP-Netz transportiert werden. Nur innerhalb der IPWelt können im Sinne von 152 L AN line 9/2000 Unified Messaging alle Nachrichtenformen – VoiceMail, Fax-Mail, E-Mail und SMS (Short Message Service) – beliebig für schnelle Botschaften im Intranet, im E-Business-Verbund sowie für E-Commerce kombiniert werden. Spätestens mit der Integration von Video ist eine einheitliche Transportschiene für alle Kommunikationsformen gefordert. Der zweite Blick offenbart aber auch, wieso in den Unternehmen eine allmähliche Migration und kein schneller Wechsel zur IP-Telefonie angesagt ist: Die Zuverlässigkeit von IP-Verbindungen reicht noch nicht an die klassischer Telefonverbindun- gen heran. Ausgeglichen werden kann dieses Defizit nur durch eine Funktion, die im Bedarfsfall den Telefonund Faxverkehr über das öffentliche Telefonnetz umlenkt. Pakete, also auch Sprachpakete, können im IPNetz verschiedene Wege einschlagen. Dadurch kommen sie am Ziel manchmal in einer veränderten Reihenfolge an, was das System auf der Empfangsseite berichtigen muss. Und das führt mitunter zu Verzögerungen bei der Sprachausgabe. Die IP-Telefonie bietet heute noch nicht die Vielfalt an Leistungsmerkmalen für eine komfortable Sprachkommunikation, wie sie in der klassischen Telefonie zu finden ist. Ausnahmen gibt es bislang nur auf proprietärem Wege. Professionelle Policy-ManagementLösungen zur Realisierung von QoS (Quality of Services) sind zwar bereits verfügbar. Bis aus der aktuellen Netzsituation heraus dynamisch angepasste QoS-Regeln via DEN-Verzeichnis (Directory Enabled Networking) automatisch auf Router- und Switch-Systeme heruntergeladen werden können, wird noch einige Zeit vergehen. Erst dann werden Policy-ManagementArchitekturen auch für Service-Provider signifikante Vorteile bieten, in dem sie diese Anbieter in die Lage versetzen, ihren Kunden geschäftsprozessbezogene SLAs (Service Level Agreements) zu offerieren. Weitere Hindernisse auf dem Weg zur IP-Telefonie ergeben sich durch die oft erheblichen Investitionen in www.lanline.de fokusTELEKOMMUNIKATION klassische TK-Anlagen, die über einen Zeitraum von bis zu zehn Jahren abgeschrieben werden wollen. Und: die wenigsten Unternehmen haben bisher eine zentrale ITVerantwortung formiert, um organisatorisch für die Synthese “Sprach-/Daten-Integration” gewappnet zu sein. MIGRATION IN DREI ETAPPEN Vor diesem Hinter- grund gilt es für die Anwender, die IP-Telefonie mit nen kein hoher Telefoniekomfort (wenige Leistungsmerkmale ) und keine Echtzeitkommunikation gefordert ist, – dort, wo gefordert, eine Interaktion zwischen der klassischen Telefonie und der IP-Telefonie herbeiführen. Für jede dieser Stufen müssen bestimmte technische Fähigkeiten, aber auch entsprechende Support-Qualitäten von den Herstellern Bild 1. Netzszenario: IP-Telefonie und klassische Telefonie im Zusammenspiel Maß, aber ohne Risiko und funktionale Einschränkungen auf einer definierten Zeitschiene voran zu bringen. Die richtige Verfahrensweise dazu ist eine Migration in drei Etappen: – Voice over IP, um den Sprach-, Fax- und Datenverkehr über ein gemeinsames Kernnetz zu lenken, das die Zentrale mit den Außenstellen beziehungsweise den Geschäftspartnern verbindet, – IP-Telefonie innerhalb ITInseln vorantreiben, in de- www.lanline.de geboten werden. Erst mit der erfolgreichen Absolvierung der dritten Etappe lohnt es sich für die Unternehmen, eine Ablösung der klassischen Sprachkommunikation in größerem Maßstab durch die IP-Telefonie ins Auge zu fassen. GEMEINSAMES KERNNETZ FÜR DATEN UND SPRACHE Der erste Schritt hin zur IPTelefonie, Voice over IP (VoIP), ist verhältnismäßig einfach zu meistern. Die Verarbeitungsphilosophie: Telefon- und Faxdaten der ISDN-Welt werden in IP-Pakete verpackt und gemeinsam mit den Daten über das IP-Kernnetz übertragen. Für die Anlieferung der Sprachinformationen bei der ZielTK-Anlage werden diese Daten am Ausgang des IPKernnetzes wieder entpackt und in der Ursprungsform zugestellt. Alles, was die IPSysteme – Switch-System oder TK-Anlage – an diesen Schnittstellen dazu bieten müssen, ist ein integriertes H.323-Gateway gemäß dem ITU-T-Standard. Es übernimmt neben der Umsetzung zwischen ISDN und IPSprachpaketen die Wandlung von Telefonnummern zu IP-Adressen und umgekehrt. Damit die erste Migrationsetappe für den Anwender unter dem Strich aufgeht, sollte das integrierte H.323Gateway aber noch einiges mehr bieten. Es sollte