V/2001
LANline auf der Systems: Halle B5, Stand 364 DM 9,80 ÖS 75,- Sfr. 9,80
Oktober, November 2001
Das Magazin für Netze, Daten- und Telekommunikation
Das Magazin für Netze, Daten- und Telekommunikation
www.lanline.de
Netzwerkadministration
Okt./Nov. 2001
mit Übersicht Remote Control Software Infrastruktur Voraussetzungen für Multimedianetze: QoS und Multicast
Management Hardware-gestütztes Remote-Management mit Preboot-XE
Sicherheit Vergleich der SecurityFeatures von Netware und Windows 2000
EDITORIAL
170. AUSGABE
Dr. Götz Güttich Redakteur
EFFIZIENZ MUSS SEIN
Wo man hinschaut, reduzieren Unternehmen die Zahl ihrer Mitarbeiter. Dieser Trend geht auch an der Netzwerkadministration nicht vorbei, gilt es doch, alle Aufgaben mit immer weniger Personal zu erfüllen. Rationalisierung, Outsourcing und die Einführung neuer Techniken verändern das Arbeitsumfeld ständig und führen zu immer höherem Druck. Hier hilft unser Sonderheft “Netzwerk-Administration” weiter. Wir haben in den Bereichen Infrastruktur, Management und Sicherheit aktuelle Trends erfasst und neue Techniken beleuchtet. Darüber hinaus haben wir auch viele Produkte auf ihre Praxiseignung hin analysiert und Tests durchgeführt. Kurzum, das Heft enthält eine Vielzahl an Informationen für den Netzwerkadministrator. Dabei steht die Effizienzsteigerung im Mittelpunkt, etwa durch zentrales Desktop-Management oder durch die Fernsteuerung von Rechnern. Zusätzlich spielen für den Administrator aber auch andere Faktoren eine wichtige Rolle. Dazu gehören zum Beispiel der Schutz des Unternehmensnetzes gegen unerwünschte Inhalte, die Verwaltung von Service Levels oder auch das Policy-Management. Außerdem beschäftigen wir uns mit den Fragen, welche Voraussetzungen zu erfüllen sind, um ein Netzwerk Multimedia-fähig zu machen oder wie man Backup und Client-Management effektiv verbinden kann. Nutzen Sie diese Informationen, um Ihre Arbeit effektiv zu gestalten und so den Kopf frei zu haben, wenn es an die wirklich wichtigen Aufgaben geht – wäre es zum Beispiel nicht schön, wenn Sie Ihren externen Dienstleistern genauer auf die Finger sehen könnten? Denn generell wird sich der Trend fortsetzen, immer mehr Dienste zu externen Spezialisten auszulagern, um die unternehmenseigene IT-Abteilung schlanker zu gestalten. Folglich wird das Koordinieren der Arbeit dieser Dienstleister zu einer zentralen Aufgabe des Administrators werden, die weit mehr erfordert als technische Fachkenntnisse.
Dr. Götz Güttich (
[email protected]) www.lanline.de
LANline Spezial Netzwerk-Administration V/2001
3
INHALT
Im Test Symantecs Veloci-Raptor-Firewall: Sicherheit ist Trumpf (Seite 76)
Alternative zu PCanywhere etc. Remote-Management-Boards............ 18 Test: Solarwinds Engineers Edition Zuverlässige Tool-Sammlung............21
INFRASTRUKTUR Infrastruktur für Streaming Media Netze und MultimediaApplikationen......................................28
LANline auf der Systems: Halle B5, Stand 364 DM 9,80 ÖS 75,- Sfr. 9,80
V/2001
Oktober, November 2001
Das Magazin für Netze, Daten- und Telekommunikation
www.lanline.de
Proaktives Handeln gefragt Vom Performance- zum ServiceLevel-Management.............................46 Neue Anwendungen belasten Netze Proaktiver Netzeingriff mit Policy Management........................................54 Administratoren entlasten Vom Backup zum Client-Management............................ 60 Fernsteuern spart Zeit Leistungsfähige Cross-PlattformVerwaltung..........................................64
Das Magazin für Netze, Daten- und Telekommunikation
Unerwünschte Inhalte blocken Erst Waschen, dann Cachen...............14
MANAGEMENT Herausforderung für IP-Abteilungen Desktop-Management und SoftwareVerteilung............................................42
Netzwerkadministration mit Übersicht Remote Control Software Infrastruktur Voraussetzungen für Multimedianetze: QoS und Multicast
Okt./Nov. 2001
PRODUKTE Microsoft Operations Manager Windows 2000 im Griff........................6
Remote-Managements-Boards ermöglichen das Fernwachen abgestürzter Rechner (Seite 18)
Management Hardware-gestütztes Remote-Management mit Preboot-XE
Sicherheit Vergleich der SecurityFeatures von Netware und Windows 2000 05 4 39 4 20 2 80 9 80 3
B 30673
Remote-Überwachung von Netzen QoS durch verteilte Protokollanalyse..................................32 Licht am Ende des IP-Netz-Tunnels Einrichten von IP-Service-Levels...... 36
ISSN 0942-4172
Marktübersicht: Remote Control Software.................. 68 Anbieterübersicht: Remote Control Software.................. 69
INFRASTRUKTUR PRODUKTE
INFRASTRUKTUR FÜR STREAMING MEDIA
Netze und Multimediaapplikationen Die grundlegenden Voraussetzungen für Multimedia-Networking sind Multicast-Fähigkeit, Datentransport in Echtzeit, Quality-of-Service sowie die Unterstützung von Komprimierung und Synchronisation multimedialen Datenverkehrs. Einige dieser Funktionen sind nur im Hostoder Desktop-System erforderlich, andere beeinflussen auch die Router.
n den letzten Jahren sind immer mehr Multimediageschäftsanwendungen für Desktop-PCs auf den Markt gekommen. Gegenwärtig laufen diese Anwendungen allerdings nur auf dem Desktop des einzelnen Nutzers. Die herkömmlichen Netzwerke sind oft noch nicht in der Lage, die erforderliche Bandbreite und Quality-of-ServiceAnforderungen für diese Applikationen zu erfüllen. Bislang waren zwei Techniken für den Versand von Daten über Netzwerke üblich: Bei Unicast werden die Daten von einem Sender zu einem Empfänger geschickt. Bei Broadcast verschickt der Sender die Daten zu allen anderen Punkten im Netzwerk. Eine dritte Technik, Multicast, hat sich in Form des Layer-3-IP-Multicast-Protocol-Standards entwickelt. Die Daten werden über das LAN oder WAN gleichzeitig von einem Sender an eine ausgewählte Gruppe von Empfängern versendet. Die Größe einer Multicast-Gruppe kann zwischen einigen wenigen bis zu tausenden von Endgeräten variieren. Mit Multicast wird Bandbreite effektiver genutzt als bei einer Serie von Unicasts an alle gewünschten Empfänger oder Broadcasts, bei denen Daten an zu viele unnötige Endpunkte verschickt werden. IP-Multicast nutzt IP-Adressen der Klasse D, die im Gegensatz zu anderen IPAdressen für Gruppen und nicht für einzelne Systeme reserviert sind. Diese Adressen
I
28
4
können dynamisch zugewiesen werden, wenn Multicasts zu verschiedenen Gruppen von Nutzern umgeleitet werden. Einzelne Nutzer dürfen einer Multicast Gruppe jederzeit beitreten oder sie verlassen.
DVMRP wird seit etwa drei Jahren im Multicast Backbone (MBONE) eingesetzt. Das Protokoll arbeitet mit dem Versand kleiner Datenmengen von jeder Multicast-Session zu allen Endgeräten im Netzwerk. Die Router verzeichnen alle Teilnehmer, die keine weitere Übertragung von Datenpaketen wünschen. Dies wird als “pruning” bezeichnet. DVMRP ist wegen seiner Einfachheit und der Eignung für Campus-Umgebungen interessant, wo das “Broadcast-and-Prune”Verhalten und die Speicherung von Pruning-Informationen keine Probleme verursacht. MOSPF wurde etwa zur gleichen Zeit wie DVMRP eingeführt. Das Protokoll wird in Teilen des MBONE eingesetzt, hauptsächlich in Komponenten-Netzwerken, in denen OSPF als Unicast Routing Protocol verwendet wird. MOSPF verteilt Informationen über die Mitglie-
ALTERNATIVE ZU PCANYWHERE ETC.
Remote-Management-Boards Produkte wie Pcanywhere von Symantec oder Netsupport Manager von PCI Software addresieren den Markt der Rechnerfernsteuerung mittels Remote-Control-Software. Sie erlauben im Kern den entfernten Zugriff auf den Bildschirm des entfernten Rechners sowie die entfernte Bedienung von Tastatur und Maus über eine Netzwerkverbindung. Zusätzliche Features sind gegebenenfalls der Zugriff auf das Dateisystem oder die explizite Darstellung servicerelevanter Parameter des jeweiligen Betriebssystems.
Unnecessary Multicast Traffic
Video Streams
E1
WAN
Router
Cisco IP/TV Server
Layer 2 Etagen Switch Catalyst 3550 Unnecessary Multicast Traffic!!!
Reveicer Group 1
Reveicer Group 2
Bild 1: Multicast-Design für Videoapplikationen
Unterstützung für IP-Multicast ist in den Netzwerk-Geräten (Router, Switches) und in den Endgeräten (PC, Workstation, Server) erforderlich. Für die Unterstützung von Multicast stehen den Routern verschiedene Protokolle zur Verfügung: – Distance Vector Multicast Routing Protocol (DVMRP), – Multicast Open Shortest Path First Protocol (MOSPF), – Protocol Independent Multicast (PIM).
LANline Spezial Netzwerk-Administration V/2001
der der Gruppe an alle Endgeräte im Netzwerk, sodass jeder Node bestimmen kann, wohin die Multicast-Pakete weitergeleitet werden sollen. MOSPF eignet sich ebenfalls für den Einsatz im Campus wo die Verbreitung von Mitgliederinformationen nicht problematisch ist, insbesondere wenn OSPF als Unicast Routing Protocol eingesetzt wird. Bild 1 zeigt das Design eines Multicast-Netzwerks. Durch intelligente Switches mit Multicast-Protokollunterstüt-
www.lanline.de
28
LANline Spezial Netzwerk-Administration V/2001
Software-Lösungen zur Fernwartung, Ferndiagnose und Fernadministration leiden unter einer großen Schwäche. Sie setzen ein voll funktionsfähiges Betriebssystem auf dem entfernten Rechner voraus. Während übliche Administrationsvorgänge wie Nutzerverwaltung damit relativ problemlos möglich sind, versagen diese Software-Lösungen bei ernsthaften Defekten auf Systemebene vollends. Dabei muss noch nicht einmal ein grober Ausfall des Betriebssystems – Stichwort “Windows Blue Screen” – die Ursache sein. Schon ein simpler Konfigurationsfehler im Netzwerk-Interface oder eine volle Platte sperren den Administrator aus dem System aus und machen den Gang vor Ort unvermeidlich. Auch ein Neustart des Betriebssystems, wiewohl meistens möglich, mutiert zur Zitterparty, da der gestartete Rechner für eine
18
mehr oder weniger lange Zeit aus dem Sichtbereich des Administrators komplett verschwindet. Nur bei einem ordnungsgemäß neu gestarteten Rechner wird die RemoteControl-Software wieder gestartet und zeigt dem Administrator nach einem solchen “Black out” an, dass das entfernte System wieder verfügbar ist. Für entfernte Fehlerbehebung oder Administration auf Systemebene ist eine RemoteControl-Software daher weniger geeignet. Hier bietet der Markt zwei grundsätzliche Alternativen. Über so genannte Keyboard-Video-MouseSwitches (KVM) werden der VGA-Ausgang sowie die PS/2-Schnittstellen für Maus und Tastatur über ein Kabel übertragen, teils elektrisch verlängert und auf eine oder mehrere Bedienerkonsolen geschaltet. Bis zu 250 Meter können moderne KVM-Ex-
LANline Spezial Netzwerk-Administration V/2001
tender heute per CAT5-Verkabelung überbrücken, die kombiniert mit KVM-Switches eine lokale Administration sinnvoll unterstützen. Mit digitalen KVM-Switches können diese Signale sogar per IP an jeden Ort übertragen werden und ermöglichen damit eine umfassende Fernwartung von nahezu jedem Rechner aus dem Netz aus. Leider sind diese digitalen KVM-Lösungen derzeit noch mit einem Preis von mehr als 1500 Euro pro zu administrierenden Rechner sehr teuer und bieten bislang noch kein befriedigendes Powermanagement, sprich, können das angeschlossene System nicht booten, einen “Hard Reset” ausführen, ein oder ausschalten . Eine Symbiose zwischen den beiden Ansätzen bieten seit kurzem so genannte Remote-Management-Boards.
unabhängig vom Zustand des Rechners selbst. Der Administrator kommuniziert mit einem eigenständigen und unabhängigen “embedded-Rechner” auf der Karte selbst, der sich wiederum den Bildschirminhalt sowie weitere Systeminformationen direkt aus dem Rechner ermittelt sowie Maus -und Tastatursteuerung direkt in den Remote-Rechner weitergibt. Die Karte selbst ist über einen eigenständigen und ebenfalls vom Rechner unabhängigen Ethernet-Anschluss mit dem Netzwerk verbunden. Eine meist noch anschließbare externe Stromversorgung oder Batteriepufferung macht die Karte unabhängig von der Stromversorgung des Rechners. Mit einer solchen Konfiguration hat der Administrator alle Mittel in der Hand, um re-
Eric bietet wahlweise Verschlüsselung sowohl der Steuer- und Statusseiten per HTTPS als auch der Übertragung von Video, Tastatur und Maus per SSL
Sie werden meist als PCI-Karte in den Rechner eingebaut und ermöglichen einen Zugriff auf alle relevanten Funktionen des Remote-Rechners
mote auch schwerwiegende Systemabstürze zu beheben: – Zugriff auf Bildschirm und Übertragung von Maus und Tastatur,
www.lanline.de
18
www.lanline.de
INHALT
SICHERHEIT Sicherheitsdienste von Windows 2000 und Netware Basis für den Geschäftsablauf............................................70 Firewall-Test, Teil 3 Schutz auf hoher Ebene......................................................76 Die Arbeitsweise der Angreifer Motive und Techniken der Hacker-Szene......................... 81 Sicherheit für Unternehmensnetze Modulare Architektur als Basis..........................................86
RUBRIKEN Editorial.................................................................................3 Impressum...........................................................................62 Inserentenverzeichnis......................................................... 89 Fax-Leser-Service...............................................................90
SICHERHEIT
SICHERHEITSDIENSTE VON W2K UND NETWARE
Basis für den Geschäftsablauf Über das Internet getätigte Geschäfte brauchen, genau wie konventionelle Anwendungen, eine Sicherheitsinfrastruktur. Authentifizierung, Zugriffskontrolle und Verschlüsselung sind zentrale Funktionen für vernetzte Umgebungen. Novell und Microsoft positionieren sich als Anbieter solcher Dienste – doch wie gut ist ihr Angebot tatsächlich?
ei Microsoft sind Infrastrukturdienste ein Teil des Gebildes “.NET”, das eigentlich alles von Programmiersprachen und Komponenten über Betriebssysteme bis hin zu Server-Anwendungen umfasst. Novell setzt dagegen, ausgehend von seinen Kernprodukten Netware und NDS-EDirectory, mehr und mehr auf Net Services als Infrastrukturdienste für vernetzte Umgebungen und insbesondere für das EBusiness. Dabei spielt gerade bei Novell auch in der Argumentation das Thema Sicherheit eine zentrale Rolle. Novells zentrales Argument dafür, dass das Unternehmen ein sinnvoller Dienstleister für EBusiness-Lösungen ist, liegt darin, dass es eben eine sichere Infrastruktur liefert. Damit liegt auch ein Vergleich der Ansätze von Microsoft und Novell nahe. Immerhin stellen diese beiden Unternehmen auch heute noch – und ohne echte Alternative – die zentralen Infrastrukturen für lokale Netzwerke. Die Authentifizierung im LAN erfolgt in den allermeisten Fällen gegen das NDS-E-Directory oder das Active Directory beziehungsweise Windows-NT-Domänen. In diesen Verzeichnissen werden Benutzer verwaltet. Und das Benutzermanagement ist der zentrale Punkt in sicheren Infrastrukturen. Sicherheit bedeutet heute aber mehr als nur die Benutzerverwaltung für das lokale Netzwerk und die Zugriffskontrolle auf einigen File-Servern. Hinzugekommen sind das Einbinden von E-Business-Anwendungen sowie das Unterstützen digi-
B
70
www.lanline.de
70
taler Zertifikate, virtueller privater Netzwerke und heterogener Strukturen. Dafür gibt es heute zwar etliche Standards wie X.509, LDAP und IPsec mit jeweils unterschiedlicher Zielrichtung – aber ein Standard braucht immer noch eine Infrastruktur. Für Unternehmen liegt es nahe, die Unterstützung dieser Standards aus ei-
– Aufkommen von E-Business-Anwendungen sind neben den etablierten Verzeichnisdiensten für das lokale Netzwerk, bestehenden Verzeichnissen im Host- und E-Mail-Bereich und für ERP-Anwendungen auf einmal noch viele weitere Verzeichnisse entstanden. Jeder E-BusinessAnwendung ihr Verzeichnisdienst scheint dabei in vielen Fällen die Leitlinie gewesen zu sein. Schließlich braucht eine solche Applikation die Unterstützung von LDAP, und LDAP wird bis heute nicht von Windows-NT-Domänen unterstützt und hat auch bei der NDS eine Weile auf sich warten lassen – eine wirklich leistungsfähige Implementierung, steht erst seit NDS 8 zur Verfügung. Das Ergebnis dieser Entwicklung sind oftmals viele getrennte Verzeichnisse auf anderen LDAPServern beispielsweise von Netscape/IPlanet, die sich nur schwer integrieren lassen. Der Boom der Meta-Directories wurde auch davon getrieben, dass man die Fehler der letzten Jahre irgendwie korrigieren musste.
Bild 1: Microsoft hat bei Windows 2000 Zertifikatsdienste integriert
ner bestehenden Sicherheitsinfrastruktur heraus zu entwickeln. DIE VERZEICHNISDIENSTE Das wird bei einem Blick auf die heutige Situation von Verzeichnisdiensten überdeutlich. Mit dem – mittlerweile deutlich abgeflachten
LANline Spezial Netzwerk-Administration V/2001
Sowohl Microsoft als auch Novell bieten inzwischen leistungsfähige Verzeichnisdienste mit Unterstützung für LDAP v3. Sowohl das Active Directory als auch das NDS-E-Directory sind damit nicht mehr nur Basis für LANs, sondern für alle Anwendungen, die einen Verzeichnisdienst
www.lanline.de
LANline Spezial Netzwerk-Administration V/2001
5
PRODUKTE
MICROSOFT OPERATIONS MANAGER
Windows 2000 im Griff Nachdem Microsoft sich in den letzten Jahren vordringlich auf das Konfigurations- und Änderungsmanagement von Client-Systemen konzentriert hatte, wird mit dem Microsoft Operations Manager nun endlich ein Problemfeld adressiert, das vielen Server-Administratoren im Windows-Umfeld unter den Nägeln brennt: Das Operations Management, also die Unterstützung beim Betrieb von Servern.
Beim Operations Management gibt es einerseits die großen SystemmanagementFrameworks und spezialisierte Lösungen für heterogene Netzwerke wie beispielsweise Tivoli Enterprise, zum anderen aber auch einzelne kleinere Lösungen etwa für die Konsolidierung von Event-Informationen verschiedener Windows-NT- oder Windows-2000-Systeme. Microsoft hat eine dieser Lösungen, den Operations Manager von Net-IQ übernommen und bringt ihn nun in einer deutlich erweiterten Version als Microsoft Operations Manager auf den Markt. Das Produkt ist für die Umgebungen, in denen noch keine geeigneten Lösungen für das Management von Windows-2000Servern genutzt werden, eine hochinteressante Ergänzung.
im Konfigurations- und Änderungsmanagement. Es sind also vor allem Produkte, die Administratoren dabei unterstützen, eine Vielzahl von Clients möglichst effizient einzurich-
DER FOKUS: OPERATIONS MANAGEMENT Microsoft hat
ten und zu verwalten. Im Mittelpunkt steht dabei der Systems Management Server. Es fehlen aber Systeme, die eine größere Zahl von WindowsServern effizient im laufenden
im Feld des Systemmanagements bereits eine Reihe von Lösungen am Markt. Der Schwerpunkt liegt aber bisher
6
Betrieb verwalten. Es gibt zwar schon seit den ersten Versionen von Windows NT die Ereignisanzeige, die einen Zugriff auf protokollierte Informationen erlaubt. Aber bis heute sind diese nicht optimal dokumentiert. Das viel größere Problem besteht darin, dass die Ereignisanzeige auf jedem Server einzeln geführt wird. Zwar kann beispielsweise über die Terminaldienste oder über die Remote-Verwaltungsfunktionen der Ereignisanzeige auch auf die Informationen anderer Server zugegriffen werden. Bei 20 Windows-2000-Servern sind das dann immer noch gut 100 einzelne Protokolle, weil jedes System ja mehrere getrennte Protokolle führt. Konsolidierung alleine reicht aber nicht, weil beispielsweise auch Warnmeldungen beim Eintre-
nahmesituationen auf den Servern im Netzwerk zu informieren, sodass sie schnell und zielgerichtet handeln können. Das ist weit effizienter als sich immer durch die endlosen Protokolle zu wühlen, die oft auf Windows-2000-Servern generiert werden. Lösungen für das Operations Management sind faktisch eine Grundvoraussetzung für einen professionellen Betrieb von Server-Umgebungen. Microsoft stößt mit dem Operations Manager in die Lücke zwischen einerseits den Enterprise-Systemen, die als Konsequenz ihrer Leistungsfähigkeit und umfassenden Funktionalität einen sehr hohen Konzeptions- und Implementierungsaufwand mit sich bringen und andererseits der recht umfassenden Palette an Einzel- und Teillösungen für das Betriebsmanagement wie sie am Markt zu finden sind. DIE FUNKTIONALITÄT Im
Mit dem Microsoft Operations Manager werden eine Reihe von vordefinierten Skripten für verschiedene Aufgaben geliefert
LANline Spezial Netzwerk-Administration V/2001
ten von Ereignissen versendet werden müssen. Das Operations Management adressiert genau diesen Problemkreis: Operatoren und Administratoren über Aus-
Mittelpunkt steht beim Microsoft Operations Manager der Umgang mit Ereignissen, die auf Windows-2000-Servern generiert werden. Hier ist gleich eine der wichtigsten Einschränkungen festzuhalten: Ohne Zusatzprodukte läuft das System praktisch nicht in Verbindung mit anderen Plattformen. Es stellt zunächst eine reine Windows2000-Lösung dar. Ereignisse lassen sich über Agenten von verschiedenen Systemen im Netzwerk laden. Die Agenten können die Ereignisse filtern und, je nach Konfiguration, sogar direkt beim Eintreten von Ereignissen Aktionen auslösen. Sie liefern die Ereignisse konsoli-
www.lanline.de
PRODUKTE
diert an einen Agent Manager, der sie dann wiederum in der Datenbank des Systems ablegt. Der Microsoft Opera-
dass er Unmengen von Informationen konsolidiert. Die Zielsetzung muss vielmehr darin liegen, zunächst die un-
Zu jeder Regel gibt es erläuternde Informationen, teilweise auch aus der Microsoft Knowledge Base
tions Manager verarbeitet sie dann entsprechend definierter Regeln. So können beispielsweise Warnungen erzeugt werden. Neben den Ereignissen lässt sich aber auch die Systemperformance gezielt überwachen. Der Microsoft Operations Manager kann PerformanceDaten über die beim Systemmonitor definierten Datenquellen sammeln und diese über längere Zeiträume analysieren. Auf dieser Basis lassen sich Trends erkennen. Außerdem liefern die Daten eine Grundlage für die Kapazitätsplanung. Zusätzlich ermöglicht es die Lösung, auch auf Basis dieser Informationen Warnmeldungen und andere Aktionen auszulösen. REGELN UND WARNUNGEN
Ein System wie der Microsoft Operations Manager erhält seinen Sinn nicht dadurch,
8
wichtigeren Informationen so auszufiltern, dass sich der Operator nicht durch sie hindurcharbeiten muss, um irgendwann zu den wichtigeren Informationen zu gelangen. Auf Basis dieser wichtigeren Informationen sollte wiederum so oft wie möglich automatisch reagiert werden, ohne dass ein Operator manuell eingreifen muss. Nur kritische und nicht standardmäßig behandelte Ausnahmen sollten schließlich beim Operator ankommen – wobei es auch passieren kann, dass das System zwar automatisch reagiert, der Operator aber dennoch informiert wird. Genau das ist auch der Bereich, wo der Microsoft Operations Manager wirklich überzeugen kann. Zum Lieferumfang des Systems gehören mehr als 6000 vordefinierte Regeln. Hinzu kommen unter anderem 44 VB-Script-
LANline Spezial Netzwerk-Administration V/2001
Dateien für die Durchführung von Standardaufgaben wie das Herunterfahren von Diensten, DNS-Lookups und viele andere Funktionen. Die Grundstruktur des Systems basiert auf Regeln und Warnungen. Regeln geben an, welche Ereignisse von Windows-2000-Teilsystemen wie dem DNS-Server, dem Active Directory oder dem File Replicator Service wie behandelt werden sollen. Jede einzelne Regel definiert eine Ausnahmesituation. Diese kann sich beispielsweise auf ein Ereignis in einem Ereignisprotokoll beziehen. Diesen Regeln lassen sich dann wiederum Alerts, also Warnungen, zuordnen. Außerdem sind die Verantwortlichen in der Lage, so genannte Response Actions, also Aktivitäten, für Regeln, zu definieren. Mögliche Response Actions: die Ausführung von Skripten, das
von Anwendungen beziehungsweise Batch-Dateien. Damit lassen sich sehr flexibel Aktionen konfigurieren. Die Regeln werden in Regelgruppen zusammengefasst. Regelgruppen sind für die Basisdienste von Windows 2000 vordefiniert. Zusätzlich gibt es von Microsoft das Application Management Pack, mit dem auch Regelgruppen für Backoffice- und Microsoft-.NET-EnterpriseServer geliefert werden. Diese vordefinierten Regelgruppen wurden teilweise noch in weitere Gruppen untergliedert, um die Vielzahl an Regeln zu strukturieren. Wenn man sich die Zahl von potenziellen Einträgen in den Ereignisprotokollen von Windows 2000 betrachtet, wird klar, dass es hier eine beachtliche Zahl von sinnvollen Regeln gibt. Deshalb ist es auch so wichtig, dass bei dem
In Notification Groups können die Operatoren definiert werden, für die sich wiederum die Erreichbarkeit detailliert angeben lässt
Senden von SNMP-Traps, die Benachrichtung von Operatoren, das Setzen von Zustandsvariablen oder die Ausführung
Microsoft Operations Manager bereits vorkonfigurierte Regeln für eine Vielzahl von Ereignissen und daraus resul-
www.lanline.de
PRODUKTE
tierenden Situationen zum Lieferumfang gehören. Innerhalb der Regelgruppen finden sich jeweils drei Teilbereiche. Der erste sind die Ereignisregeln, mit denen auf definierte Ereignisse reagiert werden kann. Diesen Regeln lassen sich neben den Aktionen auch Dokumente beispielsweise aus der Microsoft Knowledge Base zuordnen. Microsoft hat hier mit den vorkonfigurierten Regeln, auch Management Packs genannt, bereits eine Reihe von ergänzenden Informationen geliefert – aber leider nicht annähernd so viel, wie man sich erwarten würde. Allerdings lassen sich die Informationen, die Regeln zugeordnet sind, bei eigenen und auch bei den vordefinierten Regeln erweitern. Der zweite Bereich umfasst die Alert Processing Rules, die steuern, wie auf Warnungen reagiert werden soll. Damit kann ein Administrator beispielsweise festlegen, dass generell für alle Regeln, die mindestens als Fehler gekennzeichnet sind, eine Benachrichtigung an eine definierte Gruppe gesendet wird. Schließlich gibt es noch die PerformanceRegeln, mit denen sich zu beobachtende Zähler beim Systemmonitor konfigurieren lassen. Das gleiche gilt für Grenzwerte, auf die das System gegebenenfalls reagieren soll. Die Verwaltung der Operatoren erfolgt über Notification Groups. Der Microsoft Operations Manager kann beispielsweise so konfiguriert werden, dass die Meldungen des SQL Server an eine andere Notification Group als die Meldungen des Active Directory gehen. Damit lassen sich in größeren Strukturen gezielt Informatio-
10
nen zuordnen. Eine Notification Group kann wiederum aus mehreren Operatoren bestehen. Zusätzlich können die Verantwortlichen für jeden Operatoren definieren, wann und wie er erreichbar ist. Das System unterstützt unter anderem E-Mails und Pager-Meldungen. MANAGEMENT PACKS Eine
Vielzahl dieser Regeln sind wie angeführt bereits im Lieferumfang des Produkts enthalten. Damit wird die Konfiguration signifikant erleich-
bei zum Beispiel, wie lange eine kritischere Ausnahme nicht behandelt wurde und führt diese ab definierten Zeitüberschreitungen als Verletzung des Service Levels auf. Auch hier ist die Konfiguration einfach anpassbar. Neben der Standardunterstützung für Windows 2000 mit seinen Systemdiensten und, über das Application Management Pack, für die gängigen Server-Anwendungen von Microsoft unterstützt die Lösung standardmäßig noch das Systemprotokoll
auf, so genannte extended Management Packs (XMPs) zu entwickeln. Diese XMPs gibt es einerseits für Betriebssysteme wie Windows NT 4.0, Solaris oder Linux, andererseits für zusätzliche Anwendungen wie Oracle Server oder Viren-Software. Noch wichtiger dürfte für viele Anwender aber beispielsweise der XMP Connector for Server-Hardware sein, der eine Schnittstelle zu den Servermanagement-Tools von Dell, HP und Compaq liefert. Außerdem gibt es auch XMPs für die Verbindung mit Tivoli Enterprise und HP Vantage Point Operations. Das hebt auch die genannte Einschränkung auf das Windows-2000Umfeld auf und macht den Operations Manager zu einer Plattform, die einerseits unterschiedliche Systemplattformen verwaltet und die sich andererseits auch in bestehende Management-Lösungen integriert. INSTALLATION Das Konzept
Der Microsoft Operations Manager lässt sich über die MMC-Oberfläche einfach bedienen
tert – jedes einzelne Ereignis, das im Windows-2000-Umfeld auftreten kann, zu bearbeiten, wäre ein Unterfangen, dass die Systemadministratoren auf Wochen binden würde. So jedoch fangen sie mit den in durchaus sinnvoller Weise vordefinierten Regeln an und verfeinern diese dann nach und nach. Reizvoll ist, dass dabei sogar für Service Levels eine brauchbare Standardkonfiguration geliefert wird. Das System beachtet da-
LANline Spezial Netzwerk-Administration V/2001
von Windows-NT-4.0-Systemen über vordefinierte Regeln. Wer mehr will, kann entweder eigene Regeln, Skripts, DLLs und so weiter konfigurieren oder auf die Angebote von Drittherstellern zurückgreifen. Hier ist zum aktuellen Zeitpunkt insbesondere Net-IQ zu nennen. Dieses Unternehmen hat, wie eingangs erwähnt, die Basis für den Microsoft Operations Manager geliefert. Mittlerweile konzentriert es sich dar-
des Microsoft Operations Manager ist sehr modular. Die Agenten sammeln Informationen auf den verschiedenen überwachten Systemen. Sie lassen sich dabei automatisch verteilen. Ebenso können die Regeln, die die Agenten verarbeiten sollen, automatisch bei Änderungen an die entsprechenden Systeme übertragen werden. Das reduziert den administrativen Aufwand deutlich und stellt die Aktualität der Konfiguration auf allen Systemen sicher. “Agent Manager”, die wiederum auf verschiedenen Servern installiert sein können, überwachen die einzelnen Agenten. Sie schreiben
www.lanline.de
PRODUKTE
die gesammelten Informationen dann in die Datenbank des Microsoft Operations Manager. Dafür wird eine SQL Server-Datenbank verwendet, die ebenfalls auf einem dedizierten Server laufen kann. Je nach Anzahl der zu verwaltenden Server lässt sich die Lösung also mit einem zentralen Server oder einem stark verteilten System betreiben. Das ermöglicht auch das optimale Abdecken unterschiedlicher Lastanforderungen. Das System setzt zumindest das Service-Pack 1 voraus. Der Server, auf dem der Operations Manager läuft, benötigt zudem minimal 512 MByte Hauptspeicher. Außerdem sind mehrere GByte freier Plattenplatz unabdingbar. Zum einen ist die LogDatei des Microsoft DTC (Distributed Transaction Coordinator) auf 512 MByte zu vergrößern und zum anderen wird ausreichend Platz für die SQL Server-Datenbank benötigt. In den Standardkonfigurationen für kleine bis mitt-
lere Netzwerke im Bereich von 10 bis 100 Servern liegt die Maximalgröße dieser Datenbank bei zwei GByte. Vor der Installation müssen eine Reihe von Komponenten eingerichtet werden. Dazu zählt beispielsweise eine Runtime von Microsoft Access. Zur Beruhigung sei allerdings gesagt, dass diese nicht für die Speicherung von Informationen, sondern nur für die Erstellung von Berichten zum Einsatz kommt. Die Informationsspeicherung erfolgt wie bereits erwähnt über den Microsoft SQL Server. Welche Komponenten zusätzlich zu installieren oder anzupassen sind, lässt sich über das Installationsprogramm einfach feststellen. Die Komponenten gehören auch zum Lieferumfang des Systems, sodass die Anpassung schnell erfolgt. Der Installationsprozess läuft dann in gewohnter Manier über einen Assistenten ab. Es stehen drei vordefinierte Konfigurationen für unterschiedliche Netzwerkgrößen zur Auswahl, zusätzlich gibt
Bei der Installation des Microsoft Operations Manager stehen mehrere Optionen zur Verfügung
es noch die benutzerdefinierte Konfiguration, die sich insbesondere für sehr große Umgebungen anbietet. Bis auf ein paar Kleinigkeiten läuft dieser Prozess reibungslos. Irritierend war vor allem, dass
zen, sie an den eigenen Bedarf anpassen und bei weiteren eingesetzten Anwendungen auch erweitern. Das erfordert einige Arbeit, die sich aber durch die effizientere Administration und eine höhere
Für die Installation sind viele Komponenten vorab einzurichten
der Installationsvorgang nach dem Anlegen einiger Gruppen noch einmal komplett neu gestartet wurde. Insgesamt zeigte sich der Microsoft Operations Manager aber als ein reifes Produkt. Hier wird deutlich, dass es sich eben nicht um eine Version 1.0 handelt, sondern nur um eine Erweiterung der Lösung von Net-IQ. Microsoft hat sicher gut daran getan, auf einer solchen Plattform aufzusetzen und sie mit der eigenen Expertise weiter zu entwickeln. Allerdings muss man sich darüber klar sein, dass das Operations Management auch mit diesem Werkzeug nicht trivial wird. Denn trotz der beachtlichen Zahl vorkonfigurierter Regeln muss man sich dennoch intensiv mit diesen auseinanderset-
Verfügbarkeit – bedingt durch das frühere Erkennen von Ausnahmesituationen – schnell rentieren dürfte. Für Unternehmen, die bisher noch kein Werkzeug in diesem Bereich einsetzen, lohnt sich der gründliche Blick auf den Microsoft Operations Manager auf jeden Fall. Die wohl größte Enttäuschung beim Operations Manager sind die relativ knappen Hinweise, die sich unter dem Stichwort Knowledge Base finden. Wer sich überlegt, welches umfassende Wissen beispielsweise in der Knowledge Base von Microsoft im Internet zu finden ist, hätte sich hier mehr erwartet. (Martin Kuppinger/gg) Info: Microsoft Tel.: 089/31760 Web: www.microsoft.com
www.lanline.de
12
LANline Spezial Netzwerk-Administration V/2001
PRODUKTE
UNERWÜNSCHTE INHALTE BLOCKEN
Erst Waschen, dann Cachen Dieser Beitrag zeigt, wie die ICAP-Schnittstelle die Zusammenarbeit zwischen Internet-Filterung und Internet-Caching optimieren kann, um Web-Inhalte besser zu verteilen.
