Sicheres PRIMERGY Server Management

Größe: px
Ab Seite anzeigen:

Download "Sicheres PRIMERGY Server Management"

Transkript

1 Sicheres PRIMERGY Server Management Ausgabe 7. November 2006 Seiten 28 Enterprise Security PRIMERGY Server Management Sicherheit für hochverfügbare Plattformen Sicherheit ist wichtig für geschäftskritische IT Infrastrukturen Je mehr Unternehmen E-Business- und mobilitätsorientierte Lösungen einsetzen und dadurch ihre Informationssysteme über das Internet für Kunden und Partner öffnen, umso wichtiger wird die IT-Sicherheit, um Angriffspunkte zu vermeiden. Security Management ist ein fortlaufender Prozess. Dieses White Paper beschreibt das Modell für ein sicheres PRIMERGY Server Management: Es wird davon ausgegangen, dass Sie bereits über eine sichere Systemkonfiguration ohne Server Management Tools verfügen. Das vorliegende Dokument enthält viele Hinweise für die Installation eines sicheren PRIMERGY Server Management Systems.

2 White Paper Ausgabe: 7. November 2006 Sicheres PRIMERGY Server Management Seite 2 / 28 Inhalt 1 Vorwort 3 2 "Security Management ist ein Prozess" Erarbeiten eines Sicherheitskonzepts Eine permanente Anpassung ist erforderlich 3 3 Allgemeine Fragen Kommunikationspfade Schutz durch Firewalls Offene Ports Separates Management LAN 10 4 Konfiguration, Installation and Deployment von PRIMERGY Servern Entfernte Installation mit ServerStart ServerView RAID GUI RemoteDeploy Installation von RemoteDeploy-Komponenten Arbeiten mit RemoteDeploy Referenzinstallation mit ServerStart Erzeugen des Images Cloning Entfernte Massen-Installation 13 5 SNMP-Agenten auf verwalteten Servern SNMP-Service ServerView-Agenten Absichern von SNMP Operationen mit IPsec 14 6 Win32-basiertes ServerView, ServerView S SNMP Service Installation der Web Server für ServerView S SSL für ServerView S Set-Operationen mit Benutzerauthentifizierung Alarm Service und Antiviren-Programme 16 7 Update Management Download Manager Global Flash Boot-fähige Update CD 17 8 SNMP-Agenten für out-of-band Management auf RSB / RSB S2 / RSB S2 LP / irmc auf dem RSB als Konzentrator auf dem RemoteView Management Blade 18 9 RemoteView RemoteView/LAN Front-end RemoteView/LAN Front-end mit BMC/IPMI RemoteView/LAN Front-end mit RemoteView Software (RomPilot) RemoteView/Web Front-end mit BMC/IPMI RemoteView/Modem Front-end mit RemoteView/Diagnostic System (chipdisk/rtds) Paralleles Management mit speziellen Hardware-Komponenten, wie RSB, irmc oder Management Blade RemoteView Service Board (RSB) oder Remote Management Controller (irmc) RSB S2 oder RSB S2 LP RemoteView Management Blade Web Interface auf dem RSB, RSB S2, RSB S2 LP, irmc oder dem Management Blade RemoteView/Front-ends für paralleles Management BMC Manager mit BMC/IPMI Sonderkonfiguration Erstellen von Web-Agenten Verwaltete Server in einer Demilitarisierten Zone Zusammenfassung Glossar Weitere Informationen über Enterprise Security 28

3 White Paper Ausgabe: 7. November 2006 Sicheres PRIMERGY Server Management Seite 3 / 28 1 Vorwort Security Management, ist wie das Qualitätsmanagement, ein fortwährender Prozess. Dieses White Paper ist daher kein Leitfaden für die Sicherheitsanalyse und für die Festlegung von Sicherheitsstrategien. Beides sind wichtige Schritte, die wesentlich allgemeiner und umfassender zu betrachten sind, als es im Rahmen dieses Dokumentes möglich ist. Wir gehen davon aus, dass Sie über eine sichere Systemkonfiguration verfügen und diese um PRIMERGY Server-Management-Komponenten ergänzen wollen. Das vorliegende Dokument enthält Hinweise wie Sie diese Sicherheit erhalten und wie die die Sicherheit von Managementoperationen erhöhen können. Mehr Sicherheit bedeutet auch mehr Aufwand, zum Beispiel für Planung oder Konfiguration. Welche dieser Regeln und Hinweise Sie umsetzen, liegt in Ihrem Ermessen und muss im Kontext Ihrer Gesamtstrategie für die Sicherheit entschieden werden. Es werden alle Phasen des Life Cycles in diesem Dokument betrachtet: Installation and Deployment (Kapitel 4) Überwachung (Kapitel 5 und 6) Aktualisierung (Kapitel 6.5) Wiederherstellung und out-of-band Management (Kapitel 8 und 9) 2 "Security Management ist ein Prozess" Sicherheit kann nicht durch ein Produkt oder eine Lösung bereitgestellt werden. Nur durch einen ständigen Security Management-Prozess ist es möglich, Sicherheit zu erzielen. Dies ist vergleichbar mit dem ständigen Qualitätsmanagementprozess. Ein anderer Punkt ist, dass Sicherheit nicht durch bloße Prävention erreicht werden kann. Präventionssysteme sind nie perfekt. Eine Sicherheitsstrategie muss immer die Prävention, die Erkennung und die Reaktion umfassen. 2.1 Erarbeiten eines Sicherheitskonzepts Robuste und sensible IT-Systemsicherheit entsteht aus der korrekten Implementierung und Pflege einer klar definierten Sicherheitsstrategie. Eine solche Sicherheitsstrategie muss - neben den technischen Fragen - eine ganze Reihe verschiedener Aspekte, wie zum Beispiel organisatorische Fragen, menschliche Aspekte, Risikowahrscheinlichkeiten und Risikobewertung, in Betracht ziehen. Im Prinzip müssen die folgenden Schritte ausgeführt werden, um zu einer klar definierten Sicherheitsstrategie zu kommen: Analyse der zu schützenden Vermögenswerte Analyse der Bedrohungen Bewertung der Risiken - Primäre Auswirkungen, wie zum Beispiel Verlust, Zerstörung, finanzielle Auswirkungen - Sekundäre Auswirkungen, wie zum Beispiel Verzögerungen, Geschäftsausfälle - Drittrangige Auswirkungen, wie zum Beispiel Vertrauensverlust, Verlust von Kunden Entscheidung, sich gegen bestimmte Bedrohungen zu schützen Auswahl eines geeigneten Maßnahmenkatalogs Berechnung der Kosten Bewertung der verbleibenden Risiken Es ist sehr wahrscheinlich, dass einige dieser Schritte mehrfach durchgeführt werden müssen, es wird sich also eher um einen Schleifenverlauf als um eine reine Abfolge von Schritten handeln. Wenn beispielsweise die "Berechnung der Kosten" aufzeigt, dass die Kosten höher wären als der Schaden, muss der Schritt "Auswahl eines geeigneten Maßnahmenkatalogs" wiederholt werden. Weitere Informationen finden Sie unter: 2.2 Eine permanente Anpassung ist erforderlich Wenn Sie alle diese Schritte durchlaufen haben, haben Sie eine Sicherheitsstrategie für die Situation erstellt, wie sie sich zum Zeitpunkt der Durchführung des ersten Schrittes "Analyse der zu schützenden Vermögenswerte" darstellte. In extremen Fällen kann die neue Sicherheitsstrategie jetzt schon wieder überholt sein. In der Regel ist dies zwar nicht der Fall, aber es zeigt, dass eine Sicherheitsstrategie periodisch sowie bei größeren Änderungen in Bezug auf die Vermögenswerte, neue potentielle Bedrohungen sowie die Verfügbarkeit neuer Maßnahmen usw. angepasst werden muss. Für die Überlegungen in diesem White Paper wird davon ausgegangen, dass bereits eine umfassende Sicherheitsstrategie -ein Rahmen an Regeln und deren Implementierung- für das IT-Geschäft entwickelt wurde, um die Sicherheitsziele zu erreichen. Immer wenn neue Komponenten hinzugefügt, Prozesse verändert, organisatorische Aspekte oder andere Faktoren modifiziert werden, muss auch die Sicherheitsstrategie angepasst werden. Eine solche Anpassung wird auch erforderlich, wenn ein bestimmtes Server Management Tool eingeführt wird.

