07 - ITwelzel.biz

Technik News - Netzwerkmagazin
G46392
Juli 2003
D a s
N 07
13. Jahrgang
thema des monats
UNENDLICHE WEITEN
Content
Security
Viren-, Spam- und Inhaltsfilter
PRAXIS
Über VoIP
gesprochen
Teil 4: UMS in konvergenter
Systemumgebung
p r a x i s n a h e
N e t z w e r k m a g a z i n
AKTUELL
• Compu-Shack: Vertriebswege im eCommerce
3
Herausgeber: COMPU-SHACK
NEWS
3Com: SuperStack 3 Switch 4400 FX auf Glasfaser ausgelegt
3Com: Kostengünstige 10/100/1000 LAN-Switches
Microsoft: Instant Messaging für die nächste Office-Generation
Computer Associates: Regelbasiertes Management von Speicherressourcen
Avaya:MultiVantage Communications Applications
Allied Telesyn: Modularer Layer2 Switch AT-8400
Enterasys Networks: XSR 4100 und drei 3000er
Cisco: Structured Wireless-Aware Network für integrierte Netze
Cisco: Sicherheitserweiterungen für jede Unternehmensgröße
Cisco: Catalyst 3750 Serie mit Cisco StackWise Technologie
Citrix: MetaFrame Presentation Server 1.2 für Unix
Citrix: Sniffer Distributed 4.3
Tobit: Support für 6.5 wird eingestellt
ICP-Vortex: GDT8500RZ - RAID on Motherboard
Compu-Shack Production: Dualband für 802.11a und g
Compu-Shack Production: High-Gain USB Adapter 802.11b
IBM: LTO Ultrium 2 Bandlaufwerk mit neuen Features
Tobit: Software und Service mit David Home
Check Point: VPN-1 SecureClient
innovaphone: Weltweit kleinste IP-basierte Telefonanlage
Newsticker
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
4
4
5
6
7
8
8
9
10
11
12
12
13
14
15
15
16
16
17
17
18
THEMA DES MONATS
Content Security
20
Geschäftsfüher: Michael Krings
Telefon: 02631/983-0
Telefax: 02631/983-199
Electronic Mail: TECHNEWS @
COMPU-SHACK.COM
Redaktion: Heinz Bück
Hotline und Patches: Jörg Marx
Verantwortlich
für den Inhalt: Heinz Bück
Technische Leitung: Ulf Wolfsgruber
Erscheinungsweise: monatlich 1 Heft
Bezugsquelle: Bezug über
COMPU-SHACK
Electronic GmbH
Jahres-Abonnement
zuzüglichMWSt.:
Inland: 60,84 €
Ausland: 86,41 €
Layout und Titelbild: Marie-Luise Ringma
Druck: Görres-Druckerei,
Koblenz
Viren-, Spam- und Inhaltsfilter
Lektorat: Andrea Briel
Anja Dorscheid
Das Internet birgt unwägbare Gefahren. Web und EMail schleusen gefährliche Inhalte in das Enterprise
Network und unterlaufen die herkömmliche Firewall.
Chefsache, denn nur eine ausgeklügelte Filtertechnik
kann Abhilfe schaffen, um das Unternehmen gegen
unerwünschten Content zu schützen.
HOTLINE
•
•
•
•
•
•
•
•
Electronic GmbH,
Ringstraße 56-58,
56564 Neuwied
Neue Patches in der Übersicht
Novell: Konfiguration eines SLPDA mit einem Scoped Directory Agent
Veritas: Backup Exec für Windows Version 9 installieren
Cisco: LAN Switching, Teil 6: Switch Cluster
Nortel Networks: Tips & Tricks zur Autonegotiation der BayStack 450er
Citrix: MetaFrame XP & IMA Service
Microsoft: Windows XP Performance-Steigerung
Compu-Shack Production: Printserver und DSL Router im Netzwerk
30
32
34
36
38
39
40
42
PRAXIS
• Über VoIP gesprochen, Teil 4: UMS in konvergenter Systemumgebung
• Microsoft Windows Server 2003, Teil 3: Neuerungen im Sicherheitsbereich
• Nortel Networks, Teil 4: Split MultiLink-Trunking beim Passport 8600
Reproduktionen aller Art (Fotokopien, Mikrofilm,
Erfassung durch Schrifterkennungsprogramme)
- auch auszugsweise - nur mit schriftlicher Genehmigung des Herausgebers.
Wir möchten uns nachträglich bei all denen bedanken, die durch die freundliche Zusammenarbeit das Erscheinen dieser Zeitung ermöglicht haben. Als Informationsquelle dient uns auch das
Internet. Wenn Sie speziell über Ihre Erfahrungen
referieren möchten, bieten wir Ihnen dies unter der
Rubrik “Hotline” an.
www.technik-news.de
Selbstverständlich kann COMPU-SHACK die einwandfreie Funktion der vorgestellten Patches und
Tips nicht garantieren und übernimmt keinerlei
Haftung für eventuell entstehende Schäden.
44
46
48
SOLUTIONS
• Training, Support und Projekte
29,43
VORSCHAU
• Messen, Roadshows, Termine
Die Liste aktueller
Updates zu Novell, Microsoft,
Computer Associates,
Bintec und Veritas
finden Sie auf Seite 36
50
07
Ausgabe 07/2003
2
a
AKTUELL
COMPU-SHACK
Unabhängig
Vertriebswege im eCommerce
Von Heike Karbach
Die cs:mall24 ist eine komplette Datawarehouse-Lösung mit Shop- und Content-Management-System. Sie erfüllt über
einen direkt verfügbaren Warenbestand mit zugehörigem Hosting-Service alle maßgeblichen Anforderungen in der
Kette des Warenflusses, vom Kunden bis zum Hersteller und umgekehrt, und das völlig branchenunabhängig. Als B2Bund B2C-Plattform ist die cs:mall24 weit mehr als ein bloßes Online-Shop-System. Daher wird sie von derzeit mehr als
700 IT-Fachhändlern im eCommerce genutzt.
Mit der cs:mall24 eröffnet CompuShack ihren Partnern neue, lukrative
Vertriebswege im eCommerce, um in
der aktuell angespannten Wettbewerbssituation weitere Umsatzpotentiale zu erschließen. Bereits vor
einigen Jahren ging Deutschlands
größter Netzwerkdistributor die Frage an: “Was können wir tun, um dem
Fachhandel zu helfen, im Wettbewerb
des E-Commerce zu bestehen. Und
wie kann dabei gleichzeitig den Herstellern im Waren- und Produktinformationsfluß der optimale Weg
bis zum Endkunden geboten werden.
In einem aufwendigen Entwicklungsprojekt über mehrere Jahre hinweg
entstand die Online-Shop-Plattform
cs:mall24. Kontinuierlich weiterentwickelt und permanent verfeinert,
wird die Datawarehouse-Lösung mit
Shop- und Content-ManagementSystem inzwischen von weit über 700
IT-Fachhändlern genutzt. Denn ihre
Logistik ist beispielhaft.
Für alle Branchen
cs:mall24 bietet Herstellern, Grossisten und ihren jeweiligen Fachhandelspartnern eine flexible Lösung für
ein professionelles Business im
Internet, die keineswegs nur auf die
IT-Branche allein zugeschnitten ist.
Vielmehr können branchenübergreifend die verschiedensten Hersteller und Distributoren in den unterschiedlichsten Märkten für ihre Fachhändler und Kunden ein digitales
Kaufhaus eröffnen, das sich - ganz im
Gegensatz zu vielen Internet-Portalen - nicht im Wettbewerb zum Einzelhandel positioniert. Statt dessen
bietet die cs:mall24 dem Einzelhändler sogar neue Vertriebswege, um seine Produkte sowohl im Internet als
auch im Laden anzubieten. Sie geht
sogar noch einen Schritt weiter, indem Fachhändler nicht nur Produkte
aus ihrem Geschäft anbieten können,
sondern über ein virtuelles Lager erstmals auch Zugriff auf die Bestände
ihres Lieferanten und Herstellers haben. Risiken der Lagerhaltung entfallen damit.
Hürden überwinden
Gleichzeitig ist für den Handel eine
kostenintensive Logistik hinfällig
geworden und deshalb auch kein Hindernis mehr, in ein Geschäft einzusteigen. Denn alle logistischen Leistungen bis hin zum Fulfillment können über die Distribution abgebildet
werden. Die Idee klingt fast zu einfach, zumal das Geschäftsleben momentan in fast allen Branchen etliche Hürden zu nehmen hat. Doch die
cs:mall24 öffnet und vereinfacht die
Vertriebswege vom Hersteller über
den Handel bis zum Endkunden
grundlegend.
Und stellt die
Anbindung
an die verschiedenen
Warenwirtschaftssysteme für
07
Ausgabe 07/2003
3
herkömmliche Shop-Lösungen immer noch ein unlösbares oder unbezahlbares Problem dar, so ist dieser
Prozeß für die cs:mall24 längst Bestandteil der Lösung. Ihr Erfolg liegt
in der Klarkeit eines Konzepts, das
die unterschiedlichen Kernkompetenzen bei den jeweiligen Akteuren innerhalb der Vertriebskette
beläßt, um den Ablauf vom Angebot
über die Bestellung bis zur Anlieferung reibungslos zu gestalten. So gewinnen Vertriebs-Innendienste und
Call Center wiederum mehr Zeit für
beratungsintesive Kundengeschäfte
und werden von alltäglichen
Bestellvorgängen entlastet.
Chance nutzen
Die cs:mall24 nutzt alle Möglichkeiten des Internets und einer zeitnahen
Datenverarbeitung, um Hersteller,
Anbieter und Endkunden in einen
transparenten Geschäftsprozeß elektronisch einzubinden. Sie macht die
Geschäftsbeziehungen für Käufer und
Verkäufer so risikofrei wie nur irgend
möglich und folgt gewissenhaft allen gesetzlichen Anforderungen. Ein
Portal wie die cs:mall24, das sowohl
B2B- als auch B2C-Geschäftsprozesse abbilden kann, weist die Zukunft in der horizontalen Vertriebskette, weil die Beteiligten ihre besonderen Stärken gemeinsam entfalten. www.csmall24.de.
Zur cs:mall24 finden Sie aktuelle Aktionen im Compu-Shack Fachhandelsportal.
Über die vielseitigen Chancen informiert
das Business Team eCommerce unter
02631 / 983-281 oder per E-Mail an
e-commerce@compu-shack.com.
AKTUELL
M
n
NEWS
3COM
LAN-Ausbau bis zu 2 Kilometern
SuperStack 3 Switch 4400 FX auf Glasfaser ausgelegt
Mit dem SuperStack 3 Switch 4400 FX erweitert 3Com ihr Portfolio an stapelbaren LAN-Switches für den preisgünstigen
Aufbau von Netzwerken. Dieser glasfaserfaserbasierte Switch garantiert die Datenübertragung über größere Entfernungen. Die integrierten Sicherheitsfunktionen helfen, Bandbreite zu sparen.
D
Der SuperStack 3 Switch 4400
FX ist preisgünstig, ausfallsicher und bietet alle Eigenschaften der erfolgreichen und intelligenten 10/100 Switch-Familie von 3Com. Da er auf
Glasfaser- und nicht auf Kupferverbindungen basiert, ermöglicht er
eine sicherere Anbindung von
Desktop-PCs und bietet einen wirksamen Schutz vor externem Snooping.
Zusätzlich erlaubt FX-Glasfaser eine
Ausdehnung der Netzwerkverbindungen von bis zu zwei Kilometern
und übertrifft damit Distanzen, wie
sie mit Kupferkabeln der Kategorie 5
möglich sind. Mit der größeren Reich-
weite können Büros und auch Gebäuden eingebunden werden, die nur eine
geringe Bandbreite benötigen.
Kostenaspekte
Der 3Com SuperStack 3 Switch 4400
FX stellt 24 Anschlüsse bei nur einer
Höheneinheit zur Verfügung. Er bietet die Möglichkeit für ausfallsiche-
res Stacking, falls weitere
Ports benötigt werden. Die
verbesserte Priorisierung
ermöglicht das Erkennen von unerwünschtem
Datenverkehr im Netz,
während Schlüsselapplikationen Vorrang erhalten und Sicher-heitsfunktionen den unerlaubten Zugriff auf Netzwerkdaten verhindern. Der Switch kann leicht in ein
standardisiertes Netz integriert werden, ist einfach zu bedienen und verkürzt bei geringen Anschaffungskosten die Amortisationszeit. Der
SuperStack 3 Switch 4400 FX soll ab
Juli 2003 erhältlich sein.
3COM
Gigabit für Einsteiger
Kostengünstige 10/100/1000 LAN-Switches
3Com hat eine Reihe von Gigabit Ethernet Switches für Einsteiger angekündigt. Die neuen Modelle bieten HighspeedKonnektitivität für Applikationen in Unternehmensnetzwerken. Sie sind genau auf die Bedürfnisse von kleinen bis
mittleren Unternehmen (SME) abgestimmt.
NEWS
I
Insbesondere kleineren Firmen mit
begrenztem IT-Personal, die eine günstige und benutzerfreundliche Layer
2-Austattung benötigen, bietet das
umfangreiche 3Com Produktportfolio
für kleine Büros und SME-Kunden
Einstiegsprodukte zu wettbewerbsfähigen Preisen. Doch auch in größeren
Unternehmen bringen die neuen Produkte eine den Wachstumsanforderungen gerechte Skalierbarkeit.
Denn die standardkonformen Geräte
sind darauf ausgelegt, das Netzwerk
zu beschleunigen, Flaschenhälse zu
beseitigen und von 10/100 zu Gigabit Bandbreite migrieren zu können.
Ethernet können sich auch kleine
Unternehmen jetzt viel eher Gigabit
Switches leisten und die Vorteile der
schnelleren Ports nutzen, die zunehmend für neue Server spezifiziert sind.
Unmanaged
Aufgrund der gefallenen
Preise bei Gigabit
07
Ausgabe 07/2003
4
Als Unmanaged Switch für besten
Bedienkomfort bringt 3Com den
OfficeConnect Switch 8 Gigabit
Uplink heraus, ein kompaktes 9-Port
Gerät mit acht 10/100-Ports und einem 10/100/1000-Port für einen
Uplink oder eine Serververbindung.
Der OfficeConnect Gigabit 5-Port ist
der erste reine 10/100/1000 Switch
im kleinen Format. Die 3Com Switches
2816 und 2824 bieten 16 bzw. 24 10/
100/1000-Ports Switches, sind fest
konfiguriert und für kleine bis mittlere Geschäftsumgebungen zum RackEinbau oder zur Standalone-Installation ausgelegt.
Managed
Für anspruchsvollere Netzwerke
kommt der 3Com 3824 auf den Markt,
ein managebarer 10/100/1000 Switch
mit 24 Gigabit-Ports. Dieser standalone, non-stacking Switch wurde für
Zweigstellen, regionale Niederlassungen und kleine bis mittlere Unternehmen entwickelt. Die neuen 3Com
Switches 2816, 2824 und 3824 werden für August erwartet. Der Office
Connect Switch 8 ist im Juni verfügbar, der OfficeConnect Gigabit 5 im
Juli. Die Installation von Gigabit
Ethernet Switching ist eine gute Investition für Kunden, die ihr Netzwerk
an die neuesten Server und Highpowered Desktops anpassen wollen.
MICROSOFT
RTC Server
Instant Messaging für die nächste
Office-Generation
Die Standard Edition des Realtime Communications Server 2003, der vor kurzem angekündigte erweiterbare InstantMessaging-Server von Microsoft, wird ein Bestandteil des kommenden Office Systems sein. Er bringt Präsenzfunktionen für Geschäftsanwendungen und Line-of-Business-Applikationen ins Unternehmen.
M
Mit dem Microsoft Office Realtime
Communications Server sollen Anwender im Unternehmen schon bald
in Echtzeit kommunizieren können,
und zwar wesentlich kontrollierbarer
und sicherer als dies mit Lösungen für
den Consumer-Markt möglich sei. Er
ergänzt das Microsoft Office System
und trägt daher nun auch den Zusatz
“Office” im Produktnamen. RTC ist
aber gleichzeitig als eine erweiterbare Plattform konzipiert, mit der Entwickler die Möglichkeiten der
Echtzeitkommunikation für ihre eigenen Applikationen nutzen können.
Präsenzfunktion
RTC Server bietet eine Präsenzfunktion für Geschäftsanwendungen
und Line-of-Business-Applikationen, die anzeigt, ob ein Anwender
gerade online und verfügbar ist. Diese
Funktion fördert die unmittelbare
Kommunikation und Zusammenarbeit von Anwendern im Unternehmen. Die neuen Anwendungen des
Microsoft Office Systems, die in die-
sem Jahr auf den Markt kommen werden, unterstützen diese Präsenzfunktion. So sieht ein Anwender, der
eine E-Mail mit Outlook 2003 empfängt, ob der Absender gerade online
und verfügbar ist, und kann ihm sofort
über Instant Messages antworten.
Mitarbeiter, die ein Portal auf der Basis
von Microsoft Office SharePoint nutzen, können die Verfügbarkeit von
Kollegen prüfen und direkt eine gemeinsame Arbeitssitzung in der Portalumgebung starten.
Echtzeit
Die Präsenzfunktion und die Möglichkeiten der Echtzeitkommunikation des RTC Servers sind gleichzeitig eine wichtige Basis für Entwickler, um eigene Kommunikationslösungen, Geschäftsanwendungen
und Line-of-Business-Applikationen
zu erstellen. RTC Server setzt auf Standard-basierte Protokolle, wie das Session Initiation Protocol (SIP) und SIP
for Instant Messaging and Presence
Leveraging Extensions (SIMPLE).
07
Ausgabe 07/2003
5
Unternehmen können damit Lösungen für die Echtzeitkommunikation
als integralen Bestandteil ihrer Informationsinfrastruktur implementieren
und strukturieren. RTC Server läßt
sich Microsoft zufolge einfach einrichten und verwalten, weil die Lösung auf vorhandenen IT-Investitionen und vertrauten Werkzeugen aufsetzt. Die Server-Komponente bietet
erhöhte Sicherheit und Kontrollierbarkeit für den Einsatz von Instant
Messaging und macht diese populäre
Form der Kommunikation auch für
Unternehmen nutzbar. Sie können Instant Messages protokollieren, um
vertrauliche Informationen und geistiges Eigentum zu schützen und die
Einhaltung der Datenschutzvorschriften in bestimmten Branchen sicherzustellen.
Kunden und Softwareentwickler, die
Windows Server 2003 einsetzen, haben bereits seit März 2003 die BetaVersion im Test. Microsoft Office
Realtime Communications Server
2003 erscheint voraussichtlich im dritten Quartal 2003.
n
NEWS
COMPUTER ASSOCIATES
BrightStor Enterprise Backup 10.5
Regelbasiertes Management von Speicherressourcen
CA bringt BrightStor Enterprise Backup 10.5 auf den Markt. Die neue Version bietet Funktionen für regelbasiertes
Backup- und Restore-Management, mit denen sich jeder Datentyp einer beliebigen Speicherressource virtuell
zuordnen läßt.
M
Mit dem BrightStor Backup 10.5 sollen Unternehmen ihre Speicherkosten
am Geschäftswert ihrer Daten ausrichten können. Die
Idee dabei ist, daß
kein Kunde mehr
Tausende von
Euros für eine Sicherung von Daten
investieren muß,
die ihrem Wert
nach nur einigen
Hunderten entsprechen, während umgekehrt Werte von
Zigtau-senden aufs
Spiel gesetzt werden, weil man auf
einem billigen und unzureichenden
Speichersystem sichert.
NEWS
Risikoressourcen
Es geht darum, bei der Datensicherung Geschäftsrisiken und die Ausgaben für die Speicherinfrastruktur zu
minimieren und aufeinander abzustimmen. BrightStor Enterprise
Backup bietet daher mehr Flexibilität
bei der Zuteilung von Ressourcen.
Administratoren können für jeden
Speichertyp die am besten geeignete
Ressource nutzen. Dazu können sie
CA-Management-Lösungen wie
BrightStor ARCserve Backup integrieren, aber auch Angebote externer
Datenlagerung nutzen. Ebenso sind
die Snapshot-Abbildungstechnologien von EMC, Hewlett-Packard,
Hitachi und Microsoft einsetzbar.
Das eingebundene BrightStor Portal
bietet ein gemeinsames Management
und serverübergreifendes Reporting
für alle Speicherressourcen im Unternehmen.
OnDemand
Mit BrightStor Enterprise Backup ist
es möglich, unternehmensweite
Speicherrichtlinien von einer
zentralen Konsole aus
plattformübergreifend zu definieren. Dazu zählen unter
anderem Windows NT, 2000
und Server 2003, die gängigen Unix-Derivate und Linux-Distributionen, NetWare
und Open VMS. Die CA-Lösung bietet zudem Hochleistungsdatensicherung und
Wiederherstellung von Microsoft SQL Server und Exchange, Oracle, Lotus Notes, Sybase,
SAP R/3, Advantage Ingres, Informix,
DB2 und anderen wichtigen Applikationen. Dieser plattformenübergreifende Ansatz unterstützt Unternehmensinitiativen für das OnDemandComputing. Dabei werden EnterpriseRessourcen als ganzheitliches System
verwaltet, das sich entsprechend den
Geschäftsanforderungen flexibel und
dynamisch immer wieder neu zutei-
...Collaboration
len läßt. Die Integration mit Bright
Stor Storage Ressource Manager,
eTrust AntiVirus, Unicenter Network
and Systems Management sowie Unicenter Software Delivery von CA ist
ein weiteres Plus in puncto Verwaltbarkeit.
Multi-Terabyte
BrightStor Enterprise Backup 10.5
hat sich in Tests als schnellste
Sicherungs- und Wiederherstellungslösung für Datenbanken im MultiTerabyte-Bereich erwiesen. In Testläufen mit Microsoft erzielte bereits
eine Beta-Version eine Rekordleistung. Bei der Sicherung einer Microsoft SQL Server 2000-Datenbank unter Windows 2000 Datacenter Server
erreichte sie einen Durchsatz von 2,6
Terabyte pro Stunde, bei der Datenwiederherstellung einen Wert von 2,2
Terabyte pro Stunde. BrightStor
Enterprise Backup 10.5 ist direkt von
CA sowie über CAs Partnernetzwerk
erhältlich.
Ticker
Management und Backup:Computer Associates unterstützt Microsoft
Exchange Server 2003 mit Management- und Backup-Lösungen, für einen
zuverlässige Implementierung der neuen E-Mail- und CollaborationPlattform mit Unicenter- und BrightStor-Lösungen.
Die CA-Lösungen Unicenter Management for Microsoft Exchange,
BrightStor ARCserve Backup und BrightStor Enterprise Backup bieten
Überwachungs- und Datensicherungsfunktionen, die die Performance und
Zuverlässigkeit der von Messaging- und Collaboration-Services auf
Exchange Server 2003 sicherstellen.
Microsoft´s neuesteVersion der Server Software für Messaging und Personal
Information Management ermöglicht den ständigen Zugriff auf
geschäftskritische Messaging und Kalenderinformationen.
07
Ausgabe 07/2003
6
AVAYA
IP-Telefonie-Software
MultiVantage Communications Applications
Avaya hat ihre IP-Telefonie-Software in neuer Version vorgestellt. Die MultiVantage Communications Applications
vereinen in einer integrierten Suite umfangreiche Anwendungen für Telefonie, Contact Center, Messaging und Unified
Communications.
Applications differenzierte Lösungen
für vielfältigste Aufgaben. Die Suite
bedient die wachsende Mobilität der
Mitarbeiter, kommt den steigenden
Ansprüchen an die Qualität des
Kundenservice nach und unterstützt
auch Arbeitsgruppen optimal. Neben
dem Avaya Unified Communication
Center, der Customer Interaction Suite und dem Avaya Modular Messaging
bildet der neue Avaya Communication Manager das Flaggschiff der
neuen Suite. Die Telefonielösung baut
auf der ausgereiften Call Processing
Software des Kommunikationsspezialisten auf, die dynamisch erweiterbar ist und über ein effektives
Management der Telefoniefunktionen verfügt.
Modulare Architektur
A
Avaya´s Applications Suite enthält
die jüngste Version der IP-TelefonieSoftware Avaya Communication
Manager. Highlights dieses Produktes sind neue ausgefeilte Tools für das
Netzwerkmanagement, Verschlüsselungsmechanismen für die Sprachübertragung via IP sowie eine höhere
Skalierbarkeit. Die Suite ist ab sofort
lieferbar. Neu im Portfolio sind auch
die Komponenten Speech Access und
Universal Access-Phone.
Speech Access
Speech Access ist eine Voice-Schnittstelle, die Sprachkommandos zum
Beispiel für Zugriffe auf Verzeichnisse umwandelt, Telefonate initiiert oder
Weiterleitungen organisiert. Zusätzlich kann der externe Mitarbeiter über
den Sprachmodus eine zentrale Num-
mer im Unternehmen anwählen und
ab hier das firmeninterne IP-Netz nutzen. Universal Access-Phone-Status
richtet sich vor allem an sehbehinderte
Menschen, um diese besser in die
Kommunikation via IP-Telefonie zu
integrieren. Die Software konvertiert
Text- in Sprachmeldungen, sagt die
Rufnummer des Anrufers an oder berichtet über den Betriebszustand des
Telefons. Sie weist auch darauf hin,
daß eine Nachricht auf die Voice-Box
gesprochen wurde. Deutschsprachige Versionen werden im Jahr 2004
verfügbar sein.
MultiVantage
Da sich die Anforderungen an die
Unternehmenskommunikation weiterhin rapide ändern, bietet Avaya mit
ihren MultiVantage Communications
07
Ausgabe 07/2003
7
Der Einsatz der entsprechenden Komponenten erlaubt es Unternehmen,
ihre individuellen Ziele in einer kostengünstigeren IP-Umgebung zu erreichen. Durch eine verbesserte
Skalierbarkeit der Software können
mehr Endpunkte an verteilten Standorten von einem zentralen Kommunikationssystem aus verwaltet werden,
was das Management vereinfacht und
zur Kostensenkung beiträgt. Die modulare Architektur ermöglicht die
schrittweise Einführung von IPVoice-Messaging je nach den geschäftlichen Anforderungen. Die Software bietet über 700 Funktionen, darunter Neuerungen wie die ausgefeilten Netzwerk-Management-Tools
und sichere IP-Sprachverschlüsselung, Speech Access oder das Universal Access-Phone for Avaya Communication Manager.
n
NEWS
ALLIED TELESYN
ENTERASYS NETWORKS
Enhanced Stacking
Sichere Router
Modularer Layer2 Switch AT-8400
XSR 4100 und drei 3000er
Das jüngste Mitglied der erfolgreichen Enhanced Stacking
Switch Familie von Allied Telesyn, der modulare Layer2
Switch AT-8400, ist ab sofort verfügbar. Der AT-8400
verfügt über ein 12-Karten-Chassis mit einem HotSwap
Lüfter und redundanter Power Supply (RPS) Option.
Enterasys hat ihre XSR-Familie um vier neue Router erweitert. Die Geräte sind auf eine sichere Datenkommunikation zwischen Zentrale und Zweigstellen ausgerichtet.
Gleichzeitig kündigte Enterasys zwei Module für die XSRReihe an, ein ADSL- und ein T3/E3-NIM.
D
NEWS
Der neue AT-8400 wird mit flexiblen Hardware-Parametern ausgeliefert und garantiert ein äußerst flexibles Software-Management. Der Switch zeichnet sich durch
TACACS+, RADIUS Unterstützung, 802.1x und 802.1p
Authentifizierungs-Protokoll mit vier Prioritäten Queues
- unerläßlich für integriertes Management via Stimme,
Video und Daten - aus. Er bietet 802.1w Rapid Spanning
Tree sowie 802.1s Multi Spanning Tree. Diverse Erweiterungsmöglichkeiten und das Enhanced Stacking, bei dem
über 3.000 Ports mit Kupfer gestackt werden können,
erlauben, aktuellste Technologien sowie die Unterstützung der am häufigsten eingesetzten Management-Software-Applikationen zu nutzen.
M
Mit vier neuen XSR Router-Modellen bietet Enterasys
Networks erhöhte Sicherheit in der Unternehmenskommunikation. Neben dem managbaren XSR 4100 kommen drei neue Geräte der 3000er Reihe auf den Markt, der
XSR 3020, der 3150 und der 3250. Damit baut Enterasys
Networks ihr Protfolio der im März eingeführten SecurityRouter XSR 1805 und 1850 mit weiteren, leistungsstärkeren Modellen aus.
Die XSR-Familie ist für den Auf- und Ausbau der Unternehmenskommunikation zwischen Niederlassungen gedacht und sichert die WAN-Verbindung durch eine integrierte Stateful-Inspection-Firewall und VPN. Die neuen
XSR sind auf hohe VPN-Performance ausgelegt und übertragen bis zu 400.000 Pakete pro Sekunde. Dabei zeichnen sie sich durch ein zentrales Management aus, das der
XSR 4100 für die 3000er Modelle in den Zweigstellen
übernimmt. Denn nicht in jedem Filialstandort eines Unternehmen sind eigene Sicherheitsspezialisten nötig.
Der AT-8400 ist für alle Bereiche geeignet, wo Flexibilität
und eine modulare Struktur verlangt wird, und wo obendrein Glasfaser und Kupfer, Ethernet, Fast Ethernet und
Gigabit Ethernet unterstützt werden müssen. Der Switch
ist optimiert für den Einsatz in mittelgroßen Netzwerkumgebungen, in mittelständischen Unternehmen, Universitäten, Hotels und Mehrzweckgebäuden. Durch die Möglichkeit, Hardware-Konfigurationen auszuwählen, ist die
Erweiterung der Netzwerkinfrastruktur jederzeit realisierbar, sobald die Notwendigkeit besteht und Ressourcen frei
sind. Dank des leichten Managements des Switches können Wartungskosten niedrig gehalten werden.
