Wireless Future. Vierstufige Sicherheit. D a s p r a x i s n a h e N e t z w e r k m a g a z i n. t h e m a d e s m o n a t s

Transkript

1 Technik News - Netzwerkmagazin G46392 N April 20 D a s p r a x i s n a h e N e t z w e r k m a g a z i n 14. Jahrgang t h e m a d e s m o n a t s ZUKUNFTSWEISEND Wireless Future Sicherheit und QoS mit i und e BACKUP UND STORAGE Vierstufige Sicherheit Tandberg ValuNAS - Backup- Server mit RAID n Technologie

2 AKTUELL CeBIT Review 3 NEWS Cisco: Video-Telefonie auf IP-Basis 6 Cisco:IP-Kommunikation für Filialen und kleine Büros 7 Cisco: Live und OnDemand 7 Bintec: Hochverfügbar und redundant 8 Cisco: Line Cards und Module für Catalyst Geräte 9 CS Production: GIGAline 4016 und 4024 Websmart Switches 10 CS Production: WAVEline Printserver Combo 10 CS Production: SWITCHline 16A/24A 11 DENIC: Die Ökos waren vorn - Schröder ist weg 12 LANCOM Systems: VPN Upgrade kostenlos 12 LANCOM Systems: Office-Kommunikation und Filialanbindung 13 Netgear: Gigabit-Switch GSM Microsoft: Top Level Domain für mobile Internet-Adressen 14 Netgear: Managebarer Layer-3 Switch FSM7326P mit PoE 15 3Com: Sprachqualität und Komfort 15 Novell: Mit Fokus auf Linux 16 SonicWALL: Sicherheit und Produktivität im mobilen Büro 16 SonicWALL: Intrusion Prevention Service 17 THEMA DES MONATS HOTLINE PRAXIS Wireless Future Sicherheit und QoS mit i und e SOLUTIONS VORSCHAU 18 Zur Zeit arbeitet das IEEE an den Standard-Erweiterungen i und e. Erhöhte Sicherheit und QoS stehen im Mittelpunkt. Sie sollen dem WLAN zu neuem Glanz verhelfen. In Zukunft wird das Robust Security Network erweiterte Authentifizierungs- und Verschlüsselungsverfahren nutzenum Eindringlinge außen vor zu lassen. Neue Patches in der Übersicht 28 Microsoft: Kernel und HAL beim Systemstart von Windows 2000 und XP 30 Computer Associates: BrightStor ARCserve Backup R11 für Windows 32 Tobit: Port-Auslagerung mit DvISE 33 Cisco: Access-Listen auf Cisco Routern 34 Novell: Probleme mit dem imanager auf Netware 6.5 Server 36 BinTec: Automatisches Router-Backup mit BRRP 38 Über VoIP gesprochen: Leistungsmerkmale der innovaphone PBX Nortel Networks, BayStack 5510, Teil 2: Security Features und EAPOL 42 Backup und Storage: Tandberg ValuNAS - Backup-Server mit RAID n 44 Enterasys Networks: Secure-Networks, nicht nur Netzwerksicherheit 48 Training, Support und Projekte 7,31,46,50 Messen, Roadshows, Termine 51 Herausgeber: Telefon: Telefax: Electronic Mail: Redaktion: Hotline und Patches: Verantwortlich für den Inhalt: Erscheinungsweise: Bezugsquelle: Layout und Titelbild: Druck: Lektorat: COMPU-SHACK Electronic GmbH, Ringstraße 56-58, Neuwied 02631/ / COMPU-SHACK.COM Heinz Bück Jörg Marx Heinz Bück monatlich 1 Heft Bezug über COMPU-SHACK Electronic GmbH Jahres-Abonnement zuzüglichmwst.: Inland: 60,84 Ausland: 86,41 Marie-Luise Ringma Görres-Druckerei, Koblenz Andrea Briel Anja Dorscheid Reproduktionen aller Art (Fotokopien, Mikrofilm, Erfassung durch Schrifterkennungsprogramme) - auch auszugsweise - nur mit schriftlicher Genehmigung des Herausgebers. Wir möchten uns nachträglich bei all denen bedanken, die durch die freundliche Zusammenarbeit das Erscheinen dieser Zeitung ermöglicht haben. Als Informationsquelle dient uns auch das Internet. Wenn Sie speziell über Ihre Erfahrungen referieren möchten, bieten wir Ihnen dies unter der Rubrik Hotline an. Selbstverständlich kann COMPU-SHACK die einwandfreie Funktion der vorgestellten Patches und Tips nicht garantieren und übernimmt keinerlei Haftung für eventuell entstehende Schäden. Die Liste aktueller Updates zu Microsoft, Novell, BinTec, Goldline, Computer Associates und Veritas finden Sie auf Seite Ausgabe /20

3 A K T U E L L CEBIT REVIEW a A K T U E L L M Vorbei der Rummel Mehr als erwartet und aufwärts gewandt Von Heinz Bück Die CeBIT hat allen Unkenrufen zum Trotz ihren einmaligen Status als die weltweit größte und wohl auch bedeutsamste IT-Fachmesse behauptet, als technologischer Trendmesser wie als Wirtschaftsbarometer. Die Stimmung in der Branche ist verhalten bis vorsichtig optimistisch. Angesichts der konjunkturellen Signale ist Zuversicht spürbar, daß nach dem Durchschreiten der wirtschaftlichen Talsohle der Anstieg nun beginnen kann. Mit immerhin Ausstellern zählte die CeBIT 20 gut 200 Firmen weniger als 2003 unter ihrem Dach. Nach dem Rückgang der Vorjahre und den anfangs nur erwarteten Ausstellern wurde diese schließlich doch überraschend große Zahl allenthalben als ein positives Signal gewertet, und wer wäre in diesen Zeiten für angenehme Nachrichten nicht empfänglich? Doch nach der Talfahrt der letzten Jahre kennzeichnet die Seelenlage der Branche derzeit wohl eher ein nüchterner Realismus als bedingungslose Zuversicht, zurecht! Aufwärts Die Talsohle scheint für die meisten durchschritten. Allmählich gehe es wieder bergan, so der allgemeine Tenor. Aber Zweckoptimismus ist nun wirklich nicht gefragt, wenngleich er zum Ritual gehört, und traditionsgemäß auch in diesem Jahr die Spitzen der Politik in Hannover angetreten waren, um für gute Stimmung zu sorgen, der Bundeskanzler gleich vorneweg. Gerhard Schröder jedenfalls sagte in seiner Eröffnungsrede, er und seine Regierungsmannschaft wollten Deutschland verstärkt auf den Weg in die Informationsgesellschaft führen. Wehe dem, der Böses dabei denkt. Aber schließlich erwartet Schröder auch von der LKW-Maut, daß die deutsche Industrie dabei nicht nur ein Gesellen-, sondern ein Meisterstück abliefere. Damit ist er keineswegs allein, denn auch Bitkom-Präsident Willi Berchtold lobte nicht nur Großprojekte wie Bund Online, sondern auch das Maut-Projekt, trotz aller Probleme. Wenngleich sich manch unbedarfter Zuhörer fragte, was es - außer Problemen - dazu eigentlich sonst zu vermelden gab. Verzichten wir also auf Trost und Tröster und halten uns an Trends und Fakten, denn wer aus der Talsohle will, muß schon selber marschieren. Trendsetter Es geht in der Tat langsam aufwärts, das prognostizieren Verbände und Institute. Nach Angaben des Bundesverbands BITKOM wird die ITK- Branche im laufenden Jahr um 2,5 Prozent zulegen. Den Fachhandel wird das freuen. Daß mehr Aussteller als erwartet die CeBIT 20 nutzten, um ihre Produkte dem internationalen Fachpublikum zu präsentieren, ist ebenfalls ein gutes Zeichen. Mit Quadratmetern Ausstellungsfläche bestätigte die CeBIT nicht nur ihre führende Stellung in der Welt, sondern auch die Entschlossenheit der internationalen Herstellerschaft, ihre Produkte in den Markt zu bringen. Die Innovationskraft ist jedenfalls ungebrochen. Unverkennbar öffnet sich die CeBIT dabei auch der Unterhaltungselektronik, ob bei Flachbild- und Projektionsgeräten, Heimkino-Systemen, Digitalkameras oder MP3-Playern. Mit einem verstärkt auf Multimedia fixierten Markt und dem Home-Entertainment sollen neue und vor allem junge Käuferschichten angesprochen werden. Gleichzeitig - und fast gegenläufig - besteht bei Unternehmenskunden ein nicht zu verkennender Trend zu fundierten Lösungsangeboten, die ausdrücklich die Kostenstrukturen mit reflektieren. Nicht umsonst ist gerade der Mittelstand im Visier der vielen Anbieter. Network Business Was den Netzwerkmarkt betrifft, so sieht die Compu-Shack sich darin bestärkt, daß Network Security, Voice over IP, Wireless LAN und Storage 20 bei den Unternehmen wie auch bei den Herstellern die zentralen Themen bilden werden, allesamt Bereiche, die realistischerweise deutliche Zuwächse erwarten lassen. Für viele Unternehmen werden Security- und moderne Storage-Lösungen ein vornehmliches Anliegen sein, das die einschlägigen Hersteller inzwischen mit interessanten und preiswerten Lösungen bedienen können. Voice over IP hat - nach langen Vorschußlorbeeren - inzwischen alle Optionen, die lang gehegten Erwartungen zu erfüllen, weil die Technologien überzeugen. Besonderen Zuwachs wird auch Wireless LAN zeitigen, nicht zuletzt aufgrund der kommenden neuen Standards für QoS und Sicherheit im drahtlosen Netzwerk. Nachdem wir letztens im Vorfeld der CeBIT unseren traditionsgemäßen virtuellen Rundgang gestartet hatten, finden Sie im folgenden weitere Streiflichter auf einige interessante Messepräsentation führender Netzwerkhersteller. Ausgabe /20 3