Der freie Internet-Zugang, den viele Unternehmen ihren Mitarbeitern bieten, hat seinen Preis: Produktivitätseinbußen, Sicherheitsrisiken und dramatisch ansteigende Anforderungen an die Bandbreite. So ist in vielen Unternehmen das Bedürfnis nach Kontrolle des Internet-Zugangs und nach Schutz vor ungeeigneten Inhalten entstanden. Auch gegen die Überflutung der Netze durch Online-Werbung und sicherheitskritische HTMLAnlagen regt sich zunehmend Widerstand. Zwar existieren heute zahlreiche Produkte, die sich meist auf einzelne Filterfunktionen beschränken. Die Verantwortlichen wünschen aber zunehmend umfassende Filterlösungen, die sich problemlos in die jeweilige ITArchitektur integrieren lassen. Zur Zeit realisieren viele Unternehmen ihren InternetZugang über eine klassische Backbone-Architektur der ersten Generation: ein UnixServer mit einem NetscapeProxy und/oder eine Firewall, zum Beispiel aus dem Hause Checkpoint. In vielen Anwendungsszenarien wurde diese Architektur, die zunächst für einige hundert Anwender konzipiert war, kontinuierlich
14
auf einige tausend Anwender erweitert. Dabei vervielfachten die Verantwortlichen zumeist die vorhandene Hardund Software und bauten sie mittels intelligenten Switches zu einer Server-Farm aus. Anforderungen an Administrierbarkeit und Sicherheit sowie die hohen Kosten haben die Grenzen einer solchen Architektur längst deutlich gemacht. Denn die benötigte Bandbreite ist enorm, wenn die immergleichen Seiten beim erneuten Abrufen ständig neu übertragen werden. Die Caching-Technologie kann die vorhandene Bandbreite hier besser ausnutzten, da sie einmal übertragene Web-Inhalte im Cache zwischenspeichert. Viele kostengünstige Cache-Lösungen können allerdings nicht um notwendige intelligente Filterfunktionen erweitert werden, weil offene Schnittstellen bislang fehlen.
ten verspricht. ICAP soll die Kommunikation zwischen so genannten Edge Devices herstellen. Dabei handelt es sich um Web-Caches oder Content-Delivery-Server einerseits und Applikationen, die Inhalte modifizieren und an Internet-Zugangsgeräte liefern, andererseits. ICAP ist also ein Protokoll zur Ausführung von Funktionsaufrufen beziehungsweise HTTPAnforderungen (HTTP-Messages) über Rechnergrenzen hinweg (Remote Procedure Call). Die ICAP-Clients können diese Anforderungen zur Anpassung der Inhalte an den ICAP-Server weitergeben. Diese Anpassung ermöglicht die Transformation
ICAP wird gern dort eingesetzt, wo normalerweise separate HTTP-Proxy-Server oder programmierbare HardwareGeräte eingesetzt werden. Die ICAP-Lösung ermöglicht eine einfache, nach dem Prinzip von Pipelines arbeitende Datenübermittlung, die kostengünstiger als eine typische Proxy-Server-Lösung ist. ICAP wird sich aller Voraussicht nach in Richtung Offenheit und Skalierbarkeit weiterentwickeln, so dass ICAPDienste auf unterschiedlichen Proxy-Protokollen wie HTTP, FTP, NNTP und SMTP aufsetzen können. Version 1.0 von ICAP wurde Ende 2000 zur Standardisierung zur IETF (Inter-
Web Washer ermöglicht die Kontrolle von Internet-Zugriffen
DER ICAP-STANDARD Hier
setzt ICAP (Internet Content Adaptation Protocol) an. Dabei handelt es sich um einen Teil einer aufkommenden Architektur, die eine bessere Verteilung und ein optimiertes Caching von Web-Inhal-
LANline Spezial Netzwerk-Administration V/2001
und Umleitung der HTTPAnforderungen. Der ICAPServer gibt die HTTP-Anforderung dann als modifizierte HTTP-Anforderung wieder zurück.
net Engineering Task Force) geschickt, und soll im Laufe des Jahres 2001 zu einem akzeptierten ISO-Standard werden. Da es sich bei ICAP um einen offenen Standard
www.lanline.de
PRODUKTE
handelt, haben alle bedeutenden Hersteller von Internet-Infrastruktur sowie Internet-Anwendungen die Unterstützung von ICAP zugesagt. Network Appliance, die treibende Kraft unter diesen Unternehmen, hat bereits einen ICAP-Client (Version 0.95) mit der aktuellen Netcache Software (5.1) ausgeliefert. NETCACHE-WEBWASHERKOMBINATION Das Vermei-
den von Performance-Engpässen war die Triebfeder bei der Entwicklung des ICAP-Protokolls, und mit der Kombination von Netcache und Webwasher ist man diesem Ziel erheblich näher gekommen. Inzwischen hat diese Kombination im Praxiseinsatz bewiesen, dass sie eine Datenlast von bis zu 10.000 Nutzern mit einem 2- bis 8-kanaligen Lastverteilungssystem (Load Balancing) in den Griff bekommt. Zudem
wird die erst seit kurzem verfügbare Lösung bereits in großen Unternehmen eingesetzt. In der relativ kurzen Praxis-Phase hat sich gezeigt, dass sich neue und kundenspezifische Filterfunktionen implementieren lassen, ohne dass sich dies nachteilig auf den Cache-Server auswirkt. Eine Implementierung direkt auf dem Cache-Server wäre wegen der Echtzeit-Beschränkungen des Cache-Server-Betriebssystems entweder völlig unmöglich oder zumindest doch sehr kostenintensiv gewesen.
stent Connections) und durch Verwendung neuer Programmiertechnologien (wie etwa Standard Template Library)
WEBWASHER – VOM CLIENT ZUM SERVER Webwasher be-
gann seine “Karriere” Anfang 1999 als intelligenter InternetFilter und -Assistent für Client-Rechner. Schon diese frühe Client-Version war als HTTP-Proxy-Server implementiert – konnte also auch als Server-Version betrieben werden. Aufgrund technischer Be-
Für das Blockieren bestimmter Medientypen stehen etliche Regeln zur Verfügung
16
schränkungen bediente diese Version beim Einsatz auf dem Server allerdings nur bis zu 200 Clients. Für Internet Con-
LANline Spezial Netzwerk-Administration V/2001
Der Dimension Filter dient zum Löschen bestimmter Formate
tent Filtering und Internet Access Management speziell in großen Unternehmen wurde im Oktober 2000 die Webwasher Enterprise Edition vorgestellt, die ein abgestuftes und umfassendes Filterkonzept in Firmen- und Behördennetzen jeder Größenordnung ermöglicht. Die erste Version der Webwasher Enterprise Edition, die über eine vollständige ICAPIntegration verfügte, kam im Dezember 2000 auf den Markt. Damit wurde die Webwasher Enterprise Edition zu einem Proxy-Server, der parallele (Multithreaded) Verarbeitung gemäß HTTP-Version 1.1 unterstützt. Durch die Unterstützung der Aufrechterhaltung der Verbindungen zwischen Client und Server (Persi-
konnten die Engpässe – die bei der alten Webwasher-ClientVersion zum Beispiel durch die Suche mit sogenannten regular Expressions entstanden waren – beseitigt werden. Webwasher Enterprise Edition läuft heute problemlos in Unternehmensnetzen mit mehreren 10.000 Benutzern. Der Webwasher unterstützt zur Zeit die Plattformen Solaris auf Sparc, Windows und Linux. Dabei kann Webwasher Enterprise Edition als ein Stand-Alone-Proxy, als Squid-Plug-In, als ICAP-Server sowie als Opsec-Server laufen. Der ICAP-Server wurde für eine zeitgemäße parallele (Multithreaded) Architektur implementiert. Squid wird – trotz seines “fortgeschrittenen Alters” und seiner nicht
www.lanline.de
PRODUKTE
ganz zeitgemäßen Technologie – in Unternehmen jeder Größenordnung ausgiebig genutzt. Im Firewall-Bereich kooperiert Webwasher mit Checkpoint, dessen Firewall-1 für
ternet Security and Acceleration Server) Plug-In sein – an einem ISAPI-Modul (Internet Server API Specification) für den ISA Server wird bereits gearbeitet. Analysten gehen davon aus, dass immer mehr
unerwünschter Inhalte aus dem Internet verhindern. Das gilt beispielsweise für die Yankee Group und die Gartner Group. Schon heute arbeiten Hersteller wie Intel an einem Gerät, das an der Schwelle zur Web-Server-Farm installiert wird und so Caching, Lastverteilung (Load Balancing) und SSL-Beschleunigung (Secure Sockets Layer Acceleration) für alle Web-Server bereitstellt. PERSPEKTIVEN Nach der er-
Sicherheitsfunktionen wie Logs, Filter für aktive Komponenten oder auch für Scripts helfen beim “Sauberhalten” des Unternehmensnetzes
Erweiterungen über die Opsec-Schnittstelle verfügt. Die fünfte Plattform wird ein Microsoft ISA Server (In-
www.lanline.de
Hersteller auf der Basis des ICAP-Modells speziell zugeschnittene Lösungen anbieten werden, die das Eindringen
folgreich abgeschlossenen Implementierung der FilterTechnik auf HTTP-Basis wird Webwasher als nächstes die Unterstützung sämtlicher Protokolle vorantreiben, die im Rahmen des ICAP-Standards ebenfalls unterstützt werden: Webwasher Enterprise Edition für FTP, SMTP, NNTP und HTTPS. Ein weiterer Schwerpunkt liegt in der Kooperation mit Cache-Herstellern, um gruppen- und benutzerspezifische Filterfunktionen bereit zu stellen. Auf der Basis des LDAP-Protokolls – sowohl seitens der Cache-Hersteller wie auch durch die Webwasher Enterprise Edition – werden intelligente
Verfahren zur Interpretation und Weiterleitung von Benutzereinstellungen und Authorisierungs-Informationen zwischen Cache-Servern und Webwasher voraussichtlich nicht lange auf sich warten lassen. Allerdings muss der Cache-Server sicher stellen, dass unterschiedliche Nutzergruppen nur die für sie bestimmten Inhalte bekommen, auch wenn sie auf die gleiche Web-Seite im Cache-Server zugreifen. Auf der reinen Anwenderseite erlaubt die erweiterbare Architektur der Webwasher Enterprise Edition das schnelle Implementieren von Filterfunktionen, wie der Nutzer sie braucht. Dabei kann es sich um neue Typen von Web-Inhalten, neue XML-Elemente und sogar Streaming-Media-Elemente handeln. Auch die Intelligenz vorhandener Filterfunktionen wie die Filterung von Scripten lässt sich weiter voran treiben. (Martin Stecher/gg) Martin Stecher ist Leiter der Entwicklung bei Webwasher. Info: Webwasher Tel.: 05251/500540 Web: www.webwasher.com
LANline Spezial Netzwerk-Administration V/2001
17
PRODUKTE
ALTERNATIVE ZU PCANYWHERE ETC.
Remote-Management-Boards Produkte wie Pcanywhere von Symantec oder Netsupport Manager von PCI Software addresieren den Markt der Rechnerfernsteuerung mittels Remote-Control-Software. Sie erlauben im Kern den entfernten Zugriff auf den Bildschirm des entfernten Rechners sowie die entfernte Bedienung von Tastatur und Maus über eine Netzwerkverbindung. Zusätzliche Features sind gegebenenfalls der Zugriff auf das Dateisystem oder die explizite Darstellung servicerelevanter Parameter des jeweiligen Betriebssystems.
Software-Lösungen zur Fernwartung, Ferndiagnose und Fernadministration leiden unter einer großen Schwäche. Sie setzen ein voll funktionsfähiges Betriebssystem auf dem entfernten Rechner voraus. Während übliche Administrationsvorgänge wie Nutzerverwaltung damit relativ problemlos möglich sind, versagen diese Software-Lösungen bei ernsthaften Defekten auf Systemebene vollends. Dabei muss noch nicht einmal ein grober Ausfall des Betriebssystems – Stichwort “Windows Blue Screen” – die Ursache sein. Schon ein simpler Konfigurationsfehler im Netzwerk-Interface oder eine volle Platte sperren den Administrator aus dem System aus und machen den Gang vor Ort unvermeidlich. Auch ein Neustart des Betriebssystems, wiewohl meistens möglich, mutiert zur Zitterparty, da der gestartete Rechner für eine
18
mehr oder weniger lange Zeit aus dem Sichtbereich des Administrators komplett verschwindet. Nur bei einem ordnungsgemäß neu gestarteten Rechner wird die RemoteControl-Software wieder gestartet und zeigt dem Administrator nach einem solchen “Black out” an, dass das entfernte System wieder verfügbar ist. Für entfernte Fehlerbehebung oder Administration auf Systemebene ist eine RemoteControl-Software daher weniger geeignet. Hier bietet der Markt zwei grundsätzliche Alternativen. Über so genannte Keyboard-Video-MouseSwitches (KVM) werden der VGA-Ausgang sowie die PS/2-Schnittstellen für Maus und Tastatur über ein Kabel übertragen, teils elektrisch verlängert und auf eine oder mehrere Bedienerkonsolen geschaltet. Bis zu 250 Meter können moderne KVM-Ex-
LANline Spezial Netzwerk-Administration V/2001
tender heute per CAT5-Verkabelung überbrücken, die kombiniert mit KVM-Switches eine lokale Administration sinnvoll unterstützen. Mit digitalen KVM-Switches können diese Signale sogar per IP an jeden Ort übertragen werden und ermöglichen damit eine umfassende Fernwartung von nahezu jedem Rechner aus dem Netz aus. Leider sind diese digitalen KVM-Lösungen derzeit noch mit einem Preis von mehr als 1500 Euro pro zu administrierenden Rechner sehr teuer und bieten bislang noch kein befriedigendes Powermanagement, sprich, können das angeschlossene System nicht booten, einen “Hard Reset” ausführen, ein oder ausschalten . Eine Symbiose zwischen den beiden Ansätzen bieten seit kurzem so genannte Remote-Management-Boards.
unabhängig vom Zustand des Rechners selbst. Der Administrator kommuniziert mit einem eigenständigen und unabhängigen “embedded-Rechner” auf der Karte selbst, der sich wiederum den Bildschirminhalt sowie weitere Systeminformationen direkt aus dem Rechner ermittelt sowie Maus -und Tastatursteuerung direkt in den Remote-Rechner weitergibt. Die Karte selbst ist über einen eigenständigen und ebenfalls vom Rechner unabhängigen Ethernet-Anschluss mit dem Netzwerk verbunden. Eine meist noch anschließbare externe Stromversorgung oder Batteriepufferung macht die Karte unabhängig von der Stromversorgung des Rechners. Mit einer solchen Konfiguration hat der Administrator alle Mittel in der Hand, um re-
Eric bietet wahlweise Verschlüsselung sowohl der Steuer- und Statusseiten per HTTPS als auch der Übertragung von Video, Tastatur und Maus per SSL
Sie werden meist als PCI-Karte in den Rechner eingebaut und ermöglichen einen Zugriff auf alle relevanten Funktionen des Remote-Rechners
mote auch schwerwiegende Systemabstürze zu beheben: – Zugriff auf Bildschirm und Übertragung von Maus und Tastatur,
www.lanline.de
PRODUKTE
– Zugriff aus die BIOS-Shell und auf die Boot-Sequenz, – Einschalten, Abschalten und Neustart des Systems, – Ausführen eines Soft-Reset und eines Hard-Reset sowie – Zugriff auf die POST-Informationen. Die erste Remote-Management-Karte auf dem Markt wurde schon Ende der 90er Jahre von Compaq vorgestellt. Das in der jetzigen Version als Remote Insight Light Out bezeichnete Produkt wird als Full-Size-PCI-Einsteckkarte in Form einer Option für eine Reihe von Compaq-ProliantServer-Systemen angeboten. Gesteuert wird das System über einen ebenfalls auf der Karte installierten Web-Server, sodass auf Administratorseite nur ein ohnehin meist vorhandener Web-Browser notwendig ist. Remote Insight Light Out besitzt einen VGAChip onboard und muss daher als Grafikkarte im System eingebunden werden. Maus und Tastatur des entfernten Rechners werden direkt an die Karte angeschlossen. Zusätzlich müssen die PS/2-Ausgänge des Rechners über ein mitgeliefertes Kabel an die Karte angeschlossen werden. Die Server-Hersteller Dell, Hewlett-Packard und Siemens haben ebenfalls Remote-Management-Boards für ihre Server-Systeme im Angebot. Wie auch bei Compaq arbeiten diese Karten ebenfalls nur für bestimmte Server des jeweiligen Herstellers. Dies ist zum einen in der Nutzung proprietärer Steckkonnektoren begründet, zum anderen sind teilweise bestimmte Funktionen des System-BIOS notwendig, damit die Karten arbeiten können. Ein unabhängiger Anbieter ei-
20
ner Remote-ManagementKarte ist Peppercon. Deren Remote-Management-Karte Eric (enhanced remote insight card) benötigt als Systemvoraussetzung lediglich einen PCI-2.1-kompatiblen PCISteckplatz und kann damit in nahezu allen heutige gängigen Rechnersystemen eingesetzt werden. Neben den üblichen Anschlussmöglichkeiten für Ethernet und Modem bietet Eric in einer Variante einen ISDN-Adapter onboard. Bei der technischen Umsetzung der Fernbedienung über Bildschirm und Tastatur beziehungsweise Maus werden zwei unterschiedliche Ansätze verfolgt. Compaq und Peppercon integrieren jeweils eine VGA-Karte direkt auf dem Managementboard, während die anderen Server-Hersteller weiterhin die im Server vorhandene VGA-Karte nutzen. Um damit jedoch eine Fernbedienung grafischer Betriebssysteme wie Windows 2000 oder einer Desktop-Umgebung wie das K Desktop Environment (KDE) zu ermöglichen, ist zusätzlicher Aufwand notwendig. Dell liefert einen Betriebssystemtreiber hinzu, bei HP erfolgt die Grafikumleitung mit einem zusätzlich gebündelten Software-Paket (PC Anywhere), und Siemens kann gegenwärtig entfernte Grafikausgaben gar nicht übertragen. Die auf dem Remote-Management-Board integrierte Grafik scheint da der deutlich stabilere Weg zu sein, zumal sowohl bei Compaq (ATI) als auch bei Peppercon (C&T 69000) Standard-VGA-Chips zum Einsatz kommen, die von Windows 2000 bereits von Haus aus unterstützt werden.
LANline Spezial Netzwerk-Administration V/2001
Da bei der Remote-Übertragung permanent der Inhalt des Grafikspeichers ausgelesen werden muss, werden die Systembusse durch die “VGA onboard”-Lösung auch nicht zusätzlich belastet, was sich positiv auf die Performance des entfernten Rechners auswirkt. Alle gegenwärtig angebotenen Remote-ManagementProdukte erlauben das entfernte Auslösen eines HardResets sowie das Ein- und Ausschalten des Rechners. System-Events werden mitgeloggt und dem Administrator bei Bedarf angezeigt. Die herstellereigenen Lösungen nutzen meist proprietäre Steckverbinder, um zusätzliche Informationen wie beispielsweise Lüfterdrehzahl oder Konfigurationsparameter aus dem Remote-System auszulesen und anzuzeigen. Das Peppercon-Produkt, das auf solche proprietären Erweiterungen verzichten muss, misst dagegen zum Beispiel permanent über einen onboard ADWandler die Systemspannungen des Remote-Systems und gibt so Aufschluss über den Zustand der Bestandteile des Rechners. Ebenfalls im Vorteil sind die herstellereigenen Lösungen bei der Integration in die Systemmanagementlösungen des jeweiligen Anbieters. Alle Produkte, also auch Eric, lassen sich per SNMP managen. Da es mit einer Remote-Management-Karte möglich ist, kompletten Zugriff auf das Remote-System zu erlangen, spielt Sicherheit eine nicht zu unterschätzende Rolle. Hier bleiben bei den Produkten von Dell und Siemens einige Wünsche offen. Der Zugriff auf
den steuernden Web-Server erfolgt nur unverschlüsselt, Passwortschutz ist jedoch vorhanden. Compaq bietet eine Kommunikation mit HTTPS, die Übertragung von Video, Tastatur und Maus erfolgen jedoch weiterhin unverschlüsselt. Lediglich Peppercons Eric bietet wahlweise Verschlüsselung sowohl der Steuer- und Statusseiten per HTTPS als auch der Übertragung von Video, Tastatur und Maus per SSL. Preislich liegen RemoteManagement-Boards bei zirka 500 bis 800 Euro und amortisieren sich je nach Anwendungsfall bereits nach wenigen Einsätzen. FAZIT Bei ernsthaften Sys-
temdefekten, dort wo mit Remote-Control-Software kein Zugriff auf das entfernte System mehr möglich ist, ermöglicht der Einsatz einer Remote-Management-Karte eine schnelle und kostengünstigere Fernwartung. Dem Administrator werden durch solche Karten alle Werkzeuge in die Hand gegeben, um eine effektive und schnelle Fernwartung durchzuführen. Unabhängigkeit vom Betriebssystem des entfernt zu wartenden Rechners, sogar unabhängig von dessen Stromversorgung, stellen diese Karten ein hochverfügbares Rechnersystem im eventuell instabilen Computer dar, mit dem ohne zusätzliche Client-Software per Web-Interface zugegriffen und gearbeitet werden kann. (Christian Pätz/mw) Dr. Christian Pätz ist Vorstandsmitglied bei Peppercon. Info: Peppercon Tel.: 0375/2713490 Web: www.peppercon.de
www.lanline.de
PRODUKTE
TEST: SOLARWINDS ENGINEERS EDITION
Zuverlässige Tool-Sammlung Die Verwaltung eines großen Netzwerks ist für keinen Administrator eine leichte Aufgabe. Aus diesem Grund bieten einige Software-Schmieden Komplettpakete zur Netzwerkadministration an, die dem Administrator ein einfacheres Leben versprechen. Mit der Solarwinds Engineers Edition sollen alle Probleme der Vergangenheit angehören – LANline hat sich das Produkt näher angesehen.
Die Solarwinds Engineers Edition ist für alle Windows9x-, NT- und 2000-basierenden Systeme verfügbar. Die Installation auf einem Windows2000-Testrechner war eine Sache von Minuten, der Hersteller hat jedoch mit der Registrierung der Software ein wenig übertrieben. Während der Installation musste auf der Solarwinds-Website ein Aktivierungscode errechnet werden, der an den Testrechner gebunden war. Somit ist zum einen eine Mehrfachinstallation unmöglich, aber eine Neuregistrierung nach jedem Wechsel des Rechners notwendig. Die Netzwerk-Tools sind in der so genannten SolarwindsToolbar untergebracht, die der Benutzer durch einen Doppelklick auf ein Icon im System Tray aufrufen kann (Bild 1). Die einzelnen Programme sind hier nach Anwendungsgebiet sortiert. Dies garantiert einen schnellen Zugriff auf eine einzelne Applikation. Aus diesem Grund sind diverse Tools auch doppelt vorhanden. So ist
www.lanline.de
beispielsweise “Ping Sweep” bei den “Discovery” und den “Ping Tools” untergebracht. Im Test wurden die einzelnen Kategorien Schritt für Schritt durchgegangen; das Netzwerk bestand aus einem Windows-2000-Professional-Client, Redhat-7.1-Linux-System und einem Cisco-1003-Router. In der Kategorie “Discovery” sind die notwendigen Werkzeuge zur Erstellung einer detaillierten Liste aller im Netzwerk verwendeten Geräte enthalten. Der “IP Network Browser” hatte nach einem Scan des Subnetzes alle verwendeten Geräte einwandfrei erkannt. Er enthält auch einen SNMP-Browser, mit dem sich die wichtigsten Eigenschaften aller Geräte herausfinden ließen (Bild 2). Wie bei allen anderen mitgelieferten Tools konnten die Ergebnisse mit Hilfe eines einfach zu bedienenden Wizards in eine Text-, HTML- oder MicrosoftAccess-Datei zur weiteren Bearbeitung exportiert werden. “Ping Sweep”, “SNMP
LANline Spezial Netzwerk-Administration V/2001
21
PRODUKTE
Sweep” und “DNS Audit” sind einfache Tools, die, wie der Name jeweils schon verrät, das angegebene Netz scannen und die gefundenen Informationen auflisten. Erstaunlich war hierbei die Geschwindigkeit der Programme während des Tests – der DNS Audit von 255 Adressen unseres Internet-Providers dauerte gerade mal drei Sekunden; laut Hersteller sollen die Programme für Windows-2000-Systeme optimiert worden sein. Die beiden letzten Tools aus dieser Kategorie, “Subnet List” und “Network Sonar” erkennen und scannen die Netze, die an einem beliebigen Router angebunden sind. Hierbei hinterfragt das Programm mit Hilfe eines SNMPScans zunächst den Router nach seinen Netzen, um im Anschluss daran nach Geräten zu suchen, die sich in diesen Netzen befinden. Die nächste Kategorie, die “Cisco Tools” ist für CiscoAdministratoren ein gefundenes Fressen. Mit dem “Download Konfig”-Programm lässt sich die Konfiguration eines Routers herunterladen. Im Anschluss daran wurde sie ein wenig mit dem “Config Viewer/ Editor” verändert, danach mit dem “Upload Config”-Tool wieder hochgeladen und aktiviert. Beim Herauf- und Herunterladen der Konfigurationen entscheidet sich der Benutzer zwischen der aktiven und der inaktiven Konfigurationsdatei im Gerät. Das Programm “Running vs Startup Config” kann diese zwei vergleichen und stellt die Unterschiede klar und übersichtlich dar. Ein vergesslicher Administrator wird das “Router Password Decryption”-Programm lieben; es entschlüsselt zumindest das Stan-
22
LANline Spezial Netzwerk-Administration V/2001
dard-Passwort eines CiscoRouters – aber leider nicht das besser verschlüsselte EnablePasswort. Um herauszufinden, ob die Router im Netzwerk überlastet sind bietet sich die “Router CPU Load”-Anzeige an. Die Darstellung des Status erfolgt mit Hilfe von einfachen
Bild 1. Die Solarwinds-Toolbar verwaltet die einzelnen Teilprogramme der Engineers Edition
Balken in den Farben Grün, Gelb und Rot. Mit dem letzten Programm “Proxy Ping” aus der “Cisco Tools”-Kategorie konnte der Tester von dem Cisco-Router aus Ping-Befehle
www.lanline.de
PRODUKTE
absetzen, ohne extra auf dem Router eingeloggt zu sein. Auch “Proxy Ping” ist ein Bestandteil der “Ping Tools”. Das recht einfach gehaltene Programm setzt jede Sekunde einen Ping auf eine angegebene Adresse ab. Falls diese erreichbar ist, wird ein kurzer Bestätigungston abgespielt. Dieser klingt anders, falls der Host nicht erreichbar ist. Die einzig nützliche Funktion beim nächsten getesteten Tool “Traceroute” war die Export-nach-HTML-Funktion. Ansonsten hat der Hersteller unserer Meinung nach “Ping” und “Traceroute” nur der Vollständigkeit halber in die Solarwinds Engineers Edition aufgenommen. Nicht so jedoch beim letzten Programm dieser Kategorie, dem “Enhanced Ping”. Der Administrator kann mit diesem Tool eine ganze Reihe von Hosts angeben, die nacheinander gepingt werden. Die Antwortzeiten der einzelnen Hosts zeigt das Programm als Balkendiagramme, deren Aussehen leicht anzupassen sind, an. Was fehlt, ist eine Alarmfunktion, die bei einer zu hohen Antwortzeit oder bei Unerreichbarkeit des Zielrechners ausgelöst werden könnte. Bei der Verwaltung des generell zu kleinen verfügbaren IP-Adress-Pools kann ein Administrator leicht den Überblick verlieren. Dieses Problem hat der Hersteller gleich mit vier Tools in der Kategorie “Address Management” angegangen. Der Subnet Calculator berechnet nach Eingabe verschiedener Grunddaten automatisch neu (Sub-)Netze, die der Benutzer im Anschluss sogar in eine Excel-Tabelle zur Weiterverarbeitung exportieren kann. Diese Netze verwal-
www.lanline.de
tet er dann am Besten im “IP Address Management Programm”, das auch im Test verwendet wurde. Denn dieses Tool scannt ein beliebiges Netz nach freien IP-Adressen und zeigt diese nach wenigen Mausklicks an. Der Administrator hat die Möglichkeit, freie IPAdressen für noch kommende
Geräte vorzureservieren und behält somit den Überblick über seinen Adress-Pool. Falls er Teile seines Netzes einem DHCP-Server zugewiesen hat, so kann er sich den Staus dieses Pools mit dem “DHCP Scope Monitor” ansehen. Er zeigt an, wie viele IP-Adressen im Scope noch frei sind und signa-
lisiert zu knapp werdende Ressourcen durch eine rote Schrift. Leider kann dieses Programm die Warnungen nicht akustisch ausgeben, sodass der Administrator immer wieder nachsehen muss, ob noch alles “im grünen Bereich” ist. Eine der wichtigsten Aufgaben im Netzwerk ist das Moni-
LANline Spezial Netzwerk-Administration V/2001
23
PRODUKTE
toring. Deshalb hat Solarwinds dieser Aufgabe eine komplette Kategorie spendiert. Der “Bandwidth Monitor” arbeitet mit Hilfe von SNMP und zeigt die Übertragungsgeschwindigkeit eines vorher angegebenen Rechners an. Im Test ließ sich sogar das richtige NetzwerkInterface des Linux-Gateways auswählen, das mit zwei Netzwerkkarten ausgerüstet war. Die Anzeige ähnelt einem
wie Traceroute und Ping, die im Ernstfall somit schnell verfügbar sind. Beim “Network Monitor” handelt es sich wohl um eines der wichtigsten Monitoring-Tools, denn es ist das einzige Programm, das Alarme sinnvoll ausgibt. Nachdem wir im Test unsere drei Hosts eingetragen hatten, konnten wir das Programm im Hintergrund weiterlaufen lassen. Bei Ausfall eines Ziels sendet das Pro-
Bild 2. Der IP-Network-Browser sucht Geräteinformationen per SNMP und zeigt sie übersichtlich an
Auto-Tachometer, dessen Größe leider nicht veränderbar ist und nicht unbedingt die Leserlichkeit des zu verspielten Programms erhöht (Bild 3). Das Tool “Watch It!” ist hier schon eher angebracht. Nach Angabe einer Reihe von IP-Adressen “versteckt” sich das Programm am Bildschirmrand und zeigt für die einzelnen Hosts kleine farbige Punkte. Die Farben ändern sich je nach Erreichbarkeit des Hosts. Somit hat der Benutzer seine wichtigsten Rechner immer im Blick. Im ausgefahrenen Zustand zeigen sich dann noch Verbindungen zu anderen Solarwinds-Tools
24
gramm wahlweise akkustische und visuelle Alarme und verschickt knappe E-Mails. Der “Syslog Server” konnte während unseres Tests SyslogMeldungen vom Linux-Client empfangen und auch zu ihm verschicken. Leider fehlt auch diesem Tool die Möglichkeit, Alarme auszugeben. Beim “Performance Management” gibt es neben alten Bekannten nur zwei neue Tools. Das eine ist der “Network Performance Monitor”, der dazu verwendet wurde, die Performance des Netzwerks über einen längeren Zeitraum zu messen. Das Programm nutzt ent-
LANline Spezial Netzwerk-Administration V/2001
www.lanline.de
PRODUKTE
weder ICMP-Messages zum Testen der Erreichbarkeit, kann aber auch umfangreichere Messungen per SNMP vornehmen. Der Anwender ist in der Lage, anhand der automatisch produzierten Graphen Unregelmäßigkeiten im Netz festzustellen und zu beseitigen. Mit dem “Advanced Bandwidth Monitor” steht ein weiteres Tool zum Messen der verbrauchten Bandbreite zu und von einem Host zur Verfügung. Im Gegensatz zum eher nutzlosen “Bandwidth Monitor” kann er die gesammelten Daten auch zur weiteren Verarbeitung exportieren. Ein weiteres Modul der Solarwinds Engineers Edition ist der “MIB-Browser”, der auch unter der gleichnamigen Kategorie zu finden ist. Nach Angabe eines Zielrechners vergleicht der Browser die MIB des Geräts mit seiner Daten-
entlocken (Bild 4). Jedes Element des SNMP-Baums (OID) ist auch sehr ausführlich erklärt, was die Arbeit erleichtert. Das Programm erlaubt es dem Administrator auch, einzelne OIDs zu verändern, falls dies vom Gerät erlaubt wird. Der kleine Bruder des MIBBrowsers ist das Programm “MIB-Walk”. Es findet heraus, welche MIBs und OIDs das Ziel-Device unterstützt und zeigt diese an. Zusätzlich gestattet es einen Export der Daten. Falls der Benutzer einen Subscription-Service-Vertrag mit dem Hersteller abgeschlossen hat, so kann er für dieses Programm monatliche Updates der MIB-Datenbank von dessen Web-Seite herunterladen. Die in der Kategorie “Security” enthaltenen Tools wirken generell unangebracht für ein seriöses Software-Paket, das Netzwerkadministratoren die
Bild 3. Der verspielte Bandwith-Monitor zeigt die benutzte Bandbreite als Tachometer an
bank von über 1000 MIBs und zeigt diese an. Während des Tests ließen sich dem CiscoRouter erstaunlich viele Details über seine Konfiguration
26
Arbeit erleichtern soll. Die Programme “SNMP Brute Force Attack” und “SNMP Dictionary Attack” passen wohl eher zu einem Pro-
LANline Spezial Netzwerk-Administration V/2001
grammpaket für Hacker. Sie versuchen die verwendeten SNMP-Community-Strings eines beliebigen Hosts durch
der einzelnen Applikationen. Das recht knapp gehaltene Online-Handbuch liegt dem Programm als HTML-Version bei,
Bild 4. Der MIB-Browser stellt alle Details des Cisco-Routers dar
Ausprobieren zu knacken. Jeder Systemadministrator sollte jedoch wissen, dass diese Strings so komplex wie möglich gehalten werden sollen. Die Tools kann der Administrator natürlich für einen Sicherheits-Check seiner eigenen Geräte verwenden. “Edit Dictionaries” lässt sich als einzelne Applikation nicht ernst nehmen, schließlich ist es notwendig, die Wörter des Dictionaries für das Tool “SNMP Dictionary Attack “ manuell zu erweitern. Das Tool “Remote TCP Session Reset” ist für administrative Zwecke schon etwas brauchbarer. Es erlaubt dem Benutzer einzelne TCPSessions auf einem Zielgerät zu unterbrechen. Im Test wurde dies genutzt, um einen Shoutcast Stream von dem Linux-Server abzuhängen. In der Kategorie “Miscellaneous” finden sich schließlich noch als einzelne Tools herausgenommene Teilprogramme
des Weiteren finden sich darin Links zur Homepage des Herstellers. FAZIT Bei der Solarwinds En-
gineers Edition handelt es sich um eine zuverlässige ToolSammlung für den WindowsNetzwerkadministrator. Die einzelnen Programme funktionierten während des Tests einwandfrei. Dem Hersteller ist jedoch vorzuwerfen, dass er einzelne Teilkomponenten der Applikationen als eigenständige Tools bewirbt. Außerdem wurde eine Alarmfunktion für ein paar wichtige Programme vermisst. Eine Lizenz der Solarwinds Engineers Edition kostet 995 Dollar. Der Preis für 20 Anwenderlizenzen beträgt 15.920 Dollar. (Fabian Warkalla/mw) Info: Solarwinds.net Tel.: 001/ Web: www.solarwinds.net E-Mail:
[email protected]
www.lanline.de
INFRASTRUKTUR
INFRASTRUKTUR FÜR STREAMING MEDIA
Netze und Multimediaapplikationen Die grundlegenden Voraussetzungen für Multimedia-Networking sind Multicast-Fähigkeit, Datentransport in Echtzeit, Quality-of-Service sowie die Unterstützung von Komprimierung und Synchronisation multimedialen Datenverkehrs. Einige dieser Funktionen sind nur im Hostoder Desktop-System erforderlich, andere beeinflussen auch die Router.