Mit Wirespeed Switching an allen Ethernet Ports und einer
30Gbps non-blocking Crossbar Switch Fabric entsteht ein
hochperformanter Durchsatz bei niedrigen Latenzzeiten.
Der Layer2 Switch unterstützt 255 VLANs und 8.000
MAC Adressen. Das Gerät bietet 48 10FL-Ports für SC oder
ST, 48 100FX-Ports für SC oder MT-RJ bzw. 96 10/100TXPorts für RJ45. Hinzu kommen 12 aktive und 12 redundante Ports mit 1000X (GBIC) und 10/100/1000T (RJ4512).
Außerdem sind ein Management/Switch Fabric Modul
und diverse Line Cards verfügbar.
Zentral administriert
Die XSR 3000er und 4000er kombinieren High Performance und Flexibilität bei der Konfiguration für die jeweils örtlichen Gegebenheiten mit einer zentralen Verwaltung von der Hauptniederlassung aus. Enterasys
NetSight Atlas erlaubt ein effektives Remote Management und optimiert die unternehmensweite Sicherheit.
Die XSR Modelle bieten IP-Routing, WAN-Interfaces,
Quality of Service und Policy Routing Features für optimale Performance priorisierter Applikationen. Die
managbare Stateful Inspection Firewall schütz vor
unauthorisierten Zugriffen und Netzwerkattacken. Alle
Security Optionen sind über remote Upgrads aktualisierbar Enterasys kündigte gleichzeitig für die XSR-Reihe
zwei neue Network Interface Module (NIM) für das Wide
Area Netzwerk an, ein ADSL- und ein T3/E3-NIM.
07
Ausgabe 07/2003
8
CISCO
Management für Wireless LAN
Structured Wireless-Aware Network für integrierte Netze
Cisco Systems stellt eine Lösung zur sicheren Integration von drahtlosen und drahtgebundenen Netzwerken vor. Das
Structured Wireless-Aware Network vereint die LAN-Infrastruktur aus Cisco Switches und Routern mit einem WLANCisco-Netzwerk.
M
Mit einem neuen Ansatz bietet Cisco ein einheitliches
Management und zuverlässige Sicherheitsfunktionen
vom LAN zum WLAN. Einfache Installation und Änderungen in der Konfiguration, eine zentrale Kontrolle
und die Konfiguration Tausender von Netzwerkgeräten
vereinfachen die Verwaltung erheblich, die Entdekkung fehlerhafter Access Points, ein
schnelles und sicheres Roaming sowie automatische Fehlerkorrektur für
mobile Anwendungen sorgen für die
Betriebssicherheit im WLAN.
Die entsprechenden Funktionen werden integriert in Access Points der
Cisco Aironet 1100er und 1200er
Serien, die Switches der Cisco Catalyst
3750er, 4500er und 6500er Serien
sowie in die Router der Cisco Serien
2600XM und 3700.
Als Upgrade
Weitere Komponenten sind Cisco
Works WLSE (Wireless LAN Solution Engine) für das Management und
Monitoring, Cisco Secure Access Control Server für die zentrale Authentifizierung sowie Cisco-eigene und
Cisco-kompatible Client-Adapter für
die Radiofrequenz-Überwachung
und -Messung. Die Funktionen des
Cisco Structured Wireless-Aware
Network sind als Upgrade der Cisco
IOS-Software für Access Points der
Aironet 1100er und 1200er Serien
sowie von CiscoWorks WLSE 2.0,
einer zentralen Management-Plattform für Access Points, erhältlich.
Wireless Metro
Bridge
Neben der Unterstützung von WiFi
Protected Access (WPA) für zertifizierte und interoperative Sicherheit
sorgt eine lokale Authentifizierung
nach Standard IEEE 802.1x für den
Schutz der Remote-Zugänge. Ein
schnelles, sicheres Roaming entsteht
innerhalb und zwischen Subnetzen
für latenzsensitive Applikationen wie
drahtloses Voice-over-IP.
Im Kommen
Mit dem nächsten Release Cisco
Works WLSE 2.5 und einem Upgrade
der Cisco IOS Software für Access
Points der Aironet 1100er und 1200er
Serien werden auch zusätzliche
Sicherheits- und RF-ManagementFunktionen unterstützt. Dazu gehören Verbesserungen in der Sicherheit
durch aktives Entdecken, ein Blokkieren und die grafische Darstellung
fehlerhafter Access Points sowie
Alarmmeldungen bei Abweichungen
von den firmeninternen Sicherheitsregeln. Ebenso sollen ein dynamisches RF-Management und automatische Änderungen der WLAN-Infrastrukturen hinzukommen.
07
Ausgabe 07/2003
9
Gleichzeitig stellte Cisco einen neue Wireless Bridge der
Aironet 1400er Serie für Metro-Netzwerke vor. Die Outdoor-Lösung bietet kosteneffektive drahtlose Verbindungen zwischen mehreren
Gebäuden innerhalb eines
Metro-Netzwerks. Basierend
auf der Cisco IOS-Software schafft die
Aironet 1400er Serie eine Datengeschwindigkeit von 54 Mbit/s über
eine Reichweite von 12 Kilometern
bei Punkt-zu-Punkt-Verbindungen
und von 3 Kilometern bei Punkt-zuMultipunkt-Verbindungen. Durch
höhere Verstärkerantennen oder geringere Datenraten kann die Reichweite bei Punkt-zu-Punkt-Verbindungen auf über 30 Kilometer erhöht
werden.
Verfügbarkeit
Die Wireless Bridge ist mit Zubehör
seit Juni 2003 verfügbar, ebenso die
kostenlose Cisco IOS Software 12.2
(11) JA für Access Points der Cisco
Aironet 1100er und 1200er Serien.
Die CiscoWorks Wireless LAN Solution Engine 2.0 soll ab Juli 2003 zu
haben sein. Die Cisco IOS Software
12.2 (13) JA für die Aironet 1100er
und 1200er Access Points wird im
vierten Quartal 2003 erwartet. Dann
sollen auch die CiscoWorks Wireless
LAN Solution Engine 2.5 sowie das
Client-Adapter und Mobile Device
Upgrade kommen, beide als kostenloses Software-Upgrade.
n
NEWS
CISCO
Security Services
Sicherheitserweiterungen für jede Unternehmensgröße
Cisco Systems erweitert ihr Sicherheitsportfolio um 14 neue Lösungen für Security-Management, VPN sowie
Angriffserkennung und -abwehr. Einfaches Management, mehr Performance und höhere Skalierbarkeit verbessern
und schützen Geschäftsprozesse in kleinen und mittleren Unternehmensnetzen und bei Konzernlösungen.
Z
Zahlreiche Erweiterungen des
Sicherheitsportfolios unterstreichen
Cisco´s Strategie, mit der Integration
geeigneter Dienste im gesamten IPNetzwerk die Sicherheit für Unternehmen jeder Größe transparent, einfach und verwaltbar zu machen. Cisco
IOS AutoSecure ermöglicht als neue
IOS-basierende Funktion einen einfachen und schnellen RouterLockdown. Mit einem einzigen Kommando wird der Grundschutz von
Routern schnell und einfach hergestellt, indem nicht benötigte Dienste
deaktiviert und ein sicherer RemoteZugang und Forwarding-Funktionen
aktiviert werden. Der Security Device
Manager (SDM) in der Version 1.0 ist
für alle Access-Router von der Cisco
830er bis zur 3700er Serie verfügbar
und bietet besonders kleinen und
mittelständischen Unternehmen über
einen Browser ein grafisches Tool für
die Sicherheitskonfiguration eines
Routers. SDM unterstützt LAN-/
WAN-, Firewall- und VPN-Konfigurationen, die auf der Cisco IOS-Software basieren. Seine SicherheitsAuditfunktionen, mit der eine RouterKonfiguration geprüft werden kann,
liefert Empfehlungen zur Verbesserungen des Schutzniveaus.
NEWS
CiscoWorks
Die neue Version 2.2 der CiscoWorks
VPN/Security Management Solution
(VMS) unterstützt den neuen Cisco
Security Agent und die Cisco Catalyst
6500 Firewall- und VPN-ServiceModule. VMS bietet Monitoring von
Cisco IDS-Lösungen mit der SoftwareVersion 4.0.
Basierend auf der mehrfach ausgezeichneten Technologie von netForensics liefert CiscoWorks SIMS 3.1
Monitoring und Korrelation von Events in Sicherheitsumgebungen mit
Geräten unterschiedlicher Hersteller.
Die Lösung zeichnet sich durch Reporting-Möglichkeiten wie Häufigkeit von Vorfällen, Auswirkungen auf
die Geschäftstätigkeit des Unternehmens und Bedrohungsanalysen aus.
VPN Security
Das Cisco IP Solution Center (ISC) in
der Version 3.0 bietet skalierbares und
robustes Management für große
Firewall- und VPN-Installationen.
Kunden können damit Sicherheitstechnologien wie VPN, Firewall, NAT
und QoS exakt und effizient verwalten. ISC 3.0 verhindert das Auftreten
von nicht konsistenten Sicherheitsregeln und bietet darüber hinaus Module für Layer-2-VPNs und VPNs mit
Multiprotocol Label Switching
(MPLS). Gleichzeitig bietet die aktualisierte Version des Cisco VPNClients verbesserten Schutz vor Hakkern und Viren. Gerade für mobile
Benutzer oder Heimarbeitsplätze bietet der VPN-Client eine sichere Datenübertragung zum Unternehmensnetzwerk über Remote-Access-VPN.
Der VPN-Client unterstützt erweiterte Multimedia-Anwendungen innerhalb von Remote-Access-VPNs und
grafische Oberfläche.
IOS-VPN
Mit der neuen IPSec-to-MPLS-Integration können Service Provider meh-
rere IPSec-VPN-Verbindungen von
Kunden (CE Router) auf einer einzigen MPLS-Schnittstelle auf der Service-Provider-Seite (PE Router) terminieren. Eine neue DMVPN-Funktion (Dynamic Multipoint VPN) zeichnet sich durch Lastverteilungs-Funktionen aus, die die Verfügbarkeit des
VPNs maximieren. Im Fehlerfall werden Netzwerkverbindungen automatisch re-routet. Load-Balancing steigert den Durchsatz durch die transparente Terminierung der VPN-Verbindungen auf mehreren VPN-Geräten
im Headend.
Beschleuniger
Mit neuen Hardware-basierenden
VPN-Beschleunigungsmodulen für
die Router erhöht Cisco die Skalierbarkeit und Leistungsfähigkeit ihrer
VPN-Lösungen. Durch die Unterstützung von Advanced Encryption Standard (AES) mit Schlüssellängen von
128, 192 und 256 Bit bieten sie Schutz
für geschäftskritische Anwendungen
in jedem Teil des Netzwerkes. Die
Router der Cisco 7600er Serie sowie
Switches der Cisco Catalyst 6500er
Serie erreichen mit den neuen Modulen einen Durchsatz von bis zu 14
Gbit/s bei der VPN-Aggregation in
der Unternehmenszentrale und 20
Gbit/s für Firewall-Dienste. Die neuen Module sind für viele Cisco-Plattformen erhältlich.
Dazu gehören der Cisco 2600XM für
Zweigstellen, Cisco Router der 7200er
Serie für die Unternehmenszentrale
und die Cisco VPN 3000 Konzentratoren für VPN-Aggregation im
Remote Access.
07
Ausgabe 07/2003
10
Intrusion Detection
Der Cisco Security Agent bietet DayZero-Protection vor Netzwerkangriffen für PCs, Laptops und Server.
Im Gegensatz zu Anti-Virus-Lösungen erkennt er Angriffe nicht über
Pattern, die erst nach dem Bekanntwerden von Bedrohungen erstellt
werden können. Der Agent analysiert
sämtliche Anwendungen und
Betriebssystemprozesse und sucht
nach Anomalien. So ist das Endgerät
immer optimal geschützt.
Das Access Router IDS Modul für die
2600er und 3700er Serien ist eine
integrierte Linecard und liefert hardwarebasierende Intrusion Protection
mit bis zu 45 Mbit/s. Eine Besonderheit ist das Zusammenspiel des Moduls mit IPSec-VPN- und GRE-Verkehr (Generic Routing Encapsulation), der erstmals in einem Router
VPN-Tunnel-Terminierung und Traffic Inspection am Eintrittspunkt in
das Firmennetzwerk bietet.
Mit dem Cache-Engine-Modul mit
integrierter Content-Inspection-Software müssen keine weiteren Geräte
mehr eingesetzt werden, was die
Investitionskosten senkt und die Sicherheit erhöht. Dieses Modul komplettiert das für eine Ein-Geräte-Lösung verfügbare Cisco-Portfolio an
integrierten Netzwerk- und Sicherheitsdiensten.
IDS 4215 Sensor
Die Cisco IDS 4215 Sensor-Appliance
bietet kosteneffektive Intrusion
Protection mit 80 Mbit/s für Zweigstellen und Telearbeiter. Das System
unterstützt mehrere Schnittstellen für
den gleichzeitigen Schutz von bis zu
fünf verschiedenen Subnetzen. Die
Sensor-Appliance und das Cisco
Router-IDS-Netzwerk-Modul unterstützen die neue IDS-Software Version 4.1. Sie schützt durch entsprechende Signaturen vor Angriffen aus Peerto-Peer-Netzwerken. Unternehmen
können Verstöße gegen ihre Sicherheitsrichtlinien wie die Benutzung
von File-Sharing-Anwendungen sicher erkennen. Das intuitive und browserbasierende IDS-Management und
die erweiterten Event-Handling-
Funktionen erleichtern die Einführung von IDS im Unternehmen. Kombiniert mit der neuen Cisco ThreatResponse-Technologie (CRT) lassen
sich False-Positives um bis zu 95 Prozent reduzieren, was deutlich zur Ver-
ringerung der Betriebskosten und
Erhöhung der Sicherheit im Netzwerk
beiträgt. Alle Cisco IDS-Geräte sind
kompatibel und lassen sich einfach
und zentral über CiscoWorks VMS
2.2 verwalten.
CISCO
Hoch stapeln
Catalyst 3750 Serie mit Cisco StackWise
Technologie
Ausfallsicherheit, einfache Handhabung und Gigabit Ethernet Performance
sind die Merkmale der neuen Catalyst 3750 Serie von Cisco Systems. Mittelständische Unternehmen und Konzernfilialen können damit die Leistung ihrer
lokalen Netzwerke wesentlich verbessern.
D
Die Catalyst 3750 Serie basiert auf der
neuen Cisco StackWise Technologie.
Sie bietet eine 32 GB/s schnelle
Schnittstelle, über die bis zu neun
einzelne Switches miteinander verbunden werden können. Damit verhalten sie sich wie eine einzige, logische Einheit. Kunden setzen dadurch
Sprach-, Video- und Datenapplikationen mit größerer Zuverlässigkeit
ein. Diese Innovation bei den stapelbaren Switches verbessert die Ausfallsicherung einzelner Hard- und
Softwarekomponenten, einfachere
Verwaltung durch automatisierte
Konfiguration und erhöhte Performance durch Verbindungen mit Gigabit-Ethernet-Geschwindigkeit.
Hohe
Flexibilität
Fällt eine Leitung
oder ein ganzer
Switch innerhalb des
Stapels aus, laufen die
Daten über alternative Leitungen. Diese
Selbstheilungskräfte
werden mit Hilfe eines Doppelrings von
zwei Leitungsbahnen
wirksam. Zusätzlich
wird im laufenden Be-
07
Ausgabe 07/2003
11
trieb durch Cross-Stack Forwarding
die Arbeitsbelastung der einzelnen
Switches innerhalb des Stapels gleichmäßig verteilt, so daß Engpässe in der
Performance vermieden werden. Die
Catalyst 3750 Plattform ist IPv6-fähig und unterstützt dieses Protokoll
über ein Software-Update. Die
Switches der Cisco Catalyst 3750 Serie sind seit Juni in Deutschland verfügbar, im einzelnen der Catalyst
3750G-24TS mit 24 10/100/1000
Ports und vier Small Form-factor
Pluggable Uplinks bzw. mit zwei 2
SFP-Uplinks beim Catalyst 375024TS mit seinen 24 10/100 Ports. Der
3750G-24T kommt mit 24 10/100/
1000 Ports, während das Modell 375048TS gleich 48 10/100 Ports und 4
SFP-Uplinks mitbringt.
n
NEWS
CITRIX
NETWORK ASSOCIATES
Für Windows und Unix
Fehlermanagement
MetaFrame Presentation Server 1.2
Citrix Systems bringt den MetaFrame Presentation Server 1.2 für Unix auf den
Markt. Die neue Version erweitert die Leistungsfähigkeit, Benutzerfreundlichkeit und Sicherheit der Access-Infrastructure-Lösungen von Citrix auch für
Unix-Umgebungen in den gängigen Derivaten von Sun, IBM und HP.
M
MetaFrame Presentation Server 1.2
ermöglicht den sicheren Zugriff auf
Unix- und Java-Anwendungen von
jedem Endgerät aus und über jede
Netzwerkverbindung. Anwendern
bietet die neue Version
verbesserte Sicherheitsfunktionen, optimierte
Bandbreitennutzung
und größere Farbtiefe
für grafikintensive Anwendungen. Citrix unterstützt die neuesten
Unix-Plattformen von
Sun Microsystems,
Hewlett-Packard und
IBM: Sun Solaris Sparc
9, HP-UX 11i sowie
IBM AIX 5.1 und 5.2. Unternehmen, die komplexe
Applikationsinfrastrukturen in heterogenen Umgebungen verwalten,
können den MetaFrame Presentation
Server für Unix mit dem für Windows
kombinieren. So lassen sich über ein
einziges Endgerät auch Windows- und
Web-basierte Anwendungen nutzen,
zum Beispiel Software von Oracle,
Siebel, JD Edwards, SAP oder
Peoplesoft.
NEWS
Optimiert
Die neue Unix-Version ist u.a. auch
für die Fertigungsindustrie optimiert,
wo ressourcenintensive CAD/CAMApplikationen für den mobilen Einsatz zur Verfügung kommen. Selbst
bei geringen Bandbreiten können
Mitarbeiter sicher und effizient arbeiten. Konstruktionsanwendungen lassen sich für verschiedene Netzwerkumgebungen bereitstellen. Speziell
für grafikintensive Unix-Anwendungen unterstützt der MetaFrame
Presentation Server 1.2 für Unix jetzt
auch den High-Color- und True-Col o r - M o d u s bei hochauflösenden
Darstellungen. Er bietet
zudem zusätzliche
Funktionen für mehr Sicherheit. So verschlüsselt die Secure Gateway
Komponente der neuen
Version die Datenströme zwischen UnixServern und Clients mit
dem Industriestandard Secure Socket Layer (SSL). Zudem unterstützt
MetaFrame Presentation Server 1.2 für Unix die zweistufige Authentifizierungslösung RSA
SecurID.
Die neue Lizenzpool-Funktion vereinfacht die Verteilung von Lizenzen
über mehrere Server. Mit dem interaktiven Performance-Tuning können
Administratoren Anwendungsleistung und Bandbreitenbedarf noch
genauer abstimmen, so daß die Endanwender effizienter arbeiten können.
Zur Einführung bietet Citrix ein neues Trainingsangebot: einen Vorbereitungskurs für die Prüfung zum Citrix
Certified Administrator (CCA) für
Citrix MetaFrame Presentation Server für Unix. Der Kurs vermittelt UnixAdministratoren das notwendigen
Wissen, um eine MetaFrame-Umgebung zu verwalten.
Sniffer Distributed 4.3
Verbesserte NAI Sniffer Distributed
Lösungen ermöglichen erstklassiges
Fehler- und Netzwerk-PerformanceManagement vom Core des Netzwerks
bis zum Remote Office. Sniffer
Distributed 4.3 bietet erweiterte
Fähigkeiten hinsichtlich Reporting,
Analyse und Modularität durch
RMON+ und ExpertAnalysis
Packaging Sniffer.
Sniffer Distributed 4.3 ist eine
hochleistungsfähige Fehler- und Netzwerk-Performance-Management-Lösung, die im gesamten Netzwerk eingesetzt werden kann. Ihre Funktionalität zur Überwachung und Analyse
von Netzwerk-Traffic bietet hervorragende Übersichtlichkeit und erleichtert es, Netzwerkprobleme zu verstehen, die sich auf ganze Geschäftsprozesse auswirken können. Durch
die proaktive Fehlerbehebung und
Überwachung aller Ebenen eines Netzwerks wird in Echtzeit eine effiziente
Bereitstellung von kritischen Informationen innerhalb des gesamten
Unternehmens gewährleistet.
Monitoring
Das Produkt bildet eine wesentliche
Komponente der Sniffer Network
Protection-Plattform. Eine SchlüsselLizenzierung von neuer Software bietet kosteneffektive, flexible Netzwerkinstrumentation, die es ermöglicht, Sniffer Distributed an die sich
verändernden Anforderungen der
Netzwerkmanager anzupassen. Neue
Kunden können eine kosteneffektive
Monitoring-Software für kleine Umgebungen oder Remote-Standorte erwerben, wo lediglich eine reine Über-
07
Ausgabe 07/2003
12
wachung erforderlich ist. Enthalten
ist auch umfassende Software einschließlich Expert Analysis für den
Netzwerk-Core und wichtige
Netzwerksegmente.
Zwei Varianten
Die Sniffer Distributed Software ist in
zwei Ausgangskonfigurationen erhältlich: Sniffer Distributed Expert,
das Fehlermanagement und NetzwerkPerformance-Management bereitstellt, und Sniffer Distributed RMON+,
das zuverlässige Monitoring-Fähigkeiten bietet, die sich für Einsatzorte
wie Zweigniederlassungen oder
Remote-Standorte eignet, wo Expertenanalyse nicht erforderlich ist. Damit hat der Kunde die Flexibilität
auszuwählen, welche Konfiguration
den gegebenen Anforderungen an das
Netzwerk-Management entspricht.
Sniffer Distributed unterstützt Softwareoptionen wie Sniffer Voice,
Sniffer Mobile und ein Expert Analysis Upgrade für Sniffer Distributed
RMON+, womit Benutzer auf einfache Weise eine Wert- und Funktionalitätssteigerung ihrer Netzwerkinstrumentation erzielen können,
wenn sich geschäftliche Anforderungen verändern.
Dies erfolgt über ein einfaches Lizenz-Upgrade - eine Installation oder
ein Hardware Update ist nicht erforderlich.
nPO Manager
Verbessertes Management und
Reporting: Sniffer Distributed 4.3
weist zahlreiche Verbesserungen auf,
um eine einfachere Integration mit
der Lösung Network Performance
Orchestrator (nPO) zu gewährleisten.
Darüber hinaus wurden bei Sniffer
Distributed die Zugriffskontrolle, die
Reporting-Optionen und die Sicherheit verbessert, um bei einem unternehmensweiten Einsatz eine kosteneffektive Lösung zu ermöglichen. Die
Leistungsfähigkeit der Multi-TraceAnalyse im nPO Manager wurde verbessert. Damit lassen sich detaillierte
Anwendungs-Flows erfassen und analysieren. Durch die an verschiedenen
strategischen Punkten im Netzwerk
vorliegende Instrumentation können
Latenzquellen erkannt werden. Und
es läßt sich identifizieren, ob der
Client, das Netzwerk oder die Applikation fehlerhaft ist.
TOBIT
Auf zu Neuem
Support für 6.5 wird eingestellt
Tobit hat Ende Juni den telefonischen sowie den schriftlichen Support für die Produkte der Version 6.5 eingestellt.
Betroffen von dieser Änderung sind David, David Professional, David One, FaxWare und MailWare in der benannten
Version.
D
Die Version 6.5 wurde von Mitte 2000
bis Mitte 2001 vertrieben, mittlerweile ist mit den Produkten David SL,
David MX, David XL und FaxWare 7
allerdings schon seit längerem eine
zweite Nachfolgeversion erfolgreich
auf dem Markt. Da bereits zahlreiche
6.5 Kunden ein günstiges Update auf
diese Version vollzogen haben, ist
der telefonische oder schriftliche Support der Version 6.5 Tobit zufolge
nicht mehr notwendig und wurde zum
30.06.2003 eingestellt. Bis auf weiteres werden aber dennoch Service
Packs, Hotfixes und Knowledge-Base
Artikel zur Version 6.5 im Club Tobit
zur Verfügung gestellt. Kunden, die
noch heute ein Produkt der Version
6.5 einsetzen, empfiehlt Tobit Soft-
ware ein kostengünstiges Update auf
die aktuelle Version. Diese enthält
neben erweiterten Funktionen im
Bereich Messaging auch zahlreiche
neue Features. Auskünfte zum Update auf David XL gibt es im Club
Tobit unter h t t p : / / c l u b .
tobit.com.
Migration Services
Seit neuestem bietet Tobit Software
ihren Kunden und Partnern mit den
Server Migration Services for DvISE
ein leistungsfähiges Werkzeug, mit
dem DvISE-Daten bei einem Serverwechsel per Mausklick migriert werden können. Dabei werden neben allen im Tobit Archive System abgeleg-
07
Ausgabe 07/2003
13
ten Dateien auch wichtige Systemdaten übernommen. Die Server Migration Services for DvISE können für
Migrationen von Netware auf Win32,
von Netware auf Linux, von Win32
auf Linux sowie von Win32 auf
Win32 eingesetzt werden. Kunden,
die einen Serverwechsel in Betracht
ziehen, können sich von ihrem Fachhändler über Aufwand und Nutzen
beraten lassen. Die Server Migration
Services for DvISE können vom Fachhändler über das Tobit Partner
Network bezogen werden. Voraussetzung für den Einsatz ist DvISE ab der
Version 6.6. Zudem ist zu beachten,
daß für den neu einzurichtenden Server der Erwerb eines neuen DvISE
Vollproduktes erforderlich ist.
n
NEWS
ICP-VORTEX
Integrierte Hardware
GDT8500RZ - RAID on Motherboard
Für VARs und Systemintegratoren gibt es eine neue Möglichkeit, kostengünstig Hardware RAID in Server zu
integrieren. ICP liefert ab sofort mit GDT8500RZ einen Zero-Channel RAID bzw. RAID-on-Motherboard (ROMB)
Controller.
D
Der GDT8500RZ wird in den sogenannten 3.3Volt RAIDIOS (RAID I/O
Steering) PCI Steckplatz eingesteckt
und nutzt dabei die I/O Prozessoren
und weitere Chips/Konnektoren, die
bereits auf dem Motherboard onboard
integriert sind. GDT8500RZ unterstützt Adaptec und LSI Ultra160/Ultra320 Silicon und den SATA 150
Chip von Silicon Image.
RAIDIOS
Durch die Implementierung des RAID
I/O Steering (RAIDIOS) ergeben sich
Kostenvorteile für den RAID
Controller, weil die Komponenten
nicht doppelt vorhanden sind und
bezahlt werden müssen. RAIDIOS ist
ein von Intel entwickelter, offener
Standard, der sowohl von ODMs und
Mainboard Herstellern als auch von
unterschiedlichen RAID Controller
Herstellern genutzt wird. Weitere Informationen zum RAIDIOS Standard
und eine Liste mit Mother-boards die
RAIDIOS unterstützen, sind auf der
ICP Webseite unter http://www.icpvortex.com/german/support/
supp_d.htm verfügbar.
NEWS
Hochintegriert
GDT8500RZ ist eine vollwertige,
hoch integrierte Hardware RAID Lösung mit 64-Bit/66MHz, Intel 80303
I/O CPU mit XOR Engine sowie
64MB onboard Cache. Unterstützt
werden RAID 0, 1, 4, 5 und 10, Hot
Fix, Hot Plug und Auto Hot Plug mit
SAF-TE sowie die gängigen Betriebssysteme. Je nach Motherboard bietet
der ICP Controller Schnittstellen Support für bis zu zwei Ultra160 oder
Ultra320 SCSI oder bis zu vier Serial
ATA Kanäle. Über das onboard BIOS
werden die Schnittstellen automatisch
erkannt. Die maximale Datenübertragungsrate pro Kanal beträgt je nach
angeschlossenem Laufwerk bis zu 320
MB/sec. bei Ultra320 SCSI und bis zu
150 MB/sec. bei SATA. Bei RAID 0
kann eine Datenrate zum Betriebssystem von bis zu 300MB/sec. erzielt
werden.
Voluminös
Für das RAID Setup und Einrichten
der Disk Arrays nutzt GDT8500RZ
die bekannten Tools ICP RAID
Console und ICP RAID Navigator. Je
nach Server und Schnittstelle können
die Festplatten entweder direkt intern
angeschlossen bzw. über eine Zwei(SCSI) oder Vierkanal (SATA)
Backplane angesteuert werden.
GDT8500RZ ist abwärtskompa-tibel
zu bisherigen PC Architekturen, zu
früheren SCSI Geräten sowie zu 32Bit/33MHZ, 64-Bit/33MHz, 32-Bit/
66MHz und PCI-X Steckplätzen. Der
Controller ist kompakt im Low Profile Format aufgebaut und kann somit
ideal in High Density Blade Servern
eingesetzt werden. Im Lieferumfang
befinden sich neben Handbuch,
Installationsanweisung und CD-ROM
ein Slot-Bügel für Full Height PCISteckplätze.
Die Garantie beträgt drei Jahre. Durch
sein attraktives Preis-/Leistungsverhältnis ist GDT8500RZ der günstigste Controller für Einstiegs-Server mit ICP RAID Technologie und
für sämtliche Anwendungen, bei denen große Datenvolumen schnell
übertragen werden müssen.