die Wahl zwischen unterschiedlichen Komprimierungsverfahren wie G.728, G.729 und G.723 lassen, um den Bandbreitenhunger der Sprachkommunikation via IP je nach Qualitätsanspruch bei der Sprachausgabe auf 16, 8 bis hin zu 5,3/6,4 kBit/s zu reduzieren. Ist die Zusatzfunktion “Sprechpausenunterdrückung” (Silence Compression) aktiviert, können zusätzlich die Sprechpausen mit Daten anderer Sprachverbindungen gefüllt und so der Bandbreitenbedarf für diese Kommunikation nochmals minimiert werden. Natürlich muss zu einer vollständigen H.323-GatewayFunktionalität auch eine automatische Faxerkennung L AN line 9/2000 153 fokusTELEKOMMUNIKATION gehören. Sie ist die Grundvoraussetzung dafür, dass beide Kommunikationsströme unterschieden und damit auch Faksimiles über das gemeinsame IP-Kernnetz vermittelt und die H.323-Gateway-Software. Die Vorteile für den Anwender sind in beiden Verbindungsfällen die gleichen: Die erste Migrationsetappe Bild 2. Nortels Optivity-Policy-Management überwacht, steuert und verwaltet die am Converged Network beteiligten Systeme gezielt den Endgeräten zugestellt werden können. Aber es muss nicht zwangsläufig die volle Funktionalität eines H.323-Gateways sein, um Voice-over-IP richtig in Szene zu setzen. Die Switch-Systeme der Passport-Familie von Nortel Networks beispielsweise arbeiten alternativ mit einem MCGP-(Media Control Gateway Protocol-)Gateway ohne funktionale Einbußen bei der Sprachkommunikation. Die schlankere MCGPGateway-Lösung unterscheidet sich von der eines H.323Gateways nur dadurch, dass die Videofunktionalität ausgespart wurde und die Kommunikationsregeln von einem externen MCGP-Server geladen werden. Diese Konzeption belastet die Prozessorkapazität weit weniger als 154 L AN line 9/2000 zur allmählichen Homogenisierung der IT-Welt ist verhältnismäßig einfach umzusetzen. Mit VoIP können lokal die TK-Anlagen erst einmal beibehalten und diese Investitionen damit gesichert werden. Parallel trägt diese Kombination zu einer hinreichenden Verfügbarkeit der Sprachkommunikation und einer guten Sprachausgabequalität bei. Zudem gewinnt das Unternehmen so Zeit, sich organisatorisch auf die Synthese von Sprache und Daten mit einer zentralen Verantwortung für beide Kommunikationswelten einzustellen. IP-TELEFONIE MIT AUGENMASS Damit die zweite Mi- grationsetappe gelingt, müssen im Unternehmen die Netzbereiche und Sprachan- www.lanline.de fokusTELEKOMMUNIKATION wendungen fokussiert werden, die keinen Echtzeitanforderungen unterliegen, ohne hohen Telefoniekomfort auskommen und bis auf weiteres keine Interaktion mit der klassischen ISDN-Telefonie beanspruchen. Typischerweise sind dies im Rahmen von Unified-Messaging Voice-Mail, Fax-Mail und E-Mail sowie Call-me-Buttons für die schnelle Anrufaufforderung aus dem Internet. Die maßgeblichen Treiber in Richtung IP-Telefonie: das expandierende EBusiness- und E-CommerceGeschäft mit IP als gemeinsamer Ende-zu-Ende-Transportschiene. Aufgehen wird die zweite Migrationsetappe für das Unternehmen jedoch nur dann, wenn der Hersteller alle Bausteine der IP-Telefonie abdeckt. Dazu zählen ein IP-PBX-Server mit den dazu passenden Sprachterminals: IP-Telefone, PCs mit USB(Universal Serial Bus-)Telefonen und IP-Softclient. Genauso wenig dürfen im Produktportfolio des Herstellers die erforderlichen IPSprachanwendungen fehlen, die die IP-Telefonie erst mit Leben erfüllen. Die Komponenten stattdessen einzeln zu beziehen, ist dagegen für den Anwender keine sinnvolle Alternative. Denn allgemein verbindliche Standards, um Systeme und Anwendungen unterschiedlicher Hersteller unter einen Hut zu bringen, sind im Reich der IP-Telefonie bis heute Mangelware. Daneben muss das in den Switch-Systemen integrierte H.323-Gateway oder MCGPGateway für die IP-Telefonie mit wichtigen Zusatz- www.lanline.de funktionalitäten aufwarten. Dazu zählen die Signalisierungsfunktionen H.225 und H.245, ebenfalls gemäß dem ITU-T-Standard. Die erste Funktion bewerkstelligt innerhalb des IP-Netzes den Ende-zu-Ende-Verbindungsaufbau. Anschließend übernimmt H.245 die Kanalkontrolle für das laufende Gespräch. Ebenso wenig fehlen darf die Funktion H.246. Sie zeichnet für das Zusammenspiel zwischen der Gateway und dem öffentlichen Netz verantwortlich. KLASSISCHE TELEFONIE UND IP-TELEFONIE IN INTERAKTION IP-Sprachter- minals sowie klassische Telefone und Faxgeräte unter torisch gewachsene Produktkompetenz sowohl in der