4 A K T U E L L a A K T U E L L MESSE - STREIFLICHTER CeBIT Review Herstellerthemen im Fokus Allied Telesyn In diesem Jahr präsentierte Allied Telesyn in Halle 13 Neuvorstellungen für Enterprise-Kunden jeder Größe, Netzwerklösungen aus einer Hand, die für große, komplexe Organisationen bestimmt sind. Allied Telesyns Core Switching Plattformen für hochverfügbare zentrale Netzwerkinfrastrukturen sowie das umfassende Portfolio an Routern und managebaren Switches zur Anbindung von Zweigniederlassungen soll den Unternehmen überschaubare Kosten für Management und Instandhaltung ihrer Systeme sichern, bei gleichzeitiger Steigerung der Effektivität. Live-Demonstrationen für den Enterprise Bereich zeigten, wie Unternehmen ihren Anwendern höhere Bandbreite und Netzwerkintelligenz durch Quality of Service (QoS) und Application Layer Switching zur Verfügung stellen können. Für den Operator Markt zeigte ATI innovative Lösungen für den Aufbau von Metropolitan Area Networks. Diese Plattformen ermöglichen es Carriern u.a., moderne Video Services für private Haushalte wie auch für Unternehmenszwecke anzubieten. Enterasys Networks In Hannover stellte Enterasys Networks ihr Secure-Networks Konzept vor, eine unternehmensweite Lösung, die Sicherheitstechnologien direkt in eine verteilte Netzwerkinfrastruktur integriert. Alle sicherheitsrelevanten Komponenten arbeiten zusammen und sind automatisierbar (siehe Praxis). Sie stellen damit eine geschlossene Sicherheitsarchitektur dar, die auch noch einfach und effizient durch eine gemeinsame Managementoberfläche und durch ein einheitliches Policy-Management administriert werden kann. Darin werden weitere Lösungen wie Desktop Integritätskontrolle und Dynamic Response zu einem verteilten Intrusion Prevention System integriert. Das Gesamtsystem ist so offen gestaltet, so daß es in heterogenen Umgebungen eingesetzt werden kann und im WLAN oder Wide Area Network über VPN zur Verfügung steht. Secure Networks ist in der Lage, aktiv auf neue Bedrohungen zu reagieren, damit direkt am Eingangspunkt der Infrastruktur die Ausbreitung von Würmern z.b. unterbunden werden kann. Enterasys verbindet dafür das eigene User Personalized Networking mit der Intelligenz des IDS Systems Dragon Intrusion Defense, das sowohl ein Network IDS/IPS als auch ein Host IDS/IPS beinhaltet. Mit diesem ganzheitlichen Ansatz können Unternehmen ihre Netze redundant und sicher machen und somit für Business Continuity sorgen. LANCOM CeBIT Besucher konnten sich bei LANCOM erstmals über die neuen Telefoniemöglichkeiten über VPN- und Wireless LAN Verbindungen informieren. Eine strategische Zusammenarbeit zwischen LANCOM Systems und Swyx zielt auf die Weiterentwicklung von Sprachübertragung im Internet. Während die LANCOM innovative VPN- und Wireless LAN Infrastruktursysteme anbietet, ist Swyx als Anbieter von Software-Telefonanlagen auf die VoIP-Technologie spezialisiert. Beide Unternehmen planen und entwickeln speziell für die Anforderungen von Unternehmenskunden. Ziel ihrer Kooperation ist eine abgestimmte technologische Weiterentwicklung dieser Produkte, eine gemeinsame Vermarktung der Lösungen sowie eine technische Unterstützung der Kunden. Durch die Kombination von Produkten der LANCOM Systems und Swyx können Außenstellen, Home-Office- und mobile Telefonarbeitsplätze über DSL-Internet-Verbindungen in die TK-Infrastruktur integriert werden. Sprache und Daten laufen gleichzeitig über VPN-gesicherte Verbindungen. Erfolgt der Verbindungsaufbau ins Internet über einen Flatrate-Tarif ist eine deutliche Kostenersparnis möglich. Aus der Kooperation von LANCOM Systems und Swyx haben Fachhandel und Endkunden leistungsstarke, integrierte Lösung zu erwarten. Gleichzeitig erweitert die LANCOM ihre Produktpalette um eine weitere High-End-Lösung und stellte auf der CeBIT 20 eine zen- 4 Ausgabe /20

5 trale Firewall mit QoS-Funktionen und Dynamic VPN Gateway zur Vernetzung mittlerer und größerer Firmen vor. Der LANCOM 8011 VPN erlaubt die nahtlose Integration von Außenstellen, die Anbindung von Partnerfirmen oder die Bereitstellung von Remote-Einwahl für mobile Nutzer über VPN in ein Firmennetzwerk. Netgear Mit Enterprise, Wireless-, Powerlineund Home-Entertainment-Lösungen bot Netgear in Hannover das ganze Spektrum ihre Entwicklungen auf, und zeigte das komplette Portfolio aus den Bereichen LAN, WAN und WLAN. Managebare Layer-2 und -3- Switches gehörten ebenso dazu wie die neuesten Enterprise WLAN-Geräte und Router für die unterschiedlichsten Anforderungsprofile. Daß Netgear die Netzwerktechnologie bereits heute um anderen Anwenderszenarien im Bereich Home-Entertainment erweitert, belegten Neuerungen wie der Digitale Music Player MP101 oder der Wireless Media- Router WGT634U. Schon 2003 hatte Netgear eine neue Consumer-Produktserie aufgelegt. Als Highlights für die Netzwerkspezialisten jedoch waren eher die neuen Wireless Technologien mit 54 MBit/s bzw. 108 MBit/s oder die ersten managebaren Layer 3-Switches von Interesse, außerdem die Gigabit-Switches, Firewall- und VPN-Router-Lösungen. Um ein umfassendes Bild über ihr Produktportfolio vermitteln zu können, führte Netgear alle Switches in Live- Demonstrationen vor. Der Besucher konnte sämtliche Geräte im Einsatz vor Ort in Augenschein nehmen und sich von der Funktionsweise eines RADIUS-Servers, von VPN-Verbindungen, VoIP-Telefonie oder Power over Ethernet ein eigenes Bild machen. Nortel Networks Für Nortel Networks bleibt die CeBIT nach wie vor eines der wichtigsten Ereignisse der Informations- und Kommunikationsbranche. Gemeinsam mit ausgewählten Partnern stellte Nortel Networks das Business without Boundaries vor, für das die ganze Bandbreite der Netzwerkfähigkeiten wirksam eingesetzt wird, um Kundennetze umzuwandeln, Einschränkungen bei Leistungsfähigkeit, Produktivität und Wachstum zu beseitigen und neue Umsatz- und Servicemöglichkeiten zu schaffen. Ein Schwerpunkt des diesjährigen Auftritts im Bereich Enterprise war Konvergenz. Dazu präsentierten Nortel-Experten und Partner u.a. neue Lösungen für IP-Telefonie, Multimedia-Anwendungen und IP-Telefony Mobiltity, für Contact Center und Selfservices. Ein weiterer Fokus lag - neben der konvergenten LAN-Infrastruktur - aber auch auf sicheren WLAN-Architekturen. Live-Vorführungen auf dem Stand zeigten aus den verschiedenen Segmenten, wie Nortel Networks grenzenlose Geschäftsvision für Kunden Gestalt annimmt und in die tagtägliche Kommunikation Einzug hält. Novell Erstmals war Novell auf der CeBIT mit ihren beiden neuen Product Divisions SUSE Linus und Ximian vertreten, die ihre Open Source- und Linux-Lösungen vorstellten, u.a. Groupwise für Linux 6.5. Die Novell Kommunikations- und Collaboration-Lösung läuft künftig plattformübergreifend unter NetWare, Windows NT/2000 und Linux. Neben Ximian Evolution, der - und Workgroup-Information-Management-Applikation für Linux-basierte Systeme, unterstützt GroupWise 6.5 for Linux auch den GAIM Instant- Messenger-Client. Messepremiere hatte auch das SUSE Linux-Komplettpaket 9.1 für Privatanwender, mit Linux-Kernel 2.6 und Desktop KDE 3.2, das Ende April im Handel sein soll. Daneben steht Linux Enterprise Server 8, der mittelständischen und großen Unternehmen für verschiedenste Prozessorarchitekturen zentrale Server- und Netzwerkdienste liefert, die auch den Anforderungen im anspruchsvollen Rechenzentrumseinsatz hinsichtlich Skalierbarkeit und Verfügbarkeit gewachsen sind. Als strategischer Partner informierte u.a. auch Computer Associates über ihre Virenschutz und Backup-Lösungen, namentlich über BrightStor ARCserve Backup for NetWare, das eine Datensicherung und -wiederherstellung für verteilte Umgebungen mit Novell Backup-Servern ermöglicht. Tobit Software Nachdem Tobit Software mit ihrer MP3 Software ClipInc. eine legale Alternative für die Erstellung eigener MP3 Musiksammlungen vorgestellt hat, präsentierten die Ahauser in Hannover mit David V8 erstmals, wie man über die Funktionalitäten von Clip Inc. hinaus auch Videodateien aus dem laufenden TV-Programm automatisch aufzeichnen, kennzeichnen und in einzelne Sequenzen zerlegen kann. In David V8 wurden die gesamten Funktionen von ClipInc. integriert und erweitert. Wird der PC an ein Radio angeschlossen, kann David V8 die einzelnen Musiktitel aus einem Programm aufzeichnen und automatisch in die Musikarchive ablegen. David V8 extrahiert dabei die einzelnen Songs aus einer großen MP3 Datei, die aus der Aufzeichnung eines Radioprogramms entsteht. Die Kennzeichnung der Titel, Genres, Künstler sowie der Anfangs- und Endzeitpunkte bekommt das System über das Internet. Da David V8 bei der Aufzeichnung der Musikdateien kein Digital Rights Management (DRM) verwendet, ist die Verwendung der MP3 Songs auf so unterschiedlichen Geräten wie Handy, Note-book, PC oder MP3-Player möglich. Die Aufzeichnung von Videos aus dem TV-Programm erfolgt in ähnlicher Weise. Über die TV-Karte des PCs wird ein Programm aufgezeichnet. Zusatzinformationen über Inhalte des laufenden Programms erhält der Anwender über das Internet. David V8 wird im April in der Home Edition angeboten. Ausgabe /20 5