...Linux Tag 2003
Ticker
RAID Controller Sondershow:Zu den Ausstellern beim Linux Tag 2003 in
Karlsruhe zählt auch ICP vortex. Der Hersteller wird seine neue Palette von Hardware RAID Controllern zeigen, vom GDT8500RZ, dem Entry-Level Zero-Channel
ROMB Controller (RAID-on-Motherboard) über High Performance RAID Lösungen in SCSI (GDT8xy4RZ) bis hin zu Serial ATA Technologien (GDT8546RZ) für
mehr Datensicherheit und Datenverfügbarkeit. Die Demonstration der RAIDController und -Verbände erfolgt an einem Mid-Range Server mit SCSI und SATA
Backplane unter SuSE Linux 8.2. Angesteuert von einem GDT8114RZ bilden zwei
gespiegelte SCSI Festplatten das Boot-Laufwerk (RAID 1). Weiterhin verwaltet der
vier-Kanal SATA Controller GDT8546RZ einen RAID 5 Verband mit einer parallel
IDE und drei Serial ATA Festplatten gemischt, wobei die Laufwerke unterschiedlich
angeschlossen werden. Der ICP SATA/PATA Adapter setzt parallele Signale in serielle um und macht so die IDE Festplatten SATA-kompatibel. Die restlichen SATA
Festplatten sind in Plug & Play SATA Wechselrahmen (ICY Dock) eingebaut und
können direkt angesprochen werden. An dieser Stelle könnten auch IDE-to-SATA
Wechselrahmen mit IDE Festplatten mit dem ICP SATA RAID Controller verbunden
werden. Der Linux Tag 2003 findet vom 10. bis 13. Juli 2003 im Messe- und
Kongresszentrum Karlsruhe statt.
07
Ausgabe 07/2003
14
COMPU-SHACKPRODUCTION
Neue WAVEliner
Dualband für 802.11a und g
Der WAVEline Cardbus Dualband Adapter entfaltet die ganze Breite der Wireless-Kommunikation. Denn er unterstützt
alle aktuellen Standards IEEE 802.11b, g Draft und a. Jetzt können Anwender High-Speed Verbindungen zum WLAN
aufbauen, mit 54 MBit im Normalbetrieb und mit bis zu 108 MBit im Turbo-Modus.
D
Der neue Dualband Adapter
bietet mit 152Bit WEP-Verschlüsselung einen hohen Sicherheitsstandard. Über ein
Firmware-Update wird zukünftig auch der Wi-Fi Protected
Access (WPA) möglich, für
eine sichere Verbindung im
WLAN. Durch das OFDM-Verfahren wird ein fast fünffach
gesteigerter Durchsatz bei hoher Reichweite erreicht, im
2.4GHz- wie auch im vergleichbar interferenzfreien
5GHz-Bereich. OFDM mini-
miert Übertragungsstörungen,
die durch Mehrwegausbreitungen bei herkömmlichen Modulationsverfahren auftreten
können. Selbst große Datenmengen, bei CAD oder Multimedia, lassen sich in kürzester
Zeit auf ein Notebook übertragen. Bei erheblicher Performance-Steigerung von 54MBit
im Normalbetrieb oder sogar
108 MBit im Turbo-Modus
bleibt der Investitionsschutz für
vorhandene WLAN-Komponenten dennoch bestehen.
COMPU-SHACK PRODUCTION
High-Gain
USB Adapter 802.11b
Der High-Gain USB Adapter 802.11b neue Maßstäbe für Reichweite und Übertragungsqualität. Er verbindet die exzellente Charakteristik einer Richtfunkantenne mit der
einfachen Plug-and-Play Installation eines USB-Adapters.
M
Mit einem Öffnungswinkel von 80°
ist das Antennenteil speziell für den
Einsatz im Indoor-Bereich vorgesehen. Die integrierte Planar-Antenne
verfügt über einen Antennengewinn
von 6 dBi, wodurch sich in Vorzugsrichtung eine theoretische Reichweitensteigerung von bis zu 100 %
ergibt. Bei 11MBit/s werden in offener Umgebung Distanzen bis 800 m
erzielt. Mehrere PCs oder Notebooks
lassen sich im Ad-hoc-Modus untereinander oder über einen Access Point
mit einem Firmennetz verbinden.
Hohe Reichweite
Durch das 1,8m lange USB-Kabel ist
die Empfangs-/Sendeeinheit recht
einfach am günstigsten Ort zu plazieren, möglichst außerhalb des Störfeldes am Desktop-PC und je nach
Bedarf an Wand oder Decke montiert.
07
Ausgabe 07/2003
15
Der Antennenkopf ist um 90° schwenkbar. Zur Optimierung der WLAN-Einstellungen dient ein umfangreiches
Softwarepaket, das das Verhältnis von
Signalstärke und Noise-Level in dBm
exakt ermittelt. Plug-and-Play macht
die Installation des USB 1.1 konformen Interface (12MBit/s) unter 98/
ME/2000 und XP einfach, Konfigurations- und Diagnose-Software gehören zum Lieferumfang.
n
NEWS
IBM
TOBIT
Kopftechnik
David Home
LTO Ultrium 2 Bandlaufwerk mit neuen Features
Software und Service
Herausragende Technologiemerkmale zeichnen das neue LTO Ultrium 2 Laufwerk von IBM aus. 200 GB native bzw. 400 GB komprimiert reflektieren die
derzeit höchste Kapazität auf Kassetten. Mit einer einzigartigen Datenrate
von 35 bzw. 70 MB/sec komprimiert stellt das LTO 2 Ultrium das schnellste
Bandlaufwerk im Markt dar, wobei die verschiedensten Interfaces erhältlich
sind.
Im Juni 2003 hat Tobit Software mit
der Auslieferung von David Home
begonnen. Das Infotainment Center
für Zuhause verbindet vollständiges
Messaging mit vollendeter Fernsehunterhaltung in einem Paket.
D
Das IBM LTO Ultrium 2 Laufwerk
gibt es in den SCSI Interface Versionen Low Voltage Differential (LVD)
und High Voltage Differential (HVD),
wobei allerdings die LVD-Schnittstelle von SCSI 80 MB/s auf 160 MB/
s erhöht wurde. Im Vergleich zum LTO
1 Laufwerk wurde der Pufferspeicher
von 32 MB auf 64 MB verdoppelt.
Dadurch kann sich das Laufwerk jetzt
dynamisch der zu verarbeitenden sequentiellen Datenrate anpassen, ohne
in den Start/Stap Modus zu gehen
(Speed Matching). Im Vergleich zu
LTO 1 benötigt das Laufwerk wesentlich weniger Strom mit der Möglichkeit, in einen Sleep Modus zu gehen,
wenn es einige Zeit nicht angesprochen wurde. SARS wurde vom
Reporting erweitert und auch der
Error Correction Code so verbessert,
daß noch wesentlich höhere Recovery- Möglichkeiten bestehen, wenn
ganze Bereiche auf dem Band nicht
lesbar sein sollten.
NEWS
Mit Köpfchen
Die “FLAT LAP Kopf Technik” verbessert das Schreib-/Lesesignal zwischen Kopf und Band, weil eine wesentlich höhere Induktion ermöglicht
wird. Vor und hinter der Kopfreihe
wird zusätzlich ein Unterdruck erzeugt, der Staubpartikel, die sich aus
verschiedenen Gründen ansammeln,
entsprechend absaugt. Diese Kopftechnologie kommt bei LTO 2 im vollen Umfang zur Anwendung. Dadurch
ist die Qualität wesentlich höher und
die Möglichkeit, die Daten wieder zu
lesen, bisher weitgehend unerreicht.
Ebenso wird dadurch sichergestellt,
daß selbst bei der Langzeitlagerung
von Bändern nahezu kein Impulsverlust auftritt. Das “Surface Control
Guiding System” ermöglicht eine exakte Führung der Schreib-/Leseelemente über Servobänder und die
Repositionierung der Elemente auf
den Servospuren in den Bändern wird
über eine Zeitsteuerung erreicht, die
aufgrund von Analogsignalen auf den
Servobändern erfolgt. Dadurch wird
die Oberfläche des Bandes für die
Feinführung genutzt und nicht der
Randbereich des Bandes, wo bei klassischen Aufzeichnungen Servospuren
aufgebracht sind. Damit lassen sich
Fehlerquellen vermeiden, die aufgrund der Bandspannung im Außenbereich auftreten können, und wesentlich höhere Spurdichten realisieren.
Investitionsschutz für LTO 1 Benutzer wird dadurch sichergestellt, daß
alle LTO 2 Kassetten sowohl lese- als
auch schreibseitig verarbeitet werden
können. Die LTO 2 Kassetten erreichen zwar keine höheren Kapazitäten
(das geht nur mit der neuen LTO 2
Kassette), wenn sie mit dem LTO 2
Laufwerk beschrieben werden, aber
die Schreibkapazität (und Lesegeschwindigkeit) wird von 15 MB/s
auf native 20 MB/s gesteigert. So erhält jeder LTO 1 Benutzer einen entsprechenden Performance-Gewinn,
wenn LTO 1 Kassetten auf LTO 2 Laufwerken verarbeitet werden. Die ganze Stärke spielt das Laufwerk bei den
neuen LTO 2 Kassetten aus. Hier wird
eine Datenrate beim Lesen und Schreiben von 35 MB/s native erreicht.
W
Wer zu Hause mit demselben Komfort und mit derselben Professionalität wie im Büro arbeiten möchte, hat
sein Home-Office mit David Home
perfekt eingerichtet. Wie David SL
und XL beherrscht David Home, das
neues Software-Paket, den souveränen Umgang mit E-Mail, Fax, Sprachund SMS-Nachrichten. Einzigartig
aber sind seine Leistungen im Bereich Entertainment, denn rund um
die Uhr zeichnet David Home alle
jene Fernsehsendungen auf, die den
Benutzer interessieren könnten. Über
ein individuell eingestelltes Benutzerprofil definiert der Anwender das
Aufnahmeverhalten von David Home. Von da an geht alles automatisch.
Stream Tags
Für das Anschauen der aufgezeichneten Sendungen ist der InfoCenter Media Player im Lieferumfang enthalten. Er zeichnet sich nicht nur durch
eine einfache Bedienung und blitzschnelle Bilddarstellung aus, sondern
ist auch in der Lage, lästige Werbung
automatisch zu überspringen. Via
Internet liefert ein Redaktionsteam
ein ständig aktualisiertes Fernsehprogramm, eine Aufnahmeplanung für
das individuelle Benutzerprofil des
Anwenders sowie spezielle Zusatzinformationen zu den aufgezeichneten Sendungen. Über diese Stream
Tags kann Werbung markiert und
beim Abspielen übersprungen werden. Wunschsendungen können selektiert werden, so daß der Anwender
seine eigene Programmauswahl zusammenstellen kann.
07
Ausgabe 07/2003
16
CHECK POINT
INNOVAPHONE
Erweitert
IP 202
VPN-1 SecureClient
Weltweit kleinste IP-basierte Telefonanlage
Check Point präsentiert eine erweiterte Version ihres VPN-1 SecureClients. Der VPN-Client mit zentral
verwalteter Personal Firewall wurde um neue Zugangsarten ergänzt,
den Hub- und den Visitor-Mode.
Speziell zur Anbindung von Heimarbeitsplätzen oder kleineren Büros hat die
innovaphone AG eine Einsteigervariante der bewährten innovaphone PBX
entwickelt. Sämtliche Vorteile der IP-basierten Telefonie können somit ohne
großen Aufwand auch kleineren Büros oder Filialen zugänglich gemacht
werden.
Z
Zwei neue Optionen des VPN-1 SecureClients ermöglichen die zentrale Überprüfung des Remote-Datenverkehrs, die direkte Kommunikation zwischen Clients und umfangreiche Möglichkeiten des Fernzugriffs
von jedem beliebigen Standort aus.
Modi vivendi
Der Hub-Mode bietet Netzwerkadministratoren die Möglichkeit, alle
Remote-Zugriffe über ein zentrales
Gateway zu leiten. Hierdurch kann der
Datenverkehr überprüft werden, bevor er an das Internet, an einen Remote-Standort oder einen anderen VPNClient weitergeleitet wird. Der VisitorMode ermöglicht Verbindungen von
jedem Standort aus, unabhängig von
der Netzwerkkonfiguration der Firewall, NAT-Einrichtungen oder dem
Proxy Server. Diese Lösung ist besonders interessant für Unternehmen, deren Mitarbeiter an Kundenstandorten
eingesetzt werden und von dort aus
mit dem Unternehmen kommunizieren. Mit zentralen Funktionen für das
Netzwerkmanage-ment und für die
Einrichtung persönlicher Firewalls
sorgt VPN-1 SecureClient dafür, daß
die Kommunikation zwischen Clients kein Risiko durch Netzwerkattacken verursacht und keine Hintertür
für den unbefugten Zugriff auf das
Unternehmensnetzwerk öffnet. Der
VPN-1 Secure-Client läßt sich mit
sehr geringem Aufwand für eine große Zahl mobiler Arbeitskräfte installieren. Die neue Version wird ab sofort ausgeliefert.
D
Die Telefonanlage auf
Basis der IP 202 besteht aus einem IPKomforttelefon,
einem VoIP-Gateway mit integriertem Gatekeeper sowie der TelefonanlagenSoftware innovaphone PBX, und
zwar alles in einem Gerät, das optisch
weitgehend dem bewährten Telefon
IP 200 entspricht. Es ist mit einem
großen Graphikdisplay und frei programmierbaren Funktionstasten ausgestattet sowie mit einer alphanumerischen Tastatur versehen, über die
Namen direkt angewählt werden können. Der Zugriff auf das innovaphone
PBX Telefonbuch sowie auf externe
Adreßdatenbanken erfolgt über das
LDAP-Protokoll.
All in one
Die in der IP 202 integrierte GatewayKomponente verbindet über eine
ISDN S0-Schnittstelle alle Teilnehmer
der Telefonanlage mit dem öffentlichen Netz. Die Software der
innovaphone PBX enthält Lizenzen
für 10 Teilnehmer und kann durch
Freischalten weiterer Lizenzen zu einer Anlage mit bis zu 20 Teilnehmern
aufgerüstet werden.
Über ihren 2-Port Ethernet Switch (10/
100 Mbps) ist die IP 202 in der Lage,
weitere Geräte im Netz zu unterstützen. So können mehrere IP-Telefone
- wie die IP 10 oder 200 - an der Telefonanlage genutzt werden. Über den
IP-Adapter IP 21 können auch analoge Endgeräte wie etwa das klassische
07
Ausgabe 07/2003
17
Faxgerät in die Anlage
mit einbezogen werden.
Besonders attraktiv
wird die Lösung durch
Funktionalitäten wie
Rückruf bei besetzt
oder Dreierkonferenz. Weitere Applikationen - z.B. ein Voice-Mail-Server
oder ein PC-basierender Ver mittlungsarbeitsplatz - können zusätzlich
erworben werden.
Interoperabel
Wie sämtliche Produkte aus dem Hause innovaphone basiert die IP 202
vollständig auf Standardprotokollen
und -schnittstellen, so daß die Interoperabilität zu anderen H.323-basierten VoIP-Komponenten und anderen
standardbasierten Produkten im Netz
gewährleistet ist. Auch die Anbindung von Software-Lösungen erfolgt
über Standardprotokolle und schnittstellen. So können über die
integrierte TAPI- oder XML-Schnittstelle verschiedene CTI-Applikationen in die Telefonanlage integriert
werden. Über die automatisch generierten CDR (Call Detail Records)
kann eine beliebige Gebührenlösung
mit den benötigten Daten versorgt
werden.
Durch ein ausgefeiltes Sicherheitskonzept, von der paßwortgeschützten
Konfiguration bis zur verschlüsselten
Authentifizierung nach H.235, ist die
IP 202 gegen unbefugten Zugriff optimal geschützt. Die IP 202 ist ab sofort als komplette Telefonanlage, inklusive VoIP Gateway und Lizenzen
für 10 Teilnehmer erhältlich.
n
NEWS
...Bit-Konto
Flexibel abgerechnet:Seit Juni können Tobit
Kunden im Club Tobit noch komfortabler ausgewählte
Service-Leistungen beziehen. Über ein eigenes Konto
können Dienste wie das automatische Update der Virensignaturen, der Versand von SMS-Nachrichten sowie der
TV-Index flexibel abgerechnet werden. Bislang war für
die Nutzung des Virenschutzes oder des SMS-Versandes
der Erwerb einer eigenen Lizenz erforderlich. Jetzt steht
jedem Kunden, der im Club Tobit registriert ist, ein eigenes Konto zur Verfügung, das in Bits geführt wird,
einer Tobit-eigenen virtuellen Währung. Möchte ein
Kunde bestimmte Dienste inAnspruch nehmen, z.B. eine
SMS versenden oder Virensignaturen updaten, wird die
Gebühr für die Dienste vom Bit-Konto abgezogen. Befindet sich nicht mehr genügend Guthaben darauf, muß
es aufgeladen werden, am einfachsten direkt online über
den eigenen Clubaccount. Die Abrechnung erfolgt über
den betreuenden Fachhändler des Kunden. Alternativ
kann das Bit-Konto auch über einen sogenannte Charge Key aufgeladen werden, ebenfalls beim Fachhändler
erhältlich.
...Magnetspeicher
M R A M - T e c h n o l o g i e : IBM und Infineon
Technologies haben die Entwicklung der MRAM-Technologie (Magnetic Random Access Memory) bekannt
gegeben, bei der magnetische Speicherelemente in einen leistungsfähigen Logikprozeß integriert wurden.
Die jüngst vorgestellte Technologie könnte zur beschleunigten Markteinführung von MRAMs beitragen.
Der innovativen Speichertechnologie wird das Potential eingeräumt, bereits ab 2005 einige der bisherigen
Speichertechnologien zu ersetzen. Mit MRAMs sind
Computer vorstellbar, die auf Knopfdruck sofort betriebsbereit sind und sich schnell wie eine Lampe anund ausschalten lassen.
NEWS
...Ping-Zeiten
Fastpath am DSL-Anschluß: AVMs FRITZ!Card
DSL SL erzielte Bestwerte bei den Ping-Zeiten und ist
daher auch für Online-Spiele an DSL-Anschlüssen mit
und ohne Fastpath hervorragend geeignet. Fastpath verbessert die Ping-Zeiten und wird vom DSL-Anbieter bereitgestellt. AVM überprüfte an T-DSL-Anschlüssen das
Ping-Verhalten von marktüblichen DSL-Modems für die
PC-Schnittstellen USB, Ethernet und PCI. Bei 768 kBit/
s und Fastpath ergaben sich Unterschiede von bis zu 70
Prozent zwischen den unterschiedlichen Testgeräten.
FRITZ!Card DSL SL erzielte hier mit nur 11
Millisekunden Bestzeiten für 32-Byte-Pings. Auch an
Anschlüssen ohne Fastpath sowie an Anschlüssen mit
1500 kBit/s setzt FRITZ!Card DSL SL den Maßstab.
Die bei AVM im Lieferumfang enthaltenen DiagnoseTools des ADSLWatch informieren über das DSLÜbertragungsverfahren. So wird angezeigt, ob Fastpath
zum Einsatz kommt oder nicht. Ob ADSL-Anbieter
Fastpath zur Verfügung stellen, hängt u.a. von der Entfernung des Anwenders zur Vermittlungsstelle ab. Da die
Fehlerwahrscheinlichkeit mit zunehmender Distanz
steigt, darf sie nicht zu groß sein. Wird ein Schwellenwert an Übertragungsfehlern erreicht, ist die zuverlässige Synchronisation der Gegenstellen nicht gewährleistet und Fastpath kann nicht genutzt werden. FRITZ!Card
DSL SL ermöglicht auch mit dem Fastpath-Verfahren
eine zuverlässige Synchronisation über verhältnismäßig große Entfernungen.
...Eis-Cafè im Netz
Cyber Café auf dem Dach der Welt:Als
Edmund Hillary und Tenzing Norgay vor 50 Jahren als
Erste den Mount Everest bezwangen, brauchte die Nachricht einige Zeit, um den Rest der Welt zu erreichen. Ab
dieser Klettersaison haben es die Gipfelstürmer leichter,
ihre Erfolgsmeldungen zu versenden, einfach per E-Mail
aus dem Base Camp Cyber Café auf 5.300 Metern Höhe.
Der Sherpa Tsering Gyaltsen kam auf die Idee, den
Mount Everest zu vernetzen. Aber der Berg stellt besondere Anforderungen an die Technologie. Neben den eisigen Temperaturen ist das die Tatsache, daß das Basislager auf einem sich bewegenden Gletscher eingerichtet ist. Die Satellitenantenne für die Datenübertragung
befindet sich daher 300 Höhenmeter oberhalb am Berg
und ist mit dem in einem Zelt untergebrachten Cyber
Café über Wireless-LAN verbunden. Das drahtlose Netz
besteht aus drei Cisco Aironet 350 Access Points, die
ein Mitarbeiter des weltweit führenden Herstellers gestiftet hat. Expeditionen zahlen für die dreimonatige
Saison 2.500US-Dollar pro Team für die Benutzung der
Laptops und des WLAN. Diese auf den ersten Blick hohen Kosten sind nur ein kleiner Posten im Vergleich zu
den 65.000 US-Dollar pro Person, die eine Teilnahme
an einer Everest-Expedition kostet. Der Großteil der
Einnahmen kommt dem Sagarmatha Pollution Control
Commitee zugute, das sich bemüht, den Abfall zu beseitigen, den die wachsende Zahl von Kletterern am Mount
Everest hinterläßt.
...Funkwerk
In besten Händen: Die Funkwerk AG in Kölleda
ist neuer Gesellschafter der BinTec Access Networks
GmbH. Das Thüringer Unternehmen hat die Geschäftsanteile des Nürnberger Herstellers von Netzzugangs-
Ticker
07
Ausgabe 07/2003
18
lösungen übernommen. Nach wie vor wird die BinTec
Access Networks GmbH von ihren Gründern und Geschäftsführern Stephan Feige und Thomas von Baross
als rechtlich selbständige Organisation mit Hauptsitz in
Nürnberg geführt. Durch die neue, strategisch sehr gut
positionierte Muttergesellschaft sind die Weichen für
den soliden Ausbau der Geschäftstätigkeit und ein weiteres Wachstum der jungen BinTec GmbH gestellt. Im
Vordergrund stehen dabei die Entwicklung einer neuen
Produktgeneration sowie der Zugang zu neuen Absatzkanälen und Kundengruppen. Die Funkwerk AG ist einer der marktführenden Anbieter von Kommunikationssystemen für Verkehr und Logistik. Mit der Investition
in BinTec bauen die Thüringer ihren Geschäftsbereich
“Private Netze” konsequent aus. Ziel beider Unternehmen ist es, vorhandene Produktsegmente zu kundenspezifischen Gesamtlösungen zusammenzuführen. Damit erhalten Kunden künftig ein umfassendes und abgerundetes Portfolio aus einer Hand. Funkwerk wie auch
BinTec adressieren jeweils den professionellen Anwender. Somit stehen bei beiden Unternehmen Lösungen
im Mittelpunkt, die gezielt auf Geschäftskunden abgestimmt sind. Hier spielt der Aspekt Sicherheit eine entscheidende Rolle. BinTecs Kernkompetenzen in den
Bereichen IP-Technologie und VPN Security komplettieren das Know-how der Funkwerk AG.
...Startschuß gefallen
Users International in Deutschland:Mit
einem Kick-off Event in Düsseldorf haben Novell und
Networkingpartner den Startschuß für den Verein Novell
Users International (NUI) in Deutschland gegeben. NUI
ist eine Interessengemeinschaft von Netzwerkanwendern
und Entwicklern, die sich mit Soft- und Hardware-Komponenten für den Aufbau von Unternehmensnetzen beschäftigen. Zu den wichtigsten Aufgaben und Zielen
des NUI-Germany e.V. gehört der Know-how-Transfer
zum Thema Netzwerktechnologien. Hierzu veranstaltet
NUI Workshops, Tagungen, Kongresse und Foren. Mit
NUI Deutschland geben Novell und Networkingpartner
allen Novell Professionals jetzt auch in Deutschland die
Möglichkeit, Ideen und Lösungen auszutauschen und
auf dem neuesten Stand der Technik zu bleiben. Die
NUI-Mitglieder treffen sich regelmäßig zu technischen
Seminaren und Händlervorstellungen. Über die Website
www.nuinet.de werden Trainingsmöglichkeiten aufgezeigt. Jedes NUI-Mitglied erhält dort technische Unterstützung. Über Web Casts informieren Novell Experten
und Partner über spezielle und aktuelle Themen. Lokale NUI User Groups gibt es weltweit bereits seit 1986.
NUI unterstützt die virtuelle Gemeinschaft auch im
Internet. Unter www.nuinet.com können über 70.000
Mitglieder ihre Ideen, ihr Wissen und ihre Lösungen
weltweit miteinander austauschen und sich gegenseitig
unterstützen.
...Projektmanager
Transparenz im Office:Microsoft ergänzt ihr
Angebot an Projektmanagement-Software um ein neues
Produkt, das im Herbst dieses Jahres auf den Markt kommen soll. Microsoft Office Project 2003 wird Bestandteil des Office Systems sein und in zwei unterschiedlichen Editionen herauskommen, als Standardversion für
den Einsatz auf dem Desktop und als Enterprise Project
Management-Lösung (EPM). Dazu gehören die Applikationen Project Professional, Project Web Access und
Project Server. In Kombination mit dem Office System
soll EPM Führungskräften einen besseren Überblick über
laufende Projekte gewähren. Gleichzeitig profitieren
Mitarbeiter von einer verbesserten Zusammenarbeit im
Team, beispielsweise bei der gemeinsamen Nutzung von
Dokumenten oder dem Austausch von projektbezogenen Informationen. Project 2003 ist jetzt in Microsoft
Office Outlook 2003 integriert, so daß sich Projektaufgaben neben den Terminen im Outlook-Kalender anzeigen lassen. Der Anwender kann Änderungen bei den
Kalendereinträgen vornehmen und den Status direkt von
Microsoft Outlook zurück an den Microsoft Project Server reporten. Der Project Server 2003 verfügt zudem über
erweiterte Anwendungsprogrammschnittstellen, mit denen Partner und Kunden maßgeschneiderte Lösungen
entwickeln und den Project Server in andere Anwendungen integrieren. Zudem ist er in der Lage, eine Synchronisierung mit dem Active Directory durchzuführen.
...Direkter Draht
Wireless On-Demand-Enterprise:Citrix und
Cisco werden ihre Partnerschaft intensivieren. Denn
wenn Unternehmen drahtlose IT-Lösungen realisieren,
werden häufig die Access-Infrastructure-Löungen von
Citrix Systems zusammen mit Wireless-Produkten von
Cisco Systems eingesetzt. Die beiden Hersteller bieten
die jeweiligen Kernkomponenten für den drahtlosen
Zugriff auf das On-Demand-Enterprise. Cisco´s Wi-Fikompatible Aironet Serie bildet die Hardware-Basis für
Wireless LANs, die mit der MetaFrame Access Suite arbeiten, damit Mitarbeiter geschäftskritische Anwendungen flexibel nutzen können. Da die Produkte von Citrix
und Cisco sich nahtlos integrieren lassen, schaffen sie
für den drahtlosen Zugriff auf Informationen und Anwendungen mit mobilen Endgeräten flexible und vor
allem auch sichere Lösungen. Noch zu Beginn des 2.
Halbjahres übrigens will Citrix mit dem MetaFrame
Password Manager ein neues Mitglied der MetaFrame
Access Suite vorstellen, das Single Sign-on Zugang zu
Anwendungen in MetaFrame XP Presentation Serverund MetaFrame Secure Access Manager-Umgebungen
ermöglicht.
07
Ausgabe 07/2003
19
UNENDLICHE WEITEN
Content Security
Viren-, Spam- und Inhaltsfilter
Von Hartmut Schlink
D
Das Internet birgt
unwägbare Gefahren. Web und
E-Mail schleusen
gefährliche Inhalte in das
Enterprise
Network und
unterlaufen die
herkömmliche
Firewall.
Chefsache, denn
nur eine ausgeklügelte Filtertechnik kann
Abhilfe schaffen,
um das Unternehmen gegen
unerwünschten
Content zu
schützen.
07
Ausgabe 07/2003
20
Das Internet, unendliche Weiten! So
oder ähnlich müßte wohl die bekannte Star Trek Serie umgeschrieben werden, wenn wir die beliebte Crew des
Raumschiffs Enterprise in die Tiefen
des weltweiten Netzwerks begleiten
wollten. Spannende Abenteuer gäbe
es zuhauf zu erzählen und von unwägbaren Gefahren, die unserer Unternehmung in den Tiefen dieses unergründlichen Kosmos drohen. Allzu
gewagt wäre der Vergleich nicht, denn
viele Expeditionen ins Internet begeben sich in ähnliche Gefahr, wenn im
Small oder Medium Sized Enterprise
die Reise ins World Wide Web beginnt. Manch einer wird sich sicher
wähnen, weil Scotty die Schleuse zum
Internet durch eine teure Firewall
schützt, bevor er unbekannte Materie
‘rüberbeamt.
Schutzschild
Doch es gibt Schlupflöcher, wenn die
Hard- oder Software so konfiguriert
ist, daß z.B. Port 80 freigegeben wird,
so daß unbekannter HTTP-Transfer
passieren kann, ohne auf seine gefährlichen Inhalte überprüft zu werden.
Das gleiche gilt für Attachments bei
E-Mails, die in den angehängten Dateien Viren einschleusen. Die sind
zwar von Pille, dem futuristischen
Medizinmann, mit Antivirus-Software in den Griff zu bekommen, deren
Inhalt aber kann dennoch zweifelhafte Daten einschmuggeln. Ohne zusätzliche Schutzmaßnahmen führen
sie erhebliche Risiken mit sich, gegen
die ein schlitzohriger Vulkanier wie
Mister Spock nur eines empfehlen
kann, einen gestaffelten Schutzschirm.