4 White Paper Ausgabe: 7. November 2006 Sicheres PRIMERGY Server Management Seite 4 / 28 Step 1: Get Secure General Hints, rules for keeping the overall security Step 2: Stay Secure Any change Secure System State Add, modify Primergy Management Hints, rules for secure management operation System Management Bild 1: Sicherheitsansatz Bild 1 illustriert diesen grundlegenden Ansatz, der aus den beiden Schritten "Get Secure" (Sicherheit herstellen) und "Stay Secure" (Sicherheit aufrechterhalten) besteht. In einer Microsoft-Umgebung kann zur Unterstützung des ersten Schritts Get Secure der Microsoft Baseline Security Analyzer (MBSA) verwendet werden. Dieses Werkzeug unterstützt kleinere und mittlere Unternehmen dabei, ihre Konfiguration im Hinblick auf Sicherheit und im Vergleich zu Microsoft s Sicherheitsempfehlungen zu bewerten, und schlägt entsprechende Maßnahmen vor. Weitere Information zu diesem Thema finden Sie unter: Die Grundannahme für unsere Überlegungen ist, dass Sie den ersten Schritt bereits durchgeführt, d.h. eine sichere Systemkonfiguration erreicht haben und nun eine Komponente der PRIMERGY ServerView Suite hinzufügen bzw. Änderungen vornehmen. Dieses Dokument gibt Ihnen Hinweise und Regeln, die Sie beim Schritt "Stay Secure" (Sicherheit aufrechterhalten) unterstützen: Wie erhalte ich Sicherheit des Gesamtsystems aufrecht.? So kann zum Beispiel die Installation eines Web Servers zu Sicherheitslücken führen, wenn Sie bestimmte Regeln nicht beachten. Wie kann ich die Sicherheit der Server-Management-Operationen verbessern? Zum Beispiel, damit nicht autorisierte Personen keine Management-Aktivitäten durchführen können. Die Sicherheitsaspekte und Auswirkungen der Nutzung eines bestimmten Server Management Tools müssen im Kontext der vorhandenen IT-Konfiguration, aber auch im Kontext der vorhandenen Sicherheitsstrategie bewertet werden. Beide sind individuell unterschiedlich. Aus diesem Grund kann dieses Dokument keine Sicherheitslösungen in Bezug auf das Server Management bieten, es stellt Ihnen jedoch Informationen und Unterstützung für die Anpassung Ihrer Sicherheitsstrategie bei der Verwendung der PRIMERGY Server Management Tools bereit. Wie bereits oben erwähnt wurde, sind Präventionssysteme nie perfekt. Die Anzahl potentieller Lücken ist einfach zu groß, und die Angreifer sind opportunistisch: sie gehen den einfachsten und bequemsten Weg. Sie nutzen die bekanntesten Fehler mit den effektivsten und verbreitetsten Angriffs-Tools. Diese Sicherheitslücken sollten geschlossen werden. Sie sind detailliert unter: beschrieben. An verschiedenen Stellen in den folgenden Abschnitten wird ebenfalls darauf Bezug genommen.

5 White Paper Ausgabe: 7. November 2006 Sicheres PRIMERGY Server Management Seite 5 / 28 3 Allgemeine Fragen 3.1 Kommunikationspfade Dieses Kapitel beschreibt die Kommunikationspfade zwischen den unterschiedlichen Komponenten der PRIMERGY Management Suite. Wie im Handbuch ServerView Suite: Grundlegende Konzepte beschrieben, lassen sich diese Komponenten den folgenden vier Kategorien zuordnen: Management-Konsolen Management-Applikationen Helper Verwaltete Server Bild 2 zeigt die Kategorisierung dieser Komponenten und wie sie miteinander kommunizieren. Die Komponenten können auf verschiedenen Rechnern installiert sein. Es ist jedoch auch möglich, mehrere Komponenten unterschiedlicher Kategorien auf demselben Rechner zu installieren. Win32-based ServerView Win32-based RemoteView RD Java Front-end Win32-based GlobalFlash Browser ServerStart Management- Konsolen ServerViewS2 SV Alarm Service PostgreSQLDB BMC Manager GlobalFlash RemoteSCU RemoteDeploy Manager Image Repository Deployment Server - Remote Control - RemoteDeploy Service Management- Applikationen Helper PXE Server DHCP Server FTP Server TFTP Server Verwaltete Server PRIMERGY server - SNMP Agent - Global Flash Agent - RSB / RMC - RSB S2 / irmc + SNMP Agent + SNMP Traps + Consol Redirection + Console Redirection + Web Server + Web server + Power Management + Power Management + Mail + Mail - Cloning Agent (pre-os) + Remote Media - PXE Client (pre-os) - WinPE/DOS (pre-os) - SV RAID (UI/CLI, dispatcher, Controller Plug-Ins) PRIMERGY Blade server - Management Blade + SNMP Agent + Consol Redirection + Web Server + Power Management + Mail - CPU Blade + SNMP Agent + GlobalFlash Agent + Cloning Agent (pre-os) + WinPE/DOS (pre-os) + PXE Client (pre-os) Fig. 2: Kommunikationspfade der ServerView Suite für PRIMERGY Server Die folgende Tabelle beschreibt, welche Kommunikationsprotokolle verwendet werden und welche Standard-Ports jeweils eingesetzt werden. Standardmäßig werden hauptsächlich bekannte Ports (im Bereich von 0 bis 1023) und IANA-registrierte Ports (1024 bis 49151) genutzt. Die Ports 3169 bis 3173, 3789, 9212 und 9213 und wurden bei IANA exklusiv für das PRIMERGY Server Management registriert. Weitere Informationen finden Sie unter: Es können jedoch alle Ports individuell unter anderen Port-Nummern konfiguriert werden. : Kommunikationspfad in beide Richtungen : Kommunikation in eine Richtung

6 White Paper Ausgabe: 7. November 2006 Sicheres PRIMERGY Server Management Seite 6 / 28 Kommunikation Browser ServerView S2 Browser SV Alarm Service Browser BMC Manager Browser RemoteSCU Browser GlobalFlash Browser RemoteView/Web Frontend Browser RemoteDeploy Manager RD-Java Front-end RemoteDeploy Manager Port: Protokoll Zweck Management-Konsolen Management-Applikationen 80: UDP/TCP Web HTTP (konfigurierbar), für: - IIS auf Windows - Apache Web Server on Linux 443: UDP/TCP HTTP over TLS/SSL (konfigurierbar), für - IIS auf Windows - Apache Web Server auf Linux 3169 (IANA-registrierter Port): UDP/TCP HTTP (konfigurierbar) 3170 (IANA-registrierter Port): UDP/TCP HTTP over TLS/SSL(konfigurierbar) Administrator SV Alarm Service 25: UDP/TCP SMTP Mail (konfigurierbar) Win32-based ServerView SNMP-Agent Win32-based ServerView SNMP-Agent (RSB/iRMC) Win32-based ServerView SNMP-Agent (Management Blade) Win32-based ServerView SNMP-Agent (CPU Blade) Win32-based ServerView SNMP-Agent (Management Blade) Win32-based Global Flash (SV Manager) Management Blade Management-Konsolen Verwaltete Server 161: UDP/TCP SNMP Win32-based ServerView SNMP-Agent Win32-based ServerView SNMP-Agent (RSB/iRMC/RSB S2) Win32-based ServerView SNMP-Agent (CPU Blade) Win32-based ServerView SNMP-Agent (Management Blade) Browser (Advanced Console Redirection) RSB/iRMC/RSB S2 Web-Server Browser RemoteView Management Blade: Web- Server Browser RSB S2 Remote Media (FD/CDROM/Image) Browser irmc Advanced Console Redirection Browser irmc Remote Media Browser irmc Text Console 162: UDP/TCP SNMP Traps 80: UDP/TCP Web HTTP (konfigurierbar), für: - RSB-included Web server - RSB-ACR (Advanced Console Redirection) 443: UDP/TCP HTTP over TLS/SSL (konfigurierbar), für - RSB-included Web server - RSB-ACR (Advanced Console Redirection) 3260: UDP/TCP iscsi Server (konfigurierbar) 81: UDP/TCP Remote Media Configuration via HTTP protocol (konfigurierbar) 5900: UDP/TCP 5902: UDP/TCP 5903: UDP/TCP 5904: UDP/TCP 5901: UDP/TCP Transfer von FD/CDROM/Image 22: TCP (SSH, konfigurierbar) 3172: TCP (Telnet, konfigurierbar)