6 N E W S nn E W S CISCO D CallManager 4.0 Video-Telefonie auf IP-Basis Als weiteren Bestandteil ihres IP-Communications-Portfolios stellte Cisco die Software CallManager 4.0 für IP- Video-Telefonie vor. Die Lösung basiert auf der Architecture for Voice, Video and Integrated Data und bietet Conferencing- und Sicherheitsfunktionen sowie Erweiterungen für die System-Migration. Die Komponente Cisco Video Telephony (VT) Advantage Version 1.0 ermöglicht Telefonate mit Videoübertragung der Gesprächspartner in Echtzeit, mit einer am PC angeschlossenen Cisco USB-Kamera. Die gewohnten Funktionen wie Halten, Weiterleiten und Makeln von Verbindungen sind über das IP-Telefon auch bei Video Sessions anwendbar. Cisco VT Advantage ist zu verschiedenen Desktop- und festinstallierten Videoconferencing-Systemen kompatibel. Beispielsweise sind neue Videokonferenzlösungen von Tandberg für die Nutzung des Call Manager 4.0 ausgelegt, so daß Videoanrufe mit Cisco VT Advantage auch mit anderen Anwendungen getätigt werden können. Kunden können ihr bisheriges System weiter nutzen, da die Software auch zu H.323-Video- Endpunkten weiterer Cisco AVVID- Partner kompatibel ist. Integrierte Sicherheit Neue, digitale Zertifikate bestätigen die Identität der Netzwerkkomponenten zur Absicherung gegen unbefugte Nutzer. Gemeinsam mit einer neuen Verschlüsselungsmethode im CallManager 4.0 erweitern diese die Funktionen des Cisco Self Defending Network im Rahmen der IP-Kommunikation. Zudem sorgt der neue Cisco Security Agent (CSA) für den proaktiven Schutz von IP-Telefonen, Servern und Desktop-Computing-Systemen. Zum CSA-Schutz zählen nicht nur Host Intrusion Prevention, die Authentifizierung zur Anmeldung an IP-Telefone und eine Distributed- Firewall-Funktionalität, sondern auch Schutz gegen bösartigen dynamischen Code, Integritätssicherung des Betriebssystems sowie die Konsolidierung der Audit Logs. Diese Sicherheitsfunktionen erhalten Kunden des CallManager 4.0, der Cisco Unity und des Cisco IP Contact Center ohne zusätzliche Kosten. Multiprotokollfähig Der CallManager 4.0 unterstützt Q Signaling (Q.SIG) und SIP-Signalisierung (Session Initiation Protocol). Mit Q.SIG können Kunden ihre IP-Kommunikation mit herkömmlichen PBX- Anlagen und Finanzsystemen koppeln. SIP ermöglicht die Nutzung moderner Kommunikationssysteme wie Cisco MeetingPlace, den Cisco BTS Softswitch und Proxy Server verschiedener Anbieter. Cisco stellte den Cisco MeetingPlace 8106 inzwischen als Rich-Media-Conferencing- Server vor. Die Audio- und Web-Conferencing-Lösung MeetingPlace ermöglicht Nutzern die Teilnahme und Kontrolle der Web-Kommunikation mit Cisco IP-Telefonen, herkömmlichen Telefonen und PCs. Anwender können über das Display auf Cisco IP-Telefonen Terminpläne einsehen, Audiokonferenzen aufsetzen und in Echtzeit an Meetings teilnehmen. Die Software Cisco CallManager 4.0 mit Cisco Media Convergence Server 7815 I-2000 ist ab sofort erhältlich. Cisco VT Advantage 1.0 wird voraussichtlich im April verfügbar sein, der Cisco MeetingPlace 8106 Rich Media Conferencing Server ebenfalls. 6 Ausgabe /20

7 CISCO M D Express IP-Kommunikation für Filialen und kleine Büros Cisco Systems erweitert ihr IP-Kommunikations-Portfolio um neue Voice-, Video- und Content-Lösungen für kleinere Niederlassungen. Mit den aktuellen Versionen des CallManager Express und Unity Express bietet Cisco optimierte Kompatibilität, Erreichbarkeit und Flexibilität für Filialen und kleine Büros. Mit Cisco CallManager Express 3.1 wird ein kosteneffizientes IP-Kommunikationssystem zur Verfügung gestellt. Die neue Version ermöglicht eine Reihe von erweiterten Anrufbearbeitungs-Services wie Halten, Holen, Rufweiterleitung und Tag-/ Nacht-Service, Rufgruppen, Paging und Gegensprechfunktion zu anderen Filialen. Zusammen mit Cisco Unity Express 1.1 bildet der CallManager Express eine vollständige Sprachlösung mit Voic -Funktion und automatischer Anrufannahme. Die Express Sprach-Services werden als Erweiterung auf verschiedenen intelligenten Access Routern, wie den Cisco 1760, 2600XM und 2961 oder den 3700er Serien für Filialen und kleine Büros bereitgestellt. Neue Versionen Cisco CallManager Express und Cisco Unity Express bieten in den neuen Versionen 3.1 bzw. 1.1 erweiterte Kompatibilität und Flexibilität. Durch die Kompatibilität mit dem Cisco CallManager und aktuelleren Software-Versionen können Unternehmen eine breite Palette von zentral oder lokal verfügbaren IP-Kommunikations-Services nutzen, die ihre aktuellen und zukünftigen Anforderungen erfüllen. Mit einer einfachen Rekonfiguration kann der Cisco CallManager Express als SRST-Funktion (Survivable Remote Site Telephony) in einer zentral zur Verfügung gestellten Cisco-CallManager-Umgebung zur Redundanzerzeugung eingesetzt werden. Die Konfiguration und Funktionalität von Cisco Unity Express muß nicht verändert werden. Dadurch steht den Kunden ein einfacher Migrationspfad bei gleichzeitigem Investitionsschutz zur Verfügung. Darüber hinaus bietet der neue AIM-Formfaktor für Cisco Unity Express höhere Flexibilität durch das CISCO ACNS Version 5.1 Live und OnDemand Als Teil des Cisco IP-Kommunikationsportfolios bietet das Application und Content Networking System Unternehmen jeder Größe qualitativ hochwertige Live- und OnDemand-Video-Kommunikation, für Büros Niederlassungen und Filialen. Die aktuelle ACNS Version 5.1 ermöglicht auch eine umfassende Rich-Media-Kommunikation und erhöht gleichzeitig die Flexibilität, Erreichbarkeit und Sicherheit in Niederlassungen. Als Teil der Cisco-Business- Video-Lösung bietet ACNS 5.1 den Kunden einen Ansatz für Live- und OnDemand-IP-Video-Kommunikation - in einem Paket mit einem Werkzeug zur Inhaltserzeugung, der Netzwerkinfrastruktur und einem Web- Portal. Die Version ACNS 5.1 der Cisco IP/TV-Lösung ist darüber hinaus ISMA-konform (Internet Streaming Media Alliance) und verfügt über einen QuickTime- und ISMAkompatiblen Player sowie leistungsfähigere Hardware-Plattformen. Freiwerden eines Netzwerk-Modul- Slots und zusätzliche Einsatzmöglichkeiten. Cisco CallManager Express 3.1 ist bereits in Deutschland erhältlich, Cisco Unity Express schon Mitte April. Mit Sicherheit Neben IP-Video-Services ermöglicht ACNS 5.1 den Einsatz von URL-Filtern für höhere Netzwerksicherheit und Produktivität. Gleichzeitig wird die Verteilung von Sicherheits-Patches und Software- Updates beschleunigt und ein schnellerer Zugang zu neuen Dateien möglich. Cisco ACNS 5.1 läuft entweder auf netzwerkintegrierten Geräten oder routerintegrierten Netzwerkmodulen für die Cisco 2600er, 3600er und 3700er Serien und bietet auch dadurch Flexibilität bei der Einrichtung und Konfiguration. Das Cisco Application and Content Networking System 5.1 ist ab sofort verfügbar. Ausgabe /20 7

8 N E W S nn E W S BINTEC D VPN Access Linie Hochverfügbar und redundant Bintec hat auf der CeBIT ihre neue Produktfamilie VPN Access vorgestellt. Die Gateways bieten zahlreiche Mechanismen für ein sicheres und hochverfügbares Virtual Private Network sowie Load Balancing und vielfältige Backup- Möglichkeiten. Die neue VPN Access Linie umfaßt fünf Gerätetypen, die jeweils auf die individuellen Bedürfnisse von Unternehmen unterschiedlicher Größe ausgerichtet sind, um geschäftskritische Daten sicher und kostengünstig zwischen verschiedenen Standorten auszutauschen. Um so wichtiger ist es, daß die Kommunikation stets gewährleistet ist. Bintec bietet hierzu eine Fülle von automatischen Mechanismen, inklusive Load Balancing und Geräteredundanz. Neben der Highend IPSec Implementierung kommen bei der gesamten Produktlinie Verschlüsselungen nach dem Advanced Encryption Standard mit Schlüssellängen bis zu 256 Bit zum Einsatz. Da die Geräte auch Zertifikate zur eindeutigen Identifizierung der Kommunikationspartner unterstützen, ist der Aufbau einer Public Key Infrastruktur für höchste Sicherheit beim Verbindungsaufbau zwischen den Standorten möglich. IPSec und PPTP Verschlüsselungsfunktionen sind bereits in den Geräten vorhanden und müssen nicht mehr separat gekauft und aktiviert werden. Stärkere Prozessoren und größerer Speicher sichern die Zukunftsfähigkeit der Produkte. Redundanzen Bei allen Geräten der VPN Access-Linie mit drei Ethernet- Interfaces ist es möglich, zwei der drei Interfaces als WAN- Interfaces zu konfigurieren. Damit steht nicht nur mehr Bandbreite zur Verfügung, sondern auch die Möglichkeit, den Datenverkehr nach Last oder nach Datenart auf einzelne Leitungen zu verteilen. Im Falle einer Verbindungsstörung gewährleisten umfassende Backup- Mechanismen die reibungslose Kommunikation. Ermöglicht wird dies über ein ISDN-, ADSL-, SDSL-, GSM-, GPRS- oder Analog-Backup. So kann z.b. eine der Leitungen den gesamten Verkehr ins Internet bewältigen, während die zweite ausschließlich für den VPN Verkehr zuständig ist. Ebenso denkbar ist es, eine der Leitungen für den Betrieb eines Webservers zu nutzen. Dies kann z.b. eine preisgünstige ADSL-Leitung sein. In Verbindung mit DynDNS ist dann der Webserver trotz dynamischer IP-Adresse stets zu erreichen. Der zweite WAN-Port kann über eine zweite ADSL- oder gar SDSL-Leitung den sonstigen Datenverkehr Ihrer Firma übernehmen. Höchste Verfügbarkeit bietet auch das Bintec Redundanzprotokoll BRRP (siehe Hotline), mit dem sich zwei Geräte redundant betreiben lassen. Dank der implementierten Heartbeat-Funktion bietet die VPN Access Linie zudem die Möglichkeit, die ständige Verfügbarkeit des VPN- Tunnels zu überwachen, um im Bedarfsfall automatisch eine der Backup-Möglichkeiten zu aktivieren. Immer erreichbar Die VPN Access Gateways von Bintec unterstützen den Aufbau von VPN Tunneln auch ohne feste IP-Adressen. Dadurch können Niederlassungen, Teleworker oder mobile Mitarbeiter über dynamische IP-Adressen kostengünstig in das lokale Firmennetzwerk der Hauptgeschäftsstelle eingebunden werden. Der Austausch der IP-Adressen erfolgt dabei entweder über Dynamic-DNS Anbieter im Internet oder aber direkt über ISDN. So kann beispielsweise die Zentrale mit einer statischen IP-Adresse durch kostenlose ISDN Call-back-Verfahren jede Filiale zum Aufbau eines VPN-Tunnels veranlassen. Dadurch sind auch kleine Außenstellen, die nicht permanent online sind, stets erreichbar. Um Kosten zu sparen, unterstützen die BinTec Geräte das IPCOMP Verfahren, das nicht nur die Bandbreite erhöht, sondern je die Datenmenge bis zum Zehnfachen reduziert. Denn traditionelle Kompressionsverfahren wie VJHC, Stac oder MPPC lassen sich sowieso nicht auf IPSec-Pakete anwenden. Je nach Gerätetyp sind Tunnelanzahlen von 5, 25, 100, 250 und 1000 möglich. Bis auf VPN Access 100, das für das dritte Quartal angekündigt ist, sind die Geräte Ende April zu erwarten. Weitere Neuerungen gibt es für die Router der X-Generation, deren Funktionen durch das Software Release um Content Filtering, Alert und Load Balancing erweitert werden. Ebenfalls neu ist die Funktionalität PPPoE Server, die ab dem Release 7.1 in alle aktuellen Bintec Router implementiert ist. 8 Ausgabe /20