n den letzten Jahren sind immer mehr Multimediageschäftsanwendungen für Desktop-PCs auf den Markt gekommen. Gegenwärtig laufen diese Anwendungen allerdings nur auf dem Desktop des einzelnen Nutzers. Die herkömmlichen Netzwerke sind oft noch nicht in der Lage, die erforderliche Bandbreite und Quality-of-ServiceAnforderungen für diese Applikationen zu erfüllen. Bislang waren zwei Techniken für den Versand von Daten über Netzwerke üblich: Bei Unicast werden die Daten von einem Sender zu einem Empfänger geschickt. Bei Broadcast verschickt der Sender die Daten zu allen anderen Punkten im Netzwerk. Eine dritte Technik, Multicast, hat sich in Form des Layer-3-IP-Multicast-Protocol-Standards entwickelt. Die Daten werden über das LAN oder WAN gleichzeitig von einem Sender an eine ausgewählte Gruppe von Empfängern versendet. Die Größe einer Multicast-Gruppe kann zwischen einigen wenigen bis zu tausenden von Endgeräten variieren. Mit Multicast wird Bandbreite effektiver genutzt als bei einer Serie von Unicasts an alle gewünschten Empfänger oder Broadcasts, bei denen Daten an zu viele unnötige Endpunkte verschickt werden. IP-Multicast nutzt IP-Adressen der Klasse D, die im Gegensatz zu anderen IPAdressen für Gruppen und nicht für einzelne Systeme reserviert sind. Diese Adressen
I
28
können dynamisch zugewiesen werden, wenn Multicasts zu verschiedenen Gruppen von Nutzern umgeleitet werden. Einzelne Nutzer dürfen einer Multicast Gruppe jederzeit beitreten oder sie verlassen.
DVMRP wird seit etwa drei Jahren im Multicast Backbone (MBONE) eingesetzt. Das Protokoll arbeitet mit dem Versand kleiner Datenmengen von jeder Multicast-Session zu allen Endgeräten im Netzwerk. Die Router verzeichnen alle Teilnehmer, die keine weitere Übertragung von Datenpaketen wünschen. Dies wird als “pruning” bezeichnet. DVMRP ist wegen seiner Einfachheit und der Eignung für Campus-Umgebungen interessant, wo das “Broadcast-and-Prune”Verhalten und die Speicherung von Pruning-Informationen keine Probleme verursacht. MOSPF wurde etwa zur gleichen Zeit wie DVMRP eingeführt. Das Protokoll wird in Teilen des MBONE eingesetzt, hauptsächlich in Komponenten-Netzwerken, in denen OSPF als Unicast Routing Protocol verwendet wird. MOSPF verteilt Informationen über die Mitglie-
Unnecessary Multicast Traffic
Video Streams
E1
WAN
Router
Cisco IP/TV Server
Layer 2 Etagen Switch Catalyst 3550 Unnecessary Multicast Traffic!!!
Reveicer Group 1
Reveicer Group 2
Bild 1: Multicast-Design für Videoapplikationen
Unterstützung für IP-Multicast ist in den Netzwerk-Geräten (Router, Switches) und in den Endgeräten (PC, Workstation, Server) erforderlich. Für die Unterstützung von Multicast stehen den Routern verschiedene Protokolle zur Verfügung: – Distance Vector Multicast Routing Protocol (DVMRP), – Multicast Open Shortest Path First Protocol (MOSPF), – Protocol Independent Multicast (PIM).
LANline Spezial Netzwerk-Administration V/2001
der der Gruppe an alle Endgeräte im Netzwerk, sodass jeder Node bestimmen kann, wohin die Multicast-Pakete weitergeleitet werden sollen. MOSPF eignet sich ebenfalls für den Einsatz im Campus wo die Verbreitung von Mitgliederinformationen nicht problematisch ist, insbesondere wenn OSPF als Unicast Routing Protocol eingesetzt wird. Bild 1 zeigt das Design eines Multicast-Netzwerks. Durch intelligente Switches mit Multicast-Protokollunterstüt-
www.lanline.de
INFRASTRUKTUR
zung werden die Multicast-Streams nur an die Ports/Benutzer übertragen, die auch an der Videokonferenz teilnehmen. Switches ohne Multicast-Support würden die Streams an alle Ports, wodurch unnötig Bandbreite konsumiert wird. PIM ist das jüngste der drei Protokolle und wird derzeit von der IETF (Internet Engineering Task Force) geprüft. PIM adressiert den Bedarf nach einem skalierbaren, Wide-Area-, Inter-Domain-, Multicast-Routing-Mechanismus bei dem das Broadcasting von Datenpaketen oder Mitgliederinformationen nicht akzeptiert ist. PIM nutzt das bestehende Unicast Routing Protocol des Netzwerks um PIMKontroll-Nachrichten weiterzuleiten und so Multicast-Gruppen beizutreten. Die Unterstützung von Multicast an den Endgeräten erfordert eine IP-Implementierung. Diese muss Multicast und das Internet Group Membership Protocol (IGMP) unterstützen, das mit IPMulticast arbeitet, damit der einzelne Nutzer Multicast-Gruppen dynamisch beitreten oder sie verlassen kann. Es ist ebenfalls entscheidend, dass Multicast auch vom Transport Protocol unterstützt wird. DATENTRANSPORT IN ECHTZEIT Das Layer-4-Protokoll TCP dient als Mechanismus für den Datentransport bei den meisten packet-switched Netzwerken (inklusive dem Internet). Es wurde entwickelt, um den verlässlichen Transport von Informationen in der richtigen Reihenfolge von einem Sender zu einem Empfänger zu garantieren. Die Fehlerund Flow-Control-Mechanismen von TCP können zu Verzögerungen bei der Datenübertragung führen. Damit entspricht das Protokoll nicht den Anforderungen von Echtzeit-Multimediadaten. Diese erfordern aufgrund ihres StreamCharakters eine geringe Verzögerung und Multicast-Unterstützung. Da die empfangende Software verlorene Frames kompensieren kann, ohne das es dem Nutzer auffällt, kann zugunsten geringerer Verzögerungen auf die Rückantworten für die garantierte Übertragung aller Pakete verzichtet werden.
www.lanline.de
Die IETF erkannte den Bedarf nach einer besser skalierbaren Lösung für die Integration der Streaming-Daten in den vorhandenen Datenverkehr auf einem gemeinsamen IP-Netzwerk. Sie verfolgt einen dreigeteilten Ansatz: – Mulitcast-Unterstützung mit IP, – QoS-Unterstützung um Voice-VideoDatenpakete zu klassifizieren, – ein Transportprotokoll (RTP), das Echtzeit- und Multicast-Anforderungen von Streaming-Daten unterstützt. RTP, mit seinem Zusatz RTCP (RealTime Transport Control Protocol), arbeitet mit UDP (User Datagram Protocol) zusammen, um Voice-Video-Daten in Echtzeit über das Netzwerk zu transportieren. RTP nutzt Packet-Header, die Informationen über die Reihenfolge enthalten, Time Stamps, die erforderlich sind, um den Output zu messen und unterschiedliche Datenströme zu synchronisieren sowie Informationen zum Payload des Pakets. Mit diesem Payload Desciptor unterstützt RTP verschiedene Komprimierungsarten. Das RTP-Protokoll wird beispielsweise bei Ciscos Voice-over-IP-Lösung eingesetzt, um die synchronisierte Übertragung der Voice-Pakete über eine WAN-Leitung sicherzustellen. RTCP gibt ein Feedback zur gegenwärtigen Situation im Netzwerk und zur Empfangsqualität, sodass die Applikationen sich automatisch an diese Bedingungen anpassen können. In diesem Fall könnte die Quellapplikation einen “On-the-fly”Wechsel im Kodierschema (Encoding Scheme) ausführen. Das bedeutet, der Video-Teil der Übertragung wird zeitweise ausgesetzt oder es erfolgt ein Umschalten von Farbe auf Schwarz-Weiß, um die Übertragung der Information zu verbessern. Da RTCP nicht nur an den Sender, sondern an alle Empfänger einer Multicast-Übertragung ein Feedback schickt, kann der Nutzer feststellen, ob das Problem nur das lokale Endgerät betrifft oder das ganze System. Der Feedback-Mechanismus von RTCP hilft auch bei der Implementierung von Netzwerk-Monitoren, um Netzwerk-Manager bei der Kontrolle der Multicast-Verteilung zu unterstützen. RTCP gibt zudem ein Feedback darüber,
LANline Spezial Netzwerk-Administration V/2001
29
INFRASTRUKTUR
wer sich wann bei einer Gruppe angemeldet hat. QUALITY OF SERVICE Quality of Servi-
ce (QoS) ist die wichtigste Voraussetzung für die Nutzung von MultimediaApplikationen. Unter QoS wird die Fähigkeit des Netzes verstanden, einer Anwendung oder einer Klasse von Anwendungen eine bestimmte Bandbreite, eine garantierte maximale Verzögerung sowie möglichst geringe Schwankungen in der Verzögerung (Jitter) zu bieten. QoS stellt damit sicher, dass Störungen und Verzögerungen, die bei der Übertragung von Datenpaketen auftreten können, bei der Übertragung von Sprache und Video vermieden werden. Ein Mittel, die vereinbarten Merkmale für die verschiedenen Datenströme zu sichern, ist das Weighted-Fair-Queuing (WFQ) von Cisco. Es ordnet den Datenflüssen der einzelnen Sender eine spezielle Queue zu, um Bandbreite und Verzögerungskennzeichen der ausgehandelten Multimedia-Anwendung zu garantieren. Die einzelnen Queues arbeitet der Router nach dem Round-Robin-Verfahren ab. Mit Hilfe von WFQ kann die Länge einer Warteschlange und die Aufteilung der IP-Pakete gemäß ihrer Priorität auf die verschiedenen Queues bestimmt werden. “Weighted” bedeutet, dass jeder Datenstrom isoliert erscheint und mit einem gewissen Prozentsatz der Bandbreite versehen ist. Dieser Prozentsatz wird durch ein Gewicht ausgedrückt. Bild 2 zeigt eine Queueing-Eigenschaft für die Priorisierung von Sprache und Video vor herkömmlichen Datenverkehr. Durch dieses Verfahren wird sichergestellt, das Sprache und Video ohne Verzögerung übertragen werden. Die Paketlänge hat entscheidenden Einfluss auf die Bandbreitenverteilung. Ein Fluss mit Paketen von 1000 Bit Länge soll im Vergleich zu einem Datenstrom mit Paketen von 500 Bit Länge nur die Hälfte der Kapazität beanspruchen. Mit WFQ ist es möglich, den Queues unterschiedliche Gewichtungen zuzuweisen und damit die Verbindungen zu priorisieren. QoS sollte nicht nur auf WAN-Verbindungen son-
30
dern auch im LAN bereitgestellt werden. Die Cisco-Layer-2-Switches bieten für die Anbindung von Multimedia-Teilnehmern oder IP-Telefonen die Möglichkeit, durch Auslesen und Überschreiben des CoS (Class of Service)-Feldes im Paket die Datenströme untereinander zu priorisieren. Dadurch wird im Etagenbereich die Bandbreite des Netzwerks optimal genutzt und Video- oder Telefonverbindungen können nicht abreißen. KOMPRIMIERUNG VON DATEN Multimedia-Streams, besonders Video, sind “dichter” als einfacher Datenverkehr, enthalten mehr Bits und werden vor dem Transport über das Netzwerk häufig komprimiert, damit sie weniger Bandbreite benötigen. Komprimierte Video-Daten reagieren empfindlicher auf Paketverlust als nicht komprimierte. Zumeist kommt
entwickelt, ist auf Bandbreiteneffizienz und geringe Verzögerung ausgelegt. MPEG dagegen hat weniger Bandbreiteneffizienz ist aber editierbar und bietet eine hohe visuelle Qualität, wie sie für Filmapplikationen verlangt wird. Zusätzlich bietet Intel seine Indeo-Komprimierungs-Software für PC an, die auf geringe Dekodierungsanforderungen eingestellt ist. In den nächsten Jahren sind in diesem Bereich einige Fortschritte zu erwarten. Anwender sollten daher Produkte wählen, die bei der Unterstützung existierender Komprimierungstechnologien flexibel sind und auch neue Technologien unterstützen. SYNCHRONISATION VON DATEN Multi-
media-Streams werden für den Versand über das Netzwerk in Pakete geteilt und beim Empfänger wieder zusammen ge-
“Schützen von Video und Voice vor Daten”
VoIP or Video (High)
PQ
WAN Leitung
Data (Low)
WFQ
Data (Low) Data (Low) QoS Queuing Tools IP RTP Priority (Point-to-Point Links + Frame Relay) IP to ATM QoS (Multiple VCs or CBWFQ within VC)
Bild 2: Priorisierung von zeitkritischem Verkehr
Interframe-Komprimierung zum Einsatz. Dabei werden jeweils nur die Daten gesendet, die sich vom direkt vorher gesendeten Frame unterscheiden. Wenn ein Frame verloren geht, hat der folgende keine Referenz mehr. Die Networking-Software kann auf die Kompensation solcher Verluste eingestellt werden. Einige Standardkomprimierungstechniken sind derzeit weit verbreitet. H.261, ursprünglich von der ITU (International Telecommunications Union) für Videokonferenzapplikationen
LANline Spezial Netzwerk-Administration V/2001
setzt. Das empfangende Endgerät muss unter Umständen mehrere Datenströme synchronisieren, damit beispielsweise der Ton zu den dazugehörigen Bildern passt. In einigen Fällen ist es erforderlich, Streams von mehreren Datenquellen zu synchronisiern, beispielsweise bei der Synchronisation in einer fremden Sprache. Spezielle Multimedia-Networking-Software kann den Bedarf nach diesen Funktionen umgehen, da die Komprimierungsunterstützung von jeder einzelnen Appli-
www.lanline.de
INFRASTRUKTUR
kation implementiert wird. Alle genannten Voraussetzungen für Multimedia-fähige Netzwerke können mit Software erfüllt werden. Die Hardware muss nicht erneuert werden. Dies ist kostengünstiger und das Upgrade zu neuen Funktionen lässt sich schneller umsetzen. Unternehmen sollten bei einem Upgrade auf die Verwendung von Standards achten. Die IETF entwickelt Standardprotokolle für skalierbare Multicast-Übertragungen von multimedialen Daten in Echtzeit und mit QoSUnterstützung. Standardschnittstellen wie Winsock 2 und Directshow ermöglichen
Switching sind in den “Sendezentralen” der Unternehmen sowie den Backbones der Service-Provider so genannte Content Distribution Manager erforderlich. Sie übertragen die Inhalte auf Cache-Engines in den Außenstellen. Wenn ein Mitarbeiter in der Außenstelle eine MultimediaApplikation nutzt, wird der Inhalt von der Content-Engine abgerufen und nicht über die WAN-Leitung von der Zentrale. Bild 3 beschreibt den Aufbau eines Content Delivery Networks für den Abruf von Video-Informationen von der Außenstelle. Statt über die WAN-Leitung auf die
Unternehmenszentrale
Aussenstelle
Content Distribution Manager
IP/TV Server Original App/Web Servers
Content Engine
Corporate WAN VPN
User Sends Request for HTML with Video Page Page is Downloaded
Mgmt Console
Bild 3. Aufbau eines Content Delivery Networks
die Kommunikation mit anderen Applikationen. Standardisierte Komprimierungstechniken schließlich sind mit H.261 und MPEG vorhanden. CONTENT DELIVERY NETWORKS Viele Unternehmen nutzen heute Multimediaapplikationen für Schulungen von Mitarbeitern oder die Informationsverteilung an Kunden und Zulieferer. Ein neues Modell für die Bereitstellung solcher multimedialer Inhalte sind “Content Delivery Networks” (CDN). Sie sind für die schnelle Übertragung anspruchsvoller Inhalte in Echtzeit optimiert. CDNs setzen auf vorhandener Intranet-Infrastruktur auf. Inhalte wie Videos werden repliziert und auf intelligente Caches verlagert, die sich topologisch näher am Endanwender befinden. Neben dem herkömmlichem Routing und
www.lanline.de
Video-Informationen zuzugreifen, wird der Benutzer intelligent auf den Inhalt der Cisco-Content-Engine geroutet. Dadurch steht die Bandbreite der WAN-Leitung für andere Dienste zur Verfügung. Diese lokale Bereitstellung von Informationen entlastet die WAN-Verbindungen und verbessert die Antwortzeiten. Da bis zu 70 Prozent des Web-Verkehrs und der Multimediaapplikationen statische Informationen sind und eine Vielzahl von Anwendern regelmäßig den gleichen Inhalt abruft, bietet sich Network-Caching als Lösung für deren Bereitstellung an. (Carsten Queisser/mw) Carsten Queisser ist Produkt Marketing Manager, Business Development, bei Cisco Systems.
LANline Spezial Netzwerk-Administration V/2001
31
INFRASTRUKTUR
REMOTE-ÜBERWACHUNG VON NETZEN
QoS durch verteilte Protokollanalyse Die Installation und Inbetriebnahme einer Kommunikationsinfrastruktur ist heute ein im Wesentlichen gut lösbares Problem. Die eigentlichen Schwierigkeiten für den bereitstellenden Betrieb und dessen Kunden beginnen häufig erst nach der Inbetriebnahme. Das neue System zeigt nicht die gewünschten Reaktionszeiten, sporadische Fehler werden auffällig oder die Güte der implementierten Dienste schwankt spürbar. Hier ist im beiderseitigen Interesse der Einsatz von flexiblen, skalierbaren und leistungsfähigen Messmitteln notwendig, um schnell und effizient Lösungen zu finden.
oderne Kommunikationsstrukturen zeichnen sich nach Jahren, in denen die physische Betriebssicherheit ein wesentliches Qualitätsmerkmal war, immer stärker durch die zur Verfügung gestellten Dienstleistungen aus. Netzwerke, die noch vor kurzem “State-of-the-art” in Bezug auf Transferleistung und Teilnehmerzahlen waren, zeigen bei modernen MultimediaApplikationen ihre Schwächen. Gleichzeitig verlangt die Menge der ApplikationsSoftware sowie das gewünschte Interagieren zwischen den Applikationen ein Umdenken bei der Organisation der Infrastruktur. Einzelplatzsysteme werden im Zuge der zentralen Software-Wartung zugunsten von Applikations-Servern umgestellt und damit die Datenflüsse kanalisiert. Weitere Anforderungen stellen sich durch den zunehmenden Wunsch, die Dienstleistungen eines Netzwerks standortübergreifend bei einem hohen Sicherheitsstandard zu einem günstigen Preis einkaufen zu können. Dies gilt umso mehr wenn, neben der Forderung nach leistungsfähiger Kommunikation am Standort, auch eine geographisch ausgedehnte, aber weiterhin in sich geschlossene Kommunikationslandschaft entstehen soll. Zwar bieten die öffentlichen Provider solche Dienste im Rahmen von VLANs, so genannten Virtuellen
M
32
LANs an, jedoch sind die Verbindungen zwischen den diversen Anschlusspunkten an ein solches System entweder noch sehr teuer oder aber mit den bekannten Schwä-
findet. Oftmals sind die entstehenden Schwierigkeiten hintergründig und werden beispielsweise erst durch die Abrechnung der entstandenen Kosten offensichtlich. Zu lange Online-Zeiten auf Grund langsamer Verbindungen, sporadisch lange Wartezeiten auf den Seitenaufbau aus dem Internet oder beim Start von Applikations-Software, schlechte Qualität bei StreamingDiensten wie Voice over IP, um nur einige Beispiele zu nennen, werden eventuell noch durch den Endbenutzer als Störungen wahrgenommen, während Wiederholungen auf Grund von Datenverlusten oder obsoleter Datenaustausch zwischen Netzwerkkomponenten sozusagen als “persönlicher Charme” eines Systems begriffen werden und in der Regel noch nicht einmal ins Bewusstsein treten, da “das neue System nun deutlich besser als das Alte” funktioniert. Aber arbeitet es auch optimal und effizient? Während die Provider Effizienz als Grundlage für ihre Preisfindung zur Auflage seitens der Regulierungsbehörde haben, hat der Anwender nur unter großem Aufwand die Möglichkeit, die Effizienz
Bild 1. Mögliche Messpunkte in einem verteilten Analysesystem
chen des als Vermittlungssystem dienenden Internets behaftet, wie etwa fluktuierender Datenrate und temporärer Unerreichbarkeit bestimmter Ziele. In einem solchen Szenario arbeiten nicht immer alle Komponenten einwandfrei zusammen, auch wenn der einzelne Anwender die Fehlfunktionen nicht direkt emp-
LANline Spezial Netzwerk-Administration V/2001
seiner spezifischen Installation unter Kostengesichtspunkten zu bestimmen. MODERNES NETZWERKSZENARIO Das
wachsende Spektrum der technischen Möglichkeiten auf der einen und die spezifischen Anforderungen der Kunden auf der anderen Seite machen praktisch jede Lö-
www.lanline.de
INFRASTRUKTUR
Bild 2. Große Datenmengen werden in Übersichtsinformationen und Detailansichten getrennt
sung zu einem Sonderfall, sodass allgemeine Regeln für die Qualitätssicherung nur beschränkt anwendbar sind. Hierbei ist es oft Aufgabe des Netzwerk-/Diensteanbieters, schnell und sicher Kenndaten bezüglich der Qualität einer Netzwerkin-
www.lanline.de
stallation in einem preisbewussten Service anzubieten. Hierzu bedarf es eines vielseitigen und verteilten Messsystems, das bei einfacher Bedienbarkeit aussagekräftige Statistikinformationen generieren und gleichzeitig individuelle Fehler erkennen
und analysieren kann. Grundsätzlich sollte ein Messsystem zur Überwachung der Güte von Verbindungen folgende Eigenschaften mitbringen: – Messdatenerfassung in einem externen Gerät unabhängig von im Point of Inte-
LANline Spezial Netzwerk-Administration V/2001
33
INFRASTRUKTUR
rest (PoI) angeschlossenen Geräten, um durch die Messaufgabe das Systemverhalten nicht zu verändern, – Angebot mehrerer physikalischer WAN-Schnittstellen auf unterschiedli-
Kernstück des Troubleshooting-Systems sind leistungsfähige Messadapter, die bei verteilten Messaufgaben auch im stand-alone Betrieb arbeiten können und in ihrer Funktion primär nicht auf eine be-
Bild 3. Übersicht der beteiligten Komponenten bei der verteilten Fehler-/Protokollanalyse
chen physikalischen Medien um einen schnellen und einfachen Messaufbau vor Ort zu erreichen und flexibel auf spezifische Installationen anwendbar zu sein, – Ausreichender Massenspeicher für Langzeitanalysen und Quasi-Standalone-Betrieb, – Synchronisationsmöglichkeit mit anderen Messstellen, – Fernabfrage und Auswertemöglichkeit mehrerer Messstellen unter einer gemeinsamen Benutzeroberfläche, mit der Möglichkeit der Korrelation der aufgezeichneten Datenströme. Alle diese Anforderungen lassen sich mit einem modularen System erfüllen, das neben Standardkomponenten zur WANAnalyse Bausteine zur Synchronisation und Kopplung unterschiedlicher Messstellen umfasst. Diese Komponenten können dann im Bedarfsfall so konfiguriert werden, dass die Anforderungen eines modernen Netzwerkszenarios abgedeckt sind.
34
triebsbereite Kommunikationsstrecke angewiesen sind. Die den PoI passierenden Daten werden aufgezeichnet und online analysiert. Dabei wird für jede Verbindung ein Statistikdatensatz erstellt, bei verbindungslosen Protokollen eine Übersicht über das Zeitverhalten des Datenstroms generiert. Hierbei ist die Ausgabe von Warnungen bei der Abweichung von protokollkonformen Verhalten oder dem Über- oder Unterschreiten von protokollspezifischen Grenzwerten integriert. Bei der manuellen Analyse der Daten ist es nur noch erforderlich, die mit entsprechenden Warnhinweisen versehenen Datensätze in der Statistikübersicht einer detaillierten Protokollanalyse zu unterziehen. Als Einzelsystem bietet sich mit derartigen Geräten die Möglichkeit, große Datenmengen schnell in Übersichtsinformationen und Detailansichten zu trennen und auch sporadische Fehler schnell aufzuspüren.
LANline Spezial Netzwerk-Administration V/2001
EINFACHES AUFFINDEN VON POTENZIELLEN FEHLERN Mit Hilfe von Metho-
den des Data-Mining kann die manuelle Analyse weitgehend automatisiert werden. Dabei werden die Phasen problemloser Funktion ausschließlich statistisch erfasst während Problemzeiten vollständig und detailliert gespeichert werden. Dadurch wird eine hierarchische Analyse möglich, die Vorteile einer Langzeitüberwachung mit den Möglichkeiten der klassischen und detaillierten Protokollanalyse vereint. Weiterhin ist es im Remote-Betrieb möglich, Alarme beispielsweise als E-Mail zu versenden oder online an einen Abfrageplatz weiterzuleiten. Den Schlüssel zu dieser Funktionalität stellt die flexible Zuordnung von Aktionen zu bestimmten Protokoll- oder Statistikereignissen dar, das so genannte intelligente Triggern. Jeder Messadapter lernt hierbei autonom die Verkehrsmuster, die für den jeweiligen Standort charakteristisch sind. Neben der automatischen Erkennung solcher Muster ist es dem Anwender möglich, bestimmte statistische Parameter in einer Skala von gut bis schlecht zu qualifizieren und somit vorgegebene Alarmschwellen einzurichten. Werden diese Alarmschwellen erreicht, so findet eine detaillierte Aufzeichnung statt, während in den übrigen Zeiten nur signifikante Ausschnitte des Datenstroms permanent erhalten bleiben. Ständig ist jedoch die Bestimmung statistischer Parameter zur Bestimmung des QoS-Grades aktiv. Ebenso lassen sich mittel- und langfristige Trends in der Entwicklung des Verkehrsaufkommens und in der Lastkurve im Tagesverlauf erkennen. Signifikante Änderungen werden erfasst und dem Anwender ebenfalls als Alarme mitgeteilt. Die Auswertungs-Software kann die unterschiedlichen Messadapter unter einer gemeinsamen Arbeitsoberfläche integrierten. Hierzu werden die diversen Messstellen dem System mittels eines CorbaNameservers bekannt gemacht. Dieser dient dem Aufbau der Kommunikation zwischen den Systemteilen mittels eines Corba-Interfaces, das neben der effizienten Steuerung der Messmittel auch der
www.lanline.de
INFRASTRUKTUR
Übertragung der Ergebnisdaten dient. Da die Analyse der Daten weitgehend in den Messadaptern selbst vorgenommen wird, kann sich die Übertragung der Ergebnisdaten auf den Teil der Daten beschränken, der zur Synchronisation mit den anderen Messstellen und zur Darstellung der Ergebnisse auf der Arbeitsoberfläche benötigt wird. Damit wird eine möglichst geringe zusätzliche Belastung des Kundennetzwerks durch das verteilte Messsystem erreicht. Ebenso wird es auf diese Weise möglich, die Analyse eines schnellen LAN-Netzwerks auch über eine analoge Modemverbindung vornehmen zu können, falls die Messdaten nicht über das zu überwachende Netzwerk selbst verschickt werden sollen. Solange von der Arbeitsoberfläche keine Daten von den entfernten Messstellen abgefragt werden, findet kein signifikanter Datenverkehr zwischen den Komponenten des verteilten Messsystems statt.
www.lanline.de
KOMPONENTEN BEI DER VERTEILTEN FEHLER-/PROTOKOLLANALYSE Durch
die Integration eines Massenspeichers in die individuellen Messadapter System ist es weiterhin möglich, temporär auf die externe Kommunikation ganz zu verzichten. Die ist insbesondere in solchen Situationen vorteilhaft, in denen das beobachtete Problem die Kommunikation mit dem Abfrageplatz beeinträchtigt. In diesem Fall kann der volle Informationsgehalt der Aufzeichnung bewahrt werden und steht nach der (häufig automatischen) Wiederherstellung der Verbindung uneingeschränkt zur Verfügung. Neben den Vorteilen bei der internen Nutzung kann die Corba-Schnittstelle auch als Schnittstelle für kundenspezifische Erweiterungen genutzt werden. Denkbar wären hier beispielsweise die Generierung spezifischer Testabläufe oder die Aufzeichnung und Auswertung proprietärer Daten. Zusätzlich bieten neueste Entwick-
lungen in der Corba-Technologie auch die Möglichkeit, sowohl den Zugriff auf die Corba-Schnittstellen als auch die eigentliche Datenübertragung effizient zu verschlüsseln und so die Sicherheit der häufig sensiblen Aufzeichnungen nach Möglichkeit zu garantieren. FAZIT Durch den Einsatz eines verteilten,
fernbedienbaren Messsystems wird eine Vielzahl von Problemen der Fehleranalyse in verteilten Netzwerken beherrschbar. Das Versenden von Alarmen und die zeitnahe Ex-Post-Auswertung ohne die Implementierung eines kostspieligen Überwachungsnetzwerks macht die Suche hierbei leistungsfähig und preiswert. (Ralf Burda/mw) Dipl.-Ing. Ralf Burda ist Geschäftsführer bei Herakom und seit zehn Jahren im Bereich der Analyse von Netzwerkproblemen tätig.