7 White Paper Ausgabe: 7. November 2006 Sicheres PRIMERGY Server Management Seite 7 / 28 Kommunikation Browser Digital KVM (BX 600) Win32-based ServerView RomPilot Port: Protokoll Zweck 2068: TCP KVM Port, Virtual Console (Viewer) 8192: TCP Video Port, Virtual Console (Viewer) 3668: TCP Virtual Media 4877: UDP/TCP vor Start des Betriebssystems Win32-based RemoteView RSB/iRMC/RSB S2 Text Console Redirection Win32-based RemoteView Management Blade Text Console Redirection 623: UDP: IPMI over LAN / RMCP 3172 (IANA-registrierter Port): UDP/TCP (SSL) Telnet: Console Redirection Remote Manager Interface (konfigurierbar) Administrator RSB/RSB S2/iRMC/Management-Blade: Mail Forwarding Global Flash front-end (SV Manager) Global Flash Agent Global Flash front-end (SV Manager) Global Flash Agent (CPU Blade) Win32-based Global Flash (SV Manager) Management Blade Browser (RAID GUI) SV RAID 25: UDP/TCP SMTP Mail (konfigurierbar) 3171 (IANA-registrierter Port): TCP Firmware flash (konfigurierbar) 80: UDP/TCP Web HTTP 3173 (IANA-registrierter Port): UDP/TCP HTTP over SSL Win32-based Global Flash (SV Manager) PXE Server Win32-based Global Flash (SV Manager) TFTP Server Management-Konsolen Helpers 3171 (IANA-registrierter Port): TCP Firmware flash (konfigurierbar) Management-Applikationen Management-Applikationen ServerView S2 PostgreSQL DB (nur Linux) 9212 (IANA-registered port): UDP/TCP SV Alarm Service PostgreSQL DB (nur Linux) SV Alarm Service ServerView S2 RemoteDeploy Manager Remote Control (Deployment Server) RemoteDeploy Manager RemoteDeploy Service (Deployment Server) RemoteDeploy Manager Image Repository RemoteDeploy Service (Deployment Server) Image Repository Dynamic: UDP SNMP: Benachrichtigung vom SV Alarm Service für ServerView S (IANA-registrierter Port): TCP Aufträge für administrative Konfigurationen und Start von Deployment Jobs (via RD Job API) 4971/4972: UDP/TCP Private Ports (Fujitsu) nicht registriert 137 / 138 / 445: Microsoft SMB Microsoft: Remote Network Drive Management-Applikationen Verwaltete Server

8 White Paper Ausgabe: 7. November 2006 Sicheres PRIMERGY Server Management Seite 8 / 28 Kommunikation ServerView S2 SNMP-Agent SV Alarm Service SNMP-Agent ServerView S2 SNMP-Agent (RSB/iRMC) SV Alarm Service SNMP-Agent (RSB/iRMC) ServerView S2 SNMP-Agent (CPU Blade) SV Alarm Service SNMP-Agent (CPU Blade) Remote Control (DLL on Deployment Server) SNMP-Agent (CPU Blade) ServerView S2 SNMP-Agent (Management Blade) SV Alarm Service SNMP-Agent (Management Blade) Remote Control (DLL on Deployment Server) SNMP-Agent (Management Blade) ServerView S2 SNMP-Agent SV Alarm Service SNMP-Agent ServerView S2 SNMP-Agent (RSB/iRMC) SV Alarm Service SNMP-Agent (RSB/iRMC) ServerView S2 SNMP-Agent (CPU Blade) SV Alarm Service SNMP-Agent (CPU Blade) Remote Control (DLL on Deployment Server) SNMP-Agent (CPU Blade) ServerView S2 SNMP-Agent (Management Blade) SV Alarm Service SNMP-Agent (Management Blade) Remote Control (DLL on Deployment Server) SNMP- Agent (Management Blade) ServerView S2 SNMP Agent (Performance Management Ergebnisse) RemoteSCU PRIMERGY Server RemoteSCU CPU Blade Global Flash Global Flash Agent Global Flash Global Flash Agent (CPU Blade) Global Flash Management Blade RemoteDeploy Service (Deployment Server) Cloning Agent (CPU Blade) ServerStart Manager ServerStart Agent (WinPE) RemoteView/Web Frontend Management Blade Text Console Redirection RemoteView/Web Frontend irmc Text Console Redirection BMC Manager BMC/iRMC ServerView S2 BMC/iRMC (included in Release 4.40, 11/2006) Port: Protokoll Zweck 161: UDP/TCP SNMP 623: UDP IPMI over LAN / RMCP 162: UDP/TCP SNMP Traps 3172 (IANA-registrierter Port): UDP/TCP SVRemoteConnector Service 3171 (IANA-registered port): TCP Firmware flash (konfigurierbar) 161: UDP/TCP SNMP 80: UDP/TCP Web HTTP : UDP/TCP Private ports (Fujitsu) not registered 9213 (IANA-registrierter Port): UDP/TCP ServerStart RemoteControl (konfigurierbar) 623: UDP: IPMI over LAN / RMCP 3172 (IANA- registrierter Port): UDP/TCP (SSL) Telnet: Console Redirection Remote Manager Interface (konfigurierbar) 623: UDP RMCP / IPMI over LAN Global Flash PXE Server Global Flash TFTP Server Management-Applicationen Helpers 3171 (IANA- registrierter Port): TCP Firmware flash (konfigurierbar) RemoteDeploy Service PXE Server Global Flash Agent PXE Server Local Verwaltete Server Helpers 3171 (IANA-registrierter Port): TCP Firmware flash (konfigurierbar)

9 White Paper Ausgabe: 7. November 2006 Sicheres PRIMERGY Server Management Seite 9 / 28 Kommunikation Cloning Agent DHCP Server Cloning Agent (CPU Blade) DHCP Server Global Flash Agent PXE Server (PXE Boot) Cloning Agent PXE Server PXE Client PXE Server WinPE PXE Server Cloning Agent (CPU Blade) PXE Server PXE Client (CPU Blade) PXE Server WinPE (CPU Blade) PXE Server Global Flash Agent PXE Server (PXE Boot) Cloning Agent TFTP Server PXE Client TFTP Server WinPE TFTP Server Cloning Agent (CPU Blade) TFTP Server PXE Client (CPU Blade) TFTP Server WinPE (CPU Blade) TFTP Server Global Flash Agent PXE Server (PXE Boot) Management Blade TFTP Server RSB S2 LP TFTP Server Management Blade TFTP Server Port: Protokoll Zweck 67: UDP/TCP Bootstrap Protocol Server (bootps) 4011: UDP/TCP Alternate Service Boot 69: UDP/TCP Trivial File Transfer (TFTP) 161: UDP/TCP SNMP 80: UDP/TCP Web HTTP RSB/iRMC (Power Management) Server (Power Management) Remote RSB Configuration via CLI Verwaltete Server Verwaltete Server 3173 (IANA-registrierter Port): UDP/TCP XML: Power Management Switch server on/off via RSB Remote RSB configuration (konfigurierbar) 3.2 Schutz durch Firewalls Firewalls werden eingesetzt, um Angriffe aus dem öffentlichen Internet zu verhindern. Falls sich alle Komponenten hinter der Firewall befinden, sind auch alle Kommunikationspfade vor Angriffen aus dem öffentlichen Internet geschützt. Trotzdem kann der Administrator jederzeit und von jedem Ort aus mittels eines Browsers über das Internet auf das Management zugreifen. In dieser idealen Situation müssen nur die folgenden Kommunikationspfade die Firewall passieren: zwischen dem Browser mit Java-GUIs (Management-Konsole) und den Applikationen, wie z.b. ServerView S2 oder RemoteDeploy Manager, und zwischen dem Browser mit Java-GUIs (Management-Konsole) und den Web-Servern auf dem RSB, irmc, RSB S2, und dem Management Blade. Diese Kommunikationspfade können über SSL gesichert werden, wie weiter unten beschrieben wird. Empfehlung 1 Lokalisieren Sie alle Komponenten/Tools der PRIMERGY Management Produkte gemeinsam mit den verwalteten Systemen hinter der Firewall. Auf die Web-basierten Tools kann mittels eines Browsers über das Internet zugegriffen werden. Diese Kommunikationspfade müssen durch SSL gesichert werden (siehe auch Empfehlung 17). Es kann aber auch Konfigurationen geben, wo SNMP Traps Firewalls passieren müssen, um über Ereignisse zu informieren, die innerhalb des durch den Firewall geschützten Bereichs auftreten. In diesem Fall müssen Sie dafür sorgen, dass die Firewall für UDP Port 162 geöffnet ist, andernfalls würden die SNMP Traps blockiert. 3.3 Offene Ports Sowohl berechtigte Benutzer als auch Angreifer stellen die Verbindung zu den Systemen über offene Ports her. Je mehr Ports offen sind, desto mehr Möglichkeiten gibt es, dass jemand eine Verbindung zu Ihrem System herstellen kann. Aus diesem Grund ist es entscheidend, möglichst nur so wenige Ports für ein System offen zu lassen, wie dieses System für ein einwandfreies Funktionieren benötigt. Alle anderen Ports müssen geschlossen werden. Die Tabellen oben vermitteln Ihnen die erforderlichen Informationen, anhand derer Sie entscheiden können, welche Ports für das PRIMERGY Server Management offen sein müssen. Wie das Bild zeigt, kann dies von System zu System variieren und ist abhängig von der Konfiguration und den im System angesiedelten Komponenten/Tools. Empfehlung 2 Minimieren Sie die Anzahl der offenen Ports für jedes System. Die Tabellen oben zeigen, welche offenen Ports von der PRIMERGY Management Suite benötigt werden.