9 CISCO COMPU-SHACK T RAINING Power over Ethernet Line Cards und Module für Catalyst Geräte Die Catalyst Switches unterstützen ab sofort den IEEE 802.3af-Standard für Power over Ethernet. Cisco stellte dafür neue PoE-Line-Cards für die Catalyst 6500er und 4500er Serien vor. PoE-Optionen gibt es nun auch für den Catalyst 3750 und die neue Catalyst 3560er Serie von Standalone-PoE-Switches. Mit der Ratifizierung des 802.3af- Standards sind zahlreiche neue Geräte auf den Markt gekommen, Telefone, WLAN- und Bluetooth-Access- Points, aber auch webbasierende Sicherheitskameras oder Druckerserver. Die PoE-Unterstützung nach Standard IEEE 802.3af erlaubt die Übertragung von Gleichstrom über das Kupferkabel, um solche Geräte ohne eigene Stromversorgung in die bestehende LAN-Infrastruktur einzubauen. Dazu bringt Cisco neue PoE- Line-Cards und Switches für diverse Catalyst Serien auf den Markt. PoE-Optionen Für die Catalyst 4500er Serie gibt es ein 48-Port Modul für 10/100 bzw. 10/100/1000, die beide kompatibel zu allen Supervisor Engines sind und eine sehr hohe Portdichte für PoE-Installationen bieten. Darüber hinaus bringt Cisco für die Catalyst 6500er ein 96-Port-10/100-Modul für ein Slot mit einer optionalen 802.3af- PoE-Tochterkarte. Hinzu kommen PoE-Optionen für den Catalyst 3750 und die neue Catalyst 3560er Serie von Standalone-PoE-Switches. Cisco bringt innerhalb der 3750er Serie neue Modelle stapelbarer Switches mit StackWise-Technologie auf den Markt. Die neuen 10/100-PoE- Switches der 3560er Serie erhöhen die Einsatzmöglichkeiten von PoE mit stapelbaren und fixen 48- und 24- Port-10/100-Switchkonfigurationen. Beide Familien unterstützen Standard Multilayer Software Image oder Enhanced Multilayer Software Image für zusätzliche Flexibilität. Stromverwaltung Alle Cisco 802.3af-PoE-Produkte unterstützen die optionale IEEE- Funktion zur Klassifizierung von Strom. Damit können Switches Endgeräte ohne eigene Stromversorgung und die benötigte Menge an Strom erkennen. Cisco integriert Intelligent-Power-Management-Funktionen für die Stromversorgung. Die exakte Identifizierung des Strombedarfs jedes einzelnen Geräts und eine portbasierende Reservierung optimiert die Stromzuteilung für jeden PoE- Port, und dient u.a. auch der Priorisierung der Versorgung im Falle eines möglichen Strommangels im Switch. Die neuen PoE-Produkte unterstützen auch die PoE-Anwendungen vor der Standardisierung. Damit sind sie abwärtskompatibel zu Endgeräten wie den Cisco IP-Telefonen und WLAN Access Points. Das kürzlich vorgestellte Cisco IP-Telefon 7970G mit Farb-Touch-Screen etwa unterstützt sowohl den IEEE 802.3af- PoE-Standard als auch den Prä-Standard-PoE von Cisco mit einem reduzierten Stromzustand. Die neuen Produkte sind ab sofort in Deutschland verfügbar. Learning-Cards Eine Karte, die sticht Pünktlich zur diesjährigen CeBIT bringt Compu-Shack Training ihre Learning-Cards auf den Markt. Sie verschaffen Kunden mit erhöhtem Schulungsbedarf einen immensen Kostenvorteil. Es gibt vier verschiedene Kartenmodelle als Basic, Professional, Expert und Reseller. Vier neue Learning-Cards bieten Kunden der Compu-Shack Training nach dem Prepaid-Prinzip gestaffelte Preisvorteile und interessante Wahlmöglichkeiten. So erhält zum Beispiel der Inhaber der Professional-Card beliebig viele Trainings zum halben Preis, die er innerhalb eines ganzen Jahres besuchen kann. Denn alle Karten haben ab dem Ausstellungsdatum eine Gültigkeitsdauer von 365 Tagen. Learning-Cards Dem Inhaber der Basic-Card erhält bei Compu- Shack Training maximal acht Trainings seiner Wahl zum halben Preis. Die Basic kostet 2.900,- Euro. Professional-Cards - gegen Zahlung von einmalig 5.900,- Euro gelten sogar für beliebig viele Trainings zum halben Preis. Wer sich für die Expert-Card für ,- Euro entscheidet, ist zum Besuch von elf Trainings nach Wahl berechtigt. Diese drei Learning-Cards sind allesamt firmen- und personengebunden. Für große Firmen ist die Reseller-Card interessant. Im Gegensatz zu den drei oben erwähnten Karten ist diese zwar firmen-, jedoch nicht personengebunden. Die Reseller-Card hat einen Preis von ,- Euro und berechtigt zum Besuch von monatlich jeweils einem Training, ohne weitere Kursgebühren, nach freier Wahl und mit einem zusätzlichem Bonustraining pro Karte. Weitere Informationen hierzu erhalten Sie beim Compu-Shack Training Team unter der Rufnummer / bzw. 089 / für Süddeutschland. Ausgabe /20 9

10 N E W S nn E W S CS PRODUCTION Gigabit Ethernet Integration GIGAline 4016 und 4024 Websmart Switches Gleich zwei neue Switches mit integriertem Web-Management bietet die Compu-Shack Production in ihrer GIGAline 4000er Serie. Mit VLAN, Trunking, QoS-Funktionen und Port-Mirroring sind die kostengünstigen Websmart-Switches GIGAline 4016 und 4024 auf dem Markt. Z Zur einfachen Migration auf Gigabit- Ethernet präsentiert die Compu- Shack Production ihre beiden neuen Fast Ethernet Switches mit vier Gigabit-Uplink-Möglichkeiten. Der GIGAline 4016/4024 Websmart empfiehlt sich mit seinen 16 bzw. 24 Autonegotiation-Ports als schnelle, selektive Brücke zwischen individuellen Segmenten. Durch Nutzung des Storeand-Forward Verfahrens in Wire- Speed werden Latenzzeiten auf ein Minimum reduziert. Über die Base-TX Uplink-Ports lassen sich weitere Netzwerksegmente an den neuen Non-Blocking Switch zu einem High-Speed Netzwerk verbinden. Um höhere Distanzen zu überbrücken, verfügt der GIGAline 4016/ 4024 darüber hinaus über zwei MiniGBIC-Modulslots, die z.b. mit einem 1000-Base-FX Transceiver- Modul mit LC-Frontend ausgestattet werden können. Flexibel im Netzwerk Über das Web-Management lassen sich individuelle Port-Einstellungen wie Datenrate und Datenflußkontrolle sowie die Konfiguration von QoS, VLAN, Port-Mirroring und Trunking vornehmen. Ergänzend dazu können Anschlußstatistiken und der allgemeine Systemstatus über den Browser eingesehen werden. Außerdem wird eine leicht zu bedienende Konfigurations-Software kostenfrei mitgeliefert. Um eine flexible Aufteilung des Netzwerkes zu gestatten, bieten die GIGAline 4000 Switches Port-basierendes VLAN mit acht Gruppen sowie Trunking auf den 1000Base-TX Gigabit-Uplinks. Durch verringerte Möglichkeiten des Abhörens in einem Rundsendenetzwerk trägt der Einsatz von VLAN-Technologie zur Erhöhung der Sicherheit im lokalen Netzwerk bei, weil Daten nur zu den vertrauenswürdigen Benutzern innerhalb der VLAN-Gruppe übermittelt werden. VLANs können zudem zur Schaffung mehrfacher Broadcast-Domänen eingesetzt werden, was den D CS PRODUCTION Drahtlos Druck WAVEline Printserver Combo Der neue WAVEline Printserver ermöglicht eine völlig flexible Nutzung von Druckerdiensten. Denn er kann die Vorteile der Wireless-Technologie nutzen und seinen USB- oder seriellen Drucker unabhängig von Netzwerk- und Druckerverbindungen plazieren. Der WAVEline Printserver ermöglicht einen mobilen Druckerzugriff mit dem Notebook über eine drahtlose Bedarf kostenintensiver Router eliminiert und die Netzwerkperformanz erheblich erhöht. Prioritäten Über die QoS 2-Level Priorisierung können wichtige Verbindungen wie Serveranbindungen mit einer höheren Priorität versehen werden, um eventuelle Engpässe zu verhindern. Um im laufenden Netzwerk die Diagnose zu erleichtern, bietet der GIGAline 4016/24 die Möglichkeit, über die Port-Mirroring-Funktion den Netzwerkverkehr zu spiegeln und mit einer Sniffer-Software eine Analyse des Netzwerkverkehrs auch in einer geswitchten Umgebung vorzunehmen. Alles in allem also, eine weitere technisch ausgereifte Lösung für die Gigabit Ethernet Integration. Verbindung und stellt gleichzeitig einen leistungsfähigen Druckerdienst für drahtgebundene Netzwerk- 10 Ausgabe /20