Deshalb wollen wir Ihnen jene relativ
neuen Sicherheitsansätze vorstellen,
die unter dem Begriff Content
Security zusammengefaßt sind.
Denn unabhängig von den Gefahren
der Webinhalte und elektronischen
Nachrichten lauert ein weiteres Sicherheitsrisiko im internen Enterprise
Computing, wenn etwa vertrauliche
Daten die Grenzen des LAN´s unge-
prüft verlassen oder inkriminierende
Inhalte hineingelangen. Wir wollen
Ihnen die Gefahren aufzeigen, die sich
trotz Firewall für unsere Internet-Unternehmungen ergeben können, und
Ihnen die ausgeklügelten Technologien der Content-Security vorstellen,
die solche Sicherheitsrisiken gar nicht
erst aufkommen lassen. Und weil die
ganze Geschichte Chefsache im wahrsten Sinne des Wortes ist, hat Captain
Kirk das entscheidende letzte Wort.
Sicherheitsfragen
Vielleicht werden sich aber auch einige Leser fragen, warum eine weitere
Sicherheitstechnik vonnöten ist, wenn
doch das Netzwerk durch eine Firewall
ausreichend geschützt ist, und wenn
die Kommunikation mit externen
Mitarbeitern und Kunden über ein
VPN erfolgen kann, in dem der Datenverkehr z.B. über IPSec mit 3DES
verschlüsselt wird. Warum denn EMails gesondert absichern, wo doch
auf jeder Workstation ein Anti-Virus
Programm installiert werden kann,
welches das Netzwerk gegen die
vielfältigsten Viren, Würmer und Trojaner schützt? Um diese berechtigte
Frage zu beantworten, werfen wir zunächst einen kurzen Blick auf die
Einsatzgebiete und Arbeitsweise herkömmlicher Firewalls. Anschließend
werden wir uns mit den Gefahren und
Bedrohungen für die eigenen Daten
beschäftigen, bevor wir am Schluß
die besondere Aufgabenstellung einer Content-Security näher betrachten werden. Das Ziel dieses Beitrags
ist es, dem IT-Management Fakten
und Gründe an die Hand zu geben,
warum diese Technologien in die Sicherheitspolitik eines Unternehmens
aufgenommen werden sollten.
Firewall
Durch den überwältigenden Erfolg
des Internets und allen damit verbundenen Möglichkeiten können Unternehmen es sich kaum mehr erlauben,
07
Ausgabe 07/2003
21
auf Zugriff und Präsenz im weltumspannenden Netz zu verzichten. Nachdem die reine Anbindung vielerorts
recht problemlos realisiert werden
konnte, wurden die Anwender aber
zusehends auch mit den Gefahren
konfrontiert, die diese Öffnung bedeutet. Viren erhielten weltweit unrühmlichen Bekanntheitsgrad. Hakker und Cracker tauchten auf und
versuchten, mit immer besser ausgestatteter Software und in immer kürzeren Abständen Unternehmen auszuspionieren und sich Zugang zu internen LANs zu verschaffen. Nicht allein
die Sicherheit von Netzwerken wurde
zum Problem. Neben finanziellen
Verlusten wurde durch das bloße Bekanntwerden eines erfolgreichen Einbruchs auch der damit verbundene
Image-Verlust zu einer Bedrohung.
Man mußte - oft schmerzlich - erkennen, daß es mit der einfachen Anbindung an das Internet über einen Standard-Router nicht getan war.
Sicherheitsaspekte durften nicht länger vernachlässigt werden. Die sorglos freie Kommunikation hatte ihre
Unschuld verloren. Doch schienen
anfangs die Bedrohungen eher von
außen zu kommen, so wird heutzutage nur allzu deutlich, daß ein vernachlässigtes Gefahrenpotential auch
innerhalb des Netzwerks besteht. Mit
zunehmender Sensibilisierung wurde alsbald erkannt, daß die offene
Internet-Kommunikation firmeninterne Risiken birgt, die nicht bloß bei
Anwendungsfehlern liegen, sondern
oft genug auf Mißbrauch oder sogar
auf bösen Willen zurückzuführen
sind. Doch dazu später.
Strikt und stracks
Ein erster Schritt, um den externen
Gefahren zu begegnen, bestand in der
Implementierung einer Firewall, deren vornehmliche Aufgabe es war,
nach einem individuellen Regelwerk
alle Datenpakete, die in das LAN
wollten, automatisch zu checken.
Denn die Anwender selbst sollten in
thema des monats
OrangeBox Web
Internet Access Management der 3. Generation
Bei der OrangeBox Web 2.0 kommt Content Security der dritten Generation mit
hochkomplexen Verfahren zur Bild- und Textanalyse zum Einsatz. Dafür arbeitet
Cobion mit modernster Infrastruktur. Im eigenen Global Data Center mit 1000
Servern durchsuchen vollautomatische Webcrawler rund um die Uhr das World
Wide Web. Monatlich werden 120 Millionen neue Seiten ausgewertet. Das
macht täglich ca. 100.000 neue oder aktualisierte Einträge im OrangeFilter, der
Cobion-Datenbank. Aktuell enthält sie über 15 Millionen indizierte Webseiten,
was 2,1 Milliarden ausgewerteter Webseiten entspricht. Die zukunftssichere
Cobion-Technologie ist durch die Analyse von Texten und Bildern sogar in der
Lage, mehrdeutige Begriffe wie Sex je nach Kontext der Kategorie Medizin oder
Pornographie zuzuordnen.
So will es das Gesetz
Das Internet ist für Unternehmen nahezu aller Branchen als Informationsquelle
unverzichtbar geworden. Doch viele Mitarbeiter gehen am Arbeitsplatz auch für
private Zwecke online. So erfolgen beispielsweise 70 Prozent aller Zugriffe auf
Pornoseiten zwischen 9 und 17 Uhr. Aktuelle Schätzungen gehen von
durchschnittlich 17 Tagen Arbeitsausfall pro Mitarbeiter aus. Die Verluste und
Gefahrenpotentiale sind vielfältig, sie betreffen Arbeitsproduktivität,
Netzwerksicherheit, Betriebskosten oder Image-Schäden. Dabei wird häufig
übersehen, daß die Geschäftsführung für die Nutzung der Internetzugänge, die
ihren Mitarbeitern zur Verfügung stehen, haftbar ist. Wenn strafbare Inhalte im
Unternehmen auftauchen, muß die Geschäftsleitung einschreiten. Und
gegenüber minderjährigen Mitarbeitern besteht eine besondere Fürsorgepflicht.
Orange heißt sicher
Diese Umstände verlangen nach einer Lösung, die die Leistungsfähigkeit
eines Unternehmens sichert, ohne die Mitarbeiterzufriedenheit zu gefährden.
Um Interessenkonflikte auszugleichen, empfiehlt sich eine UnternehmensPolicy, die den Online-Gebrauch für alle Mitarbeiter verbindlich regelt. OrangeBox
Web gewährleistet mit einem Internet Access Management der 3. Generation
dabei die verläßliche technische Umsetzung. Denn herkömmliche Lösungen
der 1. oder 2. Generation, wo URL-Listen manuell oder halbautomatisch durch
sogenannte Researcher gepflegt werden, können nur einen kleinen Teil des
gesamten Internets abdecken. Vorteile der OrangeBox Web liegen in der
Berücksichtigung deutscher Webseiten, die fremdsprachige Anbieter oftmals
außen vor lassen. Beachtenswert ist zudem das kulturspezifische Verständnis
bei der Kategorisierung von heiklen Themen wie Pornographie oder Rassismus.
Insofern bietet OrangeBox Web 2.0 eine exzellente Lösung hinsichtlich der
Quantität der analysierten Webseiten in der Filterliste wie auch der Qualität der
Analyseverfahren, was die Bewertung von Webinhalten und die tägliche
Aktualisierungen der Filterliste betrifft.
Wenn Sie sich von der Leistungsfähigkeit der Cobion Lösung selbst überzeugen
wollen, können Sie eine kostenlose, voll funktionsfähige Testversion bestellen:
beihttp://www.cobion.com/index.php?l_sprache=deutsch
ihrer gewohnten Arbeitsweise nicht
eingeschränkt werden. Um diese Anforderungen zu erfüllen, bieten
Firewalls unterschiedliche Techniken, einfache Paketfilter, Stateful
Packet Filter als zustandsorientierte
Filter und applikationsspezifische
Techniken wie die Proxy. Jede dieser
Techniken hat ihre besonderen Vorund Nachteile. Doch haben alle
Firewalls, ob als Hard- oder SoftwareLösung und unabhängig von der verwendeten Technik, eines gemeinsam:
sie lassen die einzelnen Pakete entweder stracks passieren oder sie weisen
sie entsprechend der definierten
Policies strikt zurück (s. Abb. 1). Das
aber heißt, sollte die Firewall z.B.
Mail-Verkehr (SMTP Port 25) oder
das Surfen im Internet (HTTP Port 80)
erst einmal erlauben, so ist die weitere
Kontrolle des entsprechenden Traffic
in Bezug auf den Inhalt der Daten je
nach Firewall-Typ eingeschränkt oder
gar nicht mehr möglich. Das hat Auswirkungen auf die Sicherheit, weil
auch Anwender das LAN durch den
Zugriff auf das Internet in vielfältiger
Weise gefährden können.
Spezialisten
Sie werden vielleicht einwenden, daß
es Systeme gibt, die sehr wohl den
Inhalt des Datenverkehrs überprüfen
können und z.B. den Zugriff auf bestimmte Webseiten unterbinden, oder
daß Firewalls die Verwendung von
Java Applets und Active-X Controls
verbieten können. Auch erlaubt
manch ein System, den Mail-Verkehr
auf gefährliche Inhalte hin zu analysieren, bestimmte Attachments von
vornherein auszuschließen oder durch
einen integrierten Anti-Virus Client
Anhänge auf Viren, Trojaner oder
Würmer hin zu untersuchen. Wir sollten hierbei aber nicht vergessen, daß
diese Funktionen der Inhaltskontrolle
der sogenannten Application-ProxyFirewall vorbehalten sind. Firewalls,
die Paketfilter oder Stateful Packet
Filtering verwenden, haben diese
07
Ausgabe 07/2003
22
hende Pakete auf Basis der definierten Securtiy-Policies zu bearbeiten,
den Teilzeitjob der Inhaltskontrolle
kann sie nur nebenAbb. 1: Arbeitsweise der herkömmlichen Firewall-Systeme:
bei durchführen. An
a) mit Paket-Filter
genau dieser Stelle
kommen deshalb inzwischen ContentSecurity Spezialisten zum Einsatz, als
Hard- oder Software,
die für die Inhaltskontrolle weit mehr
Möglichkeiten zur
Verfügung stellen,
als dies Firewall-Systeme je tun könnten.
Möglichkeiten nicht. Doch auch die
Application-Proxy-Firewall hat ihre
Hauptaufgabe darin, ein- und ausge-
Gute
Gründe
b) mit Stateful Packet Filter
c) applikationsspezifisch
Warum Unternehmen trotz Firewalls,
VPN oder IntrusionDetection-Systeme
eine weitere Security-Technolgie im
Netzwerk implementieren sollten,
selbst wenn hiermit
zusätzliche Kosten
verbunden sind,
liegt darin begründet, daß Content
Security das Augenmerk nach außen und
innen richtet. Schauen wir uns deshalb
einmal die nüchternen Fakten zu den Risiken des InternetZugriffs und des unkontrollierten EMail-Verkehrs an,
die neuerdings die
Sicherheitsdiskussion anregen, besonders unter den lange
Zeit unbeachteten internen Gesichtspunkten.
07
Ausgabe 07/2003
23
Produktivität
Laut aktuellen Studien wird der
Internetzugang von über 60 Prozent
der Mitarbeiter täglich für private
Zwecke verwendet. Man geht inzwischen davon aus, daß 30 bis 40 Prozent der Online-Zeiten für arbeitsfremde Tätigkeiten genutzt werden.
Die meisten Zugriffe auf Seiten von
Online-Shopping Systemen finden
von Workstations eines Arbeitnehmers statt. Auktionen im Web binden
die Anwender bis zu drei Stunden.
Sehr beliebt sind, wie nicht anders zu
erwarten, Online-Spiele, die nicht nur
Arbeitszeit, sondern auch Bandbreite
verschlingen. Nachgewiesen wurde
längst auch, daß Zugriffe auf pornografische Seiten zu 70 Prozent zwischen 9 und 17 Uhr stattfinden. Kein
Arbeitgeber kann also mit Sicherheit
sagen, womit sich seine Mitarbeiter
an den Arbeitsplatzstationen beschäftigen. Und kaum bekannt ist, welche
Produktivitätsverluste durch den
Mißbrauch eines offenen InternetZugangs im Unternehmen de facto
entstehen. Durch das private Surfen
am Arbeitsplatz entsteht der deutschen
Wirtschaft jährlich ein geschätzter
finanzieller Schaden von ca. 50 Milliarden Euro. Sie können das für Ihr
eigenes Unternehmen selbst ausrechnen. Gehen wir davon aus, daß ein
Mitarbeiter das Unternehmen pro
Stunde 50 • kostet und 100 Mitarbeiter
täglich 30 Minuten privat surfen oder
arbeitsfremde E-Mails versenden, so
beläuft sich der jährliche Produktivitätsverlust auf ungefähr 550.000
Euro.
Gesetzliche Aspekte
Nicht nur, daß die oben genannten
Gepflogenheiten eine Firma finanziell schädigen, auch seitens der Gesetzgebung droht Ärger. Laut Gesetz
ist die Geschäftsleitung für die Nutzung des Internetzugangs verantwortlich, der Mitarbeitern für ihre tägliche
Arbeit zur Verfügung gestellt wird.
thema des monats
tuxGate mit Cobion
OrangeFilter
Content-Security für die Enterprise-Kommunikation
Der Cobion OrangeFilter wurde jetzt in die Kommunikationsplattform tuxGate
der Compu-Shack Production integriert. Er komplettiert die vielseitigen
Sicherheitsfunktionen der VPNline tuxGate 300 mit dem Content-Filtering von
Cobion.
Kommunikation
Mit der VPNline tuxGate hat die Compu-Shack Production jüngst eine ihrer
interessantesten Neuentwicklung im Bereich Embedded-Appliances auf den
Markt gebracht, eine vielseitige Kommunikationsplattform, die hohe VPNSicherheit beim Netzwerkzugriff, Internet-Zugang und WLAN-Access realisiert.
Mit Cobion OrangeFilter wurde der hohe Sicherheitsgrad der Kommunikationsplattform tuxGate 300 weiter ausgebaut, besonders für kleine und mittlere
Unternehmen. Jedes tuxGate System beinhaltet ab sofort eine halbjährige
Lizenz des OrangeFilters, die nach Ablauf für jeweils 1 Jahr erweitert werden
kann.
Sicherheit
Mit dem integrierten Content-Filter von Cobion optimiert die VPNline tuxGate ihr
Zugangssystem zu einer Internet-Access-Lösung, die das Hauptaugenmerk
auf die Netzwerksicherheit und die Optimierung gesicherter Kommunikationsabläufe richtet. Damit wirkt sie auch handfesten Produktivitätsverlusten und
unerwünschten Folgen für die Betriebsabläufe entgegen. Die Cobion ContentFilter-Lösung bietet einen perfekten Ansatz zu einer optimierten Internetnutzung
im Sinne einer vernünftigen Unternehmenskultur und bannt die potentiellen
Risiken. Zudem vermeidet OrangeFilter auch unangenehme juristische Folgen, die sich bei Mißbrauch von Web-Content oder der Weitergabe von inkriminierenden Webinhalten aus einem Unternehmen heraus ergeben können.
Kostenoptimierung
OrangeFilter erlaubt eine arbeitspezifische Internetnutzung, sorgt für erhöhte
Produktivität, Einsparung von Internetbandbreite und Entlastung der Infrastruktur. Erhöhte Sicherheit beim Internetzugang resultiert aus User- bzw. IPspezifischen Content-Profilen nach 58 Kategorien, die aus den Cobion Filterlisten gespeist werden. OrangeFilter ermöglicht ein jugendgerechtes Surfen
und wirksamen Schutz von öffentlichen Internetzugängen, Schulen und Hotspots
vor inkriminierenden Inhalten. Die VPNline tuxGate bietet
darüber hinaus alle Varianten beim Netzwerkzugang und Internetzugriff. Sie besitzt Firewallund VPN-Funktionalität und ist zugleich auch Mail-Server, Viren-Scanner und RADIUS-Server. Der Security
Allrounder kann als universelle
Kommunikationsplattform
auf
Wunsch als Webserver mit virtuellen
Hosts erweitert werden.
Sollte es in irgendeiner Weise zu mißbräuchlichen Verwendungen kommen, beispielsweise durch Download
und Weiterleitung von inkriminierendem Bild- oder Textmaterial, so
haftet die Firma für verursachte Schäden, um von den negativen Folgen für
das Firmenimage ganz zu schweigen.
Hierbei sollten Geschäftsleitungen
unbedingt beachten, daß gegenüber
minderjährigen Mitarbeitern und
Auszubildenden eine besondere Fürsorgepflicht besteht. Faktisch hat sich
in den letzten Jahren die Anzahl rechtsextremistischer Webseiten nahezu
verzehnfacht, aber auch Pornografie
verbreitet sich immer mehr im Internet.
Ca. 5,3 Millionen Anwender besuchen monatlich die unterschiedlichsten Sexseiten. Eines der traurigsten
Kapitel dabei ist die um sich greifende Kinderpornografie. Statistiken
beweisen, daß die Verbreitung dieser
abscheulichen Inhalte immer weiter
zunimmt und bis in die Firmennetzwerke vorgedrungen ist. Nur eine
Content Security Software kann diesem schmutzigen Geschäft - zumindest im Unternehmensbereich - einen
Riegel vorschieben.
Unternehmen können aber auch haftbar gemacht werden, wenn Mitarbeiter strafrechtlich unbedenkliche Inhalte kopieren. Für urheberrechtlich
geschützte Fotos, Audio- oder Videowerke beispielsweise, die weiterverbreitet, verfälscht oder verkauft werden, steht der Arbeitgeber in der Verantwortung.
Ressourcen
Die durch das Surfen im Internet verursachte Datenmenge stellt die zweitgrößte Bandbreitennutzung im Unternehmens-LAN dar. Die Vergeudung wertvoller Bandbreite und unternehmenseigener Ressourcen beginnt beim Download von Spielen
aus dem Internet. Speicherkapazitäten des internen Netzwerks werden für
illegal kopierte Filme wie für MP3Dateien in Anspruch genommen. Das
07
Ausgabe 07/2003
24
Mithören von Internet-Radio belegt
soviel Bandbreite wie hunderte von
arbeitsrelevanten E-Mails. Schon
durch einige wenige Mitarbeiter führt
ausufernde, arbeitsfremde InternetAktivität zu längeren Antwortzeiten
der Server und überlaufenden Festplatten, zum Nachteil aller Angestellten und zu Lasten der täglichen Arbeit, um von urheberrechtlichen Problemen einmal abzusehen.
Vertrauensbruch
Die Kommunikation über E-Mail ist
aus der modernen Geschäftswelt
längst nicht mehr wegzudenken. Doch
wie kann man sich vor dem unerlaubten Versand vertraulicher Daten in die
Außenwelt schützen? Oft genug hängen Wohl und Wehe eines Unternehmens daran, daß Interna nicht in die
Hände eines Mitbewerbers fallen, seien es nun geschäftliche Dokumente,
strategische Papiere oder Ergebnisse
jahrelanger Entwicklungsarbeiten.
Führt man sich vor Augen, daß ca. 80
Prozent aller Verstöße gegen die Sicherheitspolitik eines Unternehmens
durch die eigenen Mitarbeiter erfolgt,
so wird verständlich, daß Technologien ihre Berechtigung haben, die die
Geschäftsleitung in die Lage versetzt,
den E-Mail Versand vertraulicher oder
geheimer Unterlagen zu verhindern.
Der Verlust von vertraulichen Informationen führt Schätzungen zufolge
zu finanziellen Einbußen in einer
Höhe von 24 Milliarden Dollar.
Spam und Dialer
Täglich werden über 31 Milliarden EMails versandt, eine Verdoppelung
der immensen Datenflut wird bis zum
Jahre 2006 erwartet. Ein großes Ärgernis ist momentan der Empfang von
unerwünschten Werbe-E-Mails
(Spam). Diese unerwünschten Nachrichten verursachen in der EU jährliche Kosten von 10 Milliarden Euro.
Nicht nur daß sie ein erheblicher Störfaktor sind, ihre Sichtung, Aussortie-
rung oder das Löschen vieler unnötiger Informationen kostet einen nicht
unerheblichen Teil an Arbeitszeit.
Dabei ist das Ende der Fahnenstange
nicht einmal erreicht, ganz im Gegenteil. Das Problem unerwünschter
Spam-Mails wird sich nach Auffassung der deutschen Internetwirtschaft
in den kommenden Monaten und Jahren weiter verschärfen. Als Beispiel
aus der jüngsten Vergangenheit sei an
dieser Stelle nur auf die steigende
kriminelle Energie der Spam-Versender durch das Verteilen sogenannter
0190er-Dialer verwiesen, die eine
Ausbreitung erfahren, wie sie bisher
nur bei Viren bekannt war. Sie bescheren ihren meist ahnungslosen Opfern
hohe Telefonrechnungen und oft genug großen finanziellen Schaden.
Mittlerweile geraten auch mobile
Geräte wie Handies und PDAs ins
Visier der Spam-Mail Versender, da
diese in der Zwischenzeit sehr leistungsfähig geworden sind, und über
einen komfortablen Internetzugang
verfügen. Nach Einschätzung verschiedener Verbände läßt sich etwa
90 Prozent der unerwünschten Werbeflut allein durch die Installation technischer Filter blockieren. Der Einsatz
von Content Security Lösungen erweitert auch hier die Sicherheitsvorkehrungen beträchtlich, allein schon
um der Flut von Spam-Mails Herr zu
werden.
ter Inhalte bei eingehender Dateien
aus E-Mails oder Web-Seiten wird die
unangemessene oder unproduktive
Nutzung des World-Wide-Web unterbunden. Wie wir skizziert haben,
existieren die unterschiedlichsten
Gefahrenquellen, die es mit Hilfe des
Content-Security Managements in
den Griff zu bekommen gilt.
Content Philosophy
Sicherheitsaspekte
Die Content-Security stellt Technologien zur Inhaltsfilterung von
Webinhalten oder E-Mails und deren
Attachments zur Verfügung. Realisiert wird die Inhaltsfilterung durch
die Installation und Konfiguration
von sogenannten Internet Filtern, die
ganz gezielt betriebsfremde Inhalte
aus dem Datenstrom verbannen, die
ansonsten das LAN überfluten und
Mitarbeiter von produktiver Arbeit
abhalten können. Durch die Untersuchung bzw. Blockierung unerwünsch-
Der Einsatz von Content-Security
Produkten vervollständigt ein Sicherheitskonzept nach innen und außen
und führt zu einer abgeschlossenen
Security-Policy des Unternehmens (s.
Abb. 2). Zentrale Sicherheitsaspekte
der Content-Security sind der Schutz
der Geschäftsintegrität vor arbeitsfremder und unproduktiver Nutzung
des Internets, vor Verlust von Geschäftsgeheimnissen und vertraulichen Informationen sowie vor illegalen und unerwünschten Inhalten von
07
Ausgabe 07/2003
25
Zielsetzung
Bei der Content-Security handelt es
sich um ein relativ neues Technologiefeld, das mit intelligenten Soft- und
Hardware-Lösungen, die betrieblichen Anforderungen an überprüfbare
Web- und E-Mail-Inhalte erfüllen. Ihre
Aufgabe besteht darin, Datenströme
in ein Unternehmen hinein, innerhalb
des internen Netzwerk und aus dem
LAN heraus zu kontrollieren. Die
Verantwortlichen in den Unternehmen haben aber selbst zu entscheiden, welche Inhalte nun erwünscht
sind und welche nicht, welche einund ausgeführt werden dürfen. Denn
das Ziel einer Content-Security Lösung ist es, Unternehmen und Organisationen die notwendigen technischen
Mittel an die Hand zu geben, die ihnen einen kontrollierten Internetzugang, dessen Verwaltung, Analyse und
den Schutz der Daten ermöglichen,
um die Sicherheit der Geschäftsintegrität in allen denkbaren Bereichen zu gewährleisten.
thema des monats
Webseiten. Der Schutz der Integrität
des Unternehmensnetzwerks bezieht
eine übermäßige Beanspruchung der
verfügbaren Bandbreite und Ressourcen mit ein, insbesondere nicht
tolerierbare Belegung von Speicherkapazität und unnötige Stauung der
Netzwerkdaten.
Die neue Generation
Content Filtering Services 2.0
Die SonicWALL Content Filtering Services (CFS) 2.0 sind seit Mitte Juni weltweit
verfügbar. SonicWALL CFS bietet Unternehmen und Schulen einen wirksamen
Schutz und eine bessere Kontrolle, um ungeeignete Webinhalte abzublocken.
Durch die Nutzung einer dynamischen Datenbank mit Millionen von URLs, IPAdressen und Domains, die kontinuierlich upgedatet wird und ohne
Größenbeschränkung
arbeitet,
baut
SonicWALL
CFS
die
Sicherheitsvorkehrungen aus und steigert die Produktivität von Unternehmen,
während Administrationskosten abgebaut werden.
Content Security
Integriert in die SonicWALL Produktlinie der Internet Security Appliances, ermöglicht
das SonicWALL Internet Content Filtering die Verwendung von unproduktiven
und unerwünschten Webinhalten. Gemäß der unternehmensintern festgelegten
Konventionen können die gebotenen Verhaltensweisen im Netz überwacht und
Zugriffe kontrolliert werden. SonicWALL Content Filtering versetzt Anwender in
die Lage, eine nach ihren spezifischen Vorgaben und Anforderungen
maßgeschneiderte Internetzugangspolitik durchzusetzen.
Datenschutz
Mit dem SonicWALL CFS verfügen Netzwerkadministratoren über ein flexibles
Tool für eine umfassende Filterung auf der Grundlage von Schlüsselworten,
Uhrzeit, vertrauenswürdigen und verbotenen Domainbezeichnungen oder von
besonderen Dateitypen wie Cookies, Java und ActiveX für den internen
Datenschutz. Der Content Filtering-Abonnements-Service von SonicWALL nimmt
automatische Updates der Filter vor und macht die Pflege somit wesentlich
einfacher und weniger zeitraubend.
Key-Features des Content Filtering Service
- Appliance-basierte,
skalierbare Content Filter Lösung
- Website Caching
- Umfassende Datenbank
- Kontinuierliche Updates der Datenbank
- Blocken von Kategorien
- Integrierte Sicherheit
- Webbasierendes Management
Internet Sicherheit
Die SonicWALL Internet Security-Lösungen unterstützen eine Reihe von
Sicherheitsanwendungen und bieten einen leistungsfähigen Schutz durch
Firewalls und virtuelle private Netzwerke (VPN). Die SonicWALL Appliances
basieren auf der Stateful Inspection-Firewall-Technologie und einem dedizierten
Security-ASIC, der eine maximale Leistung für VPN-fähige Appliances
gewährleistet. Mit integriertem Support für Firewall, VPN, Virenschutz und Content
Filtering Services sowie dem ausgezeichneten Global Management System
(GMS) können IT-Administratoren auf einen vielseitigen Schutz ihres Netzwerks
durch SonicWALL vertrauen, während sie gleichzeitig über eine sichere und
zuverlässige Verbindung mit anderen Niederlassungen oder Telearbeitern
verfügen.
Vorteile
Wir haben bereits erfahren, welche
Gefahren und Risiken die unsachgemäße Nutzung aus den Tiefen des
Internets einschleusen kann. Durch
die Implementierung der ContentSecurity erfahren Unternehmen maßgebliche Vorteile. Die Produktivität
der einzelnen Mitarbeiter wird gesteigert, Haftungsrisiken werden minimiert. EDV-Ressourcen wie Speicherkapazität und Bandbreite werden geschont, und die Gefahren durch Viren
werden eingedämmt. Der Datenraub
von vertraulichen Informationen wie
umgekehrt das Einschleppen unerwünschter Inhalte aus Web oder Mails
werden von vornherein erkannt und
blockiert.
Kontroversen
Content-Security wird durchaus kontrovers diskutiert. Einige Experten
vertreten die Ansicht, daß die private
Internetnutzung Unternehmen Millionen kosten, andere hingegen machen sich für das private Surfen und EMailing hingegen stark, da hierdurch
die Motivation der Mitarbeiter erhöht
werden kann. Private Nutzung verursacht aber in jedem Fall hohe Kosten,
die von der Anzahl der Mitarbeiter
und deren verantwortlichen Surf-Verhalten abhängig sind. Es gibt Mitarbeiter, die keine privaten Angelegenheiten über den Firmen-Account regeln, dafür aber hin und wieder eine
Kaffee- oder Zigarettenpause einlegen. Auch hier entstehen Kosten, die
in etwa vergleichbar sind. Jedenfalls
muß man bei einem strikten Verbot
von privater Nutzung damit rechnen,
07
Ausgabe 07/2003
26
daß die Motivation der Mitarbeiter
eher sinken wird. Freiheiten, Verantwortung und Reglementierung sind
schließlich auch eine Frage der Unternehmenskultur. Mag sein, daß Mitarbeiter während der offiziellen Arbeitszeit private Dinge erledigen, hierfür
aber in ihrer Freizeit arbeitsrelevante
Tätigkeiten verrichten. Aus diesen
Gründen ist es also sinnvoll, im Unternehmen über einen verantwortungsvollen Umgang mit dem Internet und
E-Mailing aufzuklären und zu schulen. Es wird einsichtig sein, daß die
private Nutzung nicht übertrieben
wird, und schon gar nicht als Plattform unlauterer Aktivitäten herhalten kann oder kriminellen Energien
Vorschub leisten darf. Die negativen
Konsequenzen werden jedem vernünftigen Menschen einsichtig sein.