IPals auch in der TK-AnlagenWelt mitbringen. Von ihnen darf man wohl am ehesten erwarten, dass sie praxisnah auf die Anforderungen der ISDN-Telefonie im Wechselspiel mit der IP-Telefonie eingehen. Zudem müssen mit den Systemen – Switch oder IPfähige TK-Anlage – die richtigen Weichen für eine Interaktion zwischen den Endgeräten beider Sprachwelten gestellt werden können. Eine hinreichende Break-outFunktion zur Überbrückung beider Telefoniewelten ist der Schlüssel zu dieser Interaktion. Folgende Zusatzfunktionen muss dazu das H.323- IP-Telefonie-Bausteine von Nortel Networks – Business-Communications-Manager (BCM) als Vermittlungsknoten innerhalb des IP-Netzes, parallel auch für Telefone und Faxgeräte der klassischen Sprachwelt sowie zwischen Endgeräten beider Sprachwelten, – eine Palette an Sprachterminals wie IP-Telefonen (i2004) und Soft-Clients (i2050), – IP-Anwendungen: Unified Messaging (Call Pilot), IP-fähige Call-Center-Lösung (Symposium), Spracherkennungs-Software (Open Speech); außerdem: sprach-/datenintegrierte Home-Office- und Remote Office-Lösungen sowie eine CRM-(Customer Relationship Management-)Lösung (Clarify) Ergänzt wird dieses Spektrum an Bausteinen durch ein MCGPGateway innerhalb der Switch-Systeme der Passport-Familie mit für die IP-Telefonie notwendigen Zusatzfunktionen wie H.225, H.245 und H.246. einen Hut zu bringen, ist die dritte Migrationsetappe. Sie wird generell nur dann gelingen, wenn der Netzwerkhersteller genügend Know-how und Erfahrung im Bereich der komplexen Sprachkommunikation mitbringt. Prädestiniert dafür sind in der Regel die Hersteller, die his- beziehungsweise MCGP-Gateway in Form eines Breakout bereitstellen: – Call Control für den Aufbau der Verbindung zwischen den beteiligten H.323- und/oder MCGPGateways, – Channel Control für die Ende-zu-Ende-Abwicklung L AN line 9/2000 155 fokusTELEKOMMUNIKATION des Telefonats zwischen IP-Sprachterminal und ISDN-Telefon, – Adressumsetzung für die Wandlung von IP-Endgeräteadressen in ISDNTelefonnummern und umgekehrt, – Bandbreitenkontrolle für eine durchgehende Komprimierung des Sprachverkehrs: Sowohl G.728 (16,8 kBit/s) und G.729 (8 kBit/s) als auch G.723 (6,3/5,4 kBit/s) sollten dazu Ende-zu-Ende unterstützt werden, ebenso wie G.711 für einen unkomprimierten Sprachfluss, beispielsweise bei Faxverkehr. Zu einer effizienten Bandbreitenkontrolle sollten zudem BandbreitenReservierungsmechanismen wie RSVP (Resource Reservation Protocol) gehören. – Zugriffskontrolle für die gezielte Zuweisung von benutzer- und gruppenspezifischen Zugriffsrechten, die in beiden Sprachwelten greifen. SPRACHQUALITÄT AUF ISDN-LEVEL Inwieweit nach der Absolvierung der dritten Migrationsetappe die klassische Telefonie sukzessive durch die IP-Telefonie abgelöst werden kann, wird wiederum von der Kompetenz des Herstellers in beiden Sprachbereichen abhängen. Denn Zug um Zug zur IP-Telefonie wechseln wird das Unternehmen nur dann, wenn es dafür die zwischenzeitlich liebgewonnenen Vorteile der ISDN-Telefonie nicht preisgeben muss. Dazu müssen vor allem die Leistungsmerkmale für eine 156 L AN line 9/2000 komfortable Telefonie in beiden Sprachwelten verfügbar sein. Q.SIG NACH WIE VOR UNZUREICHEND Die Hoffnung “Q.SIG” als einheitliches ISDN-Signalisierungsprotokoll zur Darstellung von Leistungsmerkmalen zu verwenden, die entsprechend in Leistungsmerkmale für die IP-Sprachwelt umgesetzt werden könnten, hat sich bisher für die Hersteller und Anwender nicht erfüllt. Dem Standard Q.SIG fehlen weiterhin viele wichtige Features, die das Unternehmen zur Herausbildung einer komfortablen Telefonie dringend braucht. Dem Hersteller bleibt damit derzeit neben Q.SIG nur eine Perspektive, um ISDN-Leistungsmerkmale zu realisieren und für den IP-Sprachbereich abzubilden: Der Einsatz des herstellerspezifischen TK-Anlagen-Protokolls. In diesem Fall sind alle Weichen für eine komfortable Telefonie mit Leistungsmerkmalen wie “Anklopfen”, “Rückruf bei besetzt”, “Rufumleitung” und “Konferenzschaltung” bis hin zu Video-Conferencing gestellt. Hat der Hersteller die Chance genutzt, diese Leistungsmerkmale 1:1 für die IP-Sprachwelt umzusetzen, kann das Unternehmen später flexibel nach Maß zur IPTelefonie wechseln, ohne dafür zwischenzeitlich bei der unternehmensweiten Sprachkommunikation Komforteinbußen hinnehmen zu müssen. (Peter Straßburger, Netzwerk-Consultant bei Nortel Networks/sm) Bandbreitenaufteilung