11 teilnehmer für den 10/100MBit Auto- Negotiation-Anschluß (RJ-45)bereit. Er sorgt damit für Kostenersparnis durch die gemeinsame Nutzung von Drucker-Ressourcen sowie eine erhebliche Performance-Optimierung durch die Auslagerung der Druckerdienste auf einen Printserver. Die Protokollunterstützung für TCP/IP, SMB, AppleTalk und NetBEUI sowie die Unterstützung aller gängigen Druckermodelle macht das Gerät vielseitig einsetzbar. Die mitgelieferte Software ermöglicht eine rasche Installation. Eine Remote-Management-Software für Printserver und Drucker und ein integriertes Web-Interface zur bequemen Konfiguration über den Browser ermöglichen die Konfiguration von allen gewünschten Standorten. Noch problemloser wird die Verwaltung des Printservers durch die Bi-Admin Unterstützung. Mit dem IPP (Internet Printing Protocol) wird auch das Drucken über möglich. Das IEEE b WLAN Interface arbeitet mit 11MBit/s, unterstützt den Ad-hoc- und Infrastruktur-Modus sowie eine WEP128 Datenverschlüsselung. Eine Patch-Antenne mit 2dbi Antennengewinn gehört ebenfalls dazu. CS PRODUCTION Websmart SWITCHline 16A/24A In der SWITCHline der Compu-Shack Production bieten die neuesten Websmart-Modelle 16A/24A ab sofort eine kostengünstige Lösung für die Fiber-Optic Migration. Die Geräte sind leistungstechnisch für den SMB-Bereich ausgelegt und versprechen eine hohe Kundenzufriedenheit durch die robuste GOLDline-Qualität. M Mit neuen SWITCHline 16A/24A Websmart Switches stellt die Compu-Shack Production eine kostengünstige Switch-Lösung mit Web-Management für die Fiber-Optic Migration bereit. Die beiden Store-and-Forward Switches sind durch ihre blockierungsfreie Architektur für Backbones und Hochgeschwindigkeits-Arbeitsgruppen konzipiert und als 16- bzw. 24-Port-Modell mit je zwei FO-Uplinks erhältlich. Die Auto-Negotiation-Funktion...Erreichbar Ticker GPRS, UMTS und WLAN:Cisco Systems, T-Mobile und Intel starten ein länderübergreifendes Pilotprojekt an, um das Potential mobiler Geräte aufzuzeigen, die verschiedene Zugangstechnologien nutzen. Die Zusammenarbeit soll demonstrieren, wie Netzwerk-Technologien nahtlos mit unterschiedlichen Anwendungen und Geräteplattformen arbeiten, damit Anwender unabhängig von ihrem Standort von einem komfortablen Netzwerkzugriff profitieren. Ein dreimonatiges Pilotprojekt erstreckt sich auf Deutschland, Großbritannien und die USA, mit je 30 ausgewählten Testteilnehmern pro Land in unterschiedlichen Szenarien. Während T-Mobile in den USA Laptop-Anwendern WLAN-Zugriff über seinen HotSpot-Service bietet, nutzen Anwender in Großbritannien WLAN und GPRS (General Packet Radio Service). In Deutschland wird der Zugang über WLAN, GPRS und GSM (Global System for Mobile Communications) mit Laptops, MDA2 PDAs und Mobiltelefonen getestet. Das Pilotprojekt wird in der zweiten Phase um den UMTS-Zugriff erweitert. sorgt für eine individuelle Anpassung an die bestmögliche Datenrate der angeschlossenen Komponenten. Die Geräte unterstützen portbasierendes VLAN und Trunking. Fiber-Optic Migration Der Einsatzbereich dieser Fast-Ethernet-Switches reicht von Fiber-Optic Backbone-Strukturen bis zur Migration von Hochgeschwindigkeits-Arbeitsgruppen auf Glasfasertechnik. Für die Nutzung der 100 MBit/s Fiber- Optic Technologie bietet die Compu-Shack Production ein Multimode- (MMF) Fiber-Optic-Modul an, mit dem ein Switch bei Bedarf erweitert werden kann. Die optional erhältlichen FO-Module für Multimode sind entweder mit einem Duplex-SC oder -ST Fiber-Frontend ausgestattet und können Strecken bis zu 2 km über Glasfaser überbrücken. Web-Management Die Einstellungen für Systemdaten, IP-Konfiguration, Port sowie für VLAN und Trunking können bequem über das integrierte Webmanagement durchgeführt werden. Die Websmart Switches verfügen des weiteren über eine Auto- MDI-X Funktion auf jedem Port, so daß 1:1-Kabel wie auch gekreuztes Kabel zum Einsatz kommen kann. Die robust konzipierten Switches sind mit ihren kompakten Maßen gleichermaßen als Tischgerät oder zur Installation in einem 19-Zoll-Schrank geeignet. Ein entsprechendes Montagekit ist im Lieferumfang enthalten. Ausgabe /20 11

12 N E W S nn E W S DENIC LANCOM SYSTEMS Was Rang und Namen hat B Die Ökos waren vorn - Schröder ist weg Die Einführung der Umlaut-Domains im März hatte den Charakter eines virtuellen Winterschlußverkaufs, wie ihn der Einzelhandel nur erträumen kann. Im Run auf die Internationalized Domain Names unterhalb der deutschen Top Level Domain.de waren im Nu Aufträge eingegangen. Der DENIC zufolge wurde öko.de die erste Domain mit Umlauten, gerade noch rechtzeitig, bevor die Server unter dem Ansturm zusammenbrachen. Bereits am ersten Tag der Registrierungsmöglichkeit für die Internationalized Domain Names (IDNs), in denen nun auch Umlaute und Akzente erlaubt sind, herrschte eine so rege Nachfrage, daß laut DENIC am 1. März 20 bis Uhr bereits Registrierungsaufträge eingegangen waren, mehr als Domains seien in den ersten 48 Stunden registriert worden. An normalen Tagen hat man es mit nur einigen Tausend Registrierungswünschen zu tun. Obschon sie intensiv auf den großen Run vorbereitet war, hatte die Registrierungsstelle aber schon gleich zu Beginn mit großen technischen Problemen zu kämpfen, kam nach wenigen Minuten ganz ins Stocken und mußte den Mitgliedern mitteilen, daß man die Registrierung wegen Hardware- Problemen vorerst stoppen müsse. Um Uhr gab es dann den zweiten Anlauf. Um Punkte Beim Kampf um die Punkte soll die erste deutsche Domain mit Umlaut nach Beteuerungen der DENIC wirklich öko.de gewesen sein, die bereits kurz nach dem Start um 10 Uhr eingetragen war. Schnell vergeben waren offensichtlich auch andere begehrte Namen wie müller oder krüger.de, und auch schröder war offensichtlich schnell weg. Nach allen sportlichen Gepflogenheiten und dem Prinzip first come, first served wurde stolzer Domain- Inhaber nur der, dessen Auftrag als erster beim automatischen Registrierungssystem eintraf. Inzwischen kann die IDN-Startphase als abgeschlossen gelten Domain-Aufträge für Umlaut- Domains sind bearbeitet. Nachdem in Deutschland und der Schweiz, die übrigens neue Domain- Namen innerhalb der ersten 24 Stunden neu registrierte, die meist begehrten IDNs als geplündert angesehen werden können, hatte Österreich am 31. März ebenfalls die große Chance auf alles, was Pünktchen, Rang und Namen hat, und sich - einmal reserviert - natürlich auch versilbern läßt. Der überwiegende Teil der frisch reservierten de-domains soll jedenfalls schon wieder zum Verkauf stehen. Mit Umlaut? Wer immer noch wissen will, ob eine Domain noch frei ist, kann die Domain-Abfrage unter bemühen. Eine Adresse im Browser selber einzugeben, wird aber bei den meisten zur Ernüchterung beitragen. Microsoft s Internet Explorer vermag mit den Umlaut-Domains gar nichts Rechtes zu beginnen. Netscape hingegen hat ab der Version 7.1 mit Umlauten offensichtlich keine Probleme. Interessierte IE-Anwender können sich derzeit jedoch mit einem Plug-In unter behelfen. D VPN Offensive Upgrade kostenlos Mit Erscheinen der neuen Version 3.32 des LANCOM Operating System (LCOS) unterstützen alle LANCOM VPN-Router der Modelle 1611, 1621, 1811 und 1821 serienmäßig fünf VPN-Kanäle. Bereits ausgelieferte Modelle können rückwirkend mit dem Einspielen des neuen LCOS kostenlos aufgerüstet werden. Durch die Integration der VPN-Funktion in die LANCOM Router ergibt sich unterm Strich eine deutliche Preisreduzierung. Alle Besitzer eines LANCOM-Routers mit bereits freigeschalteter 2-Kanal VPN-Option erhalten mit dem Einspielen des neuen LCOS ein ebenfalls kostenloses Upgrade auf fünf Kanäle. Gleichzeitig reduziert LANCOM den Preis für die 25-Kanal VPN-Option. QoS und VLAN Neben zahlreichen Detailverbesserungen bietet die LCOS Version 3.32 für alle LANCOM-Geräte eine Reihe von neuen Features. Mit IP Quality of Service (QoS) können 12 Ausgabe /20

13 sende- und empfangsseitige dynamische Mindestbandbreiten und eine automatische Paketgrößenanpassung für optimale VoIP- Sprachqualität bei VPN-Standortkopplungen realisiert werden. Das N zu N Mapping (N:N) ermöglicht es, Netze mit gleichen privaten Adreßbereichen miteinander zu koppeln oder eindeutige Geräteadressen für die Geräteüberwachung und das Gerätemanagement in größeren Installationen zu erzeugen, um damit die zentrale Verwaltung erheblich zu vereinfachen. Mit Hilfe der nun integrierten VLAN-Unterstützung nach IEEE 802.1p/q ist es möglich, unterschiedliche Ethernet-Segmente mit einer physikalischen LANund WLAN-Infrastruktur zu erstellen. Die VLAN-Priorität erlaubt dabei QoS für WLAN-Strecken, für die die Datenratenübertragungsraten außerdem durch einen optimierten Sendealgorithmus deutlich verbessert werden konnten. Konfigurations-Tools Das LCOS-Update enthält die ebenfalls neue Version 3.32 der Konfiguration- und Überwachungs-Software LANtools. Mit LANconfig können mehrere Geräte gleichzeitig komfortabel (fern-)gewartet werden. Hierzu werden alle gewünschten Geräte einfach nur selektiert, woraufhin LAN config für die getroffene Auswahl alle Aktionen nacheinander durchführt. Zur bequemen Verwaltung lassen sich die Geräte auch zu Gruppen zusammenfassen. Ein neues Statusfenster ermöglicht zudem mit erweiterten SNMP-Traps die Geräteüberwachung großer komplexer Installationen auf einen Blick. Unter anderem läßt sich der Status der VPN-, WAN-, LAN, und WLAN-Verbindungen detailliert anzeigen. Bei Fehlern wird dem Administrator die Ursache in Klartext angezeigt, was die Problemlösung deutlich vereinfacht. Mit dem LCOS-Update von LANCOM Systems kann jeder LANCOM, ELSA LANCOM und Telekom T-Octopus LAN Router oder Access-Point aufgerüstet werden. Es ist ab sofort und nur unter im Internet verfügbar. L LANCOM SYSTEMS ADSL - WLAN - VPN Office-Kommunikation und Filialanbindung LANCOM Systems präsentierte auf der CeBIT 20 zwei ADSL-WLAN-VPN- Geräte für die professionelle Kommunikation. Die Kombi-Router LANCOM 1521 und 1821 bringen alles mit, was für die Filialanbindung und Office- Kommunikation notwendig ist: ADSL-Modem, 4- Port-LAN, WLAN und ISDN sämtlicher Schnittstellen. LANCOM s Komplettlösungen richten sich an kleine und mittelständische Unternehmen, die leistungsfähige Breitband-Technologie für ein lokales Netzwerk, die Vernetzung verschiedener Standorte oder die Anbindung von Teleworkern einsetzen wollen, sowohl mit, als auch ohne Kabel. Der 1821 Wireless ADSL bietet neben einem umschaltbaren a/b/g- Dualband-Funkmodul alle Möglichkeiten eines fest eingebauten VPN, mit fünf Kanälen gleichzeitig, was eine hohe Sicherheit bei der Filialanbindung und WLAN-Verbindungen garantiert. Die Datensicherheit wird bei den Geräten standardmäßig durch Funktionen wie IEEE 802.1x, WEP152 und MAC-Adress- Filter gewährleistet, wodurch auch ein Einsatz in sicherheitskritischen Bereichen möglich ist. LANCOM 1821 Wireless ADSL Mit dem 1821 Wireless ADSL verbindet LANCOM ein VPN-Gateway, ein ADSL-Zugangsgerät, bewährte Router-Funktionalität und einen Dualband-WLAN Access Point zu einer Komplettlösung für alle Kommunikationsanforderungen im Unternehmen. Sie bietet schnelle drahtlose Kommunikation mit bis zu 108 MBit/ s nach IEEE a im 5 GHz-Band oder 54 MBit/s im 2,4 GHz-Band nach Standard IEEE b/g. Statt der Dualband-Diversity lassen sich andere Antennen aus dem LANCOM-Portfolio anschließen. Bereits integriert ist die IPSec-over-WLAN Verschlüsselung der Funkstrecke, die auch ohne zusätzlichen Server oder Gateway direkt im AP terminiert wird. Der Router erlaubt bis zu fünf gleichzeitige VPN-Verbindungen, ein Upgrade von sogar 25 Verbindungen, sowie die Nutzung der eingebauten Hardware-Beschleunigung. Eine leistungsfähige Firewall gehört ebenso dazu wie Monitoring-, Accountingund Content-Filterfunktionen. Und sollte ADSL einmal ausfallen, wird automatisch eine Einwahl über ISDN vorgenommen, worüber auch die üblichen ISDN-Anwendungen für die Bürokommunikation laufen. LANCOM 1521 Wireless ADSL Mit dem Wireless Kombigerät 1521 und seinem integrierten ADSL-Modem bietet LANCOM eine Erweiterung des erfolgreichen 1511 Wireless DSL an, die mit einer Datenübertragungsrate von bis zu 54 MBit/s nach Standard b/g die drahtlose Einbindung von Notebooks ins Netzwerk erlaubt. Mit seiner ISDN- Schnittstelle ist der LANCOM 1521 Wireless DSL ideal für den Einsatz als Internet Gateway in kleinen und mittleren Unternehmen geeignet. Der LANCOM 1521 wird wie der 1821 ab Mai 20 erhältlich sein. Beide Geräte unterstützen das T-DSL der Telekom wie auch proprietäre Standards für ADSL-over-ISDN und können so an allen ADSL-Anschlüssen in Europa eingesetzt werden. Ausgabe /20 13