Sehr oft werden bei einer Straftat die
Workstations des betroffenen Unternehmens beschlagnahmt, um die
Rückverfolgung der Daten durchführen zu können, und um die Verdunklungsgefahr einzudämmen.
Blockaden
Es ist aber keine einfache Aufgabe,
eine Kontrolle der Internetaktivitäten
einzuführen, wobei die technische
Seite eine eher untergeordnete Rolle
spielt. Vielmehr sind rechtliche Grenzen gesteckt, da Inhalte nur dann untersucht werden dürfen, wenn eine
interne Firmenerklärung die gesamte
private Internet- und E-Mail Nutzung
ausdrücklich untersagt hat. Erfolgte
diese Bestimmung nicht, so erfährt
der Arbeitnehmer Schutz durch das
Telekommunikationsgesetz zur Vermeidung von unerwünschter Spionage.Vermeiden läßt sich diese Situation durch Content-Security Lösungen,
weil Administratoren von vornherein
unerwünschte Inhalte blockieren können, ohne daß überhaupt ein KonAbb. 2: Content-Security als Baustein des IT-Sicherheitskonzepts trollmechanismus
im eigentlichen
Sinne implementiert werden muß.
Der Arbeitgeber
hat die Wahl, ob
neben strafrechtlich bedenklichen
Seiten auch andere
Dienste im Internetoder E-Mail Bereich geblockt werden.
Abb. 3 : Inhalte und Kategorisierung
Konsens
Aber Vorsicht! Sollte bisher noch keine Content-Security-Lösung im Einsatz sein, die Implementierung aber in
Zukunft auf dem
Plan stehen, so ist
zu empfehlen, daß
die Verantwortlichen des Unterneh-
07
Ausgabe 07/2003
27
mens die Belegschaft mit ins Boot
nehmen, um eine für all Seiten zufriedenstellende Lösung zu finden. In der
Praxis hat sich herausgestellt, daß
Projekte dieser Art daran gescheitert
sind oder merklich verzögert wurden,
daß die Mitarbeiter oder der Betriebsrat vorher nicht informiert wurden.
Es ist schwierig, die Grenzen für ein
maßvolles Surfen im World-WideWeb zu bestimmen. Nach dem Urteil
eines Arbeitsgerichtes rechtfertigen
80 bis 100 Stunden im Jahr privates
Surfen oder das Schreiben von E-Mails
keine außerordentliche Kündigung.
Zudem ist vor einer diesbezüglichen
Kündigung eine entsprechende Abmahnung an den Arbeitnehmer zu übergeben, vorausgesetzt, es wurde mit
dem Betriebsrat vorher eine entsprechende Vereinbarung über die Nutzung des Internet-Accounts ausgearbeitet und die erstellte Richtlinie
wurde durch den Mitarbeiter der Firma vorsätzlich verletzt. Gibt es die
erwähnte Vereinbarung zwischen Geschäftsführung und Unternehmen
nicht, und ist es bisher gestattet, private Telefonate zu tätigen, kann der
Arbeitnehmer nach einer gewissen
Zeit folgern, daß die private Internetnutzung ebenfalls erlaubt ist.
Vereinbarung
Deshalb sollten innerhalb eines Unternehmens klare Vereinbarungen im
Bezug auf die private Nutzung der
Internet- und E-Mail Dienste gelten.
Statt eines generellen Verbots, das
das Betriebsklima beeinträchtigen
würde, kann eine Betriebsvereinbarung sehr genau regeln, wann, wie oft
und wie lange ein Mitarbeiter im
Internet privat tätig werden darf. Es
hat sich in diesem Zusammenhang als
sinnvoll erwiesen, die private Internetnutzung auf eine Stunde pro Woche zu beschränken, während in der
Mittagspause und neben der Hauptarbeitszeiten private Aktivitäten erlaubt werden. Auch hier können
Content-Security-Lösungen ihre Stär-
thema des monats
ken ausspielen, weil sie zu den freigegebenen Zeiten fragwürdige und unerwünschte Inhalte immer noch nicht
freigegeben.
OrangeBox Mail
Gefährlicher Anhang
No Spam – No Overblocking
Neue Wege zur Bekämpfung von unerwünschten E-Mails und Spam beschreitet
Cobion mit der OrangeBox Mail 2.0. Ob anregende Bilder und Videos, ob
garantierte Gewichtsverluste mit “Null” Diät, Reichtum, ohne dafür arbeiten zu
müssen, oder die Vergrößerung diverser Körperteile, täglich werden die
Briefkästen der E-Mail Anwender mit solchen oder ähnlichen Werbebotschaften
überschwemmt und zugemüllt. Neben einer erhöhten Netzwerkbelastung
bedeuten diese E-Mails eine erhebliche Einschränkung der
Mitarbeiterproduktivität wie auch der Sicherheit in Unternehmen.
Spam-Fluten eindämmen
Da weder in Deutschland, noch in der EU oder in den USA mit den derzeitigen
Gesetzen den Spammern das Handwerk gelegt werden kann, ist der Einsatz
von effizienten Tools erforderlich. Unter den Anbietern vom Mail-Filtern hebt sich
Cobion mit der OrangeBox Mail 2.0 deutlich ab. Denn sie analysiert nicht nur den
kompletten E-Mail-Verkehr nach Header, Body, Attachments und Hyperlinks.
Sie verhindert in einer mehrstufigen Prüfung mit über zehn verschiedenen
Methoden sicher ein Overblocking und erkennt unproduktive oder rechtlich
problematische Inhalte zuverlässig als Spam. Die OrangeBox Mail 2.0 verfügt
über eine eigene Spam-Datenbank mit rund 200.000 relevanten Beispielen.
Diese Datenbank wird im Cobion-eigenen Global Data Center gepflegt, Kunden
erhalten viermal täglich das aktuellste Update. Zudem werden alle in E-Mails
enthaltenen Hyperlinks geprüft und einer der 58 Kategorien des OrangeFilters
zugeordnet.
Black Lists - Black out
Um der unerwünschten E-Mail Flut Herr zu werden, standen bisher nur Methoden
wie Black Lists, Inhaltsanalyse, Eigenschaftsanalyse oder statistische Verfahren
zur Verfügung. Diese stoßen jedoch schnell an ihre Grenzen, da professionelle
Spammer ihre Taktiken laufend verändern und jedes dieser Verfahren auch
eindeutige Nachteile mit sich bringt. Denn Black Lists sind zwar einfach in MailSysteme integrierbar, machen Unternehmen aber manipulierbar und schließen
einen großen Teil potentieller Kunden oder seriöser Anbieter aus.
Lösung für die E-Mail Security
Eine rein inhaltsbezogene Analyse von E-Mails nach Keywords blockt auch viele
relevante E-Mails - etwa erwünschte Newsletters von Zulieferern und
Geschäftspartnern - oder ignoriert einen großen Teil neuen Spams wegen
modifizierter Schreibweisen der Schlüsselbegriffe. OrangeBox Mail 2.0 hingegen
schützt nicht nur vor Spams, sondern kann zu einer Gesamtlösung für die E-Mail
Security ausgebaut werden. Mit der einfach bedienbaren Management Konsole
kann jede Security Policy abgebildet werden. Als offenes System bietet die
OrangeBox Mail 2.0 zahlreiche Integrationsmöglichkeiten. Sie unterstützt
marktführende Mail Server wie Lotus oder Exchange und wird durch ein
Antivirus-Plug-In abgerundet.
Content-Security hat inzwischen bereits mehrere Entwicklungsstufen
durchlaufen, damit Dateninhalte überprüft und gegebenenfalls blockiert
werden können. Die Daten, die gecheckt werden sollen, sind äußerst
vielfältig. Neben der Analyse von
Texten und Bildern aus dem Web gilt
es Dateianhänge von E-Mails in all
ihren Ausprägungen auf gefährliche
Inhalte hin zu überprüfen, z.B. EXE,
COM-, oder Zip-Files, Doc-, XLS-,
oder HTML-Dateien (s. Abb.3). Wenn
wir die technologische Entwicklung
betrachten, so können wir erkennen,
daß mittlerweile die dritte Generation
von Content-Security-Lösungen auf
den Markt gekommen ist.
Entwicklungen
Die erste Generation arbeitete noch
mit statischen URL-Datenbanken, die
manuell mit Inhalten versorgt werden
mußten. Das Internet wurde “von
Hand” auf gefährliche und kriminelle
Inhalte hin untersucht. Die Ergebnisse wurden anschließend in eine URLDatenbank eingetragen und entsprechend kategorisiert. Bedingt durch
diese Arbeitsweise war die Abdekkung der erfaßten Web-Seiten im
Bezug auf die Datenmenge im WorldWide-Web als gering einzustufen.
Die zweite Generation basierte ebenfalls auf statischen URL-Datenbanken, brachte aber bereits Verbesserungen durch die halbautomatisierte
Kategorisierung mit sich. Ebenfalls
wurde die Textanalyse implementiert.
Mit den neu eingeführten Mechanismen zur Datenanalyse konnte schließlich eine mittlere Abdeckung erreicht
werden.
Die momentan aktuelle, dritte Generation verhalf der Technologie der
07
Ausgabe 07/2003
28
Content-Security letztendlich zum
Durchbruch. Die manuelle Erfassung
der Daten und Einstufung der Dateninhalte wurde durch die Einführung
der vollautomatischen Kategorisierung abgelöst. Die eigentliche Arbeit verrichten nun die sogenannten
Webcrawler, die das gesamte Internet
ohne manuelle Hilfe auf gefährliche
Inhalte hin untersuchen. Durch immer moderne Techniken der Datenüberprüfung konnte die Text- und
Bildanalyse stark verbessert werden.
So führen die neuen Technologien
zur einer hohen Abdeckung der
Dateninhalte (vgl. Abb. 3).
Fazit
Wir haben Ihnen Gründe und Fakten
an die Hand gegeben, warum der Einsatz von Content-Security-Lösungen
- trotz bereits implementierter Sicherheitstechnologien wie Firewalls, VPN
und IDS - einen wichtigen Beitrag zur
Vervollständigung der Sicherheitsstrategie des Enterprise Networkin
liefern. Die Einführung von ContentSecurity-Applikationen muß kein
“heißes Eisen” werden, wenn offene
Vereinbarungen getroffen werden. Es
ist jedoch nicht nur die technische
Seite zu betrachten, die in der Regel
einfach zu realisieren ist. Vielmehr
sind rechtliche Gegebenheiten von
Bedeutung, wie auch Fragen des Betriebsklimas und der Unternehmenskultur. Ein wichtiger Aspekt ist deshalb die Einbeziehung der Belegschaft
und des Betriebsrats, und zwar vor der
Einführung von inhaltsüberprüfender
Soft- und Hardware. Weil ein Unternehmen für die unrechtmäßige Benutzung seiner Internetdienste verantwortlich ist, spielen auch Haftungsfragen eine Rolle, denn ein Unternehmen hat die Pflicht, seine Mitarbeiter
vor gefährlichen und kriminellen
Dateninhalten zu schützen. ContentSecurity-Filter wie auch der VirusSchutz sind unersätzlich für die ITSicherheit.
Content Security Service
Implementierung der Cobion OrangeBox Web
Compu-Shack Support erweitert sein Dienstleistungsangebot
im Bereich Content Security. Die diversen Services rund um die
Cobion OrangeBox Web reichen von der Implementierung und
einer Produkteinweisung des Personals bei Kunden vor Ort bis
zum Troubleshooting im Netzwerk. Compu-Shack Support bietet
zudem Inhouse-Schulungen für individuelle Content Security
Lösungen oder unternehmensübergreifende eintägige Workshops, in denen die Teilnehmer Antworten auf grundsätzliche
und praktische Fragen zur Implementierung der Content Filter
Software erhalten. Sie lernen die Installation und Konfiguration
der OrangeBox Web kennen, erstellen selbstständig Regeln zur Inhaltsfilterung
und nehmen die Integration in verschiedene Directory-Services vor.
Abgerundet wird die Tagesveranstaltung durch hilfreiche Tips zum Troubleshooting. Auskünfte zu Terminen und Konditionen erteilt das Support-Team
unter 02631 / 983-988.
Filtering Process
Bei der OrangeBox Web handelt es sich um einen Webfilter mit modernsten
Filter-Methoden. URL-Blocklisten sollen, können und müssen also nicht manuell
erstellt werden, weil dies ohnehin zu sogenannten “False Positiv”
Klassifizierungen führen würde. Deshalb nimmt Cobion den direkten Weg einer
sofortigen inhaltlichen Bewertung. Dazu erfaßt der Cobion Content Filtering
Process den kompletten Inhalt aller analysierten Webseiten im World Wide Web
und kategorisiert die so gewonnenen Daten methodisch und vollautomatisch
in einer URL-Datenbank. Zur Bewertung der Webseiten werden besondere
Verfahren eingesetzt, die Textklassifikation und Bilderkennung, die semantische
und die bildbezogene Analyse. Derzeit enthält Cobions URL-Datenbank 58
Kategorien und circa 2.3 Milliarden Webseiten und Bilder. Durch automatisierte
tägliche Updates wird für die Aktualität der Daten auf der Anwenderseite gesorgt.
Contents und Konsens
Außer den technologischen Finessen verdienen - gerade im Vorfeld der
Implementierung von Content Filter Software - einige planerische Aspekte
Beachtung. Einmal gilt, es die einzelnen Schritte der Integration in das bestehende
Unternehmensnetzwerk und die Zusammenarbeit mit eventuell vorhandenen
Proxy-Servern zu erarbeiten. Zum anderen ist es von großer Bedeutung, vor der
Entscheidung, einen Web-Filter einzusetzen, auch die rechtlichen und
konzeptionellen Fragen zu klären. Insofern ist es sehr wichtig, die Belegschaft
und den Betriebsrat in das Sicherheitskonzept einzubeziehen und von vorne
herein an den Gesprächen zu beteiligen. Das Support Team gibt auch hierzu
wertvolle Hinweise.
Fragen Sie das Compu-Shack Support Team unter: 02631 / 983-988 nach Ihrem
persönlichen Angebot. Weitere Infos und Preisinformationen finden Sie im
Compu-Shack Fachhandelsportal: www.portal.compu-shack.com.
07
Ausgabe 07/2003
29
h
HOTLINE
Monats-Patch CD 07/2003
Aktuelle Updates von A bis Z im Juli
HOTLINE
Die aktualisierten Listen der neu erschienenen und empfohlenen Patches finden Sie als offene Excel-Dokumente auf
der Monats-CD im Verzeichnis_PatchListen. Der Patch-Finder sagt Ihnen, auf welcher CD sich bestimmte Updates
befinden. Gehen Sie über die Oberfläche der Technik News-CD zur Patchdatenbank, dort auf Auflistung
aller Patches dieses Jahres und geben Sie im Feld Patchname die gesuchte Datei ein. Die Auswertung
zeigt an, auf welcher CD sie zu finden ist.
Bintec
B6303P02.bgd 990 KB
B6303P02.x1x 1378 KB
B6303P02.x2c 1652 KB
B6303P02.x4a 1633 KB
B6303P02.x8a 1690 KB
B6303P02.zip 1376 KB
Microsoft
Q818529.exe 2017 KB
Q818529G.exe 2021 KB
Q818529XP.exe 2452 KB
Q818529XPG.exe 2459 KB
WINDOWSSERVER2003-KB818529-X86-DEU.exe 984 KB
WINDOWSSERVER2003-KB818529-X86-ENU.exe 984 KB
Computer Associates
QO39052.CAZ
QO39924.CAZ (dt./engl)
QO37211.caz
QO38957.CAZ
Novell
ACCUPG51SP6.exe 139 KB
ACCUPG60SP3.exe 184 KB
CIFSPT3.exe276 KB
I3264F1.exe 38047 KB
IGW64A1.exe 10938 KB
IGW64N1.exe 13379 KB
JVM141SP1UPD.exe 58369 KB
LIBIMON.tar.gz 1700 KB
NT483PT7.exe 3026 KB
TCP581P.exe 812 KB
TCP605P.exe 815 KB
Veritas
B90DV05_256761.exe
BackupExecTapeDeviceDriverInstall_257058.exe
BE4367RHF1_254678.exe
BE4367RHF14_256772.exe
BE4367RHF7_255407.exe
BE436RHF13_256916.exe
BEWS90_258718.zip
NLS_AGNT_257380.TAR
NLS_AGNT_257380.TAR
X420030630U1_258968.cab
Q818529.exe 2017 KB
B6303P02.zip 1376 KB
wie zuvor für Router X3200
B6303P02.x4a 1633 KB
wie zuvor für Router X4000
B6303P02.x8a 1690 KB
wie zuvor für Router X8500
B6303P02.bgd 990 KB
wie zuvor für BinGo! DSL
B6303P02.x1x 1378 KB
Neues Software Image in der Version
6.3.3, Patch 2 für Router X1000 und
X1200. STAC und MPPC License
sind nicht länger Bestandteil eines
Standard Image. Bei IPSec wurden
Probleme beim Abspeichern eines
neuen Pre-Shared key behoben.,
ebenso in der ipsecDialTable.
Beseitigt sind auch Fehler, wenn die
IPSec Peer Informationen auf einem
RADIUS abgespeichert wurden, und
Probleme mit der CAPI beim
Versenden von Faxen wie auch beim
FileTransfer mittels X.25 über die
Bintec CAPI.
B6303P02.x2c 1652 KB
wie zuvor für X2100, X2300 und
X2400
ARCserve Backup 9 für
Windows 2000
ARCserve Backup 9 für
Windows
ARCserve Backup 9 für
NetWare
QO39052.CAZ
Behebt Blue Screen Problem mit
Open File Option.
QO39924.CAZ (dt./engl. - SP3/4)
Tape Engine Update. CDL einsehen
für Liste unterstützter Geräte.
QO37211.caz
Behebt den Fehler, daß an sich mit
Arcopy nicht über TSA auf einem
Remote Server verbinden kann.
QO38957.CAZ
Dieser Patch behebt ein Problem
beim Schern von Juris mit dem
Default Juris Account auf der lokalen
Maschine (SQL).
Patches
07
Ausgabe 07/2003
30
Backup Exec 9.0
für Windows NT und 2000
BackupExecTapeDevice
DriverInstall_257058.exe
BE 9.0 Device Driver Installer
(20030415). Beinhaltet Tape Driver
Release (20030301) und Robotic
Library Release (37) (Intel Only).
BE4367RHF1_254678.exe
BE 9.0.4367 Hotfix 1. Behebt Fehler bei der Backup Exec Konfiguration auf einem Cluster, wenn die
Windows Version japanisch ist.
BE4367RHF14_256772.exe
Hotfix 14 für Version 9.0.4367,
GDM 4.5 FP3 Backup Exec Memory
Leak, wenn monitored über GDM.
Benötigt Backup Exec 9.0 für
Windows Servers Service Pack 1.
BE4367RHF7_255407.exe
BE 9.0.4367 Hotfix 7 für Remote
ACCUPG51SP6.exe 139 KB
Update für NW 5.1 SP6 Overlay CD.
Mit diesem Patch ist es möglich, ein
Upgrade auf die NW 5.1 durchzuführen, ohne Zugriff auf die Serverkonsole zu haben. Auch ein internes
CD-ROM Laufwerk ist hierzu nicht
nötig (sogenanntes Accelerated
Upgrade). Wichtig: Nur für SP6
Overlay CD verwenden.
ACCUPG60SP3.exe 184 KB
Update für NW 6.0 SP3 Overlay CD
wie zuvor, dochnur für SP3 Overlay CD
CIFSPT3.exe276 KB
Update für den CIFS Service der NW
5.1 und 6.0. Updates für verschiedene Server Abends und Support für
Q818529.exe 2017 KB
Kumulativer Security Patch für den
Internet Explorer 6.0 für Windows
NT und 2000 in der englichen
Version. Alle bis zum 4. Juni 2003
bekannten Sicherheitslücken sind
mit diesem Update behoben.
Agent für Windows Servers. Das
Ausführen der Installation des
Remote Agent für Windows ohne
Angabe von Parametern oder mit falschen Parametern, kann dazu führen,
daß auf der Root des Laufwerkes
Dateien gelöscht werden.
BE436RHF13_256916.exe
Hotfix 13 für Version 9.0.4367, behebt den Fehler, daß die Selection
List beim Exclude nur einen Eintrag
erlaubt. Benötigt SP 1für BE 9.0 für
Windows Servers.
BEWS90_258718.zip
Aktuelle Backup Exec Version 9
Build 4454 (NLS)
NLS_AGNT_257380.TAR
Backup Exec Unix Agent v5.01
revision 5.036 (NLS EFGS) für
BENW & BEWS
multiple trusted Domains sind enthalten
I3264F1.exe 38047 KB
Aktuelle Client Files für GroupWise 6
IGW64A1.exe 10938 KB
ConsoleOne Snap-in Files für
GroupWise 6.0.
IGW64N1.exe 13379 KB
Aktualisierte GroupWise 6 Agents.
JVM141SP1UPD.exe 58369 KB
Patch für die Novell JAVA Version
1.4.1 SP1 der NW6.0 stellt
Kompatibiltität mit der aktuellen
Sun Java 1.4.1_02a Code Base sicher.
LIBIMON.tar.gz 1700 KB
Dieser Patch behebt ein Problem des
Q818529G.exe 2021 KB
wie zuvor (deutsch)
Q818529XP.exe 2452 KB
wie zuvor für Windows XP (englisch)
Q818529XPG.exe 2459 KB
wie zuvor (deutsch)
07
Ausgabe 07/2003
31
Backup Exec 8.6
für Windows NT und 2000
X420030630U1_258968.cab
Backup Exec Virus Protection File
für Juni 2003, Update 1 (released 06/
05/03). Einzusetzen für die Versionen: 7.3, 8.0, 8.5 und 8.6 jeweils für
Small Business Server und Windows
NT / 2000 sowie NAI für Backup
Exec für Windows NT 4.0.
Backup Exec 9.0
für NetWare
B90DV05_256761.exe
Neues Device Treiber Set für Backup
Exec für NetWare 9.0 Driver Set 05
04/03/2003
NLS_AGNT_257380.TAR
Backup Exec Unix Agent v5.01
revision 5.036 (NLS EFGS) für
BENW & BEWS
eDirectory 8.7.03 auf Unix, daß durch
bestimmte Aufrufe im iManage der
ndsd Daemon entladen wurde, ohne
eine Meldung abzugeben.
NT483PT7.exe 3026 KB
Patchsammlung (Client und
Printing) für den Novell Client 4.83
mit SP1. Wichtig: Vor der Installation des Patches muß das SP1 für den
Client installiert sein.
TCP581P.exe 812 KB
TCP/IP Versionen 5.91p (verschlüsselter
Stack)
und
5.81p
(unverschlüsselter Stack) für die NW
5.1 nach SP4.
TCP605P.exe 815 KB
wie zuvor für NW 6.0.
WINDOWSSERVER2003KB818529-X86-DEU.exe 984 KB
wie zuvor für Windows 2003 Server
(deutsch)
WINDOWSSERVER2003KB818529-X86-ENU.exe 984 KB
wie zuvor (englisch)
h
HOTLINE
NOVELL
Service Location Protokoll
Konfiguration eines SLPDA mit einem Scoped Directory Agent
Von Jörg Marx
Wir hatten schon des öfteren Berichte zum Service Location Protokoll gebracht, in denen die Standardeinstellungen
besprochen wurden. Inzwischen hat Novell eine eindeutige Strategie für einen Scoped Directory Agent herausgegeben.
Grund genug, Ihnen diesen für die SLP-Konfiguration zu empfehlen.
M
Mit der Netware 5.x hat Novell das Standard Protokoll
bekanntlich von IPX auf IP umgestellt. Hiermit verbunden, trat ein neuer Begriff auf, das Service Location Protokoll (SLP). Wie der Name schon verrät, nutzt Novell das
SLP, um seine Services im Netz zu verteilen und bekannt
zu machen, z.B. Servernamen, Rconsolen oder Drucker.
Hierzu werden die Ports UDP/TCP 427 verwendet. Wie wir
wissen, gibt es zwei unterschiedliche Methoden SLP zu
konfigurieren, die dynamische oder die statische Variante.
Bei der statischen Variante muß auf einem Server ein
Directory Agent (DA) laufen. Dieser besitzt eine Liste mit
allen Diensten, und alle UAs können hier zielgerichtet
nachfragen. Bei der statischen Variante wird noch einmal
in Scoped und Unscoped unterschieden. In diesem Beitrag
möchten wir Ihnen die Scoped Variante erklären.
Eine SLP Scope partitioniert eine SLP Datenbank über die
NDS. Beim Erstellen eines DA’s wird automatisch eine
Scope (UNSCOPED) angelegt. Das ist nichts anderes als ein
NDS-Objekt, unter dem Sie eine Auflistung von Services
wiederfinden. Es können je nach Bedarf mehrere Scopes
(Scoped) angelegt werden, mit den unterschiedlichsten
Services. Hierdurch wird die angesprochene Partitionierung
der SLP Datenbank vollzogen.
dem die DA-Datenbank abgelegt werden soll. Achten Sie
darauf, daß sich hier auch der entsprechende Server befindet. Bevor wir mit der eigentlichen SLPDA-Konfiguration
beginnen, sollten Sie prüfen, ob dieses Modul nicht bereits
auf einem anderen Server geladen ist. Mit dem Kommando
MODULES SLP*.* können Sie das an der Serverkonsole
prüfen. Sollte es schon geladen sein, bitte einfach entladen! Anschließend ist in der AUTOEXEC.ncf zu prüfen,
ob ein Load-Kommando zu diesem Modul zu finden ist,
und ggf. auszuklammern.
Objekte anlegen
Jedes Laden des SLPDA.nlm hat zur Folge, daß in der
NDS ein Scope Objekt angelegt wird. Prüfen Sie daher die
NDS, ob bereits Objekte für SLP Directory Agent
bzw. SLP Scope Unit vorhanden sind. Alle diesbezüglichen Objekte, die keinem aktuellen DA zugeordnet sind,
sollten Sie löschen. Falls Schwierigkeiten mit dem Löschen der Objekte mit dem NWadmin entstehen, verwenden Sie die aktuelle ConsoleOne. Hier sollten Sie mit dem
Löschen keine Probleme haben.
Abb. 1: Anlegen der SLP Scope Unit
HOTLINE
SLP einrichten
Kommen wir nun zur Einrichtung des SLP mit einem
Scoped Directory Agent. Im ersten Schritt suchen Sie sich
einen Server aus, auf dem der DA laufen soll. Dies muß ein
Netware 5.x oder 6.0 Server sein. Wichtig ist, daß dieser
eine Master- oder Read/Write-Replica hat und den Container enthält, in dem das Scope Objekt angelegt werden soll.
Achten Sie bei der Auswahl darauf, daß dieser Server
relativ zentral steht, da alle anderen Server und Workstations diesen für SLP-Frage kontaktieren werden.
Es besteht auch die Möglichkeit, zur Ausfallsicherung
mehr als einen DA pro Scope zu definieren. Im ersten
Schritt sollten Sie sich einen Scope Namen überlegen,
dessen Name auf allen Workstations eingetragen werden
muß. Er sollte somit relativ kurz und aussagekräftig sein.
Im nächsten Schritt erstellen Sie einen NDS-Container, in
07
Ausgabe 07/2003
32
Jetzt können wir in dem neu angelegten Container das SLP
Scope Unit Objekt anlegen. Der Name ist frei wählbar, es
bietet sich jedoch an, den Namen der Scope zu verwenden
(vgl. Abb. 1). Dieser wird im Feld Scope Name eingetragen. Im nächsten Schritt können wir das Objekt SLP
Directory Agent im gleichen Container anlegen.
Auch hier ist der Name frei wählbar, er sollte aber in jedem
Fall den Servernamen enthalten (vgl. Abb. 2). Beim Anlegen dieses Objektes müssen Sie noch zwei Eintragungen
vornehmen. Als erstes muß der Server ausgewählt werden,
auf dem der DA laufen soll, als zweites die zu verwendende
Scope Unit aus der Liste.
starten, vermeiden Sie es, das MONITOR.nlm in dieser
Zeit erneut zu laden, da es zum Verlust des Eintrags führen
wird. Im Anschluß daran öffnen Sie mittels Editor die
SYS:\ETC\SLP.cfg auf dem Server und durchsuchen
Sie diese Datei nach folgendem Eintrag DA IPV4, IPAdresse. Alle Zeilen, die so beginnen und nicht auskommentiert sind, müssen gelöscht oder wieder auskommentiert werden. Merken Sie sich, daß ein DA niemals
über einen DA-Eintrag in der SLP.cfg auf sich selbst
verfügen darf. Abschließend müssen Sie den Server
rebooten, so daß die Scope, die im Monitor eingetragen
wurde, in den Speicher geladen wird.
Scope Liste
Server anpassen
Am Server wird jetzt das MONITOR.nlm geladen. Über
den Punkt SERVER PARAMETER => SERVICE
LOCATION PROTOCOL finden Sie das Feld SLP SCOPE
LIST. Hier wird der Scope Name eingetragen, verwenden
Sie aber hierzunicht den sogenanntenfull qualified
domain name (FQDN), sondern einfach nur den Objektnamen (vgl. Abb. 3). Nachdem Sie diese Eintragung vorgenommen haben, muß der Server rebootet werden.