mit B-Kanal-Splitter Eine Bandbreitenaufteilung durch klare Zuordnung von ISDN-B-Kanälen erlaubt die Transnova-Splitter-Familie von Novatec. Die kleinste Variante, der Transnova Splitter S5 ermöglicht beispielsweise die Aufteilung und eindeutige Zuordnung der 30 B-Kanäle einer S2M-Amtsleitung auf eine interne S2M-und bis zu vier interne S0-Schnittstellen. Die internen B-Kanäle können dabei individuell den externen zugewiesen werden. Der Einsatz dieser Lösung ist besonders dort sinnvoll, wo Basisanschlüsse für entspre- Der Transnova Splitter S5 von Novatec nimmt mit seinen geringen Abmessungen nur wenig Raum ein chende ISDN-Endgeräte (wie Telefone, ISDN-Karten, Videokonferenzsysteme) benötigt werden oder durch Kanalbündelung ein hohes Datenaufkommen bewältigt werden muss. Die Konfigurations-Software des Systems läuft unter Windows 95/98/NT, die Einstellungen selbst lassen sich sowohl lokal als auch per Fernwartung durchführen. Der Novatec Splitter S5 nimmt mit Abmessungen von 425 x 288 x 135 Millimetern nur wenig Raum ein. Das System ist zu einem Preis ab 3800 Mark erhältlich. (pf) Info: Novatec Kommunikationstechnik Tel.: 05251/15 89 55 Web: www.novatec.de Umstieg auf Modemstandard V.92 Elsa plant, bereits im Herbst die ersten Modems ihrer Microlink-Produktfamilie mit geänderter Hardware auszuliefern, sodass sie auch den neuen ITU-Standard V.92 unterstützen (“V.92-ready”). Der Hersteller will die Implementation von V.92 in seine gesamte Microlink-Modemfamilie schrittweise bis zur CeBIT 2001 abschließen. Eine Umrüstung bestehender V.90-Modems per FirmwareUpdate sei, so Elsa, aus Hardware-Gründen nicht möglich. Jedoch plant der Hersteller nach Verfügbarkeit der ersten V.92-Modems, seinen bestehenden Kunden ein “attraktives Tauschangebot” zu unterbreiten. Der V.92-Standard ist von der ITU am 4. Juli beschlossen worden und bietet im Wesentlichen drei neue Elemente: einen schnelleren Verbindungsaufbau (Quick Connect), eine höhere Upstream-Geschwindigkeit (PCM Upstream) sowie das Modemon-hold-Feature für kurze Telefonate während einer bestehenden Daten-Session. Die Nutzung der V.92-Features setzt allerdings eine entsprechende Unterstützung seitens des Internet-Providers oder Online-Dienstes voraus. Quick Connect soll die übliche Verbindungsaufbauzeit (zum Beispiel 20 Sekunden) www.lanline.de fokusTELEKOMMUNIKATION mehr als halbieren. PCM Upstream (Pulse Code Modulation) erlaubt in Upstream-Richtung Übertragungsraten von bis zu 48 kBit/s statt 33,6 kBit/s bei V.90 (die Downstream-Geschwindigkeit bleibt mit 56 kBit/s unverändert). Mit Modem-on-hold lassen sich Datenverbindungen während eines eingehenden Telefonats parken; der Benutzer wird über die Anklopffunktion informiert und hat einen vom Provider vordefinierten maximalen Zeitrahmen, um mit dem Anrufer zu sprechen. Anschließend wird die Modemverbindung wieder aufgenommen. (pf) Info: Elsa Tel.: 0241/606-0 Web: www.elsa.de ISDN-PC-Card mit Kanalbündelung Im Rahmen ihrer PC-CardFamilie Realport2 bietet Xircom jetzt auch einen ISDNAdapter für Notebooks mit Kanalbündelung an. Auf diese Weise lassen sich Datenübertragungen mit einer Geschwindigkeit von bis zu 128 kBit/s erzielen. Die neue Realport2-ISDN-IntegratedPC-Card, so ihre vollständige Bezeichnung, bietet – wie die anderen Adapter dieser Familie – einen integrierten Connector (RJ-45), sodass lediglich ein Standardkabel zur Verbindung mit der nächsten ISDN-Steckdose benötigt wird. Typisch für die gesamte Adapterfamilie ist auch das so genannte Mix-and-MatchKonzept: Mehrere separate Adapter für unterschiedliche 158 L AN line 9/2000 Kommunikationsanbindungen (zum Beispiel: Modem, Ethernet oder GSM) lassen sich in einer Art Sandwich- Die Realport2-ISDN-IntegratedPC-Card von Xircom verfügt über einen integrierten RJ-45-ISDNAnschluss Verfahren platzsparend kombinieren. Damit entfällt der sonst nötige Adapterwechsel bei veränderter Arbeitssituation. Der ISDN-Adapter ist nach Angaben des Herstellers dank der Unterstützung aller wichtigen regionalen Protokolle weltweit einsetzbar. Ein WAN-MiniportTreiber, ein CAPI-2.0-Treiber und ein Virtual-PortEmulator eröffnen den Einsatz unterschiedlichster Standard-Kommunikationsanwendungen sowie von Remote Access. Unterstützt wird ferner Plug-and-PlayInstallation unter Windows 95/98/2000 sowie Fax über ISDN mit der Gruppe 3 und 4. Der Preis für die Realport2-ISDN-Integrated-PCCard beträgt 475 