14 N E W S nn E W S NETGEAR D Managebar Gigabit-Switch GSM7224 Netgear führt einen neuen Layer-2 Gigabit-Switch im Portfolio. Der GSM7224 verfügt über 24 durchgängig Nonblocking Gigabit-Kupfer-Ports. Alternativ stehen vier Small Form-factor Pluggable (SFP) Gigabit-Anschlüsse für die Anbindung an Glasfasernetzwerke zur Verfügung. Der GSM7224 bietet dank seiner 24 Gigabit-Ports eine dedizierte Bandbreite von 48 GBit/s. Alle 24 Kupferports sind durchgängig auto-sensing-, auto-uplink- und auto-negotiationfähig. Alternativ stehen werksseitig vier SFP-Anschlüsse für Glasfaser- Gigabit sowie ein RS-232 Konsolenport zur Administration zur Verfügung. Der Switch kann befehlszeilenorientiert, über die graphische Benutzeroberfläche oder via Fernzugriff in einer Telnet-Sitzung administriert werden. Er unterstützt sämtliche Layer-2 Spezifikationen zur Administration und ist somit gleichermaßen für den Einsatz als Backbone für 10/ 100 MBit/s-Switches, für Gigabit-Server oder für durchgängige Gigabit- Netzwerke geeignet. Administration Dank seiner schmalen Bauhöhe von 1U läßt es sich in bestehende 19-Zoll- Schränke platzsparend integrieren. Die Administrationsmöglichkeiten des GSM7224 umfassen die gesamte Bandbreite der Spezifikationen für Layer-2 Switches für die Fehlererkennung und -analyse, die Kapazitätsplanung und das Datendurchsatz-Management. Er verfügt über SNMP- und RMON-Funktionen, kennt Class of Service, Spanning Tree, Port Trunking, Port Mirroring und Traffic Priorization und unterstützt bis zu 224 VL ANs. Zu seinem Funktionsumfang gehören weiterhin IGMP, DiffServ und Broadcast Storm Control. Das Gerät ist für die Administration von bis zu MAC-Adressen ausgelegt. MICROSOFT Bestrebt Top Level Domain für mobile Internet-Adressen Microsoft hat Anfang März mit Unternehmen der Mobilfunkindustrie eine Vereinbarung unterzeichnet, die eine mobile Top Level Domain zum Ziel hat. Nach ihrer Genehmigung durch die ICANN will Microsoft sie gemeinsam mit Kooperationpartnern wie Nokia, Vodafone, HP, Sun Microsystems u.a. verwalten. Falls die Bewerbung der Unternehmen der Mobilfunkindustrie für die mobile Top Level Domain erfolgreich sein sollte, haben sie sich bereits darauf verständigt, zur Verwaltung der mobile TLD ein Joint Venture zu gründen. Es wird die Vergabe von neuen mobilen TLD- Adressen übernehmen. Die Kooperation, der sich in nächster Zeit weitere Unternehmen anschließen sollen, will das Angebot von mobilen Anwendungen und Services schnell erweitern. Mit der mobilen TLD soll der Zugriff und die Nutzung von Internet-Inhalten von unterwegs vereinfacht werden. Webseiten auf mobilen Endgeräten sollen sich schneller aufbauen lassen, Nutzer auf Services leichter zugreifen können. Mobilfunk und Internet werden miteinander verbunden, wobei End-kunden vom erhöhten Komfort und die Mobilfunkbranche vom mobilen Internet-Anwender profitieren sollen. Die Bewerbungsrunde bei der ICANN(Internet Corporation for Assigned Names and Numbers) sollte Mitte März bereits abgeschlossen sein. Von der neuen Top Level Domain erhofft sich die Industrie, daß die mobile Nutzung des Internets ansteigen wird, weil sie einfacher und effizienter wird. Denn auf die TLD soll der Anwender sowohl über den Dienst eines Mobilfunkanbieters als auch über Internet-Service-Provider zugreifen können. 14 Ausgabe /20

15 NETGEAR Stromversorger Managebarer Layer-3 Switch FSM7326P mit PoE Netgear bietet ihren neuesten Layer 3-Switch FSM7326P mit Power over Ethernet an. Um kompatible Endgeräte wie Access Points oder Telefone über den Switch mit Strom zu versorgen, wird die PoE-Funktion von jedem der 24 integrierten 10/100-Ports wie auch von den beiden Gigabit-Anschlüssen unterstützt. Mit dem FSM7326P stellt Netgear nun auch innovative PoE-Funktionalität nach IEEE 802.3af bereit, um das Netzwerk mit neuen Technologien auszubauen. Dazu bietet der FSM 7326P das komplette Set an Layer-2 und Layer-3-Funktionen, unterstützt QoS und moderne IP-basierte Services. Dazu gehören Multiple VLANs, Bandbreitenlimitierung und Zugangskontrollfunktionen, um IP- Telefonie oder Videoconferencing sicher zu implementieren. Subnetze und zuverlässige, standardbasierte Sicherheitsprotokolle trennen beispielsweise Wireless Access Points und Video-Überwachungsgeräte sauber voneinander ab und schützen zudem gegen potentiellen Mißbrauch kritischer Daten. Durchsatzstärke Die Gigabit-Ports garantieren einen Hochleistungs-Datendurchsatz für Server oder Backbones. Denn neben den 24 10/100-Anschlüssen können zwei weitere Gigabit-Ports serienmäßig für Gigabit-Kupfer-Leitungen genutzt werden und wahlweise - mit Hilfe eines GBIC-Modules - alternativ auch für Gigabit-Glasfaser-Verbindungen. Die Ports sind allesamt nonblocking, was dem Gerät zu einem Bandbreitendurchsatz von 8,8 Gbit/ s verhilft. Weitere Funktionen des FSM7326P sind Fehlererkennung, Fehleranalyse, Kapazitätsplanung und Datendurchsatz-Management. Darüber hinaus verfügt der FSM 7236P Layer-3 Switch über Class of Service, Management-Features für SNMP und Remote Monitoring (RMON), für Port Trunking, VLAN, D 3COM Internet Group Multicast Protocol (IGMP), DiffServ und Broadcast Storm Control sowie Funktionen für Spanning Tree, Port Mirroring und Traffic Priorization. Datenflußsteuerung auf der Basis des IEEE 802.x- Standards vermeidet zuverlässig Paketverluste. Zum Lieferumfang gehören ein Nullmodem-Kabel und ein Rack-Mount-Kit für den Einbau in einen 19 Schrank, optional wird eine Redundand Power Supply (RPS)-Port für alternative Stromversorgung angeboten. IP Business Phone Sprachqualität und Komfort Das Business Phone 3102 ist das erste Produkt einer ganzen Reihe von 3Com IP-Desktop-Telefonen, die konsequent auf die Bedürfnisse von Unternehmen jeder Größe zugeschnitten sind. Sie unterstützen die 3Com eigenen Call Control Protokolle wie auch den Industriestandard SIP. Das neu entwickelte 3Com 3102 Business Phone liefert eine verbesserte akustische Bauweise und setzt auf den aufstrebenden Wideband Audio Standard, der Sprachübertragungen im Vergleich zu herkömmlichen Public Switch Telephone Netzwerken (PSTN) erheblich verbessert. Damit zählt es zur nächsten Generation von IP-Telefonen mit besonderer Sprachqualität. Es verfügt zudem über Komfort- und Produktivitätsfunktionen, die es zu einem fortschrittlichen Business Tool in der Unternehmenskommunikation machen. Das neue Business Phone wurde für die Unterstützung des immer bedeutsamer werdenden Wideband Audio Standards zur verbesserten Sprachübertragung konzipiert. Eine typische PSTN Telefonverbindung gibt Sprache bei 3,3 khz wieder, ein Erbe aus den Anfangszeiten des Telefons. Das 3102 kann IP Gespräche bei einer Frequenz von 7 khz oder höher herstellen. Die Telefongespräche werden dadurch noch klarer verständlich. Außerdem ist das Business Phone SIP-konform und bietet einen hohen Investitionsschutz für die IP Telefonieprodukte. Denn das Session Initiation Protocol (SIP) gewährleistet die Interoperabilität von Geräten verschiedener Hersteller und ist zudem abwärtskompatibel, wodurch ältere SIP-basierende Ausstattung problemlos mit den neuen SIP Anwendungen zusammenarbeitet. Ausgabe /20 15