LANline Spezial Netzwerk-Administration V/2001
35
INFRASTRUKTUR
LICHT AM ENDE DES IP-NETZ-TUNNELS
Einrichten von IP-Service-Levels Tausende von Ingenieuren arbeiten weltweit zusammen, um das IP-Netz und seine Transporttechnologie, TCP/IP, in ein integriertes, intelligentes globales Netz zu verwandeln, das Sprache, Daten, Streaming- und Real-Video und -Audio sowie andere zukünftige Dienste gleichzeitig und reibungslos befördern kann. Allerdings führt diese Herangehensweise nur zu “Best Effort”-Ergebnissen. Verfügbarkeit und Leistung des Netzes lassen sich nicht vorhersagen. Wenn man bedenkt, dass die Abhängigkeit von der IP-Infrastruktur ständig wächst, ist es erstaunlich, wie wenig über die Leistungsniveaus bekannt ist, die man von den IPVerbindungen erwarten kann. Dieser Artikel beschreibt, wie integrierte Dienste hoher Qualität über das IP-Netz realisiert werden können.
as Internet hat sich zu einer unerlässlichen Ressource im Geschäftsleben entwickelt - einem globalen Netz, das von großen, kommerziellen Netzdienstprovidern (Network Service Providern, NSPs) weltweit unterstützt wird. Diese Evolution hat viele Organisationen
D
profitieren. Die Verantwortung, diese Verbindungen so zu verwalten, dass sie den Leistungserwartungen der Unternehmenskunden entsprechen, liegt mittlerweile bei den Service-Providern. Sobald auf SLA-(Service Level Agreements) basierende Dienste bereitgestellt
rung der IP-basierenden Service Level eine “IP-based Service Level Verification” (IP-SLV). Sie muss von Ende zu Ende die Leistungsfähigkeit einer Verbindung aus Sicht des Anwenders abbilden. VORTEILE VON IP-SLV Das Ziel einer IP-
SLV-Lösung besteht darin, sowohl Unternehmen als auch NSPs zu ermöglichen, SLAs für IP-VPNs (und andere IPDienste) zu definieren und zu messen. Werden sie korrekt implementiert, können NSPs die IP-SLVs dazu verwenden, ihren Service (und ihr Geschäft) zu verbessern, indem sie IP-VPN-Dienste mit Dienstgüten implementieren, die vorher mit ihren Kunden abgestimmt wurden. Aus dem Blickwinkel der Unternehmen sollte es möglich sein, eine Dienstgüte zu erreichen, die vorher nur über dedizierte private Netze möglich war – mit allen Konsequenzen hinsichtlich der Personalkosten, der nötigen Übertragungskapazitäten und des Aufwands für eine ununterbrochene Überwachung. Ein IP-VPN mit genauer Service-Level-Verifizierung kann eine wesentlich ökonomischere Alternative sein, ohne dass die Dienstqualität (QoS) oder die Sicherheit darunter leiden. Letzten Endes können nur präzise Messungen ermitteln, ob die versprochene Dienstgüte auch geliefert wird. Ein erster Schritt bei der Definition jedes SLA ist daher die Erarbeitung einer umfassenden Metrik, mit der die Dienstgüte festgestellt wird. Dazu gehören Latenz, Paketbeförderungsrate und Verfügbarkeit. LATENZ Die Latenz misst die Transport-
Bild 1. Beispiele für die Netzwerk-Latenz
dazu gebracht, ihre eigenen privaten oder Unternehmens-IP-Netze aufzubauen. Indem sie ein VPN (Virtual Private Network) implementieren, können diese Organisationen die bestehenden InternetInfrastrukturen nutzen und gleichzeitig von dedizierten, sicheren Verbindungen
36
werden, müssen die Service-Provider robuste Messstandards (QoS, Quality of Service) entwickeln. Tatsächlich existieren bereits einige Technologien, die einen Teil der diesbezüglichen Probleme lösen, zum Beispiel diverse LAN-Probes. Nötig ist aber eine Lösung zur Verifizie-
LANline Spezial Netzwerk-Administration V/2001
zeit, die ein Paket für den Hin- und Rückweg (Round Trip Delay) zwischen zwei Punkten im Netz benötigt. Sie ist damit eine der wichtigsten Kriterien, um die wirkliche Leistung eines Netzes festzustellen. Bild 1 zeigt diverse Methoden, das Round-Trip-Delay zu errechnen. Die Verzögerung (Latenz) von Ende zu Ende, ist, wenn sie ausschließlich auf LAN-basierenden Messmethoden beruht, bestenfalls ein Näherungswert. Der Grund dafür liegt darin, dass die Messung auch Dinge erfasst, die der Service-
www.lanline.de
INFRASTRUKTUR
Provider nicht kontrollieren kann, zum Beispiel die Verzögerung der IP-Zugangsplattformen, Router, Hubs und Server. Zudem nutzen LAN-basierende Methoden meistens “Pings”, die von Routern und Servern als Overhead wahrge-
works definierten IP Service Level Verification Data Exchange Protocol (ISDEP). ISDEP triggert eine Reihe von Übertragungen regulärer IP-Pakete zwischen den IP-Zugangsplattformen auf jeder Seite des Carrier-Netzes. Der An-
Bild 2. Referenzmodell für IP-SLV
nommen und daher mit niedriger Priorität verarbeitet werden. Wegen dieser Probleme können LAN-basierende Messungen nicht als Grundlage für die Implementierung von IP-SLAs dienen. Sie eignen sich eher zur Messung der Antwortzeit von Applikationen als zu Feststellung der Verzögerung beim Netztransport. Nur eine WAN-basierende IP-SLVLösung, die ausschließlich den IP-Netzdienst des Carriers innerhalb der Grenzen der von ihm zu verantwortenden Verbindung einbezieht, bietet die nötige Genauigkeit für die Definition exakter SLAs. Eine derartige Lösung basiert beispielsweise auf dem von Quick Eagle Net-
wender kann die Paketlänge nach Bedarf definieren und Schwellwerte für die Verzögerung setzen, bei deren Überschreitung umgehend ein Alarm ausgelöst wird. Diese Methode bildet sehr genau die aktuelle Transportverzögerung im Netzwerk ab. Bild 2 zeigt das Referenzmodell, das für die Verzögerungsmessungen verwendet wird. Dabei sendet IP-Zugangsplattform A ein ISDEP-Paket an IP-Zugangsplattform B, startet eine Zeitmessung und wartet auf das zurückkehrende Paket. IPZugangsplattform B empfängt das Paket, startet seinen Empfangszähler und sendet das Paket an IP-Zugangsplattform A. IPZugangsplattform B registriert den
Bild 3. Messmethode für die Sendeverzögerung (Transmit Delay)
38
LANline Spezial Netzwerk-Administration V/2001
Zählerstand, sobald das Paket in seine Sende-Warteschlange integriert wird. Dieser Prozess wiederholt sich, bis das Zeitmess-Intervall den Messzyklus komplettiert. Dann sendet IP-Zugangsplattform A ein ISDEP-Request an B. B sendet eine Antwort zurück, die alle gemessenen Zählerstände enthält, die während des Messintervalls festgestellt wurden. Dann wird der Prozess wiederholt. Die Verzögerungsmessung schließt sowohl die Transport- als auch die Empfangsverzögerung ein. Bild 3 zeigt die Methode, mit der die IP-Sendeverzögerung ermittelt wird. Der “Zeitpunkt, zu dem die Nachricht gesendet wurde” wird als der Moment definiert, in dem sich die Nachricht in die Sende-Queue einreiht. Der “Zeitpunkt, zu dem die Nachricht empfangen wurde” ist der Moment, in dem das letzte Oktett des Pakets empfangen wurde. Das eliminiert die interne Verzögerung durch die Queue, da sich die zwei Komponenten der Verzögerung gegenseitig ausgleichen. Eine ähnliche Berechnung nimmt man auf der Empfängerseite vor, und schließlich wird das Round-Trip-Delay folgendermaßen berechnet:
RTDAB= (RXBA-TXAB)-(TXBA-RXAB) mit RTDAB = Round Trip Delay von A nach B RXBA = Empfänger-Zähler B nach A TXAB = Sender-Zähler A nach B TXBA = Sender-Zähler B nach A RXAB = Empfänger-Zähler A nach B
Dieses Modell kann leicht für komplexere Netze erweitert werden. Jede Netztopologie lässt sich mit dem oben dargestellten Referenzmodell messen, die Methode bietet eine sehr genaue Darstellung der IP-Netz-Verzögerung. Zusätzlich ist sie flexibel, da sich für die Service Level Schwellen- und Grenzwerte definieren lassen. Bei der Verletzung vereinbarter Dienstgüten werden die Verantwortlichen sofort benachrichtigt. Die Stärken dieser SLV-Methode lassen sich am besten ausnutzen, indem
www.lanline.de
INFRASTRUKTUR
man sie in eine umfassende Netzmanagement-Software-Suite integriert. Service-Provider können zum Beispiel “WAN-View”-Netzmanagement- und Reporting-System von Quick Eagle Networks nutzen, um visuell Dienstgüten für ihre Kunden zu überwachen und zu verwalten. WAN-View-CE ermöglicht NSPs, HTML-basierende SLAReports kundenspezifisch zu erstellen und diese Reports über das Internet mittels eines Standard-Webbrowsers zugänglich zu machen. PAKETBEFÖRDERUNGSRATE Die Pa-
ketbeförderungsrate (Packet Delivery Ratio, PDR) zeigt, wie effektiv das Quellnetzwerk IP-Pakete ans Zielnetz sendet. Es ist das Verhältnis der Pakete, die am IP-Zugangssystem B empfangen werden zu den Paketen, die vom IP-Zugangssystem A gesendet werden. Bild 4 zeigt ein Beispiel für die Darstellung gemessener Paketbeförderungsraten:
Bild 4. Report über die Paketbeförderungsrate
Wie in Bild 2 werden IP-Pakete, die vom IP-Zugangssystem A mit Ziel IPZugangssystem B gesendet werden, als PacketsOfferedAB bezeichnet. Pakete, die an der IP-Zugangsplattform B von IP-Zugangsplattform A empfangen werden, heißen PacketsReceivedAB. Die entsprechende Paketbeförderungsrate nennt man PDRAB. Sie wird wie folgt berechnet:
www.lanline.de
LLANline Spezial Netzwerk-Administration V/2001
39
INFRASTRUKTUR
PDRAB=
PacketsReceivedAB PacketsOfferedAB
Es gibt für jede Richtung zwischen zwei Endpunkten und für jedes IP-Protokoll, das von den IP-Zugangspunkten A und B überwacht wird, eine separate PDR. DATENBEFÖRDERUNGSRATE Für die
Berechnung der Datenbeförderungsrate (Data Delivery Rate, DDR) wird dieselbe Methode wie bei der PDR zugrunde gelegt, nur dass man diesmal anstelle der Zahl der Pakete die der Oktette, die über das Netz befördert werden, verwendet. Daten, die von IP-Zugangspunkt A an IP-Zugangspunkt B gesendet werden, heißen DataOfferedAB (Oktette, die B von A angeboten werden). Daten, die an der IP-Zugangsplattform B empfangen werden und von der IP-Zugangsplattform A stammen, heißen DataReceivedAB (Oktette, die von A stammen und bei B ankommen). Für Daten, die von IP-Zugangsplattform A zur IP-Zugangsplattform B fließen, wird DDRAB wie folgt berechnet:
DDRAB=
DataReceivedAB DataOfferedAB
Für jedes Applikationsprotokoll im Netz wird ein separates DDRAB berechnet. Diese feinere Granularität ermöglicht dem Anwender, anwendungsspezifische QoS-Metriken und Metriken für die Gesamt-QoS auf der IP-Verbindung zu erfassen. VERFÜGBARKEIT Die Verfügbarkeit mis-
st die Fähigkeit der IP-Zugangsplattform A die IP-Zugangsplattform B übers Netz zu erreichen. Kann sie nicht erreicht werden, bezeichnet man das als Ausfall. Es gibt zwei Klassen von Ausfällen: – Fehler-Ausfälle: Ausfälle aufgrund von Fehlern im Netz und im Local Loop, – Ausgeschlossene Ausfälle: Ausfälle aufgrund von Fehlern außerhalb des gemessenen Netzwerks. Die Serviceverfügbarkeit kann mit Hilfe von drei Parametern beschrieben werden:
40
IPA (IP Availability, IP-Verfügbarkeit), wie folgt berechnet:
IPA=
IntervalTime–ExcludeOutageTime–OutageTime *100 IntervalTime–ExcludeOutageTime
IPMTTR (IP Mean Time To Repair, Mittlere Reparaturdauer fürs IP-Netz), kalkuliert man wie folgt:
IPMTTR=
OutageTime. OutageCount
laufen. Diese Fähigkeit macht IP-SLV zum mächtigen Mechanismus für QoS-Messungen an IP-Services. Jedoch werden nicht alle Lösungen gleich implementiert. Die meisten Anbieter analysieren jeden Datenstrom einzeln. Bei dieser komplexen Methode werden Tausende ein- und ausgehender Datenströme pro Sekunde und RouterPort gemessen. Deshalb sind komplexe Aggregierungs- und Korrelationsarbeiten nötig, bevor die Daten etwas aussagen. Die meisten Organisationen brauchen eine einfachere Methode, die auf den gesamten aggregierten Daten zwischen Endpunkten des Netzes aufbaut. FAZIT QoS-Vereinbarungen sind wichtig,
Wenn OutageCount 0 ist (keine Ausfälle), dann ist auch IPMTTR zwischen zwei Endpunkten gleich 0. IPMTBSO (IP Mean Time Between Service Outages, Mittlere Zeit zwischen IP-Dienstausfällen), berechnet sich wie folgt:
IPMTBSO=
IntervalTime–ExcludeOutageTime–OutageTime OutageCount
Wenn OutageCount 0 ist (keine Ausfälle), dann ist auch IPMTBSO zwischen zwei Endpunkten 0. Die einzelnen Variablen lauten: – IntervalTime ist die Dauer der Periode, während der die Verfügbarkeit gemessen wird. – OutageTime ist die aggregierte Dauer aller Fehler-Ausfälle, die während der Messperiode auftreten. – Excluded OutageTime ist die aggregierte Dauer aller ausgeschlossenen Ausfälle, die während der Messperiode auftreten. – OutageCount ist die Zahl aller FehlerAusfälle, die während der Messperiode auftreten. LÖSUNGEN Es ist offensichtlich, dass IPSLV eine Fülle von Informationen über die Qualität des IP-VPN-Dienstes bereitstellt und deshalb auch über die Qualität der Anwendungen, die über den IP-VPN-Dienst
LANline Spezial Netzwerk-Administration V/2001
da Anwender verschiedene Dienstgüten und oft eine verringerte Leistung ihrer Anwendungen erleben, wenn SLA-Schwellenwerte nicht eingehalten werden. Im Fall von Voice over IP müssen die Netzverzögerungszeiten unter 200 Millisekunden bleiben, wenn kein Echo oder unerträgliches Rauschen auftreten sollen. Streaming Video reagiert sogar noch empfindlicher auf Verzögerungen bei der Übertragung; Video-Conferencing benötigt Datentransportraten von 98 Prozent und besser, da alle geringeren Dienstgüten die Qualität der Videokonferenz beeinträchtigen. Die Service Level Verification gibt den NSPs und ihren Kunden ein Mittel in die Hand, fundierte QoS-Vereinbarungen für IP-VPNs abzuschließen und weist damit den Weg zur Entwicklung neuer, innovativer IPDienste. Dadurch, dass ihnen nun präzise Informationen zur Verfügung stehen, können NSPs und Unternehmen ihre IP-Netze auf den vorhandenen Bedarf feintunen und ihren Anwendern die nötige Dienstgüte anbieten. (Lana Vaysburd/mw) Lana Vaysburd ist Senior Vice President Engineering und Product Management bei Quick Eagle Networks.
Info: Quick Eagle Networks Tel.: 0221/92042114 Web: www.quickeagle.com E-Mail: costin_constantinescu@ quickeagle.com
www.lanline.de
MANAGEMENT
HERAUSFORDERUNG FÜR IT-ABTEILUNGEN
Desktop-Management und Software-Verteilung Die Produktivität und Wettbewerbsfähigkeit eines Unternehmens hängt nicht zuletzt von der Leistungsfähigkeit der IT-Infrastruktur ab. Auch das Management der Arbeitsplatzrechner spielt dabei eine wesentliche Rolle. Für die Steigerung und Erhaltung der Produktivität bei gleichzeitiger Reduzierung der Total Cost of Ownership (TCO) der Computersysteme ist jedoch ein sorgfältiges Management dieser Systeme unerlässlich. Vergegenwärtigt man sich, dass laut Forrester Research etwa 70 Prozent der Kosten für einen Arbeitsplatz für Verwaltung und Administration anfallen, wird schnell klar, dass hier enormes Einsparpotenzial an Kosten und Zeit besteht.
etrachtet man den Lebenszyklus eines PC-Arbeitsplatzes, lassen sich die folgenden notwendigen Managementaktivitäten feststellen (Bild 1): Einbeziehen von neuen beziehungsweise vorhandenen PC-Arbeitsplätzen in die bestehende Managementlösung, Einrichtung eines Betriebssystems (Rollout) beziehungsweise Reparieren einer beschädigten Installation, Erstellen von lokalen Benutzerkonten unter Berücksichtigung der notwendigen lokalen Sicherheitsanforderungen (insbesondere bei Windows NT und 2000) sowie das Konfigurieren der notwendigen Profilumgebung (beispielsweise Druckertreiber, Farbdarstellung, Bildschirmschoner). Dann folgen die Installation der benötigten Software-Pakete, Inventarisierung der Hard- und Software, Bereitstellung von Fernsteuerungs-Tools für die HelpdeskMitarbeiter und schließlich die automatische Entnahme aus dem Managementprozess, wenn die Workstation das Ende ihres Lebenszyklus erreicht hat. Ein flexibler und wirtschaftlicher Rollout für das Unternehmen ist umso wichtiger, je mehr Windows-Clients mit gleicher Grundkonfiguration im Einsatz sind. Ein gut geplanter Rollout-Mechanismus bringt Unternehmen erfahrungsgemäß höhere
B
42
Einsparungen als die reinen Software-Verteilungsmechanismen. Für die Installation und Grundkonfiguration von Windows-PCs – beispielsweise mit Office, Web-Browser, E-Mail-System, wichtigen Werkzeugen sowie Netz-, ISDN- und Grafikkarten-Software – ist der Administrator mit unterschiedlichen Verfahrensweisen konfrontiert. Das Verfah-
rensspektrum reicht von der rudimentären Variante und der bedienerlosen und unbeaufsichtigten Installation (Unattendend Installation) bis zum vollautomatischen Imaging mit einer vorangestellten Vorbereitungsphase (Preparation). Die komplexeste und ineffektivste Art des Rollout ist die “Unattendend Installation”. In diesem Verfahren erstellt der Administrator – in der Regel mit Hilfe von Assistenten oder “Wizards” – eine Steuerdatei. Diese übernimmt später die unbeaufsichtigte Installation des Betriebssystems (OS) und der einzelnen Software-Komponenten auf dem PC. Dieser Ansatz ist bereits deshalb ineffektiv, da solche Wizards nur einen Bruchteil der möglichen Einstellungen berücksichtigen. Ein Großteil der individuellen Feineinstellung ist nur durch mühsames Editieren der einzelnen Skripte möglich. Wesentlich effektiver und damit wirtschaftlicher geht die Installations- und Konfigurationsphase über die Bühne, wenn stattdessen Imaging zum Einsatz kommt. Die Imaging-Komponente von “Zenworks for Desktops” bietet beispielsweise eine Imaging-Funktion, die es den Administratoren ermöglicht, neue oder beschädigte Workstations schnell mit den Corporate Standards zu versehen oder sie zu reparieren. Da die Eigenschaften eines
Bild 1. Zenworks for Desktops ist eine Komplettlösung für das Management von Workstations über ihren gesamten Lebenszyklus hinweg
LANline Spezial Netzwerk-Administration V/2001
www.lanline.de
MANAGEMENT
OS-Images hier im Verzeichnisdienst Novell Edirectory gespeichert sind, kann die unternehmensweite Installation eines neuen Betriebssystems wie zum Beispiel Windows 2000 auf strukturierte und regelbasierte Art und Weise erfolgen. Es lassen sich weiterhin Applikationsregeln (SubsetImages) auf solche Standard-Images anwenden, um bereits im Rollout-Prozess, notwendige Anwendungen zum Image hinzuzufügen. Nach Verteilung und Installation der Images haben Anwender so eine weitgehend komplett konfigurierte Workstation – mit Betriebssystem und den notwendigen Applikationen. Imaging allein hilft jedoch speziell bei Windows NT4.x, Windows 2000 und künftig bei Windows-XP-Clients nicht weiter, wenn bestimmte Rahmenbedingungen nicht berücksichtigt werden. Beim Imaging wird in der Regel mit nur einer Secure-ID (SID) gearbeitet. Deshalb muss die entsprechende Image-Lösung solche
Preboot Execution Environment Durch die Verwendung von PXE (Preboot Execution Environment) lässt sich bereits von Beginn an eine wesentliche Arbeitserleichterung realisieren. Das PXE (Preboot Execution Environment) ist Teil der Intel-Spezifikation “Wired for Management Baseline 2.0”. PXEkompatible Rechner können ferngesteuert konfiguriert und gebootet werden, auch wenn der Rechner noch über kein eigenes Betriebssystem verfügt. PXE-Service-Agenten im BIOS und/oder in der Netzwerkkarte des Rechners kommunizieren eigenständig mit dem Server beziehungsweise dem Netzwerk. Der PXE-Client bezieht über das Bootstrap Protocol (BootP) eine IP-Adresse von einem DHCP-Server. Dann stellt er eine Verbindung zum Proxy DHCP-Server her, der ihm eine Liste mit verfügbaren Boot-Servern übermittelt. Der Client erhält von einem dieser Server den Namen des erforderlichen Network Bootstrap Programms (NBP), das er zum Booten benötigt. Über das Trivial File Transfer Protocol (TFTP), einer vereinfachten Version des File Transfer Protocols (FTP), lädt der Client das NBP vom Server und führt es aus. Auf diese Weise lässt sich auch ein komplettes Betriebssystem-Image automatisch installieren. Techniker sind damit nicht mehr gezwungen, das Betriebssystem vor Ort auf den Desktop aufzuspielen. Das Management der Arbeitsplatzrechner wird erheblich vereinfacht und Unternehmen können die Einführungskosten von Desktop-Betriebssystemen wie Windows 2000 Professional spürbar senken. PXE wird von neueren Rechnern nahezu aller wichtigen Hersteller und auch von Zenworks for Desktops 3.2 unterstützt.
kritischen Parameter, wie SID, Workstation-Name und Registereinträge, beim Hochfahren des PCs automatisch erstellen.
Handelt es sich um eine bereits bestehende Arbeitsstation, können die vorherigen Einstellungen, wie SID und Workstation-Na-
MANAGEMENT
me, beibehalten werden. Ist die Workstation hingegen völlig neu, werden mit Hilfe der Richtlinie diese Einstellungen automatisch generiert und mit dem eingespielten Betriebssystem versehen. Ein Eingreifen des Administrators vor Ort ist damit nicht notwendig. Durch die Integration von PXE (Preboot Execution Environment) lässt sich bereits von Beginn an eine wesentliche Arbeitserleichterung realisieren. Durch die PXE-Unterstützung können Standard-PCs eine Verbindung zum Netzwerk aufbauen, noch bevor das Betriebssystem startet. Hierdurch ist es beispielsweise möglich, auf eine Workstation Images einer unternehmensweit standardisierten Betriebssysteminstallation aufzuspielen, ohne vorher irgendwelche Software auf dem PC zu installieren. Das vereinfacht das Management von Netzwerkressourcen erheblich und reduziert die Kosten, die mit der Einführung neuer Desktop-Betriebssysteme wie Windows 2000 oder Windows XP verbunden sind. ERSTELLEN LOKALER BENUTZERKONTEN Die lokalen Sicherheitsfunktionen in
Windows NT und Windows 2000 beziehungsweise Windows XP ersparen dem Administrator so manche Säuberungsarbeit an den PCs, die von experimentierfreudigen Endbenutzern zum Absturz gebracht wurden. Nachteile hat die eingeschränkte Handlungsfreiheit des Users allerdings hinsichtlich der Software-Distribution: Eine Ferninstallation ohne VorOrt-Anpassungen oder Remote-Eingriffe durch den Administrator ist mit den herkömmlichen Werkzeugen nicht zu machen. Für den geplagten Systemverwalter dürften die lokalen Sicherheitsfunktionen in Windows NT/2000 trotzdem ein Segen sein: Systemabstürze, die Anwender unter Windows 3.1 oder Windows 95/98 durch geänderte Konfigurationseinstellungen oder eigenmächtige Software-Installationen herbeiführen konnten, lassen sich bei den Windows-NT/2000-Clients über die Richtlinien für Benutzerrechte ausschalten. Die Folge ist ein geringerer Aufwand für die Systembetreuung. Allerdings bleibt ein Nachteil: Es muss mehr Zeit für die In-
44
stallation von Software aufgewendet werden, wenn dem Administrator keine geeigneten Werkzeuge zur Verfügung stehen. Ein leistungsfähiges Desktop-Management-System muss daher auch diese Aufgabe meistern können. Bereits bei der An-
Anrufe von den Endbenutzern erhalten, die dann lauten: “Wie und wo muss ich die Proxy-Einstellungen im Browser vornehmen; wo kann ich meine E-Mail-Adresse eintragen, etc.”. Hier ist dann trotz automatischer Verteilung doch ein Marsch zu
Bild 2. Sicherheitseinstellungen der Remote-Control-Software
meldung eines Benutzers an einer neu eingerichteten Workstation sollte das System den Benutzer automatisch und richtlinienbasierend auf dieser Workstation anlegen. Außerdem muss er zu einer voreingestellten Benutzergruppe – wie Benutzer oder Administrator – hinzugefügt werden. Für die Implementierung der lokalen Sicherheitseinstellungen sollte das System alle notwendigen Einstellungen der Registry ebenfalls in derselben Richtlinie zentral vornehmen. Nur so lässt sich der Prozess durchgehend Ressourcen-schonend automatisieren, um tatsächlich Kosten zu sparen. SOFTWARE-VERTEILUNG Die Verteilung
und Verwaltung von Applikationen im Netz stellen sehr zeitaufwändige Aufgaben dar. Selbst bei der Server-basierten Installation müssen an den einzelnen Desktops Anwendungsdateien (Treiber, DLL, Fonts, etc.) sowie Registry-Einträge gewartet werden. Es nutzt daher nur wenig, wenn eine Anwendung – etwa ein Browser – an 1000 Workstations automatisch verteilt wird, ohne gleichzeitig eine Personalisierung der Einstellungen vorzunehmen. Nach dem Verteilungsprozess werden die Administratoren garantiert genauso viele
LANline Spezial Netzwerk-Administration V/2001
den einzelnen PCs angesagt. Die Möglichkeit zur Personalisierung gehört somit zu den absoluten Grundanforderungen. Weitere wichtige Anforderungen an eine Software-Verteilungslösung sind: die Unterstützung mobiler Benutzer, hohe Verfügbarkeit und Fehlertoleranz sowie integrierte Selbstheilungsmechanismen. INVENTARISIERUNG UND ASSET-MANAGEMENT Ein weiterer Aspekt der beim
Desktopmanagement von großer Bedeutung ist, ist die Möglichkeit der Inventarisierung vorhandener Hard- und Software. Diese Komponente spielt unter anderem dann eine wichtige Rolle, wenn die Einführung neuer Software geplant ist. Tools stellen fest, welchen Prozessor und wie viel Arbeitspeicher die Rechner der Mitarbeiter besitzen. Zudem kontrollieren sie, ob überhaupt genügend freier Platz auf der Festplatte vorhanden ist. So lässt sich ein Verteilungsprozess vorbereiten, ohne nachher unangenehme Überraschungen zu erleben. REMOTE-CONTROL Bei der Auswahl von
geeigneter Fernsteuerungs-Software (Remote-Control) sollten folgende Kriterien
www.lanline.de
MANAGEMENT
berücksichtigt werden: Unterstützung aller installierten Windows-Clients, Verbindungsaufbau auch über WAN-Strecken hinweg, effiziente Kompression der übermittelten Daten, damit sich die Übertragungszeiten und -gebühren im WAN in Grenzen halten; des Weiteren die Übertragung nur der Unterschiede zum vorherigen Konfigurationszustand und Ausblenden von Hintergrundbildern, damit die WANBandbreite zusätzlich geschont wird, die Möglichkeit für den Netzadministrator, den entfernten Rechner fernzusteuern, kombiniert mit der Zustimmung des Benutzers, dies auch tun zu dürfen: Nur so ist der Benutzer letztlich gegen eine verdeckte Konfiguration und versteckte Aktivitäten auf seinem PC gefeit. Zusätzlich müssen IT-Entscheider beim Thema Remote-Control den Betriebsrat frühzeitig einzubeziehen. Ohne vertrauensbildende Maßnahmen und den Abbau von Ressentiments könnte ansonsten der
www.lanline.de
Einsatz des Remote-Control-Systems bereits im Vorfeld scheitern. All diese Anforderungen stellen hohe Ansprüche an die jeweilige Remote-Control-Lösung. Durch die Integrationen in einen Verzeichnisdienst können diese Sicherheitsanforderungen jedoch sehr transparent konfiguriert werden (Bild 2). ENTNAHME VON PC-ARBEITSPLÄTZEN
Irgendwann muss jeder PC wegen Überalterung oder anderen Gründen aus dem Netz entfernt werden. Die Desktop-Management-Lösung muss auch diesen wichtigen Arbeitsschritt berücksichtigen, um die Administratoren nicht unnötig zu belasten. Es gibt Lösungen, mit denen dieser Prozess automatisch erfolgen kann. Eine Arbeitsstation, die beispielsweise seit 60 Tagen nicht aktiviert wurde, kann – je nach Voreinstellung – automatisch aus allen Datenbanken entfernt werden.
Insgesamt versprechen Desktopmanagement und Software-Verteilungslösungen große Arbeitserleichterung für die Administratoren. Darüber hinaus erhält das Management der Unternehmen Entscheidungshilfen und Indikatoren zur Kosteneinsparung im IT-Umfeld. Reduzierte Kosten verschaffen Unternehmen einen spürbaren Vorteil im globalen Wettbewerb. Um diese Vorteile jedoch tatsächlich voll ausschöpfen zu können, sind zentrale plattformübergreifende Lösungen notwendig, die den gesamten Lebenszyklus einer Workstation abdecken. Abgesehen von den reinen Kosteneffekten werden dann zusätzlich auch die Administratoren von Routinearbeiten entlastet und stehen verstärkt für strategisch wichtige Aufgaben zur Verfügung. (Nedal Daghestani/mw) Dr. Nedal Daghestani ist Spezialist für Managementlösungen bei Novell.
LANline Spezial Netzwerk-Administration V/2001
45
MANAGEMENT
VOM PERFORMANCE- ZUM SERVICE-LEVEL-MANAGEMENT
Proaktives Handeln gefragt Service Level als Schlagwort und deren proaktive Kontrolle sind jedem IT-Verantwortlichen ein Begriff. Stellt jemand aber die Frage, nach welchen Kriterien sich Service Level festlegen, überwachen und anschließend nachweisen lassen, stößt er auf große Unsicherheit. Obwohl die Anbieter zahlreicher der heute auf dem Markt vorhanden Softwarelösungen behaupten, dieses Problem zu lösen, ist es noch ein weiter Weg bis zu einem integrierten Service-Level Management, bei dem etliche Faktoren zu berücksichtigen sind.
n den Anfängen der elektronischen Datenverarbeitung wurden die gesamten Dienste von einem zentralen Rechnersystem erbracht. Dies änderte sich auch nicht, als die ersten OnlineSysteme und Terminals die typische Stapelverarbeitung mit Lochkarten und Listen ablösten. Das zentrale System verwaltete seine Kapazitäten (CPU, Hauptspeicher, Plattenplatz) nach Maßgaben, die von Systemspezialisten festgelegt wurden. Das Betriebssystem verfügte über Einrichtungen, um die Auslastung der einzelnen Komponenten zu beobachten, und stellte diese Daten den Systemplanern zur Verfügung. Da die Daten zentral erhoben wurden, war es relativ einfach, Trends in den Anforderungen zu erkennen und auf sich ändernde Anforderungen zu reagieren. Die Verwaltung der System-Performance erfolgte durch eine Vorhaltung ausreichender Kapazitäten. Die Priorisierung bestimmter Anwendungen oder Anwender, um Engpässe zu vermeiden, war neben der Kapazitätsplanung die Hauptaufgaben des Performance Managements. Service Levels beschränkten sich hauptsächlich auf die Garantie der Verfügbarkeit der Datenbestände. Mit der
I
46
Zunahme von Online-Systemen und Echtzeitverarbeitung von Informationen rückten nach und nach die Antwortzeiten in den Fokus der EDV-Verantwortlichen. Spezielle Funktionen in den Steuereinheiten erlaubten die Messung von Einzeltransaktionen unter Berücksichtigung von Antwortzeiten des Mainframes und des DFÜ-Netzes und stellten die Basis für zu planende Antwortzeitprofile dar. Mit fortschreitender Entwicklung der Rechnersysteme etablierten sich neue Formen der Datenverarbeitung. Neben
der zentralen Datenverarbeitung stellten Personal Computer anwenderfreundliche Oberflächen zur Verfügung. Abteilungs-Server entlasteten den zentralen Mainframe und stellten Plattenplatz, Druck- und andere Abteilungsfunktionen bereit. Neben der rasanten Entwicklung der Rechenleistung sowie von System- und Festplattenspeicher zu dieser Zeit wurde die Migration von einer zentralen EDV hin zu einer Client-/Server-Umgebung auch durch den Fortschritt der Netzwerke geprägt. Waren es zu Zeiten des Hosts hierarchische SNA-Netzwerke (Systems Network Architecture), begann nun die Zeit der lokalen Netzwerke. Diese LANs verbanden die Arbeitsplätze einer Abteilung und stellten über Gateways die Verbindung zum zentralen Mainframe her, der mit steigenden Geschwindigkeiten der lokalen Netzwerke durch Cluster von Datenbank- und Anwendungs-Servern abgelöst wurde. Ein Performance Management fand in diesen Umgebungen nur selten statt. Zumeist beschränkte sich dies auf den Zentralrechner, wohingegen Performance-Probleme auf den AbteilungsServern meistens durch die Anschaffung neuer beziehungsweise zusätzlicher Hardware gelöst wurden. Einer der wesentlichen Gründe für dieses Vorgehen war die Tatsache, dass zunächst
Bild 1. Antwortzeiten geben Aufschluss über Verfügbarkeit und Leistung einer Anwendung
LANline Spezial Netzwerk-Administration V/2001
www.lanline.de
MANAGEMENT
Tools zur Softwaredistribution und zum Netzwerkmanagement etabliert werden mussten, um in der rasant wachsenden Umgebung den Überblick nicht zu verlieren. DAS INTERNET-ZEITALTER Mit der
Öffnung der Unternehmen zum Internet änderte sich die zuvor noch relativ übersichtliche Struktur grundlegend. Die Herausforderung bestand darin, mit einer limitierten Anzahl von Ressourcen, das heißt der vorhandenen Infrastruktur, eine potentiell unlimitierte Anzahl von Benutzern zu bedienen. Dies führte zunächst zum raschen Ausbau der bestehenden Umgebungen.