10 White Paper Ausgabe: 7. November 2006 Sicheres PRIMERGY Server Management Seite 10 / Separates Management LAN Der Einsatz von Firewalls und das Schließen nicht benötigter Ports dienen dem Ziel, die Management-Komponenten vor nicht autorisiertem Zugriff zu schützen. Dies kann auch erreicht werden durch das Trennen des LANs in ein Management LAN und ein operationelles LAN, zum Beispiel durch Konfigurieren entsprechender VLANs, wodurch der Verkehr auf dem Management LAN auf logischer Ebene abgeschirmt wird vom Verkehr auf dem operationellen LAN. Auf der Grundlage von Bild 2 und den Tabellen, welche die Kommunikationspfade für PRIMERGY Management beschreiben, können Sie eine VLAN-Topologie planen, entweder für die komplette Management-Kommunikation oder für ausgewählte sicherheitsrelevante Pfade. Empfehlung 3 Die Trennung der Management-Kommunikation vom operationellen Verkehr auf dem LAN kann ein wesentlicher Beitrag zu verbesserter Sicherheit leisten. Dazu können Sie eine VLAN-Topologie für die Management-Kommunikation einrichten auf der Grundlage von Bild 2 und den Tabellen, welche die Kommunikationspfade für PRIMERGY Management beschreiben. Das RemoteView Service Board (RSB, RSB S2), der Remote Management Controller (irmc) sowie das RemoteView Management Blade haben ihren eigenen Netzwerkanschluss. Dadurch können Sie ein separates physikalisches Management- Netzwerk aufbauen zwischen diesen Komponenten und den entsprechenden Front-ends. Dies ist zwar mit zusätzlichem Aufwand verbunden, aber es führt auch zu einem sehr hohen Sicherheitsgrad beim PRIMERGY Management. Empfehlung 4 Das RSB, RSB S2, irmc und das RemoteView Management Blade haben eigene Netzwerkanschlüsse, wodurch der Aufbau eines physikalisch getrennten Management LANs möglich ist. Dies stellt auf physikalischer Ebene sicher, dass alle sicherheitskritischen Operationen auf diesen Komponenten nur von entfernten Knoten angestoßen werden können, die mit diesem physikalischen Management LAN verbunden sind. 4 Konfiguration, Installation and Deployment von PRIMERGY Servern Für Konfiguration, Installation und Deployment von PRIMERGY Servern stehen Ihnen die folgenden Werkzeuge zur Verfügung: ServerStart für die lokale oder entfernte Installation ServerView RAID Manager für die Administration unterschiedlicher RAID Controller mit einem einheitlichen Web User Interface RemoteDeploy für entfernte Massen-Installationen oder Massen-Cloning, d.h. das effiziente Einrichten einer großen Anzahl identischer Server. Die Bootable Update CD könne Sie verwenden, um die Firmware verschiedener Serverkomponenten oder das Server- BIOS zu aktualisieren, bevor ein Betriebssystem auf dem verwalteten Server installiert ist. Weitere Information dazu finden Sie im Kapitel 7.3 Boot-fähige Update CD 4.1 Entfernte Installation mit ServerStart Mit ServerStart können Sie neben lokalen Installationen auch entfernte (remote) Installationen durchführen, und zwar auf bis zu fünf Servern parallel. Eine entfernte Installation besteht aus zwei Phasen: einer lokale Vorbereitungsphase, gefolgt von der entfernten Installation, die als Replikation durchgeführt wird. Voraussetzung für eine entfernte Installation mit ServerStart ist, dass ein Deployment Server eingerichtet wird. Dabei wird der Dateibaum der ServerStart CD auf die Festplatte des Deployment Servers kopiert und als Netzlaufwerk konfiguriert. Der Zugriff auf dieses Netzlaufwerk kann während der Installation von ServerStart auf dem Deployment Server so konfiguriert werden, dass er durch Benutzername und Passwort geschützt ist. Bevor dann eine entfernte Installation eines Zielsystems angestoßen wird, muss der Administrator Benutzername und Passwort eingeben andernfalls kann der Installationsprozess auf dem Zielsystem nicht auf den ServerStart-Dateibaum zugreifen. Dadurch werden unberechtigte entfernte Installationen ausgeschlossen. ServerStart verwendet für entfernte Installationen noch ein weiteres Netzlaufwerk mit dem ServerStart-Betriebssystem (WinPE). Auf dieses Netzlaufwerk wird über TFTP aus Sicherheitsgründen ausschließlich im Lesemodus zugegriffen. Falls dies trotzdem als zu risikoreich betrachtet wird, empfehlen wir ServerStart nur lokal zu verwenden. Empfehlung 5 Benutzen Sie ein Benutzerkennung, die Ihrer Sicherheitsstrategie entspricht, um damit den Zugriff auf das Netzlaufwerk mit dem ServerStart-Dateibaum zu schützen. Dies schützt vor unberechtigten entfernten Installationen mit ServerStart. Falls der TFTP-Zugriff auf das ServerStart-Betriebssystem Netzlaufwerk, der ausschließlich im Lesemodus passiert, zu risikoreich eingestuft wird, empfehlen wir, ServerStart nur für lokale Installationen zu verwenden. Die entfernte Installation kann auch als Referenzinstallation im Zusammenhang mit RemoteDeploy verwendet werden. Näheres dazu finden Sie im Kapitel Referenzinstallation mit ServerStart. Die entfernte Massen-Installation mit RemoteDeploy ist im Kapitel Entfernte Massen-Installation. 4.2 ServerView RAID GUI Mit dem ServerView RAID GUI können Sie unterschiedliche RAID Controller über eine einheitliche Web-basierte Benutzeroberfläche konfigurieren und verwalten. Das ServerView RAID GUI kann lokal oder entfernt gestartet werden. Wenn das RAID GUI entfernt läuft, wird HTTPS als Kommunikationsprotokoll und der für ServerView IANA-registrierte Port 3173 verwendet, d.h. die Kommunikation wird durch SSL verschlüsselt.