16 N E W S nn E W S NOVELL SONICWALL I 20. BrainShare Mit Fokus auf Linux Linux war das zentrale Thema der 20. Novell BrainShare. Novell stellte ihr komplettes Portfolio an Software-Lösungen für Unternehmen vor. Die IT- Infrastruktur der traditionellen Veranstaltung war mit ihren rund 300 Desktop-Clients für die Teilnehmer diesmal ganz auf Linux eingestellt. Im Mittelpunkt der weltweiten Kundenveranstaltung von Novell, die vom 21. bis 26. März 20 in Salt Lake City stattfand, standen wie bei der CeBIT in Hannover die neuen Linux-Angebote. Im Rahmen der jährlichen Konferenz hatten Teilnehmer Gelegenheit, sich aus erster Hand über strategische und technische Neuerungen zu informieren und die neuen Technologien von Novell und Partnern zu testen. Die Konferenz wurde u.a. von IBM, HP, Dell, Computer Associates, AMD und Ricoh unterstützt und brachte demzufolge einige Branchengrößen zusammen, die den wachsenden Einsatz von Linux in Unternehmen mit forcieren. Eine Woche lang konnten in Salt Lake City Kunden, Partner und Mitarbeiter von Novell sowie Pressevertreter und Analysten an Key-notes, über 300 technischen und strategischen Sessions sowie Hands-on-Trainings teilnehmen. Zum Auftakt der Konferenz stelle Jack Messman, Chairman und CEO von Novell, die Strategien und Initiativen zu Themen wie Identity Management, Resource Management, Web Services und Open Source vor. Im Fokus stehen die Fortschritte bei der Verwaltung von Linux im Unternehmen sowie Pläne für Linux Server und Desktops. Zum ersten Mal lief die gesamte IT-Infrastruktur der BrainShare mit mehr als 300 Desktop-Clients auf Linux. D Global Security Client Sicherheit und Produktivität im mobilen Büro SonicWALL hat ihren neuen Global Security Client vorgestellt. Er verbessert Schutz und Sicherheit während des mobilen Remote-Zugriffs auf Ressourcen innerhalb des Unternehmens. Die neue Plattform nutzt den einfach zu bedienenden SonicWALL Global VPN Client, der in dem neuen Distributed Security Client, einer automatisch konfigurierten Client-Firewall, integriert ist. Die Distributed Enforcement Architecture bietet eine integrierte Lösung, die aus Hardware, Software und Dienstleistungen besteht und IT-Administratoren eine einheitliche und einfach zu verwaltende Basis für die Sicherheit im Unternehmensnetzwerk liefert. Die Global Security Client Plattform erweitert diese Architektur mit Sicherheitsrichtlinien für die Firewall, die über das Gateway verwaltet werden, und einem Hardwaregestützten Sicherheitskonzept für mobile Benutzer mit Wählverbindungen. Mobile Mitarbeiter wollen ihre s checken, Dateien aus dem Netzwerk abrufen und Zugang zu Intra- und Extranets haben. Daher sind die Administratoren meist gezwungen, mehrere Standalone-Produkte zu koppeln, um ein ausreichendes Maß an Sicherheit, Verwaltbarkeit und Authentifizierung für mobile Mitarbeiter und Fernarbeitsplätze zu bieten. Mit der Core Distributed Enforcement Architecture, die im Global Security Client integriert ist, verfügen sie jetzt über eine einzige, einfach zu bedienende Lösung, um ihre Netzwerke vor äußeren Gefahren zu schützen, um Geschäfts- und Netzwerkrichtlinien wie beispielsweise Zugriffskontrollen zu etablieren, und um unproduktive Anwendungen, wie Instant Messaging, zu unterbinden. Synchron gesichert Der SonicWALL Global Security Client kommuniziert direkt mit der Gateway-Anwendung in der Unternehmenszentrale und erfordert daher, daß sich mobile Mitarbeiter über zwingend notwendige Sicherheitsmechanismen autorisieren müssen, bevor sie Zugriff aufs Unternehmensnetz erhalten. Sobald sich der Benutzer über das Gateway authentifiziert hat, werden die neuesten Updates zu Sicherheits- und Firewall-Einstellungen automatisch synchronisiert und auf dem Global Security Client konfiguriert, der auf dem Computer des Mitarbeiters installiert ist. Auch Software-Updates für den Global Security Client werden auf diese Weise automatisch installiert. Mit der Benutzeroberfläche, die eine einfache Einrichtung und Bedienung erlaubt, können Mitarbeiter und Netzwerkressourcen in verschiedene Gruppen unterteilt werden, für die sich separate Benutzerrechte für Internet- und Netzwerkzugriff festlegen lassen. Darüber hinaus sind Unternehmen in der Lage, potentielle Sicherheitslöcher wie beispielsweise offene Ports zu schließen, die beliebte Ziele von Internet-Würmern sind. Allen Global Security Clients kann synchron der Befehl erteilt werden, einen oder mehrere Ports zu blockieren, um ein Eindringen und Verbreiten des Wurms wirkungsvoll zu verhindern. Ein Jahresabonnement beginnt bei fünf Benutzern und kann über zehn und 25 bis auf 100 User erweitert werden 16 Ausgabe /20

17 SONICWALL Komplettiert Intrusion Prevention Service SonicWALL kündigt einen erweiterten Intrusion Prevention Service an. Er soll zu Ende des zweiten Quartals als jährliches Abonnement für die Plattformen der TZ 170 sowie der Serien PRO 20, 3060, 4060 und 5060 erhältlich sein. Neue Technologie bietet individuell konfigurierbare, leistungsfähige und flexible Schutzmechanismen für elementare Internet-Dienste wie Webzugang, , Dateitransfer, Windows-Dienste und DNS. D Die Verbesserungen schützen vor Sicherheitslücken durch Schwachstellen in Software, vor Internet-Würmern, Trojanern, Spyware, Peer-to- Peer-Hintertüren und offenen Ports, die durch Systemschwächen verursacht werden. Die erweiterbare Signaturbeschreibung, die von der Deep Packet Inspection Engine verwendet wird, bietet eine proaktive Abwehr gegen neu entdeckte Sicherheitslücken und Systemangriffe. Die SonicOS Sicherheits- Engine erkennt derzeit schon verschiedene Datentransfer-Anomalien, Portscanning-Aktivitäten, gefälschten Datenpaketen und Denial of Service-Attacken. Sie schützt darüber hinaus aber auch vor verbotenen, schädlichen und unerwünschten URLs und Web-Inhalten sowie vor Spyware, schädlichen ActiveX-Komponenten und Java-Archiven. Zusätzlich arbeitet die Sicherheits-Engine mit regelmäßig verbreiteten Sicherheits-Updates von SonicWALL, um eine Echtzeitüberprüfung von E- Mail-Anlagen mit höchster Aktualität zu ermöglichen. Deep Packet Inspection Zu den neuen Leistungsmerkmalen des Intrusion Prevention Service gehören das SonicWALL Deep Packet Inspection Framework, das die Erkennung von Signaturen in geordneten TCP-Fragmenten unterstützt, ohne dazu die Daten neu formatieren zu müssen. Für den Fall, daß Pakete ungeordnet ankommen, werden sie gepuffert und von der Deep Packet Inspection Engine neu geordnet. Diese Methode der Paketverarbeitung ergibt eine effizientere Ausnutzung der Prozessorkapazitäten und Speicherblöcke und resultiert damit in einer besseren Performance. Signaturdatenbank Der SonicWALL Intrusion Prevention Service wird mit zustandorientierten Signaturen geliefert, mit deren Hilfe Schwachstellen, Sicherheitslücken, Würmer und Netzwerkattacken in mehr als 50 Protokollen wirkungsvoll erkannt und abgewehrt werden können. Zusätzliche Signaturkategorien beinhalten die Blockierung von Instant Messenger-Nachrichten und Peer-to- Peer-Anwendungen. Signaturen für neue Systemangriffe, Sicherheitslücken, Würmer und Attacken werden automatisch auf die SonicWALL Appliance heruntergeladen und über die Distributed Enforcement Architecture an alle Kunden mit einem gültigen Abonnement verteilt. Dies reduziert die Kosten für die Verwaltung der Abwehrmaßnahmen, weil permanent sichergestellt ist, daß alle aktuell verfügbaren Signaturen automatisch heruntergeladen und installiert werden. Richtlinien Der SonicWALL Intrusion Prevention Service vereinfacht die Inbetriebnahme und Verwaltung über vorkonfigurierte, globale Sicherheitsrichtlinien und die Gruppierung bestimmter Attacken nach ihrer Priorität. Darüber hinaus beinhaltet die Verwaltung eine fein abgestufte Konfiguration der Sicherheitsstufen. Fehlalarme können durch die individuelle Deaktivierung von Erkennung und Abwehr für jede einzelne Signatur wirkungsvoll unterdrückt werden. Der Intrusion Prevention Service kann zentral über das Sonic WALL Global Management System verwaltet werden. Diese Funktionen reduzieren die Kosten für die Verwaltung der Netzwerksicherheit vor allem in weit verzweigten Unternehmen mit Filialen, Telearbeitsplätzen und ausgelagerten Verkaufsräumen. Benutzerrichtlinien werden zentral erstellt und an alle Sonic WALL Anwendungen im Netzwerk verteilt, was permanent sicherstellt, daß alle Netzwerkbereiche zu jedem Zeitpunkt optimal gegen Angriffe geschützt sind und mit den unternehmensweit definierten Nutzungsricht-linien übereinstimmen. Der SonicWALL Intrusion Prevention Service ist ab dem zweiten Quartal 20 für die Plattformen SonicWALL TZ 170 sowie für die PRO 20, 3060, 4060 und 5060 erhältlich. Ausgabe /20 17

18 ZUKUNFTSWEISEND Wireless Future Sicherheit und QoS mit i und e Von Jörg Rech ZZur Zeit arbeitet das IEEE an den Standard-Erweiterungen i und e. Erhöhte Sicherheit und QoS stehen im Mittelpunkt. Sie sollen dem WLAN zu neuem Glanz verhelfen. In Zukunft wird das Robust Security Network erweiterte Authentifizierungsund Verschlüsselungsverfahren nutzen, um Eindringlinge außen vor zu lassen. 18 Ausgabe /20