BEISPIEL: INTERNET-BANK Will ein Kunde beispielsweise seinen Wertpapierhandel bei einer Online-Bank tätigen, so ist es nicht ungewöhnlich, dass die Kundendaten aus einer Datenbank auf dem Mainframe kommen, die eigentlichen Umsatzdaten auf einem Windows2000-System unter SQL-Server gespeichert sind und die zum Handelszeitpunkt gültigen Kursdaten von einem externen, unter Unix laufenden Oracle-System von der Börse kommen. Damit interagiert der Kunde bei dieser aus seiner Sicht simplen Transaktion mit mindestens zwei Netzwerken (Internet Provider des Kunden und internes Netzwerk der Bank), mindestens einem Web-Server, drei Da-
Bild 2. Das “Übereinanderlegen” verschiedener Faktoren zeigt vorhandene Abhängigkeiten an
Naturgemäß standen den Verantwortlichen dazu keinerlei Planungsdaten zur Verfügung und nur in den seltensten Fällen konnte eine komplett neue Umgebung für diesen Bereich geschaffen werden. Dazu kommt, dass sich auch die Anwendungen permanent weiterentwickeln. Diese sind heutzutage zumeist sehr komplex in Aufbau und Struktur. Jede Anwendung besteht aus einem Mix aus internem Netzwerk, externem Netzwerk, verschiedenen Plattformen, verschiedenen Betriebssystemen, Datenbanken, Middleware, Web-Servern und der eigentlichen Applikation.
48
tenbanken und drei verschiedenen Betriebssystemen. Oftmals sind all diese Systeme noch über eine Middleware miteinander verbunden. Zusätzlich sind die Systeme über Firewalls geschützt und ein Lastverteilungssystem verteilt die Anfragen auf viele Server. Für den Kunden ist es letztendlich nur entscheidend, dass der Vorgang schnell, sicher und zuverlässig funktioniert. Wenn es zäh voran geht oder Fehlermeldungen ihn “nerven”, sucht er sich Alternativangebote. Für den Systemverantwortlichen dagegen ist es wichtig, das Zusammenspiel in seinen einzelnen Komponenten beobachten zu können.
LANline Spezial Netzwerk-Administration V/2001
Damit haben sich auch die Anforderungen an das Performance Management geändert. Es ist einleuchtend, dass das Monitoring eines einzelnen Servers oder einer einzelnen Datenbank nicht mehr ausreicht. Der Kunde erwartet einen speziellen, genau definierten Service. Dieser muss überwacht werden und bei seiner Gefährdung muss ein Unternehmensverantwortlicher informiert werden, der dann in Echtzeit erkennen können muss, warum das Problem auftaucht und korrigierend tätig werden kann. SERVICE LEVEL MEASUREMENT IN ECHTZEIT Ein weiteres Problem ergibt
sich aus der Tatsache, dass die digitale Welt den persönlichen Kontakt mit dem Kunden minimiert. Somit sind auch die Möglichkeiten zur Kontrolle seiner Zufriedenheit eingeschränkt. Gemäß einer altbekannten Regel empfiehlt jeder zufriedene Kunde seinen Lieferanten an maximal einen Kontakt weiter, jeder unzufriedene Kunde äußert dies jedoch mindestens gegenüber sieben Kontakten. Mit mehr und mehr Nutzern steigt also das Risiko, unzufriedene Kunden zu erhalten, die ihrerseits andere potenzielle Nutzer davon abhalten, in den Geschäftsprozess einzusteigen. Weiterhin kann jeder Kunde auch nur bei der leisesten Unzufriedenheit jederzeit zur Konkurrenz wechseln. Es ist also für IT-Organisationen zur Notwendigkeit geworden, Service Levels für die Kunden des Unternehmens zu definieren und vom passiven (reaktiven) Performance-Monitoring zu einem proaktiven Realtime-Monitoring zu wechseln. Dabei stellt eine Überwachung der beiden Schlüsselelemente von Service Levels (Verfügbarkeit und Antwortzeit) die grundlegende Voraussetzung dar. In diesem Zusammenhang sei auch darauf hingewiesen, dass es aus Sicht der technisch verantwortlichen Mitarbeiter ein Erfolg ist, einen besseren als den vereinbarten Service zu liefern, dies aus Sicht des Gesamtunternehmens aber nicht das Ziel sein kann, da besserer Service unter normalen Um-
www.lanline.de
MANAGEMENT
ständen auch höhere Kosten mit sich bringt. Der Drahtseilakt eines funktionierenden Service-Level-Managements liegt eben darin, möglichst genau den vereinbarten Service zu liefern. Ist der
EIN NEUER ANSATZ Eine Möglichkeit, die genannten Herausforderungen zu meistern, besteht darin, weg von einem reinen End-to-End-Management, hin zu einem integrierten Ansatz mit verschie-
Unternehmen installierte FrameworkLösung anbindbar sein, damit sich das von vielen Unternehmen verfolgte Ziel des “Single Point of Control” für das Systemmanagement erreichen lässt.
Bild 3. Die Auslastung von Internet-Anbindung und Firewall zeigen diese beiden Bilder
Service schlechter, beschwert sich der Kunde, ist der Service besser, erzeugt das vermeidbare Kosten. Der heute zumeist genutzte Ansatz ist als End-to-End-Management bekannt. Hierbei wird die Zeit gemessen, die der Anwender vom Drücken der “Enter”Taste bis zur Antwort auf seinem Bildschirm warten muss. Selbstverständlich bietet dieser Ansatz wertvolle Informationen, lässt jedoch nicht zu, direkt zu erkennen, wieso sich die Antwortzeit verschlechtert. Hier muss man dann auf weitere Tools zurückgreifen, um die einzelnen Komponenten der Applikation zu untersuchen und zu erkennen, warum diese eine schlechte Performance liefern. Die Herausforderung für den Performance-Verantwortlichen liegt darin, dies zu erkennen, das heißt eigentlich voneinander unabhängige Prozesse zu korrelieren. Dazu muss er jedoch zunächst wissen, welche Zusammenhänge bestehen und muss Detailwissen über alle beteiligten Komponenten haben – in der sich heute ständig verändernden IT-Umgebung eine unmögliche Aufgabe. Man kann also hier bestenfalls von einem Measurement der gebotenen Service Level reden. Das proaktive Management bedarf noch weiterer Komponenten.
50
denen Kollektoren auf den verschiedenen Ebenen einer Applikation zu gehen. Alle Informationen werden auf einer zentralen “Visualisierungsstation” zusammengeführt – diese sollte sich auch über eine Web-Schnittstelle abfragen lassen und an eine eventuell bereits im
LANline Spezial Netzwerk-Administration V/2001
Dabei muss es möglich sein, neben den standardmäßig einlaufenden Daten auch eigene Geschäftsprozesse zu definieren und deren Daten ebenfalls in das System einfließen zu lassen. So kann es zum Beispiel sinnvoll sein, Umsatzdaten mit Antwortzeiten zu korrelieren
www.lanline.de
MANAGEMENT
um zu erkennen, ob etwa sinkende Antwortzeiten Auswirkungen auf den Umsatz haben.
chen. Der zwischen den Werten –1 und 1 liegende Korrelationsfaktor gibt an, wie stark der direkte Zusammenhang zwischen
Bild 4. Ein leistungsfähiges Überwachungs-Tool bietet dem Administrator alle Informationen, die er braucht
Weiterhin muss dieser Ansatz erlauben, alle Informationen in Echtzeit miteinander zu korrelieren, also zu erkennen, dass ein Problem mit dem Netzwerk, dem Router, der Datenbank, dem Unix- oder NT-System, oder auch dem SAN (Storage Area Network), dazu führt, dass eine spezielle Applikation Performanceprobleme erfährt. Dabei müssen sich die Performance-Messungen der Applikation (beispielweise die Antwortzeit) mit sämtlichen anderen Performance-Messungen im Unternehmen in Beziehung setzen lassen und es muss sichtbar werden, welche Messwerte Ähnlichkeiten aufweisen. Dies sollte außerdem alles in Echtzeit erfolgen, damit die Möglichkeit besteht, früh genug einzugreifen und dafür zu sorgen, dass die geschäftskritischen Applikationen nicht in ihrer Performance gefährdet werden. Mit moderner Software lassen sich tausende von Messwerten unterschiedlichster EDV-Komponenten mit mathematischen Methoden auf Zusammenhänge untersu-
52
mehreren Messwerten ist. Je näher die Werte an –1 beziehungsweise 1 sind, desto größer ist ihr direkter Zusammenhang. Eine weitere Grundvoraussetzung liegt in der Möglichkeit der Definition eines “Kritischen Pfades”. Damit bezeichnet man den Weg, den der Nutzer durch alle Ressourcen geht, bis eine Antwort auf seine Anfrage geliefert werden kann. Eine Überwachung dieses kritischen Pfades und all seiner Einzelkomponenten sowohl autonom als auch in ihrer Summe ist die Hauptaufgabe einer für die heute auftauchenden Probleme geeigneten Performance-Management-Lösung und Grundvoraussetzung zum Nachweis von Service Leveln. Allerdings muss diese Lösung auch die Möglichkeit bieten, historische Daten zu liefern und darauf aufbauend Trendanalysen durchzuführen. Nur so ist es der IT möglich, den anspruchsvollen Anforderungen der Kunden gerecht zu werden und zur Umsatzsteigerung des Unternehmens beizutragen – bevor der interne oder externe Kunde unzufrieden wird.
LANline Spezial Netzwerk-Administration V/2001
Angenommen die Service-Level-Vorgabe lautet: Die Ladezeit der Web-Seiten des Unternehmens soll nicht über zehn Sekunden liegen. Aus Bild 1 ist ersichtlich, dass dieses Ziel in der gezeigten Zeit häufig nicht erreicht wurde. Statt wie früher die Kollegen aus den Bereichen Kommunikation, LAN, Sicherheit und Server um ihre Mithilfe zu bitten, kann der Verantwortliche mit einem Tool wie beispielsweise Sightline die Messungen analysieren lassen. Um den Zusammenhang zwischen CPU-Belastung und Antwortzeit verständlich darzustellen, überträgt er dann beide Werte mit angepassten Skalierungen in eine Grafik (siehe Bild 2). Um Rückfragen der Entscheider nach anderen möglichen Zusammenhängen ebenfalls schnell beantworten zu können, stellt er noch die Auslastung der Internetanbindung und der Firewall dar (siehe Bild 3). Auf diese Weise führt er das Antwortzeitproblem innerhalb von wenigen Minuten auf die Ursache zurück. (Andreas Bäß/gg) Andreas Bäß ist Systemspezialist bei Value Added Software.
Info: Value Added Software Tel.: 02131/740580 Web: www.vasoft.de
Haben Sie Fragen zu Preisen und Abwicklung? Wir beraten Sie gerne! Annette Forstner Telefon: 0 89/4 56 16-223 E-Mail:
[email protected]
AWi-Verlag Anzeigenabteilung LANline Bretronischer Ring 13 85630 Grasbrunn
www.lanline.de
MANAGEMENT
NEUE ANWENDUNGEN BELASTEN NETZE
Proaktiver Netzeingriff mit Policy Management Unternehmenskritische Applikationen im Netzwerk müssen vorrangig behandelt werden und Dienste wie IP-Telefonie mit der notwendigen Güte möglich sein. Dennoch ist es notwendig, Anwendungen wie etwa E-Mail und Web-Browsing einen “Best-Effort”-Service zuteil werden zu lassen, ohne unnötig Bandbreiten zu reservieren oder zu blockieren. Die Kombination aus leistungsfähigen aktiven Netzwerkkomponenten, Switch Monitoring, Verzeichnisdiensten und Policy-Management-Applikationen ermöglicht bereits heute den Aufbau skalierbarer Multiservice-Netze, die gleichermaßen für die Daten- und Sprachkommunikation geeignet sind.
lassische Anwendungen für Datennetzwerke sind beispielsweise neben betriebswirtschaftlichen Applikationen als Client/-Server-Anwendungen auch Dateitransfer, Datensicherung, E-Mail und WebZugang. Bereits bei diesen Applikationen hat das Antwortzeitverhalten der Server und des Netzes erheblichen Einfluss auf die Nutzbarkeit der Applikationen. Dazu gesellen sich zunehmend anspruchsvollere Anwendungen. Da IP als nahezu universelles Übertragungsprotokoll dient, entwickelt sich beispielsweise der Wunsch nach Einführung von Anwendungen für VideoKonferenzen oder zur Multicast-Übertragung audiovisueller Informationen aktueller Ereignisse. Darüber hinaus haben in den letzten Jahren die Anwender begonnen, sich selbstständig über Push-Applikationen mit kontinuierlich aktualisierten Inhalten wie etwa Wetter- oder Börseninformationen zu versorgen. Peer-to-Peer-Networking (File-Sharing) für den Austausch von Bild- und Ton-Dateien zwischen den Anwendern generiert zusätzliche Netzwerklast. Des Weiteren besteht der Wunsch zur Ausdehnung der bislang separaten Telefonie-Infrastruktur auf das Datennetz. Mit der Einführung von IP-Telefonie vollziehen viele Unternehmen einen ersten Schritt zur Konvergenz von Sprach- und Datennetzen.
K
54
Der Einsatz all dieser neuen Anwendungen verwandelt den Charakter des ursprünglich reinen Datennetzes in eine MultiserviceNetzwerkinfrastruktur. JITTER, LATENZ UND SONSTIGE HINDERNISSE Unter diesen Voraussetzungen
ändern sich auch die Anforderungen an das Netzwerk. Bei der Übertragung von Datei-
en regelt das Transportprotokoll die kontinuierliche Kommunikation zwischen Sender und Empfänger. Verzögerungen (Latenzen) und Laufzeitschwankungen (Jitter) sind für diese Form der Kommunikation weitgehend unerheblich. Wichtig sind dagegen eine hohe Durchsatzgeschwindigkeit und eine geringe Paketverlustrate, um das erneute Senden verlorener Datenpakete möglichst zu vermeiden. Betriebswirtschaftliche Client-/ServerAnwendungen müssen dagegen für den Benutzer subjektiv akzeptable Reaktionszeiten aufweisen, um nicht zu Einschränkungen in der Produktivität zu führen. Eine hohe Durchsatzgeschwindigkeit des Netzwerks ist für eine maskenorientierte Applikation dagegen eher zweitrangig. Audio- und Videoübertragungen im Netz erzeugen vergleichsweise eine kontinuierliche und höhere Netzlast. Eventuelle Laufzeitschwankungen werden im gewissen Umfang durch Puffermechanismen in den Wiedergabeapplikationen kompensiert. File-Sharing zwischen den Anwendern generiert sporadisch sehr hohe Netzwerklasten mit Übertragungsvolumina vom Megabyte- bis zum GByte-Bereich. Dagegen erzeugen Anwendungen wie IP-Telefonie und Videokonferenzen ver-
Cajunrules unterstützt aktuell die Verzeichnisdienste Novell NDS 8.5 sowie die Netscape Directory Server 4.12 und 4.13
LANline Spezial Netzwerk-Administration V/2001
www.lanline.de
MANAGEMENT
gleichsweise vernachlässigbare Netzwerklasten. Jedoch sind hier die Anforderungen an niedrige Latenz und Jitter äußerst hoch – mehr noch, die Einhaltung dieser Parameter ist zwingende Voraussetzung für eine Kommunikation zwischen den Teilnehmern eines Gesprächs oder einer Konferenz. Grundsätzlich lassen sich die An-
wie beispielsweise ATM (Asynchronous Transfer Mode) errichtet, die Serviceparameter wie Bandbreite, Latenz und Jitter bereits gewährleisten. Lokale Unternehmensnetze werden dagegen überwiegend in der Ethernet-Technologie realisiert. Ethernet verfügt allerdings im Gegensatz zu anderen LAN-Technologien wie etwa Token Ring,
Durchsatzgeschwindigkeit und die erforderlichen Größenordungen für Latenz und Jitter zu gewährleisten. Die Infrastruktur des lokalen Netzwerks muss Überlastsituationen handhaben können, ohne die Verfügbarkeit unternehmenskritischer Anwendungen zu gefährden. Das Netzwerk sollte demzufolge ein Regelwerk beherrschen, das den Umgang mit Überlastsituationen definiert und den Zugang zum Netzwerk und seinen Ressourcen kontrolliert. DIE ROLLE DER HARDWARE Im lokalen
Die einzelnen Netzwerkkomponenten werden in Domänen zusammengefasst, wobei für eine Domäne jeweils ein Satz von Regeln gilt
wendungen hinsichtlich konstanter oder variabler Datenraten und ihrer Toleranz gegenüber Latenz und Jitter differenzieren. Die reibungslose Nutzung der beschriebenen und weiterer Dienste im Netzwerk setzt eine adäquate Netzwerkinfrastruktur voraus, sodass der Einsatz einer Applikation nicht zur Störung anderer Anwendungen führt. Insbesondere betrieblich wichtige Applikationen müssen unter allen Umständen verfügbar sein, und ein Dateitransfer darf nicht im Abbruch von Telefonaten resultieren. DIE STRUKTUR DES NETZWERKS Das
Netzwerk verbindet über eine Vielzahl aktiver und passiver Komponenten die Endgeräte mit den Netzressourcen. BackboneBetreiber haben in den vergangenen Jahren ihre Netze oft auf Basis von Technologien
56
FDDI (Fibre Distributed Data Interface) oder ATM, nicht von Hause aus über Dienstgüteparameter. Erst nachträgliche Erweiterungen und Ergänzungen der Standards berücksichtigen diesen Aspekt. Der Austausch der Datenpakete zwischen den Anwendern erfolgt über passive Verkabelungskomponenten und zugehörige Steckverbinder sowie aktive Komponenten wie Repeater, Hubs, Switches und Router. Bei Einhaltung der vorgegebenen Normen und Parameter sind die passiven Elemente hinsichtlich des Netzverhaltens unter Lastbedingungen nahezu irrelevant. Hierbei sind in erster Linie das Verhalten der aktiven Netzwerkkomponenten sowie der angeschlossenen Endgeräte und Ressourcen von Interesse. Die aktiven Netzwerkkomponenten sollten in der Lage sein, eine ausreichende
LANline Spezial Netzwerk-Administration V/2001
Netz sind heute überwiegend Switches und Router im Einsatz, die als aktive Komponenten den differenzierten Umgang mit Datenströmen beherrschen. Grundsätzlich kann zwischen mindestens zwei Zustellungsarten beim Datenverkehr unterschieden werden. – Variante 1: Lieber nie, als zu spät, – Variante 2: Lieber spät, als nie. Deshalb muss eine Netzwerkkomponente (Switch/Router) auf jedem Ein-/ Ausgangs-Port über mindestens zwei unterschiedliche Ausgabe-Prioritätsqueues (Warteschlangen) verfügen, um eine den Dienstgüteanforderungen gemäße Zustellung der Daten zu gewährleisten. Eine weitere Voraussetzung ist eine leistungsfähige interne Switching-Architektur, die eine parallele Verarbeitung aller auf die Komponente einströmenden Daten garantiert. Zur Kompensation von Mängeln im externen Netzwerkdesign sind auch PrioritätsQueues innerhalb der Switching-Architektur zwingend erforderlich. Dabei gelten vier Queues als komfortabel, maximal acht Queues können durch die im LAN üblichen Standards genutzt werden. Die Queues werden nach unterschiedlichen Schemen abgearbeitet. Eine Queue für VoIP-Daten (Voice over IP) ist beispielsweise relativ klein, da diese Anwendung nur geringe Netzwerklast erzeugt. Jedoch wird die Queue durch Switches oder Router sehr häufig abgearbeitet, um Latenz und Jitter im zulässigen Maß zu halten. Die für Datei-Transfers genutzte Queue wird verhältnismäßig selten abgearbeitet, verfügt aber über viel Pufferspeicher, damit möglichst keine Pakete von dem Switch oder Router verworfen werden.
www.lanline.de
MANAGEMENT
Netzwerkmanagement-Daten müssen anders verarbeitet werden als Daten von Videokonferenzen. Die Komponente sollte in der Lage sein, in Echtzeit eine Zuordnung der Datenpakete zu den Prioritäts-Queues vorzunehmen. Gegebenenfalls besteht eine zusätzliche Anforderung an das Gerät im generellen oder zeitlich begrenzten Blockieren von Datenverkehr, um beispielsweise eine Form von Zugangskontrolle zu realisieren. Weiterhin sollte die Komponente verschiedene Abarbeitungsmechanismen für die PrioritätsQueues beherrschen, da die Betreiber der Netze unterschiedliche Vorstellungen hinsichtlich des gewünschten Verhaltens in Überlastsituationen haben. Zu unterstützende Verfahren sind zum Beispiel Weighted Fair Queuing, Strict Priority, Class Based Custom Queuing und Class Based Weighted Fair Queuing.
www.lanline.de
PRIORISIERUNG VON DATEN Sowohl von der IEEE (Institute of Electrical and Electronics Engineers) als auch von der IETF (Internet Engineering Taskforce) wurden Standards zur Priorisierung von Datenrahmen und -paketen erarbeitet. Das Verfahren IEEE 802.1p besteht aus einer Erweiterung des Ethernet-Headers, wobei zusätzlich zu VLAN-Informationen (IEEE 802.1Q) auch Prioritätsinformationen in drei Bits (Priorität 0-7) mit dem Datenrahmen transportiert werden. Die Erweiterungen der IETF setzen dagegen im NetworkHeader an. Genutzt werden die beiden Verfahren ToS (Type-of-Service) und DiffServ (Differentiated Services). Bei der ToS-Variante werden die drei IP-Precendence-Bits im ToS-Feld des IP-Headers entsprechend der Priorität belegt, wobei ebenfalls acht Prioritätsstufen möglich sind. Das neuere DiffServ-Verfahren erweitert die Anzahl der möglichen Prioritätsstufen auf insgesamt 64. Der DSCP
(DiffServ Code Point) nutzt insgesamt sechs Bits im ToS-Feld des IP-Headers einschließlich der Precedence-Bits und wahrt damit die Abwärtskompatibilität zum IP-Precedence-Verfahren . Die Anwendung oben genannter Verfahren ermöglicht es einer Applikation oder einem Endgerät, der aktiven Netzwerkkomponente bereits priorisierte Daten zu senden. Auch beim Weitertransport von Daten zwischen Netzwerkkomponenten kommen diese Verfahren zum Einsatz. Die Netzwerkkomponente nimmt lediglich eine Zuordnung zu den Prioritäts-Queues vor. In den meisten Fällen ist jedoch eine aktive Priorisierung der empfangenen Daten durch die Netzwerkkomponente selbst erforderlich. Dabei kann dem Eingangsport eine Priorität zugewiesen werden, die automatisch auf die empfangenen Daten übertragen wird. Die Daten können jedoch auch anhand von Parametern, wie MACAdresse (Media Access Control), IP-Ab-
LANline Spezial Netzwerk-Administration V/2001
57
MANAGEMENT
sender-Adresse, IP-Ziel-Adresse, Applikations-Absender-Adresse, ApplikationsZiel-Adresse und anderen priorisiert werden. Eine solche Funktionalität setzt eine Hardware-basierende Architektur der Netzwerkkomponente voraus, um alle ankommenden Daten in Leitungsgeschwindigkeit (Wirespeed) analysieren und priorisieren zu können. Neben der Backplane- und Weiterleitungskapazität muss eine Netzwerkkomponente auch die Priorisierung von Daten berücksichtigen. Anderenfalls ist insbesondere in einer kritischen Überlastsituation die notwendige Funktionalität nicht mehr gegeben, und nur dann ist die Priorisierung der Daten von tatsächlicher Bedeutung.
ments eine Erweiterung. Während er sich bislang auf das Konfigurations-, Ereignisund Leistungsmanagement beschränkte, kommt nun der Aspekt des regelbasierten Managements hinzu. Der Netzbetreiber erstellt in diesem Zusammenhang einen Satz von Regeln für das Gesamtnetz oder Teilbereiche seines
Netzwerkinfrastruktur (IP-Netze, Anwender, Komponenten) sowie die im Netz genutzten Applikationen und die erstellten Regeln abbildet. Eine optionale Redundanz dieser Datenbank ist für den Betreiber des Netzwerks ebenso selbstverständlich wie auch die Möglichkeit des entfernten Zugriffs über eine Konsolenapplikation.
NETZADMINISTRATOREN MIT PROFIL
Nach der Analyse der momentan im Unternehmen genutzten Anwendungen und einer Betrachtung der Auslastung der Netzwerkinfrastruktur unter Zuhilfenahme von Werkzeugen wie RMON (Remote Monitoring) und SMON (Switch Monitoring), können Maßnahmen für ein Policy Management abgeleitet werden. Insbesondere vor der Einführung von neuen Applikationen wie beispielsweise der IP-Telefonie ist dies unerlässlich. Bei der Analyse werden Schwachpunkte des Netzwerks erkannt, auf die ein Policy Management angewandt werden muss. Unter Umständen ist sogar ein Austausch von aktiven Netzwerkkomponenten erforderlich, um den stabilen Betrieb des Netzes zu sichern. Der Begriff des Policy Managements beschreibt die aktiven Maßnahmen des Netzbetreibers zur Regelung des Datenverkehrs unter dem Aspekt der Priorisierung und Zugangskontrolle. Bei diesem Prozess kommt es zur statischen oder dynamischen Zuweisung von Netzwerkressourcen für Anwendungen, Server, einzelne Anwender oder Benutzergruppen in Abhängigkeit vom Auslastungsgrad des Netzwerks und Kriterien wie etwa Wochentag oder Tageszeit. Policies (Regeln) werden in der Netzwerkmanagement-Applikation erstellt und in den aktiven Netzwerkkomponenten auf den Netzwerkverkehr angewandt. Damit erfährt der Begriff des Netzwerkmanage-
58
Die Regeln werden auf dem Policy Server zentral erstellt
Netzwerks, in denen er definiert, welche Anwendungen, Anwender, Server oder Services zu einer bestimmten Zeit hoch oder niedrig priorisiert oder gegebenenfalls sogar blockiert werden sollen. Diese Regeln werden in der Policy-Management-Applikation verwaltet und in eine für die aktiven Netzkomponenten interpretierbare Form der so genannten Access Control Liste (ACL) übersetzt, die anhand verschiedener Protokolle auf die Netzwerkkomponenten übertragen werden. In Abhängigkeit von den auf den Netzwerkkomponenten zur Verfügung stehenden Schnittstellen kommen für den Transport der Regeln beispielsweise die Protokolle LDAP (Lightweight Directory Access Protocol), SNMP (Simple Network Management Protocol) oder Telnet in Frage. Eine Policy Management-Applikation ist ein zentraler Service im Netzwerk, auf die ein entfernter Zugriff über eine Konsolenapplikation möglich sein muss. Ferner ist eine Datenbank erforderlich, die die
LANline Spezial Netzwerk-Administration V/2001
Idealerweise benutzt die Policy Management-Applikation die bereits im Unternehmen vorhandenen Verzeichnisdienste, die beispielsweise bereits die IP-Netze und Netzwerkadressen der Anwender und Server darstellen und sich mit DHCP- und DNS-Services synchronisieren. Ebenso reduziert die Verwendung vorhandener Datenbanken den Aufwand für die Integration des Policy Managements erheblich und vermeidet die aufwändige nachträgliche Synchronisation der sich stetig ändernden Benutzerdaten, die vielfache Datensicherung etc. Die Konfiguration jeder einzelnen relevanten Netzwerkkomponente mit Access Control Listen ist notwendig, um ein lückenloses Policy Management zu gewährleisten. Die Eingabe von Access Control Listen über ein Command Line Interface, eine Web-basierende Schnittstelle oder ein GUI (Graphical User Interface) ist jedoch eine zeitraubende und enorm fehleranfällige Prozedur. Ein zentraler Policy
www.lanline.de
MANAGEMENT
Service vereinfacht diesen Vorgang erheblich. Die Rahmenparameter und Regeln werden einmalig auf dem Server erstellt und anschließend automatisch und zeitabhängig auf alle betreffenden aktiven Netzwerkkomponenten verteilt. Die einzelnen Netzwerkkomponenten werden dazu in Form von Domänen zusammengefasst, wobei jeweils für eine Domäne ein Satz von Regeln gilt. Der Policy Management Server übersetzt die anzuwendenden Regeln in ein auf der jeweiligen Komponente gültiges Format, sodass innerhalb einer Domäne durchaus unterschiedliche Netzwerkkomponenten eines Herstellers oder sogar verschiedener Hersteller erfasst werden können. Eine Domäne repräsentiert typischerweise einen bestimmten Bereich des Unternehmens im Sinne der Netzwerkarchitektur und bildet somit einen Teil der Netzwerktopologie ab, der regelbasiert administriert werden soll. Der Policy Management Server kontrolliert, ob die Daten
www.lanline.de
per LDAP, SNMP oder Telnet auf das Zielgerät übertragen werden, da die Hersteller hier bisher uneinheitliche Wege gegangen sind. Auf dem Policy Management Server werden die folgenden administrativen Maßnahmen und Konfigurationen ausgeführt: – Konfiguration der Administratoren und Zugriffsrechte, – Konfiguration der aktiven Netzwerkkomponenten, – Konfiguration der Domänen, – Zusammenfassung von Netzwerkkomponenten in Domänen, – Konfiguration der IP-Infrastruktur einschließlich IP-Subnetting, – Konfiguration der Applikations-Server und Benutzer, – Zusammenfassung von Benutzern zu Benutzergruppen, – Definition von Anwendungen anhand von Transportprotokoll und Application
Port Number (gegebenenfalls Range), – Definition von Zeitfenstern, – Konfiguration der Policies durch Kombination oben genannten Parameter, – Definition von Zeitzonen etc. Der Netzwerkadministrator kann auf dem Policy Management Server jederzeit den aktuellen Status der Anwendung von Policies auf die einzelnen Netzwerkkomponenten verifizieren, da neben einer Plausibilitätsprüfung für die jeweilige Komponente auch eine Überprüfung der erfolgreichen Umsetzung ausgeführt wird. (Stephan Manthey/mw) Der Autor Dipl. Ing. Stephan Manthey ist Senior Corporate Systems Engineer bei Avaya Deutschland.
Literaturhinweis: Whitepapaer Avaya Gigabit LAN SwitchingEnhanced QoS for IP Switching, www.avaya.com
LANline Spezial Netzwerk-Administration V/2001
59
MANAGEMENT
ADMINISTRATOREN ENTLASTEN
Vom Backup zum Client-Management
books defekt ist, sind die Daten zunächst einmal verloren und können oft nur mit Hilfe professioneller Datenrettungslabore wiederhergestellt werden. Im schlimmsten Fall ist auch dieser Weg aussichtslos und die Daten sind unwiederbringlich verschwunden. DILEMMA DER DATENSICHERUNG Das
Viele Administratoren verbringen einen Großteil ihrer Zeit damit, Rechner zu diagnostizieren, auf die sie elektronisch keinen Zugriff haben. Auch das Thema Backup kostet oftmals viel Zeit. Adäquate Lösungen erlauben es jedoch, beide Aktivitäten mit einem geringen Aufwand zu bewältigen und somit “zwei Fliegen mit einer Klappe” zu schlagen. Das Stichwort lautet hier Client-Management. Zentrale Ziele sind dabei, die wichtigen Unternehmensdaten zuverlässig zu sichern, aber auch den Administrator zu entlasten.
bwohl Daten ein wichtiges Unternehmenskapital darstellen, vernachlässigen viele Unternehmen die Datensicherung noch immer. Insbesondere bei mobilen Computern ist dies häufig der Fall. Dies kann fatale Auswirkungen haben, denn gehen bedeutende Daten verloren, können schnell Kosten in Millionenhöhe entstehen. Dabei gibt es Wege, mit minimalem Aufwand und unabhängig vom Standort der Clients eine effiziente Datensicherung durchzuführen. Doch aktuelle Backup-Produkte können mehr als die Datenverfügbarkeit zu gewährleisten. Sie ermöglichen beispielsweise die Fernwartung der Clients, was für den Administrator eine große Arbeitserleichterung bedeutet. Die Entwicklung von reinen Backup-Produkten hin zu umfassenderen Client-Management-Lösungen hat bereits eingesetzt. Dass eine regelmäßige Sicherung der Anwenderdaten auf dem Firmen-Server die Grundlage für die Datensicherheit eines Unternehmens darstellt, ist eigentlich hinreichend bekannt. Erschreckend ist in diesem Zusammenhang jedoch das Ergebnis einer Studie der Strategic Research Corporation, wonach nur 26 Prozent aller Anwenderdaten zentral gesichert sind. In vielen Firmen werden nur die Dateien gesichert, die von den Mitarbeitern direkt
O
60
auf dem Server abgelegt werden. Nicht berücksichtigt bei der Datensicherung werden hingegen die Anwenderdaten, die auf den lokalen Festplatten der Mitarbeiter liegen. Dies ist insbesondere bei mobilen Clients, die sich zunehmender Beliebtheit erfreuen, oft der Fall. Speichern Anwender ihre Daten unterwegs jedoch nur lokal, kann dies schnell zum Fiasko werden. Wenn die Festplatte des Note-
Dilemma in der Datensicherung liegt darin, dass Unternehmen ihre Datenbestände einerseits mit dem Ziel größtmöglicher Sicherheit zentralisieren möchten, andererseits aber ihre Produktivität durch Dezentralisierung steigern wollen. Die zunehmende Beliebtheit von mobilen Computern ist jedoch nur ein Grund dafür, dass eine zentrale Sicherung von Anwenderdaten oft ausbleibt. Auch die User selbst vernachlässigen die Datensicherung oftmals und halten sich nicht an die Vorgaben. Sie müssen selbst die Entscheidung darüber treffen, welche Daten gesichert werden sollen und das Backup dann auch tatsächlich durchführen, was aus Zeitmangel oder Unkenntnis jedoch häufig versäumt wird. Bei Administratoren herrscht hingegen oft die Meinung, dass regelmäßige Datensicherung Unmengen der kostbaren Netzwerkbandbreite in Anspruch nimmt.