Mark. (pf) Hersteller Ezenia nun auch eine reine Software-Lösung im Rahmen seiner Produktfamilie an. Der so genannte Multimedia-Communication-Server mit der Bezeichnung Encounter 1000 ermöglicht Video-Conferencing und Application-Sharing über IP-Netze. Die Software lässt sich auf einem Windows-NT-Server installieren und ist vom Hersteller als kostengünstige Alternative für kleinere Unternehmen und Workgroups konzipiert. Bei größeren Unternehmen empfiehlt der Hersteller seine Komplettlösung Encounter 3000 Netserver, für die Einbindung von ISDNVideokonferenzen in das IPbasierende System steht ferner Encounter 3000 Netgate zur Verfügung. Encounter 1000 eignet sich als Konferenzlösung für die Interaktion via Bild, Sprache und Daten in Echtzeit. Mehrere Konferenzteilnehmer lassen sich dabei gleichzeitig in separaten Fenstern anzeigen. Die Produkte der Encounter-Famile können über ein zentrales ManagementTool verwaltet werden und beinhalten jeweils auch einen Gatekeeper. So lassen sich die Zulassungen zu Konferenzen kontrollieren und die nötige Bandbreite während den Sitzungen steuern. Als besonders benutzerfreundlich stellt der Hersteller die Webbasierende Zeitplanung heraus, mit der sich die interaktiven Echtzeitsitzungen von den Benutzern vorbereiten und verwalten lassen. En- Info: Xircom Germany Tel.: 089/607 68 35-0 Web: www.xircom.com Konferenz-Server für Windows NT Neben seinen Hardwarebasierenden Konferenz-Servern bietet der amerikanische Encounter 1000 von Ezenia ist ein Software-Server für Multimediakonferenzen via IP www.lanline.de fokusTELEKOMMUNIKATION counter 1000 unterstützt die Standards H.323 und T.120 und arbeitet so mit entsprechenden Endgeräten oder beispielsweise Netmeeting von Microsoft zusammen. Der Preis für Encounter 1000 beginnt bei knapp 4000 Dollar. (pf) Info: Ezenia International Tel.: 089/944 90-240 Web: www.ezenia.com Satellitendienst für Kabelnetze Unter der Bezeichnung Satxpress stellt das Kölner Unternehmen Vsatnetcom einen Internet-Zugangsdienst via Satellit bereit, der sich vorrangig an Kabelnetzbetreiber richtet. Verbreitet wird der ADSL-Dienst seit Mitte Juni über den neuen Eutelsat-Satelliten Sesat auf 36 Grad Ost. Sowohl Hinals auch Rückkanal laufen über Satellit. Im Vorwärtskanal stehen eine Bandbreite von 6 MBit/s und im Rückkanal Geschwindigkeiten bis zu 384 kBit/s zur Verfügung. Nach Angaben von Eutelsat kann der SatxpressDienst unabhängig vom Ort in ganz Europa sowie im angrenzenden Afrika und Asien zu nahezu gleichen Konditionen bereitgestellt werden. Der von Vsatnetcom, einer Spin-off-Firma der GMD – Forschungszentrum Informationstechnik GmbH, entwickelte Satellitendienst soll sich für rückkanalfähige Kabelnetze mit 200 bis 20.000 angeschlossenen Haushalten sowie für Firmennetze und regionale ISPs eignen. Ein drei- 160 L AN line 9/2000 monatiger Betriebsversuch wird zu einem Festpreis von 13.500 Mark angeboten. Enthalten in dem Paket sind die Sende- und Empfangsstation sowie der Bezug von InternetKonnektivität für bis zu 200 Teilnehmer. Für den regulären Betrieb sind Investitionskosten von 22.000 bis 28.000 Mark für die komplette Satellitenempfangs- und -sendestation nötig. Hinzu kommen pro Kabelnetzkunde Bezugskosten des SatxpressDienstes in der Größenordnung von 12 bis 25 Mark monatlich. (pf) HSCSD (High Speed Circuit Switched Data Service) optimiert. Network Distributed ISDN for Windows 2000, das dritte Produkt der neuen Software-Linie, realisiert den netzwerkweiten Zugriff von ISDN-Anwendungen auf die zentralen ISDN-Controller; schlüsselung, Zugriffskontrollen, Kompression und Kanalbündelung oder ShortHold-Mode. Die Administration erfolgt per Web-Browser. Die Preise für die einzelnen Produkte betragen 820 Mark (Muliprotocol Router), 720 Mark (Access Server) so- Info: Eutelsat Tel.: 0033/1/53 98-0 Web: www.eutelsat.de Vsatnetcom Tel.: 0221/969 61 32 Web: www.vsatnet.com ISDN-Services für Windows 2000 ISDN Services for Windows 2000 heißt die neue Software-Produktlinie von AVM für LANs Für Windows 2000 hat AVM jetzt unter der Bezeichnung “ISDN-Services for Windows 2000” eine entsprechende Software-Produktlinie aufgelegt. Sie besteht aus drei separaten Programmen: Der ISDN Multiprotocol Router for Windows 2000 deckt den Bereich LAN-LAN-Kopplung über ISDN-Wähl- oder Festverbindungen sowie den zentralen Internet-Zugang via ISDN oder ADSL ab. Das Produkt ISDN Access Server for Windows 2000 