Können Sie den Server in diesem Moment nicht neu
Nach dem Reboot des Server müssen wir uns den übrigen
Servern zuwenden, die über diesen DA arbeiten sollen.
Auch hier laden wir auf der Serverkonsole das
MONITOR.nlm und tragen unter SERVER PARAMETER” => SERVICE LOCATION PROTOCOL im Feld
SLP Scope List wieder den entsprechenden Scope
Namen ein. Auf diesen Servern müssen wir zusätzlich noch
die Zeile DA IPV4, <IP-Adresse des DAServers> in der SYS:\ETC\SLP.cfg eintragen.
Nach den Änderungen sollten die Server ebenfalls neu gestartet werden. Um die fehlerfreie
Funktion der Konfiguration zu überprüfen, geben
Sie an jedem beteiligten Server das Kommando
DISPLAY SLP SERVICES ein, danach sollten
alle verfügbaren Services angezeigt werden. Mit
dem Kommando DISPLAY SLP SERVICES
BINDERY.NOVELL können Sie feststellen, wie
viele und welche Server sich über den DA registriert haben.
Abb. 2: Anlegen des SLP Directory Agent
Backup DA
Oft kommt von unseren Hotline-Kunden die Frage: “Was ist, wenn der DA ausfällt?”. Hierzu gibt
es zwei unterschiedliche Antworten. Wenn nicht
weiter konfiguriert wurde, suchen die SLP Services beim Ausfall des DAs wieder mittels
Multicast, was logischerweise zu längeren Anmeldezeiten führt. Möchte man das vermeiden,
läßt sich ein Backup DA definieren. Hierzu legen
Sie in dem DA Container einen weiteren SLP
Directory Agent an. Der Name sollte ihn deutlich
als Backup Agent ausweisen. Unter den DETAILS => CONFIGURATION tragen Sie wieder
den Server ein, auf dem der Backup DA laufen soll,
und im Feld DETAILS => SLP SCOPE UNITS
die gleiche Scope wie beim ersten DA. Somit wird
diese Scope anschließend von zwei DA-Servern
bedient. Wie zuvor muß im Monitor auch die SLP
SCOPE LIST eingetragen werden. Auf allen
anderen Servern wird jetzt noch dieSLP.cfg um
den Eintrag DA IPV4, <IP-Adresse des
Backup DA-Servers> erweitert.
Abb. 3: Eintragen der Scope am Server
07
Ausgabe 07/2003
33
h
HOTLINE
Um im laufenden Betrieb keine Probleme zu
haben, verbieten Sie dem Backup DA, in die
NDS zu schreiben, da andernfalls beide DAs in
die gleiche Scope identische Eintrage schreiben würden, was zu Kollisionen führt. Hierzu
laden Sie den Monitor und ändern unter SERVER PARAMETER => SERVICE LOCATION
PROTOCOL den EintragSLPDA NDS FORWARD
FLAG von ON auf OFF. Das hat zur Folge, daß
dieser DA auf diesem Server seine Services nicht
mehr in die NDS schreibt.
SLP Client Konfiguration
Abschließend müssen wir uns nun noch um die
SLP Client Konfiguration kümmern. Hierzu starAbb. 4: SLP Einstellungen am Client
ten Sie auf den Clients die Eigenschaften des
Novell Clients (vgl. Abb. 4). Das FeldSERVICE
STANDORT beinhaltet die BEREICHSLISTE und die ren. Diese Einstellung führt jedoch nicht dazu, daß der
VERZEICHNISSAGENTENLISTE. Im ersten Feld tra- Client seine SLP Services nur noch statisch mittels Unicast
gen Sie die zu verwendende Scope Unit ein, über den sucht, sondern es bedeutet nur, daß zuerst eine UnicastButton HINZUFÜGEN wird die Scope in die Novell Client Anfrage an die eingetragenen Server vorgenommen wird.
Konfiguration übernommen. In das untere Feld tragen Sie Sind diese nicht vorhanden, versucht der Client es annacheinander die IP-Adresse des ersten DAs und des Backup schließend weiterhin mittels Multicast.
DAs ein. Auch hier wird durch den Button HINZUFÜGEN Möchten Sie auch das abstellen, müssen Sie in den Novell
die Adresse in die Client-Konfiguration übernommen.
Client Eigenschaften auf den Punkt ERWEITERTE EINIn beiden Feldern befindet sich noch ein Kasten mit der STELLUNGEN den Wert SLP ACTIVE DISCOVERY auf
Bezeichnung STATISCH, die Kästen bitte beide aktivie- OFF schalten.
VERITAS
Wenn´s mit der Neuen nicht klappt
Backup Exec für Windows Version 9 installieren
Von Armin Schmuck
HOTLINE
Was tun, wenn sich die neue Veritas Backup Exec für Windows Servers Version 9 nicht installieren lassen will? Auf
manchen Systemen kommt es zu Problemen, die sich darin äußern, das die Installation entweder hängen bleibt oder
ohne Fehlermeldung abbricht.
E
Es gibt zwei Fehlermeldungen, die einem nur allzu deutlich verraten, daß es mit der Neuen nicht klappen will, zum
einen: Failed to install third party
products, zum anderen: The wizard was
interrupted before [...] please run the
installation again. Woran liegt´s?
Voraussetzungen
Als erstes sollte man sicherstellen, daß die Grundvoraussetzungen für die Installation erfüllt sind. Dies wäre zum
einen der Einsatz der aktuellen Version 9 Build 4454, die
Sie von support.veritas.com herunterladen können, aber wegen der Dateigröße von immerhin 328 MB
vielleicht doch lieber direkt von unserer aktuellen Monats-CD nehmen.
Bei einem Update von einer älteren Version auf die neue
9er ist zu beachten, daß es ältere Seriennummern gibt, die
nicht mit der neuen Version zusammenarbeiten (s. Veritas
Dokument 252928.htm). Soll die 9er unter Windows NT
4.0 eingesetzt werden, ist das Service Pack 6a Mindestvoraussetzung für die Installation. Die Internet Explorer Version sollte mindestens 5.01, besser noch die 5.5 sein. Und
falls unter Windows NT der IE 6 verwendet wird, muß auch
07
Ausgabe 07/2003
34
dessen SP1 installiert sein. Sollten Sie Backup Exec auf
einer Windows NT 4.0 Terminal Server Edition installieren, müssen Sie dies unter Verwendung der Funktion
Software lokal auf dem Terminal-Server tun, damit die
verbundenen Terminal Server Clients Zugriff auf Backup
Exec haben.
Wenn Sie bereits einen älteren Backup Exec Remote
Agent eingesetzt haben, müssen Sie diesen erst
deinstallieren, bevor Sie die aktuelle Version installieren.
Versuchen Sie, den Agent lokal zu installieren, falls es über
das Netzwerk nicht klappt. Dies funktioniert in der Regel
ohne Probleme.
Third Party
Wenn Fehler bei der Installation von Third Party Produkten wie Java Runtime Engine (JRE), ODBC, Microsoft
XML und VERITAS Update aufgetreten sind, kann man
das anhand der Datei Bkupinst.log (im Verzeichnis
Winnt) erkennen. In den letzten Zeilen des Logs stehen
Hinweise wie etwa diese:JRE installation failed.
Failed to install third party products.
Wenn der Fehler bei JRE auftritt, führen Sie die Datei
Jresetup.exe aus, diese finden Sie unter Winnt \
Install \ JRE auf der CD oder unter den Installationsdateien. Bei Fehlern bezüglich ODBC führen Sie die Datei
Sqlredis.exe im VerzeichnisWinnt \ Install \ BE
\ SQL aus. Bei Problemen mit dem VERITAS Update
führen Sie die Setup.exe im Verzeichnis Winnt \
Install \ VxSDM aus. Ist der Fehler bei Microsoft XML
zu suchen, müssen Sie sich die aktuelle DateiMsxml.msi
herunterladen: http://www.microsoft.com /
downloads / details.aspx?displaylang=
en&FamilyID=0CDD34BF-50EA-4238-846B243C58FF224A. Kann der Windows Installer sich nicht
erneut registrieren, geben Sie in der Eingabeaufforderung
Msiexec / regserver ein.
MDAC
Backup Exec Version 9 Build 4454 wird Ihnen bei der
Installation das Service Pack 1 der MDAC Version 2.7
(Microsoft Data Access Components) installieren. Das
bedeutet, daß Sie sicherstellen müssen, daß die MDAC
Version 2.7 schon auf dem System läuft.
Das heißt aber auch, daß Sie im Vorfeld abklären müssen,
ob die evtl. auf dem System installierten Datenbankapplikationen mit der MDAC Version 2.7 kompatibel
sind. Ist der SharePoint Portal Server installiert, sollten Sie
vor der Aktualisierung von MDAC unbedingt den Microsoft Artikel 320204 durchlesen.
Mail
Wird während der Installation eine Fehlermeldung zum
[...] Standard-Mail-Client angezeigt, führen Sie
das Installationsprogramm Microsoft Outlook aus, und
richten Sie ein Profil ein.
Wenn Sie aufgefordert werden, Outlook als StandardMail-Client einzurichten, klicken Sie auf Ja. Falls Outlook bereits installiert ist, richten Sie es als Standard-MailClient ein, indem Sie den Internet Explorer öffnen, im
MenüExtras auf Internetoptionen gehen und auf
der Registerkarte Programme im Feld E-Mail die Option Microsoft Outlook auswählen.
Deinstallieren
Sollten Sie die Backup Exec v.9 deinstallieren wollen und
Ihre Bemühungen schlagen fehl, so erscheint eine Fehlermeldung wie diese: Fehler 1306. C:\Pro gram
me\VERITAS\Backup Exec\NT\Logs\ Log_Msi
Exec.txt. Eine andere Anwendung hat
ausschließliche Zugriffsrechte auf diese Datei. Schließen Sie alle anderen An
wendungen und wiederholen Sie den Vorgang. Sehr wahrscheinlich liegt es daran, daß Sie die
Debug-Protokollierung aktiviert haben. Um das Problem
zu beheben, müssen Sie diese dann deaktivieren. Setzen
Sie dazu den RegistrierschlüsselHKLM \VERITAS\Backup
Exec\Debug\BEMSDKLog auf den Wert 0.
Ältere Versionen einschließlich Beta
Beim Aktualisieren von älteren Versionen - einschließlich Beta - beachten Sie, daß nur jeweils eine Version von
Backup Exec for NetWare auf einem Server installiert sein kann. Wenn Sie von Backup Exec for NetWare Version
8.5 aktualisieren, werden Ihre Aufträge automatisch aktualisiert.
Falls Sie im Partitions-Management-Modus installieren, werden Ihre Partitionsinformationen ebenfalls automatisch aktualisiert. Die neue Medien-Management-Funktion - selbst die begrenzte Version im Partitions-Management-Modus - erfordert einen Medieneinsatzverlauf, damit ersichtlich ist, welche Medien überschrieben werden
können. Da dieser Verlauf nicht in früheren Versionen von Backup Exec enthalten ist, werden alle mit der vorherigen Version erstellten Medien in den Mediensatz Importierte Medien plaziert.
Diese benutzen die Standard-Medienmanagement-Optionen und dürfen nicht ohne Aufforderung überschrieben
werden. An importierte Medien können auch keine Daten angehängt werden.
Wenn bestimmte Medien überschrieben werden sollen, sollten Sie diese Medien inventarisieren und manuell
zum Mediensatz Medien des temporären Pools oder zu einem anderen Benutzermediensatz verschieben, zu
dem Sie Aufträge leiten.
07
Ausgabe 07/2003
35
h
HOTLINE
CISCO
LAN Switching
Teil 6: Switch Cluster
Von Jörg Marx
Nachdem wir nun die wichtigsten Einstellungen und Protokolle auf den Cisco Switches kennengelernt haben, möchten
wir auf das Management der Cisco Switches eingehen. Sicherlich ist Ihnen der Begriff Switch Cluster schon einmal
unter die Augen gekommen. Wir wollen Ihnen die Voraussetzungen und die Einrichtung erläutern.
U
Unter dem Begriff Switch Cluster versteht man bei Cisco
das Zusammenfassen mehrerer Switches zu einer administrativen Einheit von bis zu 15 Switches. Einer dieser
Switches wird als sogenannter Command Switch definiert,
über den die Administration des Clusters durchgeführt
wird. Ein Switch kann maximal zu einem Cluster gehören,
dessen Ausdehnung je nach Konfiguration über einen
einzelnen Serverschrank (Stack Switches) bis hin zu unterschiedlichen Lokationen definiert werden kann, z.B. über
das Layer 3 Switching in einem 3550er.
Zur Kommunikation wird das Cisco Discovery Protokoll
(CDP) verwendet, weswegen ein Cluster auch über einen
Routing Prozeß hinweg bestehen kann. Ein wichtiges
Feature ist die Command Switch Redundancy, bei dem
sogenannte Standby Switches im Fehlerfall die Aufgabe
des Command Switches übernehmen. Hierzu kann eine
Cluster Standby Group definiert werden, in der mehrere
Switches als Standby definiert werden. Ein Vorteil ist die
Administration des Clusters über nur eine IP-Adresse. Die
Voraussetzungen für das Anlegen eines Clusters sind also
eine bestimmte IOS-Version (geräteabhängig), eine freie
IP-Adresse und CDP Version 2. Zudem - wir sagten es
bereits - darf ein Gerät in keinem weiteren Cluster Mitglied
sein.
kein Cluster installieren. Kein Problem dagegen würde ein
einfacher Ethernet Hub darstellen. Switches hinter solchen Geräten könnten in ein über den Hub erreichbares
Cluster integriert werden. Auch Switches, die über VLAN
verbunden sind, die dem Cluster Command Switch nicht
bekannt sind, werden nicht erkannt. Somit sollten Sie alle
Switches innerhalb eines Clusters immer über ein Trunk
Abb. 1: CDP Automatic Discovery
HOTLINE
Erkenntnisse
Der Cluster Command Switch sucht seine Mitglieder via
CDP-Protokoll über jedes ihm bekannte VLAN. Zusätzlich werden alle Geräte, die über einen Hop Count von 3
(Default) erreicht werden, erkannt. Dieser Wert läßt sich
aber durch Konfigurationsänderungen bis auf 7 Hop Counts
erweitern.
In Abbildung 1 finden Sie den Cluster Command Switch
in der obersten Ebene. Dieser befindet sich im VLAN 16
und 62, der Default Hop Count steht auf 3. Im VLAN 16
wird der eine, noch nicht im Cluster befindliche Switch
über das CDP erkannt und integriert. Im VLAN 62 werden
nur die ersten drei aufgrund der Hop Einstellungen erkannt, der vierte ist somit kein Switch Candidate.
Probleme entstehen immer dann, wenn sich in der Kette ein
Gerät befindet, das nicht clusterfähig ist und im OSI Layer
2 aufwärts arbeitet. Über solche Geräte hinweg läßt sich
Abb. 2: Redundanter Cisco Switch Cluster
07
Ausgabe 07/2003
36
Command Line Interface (CLI) eine IP-Adresse auf dem
Default VLAN 1 vergeben. Jetzt können alle weiteren
Konfigurationen über die graphische Benutzeroberfläche
(GUI) erledigt werden. Hierzu geben Sie im Browser die
Zeile http://<IP-Adresse des Switches> ein.
Es öffnet sich die GUI. Gehen Sie über den Punkt Cluster > Create Cluster, es öffnet sich ein Fenster, in
dem Sie die Cluster Nummer (Default ist 0) und einen
Clusternamen definieren müssen. Mit einem OK wird nun
der Cluster Command Switch angelegt.
Im nächsten Schritt müssen Sie ihm seine Mitglieder
bekannt machen. Stellen Sie sicher, daß alle Switches, die
in den Cluster integriert werden sollen, korrekt mit dem
Cluster Command Switch verbunden sind, und daß alle
Geräte angeschaltet wurden. Über das Fenster View >
Refresh sollten Sie noch einmal den automatischen
Discovery Prozeß anstoßen, damit alle Geräte korrekt
erkannt werden können. Jetzt können Sie über den Punkt
Select Cluster > Add to Cluster alle angezeigten Geräte über den Button ADD oder Select all
übernehmen.
verbinden. Innerhalb dieses Trunks sollten Sie keine
einzelnen VLANs ausklammern. So kann man sehr einfach sicherstellen, daß alle Geräte, die in den Cluster
sollen, auch sauber erkannt werden.
Ein Cisco Switch Cluster kann hochredundant ausgelegt
werden. Hierzu wird das Cisco-eigene Hot Standby
Routing Protocol (HSRP) verwendet. Hiermit sind Sie in
der Lage, einen Cluster Command Switch mit einem
Standby und einem weiteren passiven Switch redundant
auszulegen. In Abbildung 2 wird deutlich, wie ein solches
Netzwerk physikalisch aufgebaut werden muß.
Parameter
Der Cluster Command Switch benötigt eine IP-Adresse,
über die das Management durchgeführt werden kann. Je
nach den Wünschen des Kunden könnte hier auch eine
Secundary IP-Address eingetragen werden, die Administration ist dann über beide Adressen möglich. Wird
jedoch ein redundanter Cluster mittels Standby-Group
angelegt, muß eine virtuelle IP-Adresse angelegt werden,
die im Fehlerfall auf den Standby Switch übertragen wird,
damit der Cluster weiterhin funktionsfähig ist.
Ein wichtiger Punkt sind die Host Names auf den Switches.
Diese sind für die Funktion des Clusters zwar nicht zwingend erforderlich, sie erleichtern dem Administrator jedoch die Arbeit. Standardmäßig haben alle Cisco Switches
den treffenden Hostnamen Switch, nicht gerade förderlich für eine schnelle und einfache Administration. Vergeben Sie jedem Switch einen eindeutigen Hostnamen, der
Ihnen hilft, den Switch einer Örtlichkeit und/oder Funktion zuzuordnen. Ein Cisco Cluster hat sein eigenes Password
Management. Jeder Switch, der sich in den Cluster integriert, erhält das Paßwort des Cluster Command Switches
und gibt es beim Verlassen des Clusters wieder frei. Wurde
kein Paßwort auf dem Cluster Command Switch vergeben,
kann man sich ohne anmelden.
Cluster Standby Group
Das war im Prinzip schon alles, anschließend ist Ihr Cluster
aktiv. Ab sofort können alle administrativen Aufgaben
über das Cluster Management vorgenommen werden. Der
nächste Schritt wäre nun, eine Cluster Standby-Group
anzulegen, um eine gewisse Ausfallsicherheit zu erhalten.
Hierzu gehen Sie über C l u s t e r > S t a n d b y
Commanders und bekommen eine Auswahl angezeigt
(vgl. Tab. 1), über die Sie definieren können, welche
Aufgabe jeder einzelne Switch in der Standby-Group
erhalten soll. Danach vergeben Sie noch die virtuelle IPAdresse, über die das Management erfolgen soll. Achten
Sie darauf, daß sich diese im richten IP-Subnet befindet.
Abschließend vergeben Sie den Group Namen und auch
diese Konfiguration ist fertig. Zur Überprüfung erhalten
Sie unter Select View > Topology die graphische
Ansicht des erzeugten Clusters. Gehen Sie über den Punkt
Select Reports > Inventory, so bekommen Sie ein
Auflistung der integrierten Geräte. Auch eine Überprüfung über CLI-Interface ist möglich, wenn Sie auf dem
entsprechenden Switch in den Enable-Mode gehen. Über
das Kommando SWITCH# rcommand 3 z.B. gelangen
Sie auf den Switch Cluster Member 3. Hier können Sie sich
mit SHOW CLUSTER MEMBERS anzeigen lassen, welche
Switches zu diesem Clusterverbund gehören.
Wenn das Paßwort auf dem Cluster Command Switch
im laufenden Betrieb geändert wurde, hat das zur
Folge, daß alle Member Switches nicht mehr
administrierbar sind. Erst nach einem Reboot können
Sie wieder auf diese Switches zugreifen.
Die Installation eines Switch Clusters hat auch zur Folge
das sich die SNMP Paßwörter ändern. Sowohl das ReadOnly (RO) als auch das Read-Write (RW) Paßwort erhalten
am Ende die Zeichen @esN, wobei N die Member Switch
Nummer darstellt.
Tabelle 1
AC
SC
PC
HC
CC
Installation
Zur Installation eines Cisco Switch Clusters müssen Sie im
ersten Schritt den Cluster Command Switch definieren.
Anschließend bekommt dieser Switch mittels des
Active Command Switch
Standby Command Switch
Mitglied der Cluster Standby-Group,
jedoch nicht der Standby Command Switch
Candidate Switch, der hinzugefügt werden kann
Command Switch, wenn das HSRP Protokoll
abgeschaltet ist
Tabelle 1: Bezeichnung Cluster Standby-Group
07
Ausgabe 07/2003
37
h
HOTLINE
NORTEL NETWORKS
Stack IT
Tips & Tricks zur Autonegotiation der BayStack 450er
Die BayStacks 450 unterstützen sowohl Autosense als auch Autonegotiation. Verwenden aber Kommunikationspartner
Verfahren, die nicht dem Standard IEEE 802.3u entsprechen, so wird der BayStack 450 Probleme haben, eine
kompatible Verbindung aushandeln zu können.
D
Der Begriff Autosense bezieht sich
auf die Fähigkeit eines Ports, die Geschwindigkeit eines angeschlossenen
Gerätes zu ermitteln. Autosensing wird
immer dann benutzt, wenn das angeschlossene Gerät nicht in der Lage ist,
das standardisierte Autonegotiating
Protokoll der IEEE zu unterstützen,
oder wenn eine Form der Autonegotiation Verwendung findet, die
nicht kompatibel zu IEEE ist. Bei der
Autonegotiation handelt es sich um
ein nach IEEE 802.3u standardisiertes Protokoll, das zwischen den beteiligten Kommunikationspartnern eingesetzt werden kann, um die beste
Geschwindigkeit und den besten Duplex-Mode einer Verbindung zu bestimmen.
HOTLINE
Port Connection
Eine mögliche Fehlerquelle bei
Verbindungsproblemen zwischen einer Arbeitsstation und einem Port des
BayStack 450 Switch kann die Verwendung eines inkompatiblen Modes
darstellen. Hierunter versteht man, daß
z.B. die Workstation auf Half Duplex
eingestellt ist, der Port des BayStack
aber im Full-Duplex Mode arbeitet.
In der Defaulteinstellung verwendet
der BayStack 450 Switch die sogenannte Autonegotiation gemäß IEEE
802.3u. In dieser Betriebsart wird der
Switch versuchen, die Geschwindigkeit und den Duplex-Mode mit der
Gegenstelle auszuhandeln und auf die
bestmögliche Betriebsart einzustellen, das sind bis zu 100 Mbit/s und
Full Duplex.Verwendet die angeschlossene Arbeitsstation aber eine
Form der Autonegotiation, die nicht
folgend, welche Gegenmaßnahmen Sie ergreifen
können.
Port
Konfiguration
dem IEEE 802.3u Standard entspricht,
so wird der BayStack 450 keine kompatible Verbindung aushandeln, um
ordnungsgemäß Pakete versenden
und empfangen zu können. Probleme
können ebenfalls auftreten, wenn bei
der Workstation das Feature Autonegotiation nicht verfügbar oder ausgeschaltet ist. In diesem Fall wird das
Nortel Networks Device den korrekten Duplex-Mode nicht herausfinden
können. In beiden geschilderten Situationen wird der BayStack 450 trotz
allem versuchen, die Geschwindigkeit und den Duplex-Mode der Verbindung auszuhandeln. Im Zweifelsfall schaltet der Switch auf 100 Mbit/
s und Half Duplex zurück. Sollte die
Gegenstelle aber z.B. 100 Mbit/s mit
Full Duplex fest eingestellt haben, so
ist eine Kommunikation nicht möglich.
Gegenmaßnahmen
Wenn Sie also feststellen, daß eine
Verbindung zwischen dem BayStack
450 und einer angeschlossenen Workstation nicht sauber oder gar nicht
funktioniert, so zeigen wir Ihnen nun
Im Konfigurationsmenü des BayStack 450
finden Sie in der Unterrubrik Switch Confi
guration / Port Con
figuration die Einstellungsmöglichkeiten für einen oder
alle Ports des Systems. Hier können
Sie den Port Status eines oder
mehrerer Ports auf disabled setzen, die Funktion Autonegoti
ation einschalten oder aber ,die Geschwindigkeit und den Duplex-Mode
manuell konfi-gurieren. Nur Fiber
Optic Ports unterstützen das
Autonegotiation-Feature nicht. Im
Menü Port Configu ration
sind für unsere Zwecke zwei Punkte
von Bedeutung, Autonegotia
tion und Speed/Duplex.
Autonegotiation
Zur Auswahl stehen die Werte
enabled und disabled. Wird der
Parameter auf enabled gesetzt, so
versucht der Port, die bestmögliche
Betriebsart mit dem Kommunikationspartner auszuhandeln, optimalerweise wären das 100 Mbit/s und
Full Duplex. Für Fiber Optic Ports
bleibt der Wert disabled eingestellt, er läßt sich nicht ändern. Sollte
es zu Verbindungsproblemen mit der
Gegenstelle kommen, und Sie möch-
07
Ausgabe 07/2003
38
ten aus diesem Grund die Parameter
der Ports manuell einstellen, so schalten Sie die Autonegotiation an dieser
Stelle für die entsprechenden Ports
auf disable.
Speed/Duplex
Mit Hilfe der zur Verfügung stehenden Werte können Sie dann für jeden
Port die Geschwindigkeit und den zu
verwendenden Duplex-Mode von
Hand einstellen. In der Default-Einstellung verwendet der Switch, sofern
die Autonegotiation ausgeschaltet ist,
die Werte 100 Mbit/s - Half
Duplex. Zusätzlich gibt es die Kombinationen 10 Mbit/s - Half Duplex, 10Mbit/s - Full Duplex
und 100 Mbit/s - Full Duplex.
High Speed
Sollte in Ihrem Switch ein GigaBit
MDA installiert sein, so können Sie
unter der Port Konfiguration nur das
Statusfeld konfigurieren. Alle weiteren Einstellungen des MDA bezüglich der Autonegotiation nehmen Sie
unter High Speed Flow Control
Configuration vor. In diesem
Menüpunkt besteht die Möglichkeit,
für installierte MDAs die benötigten
Port Parameter einzustellen. Doch erscheint das gerade erwähnte Menü
nur, wenn im Switch auch ein optionales MDA installiert wurde.
Wird Autonegotiaton eingeschaltet,
so gilt es zu beachten, daß in diesem
Fall allein die Betriebsart1000 Mbit/
s - Full Duplex zur Verfügung
steht. Als Optionen für die Port Konfiguration stehen wiederum die Werte
enabled und disabled zur Auswahl.
Flow Control
Kontrolle über den Datenverkehr,
auch um einer Überlastung des MDAPorts vorbeugen zu können, erhalten
Sie im MenüpunktFlow-Control.
In der Default-Einstellung ist die Funktion ausgeschaltet. Für eine Konfiguration stehen die ModesSymmetric
und Asymmetric (s.u.) zur Auswahl. Das High-Speed Flow-Control
Feature ist für die Kontrolle des Da-
tenverkehrs auf einer GigaBit Full
Duplex Connection gedacht und soll
vor Überlastungen dieser Verbindung
schützen. Wenn Flow-Control
enabled wurde und der ReceiveBuffer des GigaBit-Port überzulaufen
droht, so sendet das Gerät ein FlowControl Signal zur Gegenstelle, um
dieser mitzuteilen, daß keine Daten
mehr gesendet werden sollen. Sobald
der Receive-Buffer wieder entsprechenden Speicherplatz für Pakete
anbieten kann, erfolgt das Aussenden
eines weiteren Signals an die Gegenstelle, um anzuzeigen, daß mit dem
Versand der Pakete fortgefahren werden kann. Es stehen zwei Methoden
des Flow-Control zur Auswahl.
Symmetric Mode
Die symmetrische Betriebsart erlaubt
es dem GigaBit MDA Port wie auch
dem Kommunikationspartner, sogenannte Flow Control Pause
Frames untereinander auszutauschen. Wird ein Pause-Frame entweder vom MDA-Port des Switches oder
vom Device der Gegenstelle empfan-
gen, so wird der entsprechende Port
für eine Anzahl von Slot-Times, welche im Control-Frame spezifiziert
wurden, mit dem Versenden von
Datenpaketen aussetzen. Das gleiche
gilt im Falle des Empfangs eines sogenannten “Pause-Release ControlFrame”. Der Symmetric Mode setzt
voraus, daß beide an der Verbindung
beteiligten Geräte diesen unterstützen.
Asymmetric Mode
Die zweite, asymmetrische Betriebsart erlaubt es den Kommunikationspartnern, Pause Frames zum GigaBit
Port des MDA zu senden. Sobald eines empfangen wird, stellt der Port das
Versenden weiterer Pakete ein. In diesem Modus kann der GigaBit MDAPort keine eigenen Pause-Frames zu
den Gegenstellen senden.
Verwenden Sie diesen Mode also
dann, wenn es sich beim Kommunikationspartner um ein Gerät handelt, welches in der Lage ist, über
spezielle Buffer Daten zwischenzuspeichern.
CITRIX
Tips & CiTricks
MetaFrame XP & IMA Service
MetaFrame und IMA Service werfen unter den verschiedenen Microsoft Betriebssystemen manchmal einige Probleme auf. So kann bei Citrix MetaFrame
1.8 bzw. XP 1.0 for Microsoft Windows 2000 oder NT 4.0 Server Terminal
Server Edition ein Neustart des Internet-Browsers und der IMA-Service nach
dem Wechsel der Server IP-Adresse erforderlich werden. Hier sind einige
hilfreiche Tips des Citrix Supports.