Via Browser und Internet kann der Anwender von überall auf seine Daten zugreifen
LANline Spezial Netzwerk-Administration V/2001
www.lanline.de
MANAGEMENT
Bei zeitgemäßen Backup-Lösungen spielen alle diese Bedenken keine Rolle mehr, denn solche Produkte ermöglichen eine Optimierung der Datensicherung in jeder Hinsicht: Das Backup lässt sich automatisiern, die übertragene Datenmenge wird auf ein Minimum reduziert, mobile Computer können unterwegs gesichert werden, und die IT-Abteilung wird spürbar entlastet. Dass dies auch eine Reduzierung der IT-Kosten zur Folge hat, versteht sich fast von selbst. DATENSICHERUNG OPTIMIEREN Aktu-
elle Backup-Lösungen sollten sowohl den Anforderungen der Anwender als auch den Wünschen der IT-Verantwortlichen gerecht werden. So muss die IT-Abteilung in der Lage sein, die Clients zentral zu verwalten. Dazu sind spezifische Management-Tools vorhanden, mit denen der IT-Administrator die Client-Software nach unternehmensspezifischen Vorgaben selbst erstellen kann. So ist es möglich, jeder Abteilung oder jedem Anwender eine Oberfläche bereitzustellen, die optimal auf seine Erfordernisse zugeschnitten ist. Nach von der IT-Abteilung festgelegten Parametern kann ebenfalls die Installation der Client-Software automatisch erfolgen, was das Rollout insbesondere bei einer großen Anzahl von Rechnern enorm erleichtert. Auch die be-
www.lanline.de
sonderen Bedürfnisse der IT-Abteilung, zum Beispiel die exakte zeitliche Steuerung der Backups, sollten flexibel berücksichtigt werden können. Dies hat zur Folge, dass die Datensicherung automatisch zu festgelegten Zeitpunkten durchgeführt wird. So lassen sich bestimmte Tage oder Zeiten fest vorgeben, was idealerweise über das Internet auch bei mobilen Usern möglich sein sollte. Kann die Datensicherung ohne aktives Zutun des Anwenders durchgeführt werden, besitzt die Nachlässigkeit der User als eine der wichtigsten Schwachstellen bei der herkömmlichen Datensicherung keine Relevanz mehr; die IT-Abteilung muss sich nicht länger auf die Selbstdisziplin der Anwender verlassen. Bei fortschrittlichen Lösungen ermöglichen spezielle Technologien darüber hinaus, dass die übertragene Datenmenge extrem reduziert wird und so von mehreren MByte auf wenige KByte schrumpft. Dies wird zum Beispiel dadurch erreicht, dass bei kleineren Veränderungen nur die Modifikation, nicht aber die ganze Datei gesichert wird. Das Argument, regelmäßiges Backup verschlinge Unmengen an Bandbreiten, lässt sich somit ebenfalls nicht mehr halten. Für den User bedeutet die Minimierung des Backup-Volumens, dass die tägliche Datensicherung innerhalb weniger Minuten abläuft. Das Back-
up wird zudem im Hintergrund ausgeführt und behindert den Anwender nicht bei der Arbeit am Computer. MAXIMALE SICHERHEIT Dass die zu si-
chernden Daten, bevor sie den ClientRechner verlassen, bestmöglich verschlüsselt werden, ist Grundvoraussetzung einer guten Backup-Lösung. Im Fall eines Datenverlusts muss darüber hinaus gewährleistet sein, dass ein Restore der Daten einfach durchzuführen ist – und das möglichst überall auf der Welt. Das Backup-Programm sollte über die Möglichkeit der Remote-Wiederherstellung verfügen, das heißt, der Administrator kann sich in das Notebook einwählen und die Daten dort online wiederherstellen. Selbst wenn die Hardware defekt ist, darf die Backup-Lösung den Anwender nicht im Stich lassen. Ein Beispiel: Ein Mitarbeiter muss bei einem Kunden im Ausland eine Präsentation halten und sein Notebook lässt sich nicht mehr booten. Im Idealfall lädt er von einem Firmenrechner des Kunden, auf dem das Backup-Programm nicht installiert sein muss, die Präsentation mit einen beliebigen Web-Browser über das Internet herunter. Den Vortrag kann er dann mit dem vor Ort vorhandenen Equipment halten. Der Anwender ist in der Lage, auf alle wichtigen Dokumente jederzeit und von überall aus
LANline Spezial Netzwerk-Administration V/2001
61
MANAGEMENT
IMPRESSUM HERAUSGEBER: Eduard Heilmayr (he) REDAKTION: Rainer Huttenloher (Chefredakteur) (rhh), Stefan Mutschler (Chefredakteur) (sm), Georg von der Howen (stv. Chefredakteur) (gh), Marco Wagner (stv. Chefredakteur) (mw), Doris Behrendt (db), Dr. Götz Güttich (gg), Kurt Pfeiler (pf) AUTOREN DIESER AUSGABE: Andreas Bäß, Peter Böhret, Ralf Burda, Nedal Daghestani, Heinz Deininger, Martin Kuppinger, Stephan Manthey, Georg Maurer, Frank Müller, Christian Pätz, Carsten Queisser, Martin Stecher, Lana Vaysburd, Fabian Warkalla REDAKTIONSASSISTENZ: Edit Klaas, Tel.: 089/45616-101 REDAKTIONSANSCHRIFT: Bretonischer Ring 13, 85630 Grasbrunn, Fax: 089/45616-200, http://www.lanline.de LAYOUT, GRAFIK UND PRODUKTION: Daniela Ernst, Günther Kaspar Tel.: 089/45616-229 Edmund Krause (Leitung) ANZEIGENDISPOSITION: Daniela Ernst, Tel.: 089/32731566 Sandra Dressler, Tel.: 089/45616-108 TITELBILD: Wolfgang Traub ANZEIGENVERKAUF: Anne Kathrin Heinemann (Leitung, verantwortlich für Anzeigen), Tel.: 089/45616-102 E-Mail:
[email protected] Susanne Ney, Tel.: 089/45616-106 E-Mail:
[email protected] Karin Ratte, Tel.: 089/45616-104 E-Mail:
[email protected] Annette Forstner, Tel.: 089/45616-223 E-Mail:
[email protected] VERLAGSLEITUNG: Cornelia Jacobi, Tel.: 089/71940003 oder 089/45616-117 E-Mail:
[email protected] ANZEIGENPREISE: Es gilt die Preisliste Nr. 13 vom 1.1.2001 ANZEIGENASSISTENZ: Davorka Esegovic, Tel.: 089/45616-156 ANZEIGENVERWALTUNG: Gabriele Fischböck, Tel.: 089/45616-262, Fax: 089/45616-100 ERSCHEINUNGSWEISE:
LANline Spezial V2001 Netzwerk-Administration ist ein Sonderheft der LANline, das Magazin für Netze, Daten- und Telekommunikation
ABONNEMENT-BESTELL-SERVICE: Vertriebs-Service LANline, Edith Winklmaier, Herzog-Otto-Str. 42, 83308 Trostberg, Tel.: 08621/645841, Fax 08621/62786 E-Mail:
[email protected] Zahlungsmöglichkeit für Abonnenten: Bayerische Vereinsbank München BLZ 700 202 70, Konto-Nr. 32 248 594 Postgiro München BLZ 700 100 80, Konto-Nr. 537 040-801 VERTRIEB EINZELHANDEL: MZV, Moderner Zeitschriften Vertrieb, Breslauer Str. 5, 85386 Eching BEZUGSPREISE: Jahresabonnement Inland: 148,– DM Ausland: 174,– DM (Luftpost auf Anfrage) Vorzugspreise DM 110,- (Inland), DM 121,80 (Ausland) für Studenten, Schüler, Auszubildende und Wehrpflichtige – nur gegen Vorlage eines Nachweises. Sollte die Zeitschrift aus Gründen, die nicht vom Herausgeber zu vertreten sind, nicht geliefert werden können, besteht kein Anspruch auf Nachlieferung oder Erstattung vorausbezahlter Bezugsgelder. SONDERDRUCKDIENST: Alle in dieser Ausgabe erschienenen Beiträge sind in Form von Sonderdrucken erhältlich. Kontakt: Edmund Krause, Tel.: 089/45616-240, Alfred Neudert, Tel. 089/45616-146, Fax: 089/45616-350 DRUCK: Konradin Druck GmbH, Kohlhammerstr. 1-15, 70771 Leinfelden-Echterdingen URHEBERRECHT: Alle in der LANline Spezial erscheinenden Beiträge sind urheberrechtlich geschützt. Alle Rechte, auch Übersetzungen, vorbehalten. Reproduktionen, gleich welcher Art, nur mit schriftlicher Genehmigung des Herausgebers. Aus der Veröffentlichung kann nicht geschlossen werden, dass die beschriebenen Lösungen oder verwendeten Bezeichnungen frei von gewerblichem Schutzrecht sind. © 2001 AWi Aktuelles Wissen Verlagsgesellschaft mbH MANUSKRIPTEINSENDUNGEN: Manuskripte werden gerne von der Redaktion angenommen. Mit der Einsendung von Manuskripten gibt der Verfasser die Zustimmung zum Abdruck. Kürzungen der Artikel bleiben vorbehalten. Für unverlangt eingesandte Manuskripte kann keine Haftung übernommen werden. VERLAG: AWi Aktuelles Wissen Verlagsgesellschaft mbH, Bretonischer Ring 13, 85630 Grasbrunn Web: http://www.awi.de Geschäftsleitung: Eduard Heilmayr (Geschäftsführer), Dr. Bernd Kröger (Geschäftsführer), Cornelia Jacobi (Prokuristin) ISSN 0942-4172
i v w
Mitglied der Informationsgemeinschaft zur Feststellung der Verbreitung von Werbeträgern e.V. (IVW). Bad Godesberg Mitglied der Leseranalyse Computerpresse 2001
62
zuzugreifen – sofern der benutzte Rechner über Browser und Internet-Verbindung verfügt. Er ist in diesem Fall nicht auf die Hilfe des Supports angewiesen. Da die Daten quasi rund um die Uhr verfügbar sind und die Ausfallzeiten minimiert werden, kann ein Unternehmen dadurch hohe Ausfallkosten einsparen. MEHR ALS DATENSICHERUNG Etwa 80 Prozent ihrer Zeit verbringen Help-DeskMitarbeiter mit der Diagnose von Rechnern, auf die sie nicht zugreifen können. Durch den Fernzugriff auf Client-Rechner wird dem IT-Personal eine Reihe weiterer Aktionen auf den Anwender-Computern ermöglicht, die weit über die reine Datensicherung hinausgehen. So stehen den Help-Desk- oder IT-Mitarbeitern verschiedene Optionen für Wartung, Pflege, Diagnose und Reparatur zur Verfügung. Außerdem können spezielle AuditFunktionen zum Einsatz kommen, die mit jedem Backup auch Informationen über die installierte Hard- und Software auf dem Client-Rechner liefern. Aus diesen Daten generiert der Administrator dann Berichte und vergleicht somit das System zu verschiedenen Zeitpunkten. Durch die zentrale Verwaltung der Anwenderkonten lässt sich des Weiteren leicht feststellen, ob Hard- oder Software-Komponenten installiert oder deinstalliert wurden. Der integrierte Reportgenerator ermöglicht umfangreiche Auswertungen sowie den Vergleich und die Dokumentation verschiedener Systemparameter aller Client-Systeme von zentraler Stelle und zu frei wählbaren Zeitpunkten. Organisatorisch wird somit die Struktur des Unternehmens abgebildet. Es entsteht eine umfassende Wissensdatenbank, die schnelle und übersichtliche Information zu auftretenden Fragen liefert. Darüber hinaus sollte die Möglichkeit gegeben sein, auch Software-Probleme – zum Beispiel eine beschädigte Konfiguration – per Fernzugriff rasch zu beheben. Dazu wiederum müssen sich einzelne Dateien oder auch das komplette System einfach auf einen beliebigen, lauffähigen Stand in der Vergangenheit zurücksetzen lassen. Idealerweise ermöglicht eine sol-
LANline Spezial Netzwerk-Administration V/2001
che Funktion außerdem, die Daten eines kompletten Systems auf einen anderen PC zurückzuspielen. ZENTRALE VERWALTUNG HILFT KOSTEN SPAREN Geht man noch einen
Schritt weiter und kombiniert ein BackupProdukt mit einer ASP-Lösung für PCUtilities, wird eine Vor-Ort-Wartung der Client-Rechner durch das IT-Personal nahezu überflüssig. Eine solche ToolSammlung, die Werkzeuge zur Wartung und Optimierung von PCs, wie zum Beispiel ein Antiviren-Produkt, umfasst, muss nur einmal auf dem Server installiert beziehungsweise aktualisiert werden. Der Administrator kann bereichsbezogen individuelle Anwenderprofile erstellen und entsprechend steuern, welche Funktionen der Anwender jeweils nutzen darf. Bei Bedarf wählt der Benutzer dann das passende Tool aus. Das Programm wird temporär auf seinen Rechner geladen und führt die gewünschten Aktionen durch. Wenn die Arbeit abgeschlossen ist, wird die Anwendung beendet und installierte Programmteile wieder vom Client-Rechner entfernt. Durch die Möglichkeit des Fernzugriffs kann das IT-Personal die einzelnen Werkzeuge nutzen, um direkt auf dem Rechner des Anwenders zu arbeiten. Spätestens an dieser Stelle vollzieht sich der Schritt von der reinen Datensicherung zum umfassenden Client-Management endgültig: IT-Mitarbeiter können das System von zentraler Stelle aus verwalten und die meisten Probleme der Anwender schnell und präzise von ihrem eigenen Arbeitsplatz aus lösen. Die zentrale Verwaltung ermöglicht dem IT-Personal ein weitaus effizienteres Arbeiten, wodurch die Kosten für den internen ITSupport erheblich sinken. Die zuverlässige Datensicherung ist ebenfalls garantiert. (Peter Böhret/mw) Peter Böhret ist Geschäftsführer der Ontrack Data Recovery in Böblingen.
Info: Ontrack Data Recovery Tel.: 07031/644-289 Web: www.ontrack.de
www.lanline.de
MANAGEMENT
FERNSTEUERN SPART ZEIT
Leistungsfähige Crossplattform-Verwaltung Der Einsatz von Remote Control Software steigert die Produktivität der ITAbteilung und senkt die Support-Kosten für die Verwaltung und Wartung entfernter Systeme. Moderne Lösungen sollten umfangreiche Funktionalitäten für die Sicherheit aufweisen und die beiden Welten – Unix wie auch Windows – verbinden. Dieser Beitrag zeigt, auf welche Eigenschaften dabei zu achten ist.
aut einer Studie der Gartner Group werden die Anforderungen an die ITAbteilungen bis zum Jahr 2005 um insgesamt 50 Prozent ansteigen. Keine rosigen Aussichten für die bereits jetzt überlasteten IT-Manager. Zu den Gründen für diesen erwarteten Anstieg zählt unter anderem der zunehmende administrative Aufwand, den DV-Leiter beispielsweise für die notwendigen Software-Updates in immer umfangreicheren und komplexeren Netzwerken oder für die Einbindung mobiler Endgeräte wie Notebooks oder PDAs (Personal Digital Assistant) aufwenden müssen. Die Bedeutung von Software für die Fernverwaltung und -wartung wird in Zukunft also noch zunehmen. Der Einsatz so genannter Remote Control Software spart dem Administrator Zeit und dem Unternehmen Geld. Langfristig gesehen wirkt sich dies positiv auf die Produktivität und die Effizienz der IT-Abteilung aus – von der verbesserten Motivation der Administratoren ganz zu schweigen. Vor dem Einsatz einer Remote-Control-Lösung sollten die Funktionen der Software und der konkrete Bedarf des Unternehmens jedoch genau geprüft werden.
L
ware vor dem Einsatz lediglich einmal zentral installiert wird. Eine Aktualisierung der einzelnen Clients sollte nicht nötig sein. Gleiches gilt für die Verteilung von Software-Updates der Remote-Control-Produkte. Die Fernverwaltung von
werk über WAP kann auch als eine Art “Sicherheitsfallschirm” betrachtet werden. Angenommen die Webserver eines Hosting-Anbieters hängen sich ausgerechnet dann auf, wenn der IT-Manager im Urlaub ist und seine Vertretung mit Grippe im Bett liegt – dann rettet eine Fernsteuerung über WAP das operative Geschäft des Unternehmens und den Urlaub des IT-Managers. In einem solchen Fall muss es allerdings möglich sein, die Server auch über WAP neu zu starten. Dieses Worst-Case-Szenario tritt zwar mit einer relativ geringen Wahrscheinlichkeit ein, dennoch ist eine WAP-Unterstützung nützlich und hilfreich, da Handys bisher am besten für mobile Kommunikation geeignet sind und von den Nutzern am meisten akzeptiert werden. Remote Control über TCP/IP-Netze oder WAP gewährleistet somit ein umfangreiches Einsatzszenario, stellt aber auch erhöhte Anforderungen an die Sicherheit. Darüber hinaus gilt dem Thema
Mit Remotely Anywhere können Administratoren verteilte Systeme über jeden gängigen Webbrowser verwalten
ANFORDERUNGEN AN DIE SOFTWARE
Neben einfacher Installation und Bedienerfreundlichkeit muss die Lösung vor allem aktuelle Sicherheitsmechanismen unterstützen. Eine unkomplizierte Installation sieht zum Beispiel vor, dass die Soft-
64
Workstations oder Servern sollte grundsätzlich über das Internet, Telnet oder WAP erfolgen. Eine zentrale Kontrolle und Verwaltung der Geräte im Netz-
LANline Spezial Netzwerk-Administration V/2001
“Security” zunehmende Aufmerksamkeit, weil die Netzwerke immer größer, weitverzweigter und komplexer werden. Klar ist, dass beim Verwalten und Warten von
www.lanline.de
MANAGEMENT
Systemen über das Internet oder generell aus der Ferne immer ein Risikopotenzial besteht. Remote-Control-Software sollte deshalb nicht nur die Authentifizierung von Windows NT unterstützen sondern auch andere gängige Standards wie Active Directory, Novell Directory Services sowie LDAP, FTP, HTTP und SSL. Nur so lässt sich gewährleisten, dass unerwünschte Dritte nicht unerlaubt an einem Rechner im Netz ihr Unwesen treiben. Im Idealfall prüft die Software, ob auf einem angebundenen Rechner Veränderungen vorgenommen wurden und meldet dies beim nächsten Einloggen an den Administrator. Ebenfalls sehr wichtig ist die Unterstützung von unterschiedlichen Verschlüsselungsalgorithmen, da das die Sicherheit zusätzlich erhöht. Die meisten Hersteller bieten eine proprietäre Verschlüsselung an. Immer häufiger werden aber auch die gängigen Standardverfahren für symmetrische Verschlüsselung oder PKI (Public Key Infrastructure) unterstützt. Das verbessert nicht nur die Sicherheit der Fernverwaltung, es ist auch notwendig, sensitive Daten wie Benutzernamen und Passwort des Administrators nur verschlüsselt zu übertragen. Ein weiterer wichtiger Faktor liegt darin, dass sich die Netzwerkinfrastruktur zunehmend zur Cross-Plattform für unterschiedliche Betriebssysteme wandelt. Am “Rande” des Netzes kommen meist WindowsRechner zum Einsatz. Rechenzentren oder Server-Farmen basieren dagegen häufig auf Unix-Umgebungen. Für den Administrator wäre es deshalb wünschenswert, von einer zentralen Stelle aus, sowohl auf Windows- als auch auf Unix-Umgebungen zugreifen zu können. Ansonsten benötigt der IT-Verwalter einen zusätzlichen Arbeitsplatz nur für die Verwaltung der Windows-Rechner – was die Flexibilität der Remote-Control-Lösung einschränkt und wertvollen Platz im Arbeitsumfeld in Beschlag nimmt. Die meisten Hersteller passen ihre Produkte regelmäßig an die neuen Ansprüche von Großunternehmen an. So gibt es die Software “Remotely Anywhere” von 3am Laboratories in der Version 3.5 in zwei unterschiedlichen Ausführungen: Remotely
www.lanline.de
Anywhere Standard Edition (RA) und Remotely Anywhere Server Tools (Rast). Beide bieten Fernwartung und -bedienung für Windows-Server und -arbeitsplätze über LAN, WAN oder Internet. Die Software verfügt über einige Zusatzfunktionalitäten, die besonders für Großunternehmen interessant scheinen. Eine Lizenz ist dann notwendig, wenn ein Unternehmen gleichzeitig unlimitierten Zugriff auf alle oder viele verteilte Rechner haben möchte. Rast kommt dann an den Gateways am Übergang zwischen LAN und WAN zum Einsatz. Zu den weiteren Funktionalitäten zählen: – Ein so genannter Port-Forwarding-Server. Er ermöglicht es dem Administrator, auf Server zuzugreifen, die geschützt hinter einer Firewall liegen. Der PortForwarding-Agent agiert dabei als Vermittlungsglied beim Fernzugriff. Über eine Verbindung von zwei Port-Forwarding-Servern werden die Daten zusätzlich mit einem Komprimierungsalgorithmus verkleinert und per SSL-Verschlüsselung übertragen. – Der integrierte FTP-Server unterstützt den Datentransfer per SSH-Verschlüsselung (Secure Shell) und bedient alle NT-Benutzer sowie virtuelle Benutzer. Mit virtuellen Benutzern sind Anwender gemeint, die in der jeweiligen NT-Domäne nicht die notwendigen Zugriffsrechte auf FTP-Verzeichnisse haben. Remotely Anywhere mappt diese Benutzer auf seine eigenen Rechte und ermöglicht ihnen so den Zugriff, ohne dass dazu an der NTKonfiguration des Servers etwas geändert werden muss. Diese Funktion ist beispielsweise interessant für FTP-Zugriffe von Kunden. – Ein separater SSH-Server bietet Sicherheit für Anwendungen, deren Benutzerinformationen üblicherweise im Klartext übertragen werden. Ein mögliches Einsatzszenario für diese Funktionalität ist die sichere Übertragung von Daten zwischen zwei LAN-Segmenten via WAN. Installieren die Verantwortlichen Remotely Anywhere an den Zugriffsknoten der beiden LANs, lässt sich in Verbindung mit dem SSH- und dem
MANAGEMENT
Port-Forwarding-Server ein verschlüsselter Transfer realisieren. Als Basismerkmal in Puncto Sicherheit kann der IP-Port so konfiguriert werden, dass er von außen nicht erkenntlich ist. Eine weitere Funktionalität, die verbesserte Sicherheit bietet, lässt sich über die IPAdresse umsetzen: Die von dem Werkzeug angesteuerte IP-Adresse kann verändert und somit auch versteckt werden. Damit bietet sich die Software beispielsweise zur Fernverwaltung von Webservern an. Das Verstecken geht ganz einfach: Ist ein bestimmter Server im Web beispielsweise
erforderlich. Die beiden beschriebenen Funktionalitäten allein bieten freilich keine umfassende Sicherheitslösung. Die Kombination der beiden erlaubt aber eine funktionelle Abwehr von unerwünschten Zugriffen. Eine wichtige Voraussetzung für eine sichere Remote-Control-Lösung ist auch die korrekte Installation und Konfiguration. Bei der Lösung von 3am Laboratories können zum Beispiel bestimmte IPAdressrahmen gezielt von der Kontrolle und der Verwaltung ausgeschlossen werden. Die Software akzeptiert dann nur Anfragen, die innerhalb des freigegebenen IPAdressbereichs liegen und in der so genannten Trusted List gespeichert wurden. Das verhindert auch den unerwünschten Zugriff von außen auf das Produkt selbst. Für den Zugriff auf die Daten benötigt die Software natürlich eine korrekte Authentifizierung in Form von Username und Passwort. Die Einstellungen lassen sich so anpassen, dass der Zugang nach Intuitive Oberflächen erleichtern dem Administrator die Arbeit einer bestimmten Anzahl von Fehlversuchen verweigert unter der Adresse www.webserver.com er- wird. Snooping – das Ausspionieren von reichbar und die Remote Control Software Datenpaketen auf sensitive Informationen läuft auf Port 2000, so könnte der Admini- – wird allerdings nur durch Verschlüssestrator diesen Server mit dem Befehl lung konsequent vermieden. Die Remote“http://www.webserver.com:2000” errei- Control-Software unterstützt hierfür zwei chen. Um den Server zu verstecken, fügt Varianten: Über die aktivierte NTLM-Autder Administrator eine andere IP-Adresse hentication-Option authentifiziert das Prowie beispielsweise 177.246.27.91 für die- dukt Nutzer mittels eines Challenge-Ressen Server hinzu und beschränkt Remotely ponse-Algorithmus. Dabei wird das PassAnywhere darauf, die neue IP-Adresse zu wort selbst nie übertragen. Dies funktiosteuern. Damit werden mögliche Versu- niert allerdings nur mit dem Microsoft Inche, den Webserver auf seiner ursprüngli- ternet Explorer. Eine weitere Möglichkeit chen IP-Adresse zu attackieren, vermie- bietet die SSL-Verschlüsselung bei der den. Die Verwaltung der neuen IP-Adres- Übertragung von Daten und von Benutzerse wird ausschließlich von der Remote name sowie Passwort. Control Software übernommen, ÄnderunMit Remotely Anywhere sind Adminisgen an der Server-Konfiguration sind nicht tratoren außerdem in der Lage, Windows-
66
LANline Spezial Netzwerk-Administration V/2001
Systeme auch von einer Unix-Station aus verwalten. Die Software stellt Benutzerseitig keine weitgehenden Anforderungen – einzige Voraussetzung damit dies funktioniert ist, dass der verwendete Webbrowser Java unterstützt. Sonst funktioniert die Übernahme der Remote Konsole nicht. Zum weiteren Erhöhen der Benutzersicherheit dienen noch andere Funktionen. Will der Administrator zum Beispiel auf einen Remote-Rechner zugreifen, erscheint auf diesem PC ein Pop-up-Fenster, das den Nutzer des Clients fragt, ob er dem IT-Verantwortlichen eine Zugangsberechtigung erteilen will. Dieses Fenster bleibt 30 Sekunden lang aktiv und “friert” das Arbeiten an diesem Rechner während dieser Zeit ein. Der Nutzer kann also nicht weiterarbeiten, ohne dass Fenster wahrgenommen zu haben. Beachtet er das Fenster nicht und macht keine Angabe, geht das System davon aus, dass der Rechner derzeit nicht benutzt wird. Der Administrator kann dann automatisch auf den Rechner zugreifen. Möchte der Anwender verhindern, dass der Administrator mit seiner Arbeit fortfährt, kann er ihn zudem durch das Anklicken eines Icons jederzeit “vom Rechner werfen”. FAZIT Remote Control Software bietet ei-
ne effektive Möglichkeit, um Windows Rechner in großen, verteilten Netzwerken aus der Ferne zu verwalten und zu kontrollieren und so die IT-Abteilungen zu entlasten. Der Sicherheitsaspekt ist jedoch auf keinen Fall zu vernachlässigen. Dies bedeutet Engagement von Seiten der Administratoren und der Hersteller. Die Hersteller müssen flexibel genug bleiben, um neue Features für umfangreiche Sicherheitsanforderungen schnell und sauber in die bestehenden Produkte zu integrieren. DVLeiter müssen verantwortlich mit der Software umgehen und sie so konfigurieren, dass alle Funktionalitäten richtig genutzt werden. (Georg Maurer/gg) Info: Sinn Tel.: 08124/53180 Web: www.s-inn.de
www.lanline.de
LANline Spezial Netzwerkadministration V/2001
Timbuktu Pro
Remote Desktop 3,2
Netopia
Network
Sanavigator 2.0
●
● ●
● ●
● ● ● ●
Pcanywhere
Remcon PC-Duo
Symantec
Vector
●
● ● ● ● ● ● ●
● ●
●
● ●
XFB
● ●
● ●
● ●
●
● ●
●
● ●
Sopra Software
Software Pursuits Sure Sync
Sanavigator
RVS Datentechnik RVS-Com Standard
Rohde & Schwarz Netlink
Control
Peregrine Systems Infratools Remote
Europe
On Technology
On Command Remote ● ●
● ●
prise V.3
Software
Associates
● ●
Support Now Enter-
Netmanage
●
● ●
Pathmaster
Net-Hopper
● ●
●
● ●
Empirum Pro
Matrix42 ●
●
● ● ● ●
Laplink Gold
Laplink
Division
●
● ●
Remote Manager
High Soft Tech
Hoblink Electronic JWT HOBLink
●
●
● ● ●
● ●
● ● ●
● ● ●
● ● ●
● ● ●
● ● ●
● ● ●
●
●
● ● ●
● ● ● ●
● ● ●
● ● ● ●
●
● ● ●
● ● ●
● ● ●
● ●
● ● ●
● ● ●
● ● ● ● ● ● ● ●
●
●
●
● ●
●
NetOp Remote Control ● ●
Danware Data
● ● ● ●
Control
Associates
Proxy 3.08
Unicenter Remote
Computer
Funk Software
● ● ●
● ●
Net RC
Bindview
● ●
● ● ●
● ●
Control Tower
Aurora
●
●
● ●
Net Wizard Plus
Attachmate
● ● ●
●
● ●
●
●
●
● ●
●
● ● ●
●
● ● ● ●
● ● ● ● ●
●
● ●
● ● ●
●
● ●
● ● ●
● ●
● ● ● ● ●
● ● ● ● ● ● ● ●
●
●
● ●
● ● ●
●
●
●
●
●
● ● ● ● ● ●
● ●
● ●
●
● ● ●
● ● ● ● ● ● ●
●
●
●
●
●
●
●
●
●
●
● ● ● ● ● ● ● ●
● ●
●
●
● ●
●
Altiris Carbon Copy
● ●
Altiris
● ●
●
● ● ● ●
Adisoft
● ●
● ● ●
● ●
Mobile Manager
3M Labs
● ●
● ● ● ● ● ● ● ● ● ●
Produktname
Remotely Anywhere
Hersteller
Fernsteuerung über
Windows 2000 Windows NT 4.0 Netware 5.x Netware 4.x Linux Unix Windows 9x/ME MacOS OS/2 sonstige Java Windows 9x/ME Windows NT 4.0 Windows 2000 Linux Unix MacOS PalmOS Windows CE EPOC sonstige TCP UDP NetBIOS/NetBEUI IPX/SPX ISDN Modem seriell parallel USB IrDA
Client-Software für
max. Bildschirmauflösung in Pixeln bel.
bel.
1280x1024
bel.
1600x1200
1280x1024
wie Client/Host
1280x1024
1024x768
bel.
bel.
bel.
bel.
1024x768
bel.
bel.
abh. v. Host
Funktionsumfang
bel.
bel.
32 Bit
32 Bit
32 Bit
32 Bit
wie Client/Host
32 Bit
32 Bit
True Color
256
bel.
bel.
bel.
bel.
True Color
True Color
bel.
abh. v. Host
max. Farbtiefe
Host-Software für
bel.
bel.
25
1
bel.
256
bel.
bel.
>5
bel.
bel.
30
bel.
10
bel.
bel.
1
256
bel.
max. Anzahl simultaner Sessions
68 Sicherheit
● ●
● ● ●
● ● ●
●
● ●
● ●
● ● ●
● ● ●
● ● ●
● ● ●
● ● ●
● ●
● ● ●
● ● ●
● ●
●
● ●
● ● ●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
● ●
●
●
● ● ●
● ●
●
●
● ●
● ●
● ●
●
● ●
●
●
● ● ●
●
●
● ● ● ● ● ● ● ● ● ●
● ● ● ● ● ●
●
● ●
●
●
●
● ● ●
● ●
● ● ●
●
●
● ●
● ●
●
●
● ● ●
● ● ● ●
● ● ● ● ● ● ●
● ● ● ● ● ● ●
● ●
●
● ● ● ● ● ●
● ●
● ● ●
● ● ● ●
●
●
●
● ● ●
●
●
●
●
● ●
●
●
● ● ●
●
●
● ● ●
● ●
●
●
● ● ●
●
Text-Chat Übertragung von CTRL-ALT-DEL Übertragung von CTRL-ESC Druckumleitung auf Remote-Rechner Audio-Chat Filetransfer Dateisynchronisation Integration in NMS MAC/IP-Adressprüfung VPN-Unterstützung individuelle User-Rechte Callback Firewall-Support Auto-Logoff verschlüsselte Übetragung
Marktübersicht: Remote Control Software
MANAGEMENT
www.lanline.de
MANAGEMENT
Anbieter: Remote Control Software Telefon
Hersteller/Anbieter
Telefon
3M Labs/Binary Research
001/414/9611716 Remotely Anywhere 842
Net-Hopper Division
001/770/4469266 Pathmaster
3M Labs/S-inn
08124/53180
Remotely Anywhere 880
Netmanage Software
08104/89020
Adisoft
030/75512-301
Mobile Manager
Altiris Carbon Copy 490
Netopia/Magellan Netz-
02203/92263-51
Timbuktu Pro
905
Net Wizard Plus
werke Network Associates
089/3707-0
Remote Desktop 32
150
On Technology Europe
08151/369-0
On Command
250
06341/91764-20
Attachmate
089/99351-0
Aurora Technologies
001/781/290-4800 Control Tower
2000
Bindview
06102/437-513
Net RC
k. A.
Computer Associates/
02845/294-0
Unicenter Remote
k. A.
Lantec
Control
Danware Data/Avatech
0041/1/9081414
NetOp Remote Control 1200
Danware Data/Enterprise
089/96997122
NetOp Remote Control 870
Danware Data/IBV
07621/4092-0
NetOp Remote Control 870
Danware Data/Netcom
09532/9231-0
NetOp Remote Control k. A.
Danware Data/SBS
07541/9700-0
Funk Software/Softservice 0211/97709-0
k. A.
Support Now Enter- k. A. prise V.3
k. A. 910
Produkt
Preis in Euro/ 10 Lizenzen
Hersteller/Anbieter
Altiris
Produkt
Preis in Euro/ 10 Lizenzen
Remote Peregrine Systems
069/67734-0
Infratools Remote
k. A.
Control Rohde & Schwarz
089/412913561
Netlink
k. A.
RVS Datentechnik
089/35498-100
RVS-Com Standard
k. A.
Sanavigator
001/877/426-6639 Sanavigator 2.0
k. A.
Software Pursuits
001/650/372-0900 Sure Sync
k. A.
NetOp Remote Control 876
Sopra Software
069/244508-00
XFB
k. A.
Proxy 3.08
435
Symantec
0180/1000186
Pcanywhere 10.0
138
HOB Electronic
09103/715-295
Hoblink JWT
1530
Symantec/Deltacom
02234/96603-0
Pcanywhere 10.0
k. A.
High Soft Tech
040/897181-0
Remote Manager
1018
Symantec/GCT
06151/5091-0
Pcanywhere
k. A.
Laplink
044/1959/578335 Laplink Gold
k. A.