unterstützt die Remote-Anbindung von Heimarbeitsplätzen sowie mobilen NotebookBenutzern an das FirmenLAN; der Access-Server ist nach Angaben des Herstellers auf ISDN, GSM und den High-Speed-GSM-Dienst unterstützt werden dabei beispielsweise CAPI-Anwendungen auf den LAN-Arbeitsplätzen wie Telefax, PCBanking, Filetransfer oder Remote Control. Die neue Kommunikationsproduktlinie arbeitet mit einer beliebigen Mischung der aktiven ISDN-Controller B1, C4 und T1 von AVM zusammen. Dabei können zwischen zwei und 120 ISDNKanäle gemeinsam von den drei Applikationen genutzt werden, wobei eine flexible Reservierung von bestimmten Kanälen für dedizierte Aufgaben möglich ist. Die Anwendungen verfügen über die jeweils notwendigen Sicherheits-, Performance- und Kostenmanagement-Features wie beispielsweise Datenver- wie 620 Mark (Network Distributed ISDN). Auch für Einzelplatz-User hat AVM Neues im Repertoire: Die CAPI-Kommunikations-Software Fritz steht jetzt in der Update-Version 3.0 zum kostenlosen Download bereit. Voraussetzung für die Installation ist eine originale Fritz-Card- oder Fritz-32-CD. Neben zahlreichen Verbesserungen im Detail bietet vor allem das neue Modul Fritz-Web zusätzliche Funktionalität und soll einen schnellen und einfachen Internet-Zugang für den Einzelplatzrechner (Windows 98/98/NT4.0/2000) realisieren. (pf) Info: AVM Computersysteme Tel.: 030/399 76-0 Web: www.avm.de www.lanline.de Informationen schnell per Inserenten Inserent Seite Kennz. Aagon ADN Alcatel IND APC Articon Best Power Büro & System Junge CAE CBL Com-2 Comcity Compaq Computer Compu-Shack Computer 2000 Computer Competence Computer Consultants Computer Links Connect D-Link Dafür Dakota Datsec Deutsche Telekom Deutsche Telekom Ditec DV-Job DV-Markt Ecrix edcom Eicon/Diehl Entrada Entrada Executive Software F5 Networks Fossil 47 162 15 83 161 117 52 147 141 73 55 57 23 119 161 155 161 7 9 52 53 49 59 61 162 157 157 43 162 79 54 95 27 71 62 029 011 001 064 033 074 072 046 036 037 016 013 081 007 008 032 034 030 038 039 083 082 027 048 035 054 018 045 040 Inserent Seite Foundry Networks Hewlett Packard Hirose HST Huber & Suhner IBM IBM IBM Österreich Linux World Intel Intel Ipswitch KKF.net Konradin Konradin LAN-Technik Lanworks Lucent Minicom Advanced Systems Mioco MMS Motorola Multimatic NBase-Xyplex NBase-Xyplex Netstuff Omnitron Omnitron Overland Pan Dacom PowerQuest Pyramid QSC Radguard Radware Kennz. 69 67 85 18/19 044 043 050 014 11 25 38/39 91 35 37 17 87 101 149 45 161 29 40 143 111 159 99 136 138 129 150 151 77 172 21 121 154 103 105 009 017 024 053 022 023 012 051 056 075 028 019 025 073 061 084 055 068 070 067 076 077 047 004 015 065 080 057 058 Inserent Seite RBS Netkom Realtech Red Shepherd Translations Reichle & De-Massari Roton S&N Scientific Seicom Senetco Servonic Sophos SPM Technologies Symbol Technologies Talkline The Bristol Group The Bristol Group TIM TLK Trefz & Partner Trend Micro United Planet Verlag Moderne Industrie Viag Interkom WIND Xnet Yello 137 63 41 13 115 161 51 3 89 153 107 65 171 2 109 162 32/33 31 162 113 123 162 4/5 140 81 152 Kennz. 069 041 026 010 063 031 005 052 079 059 042 003 002 060 021 020 062 066 006 071 049 078 Beilagen und Beihefter I.F.M.R. (Germany) Limited NetSupport Nortel/Eckmann Recherche im WEB Web: Sie suchen in unserer Online-Datenbank die für Sie interessanten Produkte. Dann entscheiden Sie, in welcher Form Sie kontaktiert werden möchten. Wir leiten Ihre Anfrage an den Ansprechpartner weiter, der Sie dann auf dem von Ihnen gewünschten Weg kontaktiert. Und so funktioniert LANline Info: Unter http://www.lanline.de/info Der Web-Kennzifferndienst LANline Info macht die gezielte Suche im WWW so komfortabel und schnell wie nie zuvor. Dieses Tool funktioniert im Prinzip wie das Leser-Info-Fax, das den LANline-Lesern ja seit Jahren vertraut ist, allerdings mit erheblich erweiterten Möglichkeiten und allen Vorteilen des World Wide wählen Sie zunächst aus, in welcher Ausgabe der LANline Sie recherchieren möchten. Dann wählen Sie eine oder mehrere Produktkategorien aus. Alternativ können sie, falls Sie schon genau wissen, wofür Sie sich interessieren, direkt den Namen des Anbieters eingeben. Zusätzlich steht Ihnen noch die Option “Alle Anzeigen und redaktionellen Beiträge” zur Verfügung. Drücken Sie die Schaltfläche “Weiter”, um Ihre Abfrage zu starten. Das System stellt nun eine Liste aller Inserenten und redaktionellen