11 White Paper Ausgabe: 7. November 2006 Sicheres PRIMERGY Server Management Seite 11 / 28 Zu diesem Zwecke erzeugt das ServerView RAID GUI für jedes System, auf dem er installiert ist, ein Zertifikat. Er verwendet also self-signed Zertifikate für die Absicherung der SSL-Kommunikation. Die Berechtigung des Administrators wird durch die Eingabe von Benutzernamen und Passwort überprüft. 4.3 RemoteDeploy Die Hauptfunktion von ServerStart ist die lokale oder entfernte Installation von PRIMERGY Servern. RemoteDeploy bietet die Funktion für eine große Anzahl von Servern parallel an und ist deshalb ein wichtiges Werkzeug, um die Administrationskosten in Rechenzentren zu reduzieren. Es unterstützt sowohl paralleles Cloning zahlreicher Server als auch die entfernte Masseninstallation für eine große Gruppe von Server, die aus der ServerView Datenbank ausgewählt werden können. Insbesondere wenn Sie Blade Server einsetzen, müssen unter Umständen Hunderte von Server Blades ohne Konsole einfach und schnell installiert werden. Grundsätzlich gibt es dabei vier Phasen, in denen Sicherheitsaspekte zu betrachten sind: Installation der RemoteDeploy-Komponenten Die Referenzinstallation Das Erzeugen des Images Das Clonen Da das RemoteView Management Blade bei den RemoteDeploy-Operationen eine wichtige Rolle spielt, beachten Sie bitte auch die Empfehlung Installation von RemoteDeploy-Komponenten Wie im RemoteDeploy-Handbuch beschrieben, besteht die Installation aus zwei Teilen: Installation des Web-basierten RemoteDeploy Managers einschließlich der Deployment Engine, die auf dem gleichen Rechner wie der ServerView Manager installiert sein muss, wo sie sich integriert. Der Rechner, auf dem diese Komponenten installiert sind, wird Zentrale Management-Station (CMS = Central Management Station) genannt. Installation der Deployment Services bestehend aus PXE Service, TFTP Service und RemoteDeploy Service auf dem Deployment Server RemoteDeploy Manager Der RemoteDeploy Manager verwendet einen Web Server, der auf dem gleichen Rechner wie der ServerView Manager installiert ist. Nach erfolgreicher Installation ist die Schaltfläche RemoteDeploy im Win32-based ServerView sichtbar oder in ServerView S2 wird ein neuer Menüeintrag zur Verfügung gestellt. Beim Drücken dieser Schaltfläche bzw. bei der Selektion des Menüeintrags wird ein Web Browser auf der gleichen Maschine gestartet, d.h. im Standardfall ist die Kommunikation zwischen Web Browser und Web Server lokal. In diesem Fall können Sie die Sicherheit noch erhöhen, wenn Sie den Web Server, der vom RemoteDeploy Manager benützt wird, derart konfigurieren, dass er nur lokale HTTP-Anfragen akzeptiert. Wenn sich RemoteDeploy in ServerView S2 integriert und dieses so konfiguriert ist, dass es SSL benützt (Siehe auch Empfehlung 17) dann wird der Web-basierte Zugriff automatisch auch für RemoteDeploy über SSL abgesichert. Unabhängig davon, wie auf den RemoteDeploy Manager zugegriffen wird, beginnt jede RemoteDeploy Session mit einer Login- Prozedur. Die Identifizierung und Berechtigungsprüfung stützt sich dabei auf die Benutzerkennung (Administrator Account), der während der Installation des Deployment Service festgelegt wurde, weil dieser Service jetzt vom RemoteDeploy Manager benützt wird. Unberechtigter Zugriff wird dadurch verhindert. Empfehlung 6 Authentifizierung und Autorisierung wird von dem RemoteDeploy Manager durchgeführt mit der Benutzerkennung, die während der Installation des Deployment Service angegeben wurde. Wenn es erforderlich ist, können Sie die Sicherheit noch erhöhen, indem Sie den Web Server, der vom RemoteDeploy Manager verwendet wird, so konfigurieren, dass er nur lokale http-anfragen akzeptiert Anmerkung: Wenn RemoteDeploy vom Win-32 basierten Front-end gestartet wird, dann wird die lokale Loop Back Address verwendet. In diesem Fall muss die Adresse zur Liste der Adressen hinzugefügt werden, die Zugriff auf den Web Server haben RemoteDeploy Service Während der Installation geben Sie die Benutzerkennung an, der später für die Authentifizierung und Autorisierung benützt wird, wenn Sie eine RemoteDeploy Session starten Arbeiten mit RemoteDeploy Hinzufügen eines neuen Servers Wenn ein neuer Server in Betrieb genommen wird, müssen die BMC-Einstellungen (BMC = Baseboard Management Controller) einschließlich der Benuterkennung, die den Zugriff auf den BMC schützt, eingestellt werden. Für BMC Firmware v2.x sind die Voreinstellungen für diesen Kennung: Benutzer oem mit Passwort oem oder Benutzer admin mit Passwort admin Es wird dringend empfohlen, diese voreingestellten Benutzerkennung schnellst möglich zu ändern (Siehe auch Empfehlung 27)

12 White Paper Ausgabe: 7. November 2006 Sicheres PRIMERGY Server Management Seite 12 / 28 Der Administrator kann für einen neuen Server auch festlegen, wie ein Shutdown erfolgen soll. Falls dafür die Methode Shutdown durch den ServerView-Agenten gewählt wird, muss ein Benutzername und Passwort festgelegt werden. Diese Benutzerkennung wird verwendet um SNMP-Set-Operationen auf verwalteten Rechnern auszuführen. Sie muss deshalb identisch sein mit der Benutzerkennung, die festgelegt wurde während der Installation der ServerView-Agenten auf den verwalteten Rechnern Siehe auch Empfehlung Referenzinstallation mit ServerStart Cloning verwendet Images. Der erste Schritt zum Erzeugen eines Images ist die Referenzinstallation, zum Beispiel auf einem Server Blade. Das Server Blade, das dafür verwendet wird, wird im folgenden auch Deployment Blade genannt. Es gibt zwei Möglichkeiten, diese Referenzinstallation durchzuführen, entweder lokal oder entfernt (remote). Voraussetzung für eine lokale Installation ist, dass ein CD-ROM und Floppy-Laufwerk über USB an dem Deployment Blade angeschlossen sind. Zusätzlich müssen über die BX300- bzw. BX600-Rückseite Monitor, Tastatur und Maus angeschlossen und mittels des KVM-Switches zum Deployment Blade durchgeschaltet sein. Diese vorbereitende Hardware-Konfiguration erfordert zwar zusätzlichen Aufwand, aber die lokale Installation bietet auch zwei wesentliche Vorteile im Vergleich zur remote Installation: Die lokale Installation ermöglicht den Guided Mode von ServerStart. Dabei wird die Hardwarekonfiguration des Zielsystems automatisch erkannt und analysiert, und diese Information wird dann automatisch während des gesamten Installationsprozesses berücksichtigt. Der Guided Mode ist deshalb die sicherste Art, eine fehlerfrei Installation des Deployment Blades durchzuführen. Da der komplette Installationsprozess lokal abläuft, gibt es keinerlei Sicherheitsprobleme. Für die entfernte Installation (Siehe auch Kapitel 4.1) müssen Sie keine spezielle Hardware-Konfiguration vornehmen, aber Sie müssen einen Deployment Server einrichten, von dem Sie die entfernte Installation durchführen können. Dieser Deployment Server kann ein PC oder Notebook sein und muss nicht der Deployment Server sein, der für den Deployment Service verwendet wird. Die entfernte Installation besteht aus zwei Schritten: Sie starten zuerst mit ServerStart im Preparation Mode, um das ServerStart Config File auf dem Deployment Server zu erzeugen. Im zweiten Schritt richten Sie dann den PXE und FTP Service auf dem Deployment Server ein, damit das Deployment Blade von dort ServerStart booten kann. ServerStart läuft dann im Unattended Mode mit dem im ersten Schritt erzeugten Config File. Die entfernte Installation hat jedoch auch zwei Nachteile: Im Preparatiuon Mode kann die Hardware-Konfiguration nicht automatisch erkannt werden, weil ServerStart dabei nicht auf der Ziel-Hardware läuft. Die entfernte Installation benötigt einen DHCP und PXE Service. Wenn es nur einen DHCP und PXE Service im LAN- Segment des Deployment Blades gibt, dann kann diese Konfiguration als sicher betrachtet werden, weil das Deployment Blade eindeutig genau diese Services finden wird. Falls es außer dem PXE Service, den Sie auf dem Deployment Blade installiert haben, noch weitere PXE Services gibt, sollten Sie folgendes prüfen: - Sind diese PXE Services passiv, d.h. reagieren sie ausschließlich auf Anfragen von konfigurierten MAC-Adressen? - Sind die PXE-Services vertrauenswürdig, d.h. die eingetragen MAC-Adressen überschneiden sich nicht mit MAC-Adressen des PXE Service auf dem Deployment Server? Falls diese Bedingungen nicht erfüllt sind, besteht die Gefahr, dass das Deployment Blade mit dem falschen PXE Service Kontakt aufnimmt, d.h. es wird nicht die beabsichtigte, sondern eventuell gefährliche Software auf dem Deployment Blade installiert. Empfehlung 7 Die sicherste Referenzinstallation ist die lokale Installation, die zusätzlich auch die Vorteile des Guided ServerStart Mode bietet, d.h. automatisches Erkennen und Konfigurieren der Hardware-Konfiguration. Wenn Sie remote installieren, sollten Sie folgendes überprüfen: - Gibt es neben dem PXE Service auf dem Deployment Server noch andere PXE Services im LAN-Segment? - Falls ja, sind diese PXE Services passiv, d.h. reagieren sie ausschließlich auf Anfragen von konfigurierten MAC-Adressen, und sind sie vertrauenswürdig, d.h. die eingetragen MAC-Adressen überschneiden sich nicht mit MAC-Adressen des PXE Service auf dem Deployment Server? - Wichtig: Falls es zwei PXE Services im LAN-Segment gibt, dann darf keiner von ihnen auf dem gleichen Rechner wie der DHCP Service installiert sein. In diesem Fall wäre nämlich ausschließlich dieser PXE Service für das Deployment Blade sichtbar Erzeugen des Images Wenn Sie ein Image erzeugen, müssen Sie einen Deployment Server und das gewünschte Referenzsystem auswählen. Dieser Deployment Server muss auf das Image Repository zugreifen können, das sie als shared Folder anlegen können, auf den entfernter Zugriff möglich ist. (Anmerkung: Wenn der Deployment Service und der Deployment Manager auf dem gleichen Rechner installiert sind und genügend Plattenspeicherplatz zur Verfügung steht, ist es auch möglich ein lokales Verzeichnis als Repository zu verwenden, das nicht shared sein muss.) Das Image Repository muss auch für den RemoteDeploy Manager erreichbar sein. Das heißt, sowohl der User Account, der während der Installation der Deployment Services angegeben wurde, wie auch der User Account, der während der Installation des Deployment Managers angegeben wurde, müssen alle Rechte für dieses shared Verzeichnis besitzen. Shared Permissions und Security Permissions sollten gesetzt sein. Aus Sicherheitsgründen sollten natürlich keine anderen Accounts Zugriff auf dieses shared Verzeichnis besitzen. (Es wird angenommen, dass ein NTFS Dateisystem verwendet wird.) Empfehlung 8 Stellen Sie sicher, dass das shared Verzeichnis, das als RemoteDeploy Image Repository verwendet wird, so konfiguriert ist, dass neben den beiden Accounts, die während der Installation des Deployment Services und während der Installation des RemoteDeploy Managers angegeben wurden, keine weiteren Accounts volle Zugriffsrechte für das Verzeichnis besitzen (Shared Permissions und Security Permissions)