19 Gefürchtete Szenarien, bei denen ein Unbefugter vom Parkplatz aus Daten im WLAN mitschneidet und auswertet, sind längst Realität geworden. Inzwischen haben sich eine Vielzahl von Freaks zusammengefunden und betreiben unter der Bezeichnung War Driving einen irrwitzigen Sport. Dabei geht es darum, ungesicherte WLANs ausfindig zu machen und deren Standorte im Internet zu publizieren. Hierbei bedient man sich einfachster Werkzeuge, nämlich Notebook, WLAN-Adapter sowie einer Antenne, und nutzt spezielle Software, die unter der Bezeichnung Net- Stumbler, Wellenreiter oder WAVE- MON im Internet frei verfügbar ist. Diese Softwares scannen sukzessive alle Kanäle und zeigen die auf ihnen gefundenen Access Points an, mitsamt der Signalstärke und dem logischen Netzwerknamen des WLANs (SSID, Service Set Identifier). Sie verraten außerdem, ob im vorgefundenen Funknetz die Standardsicherheitsmechanismen aktiviert sind oder nicht. WEP-Verfahren Viele WLAN-Produkte nutzen als Standardverfahren heute noch Wired Equivalent Privacy (WEP), das bei der Datenübertragung per Funk, im Sinne der Entwickler, eine vergleichbare Datensicherheit wie im drahtgebundenen Bereich bieten soll. WEP bietet hierzu eine Verschlüsselung der Nutzdaten und kann zudem für eine Authentifizierung genutzt werden. Nur die WLAN-Komponenten, die über den gleichen geheimen Schlüssel verfügen, sind in der Lage, untereinander Daten auszutauschen und Daten einer anderen Station zu entschlüsseln und auszuwerten - so zumindest die Theorie. Zum Einstieg in die Problematik mag ein kurzer Rückblick auf die Umsetzung des WEP- Verfahrens helfen. Es basiert letztlich auf zwei Stufen, einem Algorithmus zur Schlüsselgenerierung und einem Pseudo Random Number Generator (PRNG). WEP verwendet entweder einen 64 Bit langen Schlüssel (WEP40), der sich aus einem 40 Bit langen geheimen Schlüssel und einem 24 Bit langen Initialisierungsvektor (IV) zusammensetzt, oder einen 128 Bit langen Schlüssel (WEP128), der sich aus einem 1 Bit geheimen Schlüssel und einem 24 Bit langen IV bildet. Aus den 64 beziehungsweise 128 Bit langen Schlüsseln wird eine Zustandsreihe gebildet, die als Seed bezeichnet wird und dem PRNG für die Bildung der eigentlichen Chiffrierbits zugeführt wird. Für die Generierung der Chiffrierbits legt der PRNG den RC4- Algorithmus zugrunde. Über die eigentlichen Nutzdaten wird vor der Verschlüsselung eine Check-Summe gebildet, die als Integrity Check Value (ICV) bezeichnet wird. Die ICV wird den Nutzdaten angehängt. Die Verschlüsselung erfolgt dann bitweise zwischen den Nutzdaten sowie ICV und dem Strom von Chiffrierbits. Um zu vermeiden, daß identische Nutzdaten in identischen verschlüsselten Daten resultieren, muß sichergestellt sein, daß sich der verwendete Schlüssel bei jedem Frame ändert. Dies wird erzielt, indem man die Schlüsselgenerierung über einen festen geheimen Schlüssel (40 Bit oder 1 Bit) und einem sich verändernden IV durchführt. Schlupflöcher Damit der Empfänger weiß, mit welchem IV der Sender die Datenverschlüsselung vorgenommen hat, wird der verwendete IV in jedem verschlüsselten Frame mit übertragen. Der Empfänger kann somit mit dem empfangenen IV und seinem geheimen WEP- Schlüssel den notwendigen Strom von Chiffrierbits bilden und die Entschlüsselung der Daten vornehmen. Da jedoch bei der Implementierung des WEP-Verfahrens eine Wiederholung der verwendeten IVs nach kurzer Zeit nicht ausgeschlossen werden kann, ergibt sich eine deutliche Angriffsfläche. Gelingt es, Frames mitzuschneiden, deren Verschlüsselung auf demselben IV basiert, läßt sich der eigentlich geheime WEP-Schlüssel aus den vorliegenden Daten leicht herausrechnen. Außerdem besteht ein weiterer Nachteil darin, daß der verwendete geheime WEP-Schlüssel wegen eines fehlenden Schlüsselmanagements nicht in regelmäßigen Abständen geändert, sondern in der Regel während der gesamten Betriebszeit eines WLANs verwendet wird. Hat ein Angreifer erst einmal den geheimen Schlüssel geknackt, erhält er damit über längeren Zeitraum Zugang zum WLAN. Wireless LANs WLAN-Technologie und praktische Umsetzung im Detail In bewährt routinierter Manier schreibt Jörg Rech aus der Praxis für die Praxis und teilt sein neuestes Werk in vier Kernbereiche auf. Nach einer grundlegenden Einführung in die Netzwerk- und Funktechnik geht es in den beiden folgenden Kapiteln um die Implementierung der Wireless-LAN-Technologie. Detailliert geht der Autor auf den Standard IEEE und dessen Erweiterungen ein. Die vieldiskutierten Fragen der Sicherheit in drahtlosen Netzen werden ausführlich und nach dem aktuellen Stand der Technik einbezogen. Der abschließende Praxisteil rundet die anschaulich vermittelte Theorie durch die Beschreibung der praktischen Einrichtung von Wireless LANs ab und macht dieses Buch von 472 Seiten zu einem kompakten, aber umfassenden Werk über alles, was man aktuell über drahtlose Netze wissen muß. Eine Empfehlung der Technik News Redaktion für Netzwerktechniker, Administratoren, Ingenieure und technische Projektmanager, aber auch für Studierende und Auszubildende in der IT- Branche. Es ist im Heise Verlag erscheinen, zum Preis von 45,- Euro. ISBN Festeinband Ausgabe /20 19

20 t h e m a d e s m o n a t s Höchste Sicherheit RoamAbout R2 und AP3000 Die Enterasys Networks Wireless LAN Familie RoamAbout wurde speziell für die mobile, verkabelungslose Kommunikation in Netzwerken jeder Größe entwickelt, für Indoor-Anwendungen im Client Mode sowie für Outdoor-Lösungen in Point-to-Point und Point-to-Multi-Point-Verbindungen. Im Bereich Sicherheit sind die Produkte RoamAbout R2 und die AP3000 Varianten auf dem aktuellen Stand der Technik: mit 802.1x Authentisierung, WiFi-Protected Access WPA und i-Fähigkeit mit AES Verschlüsselung. Via SNMPv3, SSHv2 und SSL sowie weiteren Funktionen wie SSID-Unterdrückung und IntraBBS Relay Kontrolle bieten sie ein absolut sicheres Management. Die Produkte RoamAbout R2 sind für alle Betriebsmodi, die AP3000 Varianten allein für den Client Mode ausgelegt. Sie unterstützen alle gängigen Standards, b und g im 2,4-GHz-Bereich sowie a und zukünftig h im 5-GHz-Band. Der RoamAbout R2 ist zudem modular ausgelegt, so daß auch weitere Standards integriert werden können. RoamAbout R2 Für die drei Betriebsarten bietet der R2 eine kostenlos mitgelieferte RoamAbout Management Software, den Access Point Manager. Dieses Management Tool ermöglicht eine Visualisierung des gesamten Wireless Netzwerkes. Höhere Sicherheit läßt sich erreichen, indem Netzwerknamen für WLANs definiert werden, Encryption mit 40 Bit auf 128 Bit geschaltet wird und die Authentifizierung über MAC-Adressen verwendet wird. Als zusätzliche Sicherheitsmerkmale werden dynamische Schlüsselvergabe, das Rapid Re-Keying und der Standard IEEE 802.1x unterstützt. Während die dynamische Schlüsselvergabe hauptsächlich das Managen eines WLANs bzw. dessen Benutzer erlaubt, hat Enterasys Networks mit dem Rapid Re-Keying ein weiteres Sicherheitsmerkmal entwickelt, das das Knacken der Verschlüsselung unmöglich macht. In einer vorab definierten Zeit ändern sich die Schlüssel der Benutzer permanent, so daß selbst ein geknackter Schlüssel unbrauchbar wird. Hervorzuheben ist die Kombination mit den NetSight Atlas Produkten, die ein umfassendes Management der Access Points gestatten. Dabei werden Templates unterstützt, wodurch große Access Point Installationen einfach und problemlos verwaltet werden können. Eine Besonderheit sind die UPN-Funktionen auf den Access Points, die - zusammen mit dem NetSight Atlas Policy Manager - ein Guest Networking ermöglichen. AP3000 Der RoamAbout AP3000 ist mit mehreren Technologien ausgestattet und enthält sowohl ein integriertes b/g als auch ein integriertes a Radio. Für Kunden, die nicht zu einem a Netzwerk migrieren wollen oder können, steht auch eine Variante mit nur einem integrierten b/g Radio zur Verfügung. Dies spart Investitionskosten. Der RoamAbout AP3000 ist seit Ende Februar 20 lieferbar. Robust Security Die Sicherheitsrisiken des WEP-Verfahrens sind in der Netzwerkbranche längst bekannt. Auch wenn WEP für den Privatbereich in den meisten Fällen eine ausreichende Sicherheit bietet, sollte man über Alternativen nachdenken, sobald sensible Daten per Funk übertragen werden. Bedingt durch das Sicherheitsdesaster hat sich in den letzten Monaten eine Vielzahl von proprietären Lösungen etabliert, die jedoch eher als Insellösungen zu betrachten sind, da ein Zusammenspiel zwischen den WLAN-Produkten unterschiedlicher Hersteller nur eingeschränkt möglich ist, sobald diese Sicherheitsmechanismen aktiviert werden. Das IEEE hat diese Problematik erkannt und erarbeitet derzeit die sogenannte i-Erweiterung, die im WLAN-Bereich eine zeitgerechte und herstellerübergreifende Sicherheit einführen soll. Zur Zeit ist Draft 7.0 abgeschlossen. Man kann davon ausgehen, daß die i-Erweiterung im zweiten bis dritten Quartal verabschiedet wird. Sie sieht Modifizierungen vor, die als MAC Enhancements for Enhanced Security bezeichnet werden und die lang ersehnte Datensicherheit auf der MAC- Ebene definieren. In diesem Zusammenhang spricht man auch von der Robust Security Network Association (RSNA). Sie ergänzt den Standard um vier Sicherheitseigenschaften: um ein erweitertes Authentifizierungsverfahren, um Algorithmen für ein automatisches Schlüsselmanagement, um ein Schlüssel-Establishment sowie um erweiterte Verschlüsselungsverfahren, die als Counter- Mode/CBC-MAC Protocol (CCMP) oder Temporary Key Integrity Protocol (TKIP) bezeichnet werden. WLANs, die die vorgeschriebenen Sicherheits-Features laut i unterstützen, werden zukünftig als Robust Security Network (RSN) bezeichnet. Wir wollen Ihnen einen detaillierten Einblick in die Neuerungen 20 Ausgabe /20