Beiträge zusammen, die Ihren Suchkriterien entsprechen. Wenn die Firma eine eigene Website besitzt, dann ist der Firmenname in der linken Spalte mit einem Hyperlink unterlegt. Damit kommen Sie direkt auf die Web-Seiten des Anbieters. Wichtig für Ihre Info-Anforderung sind die letzten vier Spalten. Hier können Sie bei jeder Firma ankreuzen, ob Sie weitere Informationen per EMail, Post, Fax oder Telefon erhalten möchten. Selbstverständlich können Sie hier mehr als eine Firma ankreuzen. Auf diese Weise können Sie ohne zusätzlichen Aufwand gleich mehrere Anfragen generieren. Bei der erstmaligen Benutzung von LANline Info drücken Sie jetzt einfach den “Weiter”Button und gelangen damit zur Eingabemaske für Ihre Kontaktinformationen. Noch schneller geht es, wenn Sie das System schon einmal benutzt haben. Dann reicht die Eingabe Ihrer EMail-Adresse aus, und ihre Daten werden automatisch ergänzt. Wenn Sie jetzt “Weiter” drücken, gelangen Sie auf eine Bestätigungsseite, und das System generiert für jeden der von Ihnen angekreuzten Anbieter eine Anfrage, die per E-Mail an den zuständigen Ansprechpartner verschickt wird. Dieser setzt sich mit Ihnen auf dem von Ihnen gewünschten Weg in Verbindung. Auf der Bestätigungsseite finden Sie außerdem eine kleine Online-Umfrage, deren Ergebnisse uns dabei helfen, die LANline auch weiterhin mit den richtigen und wichtigen Informationen für Sie zu füllen. (Frank-Martin Binder/rhh) Info-Fax oder Internet ▲ ● Tragen Sie die entsprechende Kennziffer unter www.lanline.de/info an der vorgesehenen Stelle ein und Sie gelangen direkt und ohne Umwege zu Ihren gewünschten Zusatzinformationen. ●Info-Fax # 023 ▲ ●Info-Fax ▲ Der moderne Weg zu detaillierten Informationsmaterial zu der in dieser Ausgabe veröffentlichten Anzeigen. www.lanline.de/info ▲ ● Selbstverständlich haben Sie nach wie vor die Möglichkeit, weitere Anzeigen-Produkt-Infos mit dem untenstehenden Faxformular abzurufen. Einfach ausfüllen und an die Fax-Nummer 08621/97 99 60 faxen. Zum schnellen Überblick haben wir alle inserierenden Firmen auf der gegenüberliegenden Seite aufgelistet. # 023 www.lanline.de/info An AWi-Verlag LANline-Leserservice Edith Winklmaier Herzog-Otto-Str. 42 83308 Trostberg ine l N L A 2000 9/ Meine Anschrift lautet: Ich möchte Informationsmaterial zu Anzeigen mit folgenden Kennziffern (siehe nebenstehende Übersicht): Firma Abteilung 1. 2. 3. 4. 5. 6. Vorname/Name Straße/Nummer PLZ/Ort 7. 8. 9. 10. 11. 12. Telefon Fax Meine Funktion: (bitte ankreuzen) ❑ Spezialist ❑ Gruppen-/Abteilungsleiter ❑ Einkauf ❑ Unternehmensleitung ❑ Mein Unternehmen beschäftigt: ❑ 1 bis 19 Mitarbeiter ❑ 100 bis 249 Mitarbeiter ❑ über 1000 Mitarbeiter ❑ 20 bis 49 Mitarbeiter ❑ 250 bis 499 Mitarbeiter Mein Unternehmen gehört zu folgender Branche: ❑ Elektroindustrie ❑ Maschinenbau ❑ Fahrzeughersteller und -zulieferer ❑ Chemisch pharmazeutische Industrie ❑ Transport- und Logistikbranche ❑ Geldinstitute/Bausparkassen ❑ Versicherungswesen ❑ Reise- und Touristikbranche ❑ Handel und Dienstleistungen ❑ Öffentliche Verwaltung ❑ Hochschulen und Forschungsinstitute ❑ Nahrungs- und Genußmittel ❑ 50 bis 99 Mitarbeiter ❑ 500 bis 999 Mitarbeiter Ich interessiere mich für folgende Computer- und Kommunikationssysteme: Betriebssysteme: Hardware: ❑ MS-DOS ❑ VMS/OpenVMS ❑ Windows ❑ OS/2 ❑ Windows NT ❑ Ultrix ❑ UNIX ❑ OSF/1 ❑ System 7 ❑ Windows 95 ❑ IBM ❑ DEC ❑ HP ❑ Sun ❑ Siemens ❑ Apple ❑ RISC-Systeme ❑ andere: Kommunikationssysteme/ -lösungen: ❑ DECnet ❑ Novell-NetWare ❑ Banyan Vines ❑ LAN Manager/LAN Server ❑ PC-Host-Verbindung ❑ Pathworks ❑ ISDN/WANs ❑ Windows NT Advanced Server ❑ andere: Damit Hersteller und Anbieter von Produkten, für die ich mich interessiere, meine Kennziffernanfragen so gezielt wie möglich beantworten können, bin ich damit einverstanden, daß diese Daten elektronisch gespeichert und weitergegeben werden. Ort, Datum Unterschrift VORSCHAU 10/2000 SCHWERPUNKT HIGH-SPEED-LANS: 10-GBit-Ethernet am Horizont ist ab dem 06.10.2000 am Kiosk erhältlich SCHWERPUNKT VERKABELUNG: Erste Erfahrungen mit Kategorie 6 DM 14,- ÖS 110,- Das Magazin für Netze, Daten- und Telekommunikation netzPRODUKTE Sfr. 14,- Nr. 10, Oktober 2000 www.lanline.de T-DSL-Router im Vergleichstest netzTOOLBOX Das Magazin für Netze, Daten- und Telekommunikation High-Speed-LANs mit Marktübersicht Ethernet-Switches High-Speed-LANs: Switching-Technologien für Gigabit-Geschwindigkeiten Winternals im Test: Werkzeuge für den Administrator MARKTÜBERSICHTEN Ethernet-Switches, Kabeltester VORSCHAU auf kommende LANline-Schwerpunkte Ausgabe Verkabelung: Praxistipps für Planung und Verlegung 170 L AN line 9/2000 Erscheint Schwerpunktthemen am Redaktionsschluss 11/2000 07.11. 