Symantec/Netcom
09532/9231-0
Pcanywhere
k. A.
Matrix 42
06102/816-500
k. A.
Vector/Prosoft
08171/405-0
Remcon PC-Duo
830
www.lanline.de
Empirum Pro
LANline Spezial Netzwerkadministration V/2001
69
SICHERHEIT
SICHERHEITSDIENSTE VON W2K UND NETWARE
Basis für den Geschäftsablauf Über das Internet getätigte Geschäfte brauchen, genau wie konventionelle Anwendungen, eine Sicherheitsinfrastruktur. Authentifizierung, Zugriffskontrolle und Verschlüsselung sind zentrale Funktionen für vernetzte Umgebungen. Novell und Microsoft positionieren sich als Anbieter solcher Dienste – doch wie gut ist ihr Angebot tatsächlich?
ei Microsoft sind Infrastrukturdienste ein Teil des Gebildes “.NET”, das eigentlich alles von Programmiersprachen und Komponenten über Betriebssysteme bis hin zu Server-Anwendungen umfasst. Novell setzt dagegen, ausgehend von seinen Kernprodukten Netware und NDS-EDirectory, mehr und mehr auf Net Services als Infrastrukturdienste für vernetzte Umgebungen und insbesondere für das EBusiness. Dabei spielt gerade bei Novell auch in der Argumentation das Thema Sicherheit eine zentrale Rolle. Novells primäres Argument dafür, dass das Unternehmen ein sinnvoller Dienstleister für EBusiness-Lösungen ist, lautet: Es muss eben eine sichere Infrastruktur liefern. Damit liegt auch ein Vergleich der Ansätze von Microsoft und Novell nahe. Immerhin stellen diese beiden Unternehmen auch heute noch – und ohne echte Alternative – die zentralen Infrastrukturen für lokale Netzwerke. Die Authentifizierung im LAN erfolgt in den allermeisten Fällen gegen das NDS-E-Directory oder das Active Directory beziehungsweise Windows-NT-Domänen. In diesen Verzeichnissen werden Benutzer verwaltet. Und das Benutzermanagement ist der zentrale Punkt in sicheren Infrastrukturen. Sicherheit bedeutet heute aber mehr als nur die Benutzerverwaltung für das lokale Netzwerk und die Zugriffskontrolle auf einigen File-Servern. Hinzugekommen sind das Einbinden von E-Business-Anwendungen sowie das Unterstützen digi-
B
70
taler Zertifikate, virtueller privater Netzwerke und heterogener Strukturen. Dafür gibt es heute zwar etliche Standards wie X.509, LDAP und IPsec mit jeweils unterschiedlicher Zielrichtung – aber ein Standard braucht immer noch eine Infrastruktur. Für Unternehmen liegt es nahe, die Unterstützung dieser Standards aus ei-
– Aufkommen von E-Business-Anwendungen sind neben den etablierten Verzeichnisdiensten für das lokale Netzwerk, bestehenden Verzeichnissen im Host- und E-Mail-Bereich und für ERP-Anwendungen auf einmal noch viele weitere Verzeichnisse entstanden. Jeder E-BusinessAnwendung ihr Verzeichnisdienst scheint dabei in vielen Fällen die Leitlinie gewesen zu sein. Schließlich braucht eine solche Applikation den Support von LDAP, und LDAP wird bis heute nicht von Windows-NT-Domänen unterstützt und hat auch bei der NDS eine Weile auf sich warten lassen – eine wirklich leistungsfähige Implementierung, steht erst seit NDS 8 zur Verfügung. Das Ergebnis dieser Entwicklung sind oftmals viele getrennte Verzeichnisse auf anderen LDAPServern beispielsweise von Netscape/ I-Planet, die sich nur schwer integrieren lassen. Der Boom der Meta-Directories wurde auch davon getrieben, dass man die Fehler der letzten Jahre irgendwie korrigieren musste.
Bild 1: Microsoft hat bei Windows 2000 Zertifikatsdienste integriert
ner bestehenden Sicherheitsinfrastruktur heraus zu entwickeln. DIE VERZEICHNISDIENSTE Das wird bei einem Blick auf die heutige Situation von Verzeichnisdiensten überdeutlich. Mit dem – mittlerweile deutlich abgeflachten
LANline Spezial Netzwerk-Administration V/2001
Sowohl Microsoft als auch Novell bieten inzwischen leistungsfähige Verzeichnisdienste mit Unterstützung für LDAP v3. Sowohl das Active Directory als auch das NDS-E-Directory sind damit nicht mehr nur Basis für LANs, sondern für alle Anwendungen, die einen Verzeichnisdienst
www.lanline.de
SICHERHEIT
Bild 2: Die Zertifikatsdienste von Novell sind eng mit den NDS verbunden
benötigen. Wenn nun einerseits interne Anwendungen und andererseits E-Business-Applikationen, über die beispielsweise eine Authentifizierung von Kunden oder Geschäftspartnern erfolgt, über den glei-
www.lanline.de
chen Verzeichnisdienst ablaufen sollen, wirft das Fragen sowohl in Bezug auf die Sicherheit als auch auf die spezifischen Funktionalitäten auf, die für unterschiedliche Einsatzbereiche erforderlich sind.
Der erste der beiden Punkte ist vergleichsweise unproblematisch. Denn sowohl in den NDS als auch im Active Directory lassen sich Strukturen schaffen, die beispielsweise Benutzerkonten für Kunden in getrennten Bereichen verwalten – und das überwiegend auch auf getrennten physischen Servern. Das lässt sich vergleichsweise einfach durch Partitionierung erreichen – sei es explizit bei NDS oder implizit durch die Schaffung von Domänen beim Active Directory. Selbst wenn die Administratoren einen anderen Weg wählen, ist die Integration von zwei NDS E-Directory-Bäumen oder zwei Forests im Active Directory immer noch ungleich leichter als die Integration von verschiedenen Verzeichnisdiensten. So gibt es bei NDS beispielsweise die “DNS Federation”, die zum Integrieren von verschiedenen NDS-Bäumen dient, sodass Teilinformationen in einem anderen Baum mit verwaltet werden können.
LANline Spezial Netzwerk-Administration V/2001
71
SICHERHEIT
Beim Active Directory lassen sich explizite Vertrauensstellungen zwischen Domänen in verschiedenen Forests einrichten. Darüber ermöglichen die jeweiligen Meta-Directory-Dienste von Novell und Microsoft, also DirXML und die Microsoft Meta Directory Services, eine einfache Integration der jeweils eigenen Verzeichnisdienste. Damit ist der Administrator in der Lage, verschiedene Instanzen für unterschiedliche Anwendungsbereiche zu integrieren. Ob das allerdings wirklich Sinn macht sei dahingestellt,
plikationslast und Größe des Verzeichnisses aus. Zum anderen erfolgen die meisten Schema-Erweiterungen ohnehin für interne Anwendungen. Insofern ergibt sich daraus nicht zwingend die Notwendigkeit, mit getrennten NDS-Bäumen oder Active-Directory-Forests für verschiedene Einsatzbereiche zu arbeiten. NICHT NUR DIRECTORIES Directories
sind unter dem Aspekt der Sicherheit eine wichtige Instanz für das Management von Benutzern und das Speichern von Aut-
Multifactor Authentication Graded Authentication
Kennwort
+
Token
Kennwort
+
Token
+
Biometrisch
Hochsensible Daten
Sensible Daten
Alle Daten
Kennwort
Bild 3: Mit den Novell Modular Authentication Services werden unterschiedliche Authentifizierungsmodule unterstützt
denn eine ausreichende Trennung von unterschiedlichen Anwendungs-”Domänen”, wie die Verwaltung von Kundenoder Partnerdaten, stellt auch innerhalb eines NDS-Baums beziehungsweise eines Forests des Active Directory kein Problem dar. Anwendungen, die das Schema der Verzeichnisdienste erweitern, bringen den in diesem Zusammenhang vielleicht kritischsten Aspekt mit. Eine Änderung des Schemas wirkt sich immer auf den ganzen Forest respektive NDS-Baum aus. Allerdings sind auch hier zwei Punkte zu beachten. Zum einen verursachen Erweiterungen des Schemas, solange die zusätzlichen Attribute nicht genutzt werden, auch nur minimale Last. Beim Active Directory wirken sie sich beispielsweise in einem kaum messbaren Umfang auf Re-
72
hentifizierungsinformationen. Gleichzeitig stellen sie aber nur einen Baustein der Sicherheitsinfrastruktur dar. Faktisch spielen sie für die Sicherheit vor allem deshalb eine Rolle, weil sie bei richtiger Nutzung und starker Zentralisierung das Management vereinfachen. Der Verzeichnisdienst alleine bringt jedoch keine Sicherheit. Microsoft und Novell haben damit aber gleichermaßen die Basis für ihre Sicherheitsinfrastrukturen gelegt. Da die für die Authentifizierung von Benutzern verwendeten Anmeldeinformationen im Regelfall in Verzeichnissen gespeichert werden, spielen die Verzeichnisdienste auch hier eine zentrale Rolle. Unter dem Aspekt der Sicherheit stehen dabei die unterstützten Authentifizierungsmechanismen im Mittelpunkt. Microsoft hat das Spektrum bei Windows
LANline Spezial Netzwerk-Administration V/2001
2000 deutlich erweitert. Neben dem klassischen NTLM-Verfahren, das schon zu Zeiten von Windows NT 4.0 deutlich verbessert wurde, unterstützt das Unternehmen jetzt auch Kerberos und X.509. Kerberos ist dabei der Standard, wobei sich – unter Beachtung einiger kritischer Punkte im Bereich der Kompatibilität – auch andere Kerberos-Umgebungen integrieren lassen. X.509 spielt insbesondere bei der Authentifizierung mit Smartcards eine Rolle. Darüber hinaus unterstützen die integrierten Internet-Informationsdienste alle gängigen und auch einige weniger populäre Verfahren für die Anmeldung von Benutzern über das Web – von der BasisAuthentifizierung mit einer unverschlüsselten Kombination aus Benutzername und Kennwort über SSL v3 mit ClientAuthentifizierung bis hin zur NTLM- und zur Digest-Authentifizierung. Novell liefert mit Netware 6 gleich zwei Web-Server. Neben dem Novell Enterprise Server, einer Portierung des IPlanet Enterprise Server, findet sich auch der Apache. Diesem kommt eine deutlich größere strategische Bedeutung zu, da er als Basis aller neuen web-basierenden Funktionen zum Einsatz kommt. Auch hier gibt es eine Integration für die Authentifizierung. Novell hat mit den NMAS (Novell Modular Authentication Services) allerdings noch einen zweiten Ansatz realisiert. Die NMAS unterstützen in der Basisfunktionalität, die beispielsweise bei Netware 6 und beim Native File Access für Netware 5.1 integriert wurde, verschiedene Authentifizierungsmechanismen. Ein Beispiel dafür ist NTLM, das beim Native File Access für die CIFS-/SMB-Unterstützung zum Einsatz kommt, weil es den Standardauthentifizierungsmechanismus für Windows-Clients darstellt. NMAS bietet damit eine Schnittstelle zwischen im NDS E-Directory gespeicherten Credentials (Authentifizierungsinformationen) einerseits und den verschiedenen Verfahren für die Authentifizierung andererseits. In der Enterprise Edition geht NMAS noch einen Schritt weiter. Dort lassen sich mehrere Authentifizierungsmechanismen wie eine Bio-ID, ein Kennwort oder ein
www.lanline.de
SICHERHEIT
digitales Zertifikat miteinander kombinieren. Der Administrator hat dann die Möglichkeit, Zugriffsberechtigungen beispielsweise nur für den Fall zu gewähren, dass mehrere Authentifizierungen erfolgreich waren. Er kann sie aber auch abgestuft vergeben, sodass – um ein Beispiel zu nennen – wenig sensible Informationen schon mit Benutzername und Kennwort, kritische Informationen dagegen nur nach der Anmeldung über ein biometrisches Verfahren verfügbar sind. NMAS ist für eine Sicherheitsinfrastruktur ein hochinteressanter Mechanismus, weil sich damit sehr differenzierte Sicherheitskonzepte umsetzen lassen. Zudem hat Novell mit NMAS auch eine sinnvolle Schnittstelle geschaffen, um unterschiedliche Authentifizierungsmechanismen in einem heterogenen Umfeld unterstützen zu können, wie am Native File Access deutlich wird. Zwar sind auch bei Windows 2000 die Authentifizierungspakete austauschbar – die gleiche Flexibilität wie bei Novells NMAS findet sich aber nicht. Dafür gibt es aber unter anderem die Kerberos-Unterstützung, die für verteilte Umgebungen einen effizienten Ansatz bietet.
spielsweise die Microsoft-eigenen Server-Applikationen, aber auch viele Produkte anderer Hersteller. Deutlich darüber hinaus geht Microsoft nur beim Host Integration Server, dem früheren SNAServer. Hier bietet das Unternehmen auch Integrationsverfahren mit Sicherheitssystemen auf dem Host wie RACF an. Novell hat dagegen mit dem Novell Secure Login, früher als Novell Single-
Sign-On bezeichnet, eine Lösung geschaffen, mit der Credentials für andere Anwendungen bei Bedarf auf sichere Weise ins NDS E-Directory einfließen. Wenn sich der Benutzer einmal erfolgreich an den NDS angemeldet hat, übernehmen diese die Authentifizierung bei anderen Anwendungen. Um das zu verwirklichen, hat Novell in Zusammenarbeit mit einer Reihe von Herstellern Mo-
SINGLE-SIGN-ON Die Single-Sign-On-
Problematik steht mit dem Thema der Authentifizierung in enger Verbindung. Kein Benutzer möchte sich eine Vielzahl unterschiedlicher Benutzernamen und Kennwörter für die verschiedenen Anwendungen, mit denen er arbeitet, merken. In Zukunft werden hier digitale Zertifikate nach dem X.509-Standard vieles vereinfachen. In einer bestehenden Infrastruktur gilt es aber, andere Lösungsansätze zu finden, damit der Benutzer nur eine Kombination aus Benutzername und Kennwort benötigt, gleichzeitig aber mit den jeweils spezifischen Anmeldeinformationen gegenüber anderen Anwendungen arbeitet. Microsoft agiert hier offensichtlich aus einer Position der Stärke heraus. Grundsätzlich hat dieses Unternehmen vorgesehen, dass andere Anwendungen der Authentifizierung durch Windows 2000 vertrauen können. Das machen bei-
www.lanline.de
LANline Spezial Netzwerk-Administration V/2001
73
SICHERHEIT
dule für dieses Produkt entwickelt. Das Spektrum der unterstützten Anwendungen reicht von Microsoft Access über Lotus Domino bis hin zu Peoplesoft. Secure Login ist aber nur eine der Lösungen von Novell für die vereinfachte Anmeldung von Benutzern. Mit Novell I-Chain existiert eine zweite Lösung, deren Fokus im optimierten Zugriff auf bestehende Anwendungen über das Web liegt. I-Chain besteht aus einer Kombination aus Sicherheitsfunktionen, Caching und einigen Modulen beispielsweise für die Unterstützung von Communities. Das Caching erfolgt über den ICS (Internet Caching Server) von Novell, der als Caching-Appliance nur in Verbindung mit ausgewählter Hardware eingesetzt werden kann. Sicherheit erreicht der Hersteller dadurch, dass I-Chain die Anmeldung beim NDS E-Directory durchführt. Dieses lässt sich mit Hilfe von DirXML auch mit anderen Verzeichnissen im Unternehmen synchronisieren. Auf Basis der gelieferten Informationen erfüllt das System die Anforderungen der Benutzer dann aus dem Cache oder leitet sie an Web-Server weiter. Die Web-Server bilden bei Bedarf dabei auch den Einstiegspunkt für EBusiness-Anwendungen. I-Chain verarbeitet auch komplexe, anwendungsabhängige Parameter, um differenzierte Informationen über die Berechtigungen, die ein Benutzer hat, an Anwendungen zu übergeben beziehungsweise beim Caching zu entscheiden, welche Pages an welchen Anwender geliefert werden dürfen. Der Reiz von I-Chain liegt darin, dass die Verantwortlichen ihre Anwendungen nicht mehr oder nur in geringem Maße anpassen müssen, aber leicht Portale für die sichere Einbindung von Partnern und Kunden in Geschäftsprozesse realisieren können. PKIS Ein wichtiger Baustein für sichere
Infrastrukturen sind PKIs (Public Key Infrastructures). Sowohl Novell als auch Microsoft bieten heute solche Dienste als Standardfunktionalität ihrer Systeme an. Beide Lösungen wurden auch eng in die Verzeichnisdienste integriert, was die Verteilung und Verwaltung der Zertifika-
74
te vereinfacht. Vor allem der Management-Aspekt spricht dafür, solche integrierten Funktionen zu verwenden. Allerdings gibt es bei Novells Certificate Services aktuell noch Lücken in der Unterstützung von CRLs (Certificate Revocation Lists), mit denen sich Zertifikate für ungültig erklären lassen. FIREWALLS UND VPNS Sowohl Microsoft als auch Novell decken auch die Bereiche Firewalls und VPNs (Virtual Private Networks) mit eigenen Lösungen ab. Was für Microsoft der ISA-Server (Inter-
Eingangsmodul
griert, wobei bei Windows 2000 zum bisherigen PPTP auch noch L2TP hinzugekommen ist. DER LEVEL DARUNTER Einen wesentli-
cher Faktor für Sicherheit stellt die Verschlüsselung dar. Sowohl Novell als auch Microsoft haben dafür modulare, flexibel erweiterbare Dienste entwickelt. Sie ermöglichen beispielsweise das Einbinden Hardware-basierender Mechanismen von Drittherstellern. Zudem unterstützen beide Hersteller – unter Beachtung der Export-Restriktionen
CryptoAPI
Zertifikatsdatenbank
Zertifikatsdienste
Ausgangsmodul
Zertifikatsvorlagen
Richtlinienmodul
Bild 4: Die CryptoAPI ist ein zentraler Baustein für die Verschlüsselungsfunktionen der Zertifikatsdienste von Windows 2000
net Security and Acceleration) als Nachfolger des Proxy-Servers ist, stellt bei Novell der Border-Manager dar. Beide Lösungen sind eng in die jeweiligen Verzeichnisdienste integriert, wobei sich der ISA Server auch unabhängig vom Active Directory betreiben lässt. Diese Integration erleichtert insbesondere das Management der Systeme. Auf der anderen Seite wird sie von vielen Administratoren kritisch beäugt, weil ein erfolgreicher Angriff auf die Firewall auch zu Sicherheitslücken beim Verzeichnisdienst führen würde. Bei Novell ist der Border-Manager auch die Basis für die Realisierung von VPNs. Microsoft hat diese Funktionen bereits in sein Basisbetriebssystem inte-
LANline Spezial Netzwerk-Administration V/2001
– auch die 128-Bit-Verschlüsselung. Novell verwendet die NICI (Novell International Cryptographic Infrastructure), Microsoft die CryptoAPI. Diese Module schaffen die Basis für ein hohes Maß an Sicherheit, das dann beispielsweise den Zertifikatsdiensten zur Verfügung steht. RICHTIGER INFRASTRUKTUR-LIEFERANT Beide Anbieter verfügen über ein
breites Spektrum an Lösungen für die Realisierung sicherer Infrastrukturen. Der Unterschied zwischen Novell und Microsoft fällt aber dennoch auf. Während Microsoft sich primär auf die Windows-Umgebungen fokussiert und eine Öffnung nur in vergleichsweise wenigen
www.lanline.de
SICHERHEIT
Bereichen – der Host Integration Server ist ein gutes Beispiel – für nötig hält, steht bei Novell die Unterstützung heterogener Umgebungen im Vordergrund. Microsoft hat für seine .NET-Vision bereits heute die Grundlage gelegt, um auch ein sicheres .NET zu verwirklichen. Novells Net Services sind dagegen schon heute breiter angelegt – sie sollen eine sichere Infrastruktur für das E-Business in den heute üblichen, heterogenen Netzwerken schaffen. Hier bietet Novell ein umfassendes Portfolio. Kooperationen mit führenden Anbietern der IT-Security-Branche wie Entrust stellen sicher, dass sich diese Lösungen auch in bestehende Umgebungen gut einfügen lassen. Auf der anderen Seite gibt es aber noch Lücken – so sind die Novell Certificate Services zweifelsohne noch überarbeitungswürdig. Microsofts Sicherheitsinfrastruktur bietet bei richtiger Nutzung eine gute
www.lanline.de
Basis für das Windows-2000-Umfeld. Wer aber beispielsweise eine SingleSign-On-Lösung für den Web-Zugriff auf bestehende E-Business-Anwendungen oder eine gute Integration mit anderen Applikationen haben möchte, findet hier nicht unbedingt auf Anhieb die richtige Lösung. Microsoft verlässt sich darauf, dass andere Anbieter ihre Produkte in Windows 2000 und das Active Directory integrieren und nutzt seine im Vergleich mit Novell größere Marktmacht. Novell ist dagegen gezwungen, seine Lösungen zu integrieren – nicht nur, weil man offene Standards für wichtig hält, sondern vor allem auch, weil Novell eben nicht mehr die dominierende Stellung vergangener Tage hat. Auf der anderen Seite muss man zugestehen, dass Novell mit seinen Net Services eine klare Marktposition aufgebaut und konsequent mit Produkten untermauert hat – kaum ein Anbieter hat
ein vergleichbar umfassendes Lösungsportfolio zum Realisieren von Sicherheitsinfrastrukturen wie Novell. Zudem verfügt Novell noch über einen weiteren Vorteil: Microsofts Produkte sind, durch das Image und die Marktposition des Unternehmens, das bevorzugte Angriffsziel von Hackern. Novells Lösungen genießen nicht annähernd diese Aufmerksamkeit. Ob ihre Sicherheit höher ist, als bei den Microsoft-Lösungen, sei dahingestellt – es werden aber in jedem Fall weniger Sicherheitslücken aufgedeckt. (Martin Kuppinger/gg)
Info: Microsoft Tel.: 089/31760 Web: www.microsoft.com Novell Tel.: 0211/56310 Web: www.novell.de
LANline Spezial Netzwerk-Administration V/2001
75
SICHERHEIT
stallierten wir die Lösung, verzichteten allerdings auf den “Central Manager”, da wir nur ein Firewall-System verwalten mussten. Nach einem Neustart stand die Software zur Verfügung. Die DMZ-Anbindung konnten wir mit diesem Produkt allerdings nicht testen, da es nur zwei Netzwerkkarten unterstützt. Das Hauptmenü des Programms hinIm dritten Teil unseres Firewall-Tests stehen zwei Firewalls mit Appliterlässt einen aufgeräumten Eindruck cation Packet Filtering im Mittelpunkt. Dabei handelt es sich um die und wurde vom Hersteller in die Hauptpunkte Main, Statistics, Logs, Rules, Cyberwall Plus von Network-1 und Symantecs Veloci-Raptor-Appliance. NAT, Nodes, Protocols, Intrusion Setup und System aufgeteilt. ie Infrastruktur blieb die gleiche Servern, die “Workstation” sichert die Unter Main finden sich die Punkte wie in den letzten Tests. Wir teste- entsprechenden Workstation-Systeme. Exit, Remote (für Fernwartungsarbeiten die Firewalls mit drei Subnetzen. Das Cyberwall-Plus-AP schützt LANs gegen ten), Backup, Save, Policy Schedule, Lizu schützende LAN umfasst Clients un- Angriffe und behandelt auch “Nicht-IP- cense und About. “Backup” ermöglicht ter Windows 2000, Windows NT, Win- Verkehr” während Cyberwall-Plus-IP das Abspeichern/Wiederherstellen der dows ME und Debian- sowie Suse-Li- sich auf IP-Netze spezialisiert. Wir setz- Firewall-Dateien sowie das Einspielen nux. Alle Computer in diesem Subnetz ten die IP-Version auf einem Pentium der Default Settings. “Save” dient zum verfügten über keine eigenen Sicher- II/400 mit 128 MByte RAM unter Win- Abspeichern der Einstellungen, dabei heitsfunktionen und verließen sich aus- dows NT 4.0 Service Pack 6a ein. lassen sich die Angaben zu Regeln, schließlich auf den Schutz durch die jeVor der Installation empfiehlt die Set- Nodes und Protocols getrennt behandeln. weilige Firewall. Das zweite Subnetz up-Routine, ein “Network Disabled” “Policy Schedule” lässt bestimmte Dienumfasste die demilitarisierte Zone ste zu definierten (DMZ), in der Web-, FTP- und E-MailZeitfenstern zu. DaServer unter Windows 2000 und Linux bei sind viele Serviarbeiteten. Diese Server stellten nur die ces vorkonfiguriert, etwa Citrix ICA genannten Dienste bereit und waren anServer, Lucent IP sonsten von der Außenwelt abgeschottet. Exchange oder auch Das WAN-Subnetz sorgte für den Interder RSA Keon Cernet-Zugang mit Hilfe eines Allied-Teletificate Server. “Lisyn-Routers, außerdem lief noch ein License” übernimmt nux-Rechner mit aktuellen Hackerdie LizenzverwalTools sowie Stress-Test- und DoStung und “About” Werkzeugen in diesem Segment. Um zeigt Version und Angriffe von diesem Rechner auf die Betriebssystem an. Firewall “abzubremsen” und so wirkliDer zweite Hauptchen Angriffen über langsame Internetpunkt, “Statistics”, Verbindungen so ähnlich wie möglich zu enthält Informatiomachen, setzten wir zudem den Stormnen zu VerbindunWAN-Emulator von Shunra ein. Von den gen, Frames und Linux-Rechnern im LAN aus führten wir maximalen simultaaußerdem die gleichen Angriffe auf die Die Detailansicht der Cyberwall Plus erinnert an ein Sniffer-Fenster nen Connections. Firewalls durch, um zu sehen, wie sie auf An dieser Stelle Attacken von innen reagieren. Hardware-Profile zu erstellen, um im kann der Administrator auch VerbindunCYBERWALL-PLUS Es gibt insgesamt Notfall mögliche Konflikte mit der Soft- gen unterbrechen oder Statistiken lövier Versionen der Cyberwall Plus, die ware von Drittanbietern beziehungswei- schen. Die Logs umfassen Event Log, Application Packet Filtering beherrscht. se mit bekannten Bugs in Microsofts Die Server-Variante dient zum Schutz tcpip.sys vermeiden zu können. Nach Connection Log, Intrusion Log und Apvon Windows NT und Windows 2000 dem Anlegen des Hardware-Profils in- plication Log. Sie lassen sich sowohl FIREWALL-TEST, TEIL 3
Schutz auf hoher Ebene
D
76
LANline Spezial Netzwerk-Administration V/2001
www.lanline.de
SICHERHEIT
“Rule Inheritance” gibt Aufschluss über die Zusammenhänge zwischen Nodes und Protokollen
automatisch verwalten als auch manuell exportieren, beim Export stehen die Formate CSV (Comma Seperated Value), WELF (Web Trends Enhanced Log Format) und ENC (Sniffer) zur Verfügung. Darüber hinaus kann der Administrator die Felder, die er exportieren will, auswählen, beispielsweise Record Number, Time Stamp oder auch Source/Destination Address. “Details” bietet eine Sniffer-ähnliche Ansicht des Datenverkehrs, eine Funktion zum Löschen der Logs schließt diesen Punkt ab. Unter “Rules” sieht der Anwender die Regeln ein und bearbeitet sie. Das Hin-
www.lanline.de
Cyberwalls Intrusion Setup hinterlässt einen aufgeräumten Eindruck
zufügen dieser Vorgaben läuft nach dem Schema Trusted Node, Untrusted Node, Protocol, Allowed (Verkehr In/Out) und Logging nach Events (None, Fail, Pass, All) beziehungsweise Connections (None, Incoming, Outgoing, Both). Der Hersteller hat eine beeindruckende Menge an Protokollen vordefiniert, von Ping über RTSP (Real Time Streaming Protocol) und die wesentlichen TCP-Protokolle bis hin zu UDP-Protokollen wie Real Player Data Channel oder “Epmap over UDP – DCE Endpoint Resolution”. Funktionen zum Modifizieren, Abspeichern und Löschen runden die Regelverwaltung ab. Es
ist allerdings wichtig zu wissen, dass die Reihenfolge der Regeln im Fenster nichts mit der Reihenfolge zu tun hat, in der die Firewall diese Regeln abarbeitet. Die Application Protocol Rules kommen immer vor den Transportprotokollregeln, erst am Schluss sind dann die Netzwerkprotokollregeln dran, was zu Verwirrung führen kann, falls der Administrator darüber nicht Bescheid weiß. Bei uns herrschte erst nach intensiver Handbuchlektüre Klarheit in diesem Bereich. Der Unterpunkt “NAT” ermöglicht die Definition der Network Address Translation. Dazu kann der Administrator je-
LANline Spezial Netzwerk-Administration V/2001
77
SICHERHEIT
weils für Ein- und Ausgehenden Verkehr festlegen, wie die Firewall die Daten weiterleiten soll. Auch hier stehen wieder Funktion zum Hinzufügen, Modifizieren, löschen und Abspeichern von NAT-Regeln zur Verfügung. Das Produkt unterstützt die Protokolle GRE (Generic Routing Encapsulation), ICMP, TCP und UDP. Bei den “Nodes” sind Broadcast Nodes, Local Maschine und Untrusted Nodes wie “Any Node” bereits vordefiniert. “Rule Inheritance” zeigt die Abhängigkeiten der Nodes von Regeln und lässt es darüber hinaus zu, diese zu bearbeiten. Neben den üblichen Funktionen Add, Modify, Delete und Save bietet die Firewall noch die Funktion, Nodes in Gruppen zusammenzufassen, was die Arbeit übersichtlicher gestaltet. Zum schnellen Zugriff auf bestimmte Nodes steht zudem ein “Find Node”-Feature zur Verfügung. Unter “Protocols” lassen sich Protokolle modifizieren, durchsuchen, hinzufügen und abspeichern. Beim “Intrusion Setup” sind Schutzmaßnahmen für Angriffe wie beispielsweise Syn Flood, Win Nuke und Ping Flood vordefiniert. Sie lassen sich bearbeiten nach Aktionen (Fail, Continue) und Richtung (Incoming, Outgoing, Both, None). Zusätzlich ist der Administrator in der Lage, Alerts per E-Mail einzurichten und Thresholds in Sekunden zu setzen, die die Firewall abwartet, bevor sie eine Intrusion erneut loggt. Knöpfe zum Einschalten und Ausschalten aller Regeln, zum Umschalten der Aktivität einzelner Regeln, zum Speichern und zum Löschen runden das Intrusion Setup ab. Bei aktivierter Intrusion Detection kann Cyberwall Plus den Administrator auf Wunsch bei Angriffen auch durch ein blinkendes System Tray Icon warnen. Im Test verliefen unsere Angriffsversuche alle im Sande. Der letzte Punkt “System” dient zum Zuweisen der Netzwerkkarten zu dem internen und externen LAN-Segmenten. Zusätzlich ist der Administrator hier in der Lage, neue Verbindungen zu blockieren und unter “Additional config” unter anderem die Packet Queue Size und die Buffer Size festzulegen beziehungsweise Optimized Fields ein- und auszuschalten.
78
Cyberwall Plus hinterlässt einen ausgereiften Eindruck, auch wenn die Benutzerführung etwas eigentümlich ist. Das umfangreiche Handbuch enthält alle wesentlichen Informationen zur Software und die Preise sind angemessen.
Cyberwall-Plus-IP
+ + –
Leistungsfähige Log-Funktionen Realistische Preisgestaltung Ungewöhnliche Benutzerführung
Info: Network-1 Tel.: 03522/504032 Web: www.network-1.com Feuerwall Shop Tel.: 03522/504032 Web: www.feuerwallshop.com Preise: Cyberwall Plus Server kostet für eine Installation 2550 Mark, ein Jahr Wartung/ Update liegt bei 390 Mark. Die WorkstationVersion ist für 499 Mark erhältlich, 10 Workstation-Installationen kosten 2650 Mark (ein Jahr Wartung/Update 350 Mark). Die IP-Version mit 500 Sessions liegt bei 4880 Mark (Wartung/Update 740 Mark). Für eine unlimitierte Zahl an Sessions muss der Kunde 11.870 Mark zahlen (Wartung/Update 1850 Mark). Die AP-Variante kostet schließlich 16.300 Mark (Wartung/Update 2550 Mark). Der Central Manager liegt bei 460 Mark (Wartung/Update 70 Mark).