13 White Paper Ausgabe: 7. November 2006 Sicheres PRIMERGY Server Management Seite 13 / 28 Wie im RemoteDeploy-Handbuch beschrieben, können sie dateisystem-abhängige und dateisystem-unabhängige Images erzeugen. In beiden Fällen werden die Images aus Sicherheitsgründen verschlüsselt. Dies verhindert dass Images von unberechtigter Seite eingeschleust werden können Cloning Intern bedeutet das Cloning eines Server Blades, dass das Server Blade für einen PXE Boot vorbereitet ist. Dies geschieht folgendermaßen: Der Deployment Service schickt einen SNMP-Request an den SNMP-Agenten auf dem RemoteView Management Blade, an den SNMP-Agenten auf dem verwalteten Server oder er kommuniziert über RMCP mit dem irmc. Für non-blade Server werden alternativ IPMI-Kommandos oder Wake-on-LAN (zusammen mit der manuellen Änderung der Boot Device Order) verwendet. Das Zielsystem reagiert auf diesen Set-Request, indem es die BIOS-Parameter so setzt, dass der nächste Boot-Vorgang über das PXE-Protokoll abläuft. Diese Umschalten auf PXE-Boot ist nur für einen Boot-Vorgang wirksam, d.h. nach dem PXE-Boot werden die BIOS-Parameter automatisch wieder mit den Standard-Werten besetzt. Sicherheit von SNMPv1 basiert auf Community Strings, die sowohl auf der Agenten-Seite wie auch auf der Manager-Seite bekannt sein müssen. Beachten Sie diesbezüglich die beiden bereits früher erwähnten Empfehlungen: Empfehlung 25 beschreibt das Einrichten der Community Strings auf dem RemoteView Management Blade. Empfehlung 12 beschreibt das Einrichten der Community Strings auf dem Win32-basierten ServerView und ServerView S2, die dann auch von dem dort sich integrierenden RemoteDeploy benützt werden Entfernte Massen-Installation RemoteDeploy ermöglicht auch entfernte Massen-Installationen, d.h. Sie können durch die Festlegung von entsprechenden Tasks bequem eine große Anzahl von Servern installieren. Dabei können die Server entweder alle mit der gleichen Konfigurationsdatei (Config File der Referenzinstallation) oder jeder Server mit einer individuellen Konfigurationsdatei installiert werden. Intern, wird eine solche Task in mehrere entfernte Installationsprozesse zerlegt, die von ServerStart wie im Kapitel 4.1 beschrieben durchgeführt werden. Das heißt, dass der Zugriff auf die ServerStart-Dateien durch Benutzername und Passwort geschützt ist. Wenn Sie eine Task für eine entfernte Masseninstallation festlegen, müssen Sie diese Benutzerkennung verwenden. Dies schützt vor unberechtigten entfernten Masseninstallationen mit RemoteDeploy. 5 SNMP-Agenten auf verwalteten Servern Dieses Kapitel beschreibt Sicherheitsaspekte mit SNMP-Agenten, die unter einem Ziel-Betriebssystem auf einem PRIMERGY Server oder PRIMERGY Blade Server laufen. SNMP-Agenten, die auf einem RemoteView Service Board (RSB)/Remote Management Controller (irmc) oder einem RemoteView Management Board eines Blade Servers laufen, werden im Kapitel 8 SNMP-Agenten für out-of-band Management betrachtet. Für die Verwaltung eines Systems mit ServerView ist es erforderlich, den SNMP-Service und die ServerView-Agenten auf diesem System zu installieren. Der ServerView-Agent erhält die Managementdaten vom System und übermittelt sie über SNMP an die Komponente, die dies Information angefordert hat, zum Beispiel an ServerView S2 oder den ServerView Alarm Manager. Der SNMP-Service muss auf beiden Seiten installiert sein: Auf dem verwalteten Server und auf dem Manager (zum Beispiel ServerView S2 oder den ServerView Alarm Manager). In diesem Kapitel betrachten wir nur den verwalteten Server. 5.1 SNMP-Service SNMP ist ein verbreitetes und viel genutztes Management-Protokoll. SNMP ist nicht sicher und bietet auch keine Verschlüsselung. Trotzdem kann ein Grundmaß an Sicherheit erreicht werden, wenn der SNMP-Service richtig konfiguriert wird. Die Verwendung der Standardeinstellungen muss vermieden werden. Hinweis: Wenn Sie die Standardeinstellungen auf dem verwalteten Server ändern, vergessen Sie nicht, auch die Einstellungen auf der Manager-Seite zu ändern. Empfehlung 9 Ändern Sie die Standardeinstellungen des SNMP-Service. Genauere Informationen finden Sie unten. Die SNMP-Serviceparameter können von Betriebssystemimplementierung zu Betriebssystemimplementierung variieren. Einzelheiten zur betriebssystemabhängigen Installation und Konfiguration sind im "ServerView"-Handbuch beschrieben. Falls verfügbar, sollten die folgenden Parameter entsprechend den folgenden Regeln gesetzt werden. Community Strings für die Annahme von SNMP-Anfragen: Der Community String ist Bestandteil eines jeden SNMP-Requests, der vom Manager zum Agenten gesandt wird. Dies ist der einzige Authentifizierungsmechanismus von SNMP, der allerdings unverschlüsselt ist. Die mangelnde Verschlüsselung kann ein Problem darstellen, aber von den meisten SNMP-Geräten wird der Default Community String "public" verwendet. Aus diesem Grund sollte dies in Übereinstimmung mit den Regeln geändert werden, die auch für Passwörter gelten. Wenn Sie die Default Community-Einstellungen auf der Agenten-Seite ändern, müssen Sie auch die Default-Einstellungen des Community String auf der Manager-Seite ändern. Im Prinzip können Sie für jeden Server oder jede Gruppe von Servern individuelle Communities verwenden. Community Strings können Zugriffsberechtigungen zugewiesen werden, zum Beispiel nur Lesen (read-only), Lesen und Schreiben (read-write) usw. Wenn Sie die umfassende ServerView-Funktionalität nutzen wollen, müssen Sie "read-write" verwenden, Sie können aber auch die Funktionalität von Agenten auf reine Leseoperationen ("read-only") beschränken. Hinweis: Der ServerView S2 wie auch das Win32-basiete ServerView unterstützt nur eine Community für SNMP-Anfragen. Aus diesem Grund sollten Sie hier keine zwei unterschiedlichen Communities, wie zum Beispiel "public" für reine Leseoperationen und "secret" für Lesen und Schreiben, konfigurieren.