2000 Drucken im Netz, Dienstleister, Converged Networks 11.09. 2000 12/2000 27.11. 2000 Storage Area Networks, 06.10. Virtual Private 2000 Networks 01/2001 27.12. 2000 Mobile Computing, WAN-Anschluss 30.10. 2000 Wenn Sie zu einem oder mehreren dieser Themen einen Beitrag schreiben möchten, rufen Sie uns einfach an: 089/456 16-101 IMPRESSUM HERAUSGEBER: Eduard Heilmayr (he) REDAKTION: Rainer Huttenloher (Chefredakteur, (rhh)), Stefan Mutschler (Chefredakteur, (sm)), Marco Wagner (stv. Chefredakteur, (mw)), Doris Behrendt (db), Dr. Götz Güttich (gg), Georg von der Howen (gh), Kurt Pfeiler (pf) AUTOREN DIESER AUSGABE: Dieter Bode, Frank Brandenburg, Martyn Cooper, Heinz Drstak, Klaus Eppele, Raimund Genes, Richard Hellmeier, Alexandra Krauß, Peter Meuser, Sebastian Nitz, Timo Rinne, Andreas Roeschies, Thomas Ruhmann, Juliane Schindel-Ledwoch, Martin Stecher, Peter Straßburger, Fabian Warkalla, Volker Worringer REDAKTIONSASSISTENZ: Edit Klaas, Tel.: 089/45616-101 REDAKTIONSANSCHRIFT: Bretonischer Ring 13, 85630 Grasbrunn, Fax: 089/45616-200, http://www.lanline.de LAYOUT, GRAFIK UND PRODUKTION: Carmen Voss, Tel.: 089/45616-212, Edmund Krause (Leitung) ANZEIGENDISPOSITION: Carmen Voss, Tel.: 089/45616-212 Sandra Pablitschko, Tel.: 089/45616-108 TITELBILD: Wolfgang Traub ANZEIGENVERKAUF: Anne Kathrin Latsch, Tel.: 089/45616-102 E-Mail: la@lanline.awi.de Susanne Ney, Tel.: 0 89/45616-106 E-Mail: sn@lanline.awi.de Karin Ratte, Tel.: 089/45616-104 E-Mail: kr@lanline.awi.de ANZEIGENVERKAUFSLEITUNG GESAMT-AWI-VERLAG Cornelia Jacobi, Tel.: 089/71940003 oder 089/45616-117 E-Mail: cj@awigl.awi.de ANZEIGENPREISE: Es gilt die Preisliste Nr. 12 vom 1.1.2000 ANZEIGENASSISTENZ: Davorka Esegovic, Tel.: 089/45616-156 ANZEIGENVERWALTUNG: Gabriele Fischböck, Tel.: 089/45616-262, Fax: 089/45616-100 ERSCHEINUNGSWEISE: monatlich, 12 Ausgaben/Jahr zuzüglich 4 Themenhefte ABONNEMENT-BESTELL-SERVICE: Vertriebs-Service LANline, Edith Winklmaier, Herzog-Otto-Str. 42, 83308 Trostberg, Tel.: 08621/645841, Fax 08621/62786 Zahlungsmöglichkeit für Abonnenten: Bayerische Vereinsbank München BLZ 700 202 70, Konto-Nr. 32 248 594 Postgiro München BLZ 700 100 80, Konto-Nr. 537 040-801 VERTRIEB EINZELHANDEL: MZV, Moderner Zeitschriften Vertrieb, Breslauer Str. 5, 85386 Eching BEZUGSPREISE: Jahresabonnement Inland: 148,– DM Ausland: 174,– DM (Luftpost auf Anfrage) Vorzugspreise DM 110,- (Inland), DM 121,80 (Ausland) für Studenten, Schüler, Auszubildende und Wehrpflichtige – nur gegen Vorlage eines Nachweises. Sollte die Zeitschrift aus Gründen, die nicht vom Herausgeber zu vertreten sind, nicht geliefert werden können, besteht kein Anspruch auf Nachlieferung oder Erstattung vorausbezahlter Bezugsgelder. SONDERDRUCKDIENST: Alle in dieser Ausgabe erschienenen Beiträge sind in Form von Sonderdrucken erhältlich. Kontakt: Edmund Krause, Tel.: 089/45616-240, Alfred Neudert, Tel. 089/45616-146, Fax: 089/45616-100 DRUCK: Konradin Druck GmbH, Kohlhammerstr. 1-15, 70771 Leinfelden Echterdingen URHEBERRECHT: Alle in der LANline erscheinenden Beiträge sind urheberrechtlich geschützt. Alle Rechte, auch Übersetzungen, vorbehalten. Reproduktionen, gleich welcher Art, nur mit schriftlicher Genehmigung des Herausgebers. Aus der Veröffentlichung kann nicht geschlossen werden, dass die beschriebenen Lösungen oder verwendeten Bezeichnungen frei von gewerblichem Schutzrecht sind. © 2000 AWi LANline Verlagsgesellschaft mbH MANUSKRIPTEINSENDUNGEN: Manuskripte werden gerne von der Redaktion angenommen. Mit der Einsendung von Manuskripten gibt der Verfasser die Zustimmung zum Abdruck. Kürzungen der Artikel bleiben vorbehalten. Für unverlangt eingesandte Manuskripte kann keine Haftung übernommen werden. VERLAG: AWi LANline Verlagsgesellschaft mbH Ein Unternehmen der AWi Aktuelles Wissen Verlagsgesellschaft mbH, Bretonischer Ring 13, 85630 Grasbrunn Web: http://www.awi.de Geschäftsführer: Eduard Heilmayr, Cornelia Jacobi ISSN 0942-4172 i v w Mitglied der Informationsgemeinschaft zur Feststellung der Verbreitung von Werbeträgern e.V. (IVW). Bad Godesberg Mitglied der Leseranalyse Computerpresse 1999 www.lanline.de