W
Windows 2000 erlaubt, im Gegensatz
zur Microsoft Terminal Server Edition, den Wechsel einer IP-Adresse
ohne Neustart des Systems. Sollten
Sie nun die IP-Adresse eines
Windows 2000 MetaFrame XP Servers ändern und das System nicht neu
starten können, so ist es erforderlich,
den Internet-Browser und den IMA-
07
Ausgabe 07/2003
39
Dienst neu zu starten, damit die modifizierte IP-Adresse übernommen
wird.
QFARM
Bei MetaFrame XP 1.0 for Microsoft
Windows 2000 und NT 4.0 Server
Terminal Server Edition gibt es beim
QFARM-Kommando manchmal Feh-
h
HOTLINE
ler in der Verbindung zum lokalen
IMA-Server. Der Grund für dieses
Fehlverhalten liegt an einer indirekten Verbindung zum Data Store. Die
Lösung des Problems erfordert die
Ausführung der folgenden Arbeitsschritte. Nach dem Anlegen einer
neuen DSN mit direktem Verweis auf
den Data Store muß DSMaint ausgeführt werden, mit direktem Verweis
auf die neue DSN. Nach dem Anhalten des IMA-Service kann der Neustart erfolgen.
IMAPSSS.DLL
Es kann vorkommen, daß der IMAService während der Installation von
Citrix MetaFrame XP nicht gestartet
werden kann. In diesem Fall erhalten
Sie die Fehlermeldung:
error 3609 failed to load
imapsss.dll 800000016h, 3601
failed to load initial plugin
800000016h and 7024- ima
terminated
with
service
specific error.
Stellen Sie sicher, daß der SQL Server sowohl die Windows- als auch die
SQL-Authentication benutzt.
Abbruch
Bricht der IMA-Service beim Start mit
der Error-Message 2147483649 ab,
so öffnen Sie zur Behebung des Fehlers den Registry-Editor und navigieren zum Registry-Key HKEY_LO
CAL_MACHINE\SOFTWARE\
ODBC\ODBCINST.INI \ Microsoft Access Driver(*.mdb).
Anschließend erfolgt die Selektion
der Option Driver. Der komplette
Registry-Eintrag sollte wie folgt aussehen:
Value Name: Setup
Data Type: REG_SZ
String: C:\WINNT\System32\
odbcjt32.dll
Wenn notwendig, muß der Laufwerkbuchstabe auf Ihre Installation angepaßt werden.
Event ID´s 7031, 65
Nach der Deinstallation des Citrix
Resource-Manager vom MetaFrame
XP Server kann es vorkommen, daß
der IMA-Dienst nicht neu gestartet
werden kann, solange einige Dateien
nicht manuell gelöscht wurden. Nor-
malerweise erfolgt die Deinstallation
über das Control-Panel unter dem
Menüpunkt Add / Remove Programs. Der Deinstallationsprozeß
des Citrix Resource-Manager entfernt
aber nicht alle Dateien von Ihrem
System, so daß Sie im Ereignisprotokoll die Fehlermeldungen
Event ID 7031 und ID 65 vorfinden, wenn versucht wird, den IMADienst zu starten. Um den Fehler zu
beseitigen, löschen Sie bitte die folgenden Dateien von der %System
Root%\System32\Citrix\IMA
Directory:
RMAlertsSAL.dll
RMAnalysisReportsSAL.dll
RMAnalysisSAL.dll
RMAppSAL.dll
RMLogFileSAL.dll
RMMonitorSAL.dll
RMReportSAL.dll
Um den Citrix Resource-Manager
komplett von Ihrem System zu entfernen, müssen Sie noch dasVerzeichnis %Programme%\Citrix\
Citrix Resource Manager und
die darin enthaltenen Unterverzeichnisse von Hand löschen.
MICROSOFT
Selbst ist der Mann
Windows XP: Performance-Steigerung
HOTLINE
Performance-Steigerungen lassen sich unter Windows XP an den verschiedensten Stellen erzielen. Dazu müssen meist
nur einige Parameter umgestellt werden. Immer noch wird eine Vielzahl von unnötigen Diensten und Dateien geladen,
auf die man guten Gewissens verzichten kann.
D
Der Registry-Key HKEY_LOCAL_
MACHINE/SYSTEM / Current
ControllSet / Control/Ses
sionManager / Memory Management dient der Anpassung des
Speichermanagements von Windows
XP an die individuellen Bedürfnisse
des Anwenders oder der Applikationen. Bei den verwendeten PCs unterscheiden sich nämlich Speicherausstattung, Cache und Anwendungsschwerpunkt. Die Option Disable
PagingExecutive unterhalb des
oben genannten Registry-Keys ist für
die Steuerung der ausgelagerten Dateien vom schnellen RAM auf die
langsamere Festplatte zuständig. Verfügt die Workstation über mehr als
256 MByte Memory, so sollte die
Defaulteinstellung mit dem Wert 1
terminiert werden.
Als Ergebnis dieser Aktion erhält der
Anwender schneller arbeitende Applikationen, auch die Reaktion auf
Anforderungen und Aktualisierungen
läuft schneller ab.
Einen gleichen Effekt erhält man auch
durch die Modifikation des Punktes
LargeSystemCache. Dieser Parameter ist dafür verantwortlich, daß der
Kernel von Windows nicht auf die
Festplatte ausgelagert wird, sondern
im schnellen RAM verbleibt. Wird
der Parameter mit dem Wert 1 aktiviert, so wird Windows den gesamten
Systemspeicher bis auf den für das
Dateisystem-Caching reservierten
Bereich von vier Megabyte übernehmen.
07
Ausgabe 07/2003
40
Beschleunigung
Schonung
Eine schnellerer Datentransfer kann
erzielt werden, indem die Option
IOPageLockLimit angepaßt wird.
Durch die Modifikation wird die EinAusgabeleistung der Workstation in
Abhängigkeit des zur Verfügung stehenden Memory besser abgestimmt.
Windows arbeitet standardmäßig mit
dem Hex-Wert 0, was 512 KByte entspricht. Diese Vorgabe ist aber für
Rechner, die mehr als 128 MByte
Speicher besitzen, viel zu knapp bemessen. Bei dieser Ausstattung sollten Sie den Wert auf4000 (16 MByte)
oder 10000 (64 MByte) hochsetzen.
Weiterhin ist es noch erforderlich den
LargeSystemCache auf2, und die
Size auf 3 einzustellen, damit die
Konfiguration für alle Operationen
gilt. Als zusätzlichen positiven Effekt erhalten Sie ein stabileres System, da die Daten nun schneller abgearbeitet werden und hiermit die
Gefahr von Timeouts reduziert wird,
die wiederum für einige Blue Screens
verantwortlich sind.
Eine Perfomance-Steigerung von
Windows XP kann auch erreicht werden, indem beim Systemstart automatisch gestartete Programme deaktiviert werden. Ausgeführt wird diese
ressourcenschonende Aufgabe über
das Öffnen von Start / Ausführen mit anschließender Eingabe des
Befehlsc:\windows\pchealth\
helpctr\binaries\msconfig
-6. Das Kommando startet das Programm automatisch mit dem Register
Systemstart. Hier finden Sie eine
Liste aller Programme, die beim
Systemstart automatisch geladen werden, aber oftmals gar nicht benötigt
werden. Werden Sie aber gestartet,
verbrauchen Sie unnötig Ressourcen.
Über die Änderung der Checkbox vor
jedem Programm können Sie dieses
entweder aktivieren oder deaktivieren.
Mitgeschleppt
Seit dem Erscheinen von Windows 95
gilt für alle Nachfolgeversionen die
Problematik, daß beim Start diverser
Applikationen alle verknüpften DLLDateien mit in den Speicher geladen
werden. Und hier verbleiben sie nun,
auch wenn die eigentliche Applikation geschlossen wird. Wenn man nun
bedenkt, daß jede Applikation ihre
DLLs nachlädt, so ist abzusehen, daß
sich nach kurzer Zeit sehr viele Dateien im Speicher befinden. Das Resultat
ist ein System, dessen Performance
rapide abnimmt.
Durch einen neuen Eintrag in der
Registry unter HKEY_LOCAL_
MACHINE / SOFTWARE / Microsoft / Windows / Current Version / Explorer wird dafür Sorge
getragen, daß Windows in Zukunft
alle nicht mehr benötigten DLL-Dateien aus dem Speicher entfernt. Das
einzige, was Sie dazu tun müssen ist,
den Wert REG_SZ neu einzustellen,
so daß er ausdrücklich und unmißverständlich ein AlwaysUnloadDLL
erhält.
Abschalten
Bei jedem Start von Windows XP
werden eine Vielzahl von Diensten
geladen, die z.B. die Netzwerkverbindungen starten, Sicherheitseinstellungen ausführen oder die Verantwortung für das Laden von Treibern übernehmen. Natürlich muß man
Vorsicht walten lassen und darf nicht
wahllos Dienste deaktivieren, da viele von Ihnen die Grundvoraussetzung
für den ordnungsgemäßen Start von
Windows XP sind. Trotzdem lassen
sich einige Dienste abschalten, wenn
z.B. die entsprechende Hardware gar
nicht installiert ist (Wireless Adapter
oder SmartCard Lesegeräte). Der Dienste-Manager übernimmt hierbei die
Steuerung und läßt sich über das
Kontextmenü des Arbeitsplatzsymbol
über die Option Verwalten öffnen.
Ob und welche Dienste per Default
beim Booten des Systems gestartet
wurden, erfahren Sie im Menüpunkt
Dienste und Anwendungen.
Hierbei schreibt die jeweilige
Windows-Umgebung vor, welche
Services zwingend gestartet werden
müssen. Eine pauschale Aussage kann
hierzu nicht getroffen werden. Die
Abhängigkeit der Dienste untereinander stellt auf jeden Fall ein
Entscheidungskriterium dar, welche
07
Ausgabe 07/2003
41
Dienste denn nun deaktiviert werden
können. Wenn Sie einen Doppelklick
auf den entsprechenden Service ausführen, kann auf der Registerkarte
Abhängigkeiten kontrolliert werden, welche Beziehungen die einzelnen Dienste untereinander haben.
Können Sie keine Abhängigkeiten
feststellen, so ist es möglich, diese
Services im RegisterAllgemein im
laufenden Betrieb zu beenden und
gänzlich zu deaktivieren. Sie sollten
das Abschalten der Dienste sorgsam
durchführen und auf jeden Fall die
korrekte Funktionsweise des Systems
überprüfen.
Prioritäten
Über den Task-Manager von Windows
XP, der über die Tastenkombination
[Strg-Alt-Entf] aufgerufen wird, lassen sich den laufenden Anwendungen verschiedene Prioritäten zuweisen. Hierzu bietet der Task-Manager
die RegisterseiteProzesse. Die einzelnen Prioritäten unterteilen sich in
niedrig, normal und hoch. Je höher
der Prioritätswert gesetzt wird, um so
mehr Rechenzeit bekommt die Applikation von der System-CPU zugewiesen. Um einzelne Hardwarekomponenten anderen gegenüber zu bevorzugen, findet die Registry von
Windows XP ihre Anwendung. Zuerst
gilt es die IRQ-Nummer der entsprechenden Komponente zu ermitteln.
Sie finden diese im Gerätemanager
unter Eigenschaften
/ Ressourcen des vorher selektierten
Gerätes. Anschließend wird mit Hilfe
des Registry-Editors unter dem
Schlüssel HKEY_LOCAL_Machine
/ System / CurrentControllSet
/ Control / PriorityControl
ein neuer Dword-Wert angelegt, der
den Namen IRQ$Priority haben
muß (das $-Zeichen steht hier stellvertretend für die IRQ-Nummer). Ein
Wert von eins bedeutet, daß Windows
dem Device beim Datenaustausch den
Vorzug geben wird.
Natürlich könnte man nun mehreren
Geräten die gleiche hohe Priorität
zuweisen, was aber die Effektivität
dieser Maßnahme schmälern würde
und gleichzeitig die Stabilität des
Systems verringert.
h
HOTLINE
COMPU-SHACK PRODUCTION
So geht´s
Printserver und DSL Router im Netzwerk
Wie ist die generelle Vorgehensweise beim Einsatz eines PRINTline Printservers? Und was ist zu tun, wenn der
Printserver im Netzwerk nicht gefunden wird? Was ist bei der Konfiguration des DSL Routers in Zusammenhang mit
dem Point to Point Tunneling Protokoll zu beachten ? Das Vorgehen ist recht einfach.
HOTLINE
B
Bei der Inbetriebnahme des
PRINTLine Printservers verfügt dieser per Default noch über keine IPAdresse. Um diese an das Gerät zu
vergeben, verwenden Sie das auf der
CD mitgelieferte Utility BiAdmin,
welches im Unterverzeichnis
\Utility\Biadmin zu finden ist.
Nach der Installation auf einem
Windows Betriebssystem werden Sie
nach dem gewünschten Protokolltyp
gefragt. Wählen Sie dortTCP/IP aus.
Um dem Gerät nun eine IP-Adresse zu
vergeben, verwenden Sie den Menüpunkt Init Device – Set IP
A d d r e s s . Den dort erfragten
Default Name finden Sie auf der
Rückseite Ihres Gerätes, beginnend
mit den Buchstaben SC und einer
daran anschließenden sechsstelligen
hexadezimalen Zahl, welche ein Teil
der MAC Adresse des Gerätes ist. Falls
auf Ihrem Computer NetBEUI oder
IPX/SPX installiert ist, können Sie
den Printserver auch über diese Protokolle konfigurieren.
Klar zum Einsatz
Wird der Printserver von mehreren
Rechnern in einem Netzwerk verwendet, empfiehlt die Compu-Shack
Production grundsätzlich, den
Printserver über einen zentralen Server, der als Spooler fungiert, anzu-
sprechen. Sollte Ihnen diese Möglichkeit nicht zur Verfügung stehen,
finden Sie auf der Produkt-CD im
Verzeichnis \Driver\Ptp_95nt
einen Printserver-Treiber, welchen Sie
alternativ für den Zugriff eines einzelnen Rechners unter Windows 95/98/
ME verwenden können. Sie rufen in
diesem Verzeichnis das Setup auf und
müssen nur noch der Installationsanleitung folgen.
Bei Windows 2000/XP wird bereits
von Microsoft der erforderliche
Standard TCP/IP Port mitgeliefert. Um einen Drucker zu installieren und diesen Port zu verwenden,
klicken Sie lediglich in der Systemsteuerung unter Drucker auf Neuen
Drucker hinzufügen.
PRINTline
Produktnummer
Firmware
10/1 Printserver
CS-23-542-01
v. 6022*
10/3 Printserver
100A/1 Printserver
CS-23-542-02
CS-23-542-06
v. 6022*
v. 6023*
100A/3 Printserver
CS-23-542-07
v. 6023*
* Bitte beachten Sie, daß die aktuelle Firmware von der Hardware Revision des
jeweiligen Gerätes abhängig ist. Sollten Sie beim Update auf Probleme stoßen, wenden
Sie sich bitte an die Compu-Shack Hotline.
DSL Router Update
Ältere Firmware Releases bereiten bei
der Konfiguration des DSL Routers in
Zusammenhang mit dem Point to
Point Tunneling Protokoll Probleme.
Ist eine PPTP Konfiguration eines
solchen Gerätes der DSLline nicht
möglich, meldet es PPTP Server
not found. Doch dieses Problem ist
mit einem aktuellen Firmware Updates für das jeweilige Gerät meist
schnell behoben. Prüfen Sie daher, ob
Sie die aktuelle Firmware auf dem
Gerät einsetzen. Diese können Sie
jederzeit auf der Hersteller-Website
unter www.cs-production.com
herunterladen. Hier finden Sie unter
dem Punkt Handbücher auch eine
deutschsprachige Beschreibung, wie
Sie bei der Konfiguration des Routers
in Verbindung mit PPTP vorgehen
müssen.
DSLline
Produktnummer
Firmware
Wireless Router
CS-23-491-04
v. 1.5 Release 2B
Internet Gateway 1
CS-23-491-01
v. 1.4 Release A2
Internet Gateway 2
CS-23-491-01
v. 1.6 Release 0A
Wireless Internet Gateway CS-23-491-02
v. 1.6 Release 0B
07
Ausgabe 07/2003
42
TRAINING
TWINS win
Netzwerk-Trainings zum ½ Preis
Cisco hat ihre Kurse aus dem CCNP-Paket komplett überarbeitet. Microsoft setzt mit Windows 2003 Server neue
Maßstäbe. Novell bereitet den Markt auf die neue Version 6.5 von NetWare vor. In der IT Branche gibt es keinen
Stillstand. Das wissen die Netzwerker, die permanent gezwungen sind, ihr Wissen auf dem neuesten Stand zu halten,
nur all zu gut. Da kommt die TWINS-Aktion mit ihren interessanten Preisnachlässen gerade recht. Denn die Aktion
schließt alle Trainings aus dem Portfolio der Compu-Shack mit ein.
Für strapazierte Ausbildungsbudgets hat Compu-Shack Training während der Sommermonate ihre TWINS-Aktion
neu aufgelegt. Nach dem Motto “Wir lassen Sie in harten Zeiten nicht im warmen Sommerregen stehen!” bietet die
jetzt angelaufene Aktion bis zum 12.September 2003 wetterfeste Preisvorteile. Wenn zwei Teilnehmer das gleiche
Seminar buchen, zahlt der zweite nur noch den halben Preis. Dabei spielt es keine Rolle, wann das Seminar stattfindet.
Maßgeblich ist der Buchungstermin. Doppelt fit für die neuen Herausforderungen der großen Hersteller, sparen die
beiden je 25% Prozent auf topaktuelle Trainings.
Beispielsweise zum Thema
Für alle Neueinsteiger in das Thema Windows Server oder Umsteiger aus Windows NT empfiehlt sich das Seminar
MS 2274 “Managing a Microsoft Windows Server 2003 Environment”. Es vermittelt in Theorie und Praxis alle
wichtigen Funktionen des neuen Windows 2003 Server. Für Aufsteiger aus der Windows 2000 Server Welt bieten
sich gleich mehrere Seminare an:
MS 2275 “Maintaining a Microsoft Windows Server 2003 Environment”,
MS 2276 “Implementing a Microsoft Windows Server 2003 Network Infrastructure: Network Hosts” oder
MS 2277 “Implementing, Managing and Maintaining a Microsoft Windows Server 2003 Network Infrastructure:
Network Services”.
Die Teilnehmer erhalten einen detaillierten Einblick in die komplexe Welt des Windows 2003 Servers.
Beispielsweise zum Thema
Sie arbeiten noch mit NetWare 4 und wollen höher hinaus? Kein Problem! Mit den Kursen NV3002 “NetWare 4 to
NetWare 6 CNE Upgrade Prerequisite” und NV 3000 “NetWare 5 to NetWare 6 Upgrade” bringt Compu-Shack
Training Novell Administratoren schnell und effizient auf den Stand von NetWare 6. Für Aufsteiger von NetWare
5 zu 6 empfiehlt sich der Novell Kurs NV3000 “NetWare 5 to NetWare 6 Upgrade”. Denn mit diesem Seminar ist der
Umstieg auf NetWare 6 in nur 5 Tagen zu schaffen. Und wer von Grund auf neu einsteigen will, ist mit den Kursen
NV3004 “Novell Network Management NetWare 6” und NV3005 “Advanced Novell Network Management NetWare
6” bestens beraten.
Beispielsweise zum Thema
Für Neueinsteiger, die ihr Cisco-Wissen auf eine solide Grundlage stellen möchten, ist das ICND- Vorbereitungsseminar
ein gute Wahl, denn hier werden sie optimal auf die Interconnecting Cisco Network Devices vorbereitet. Dafür gibt
es zwei Möglichkeiten. Im Standard Cisco Kurs erlernen die Teilnehmer in nur fünf Tagen anhand praktischer
Übungen den richtigen Umgang mit Switches und Routern von Cisco. Die Alternative ist der zweigeteilte ICND-Kurs.
In zweimal drei Tagen wird der Informationsdruck etwas abgefedert und der Stoff auf einen sechsten Trainingstag
verteilt. Wichtig ist lediglich die Reihenfolge. Daher beginnen die ersten drei Seminartage mit dem ICND SwitchPart, der alle Grundlagen vermittelt, die für den zweiten Teil zu den Cisco-Routern benötigt werden.
Unter www.training.compu-shack.com finden Sie detaillierte Informationen zu den Twins-Angeboten dieses
Sommers, zu allen Seminaren, Terminen, Inhalten und Zertifizierungen.
07
Ausgabe 07/2003
43
p
PRAXIS
DATAVOICE
Über VoIP gesprochen
Teil 4: UMS in konvergenter Systemumgebung – ein Praxisbericht
Die Steigerung der Produktivität ist die Triebfeder, um die Kommunikation inner- und außerhalb eines Unternehmens
zu verbessern. Denn arbeitet eine Organisation effizient, kann sie daraus Wettbewerbsvorteile erschließen und ihre
Marktposition stärken. Wie die technischen Voraussetzungen dazu gelegt werden, beschreibt ein Praxisbericht des
Systemhauses thetakom am Beispiel eines UMS /CTI Projekts bei der Infraserv Höchst KG .
I
PRAXIS
IP-Telefonie zeichnet sich dadurch
aus, daß der Sprachkommunikationsdienst und damit verbundene Applikationen wie CTI und Unified
Messaging, die das Spektrum der
wichtigen Bürokommunikationsdienste abdecken, als zentrale, standortunabhängige Services auf dem
vorhandenen Datennetz zur Verfügung gestellt werden. Der Schwenk
auf eine neue Kommunikationstechnologie zeigt sich jedoch oftmals als
mehrschichtiges Problem. Denn in den
Unternehmen und Organisationen
gibt es immer eine bestehende Kommuni-kationsinfrastruktur, in die bereits
Investitionen gesteckt wurden, die es
aus Gründen der Wirtschaftlichkeit
zu schützen gilt. Oftmals auch genügen aus technischer Sicht die vorhandenen aktiven und passiven Komponenten oder die Bandbreiten der
Netzwerkinfrastruktur nicht den Anforderungen der IP Telefonie. Zudem
unterscheidet sich das Spektrum der
Funktionen, die mit der neuen Technologie abgedeckt werden können,
von den bestehenden. Daher ist für die
Mehrzahl der Fälle eine sanfte Migration von der bestehenden Technologie zur neuen Technologie sinnvoll.
Industriepark Hoechst
Diesem Anforderungsprofil gerecht
zu werden, hat sich die Infraserv GmbH
&Co. Hoechst KG auf die Fahnen
geschrieben. Sie ist Standortbetreiber
auf dem Industriepark Hoechst in
Frankfurt am Main, wo zumeist Unternehmen der Chemie-, Pharma- und
Biotechnologiebranche angesiedelt
sind. Als Systemanbieter versorgt
Infraserv seine Kunden mit Produkten und Dienstleistungen u.a. aus den
Bereichen Facility Management und
IT. Insbesondere mit Network Services (Sprach- und Datennetze, Gebäude Automation, konvergente Netze), Client Services (komplette Betreuung der Arbeitsplatz-PCs) sowie
Computing Services (Betrieb aller
zentralen Server Systeme u.ä.). So
betreibt das Unternehmen allein auf
dem Industriepark Datennetze mit
über 50.000 Ports, TK Systeme mit
über 18.000 Teilnehmern sowie 200
WAN-Leitungen in alle Welt. Entsprechende Dienstleistungen werden
aber nicht nur auf den Standort beschränkt angeboten, sondern im gesamten Rhein-Main-Gebiet und darüber hinaus. Infraserv setzt seit langem TK Anlagen von Siemens ein
Die thetakom GmbH aus Pfungstadt
ist ein technologieorientiertes Vertriebs- und Dienstleistungsunternehmen im Bereich der Kommunikationstechnik. Schwerpunkt ist die
Vermarktung des seit 1990 am Markt
eingeführten Unified Messaging Systems mrs der Cycos AG aus Alsdorf sowie die kompetente Beratung und Unterstützung von Projekten im Bereich Mittelstand und Großunternehmen. Neben dem Vertrieb
der Software-Lösung mrs rundet
das Systemhaus thetakom mit seinen Kernkompetenzen Consulting,
Implementierung, Schulung und
Service das Leistungsangebot ab.
Info unter www.thetakom.de
und stellt seinen Kunden die Leistung
von 18 Hicom 300 Knoten zur Verfügung. Seit letztem Jahr wird parallel
dazu das IP-Telefonie-System von
Cisco Systems, der Cisco Call Manager, produktiv betrieben. Damit möchte man sich die Vorteile und den neuen Leistungsumfang des IP Telefonie
Systems zu Nutze machen, ohne ggf.
Gefahr zu laufen, den gewohnten
Funktionsumfang der Siemens TK
Anlage nicht anbieten zu können.
Cisco Call Manager
Nicht allein wegen der langfristig
günstigen Betriebskosten aufgrund
zentraler Administration für räumlich
stark verteilte Standorte und Benutzer, fiel die Entscheidung zugunsten
des Call Managers von Cisco aus, und
auch nicht nur wegen des flexiblen
Betriebes von nur einem Netz, nämlich dem Datennetz. Ausschlaggebend
war die Tatsache, daß dieses System
durchgängig offene Standards nutzt
und die Interaktion mit Anwendungen aus technischer wie wirtschaftlicher Hinsicht besonders erleichtert
wird. Dabei wurde bereits auch an
kommende Applikationen für CTI und
Zeiterfassung gedacht. Genutzt wird
bereits die Anbindung eines globalen
Adreßbuchs über LDAP-Schnittstelle. Im Rahmen des Diensteangebotes
wird aber auch Unified Messaging zur
Verfügung gestellt. Dabei war es maßgeblich, daß das einzusetzende System die TK-Anlage von Siemens wie
auch den Cisco Call Manager unterstützt, und eventuell auch weitere TKAnlagen, die auf Kundenseite vorhanden sein können.
07
Ausgabe 07/2003
44
Message Routing
System
Nach einer ausgiebigen Testphase, in
der die Systeme unterschiedlicher
Lieferanten erprobt wurden, fiel die
Entscheidung auf das Message Routing System mrs der Firma thetakom
GmbH. mrs ist der Kommunikationsserver aus dem Hause Cycos AG. Er
läuft auf einer Maschine und ergänzt
aus einer homogenen Software-Plattform heraus die jeweils eingesetzte
Groupware bzw. deren E-Mail-System
um weitere Dienste wie Fax, Voicemail
und SMS aus dem Leistungsspektrum
des Unified Messaging (UMS). Hinzu
kommen auch CTI und eine Contact
Center Lösung. mrs ist in all seinen
Diensten modular aufgebaut und damit flexibel nutzbar. Das Message
Routing System ist hoch skalierbar in
der Benutzerzahl und unterstützt insbesondere auch Technologien, die im
Enterprise-Umfeld gefordert sind wie
etwa die Lauffähigkeit im Terminal
Service oder Verfügbarkeitskonzepte
wie Microsoft Cluster Service.
Fragen zu aktuellen VoIP-Technologien beantwortet das Compu-Shack
Business Development unter:Tel.: 02631/
983-458, eMail: voip@compu-shack.com
Die Lösung
Das Cisco Call Manager System in der
Version 3.32 ist mit dem produktiven
Teil als Cluster aus zwei Servern aufgebaut und umfaßt ein zusätzliches
Testsystem. Mit 60 B-Kanälen und
redundanten Gateways ist das System
an den Siemens Hicom Verbund über
ein spezielles QSIG Protokoll von
Siemens angebunden. Der Übergang
ins öffentliche Fernsprechnetz wird
über den Hicom Verbund realisiert.
Der Cisco Call Manager wird im
Hicom Verbund wie ein weiterer Knoten behandelt, d.h. im Verbund sind
die Rufnummern des Call Manager
Knotens bekannt. Anrufe können somit auf diesen Knoten geleitet werden. Der Cisco Call Manager ist im
Gegenzug so konfiguriert, daß er - je
nachdem ob ihm eine Rufnummer
bekannt ist oder nicht - unbekannte
Nummern über Gateways in den Siemens Hicom Verbund leitet. Darüber
kann dann die Verbindung aufgebaut
werden, um die Pflege des großen
Rufnummernplanes auf Seiten des
Cisco Call Managers zu vermeiden.
Bisher nutzen rund 550 Benutzer den
Telefoniedienst über den Call Manager.
UMS /CTI Projekt
Das UMS /CTI Projekt begann im Jahr
2002, als nach einer Lösung gesucht
07
Ausgabe 07/2003
45
wurde, die zum einen multi-PBX- fähig ist, also viele TK Anlagen hinsichtlich der Möglichkeit zu Querverbindungen für UMS Dienste und
der Computer Telefonie Steuerung
CTI unterstützt. Zum anderen sollte
sie eben auch in einer konvergenten
Umgebung mit Cisco Call Manager
die gleichen Leistungen erbringen.
Daneben mußte eine Integration in
Microsoft Exchange 5.5 möglich sein
sowie die Migration auf Exchange
2000. Optional sollte eine Integration des gleichen Systems in Lotus
Notes möglich sein. Es sollten die
bestehenden Fax- und Voicemail-Server abgelöst werden, das Faxen aus
SAP darüber abgewickelt werden und
der Dienst CTI neu implementiert
werden. Das mrs System selbst ist dazu
auf Basis eines Microsoft Clusters als
Hot Standby Lösung umgesetzt und
mit 30 B-Kanälen mit dem Hicom
Verbund querverbunden, um die Verbindung für die UMS-Dienste ins öffentliche Fernsprechnetz aufzubauen. Die CTI-Steuerung des Hicom
Verbundes läuft über das ACL-H3
Protokoll von Siemens über die LAN
Schnittstelle der Siemens Hicom. Die
gleichzeitige CTI-Steuerung des
Cisco Call Managers erfolgt über den
Cisco TSP (Telefonie Service
Provider) und Wave-Treiber auf dem
mrs Server, um die Verbindung zum
Call Manager Server herzustellen. Auf
diese Art und Weise können u.a. Anrufe aus Applikationen heraus per
Mausklick aufgebaut und beendet
und Rückfragegespräche eingeleitet
werden, zwischen gehaltenen Gesprächen gemakelt oder Konferenzen aufgebaut werden, ganz gleich über welches TK System der Telefoniedienst
kommt. Über beide kann in gleicher
Weise durch den Benutzer wie auch
durch den Anrufer ein einheitliches
Voicemail-System genutzt werden.