14 White Paper Ausgabe: 7. November 2006 Sicheres PRIMERGY Server Management Seite 14 / 28 Annehmen von SNMP-Paketen von ausgewählten Servern/jedem Server: Hier sollten Sie explizit die IP-Adressen der Management-Applikation(en) definieren, und auch des Deployment Servers, falls Sie diesen verwenden. Dies verhindert, dass ein Agent SNMP-Anfragen von anderen Servern annimmt als dem Server/den Servern, auf dem/denen der/die Management Applikation(en) installiert ist/sind. Hinweis: In diesem Fall darf die IP-Adresse für die Management-Applikation(en) nicht über DHCP kommen. Trap Destination: Hier sollten Sie die IP-Adressen der Systeme explizit angeben, auf denen sich Management-Applikationen befinden, die Traps empfangen müssen. Hinweis: Die IP-Adresse für diese Management-Applikation(en) darf nicht über DHCP kommen. Community String für das Senden von Traps: Hier geben Sie den Community String an, der als Bestandteil eines SNMP-Traps an die Management-Applikation gesandt wird. Hinweis: Der SNMP-Service auf der Seite der Management-Applikation muss so konfiguriert sein, dass Traps mit diesem Community String angenommen werden. Aktivieren/Deaktivieren von Set Requests: Einige SNMP-Service-Implementierungen aktivieren bzw. deaktivieren die Möglichkeit des Agenten, SNMP Set Requests durchzuführen. Hinweis: Wenn Sie die umfassende ServerView-Funktionalität nutzen wollen, so müssen Sie diese auch hier aktivieren, aber Sie können die Agenten-Funktionalität auch auf reine Leseoperationen ("read-only") beschränken. 5.2 ServerView-Agenten Der einzige Authentifizierungsmechanismus von SNMP ist der Community String. Er wird als Klartext übertragen, weil SNMP die Verschlüsselung nicht unterstützt. Daher können Set-Operationen von SNMP als riskant betrachtet werden. Aber ServerView bietet am Front-end für benötigte Set-Operationen ein zusätzliches Leistungsmerkmal, eine Benutzerkennung mit Passwort. Diese werden auf dem verwalteten Server definiert. Wenn ein ServerView-Agent installiert wird, muss eine Benutzergruppe (lokal oder Domain) angegeben werden. Bevor der ServerView Manager eine SNMP Set-Operation an den verwalteten Server schickt, bittet er den Administrator, eine Kennung (Name und Passwort) einzurichten. Der ServerView Manager fragt den Agenten über SNMP nach dieser Kennung, die bei der Installation des Agenten angegeben wurde. Diese Informationen werden während des SNMP-Transports schwach verschlüsselt. Der Server Manager versendet den SNMP Set Request nur, wenn das der Agenten eingetragene Account dem Account entspricht, der vom Administrator angegeben wurde. Empfehlung 10 Geben Sie bei der Installation des Agenten eine Benutzergruppe an, die dann von ServerView S2 oder dem Win32- basierten ServerView für die Authentifizierung verwendet wird, bevor SNMP Set Requests an den Agenten versandt werden. Diese Benutzerkennung (Name und Passwort) wird ebenfalls von RemoteDeploy verwendet, wenn die Methode Shutdown durch ServerView-Agenten ausgewählt wird. Wenn diese Methode ausgewählt wird, muss die identische Benutzerkennung dafür festgelegt werden. 5.3 Absichern von SNMP Operationen mit IPsec Wie bereits erwähnt, bietet SNMP V1 keine Verschlüsselung. Dieser Mangel an Sicherheit kann umgangen werden, indem auf allen Knoten mit SNMP-Agenten oder Managern entsprechende IPsec Policies konfiguriert werden. Dies verhindert, dass potentielle Angreifer SNMP-Operationen abfangen oder manipulieren können. Jedoch verschlüsselt IPsec nicht automatisch den SNMP-Verkehr. Sie müssen dazu Filterspezifikationen in den entsprechenden Filterlisten zwischen SNMP-Managern und SNMP-Agenten konfigurieren (Siehe auch Tabelle Kommunikationspfade ). Eine detaillierte Beschreibung, wie Sie dies Filterlisten für Microsoft Betriebssysteme erzeugen und konfigurieren, finden Sie unter: Empfehlung 11 Falls es nötig ist, die Sicherheitsmängel von SNMP V1 zu umgehen, sichern Sie die SNMP-Operationen über IPsec ab. In einer Microsoft-Umgebung folgen Sie bitte dazu den Microsoft-Empfehlungen unter 6 Win32-basiertes ServerView, ServerView S2 6.1 SNMP Service Bevor Sie das Win32-basierte ServerView, den ServerView Alarm Service und/oder ServerView S2 auf dem Zentralen Management-Server (CMS) installieren, müssen Sie den SNMP Service so installieren und konfigurieren, dass SNMP-Traps von den Agenten empfangen werden können. Diese Konfiguration muss der Konfiguration der SNMP-Services auf den verwalteten Servern entsprechen. (Siehe Empfehlung 9: "Trap-Empfänger" und "Community String für das Senden von Traps".) Nach der Installation des Zentralen Management-Servers müssen Sie für jeden verwalteten Server oder jede Gruppe verwalteter Server folgende Konfiguration vornehmen: Community String, der verwendet werden muss, wenn der Zentralen Management-Server einen SNMP-Request an den Agenten des verwalteten Servers versendet. Konfigurieren Sie diesen Community String gemäß der Empfehlung 9, "Community Strings für die Annahme von SNMP-Requests" konfigurieren.