VELOCI-RAPTOR Die Veloci-RaptorFirewall-Appliance von Symantec (ehemals Axent) kommt vorinstalliert auf einem Sun-Raq (ehemals Cobalt) und setzt auf einem gehärteten Linux-Betriebssystem mit Kernel 2.2 auf. Der Test dieses Produkts lief wieder “klassisch” ab, das heißt, die Firewall übernahm den Schutz des LAN-Segments und stellte die Verbindung zur DMZ her. Es handelt sich bei der Veloci-Raptor um eine Proxy-basierte Application-Level-Firewall mit VPN-Unterstützung und Packet-Filtering auf einer Pro-Interface- und Pro-Tunnel-Basis. Das Management erfolgt über die “Raptor Management Console (RMC)”. Unser 19Zoll-Testgerät verfügte über vier 10/100MBit-Ethernet-Karten, ein LC-Display mit Frontpanel, serielles Interface und Serial USV-Port. Lieferbar waren zum Test-
zeitpunkt Versionen mit AMD-K6-2-Prozessoren mit 300 oder 450 MHz Taktfrequenz, bis zu 256 KByte L2-Cache, 128 oder 256 MByte RAM und 9 GByte Speicherplatz auf der Festplatte. Die Proxies übernehmen die üblichen Dienste wie Telnet, HTTP oder FTP. Es sind auch anwenderdefinierte Proxies möglich, zudem unterstützt Veloci-Raptor Adressumsetzungen für routbare Adressen, Reports und DoS-Schutzmaßnahmen. Beim Tunneling arbeitet die Lösung laut Hersteller auch mit IKE-Clients von Drittanbietern zusammen. Zur Installation muss der Administrator das Gerät zunächst mit dem Netz verbinden und nach dem Einschalten eine Erstkonfiguration via Front-Panel durchführen. Dabei ist zunächst anzugeben, ob sich die Managementstation innerhalb oder außerhalb des geschützten LANs befindet, danach kommen IP-Adresse, Netzmaske, Gateway und IP-Adresse des Management Hosts. Anschließend zeigt das Gerät ein aus zwölf Buchstaben bestehendes Passwort für die Management Console an, das für das Einloggen vom Client aus gebraucht wird. Dieses Passwort ist “zufallsgeneriert” und deshalb äußerst kryptisch (zum Beispiel xrbttshlorka), und sollte nachher so bald wie möglich geändert werden, jedenfalls bevor man den Zettel verliert, auf dem es notiert wurde. Zum Schluss gibt es noch ein achtstelliges SRL-Passwort für Secure Remote Login sowie ein achtstelliges
Das Hinzufügen von Protokollen zu Filtern stellt mit der Raptor-Firewall niemanden vor unüberwindliche Hindernisse
LANline Spezial Netzwerk-Administration V/2001 www.lanline.de
SICHERHEIT
tec besorgen, sonst läuft Veloci-Raptor nur für einen Testzeitraum von 30 Tagen. Die Raptor Management Console selbst verlangt mindestens einen ClientPC mit Pentium Prozessor, Windows NT 4.0 Service Pack 5, Microsoft Internet Explorer 5.0 und 64 Bei den vordefinierten Protokollen lässt Symantec kaum Wünsche offen MByte RAM. Zudem empfiehlt der Hersteller eine BildRoot-Passwort aus (beide genauso kryp- schirmauflösung von 1024 mal 768 Pixeln. tisch) und verlangt einen Neustart. Nach der Installation der Software ist wieDas LC-Display zeigt im laufenden Be- der ein Neustart erforderlich, danach kann trieb Systemstatus und Netzlast an. Das sich der Administator auf der Firewall einSetup über das Front-Panel lässt sich je- loggen. Daraufhin läuft zunächst ein Sederzeit wiederholen, es sei denn, das Panel tup-Wizard ab, der Systemname, Domäne, wurde über die Management Console ge- Gateway und Lizenzkey abfragt und dann sperrt. Zusätzlich kann der Anwender di- die Möglichkeit anbietet, den USV-Suprekt am Gerät, falls eine unterbrechungs- port zu konfigurieren, die Zeit einzustellen freie Stromversorgung vorhanden ist, noch und die Konfiguration der Netzwerkkarten die USV-Konfiguration vornehmen, einen vorzunehmen. Danach benötigt VelociFactory Reset sowie Reboot und Shut- Raptor wieder einen Neustart. Daraufhin kommt der “Quick Start down durchführen. Zur Konfiguration über die Management Wizard” an die Reihe, der die Route zum Console sollte der Benutzer sich zunächst internen Mail-Server wissen möchte und eine Lizenz für die Appliance von Syman- außerdem den Client-Zugriff auf externe
www.lanline.de
Mail-Server regelt. Zum Abschluß etabliert der Wizard noch Default-Regeln, die den LAN-Clients HTTP- und FTP-Zugriffe auf das Internet freigeben. Der Hersteller bietet dem Anwender noch weitere Wizards an. Der erste davon ist der SMTP-Wizard, der zum Anbinden des internen Mail-Servers an das Internet dient. Dazu erfragt er zunächst dessen Namen, will dann wissen, ob Verkehr von internen Hosts nach außen zugelassen werden soll und ob die Firewall die Adressen der E-Mail-Sender mit Hilfe von DNS und RBL (Realtime Blackhole List) überprüfen soll. Das stellt eine Anti-Spam-Schutz-
Die IKE-Policy definiert die Präferenzen bezüglich Verschlüsselungen
LANline Spezial Netzwerk-Administration V/2001
79
SICHERHEIT
maßnahme dar, weitere Informationen zur Realtime Blackhole List finden sich unter www.mail-abuse.org. Die Lösung stellt
Symantecs Veloci-Raptor Firewall
außerdem Anti-Relay- und CheckAgainst-DUL-Funktionen bereit (DUL bedeutet Dialup- und Dynamically-IPs). Die nächsten beiden Wizards, der S2S Tunnel Wizard und der Mobile Tunnel Wizard helfen dem Administrator beim Einrichten fester und mobiler VPN-Verbindungen. Die Möglichkeit, den SetupWizard erneut zu starten und ein Disconnect-Button vervollständigen diesen Teil der Raptor Management Console. Eine Ebene “tiefer” ist der Administrator in der Lage, die Einstellungen der VelociRaptor im Detail zu beeinflussen. Unter “Base Components” lassen sich feste Routen anlegen, Remote-Management-Passwörter vergeben und DNS-Einträge definieren. Zu den weiteren Komponenten in diesem Bereich zählen die Netzwerkkarten der Appliance und so genannte Network Entities. Das sind beispielsweise Hosts, Subnetze und Gruppen. Dazu kommen die Anwender und Benutzergruppen, die für die Authentifizierung und Regelzuweisung auf Benutzerebene nötig sind. Zur Authentifizierung unterstützt die Lösung Verfahren wie Cryptocard, Entrust oder auch Skey. Unter “Times” hat der Administrator die Möglichkeit, Zeiträume zu definieren, während denen die Firewall-Regeln Gültigkeit haben sollen. Der Punkt “Protocols” sorgt für das Verwalten und Definieren der Protokolle, “Raptor Services” steuert Dämonen wie Notify oder Fetcher und bei “Filters” lassen sich Filter beispielweise für Dos-Angriffe festlegen. Der nächste Hauptpunkt umfasst die Zugriffskontrollen. Hier gibt der Administrator die Regeln an, die als Liste nach Dienst, Quelle, Ziel,
80
Zeit, Anwendern und so weiter angeordnet werden. Bei Regeländerungen ist zu berücksichtigen, dass alle Modifikationen immer erst explizit auf die Firewall abzuspeichern sind, das bloße Ändern in der Management Console bewirkt noch überhaupt nichts. Für diese Erkenntnis benötigten wir im Test auch einige Zeit, da die meisten Konkurrenzprodukte die Regeln “On the Fly” auf den aktuellen Stand bringen. Auf Reboots, die bei manchen Umkonfigurationen nötig werden, weist die Management Console zwar hin, der Administrator muss sie aber manuell anstoßen. “Content Profiles” dient zum Filtern von HTTP- und NNTP-Inhalten. Das geht mit File Extensions, URLs, Mime Types und NNTP-Regeln. Unter “Redirected Services” lassen sich Dienste nach Adresse und Port umleiten und “NAT-Pool” erlaubt das Anlegen von NAT-Adressräumen entweder statisch nach Subnetzen oder dynamisch nach IPAdressbereichen. “Access Transforms” definiert das Umsetzen der IP-Adressen bei bestehenden Verbindungen. Dazu kann entweder die Gateway-Adresse zum Einsatz kommen, was die Standardeinstellung ist, oder aber die Original-Client-Adresse beziehungsweise ein NAT-Pool. “H.323” übernimmt die Konfiguration von H.323Verbindungen, beispielsweise Videokonferenzen, die sich mit einer Layer-7-Firewall realisieren lassen. Im letzten Punkt “Proxy Services” kann der Administrator die einzelnen Firewall-Dienste aktivieren oder ausschalten, die die Veloci-Raptor zur Verfügung stellt, also HTTP, Telnet, NTP, NNTP und so weiter. Der Oberpunkt “Virtual Private Networks” übernimmt das Anlegen und Verwalten der Secure Tunnels und der VPN-Policies und legt außerdem die IKE-Policy fest, die die Präferenzen bezüglich Verschlüsselungen definiert. Der letzte Punkt befasst sich mit dem Monitoring. Hier lassen sich Warnungen aktivieren beispielsweise per Client-Pro-
LANline Spezial Netzwerk-Administration V/2001
gramm, Blinklicht, Mail und SNMP. Es stehen insgesamt sieben Stufen für diese Warnmeldungen zur Verfügung: Emergency, Critical, Alert, Error, Warning, Notice und Info. Zusätzlich zeigt die Firewall unter “Monitoring Controls” die aktiven Verbindungen an, führt die Log-Dateien geordnet nach Tagen auf und bietet sogenannte Configuration Reports zu allen Komponenten, etwa DNS-Records, H.323, NAT, Anwender, Software-Versionen und VPN. Die Online-Hilfe der Veloci-Raptor ist verhältnismäßig gut, das Handbuch lässt jedoch etwas zu wünschen übrig, da es fast nur die Wizards erklärt. Weitere Informationen liegen lediglich als PDF-Datei vor. Auf jeden Fall stellt die RaptorFirewall-Appliance eine Vielzahl von Funktionen bereit und eignet sich damit gut für den Einsatz im professionellen Umfeld.
Veloci-Raptor
+ + –
Enormer Funktionsumfang Solide Verarbeitung Nichts für “Amateure”
Info: Symantec Tel.: 02102/74530 Web: www.symantec.com/product Preis: Je nach Austattung zwischen 8600 Mark und 32.500 Mark
ZUSAMMENFASSUNG Beide Lösungen
bieten eine beeindruckende Leistungsvielfalt und eignen sich gut für ihre jeweiligen Einsatzbereiche. Es ist natürlich eine Glaubensfrage, ob man im Unternehmensnetz NT-basierte Firewalls einsetzen möchte oder nicht. Administratoren, die sowieso schon ein homogenes Netzwerk verwalten müssen, werden im Zweifelsfall lieber auf die Appliance von Symantec zurückgreifen, während Anwender, die mit reinen Windows-Netzen arbeiten, wohl eher einen Blick auf das Produkt von Network-1 werfen werden. Beide Firewalls hinterließen im Test auf jeden Fall einen guten Eindruck. (Götz Güttich)
www.lanline.de
SICHERHEIT
DIE ARBEITSWEISE DER ANGREIFER
Motive und Techniken der Hacker-Szene Das Sichern von Informationen hat sich in den letzten Jahren als einer der wichtigsten Bereiche der Computerindustrie herausgestellt. Vor allem das Internet hat die Entwicklung neuer Sicherheitslösungen beschleunigt. Nach wie vor gibt es jedoch kein Verfahren aus einer Hand, mit dem sich sämtliche Probleme der Informationssicherheit lösen lassen. Um zu wissen, wovor man sich nun eigentlich schützen soll, ist es deshalb sinnvoll, sich zunächst mit dem Phänomen des Hackens und der Computerkriminalität zu befassen.
ie Grundlage von Sicherheitsverfahren stellen unterschiedliche Technologien und Protokolle dar. Sie sind mitunter abstrakt, komplex und schwer verständlich. Darüber hinaus verändern neue Entwicklungen oder strategische Allianzen die Struktur des Marktes für IT-Sicherheit. Die einzelnen Lösungen müssen stets an die Anforderungen und Bedürfnisse sowie die bestehende Infrastruktur eines Unternehmens an-
D
gepasst werden. Professionelle Hacker haben aufgrund der Unübersichtlichkeit der Sicherheitssysteme oft leichtes Spiel, in Unternehmensnetzwerke einzudringen. In einer gemeinsamen Umfrage von FBI und CSI (Computer Security Institute) wurden kürzlich in den USA Sicherheitsmanager aus Universitäten, Finanzbehörden, Regierung und Unternehmen befragt, um Trends und Entwicklungen in
Hacker-Tools liefern jede Menge Informationen über die Zielrechner.
www.lanline.de
LANline Spezial Netzwerk-Administration V/2001
81
SICHERHEIT
der Computerkriminalität zu erkennen. 62 Prozent der Befragten gaben zu, dass ihre Unternehmen in den letzten zwölf Monaten Opfer von Computerangriffen wurden. Die entstandenen Schäden lassen sich jedoch nicht immer genau beziffern. Der Schaden, der den befragten Unternehmen entstanden ist, beläuft sich allerdings auf mehr als 100 Millionen Dollar. Bemerkenswert ist dabei der zunehmende Trend des Diebstahls vertraulicher Informationen, der zu hohen finanziellen Verlusten führt. GRÜNDE FÜR DEN ANSTIEG VON HACKER-ANGRIFFEN Die IT-Industrie ist
sich in einem Punkt einig: Die Computerkriminalität stellt heute eine höhere Bedrohung als je zuvor dar. Eine Reihe unterschiedlicher Trends bestätigen diese Tatsache. Verteilte Computersysteme zum Beispiel lösen die Datenzentren der Vergangenheit ab. Entsprechend schwieriger fällt die Überwachung der einzelnen DesktopSysteme. Das Arbeiten von zu Hause beziehungsweise der Trend zum mobilen Mitarbeiter beeinflussen die Sicherheitstechnologien ebenfalls nachhaltig. Die Anzahl der mobilen Zugriffe auf Unternehmensnetzwerke hat signifikant zugenommen. Hacker haben dadurch viel mehr Möglichkeiten, an den entsprechenden Zugängen in Netzwerke einzudringen. Die stärkere Nutzung des Internets als Kommunikationsplattform für Geschäftsabläufe ist ein weiterer, wichtiger Grund für den Anstieg von Computerkriminalität. Vor einigen Jahren diente das Internet lediglich als Informationsquelle. Mittlerweile wurde es zu einem wichtigen Bestandteil der geschäftlichen Infrastruktur und hat sich zudem als Kommunikationsmedium etabliert. Es stellt seinem Wesen nach ein öffentliches Netzwerk dar, wurde jedoch ohne systemeigene Sicherheitsprotokolle aufgebaut. Daher kamen in den letzten Jahren wichtige Technologien dazu, wie etwa in Browser integrierte Verschlüsselungen von Sitzungen oder Virtual Private Networks (VPNs), die die Geheimhaltung der im öffentlichen Raum ausgeführten Transaktionen gewährleisten sollen.
82
Als Großrechner noch die einzigen verfügbaren Computersysteme darstellten, hatte nur eine begrenzte Anzahl von Nutzern die erforderlichen technischen Fähigkeiten beziehungsweise physikalischen Zugriffsmöglichkeiten, um die Sicherheit eines Unternehmens bedrohen zu können. Diese Situation hat sich nun vollkommen gewandelt, da der Einsatz von Computern oder computerähnlichen Geräten zum Bestandteil des täglichen Lebens geworden ist. Mit der Zunahme der Anwender, ist auch die Anzahl der potenziellen Hacker gestiegen. WILLKOMMEN IM WELTWEITEN CLUB DER HACKER Früher waren Hacker-An-
griffe also einer kleinen Gruppe von Freaks und Spezialisten vorbehalten. Das Eindringen in das Computersystem einer Sparkassenzentrale galt vor einigen Jahren noch als Sensation. Mittlerweile nehmen die Bedrohungen jedoch ein Ausmaß an, das unter Umständen sowohl die Gesellschaft als auch die Regierung bedrohen kann. Tausende von HackerWebsites und zahllose Newsgroups sind über das Internet verfügbar – jedermann kann bei Bedarf Zugriff auf die neuesten Tipps, Tricks und Tools von Hackern erhalten. Die Anonymität der Datenübertragung ermöglicht außerdem die Kommunikation von Nachwuchs-Hackern mit den gestandenen Profis – und zwar bequem vom Wohnzimmer aus. Der Werdegang einer entsprechenden Hacker-Karriere erfolgt also wesentlich unproblematischer als früher. Die eingesetzten Software-Tools der Hacker-Szene sind im Internet im Überfluss abrufbar und werden ständig und konsequent weiterentwickelt. Ein kurzer Blick auf die Hacker-Websites verdeutlicht, dass bereits Tools mit Versionsnummern drei, vier oder höher zum Einsatz kommen. Die Autoren dieser Werkzeuge überarbeiten sie regelmäßig, um die erhöhten Sicherheitsvorkehrungen der Unternehmen zu knacken. Zum Teil stehen auf Hacker-Websites sogar Produktdatenblätter, FAQs und Benutzerprofile zur Verfügung. In der Konsequenz können somit auch Anwender mit einem
LANline Spezial Netzwerk-Administration V/2001
geringen technischen Background einen erheblichen Schaden anrichten. MOTIVE UND TECHNIKEN DER HACKER Im Wesentlichen sind die Moti-
ve der Hacker wie folgt zu unterscheiden: An erster Stelle steht die simple Herausforderung, ein bestimmtes Sicherheitskonzept zu überlisten, ähnlich dem Lösen eines Rätsels. Einige Hacker verfolgen den kriminellen Vorsatz, einem Unternehmen oder einer bestimmten Person bewusst Schaden zuzufügen. Ein weiteres Motiv ist der Diebstahl von Daten oder Informationen. Diese böswilligen Absichten können im Extremfall sogar bis zu elektronischem Terrorismus beziehungsweise zu elektronischer Kriegsführung führen. Obwohl Hacker nur einige wenige Motive haben, sind die Techniken, die sie einsetzen, zahlreich. SOZIALES ENGINEERING Eine der be-
liebtesten Techniken ist das “Social Engineering” Dabei verleiten die Hacker Personen betrügerisch dazu, ihre Kennwörter oder andere geheime Informationen preiszugeben. Ein typisches Vorgehen liegt beispielweise darin, bei einem Unternehmen anzurufen und sich als Kollege oder Netzwerkadministrator auszugeben, der ein dringendes Problem lösen muss und entsprechende vertrauliche Informationen eines bestimmten Mitarbeiters benötigt. So oder ähnlich verschaffen sich Hacker auf einfache Weise ein Kennwort und somit auch den Zugang zu einem Netzwerk. DAS KNACKEN VON KENNWÖRTERN
Einen Kennwortschutz zu knacken, ist einfacher als vielfach angenommen. Zahlreiche Anwender arbeiten ohne Kennwort. Andere benutzen ihr Geburtsdatum, Namen ihrer Kinder oder ähnlich leicht assoziierbare Kennwörter. Da es umständlich ist, von Hand Dutzende von Möglichkeiten zu testen, stehen Software-Tools zur Verfügung, die mit hoher Geschwindigkeit alphanumerische Kombinationen aus Benutzername und möglichem Kennwort ausprobieren – eine Methode, die “Brutale Ge-
www.lanline.de
SICHERHEIT
walt” (Brute Force) genannt wird und oft mit Hilfe eines Wörterbuchs mit häufig verwendeten Kennwörtern arbeitet. Das Hacken von Kennwörtern ist wohl die meistverbreitete Technik in der Szene. Beim “Sniffing” (Schüffeln) wird ein Programm im Netzwerk eingesetzt, das den Netzwerkverkehr überwacht und dabei nach Kennwörtern und bestimmten Informationen sucht. Oft erfolgt der Netzwerkverkehr unverschlüsselt; somit ist NETZWERKÜBERWACHUNG
offene Ports eine Verbindung zum angegriffenen Rechner herzustellen und diese dann für eigene Zwecke zu nutzen. Eine weitere Angriffsart ist das Einnisten in Kommunikationsprozesse. Sie liegt vor, wenn sich ein Unberechtigter erfolgreich und unerkannt zwischen zwei Teilnehmern einnistet, die aktiv eine Kommunikation oder Transaktion über ein LAN oder eine nicht geschützte Internet-Verbindung ausführen. Die dritte Partei fängt Komponenten des Kommunikationsprozesses ab und ersetzt diese durch eigene Parameter. Auf diese Weise
Ein Portscan gibt Aufschluss über die auf dem Zielrechner offenen Dienste
PFERDE Oftmals schreiben Hacker Programme, die auf den ersten Blick nützliche Dienst-Software darstellen. In Wirklichkeit wurden die Applikationen dazu programmiert, um unerkannt Schäden anzurichten. Der Administrator oder der Anwender installiert ein solches trojanisches Pferd in gutem Glauben auf seinem PC. Daraufhin beginnt dieses mit der Manipulation oder Zerstörung von Daten. Einige Programme versuchen sogar, Löcher im Sicherheitssystem des Netzwerks zu öffnen. Ähnlich wie beim Trojanischen Pferd ist ein Virus ein Angriff auf SoftwareBasis, bei dem ein Programm ohne Zustimmung der Benutzer ausgeführt wird. Im Gegensatz zum Trojanischen Pferd verbreitet sich ein Virus meistens über E-Mail ohne das Wissen und Zutun des Anwenders. Der Begriff “Virus” kommt daher, dass sich dieser Code in der Regel selbst vermehrt. Dazu hängt er sich an eine “Host-Software” an und startet, wenn diese Software aufgerufen wird, ebenfalls. Anschließend verbreitet er sich über andere Host-Programme weiter. Ein “Wurm” verfügt im Gegensatz dazu über die Fähigkeit, sich selbst zu kopieren und zu starten. Er frisst sich also systematisch durch ein Netzwerk und zerstört oftmals gespeicherte Daten. TROJANISCHE
WEITERE VORGEHENSWEISEN “Logic
es leicht, gewisse Informationen zu finden und zu kopieren. Software, die zum Vereinfachen der Verwaltung eines Netzwerks geschrieben wurde, stellt ebenfalls eine häufige Zielscheibe dar. So passten Hacker zum Beispiel ein Programm, das unter dem Namen Satan (System Administrator’s Tool for Analyzing Networks) bekannt ist, in kurzer Zeit als Werkzeug zum Aufdecken von Schwachstellen im Netz an. Dabei kommen sogenannte Portscans zum Einsatz. Darunter versteht man die Analyse von verschiedenen Netzwerk-Ports, um herauszufinden, wo eine Kommunikationsmöglichkeit vorhanden ist. Das Ziel liegt darin, über
84
lassen sich Kennwörter erkennen. Im Extremfall übernimmt der Angreifer die Kommunikation sogar komplett. DENIAL OF SERVICE Eine der in der letzten Zeit am häufigsten anzutreffenden Hacker-Techniken wurde vor allem durch die Angriffe auf vielbesuchte Websites wie die von Yahoo oder Microsoft bekannt. Eine Organisation wird bei diesem Angriff für eine bestimmte Zeit außer Gefecht gesetzt. Denial-of-Service-Angriffe überfluten einen Server mit Zugriffen, um den regelmäßigen Verkehr im System lahmzulegen. Wichtige Dienste und Funktionen stehen dann nicht mehr zur Verfügung.
LANline Spezial Netzwerk-Administration V/2001
Bombs” werden meist in anderen ausführbaren Programmen versteckt und durch bestimmte Bedingungen wie Stichtage oder eigenständige TimerFunktionen ausgelöst. Meistens zerstören sie Daten oder setzen Viren frei. “Trap Doors” sind im Gegensatz dazu Programmteile, die einen Zugriff auf das System unter Umgehung der Authentifikationsverfahren oder mit erhöhten Privilegien ermöglichen. Beim IPund Web-Spoofing leitet ein Hacker den Netzwerkverkehr, der für eine gültige Web- oder IP-Adresse vorgesehen ist, an eine betrügerische Website um, die zum Beispiel Kreditkarteninformationen zur späteren Nutzung abfängt.
www.lanline.de
SICHERHEIT
SCHADEN UND GEGENMAßNAHMEN
Neben den direkten Verlusten, die zum Beispiel durch Diebstahl entstehen, schlagen für den geschädigten Unternehmer Ausfallzeiten, Kosten für die Wiederherstellung von Dateien und Systemen, juristische Kosten und der administrative Aufwand für zukünftige Präventionsmaßnahmen zu Buche. Ne-
können angeklagt und mit hohen Geldstrafen belegt werden. Angesichts des hohen finanziellen Schadens, des Imageverlustes und der möglichen Wettbewerbsnachteile müssen sich Unternehmen früh genug Gedanken in Bezug auf die Sicherheit ihrer kritischen Informationen und Daten machen. Hersteller von Sicherheitslösungen arbeiten stän-
Hacker-Sites bieten viele Werkzeuge zum Angriff auf Betriebssysteme.
ben den tatsächlich entstandenen betriebswirtschaftlichen Schäden können auch Wettbewerbsnachteile entstehen. Zum Beispiel ist es möglich, Geschäftsgeheimnisse oder Pläne zu entwenden. Informationskriminalität schädigt zudem den Ruf und das Marken-Image eines Unternehmens, wodurch eine Bank unseriös, ein innovatives Technologieunternehmen plötzlich planlos oder ein bisher organisierter Hersteller von Verbrauchsgütern völlig konfus erscheint. In vielen Branchen, wie zum Beispiel Bank- und Finanzwesen oder Gesundheitsfürsorge, sind Unternehmen an rechtliche oder treuhändische Pflichten gebunden, um die Vertraulichkeit von Daten oder Vermögenswerten ihrer Kunden sicherzustellen. Organisationen, welche dies nicht gewährleisten,
www.lanline.de
dig daran, sichere Systeme im Kampf gegen die Hacker zu entwickeln. Einige Unternehmen haben sogar das Knowhow der Hacker eingekauft und sie als Spezialisten in ihren Entwicklungsabteilungen eingesetzt. Es wird wohl ein nie enden wollender Kampf zwischen Unternehmen und Hackern bleiben. Wenn Hacker wieder erfolgreich ein System manipuliert haben oder in ein Netzwerk eingebrochen sind, müssen die Unternehmen entsprechend ihre Hausaufgaben machen und die Sicherheitsmaßnahmen verbessern. (Frank Müller/gg)
Info: RSA-Security Tel.: 06131/21060 Web: www.rsasecurity.com
LANline Spezial Netzwerk-Administration V/2001
85
SICHERHEIT
SICHERHEIT FÜR UNTERNEHMENSNETZE
Modulare Architektur als Basis Unternehmensnetze sind heute einer Vielzahl von Bedrohungen ausgesetzt. Schäden können durch die Nutzung externer Ressourcen und durch Angriffe professioneller Hacker oder Industrie-Spione entstehen. Häufiger noch gehen Angriffe von internen Benutzern aus, die vorsätzlich – wie Industriespione oder verärgerte Angestellte – oder durch unsachgemäße Bedienung Datenverluste oder -beschädigungen hervorrufen beziehungsweise Informationen an nicht autorisierte Stellen weiterleiten.
er Grad der Datensicherheit eines Unternehmens sollte individuell an seine Anforderungen angepasst werden. Welche Maßnahmen getroffen und wie tief diese implementiert werden, entscheiden der Wert der verwendeten Informationen und die Bedrohungen, denen diese Informationen ausgesetzt sind. Unternehmensnetze setzen sich in der Regel aus Enterprise-Campus-Netzwerk, Enterprise-Edge und der ServiceProvider-Edge zusammen. Daher entspricht nur der Aufbau einer Sicherheitsarchitektur in Modulen den tatsächlichen Bedürfnissen der Unternehmen. Auch wenn die Implementierungsentscheidungen je nach angestrebter Netzwerkfunktionalität variierten, existieren doch eine Reihe gemeinsamer Designziele der Unternehmen. An erster Stelle steht dabei die Policy-basierende Sicherheit und Angriffsabwehr. Dem folgt die Sicherheitsimplementierung unter Verwendung der Infrastruktur, das sichere Management und Reporting sowie die Authentifizierung und die Autorisierung von Benutzern und Administratoren für kritische Netzwerkressourcen. Des Weiteren muss die Angriffserkennung für kritische Ressourcen und Subnetze sowie die Unterstützung neuer Applikationen berücksichtigt werden.
D
86
ROUTER Router haben grundsätzlich
die Aufgabe, den Zugang zum Netz zu kontrollieren. Deshalb müssen sie gegen direkte Kompromittierung gesichert werden. Die Sicherungsmaßnahmen sollten folgende Punkte umfassen: – Sperren des Telnet-Zugriffs auf einen Router, – Sperren des SNMP-Zugriffs auf einen Router, – Steuern des Zugriffs auf einen Router unter Verwendung von Tacacs+, – Stoppen nicht benötigter Dienste, – Protokollieren sowie – die Authentifizierung von RoutingUpdates. SWITCHES Ebenso wie Router sind
Der modulare Aufbau eines Sicherheitskonzepts bietet zwei wichtige Vorteile: Zum einen können sicherheitstechnische Beziehungen zwischen den ein-
auch Switches (sowohl Layer 2 als auch Layer 3) besonderen Sicherheitsrisiken ausgesetzt. Die meisten für Router genannten Sicherheitstechniken sind auch auf Switches übertragbar. Als Maßnahmen sind zu empfehlen:
Safe-Blockdiagramm für Unternehmen
zelnen Funktionsblöcken des Netzwerks berücksichtigt werden. Zum anderen bietet dieser Aufbau Netzwerkplanern die Möglichkeit, Sicherheitsmechanismen Modul für Modul zu bewerten und zu implementieren, ohne die gesamte Architektur in nur einem Schritt bewältigen zu müssen.
LANline Spezial Netzwerk-Administration V/2001
– Trunk-Funktionalität für alle NonTrunking-Ports deaktivieren, – VLANs sollten nicht zu sehr ausgedehnt, sondern vielmehr durch L3Funktionalität verbunden werden, – ungenutzte Ports deaktivieren. VLANs (Virtual Local Area Networks) sind als einziges Mittel zur Verkehrstren-
www.lanline.de
SICHERHEIT
nung nicht sicher genug, da ein zu großes Fehlerpotenzial im Hinblick auf menschliches Versagen besteht. Bei der Konzeption von VLANs und VLAN-Tagging-Protokollen wurden Sicherheitsfragen nicht in Betracht gezogen, deshalb ist die alleinige Verwendung von VLANs zur sicheren Verkehrstrennung in sensiblen Umgebungen nicht zu empfehlen.
falt ausgewählt werden und fehlerfrei arbeiten. NETZWERKE Lassen sich einzelne Kom-
ponenten eines Unternehmensnetzwerks nicht kompromittieren, so kann dennoch ein Angriff gegen das gesamte Netzwerk gestartet werden. DDoS-Angriffe (Distributed Denial of Service) stellen eine
Beispiel einer modularen Sicherheitsarchitektur Um Anwendern eine Orientierungshilfe bei der Konzeption und Implementierung sicherer Netzwerke zu geben, hat Cisco Systems das Sicherheits-Framework “Safe” entwickelt. Dieser Konzeptionsleitfaden bietet Handlungsanweisungen für Netzwerkdesigner, in dem die Sicherheitsanforderungen an ein Cisco-Netzwerk berücksichtigt werden. Safe basiert auf zwei Hauptmodulen, die analog zu den zwei Funktionsbereichen eines Unternehmensnetzwerks, dem Campus- und dem Edge-Bereich, entwickelt wurden. Beide sind wiederum in Untermodule aufgeteilt, die den unterschiedlichen Funktionen des jeweiligen Bereichs im Einzelnen entsprechen. So können die einzelnen Untermodule sicherheitstechnisch bewertet und zueinander in Beziehung gesetzt werden. Auch komplexe Systeme lassen sich dadurch effizient absichern. Das Managementmodul implementiert das sichere Management aller Geräte und Hosts innerhalb der Safe-Architektur. Protokoll- und Reporting-Informationen werden von den Geräten an die Management-Hosts gesendet. Inhalte, Konfigurationen sowie neue Software hingegen werden von den Management-Hosts an die Geräte übertragen. Die Hauptgeräte sind Management-Hosts, Zugangskontroll-Server, die Cisco IOS Firewall und die Switches der Reihe Cisco Catalyst. Sie gewährleisten, dass die Daten von den verwalteten Geräten nur direkt an die IOS Firewall übermittelt werden können. Das Edge-Modul setzt sich ebenfalls aus Untermodulen zusammen. Das UnternehmensInternet-Modul bietet internen Benutzern die Verbindung zu Internet-Diensten und InternetBenutzern Zugriff auf Daten, die auf öffentlich zugänglichen Servern abgelegt sind. Von diesem Modul aus fließen Daten auch zum VPN- und Remote-Zugriffsmodul, wo die VPN-Terminierung stattfindet. Das E-Commerce-Modul ist für das Verhältnis von Zugang und Sicherheit verantwortlich. Durch die Aufteilung einer E-Commerce-Transaktion in drei verschiedene Komponenten sind unterschiedliche Sicherheitsstufen möglich, ohne dass dadurch der Zugang erschwert wird.
HOSTS Hosts stellen das beliebteste Angriffsziel im Netzwerk dar und sind gleichzeitig am schwierigsten zu schützen. Es existieren zahlreiche Hardware-Plattformen, Betriebssysteme und Applikationen, für die jeweils zu unterschiedlichen Zeiten Updates, Patches und Fehlerkorrekturen erhältlich sind. Da Hosts anderen Hosts Applikationsdienste zur Verfügung stellen, sind sie innerhalb des Netzwerks sehr exponiert. Ein individuelles SecurityKonzept sorgt dafür, dass bei der Sicherung von Hosts alle einzelnen Komponenten des Host-Systems mit Sorg-
88
APPLIKATIONEN Applikationen sind
bekanntermaßen fehleranfällig. Einige Fehler sind “nicht bösartig” und zerstören zum Beispiel “nur” die Formatierung eines Dokuments im Druck. Fehler können aber auch schwerwiegender Natur sein und etwa dafür sorgen, dass sich Kreditkartennummern auf dem Datenbank-Server per Anonymous FTP (File Transfer Protocol) abrufen lassen. Eine Vielzahl dieser Probleme kann mit Hilfe von Intrusion-Detection-Systemen (IDS) erkannt werden. IDS spüren Angriffe auf Grundlage einer Signatur oder mit Hilfe von Heuristiken beziehungsweise künstlicher Intelligenz auf. Es gibt Host- und Netzwerk-basierte IDS. Neben der reinen Erkennung und dem Alarmieren bei Angriffen oder Unregelmäßigkeiten kann ein IDS auch aktiv reagieren. Im einfachsten Fall wird die verdächtige Verbindung mittels TCPReset (Transmission Control Protocol) beendet. Eine weitere Methode, um Angreifer auszusperren, ist Shunning. Hierbei wird vom IDS eine temporäre Access-Control-Liste (ACL) auf der EdgeDevice generiert, die den Verkehr von verdächtigen Quellen für einen bestimmten Zeitraum blockiert. (Heinz Deininger/mw) Heinz Deininger ist technischer Leiter der Niederlassung Stuttgart bei Cisco Systems.
Attacke gegen die Verfügbarkeit von Unternehmensnetzen dar. Durch Manipulation einer Vielzahl von ungenügend geschützten Rechnern im Internet lassen sich hohe Verkehrs-Volumina mit gefälschten IP-Adressen (IP-Spoofing) produzieren. Werden diese gezielt auf ein Firmennetz gerichtet, können sie das gesamte Netzwerk blockieren. Ein maßgeschneidertes Sicherheitskonzept beinhaltet daher neben Angriffserkennung, Firewalls, Logging und aktivem Monitoring die entsprechenden Quality-of-Service-Maßnahmen. Dies ermöglicht es, derartige Angriffe durch individuelle Bandbreitenzuteilung und Traffic-Policing zu schwächen.
LANline Spezial Netzwerk-Administration V/2001
www.lanline.de