Bis zu 6.500 Benutzer sollen die
Möglichkeit haben, die mrs Dienste
zu nutzen. Damit haben die Kunden
von Infraserv die Möglichkeit, durchgängig alle wesentlichen Dienste der
modernen Bürokommunikation professionell gemanagt und kostengünstig zu verwenden, um sich besser auf
ihr Kerngeschäft konzentrieren zu
können.
p
PRAXIS
Teil 3: Neuerungen im Sicherheitsbereich
Die Plattform Windows Server 2003 steht für mehr Sicherheit durch vereinfachte Verwaltungsprozesse wie Zugriffssteuerungslisten und Anmeldeinformations-Manager. Eine Vielzahl von Neuerungen bereichern den Sicherheitsbereich. So kommt die Produktfamilie mit Funktionen für Public Key Infrastrukturen und sorgt auch für netzwerkübergreifende Vertauensstellungen bei gemeinsamen Geschäftsaktivitäten über das Internet.
D
PRAXIS
Das IEEE-Protokoll 802.1X vereinfacht die Sicherheit von drahtlosen
Netzen und verhindert Lauschangriffe auf das Firmennetz. Schutz für die
mobilen Computer bieten das verschlüsselnde Dateisystem (EFS), die
Zertifikatdienste und die automatische SmartCard-Registrierung. Features also, die auch die Sicherung
einer neuen Gerätegeneration einbeziehen. EFS gehört dabei zu den Kerntechnologien für das Ver- und Entschlüsseln von Dateien, die auf NTFSDatenträgern gespeichert sind. Nur
der Benutzer, der die geschützte Datei
verschlüsselt hat, kann diese auch
wieder öffnen und bearbeiten. Die
Zertifikatdienste werden zu einem
grundlegenden Bestandteil des Betriebssystems, weil Unternehmen intern als Zertifizierungsstelle (CA)
auftreten können, um digitale Zertifikate auszugeben und zu verwalten.
Features für automatische SmartCardRegistrierung oder die selbstregistrierende Zertifizierungsstelle ziehen
somit eine weitere Authentifizierungsebene ein.
Authentication Server (IAS) verwaltet als RADIUS-Server die Benutzerauthentifizierung und -autorisierung.
Er koordiniert eine Vielzahl von Technologien und möglichen Verbindungen zum Netzwerk, ob über DFÜ, VPN
oder Firewall. Zur Authentifizierung
und Autorisierung von Benutzern und
Computern, die die Verbindung zu
drahtlosen und Ethernet-LANs herstellen, unterstützt Windows Server
2003 die 802.1X-Protokolle, IEEEStandards, die die Methoden für Zugriff und Kontrolle von LANs definieren. Der Systemadministrator kann
zudem Richtlinien durchsetzen, die
es verhindern, daß nichtgenehmigte
ausführbare Programme auf einem
Computer gestartet werden können,
beispielsweise indem unternehmensweit installierte Programme auf die
Ausführung aus einem bestimmten
Verzeichnis beschränkt werden. Richtlinien für Softwareeinschränkungen
können so konfiguriert werden, daß
die Ausführung von virenverseuchtem oder schädlichem Code verhindert wird.
Security
Zugriffssteuerung
Windows Server 2003 sorgt mit seinen verbesserten Funktionen weiterhin für mehr Sicherheit auf der
Geschäftsebene. Dies beginnt bei der
softwarebasierenden Firewall ICF.
Denn die Internet Connection Firewall
schützt nicht nur Computer, die direkt mit dem Internet verbunden sind,
sondern auch solche, die sich hinter
einem ICS-Hostcomputer (Internet
Connection Sharing) befinden, auf
dem die ICF installiert ist. Der Internet
Die IEEE 802.11-Spezifikationen
unterstützen öffentliche Zertifikate,
die mit Hilfe der automatischen Registrierung oder von SmartCards bereitgestellt werden. Diese Sicherheitsverbesserungen in Ethernet- und drahtlosen LANs ermöglichen eine Zugriffssteuerung für Netzwerke an öffentlichen Standorten. Die Authentifizierung von Computern innerhalb
einer EAP-Betriebsumgebung (Extensible Authentication-Protokoll)
wird ebenfalls unterstützt. Zur Erhöhung der Webserver-Sicherheit sind
die Internet-Informationsdienste 6.0
(IIS) für maximale Sicherheit konfiguriert, die Standardinstallation wurde auf gesperrt gesetzt. Zu den
Erweiterterungen in IIS 6.0 gehören
auswählbare Verschlüsselungsdienste, erweiterte Digestauthentifizierung
und konfigurierbare Zugriffssteuerung von Prozessen.
Verschlüsselung
Mit Windows Server 2003 ist es nun
auch möglich, die Datenbank für
Offlinedateien zu verschlüsseln. Dies
ist eine gewaltige Verbesserung gegenüber Windows 2000, wo die sich
im Zwischenspeicher befindende
Dateien nicht verschlüsselt werden
konnten. Das neue Feature unterstützt
nun die Ver- und Entschlüsselung der
gesamten Offlinedatenbank. Zur Konfiguration sind Administratorrechte
erforderlich. Der Federal Information
Processing Standard (FIPS) ist in das
Krypto-grafiemodul eingeflossen, das
als Treiber im Kernelmodus ausgeführt wird. Es implementiert FIPSbasierende Kryptografiealgorithmen
wie SHA-1, DES, 3DES und einen
Zufallszahlgenerator. Das Kernelmodus-Kryptografiemodul gestattet
auch die Bereitstellung FIPS 104-1konformer IPSec-Implementierungen
wie L2TP/IPSec VPN-Verbindungen
zwischen Clients und Servern.
Systemsicherheit
Zu all dem unterstützt das neue Digest-Sicherheitspaket neben RFC
07
Ausgabe 07/2003
46
2617 und RFC 2222 auch das DigestAuthentifizierungsprotokoll, sowohl
über die Microsoft Internetinformationsdienste (IIS) als auch durch
das Active Directory. Zur Verbesserung der Systemsicherheit trägt bei
der Verwendung von SSL (Secure
Sockets Layer) eine Leistungssteigerung von mehr als 35 % bei. IIS wird
aber nicht standardmäßig installiert,
sondern erst mit Hilfe des DienstprogrammsSoftware aus der Systemsteuerung heraus.
Der Anmeldeinformations-Manager
von Windows Server 2003 bietet einen sicheren Speicher für Benutzerinformationen mit Kennwörtern oder
X.509-Zertifikate. Damit wird den
Benutzern, gerade bei wechselnden
Arbeitsplätzen, eine konsistente einmalige Anmeldung ermöglicht. Darüber hinaus steht eine Win32-API zur
Verfügung, die es wiederum den serverund clientbasierenden Anwendungen
ermöglicht, Benutzeranmeldeinformationen abzurufen.
Nach Verbesserungen bei der SSLClient-Authentifizierung kann der
SSL-Sitzungscache von mehreren Prozessen gemeinsam genutzt werden.
So wird die Anzahl der erneuten Anmeldungen eines Benutzers bei Anwendungen verringert, was auch die
CPU-Zyklen auf dem ApplikationsServer reduziert.
Schlüssel und
Signaturen
Mit der SmartCard-Unterstützung
vereinfacht Windows Server 2003 die
Implementierung einer Infrastruktur
öffentlicher Schlüssel. Durch die Automatische Registrierung und Erneuerung von Zertifikaten läßt sich der
Umfang der für die Verwaltung von
X.509-Zertifikaten benötigten Ressourcen deutlich reduzieren. Benutzerzertifikate können automatisch
registriert, bereitgestellt und bei Ablauf sogar automatisch erneuert werden. Die Automatismen vereinfachen
die schnelle Bereitstellung von Smart
Cards und verbessern zudem die Sicherheit von drahtlosen IEEE 802.1XVerbindungen. Mit der Unterstützung
für digitale Signaturen können Win-
dows Installer-Pakete und externe
CAB-Dateien digital signiert werden.
So können die Administratoren nun
Windows Installer-Pakete bereitstellen, die wesentlich mehr Sicherheit
bieten, was sich als besonders nützlich erweist, wenn solche Pakete über
das Internet versendet werden.
Der Zertifikatserver gehört zum Lieferumfang von Windows Server 2003
und unterstützt nun Delta-Zertifikatssperrlisten, die die Effizienz bei der
Veröffentlichung von gesperrten
X.509-Zertifikaten erhöhen. Außerdem wird für die Benutzer der Abruf
neuer Zertifikate vereinfacht. Und da
nun auch die Speicherposition einer
Zertifikatssperrliste angegeben werden kann, ist es einfacher, diese zu
verschieben, um etwa sicherheitsrelevanten Gegebenheiten zu begegnen.
Vertrauen
Wenn Unternehmen eine sichere
Methode für die Kommunikation mit
Mitarbeitern, Kunden und Partnern
außerhalb des Intranets benötigen, so
vereinfacht Windows Server 2003
auch die sichere Bereitstellung des
Netzwerkzugriffs für externe Einzelpersonen oder für Unternehmen, die
Zugriff auf Daten oder Ressourcen
benötigen. Eine Passport-Identität
kann einer Active Directory-Identität
zugeordnet werden, so daß beispielsweise ein Geschäftspartner über IIS
für den Zugriff auf Ressourcen autorisiert wird, ohne sich direkt am
Windows-Netzwerk anmelden zu
müssen. So gesehen, ist die PassportIntegration das IIS-Äquivalent zur
einmaligen Anmeldung.
Wenn Partnerfirmen mit einer Active
Directory-Gesamtstruktur arbeiten,
kann aber auch eine Vertrauensstellung zwischen den Gesamtstrukturen
beider Unternehmen eingerichtet
werden. Auf diese Weise ist es möglich, bestimmten Benutzern oder
Gruppen, die in der anderen Gesamtstruktur beheimatet sind, explizit
Vertrauen zu gewähren und Berechtigungen zu erteilen. Diese übergreifenden Vertrauensstellungen vereinfachen die Geschäftsabwicklung mit
anderen Unternehmen, die mit Active
Directory arbeiten.
07
Ausgabe 07/2003
47
Fazit
Da die Sicherheit eines vielseitigen
Computereinsatzes in weithin vernetzten Umgebungen immer größere
Bedeutung für die Wettbewerbsfähigkeit von Unternehmen hat, folgen
die Security Features von Windows
Server 2003 einer sich öffnenden Infrastruktur. Gemeinsame Vorteile für
Mitarbeiter, Partner, Kunden und Lieferanten ergeben sich aus einer
Netzwerksicherheit, die strukturübergreifende Vertrauensstellungen im
geschäftlichen Einsatz und geeignete Mechanismen zur Authentifizierung vereint. Das Verschlüsseln von
sicherheitsrelevanten Daten oder
Richtlinien für Software-Einschränkungen zur Schadensabwehr durch
Viren und Trojaner tragen dazu ebenso bei wie die Bereitstellung einer
Infrastruktur öffentlicher Schlüssel.
Die automatischen Registrierungsund Erneuerungsfeatures vereinfachen dabei den Einsatz von Zertifikaten und SmartCards im gesamten
Unternehmen.
Mit den steigenden Herausforderungen des Wettbewerbs wird es umso
bedeutsamer, daß Mitarbeiter von
jedem Standort und jedem Gerät aus
eine Verbindung zum Netzwerk herstellen können. Partner, Hersteller
und Benutzer außerhalb des Netzwerks sollen zudem auf wichtige Ressourcen zugreifen können, wobei der
Sicherheit höchste Bedeutung zukommt. Daher geht es beim nächsten
Mal um die Netzwerk-Kommunikation.
Eine neue Broschüre zu den
Zertifizierungen und Kursen
können Sie jetzt im Internet
bestellen oder als PDF
downladen. Aktualisierte Informationen zu Trainings,
Terminen und Preisen finden Sie unter www.
training.compu-shack.
com. Für eine ausführliche persönliche Beratung
steht Ihnen das CompuShack Training Team unter 02631-983-317 gerne zur Verfügung.
p
PRAXIS
NORTEL NETWORKS
Ausfallsicherheit
Teil 4: Split MultiLink-Trunking beim Passport 8600
Wir hatten uns mit dem Spanning Tree Protokoll und seiner Implemetierung in der 8000er Serie beschäftigt. Diesmal
geht es u.a. um das Split MultiLink-Trunking und die Möglichkeiten seiner Konfiguration bei den High-PerformanceSwitches der Passport 8600er Serie. Auch wollen wir uns mit einigen Problemen bei der Filter-und der DHCPKonfiguration befassen .
E
Ein Split-MultiLink Trunk, kurz SMLT, wird verwendet,
um zwei Passport 8600 Switches in ein logisches Layer-2
Device zu vereinigen. Switch Ports auf der gegenüberliegenden Seite einer SMLT-Verbindung müssen als normale MLT Links konfiguriert werden. Hierbei werden häufig
Fehler in der SMLT-Konfiguration gemacht. In Abbildung 1 ist am Beispiel zu sehen, daß Switch 1 und Switch
2 als SMLT-Link konfiguriert sind, um einen logischen
Switch darzustellen. Sowohl Switch 1 als auch Switch 2
haben einen Uplink zu Switch 3. Die Uplink Ports von
Switch 1 und 2 werden in diesem Beispiel als SMLT-Ports
konfiguriert, die Uplink Ports auf Switch 3 hingegen
müssen als normale MLT-Ports eingestellt werden und
nicht als SMLT-Ports. Der Passport, der am Ende des
SMLT-Link verbunden wird, muß folgendermaßen konfiguriert werden:
config mlt <mlt id> create
config mlt <mlt id> add ports <ports>
Abb.1: Beispiel SMLT Konfiguration
Peer-Switch Adresse
In einer SMLT-Implementierung wird ein
sogenannter InterSwitch Trunk (IST) zwischen zwei Switches konfiguriert. Im folgenden werden wir erklären, wie die korrekte Konfiguration der Peer IP-Adressen durchgeführt wird, wenn eine IST-Verbindung
zwischen zwei Passport 8600 realisiert werden soll.
Die Peer IP-Adresse muß eine IP-Adresse
von einem beliebigen VLAN des RemoteSwitch sein, welches dem MLT zugehörig
ist. Als Beispiel dient uns Abbildung 2, wo
die Peer IP-Adresse auf Switch 1 die IPAdresse eines beliebigen VLAN auf Switch
2 sein kann, welches wiederum zum MLT1
gehört.Um nun eventuelle Fehlkonfigurationen zu korrigieren, gehen Sie folgendermaßen vor: Zuerst starten Sie eine CLI
Session zum entsprechenden Passport 8600.
Hier angelangt geben Sie das Kommando
config mlt <mlt id> ist create
ip <peer ip> vlan-id <vid> ein.
Die nun folgenden CLI-Befehle sorgen für
die Wiederherstellung der korrekten Konfiguration auf dem Passport 8600 mit der
Nummer 1 in der Abbildung 2: config
mlt 1 ist create ip 192.168.
100.2 vlan-id 1, wobei 192.168.
100.2 die IP-Adresse von VLAN 1 auf
Switch 2 ist.
PRAXIS
Abb.2: Konfiguration der Peer IP Adressen
07
Ausgabe 07/2003
48
Das folgende Problem bezieht sich nur auf Passport 8600
Systeme, die mit älteren Software-Revisions arbeiten.
Wurde eine sogenannte Filter Port Action für
jeden Pakettyp aufdrop eingestellt, so erfolgte gleichzeitig
eine Zurückweisung von ARP-Paketen. Wenn nun der
ARP Aging Timer abgelaufen war, so wurden die ARPEinträge auf diesem Port gelöscht und nicht mehr neu
gelernt. Um diesen Fehler zu beseitigen, wurde in den
folgenden Software-Versionen eine Konfigurationsoption
hinzugefügt:
Es ist beim Passport 8600 nicht möglich, für den
Egress IP Traffic Flow entsprechende IP Traffic Filter
anzulegen, da dies nur auf Ingress Datenverkehr
angewendet werden kann.
DHCP-Konfiguration
Software 3.0 code stream: 3.0.6
Software 3.1 code stream: 3.1.4 und höher
Software 3.2 code stream: 3.2.0 und höher
In einem IP Subnet-Based VLAN wird DHCP nicht
unterstützt. Von der Definition her gesehen ist ein Port
Mitglied eines solchen VLANs, wenn seine Source-IPAdresse zum gleichen Subnet wie die des IP Subnet-Based
VLANs gehört. Wenn ein Client (Endgerät) am DHCPProzeß teilnehmen möchte, so hat das Device erst einmal
keine IP-Adresse, da es ja gerade erst über DHCP eine
Adresse zugewiesen bekommt. Durch diese technische
Gegebenheit ist der Client auch kein Mitglied des IP
Subnet-Based VLAN.
Wenn Sie dennoch DHCP einsetzen möchten, so nehmen
Sie die folgende Änderung vor. Machen Sie das IP SubnetBased VLAN (z.B. VLAN 2) zu einem Protocol-Based oder
zu einem Port-Based VLAN, indem Sie in der CLI-Session
am Passport 8600 die folgenden Befehle ausführen:
Filter und ARP
Für ein vom Administrator angelegtes Protocol Based
VLAN ist es erforderlich, das ARP-Protokoll zu
konfigurieren (Ethertype 0x0806), wobei Ports mit
der Default Port Action drop diesem VLAN als Static
Member hinzugefügt werden müssen. Stellen Sie sicher,
daß die Default VLAN-ID des Ports passend zum
entsprechenden Port-Based VLAN eingestellt wurde, in
dem die ARP-Pakete verarbeitet werden. Für die BPDU und
TCP Pakete sind keine Konfigurationsänderungen
notwendig.
config
config
config
config
ARP-Prozeß
Die Einstellung des ARP-Prozesses auf dem Passport 8600
Routing-Switch wird durch die folgenden Schritte
vorgenommen. Als erstes legen wir ein User-Defined
Protocol-Based VLAN mit dem Ethertype0x0806 (ARPProtokoll) an, wie im folgenden Beispiel:
config vlan <vlan id>
create byprotocol <stg id>
usrDefined 2054 name <vlan name>
2
2
2
2
delete
create byport 1
ip create <ip address/mask>
ports add <slot/port>
Informationen zu den Passport Switches hält das Compu-Shack
Team PM-Nortel bereit. Es ist telefonisch unter 02631 / 983 451
oder per E-Mail an pm-nortel@compu-shack.com
cker
Ti...Governmentprojekte
Die Zahl 2054 stellt den Ethertype ARP im dezimalen
Format dar.
Danach entfernen wir alle Ports vom gerade angelegten
User-Defined Protocol-Based VLAN:
Compu-Shack und Nortel Networks:Gemeinsam mit Nortel Networks hat Compu-Shack Mitte Juni
eine Aktion für Governmentprojekte gestartet. Sie offeriert den Compu-Shack Fachhandelspartnern bis zum
31. Dezember 2003 spezielleAngebote, die den öffentlichen Verwaltungen besondere Anreize zu Investitionen geben. Mit zusätzlichen Rabatten auf alle Verkäufe von Datenprodukten in Governmentprojekten kann
der Fachhandel in diesem Marktsegment attraktive
Preisangebote plazieren. Denn die performance-starken und qualitativ hochwertigen Netzwerkprodukte des
Herstellers Nortel Networks werden somit umso interessanter für Investition der öffentlichen Hand. Ausgenommen von diesem Angebot ist lediglich die Nortel
Contivity Reihe 1xx0. Projekte innerhalb dieser Aktion
müssen jedoch vorher angemeldet und genehmigt
werden. Zu allen Einzelheiten können sich Interessenten per E-Mail an das Business Team Nortel Networks
bei Compu-Shack wenden: pm-nortel@compushack.com.
config vlan <vlan id>
ports remove <ports> member portmember
Schließlich fügen wir alle Ports, die als Default Port Action
den Wertdrop besitzen, zum Protocol-Based VLAN hinzu:
config vlan
ports add
config vlan
ports add
vlan
vlan
vlan
vlan
<vlan id>
<ports> member portmember
<vlan id>
<ports> member static
Beachten Sie, daß die Konfigurationsänderung nur für
Non-Tagged Ports gültig ist, die zu “Port-Based VLANs”
gehören. Für andere Konfigurationen muß die Logik der
Filter abgeändert werden. Dazu muß als erstes der Port
Mode von drop auf forward umgestellt werden. Die
Filterregeln müssen so konfiguriert werden, um einen
bestimmten Datenverkehr weiterzuleiten. Daraufhin muß
ein Filter angelegt werden, der den restlichen Traffic
dropped, z.B. durch die Anwendung der 0.0.0.0/
0.0.0.0 Kombination.
07
Ausgabe 07/2003
49
v
VORSCHAU
WORKSHOPS - ROADSHOWS - SEMINARE
NOVELL
Metaframe Workshop
Nakoma
Von Technikern für Techniker
NetWare 6.5 First Class
Mit technisch anspruchsvollen Workshops bietet der Compu-Shack Support
im Juli praxisnahes Know-how für die Implementierung der Server-based
Computing Lösungen von Citrix, eine optimale Vorbereitung auf den Einsatz
dieser Lösungen im Unternehmen.
Compu-Shack Training bietet bundesweit und exklusiv für Novell
Deutschland die First Class Reihe
“Nakoma” an. Im Rahmen der erfolgreichen First Class Serie wird die
neue NetWare Version 6.5 vorgestellt.
A
Anhand ihrer praktischen Erfahrungen vermitteln die Systemingenieure
von Compu-Shack Support die
Grundlagen und konkreten Einsatzmöglichkeiten der Server-based
Computing-Lösungen von Citrix.
Das Compu-Shack Support Team
zeigt in drei aktuellen Hand-On
Workshops die Implementierung des
Citrix Metaframe Presentation Server
in den Varianten XPs, XPa und XPe.
Je nach den besonderen Interessen der
Teilnehmer können spezielle Aspekte vorab individuell abgesprochen
werden. Die Workshops von Technikern für Techniker finden in den
Compu-Shack Trainingzentren statt,
am 7.07. in Potsdam, am 14.0. in
München und am 21.07.in Neuwied.
Die Teilnehmerzahl ist aufgrund der
hohen technischen Komplexität stark
begrenzt, um die höchstmögliche Effektivität zu gewährleisten. Die Teilnehmergebühr beträgt 625,- Euro.
Gemeinsam mit all jenen Interessenten, die die aktuellen Citrix-Lösungen in einem individuellen Workshop kennenlernen möchten, plant
das Support Team die genauen Inhalte nach eigenen Vorgaben. Informationen oder ein persönliches Angebot erteilt Compu-Shack Support unter der Rufnummer 02631/983-988.
Aktuelle Termine zu Veranstaltungen
der Compu-Shack finden Sie unter
www.portal.compu-shack.com.
Auch Anmeldungen können in der
Rubrik Workshops online erfolgen.
I
In nur zwei Tagen können sich Administratoren und Entscheider einen
eingehenden Überblick aller neuen
Features der NetWare Version 6.5 verschaffen und feststellen, wie sehr dieses Produkt erweiterten betrieblichen
Bedürfnissen gerecht wird. Das zweitägige Seminar kostet • 550,- zzgl.
Mwst. und einschließlich aller Schulungsunterlagen. Die Reihe wurde
bereits im Juni gestartet, läuft im Juli
weiter und wird nach einer kurzen
Sommerpause im September fortgesetzt. Eine frühzeitige Anmeldung ist
wegen des starken Interesses zu empfehlen (s. Terminkalender ).
Netzwerkseminare: Highlights im August/September 2003
Kursbezeichnung
Implementing Microsoft Windows 2000 Clustering
Kurs-Nr.
MS 2087
VORSCHAU
Managing a MS Win 2000 Network Environment
MS 2126
Designing a Secure Microsoft Windows 2000 Network MS 2150
Internet Security Management with
BorderManager: Enterprise Edition
WatchGuard Firewall & VPN
NetWare 5 to NetWare 6 Upgrade
NV 770
Designing a MS Win 2000 Networking
Services Infrastructure
Implementing and Supporting MS Win XP Professional
Building Cisco Remote Access Networks
MS 1562
Cisco Internetworking Troubleshooting
Designing for Cisco Internetwork Solutions
Implementing and Administering MS Win 2000
Directory Services
Advanced Novell eDirectory
Cis CIT
Cis DESGN
MS 2154
Alle im Text und den Terminen
genannten Preise gelten zuzüglich der
gesetzlichen Mehrwertsteuer
WG 001
NV 3000
MS 2272
Cis BCRAN
NV 3007
Termin
04.08.-06.08.03
20.08.-22.08.03
04.08.-06.08.03
04.08.-08.08.03
22.09.-26.09.03
04.08.-06.08.03
12.08.-14.08.03
04.08.-06.08.03
04.08.-08.08.03
15.09.-19.09.03
11.08.-14.08.03
Veranstaltungsort
Neuwied
München
Neuwied
München
Neuwied
Neuwied
Potsdam
München
München
Neuwied
München
Preis / €
1.190,-
11.08.-15.08.03
18.08.-22.08.03
08.09.-12.09.03
25.08.-29.08.03
25.08.-29.08.03
25.08.-29.08.03
08.09.-12.09.03
25.08.-29.08.03
Neuwied
München
Neuwied
Neuwied
München
München
Neuwied
München
1.850,2.350,-
1.850,1.850,1.190,1.950,1.850,1.590,-
2.400,2.350,1.850,1.850,-
Das aktuelle Trainings-Programm finden Sie unter
www.training.compu-shack.com, persönliche Beratung
unter: 02631-983-317 oder per e-Mail an
training@compu-shack.com.
07
Ausgabe 07/2003
50
MESSEN, ROADSHOWS, SEMINARE
N 08
No 08/2003
Thema des Monats August
RISIKO-ABWÄGUNG
Security
Philosophy
Die Gefährdungen der Unternehmen haben sich im
Laufe der letzten Jahre grundlegend verändert. Durch
die zunehmende Verarbeitung von verteilten Informationen haben sich die Risikopotentiale gerade in der
Sicherheit der Unternehmensnetzwerke deutlich verschoben. Um jemanden zu schädigen oder vertrauliche Informationen zu beschaffen, muß ein Angreifer
längst nicht mehr vor Ort sein. Das geht inzwischen
sehr gut aus unnahbarer Ferne. Scheinbar sinkt das
Risiko eines “Einbrechers”, bei der Tat erwischt zu
werden, und offensichtlich steigt deswegen auch
gleichzeitig die Bereitschaft, es zu versuchen. Die
möglichen Gefahren für die Geschäftsabläufe von
Unternehmen haben sich allein schon deshalb erhöht. Wie also geht man mit diesen Bedrohungen
um?
Im nächsten Schwerpunkt- Beitrag der Technik News
wollen wir prinzipielle Wege aufzeigen, Sicherheitsbedürfnisse von Unternehmen zu hinterfragen und
zu quantifizieren, um daraus ableitend angemessene Sicherheitslösungen im IT-Bereich finden zu können, die auch die Kosten-Nutzen-Relationen im Auge
behalten. Von daher ergeben sich auf der einen Seite
die Vorgehensweisen und Ansatzpunkte einer verantwortungsbewußten Kundenbetreuung durch den
Fachhandel. Andererseits lassen sich für Unternehmen interessante Schlußfolgerungen zum Thema
Sicherheit ableiten, um Maßgaben an ihre Partner zu
formulieren. Der Beitrag ist aufgrund der jahrelangen Erfahrungen der Compu-Shack Consulting im
Umfeld der IT-Sicherheit entstanden und als orientierende Handreichung für Entscheider und IT-Verantwortliche gedacht .
Praxis:
Praxis:
Über VoIP gesprochen, Teil 6:
Windows Server 2003, Teil 4:
Lösungsvarianten in Bundles
Neuerungen bei Netzwerk und Kommunikation
Kosten-Nutzen-Relationen für die
Netzwerksicherheit
Von Detlev Reimann
Unter http://portal.compu-shack.com finden Sie in der Medienübersicht alle verfügbaren Compu-Shack Informationsbroschüren, beispielsweise zu Security. Neue Demo-CDs können Sie kostenlos unter www.technik-news.de
bestellen, zum Beispiel zu CA Brightstore ARCserve 9 for NetWare bzw.
Windows (Deutsch)
oder zu Novell GroupWise 6.5.
Ausgewählte Termine
07.07.2003
10.-13.07.2003
14.-15.07.2003
14.07.2003
21.07.2003
08.-09.09.2003
11.-12.09.2003
15.-16.09.2003
17.-18.09.2003
23.-24.09.2003
CS: Citrix Metaframe Workshop
Linux Tag 2003
CS und Novell: First Class Training “Nakoma”
CS: Citrix Metaframe Workshop
CS: Citrix Metaframe Workshop
CS und Novell: First Class Training “Nakoma”
CS und Novell: First Class Training “Nakoma”
CS und Novell: First Class Training “Nakoma”
CS und Novell: First Class Training “Nakoma”
CS und Novell: First Class Training “Nakoma”
07
Ausgabe 07/2003
51
Potsdam
Karlsruhe
Neuwied
München
Neuwied
Dortmund-Unna
Münster
München
Stuttgart
Frankfurt-Dietzenbach