15 White Paper Ausgabe: 7. November 2006 Sicheres PRIMERGY Server Management Seite 15 / 28 Empfehlung 12 Falls Sie RemoteDeploy für das Installieren/Clonen von Server Blades einsetzen, müssen Sie im Win-32-basierten ServerView oder ServerView S2 die RemoteView Management Blades dieser Blade Server als verwaltetete Server eintragen. Der Grund dafür ist, dass RemoteDeploy SNMP-Requests an diese Management Blades schicken muss. RemoteDeploy ist in das Win-32-basierte ServerView oder ServerView S2 integriert und benützt deshalb die Konfiguration der SNMP Community Strings dieser Komponenten. Die ServerView-Agenten und der Zentrale Management-Server kommunizieren über SNMP. Da SNMP weder eine Verschlüsselung, noch eine sichere Authentifizierung bietet, wird dringend empfohlen, sowohl den Zentralen Management- Server, als auch die ServerView-Agenten hinter einer Firewall zu installieren. SNMP darf die Firewall nicht überqueren. Empfehlung 13 Installieren Sie sowohl den Zentralen Management-Server als auch die ServerView-Agenten auf den verwalteten Servern hinter einer Firewall, die die SNMP-Kommunikation schützt. 6.2 Installation der Web Server für ServerView S2 Der große Vorteil von ServerView S2 ist die Möglichkeit, dass dieses Tool hinter der Firewall im Intranet ablaufen kann, Sie aber trotzdem über jeden Web-Browser im Internet auf dieses Management-Tool zugreifen können - zu jeder Zeit und an jedem Ort. Unter Sicherheitsaspekten kann jede Installation eines Web Servers zu Sicherheitslücken in einer vorhandenen Konfiguration führen. Dieses Risiko kann minimiert werden, wenn Sie einige Regeln befolgen. Die Ausbaufähigkeit der Web Server ist ein Grund, warum die Installation eines Web Servers zu einer Sicherheitslücke führen kann. ServerView S2 ist für den Ablauf auf Microsoft IIS oder auf dem Apache Web Server implementiert. Aus diesem Grund werden keine Microsoft-spezifischen Schnittstellen für die Erweiterung des Web Servers verwendet. Die Erweiterbarkeit basiert auf dem Standard CGI Interface. Aus diesem Grund können nur Sicherheitslücken relevant werden, die sich aus der Verwendung von CGI ableiten. Das ServerView Handbuch enthält einige Abschnitte über die Installation der Web Server. Die Web Server sind keine Fujitsu Siemens Computers Produkte. Aus Sicherheitsgründen müssen Sie deshalb auch die Hinweise der Anbieter der Web Server berücksichtigen. Empfehlung 14 Entfernen Sie alle CGI-Beispielprogramme. Verwenden Sie die Patches für bekannte Schwachstellen. Stellen Sie sicher, dass Ihr CGI bin-verzeichnis keine Compiler oder Interpreter enthält. Verwenden Sie für Ihren Web Server keine Administrator- oder Root-Berechtigungen, wenn diese nicht erforderlich sind. (Für ServerView sind diese Berechtigungen nicht erforderlich.) Microsoft hat auch ein Strategic Technology Protection Program gestartet, das im Wesentlichen aus den beiden Schritten "Get Secure" (Sicherheit herstellen) und "Stay Secure" (Sicherheit aufrechterhalten) besteht ( ). Hierfür stellt das Unternehmen Toolkits und Checklisten bereit, die heruntergeladen werden können (http://msdn.microsoft.com/library/enus/dnnetsec/html/cl_index_of.asp. Es gibt außerdem besondere Sicherheits-Checklisten für Internet Information Server. Empfehlung 15 Befolgen Sie die Sicherheits-Checklisten von Microsoft Securing Your Web Server, die unter der folgenden Adresse heruntergeladen werden können: 6.3 SSL für ServerView S2 Wenn Sie von einem Web-Browser außerhalb des durch die Firewall geschützten Intranets auf ServerView S2 zugreifen wollen, sollten Sie die Verbindung vom Web-Browser zum Zentralen Management-Server durch Secure Socket Layer (SSL) sichern. SSL wird mit IIS 4.0 und späteren Versionen bereitgestellt. Wie Sie IIS oder Apache mit SSL installieren, ist im PRIMERGY SererView Suite Installation beschrieben. Das Leistungsmerkmal SSL der Web Server bietet eine sichere, verschlüsselte Verbindung zwischen dem Web-Browser und dem Web Server. Es besteht auch die Möglichkeit den Web Server so zu konfigurieren, dass auch eine Authentifizierung durch eine Benutzerkennung (Name und Passwort) durchgeführt wird. (Übrigens kann diese Authentifizierung auch ohne die Verwendung von SSL durchgeführt werden.) Sie können entscheiden, welche Informationen (Verzeichnis) durch diese Authentifizierung geschützt werden sollen. So müssen beispielsweise Management-Daten geschützt werden, Hilfetexte dagegen benötigen keinen Schutz. Empfehlung 16 Falls die Verbindung zwischen dem Web-Browser und ServerView S2 das Internet nutzt, sollten Sie diese Verbindung durch SSL einschließlich der Authentifizierung durch Benutzerkennungen sichern. Die Konfiguration von Microsoft IIS bzw. Apache für SSL ist im Handbuch PRIMERGY SererView Suite Installation beschrieben. Für SSL-Verschlüsselung ist ein Zertifikat Voraussetzung. Die ServerView Suite wird mit einem solchen Zertifikat ausgeliefert, das jedoch nur für Testzwecke und nicht für den normalen Betrieb gedacht ist. Es wird deshalb dringend empfohlen, dieses Zertifikat durch ein gültiges Zertifikat von einer externen oder internen Zertifizierungsstelle zu ersetzen. Im Detail ist dies im Handbuch PRIMERGY ServerView Suite Installation beschrieben.

16 White Paper Ausgabe: 7. November 2006 Sicheres PRIMERGY Server Management Seite 16 / 28 Empfehlung 17 Wenn Sie SSL-Verschlüsselung für den ServerView Web Server verwenden, wird dringend empfohlen, das Default- Zertifikat durch ein gültiges Zertifikat von einer externen oder internen Zertifizierungsstelle zu ersetzen. 6.4 Set-Operationen mit Benutzerauthentifizierung Falls Sie während der Installation der SNMP-Agenten auf den verwalteten Servern Benutzerkennungen festgelegt haben um die SNMP-Set-Operationen vom Win-32-basierten ServerView oder von ServerView S2 abzusichern (Empfehlung 10), dann müssen Sie diese Benutzerkennung auch während der Konfiguration des Win-32-basierten ServerView oder von ServerView S2 verwenden. Grundsätzlich kann dies für jeden verwalteten Server individuell geschehen, aber Sie können auch mehrere Server auswählen und diesen mit einer einzigen Konfigurationsoperation ( Setting properties for server ) die gleiche Benutzerkennung zuweisen. Bemerkung: Diese Benutzerauthentifizierung funktioniert nur mit den Komponenten der ServerView Suite, jedoch nicht mit anderen SNMP-Werkzeugen. 6.5 Alarm Service und Antiviren-Programme Der Alarm Service kann so konfiguriert werden, dass er Administratoren durch s über bestimmte Ereignisse informiert. Wenn auf der zentralen Managementstation, wo der Alarm Service installiert ist, eine Antiviren-Programm läuft, kann es sein, dass dieses verhindert, dass der Alarm Service s verschickt. Damit der Alarm Service trotzdem den Administrator durch s informieren kann, muss das Antiviren-Programm so konfiguriert werden, dass es den folgenden Prozessen das Versenden von s erlaubt: Windows: blat.exe Linix, Solrais: smtpm 7 Update Management Das Update-Management der PRIMERGY ServerView Suite bietet dem Administrator eine bequeme Möglichkeit, unterschiedliche Komponenten der verwalteten Server auf den neuesten Stand zu bringen. Download Manager Im ersten Schritt sucht der Download Manager automatisch nach den neuesten verfügbaren Updates und stellt sie auf dem zentralen Management-Server (CMS) zur Verfügung. Global Flash GlobalFlash ermöglicht die zuverlässige, netzwerkweite Aktualisierung von BIOS, Firmware, Treibern, ServerView- und GlobalFlash-Agenten über eine grafische Benutzeroberfläche (Online-Update) oder ein Web-basietes GUI. Sie können automatisch mehrere Server gleichzeitig aktualisieren. Dieser Vorgang wird vom Management-Server gesteuert. GlobalFlash verwendet neben den eigentlichen Update-Dateien auch Informationsdateien. Diese Dateien müssen sich entweder - auf dem zentralen Management-Server in dem Verzeichnis, das der Download Manager verwendet, befinden, oder - auf der ServerSupport CD2, oder - im Internet (FSC-Support-GlobalFlash) Boot-fähige Update CD Mithilfe der boot-fähigen Update CD können Sie sowohl die Firmware von Server-Komponenten wie auch das Server-BIOS lokal auf dem verwalteten Server aktualisieren, bevor das Betriebssystem installiert wird (Offline BIOS/Firmware Update). 7.1 Download Manager Der Download Manager besteht aus dem Download Service und einer grafischen Benutzeroberfläche (GUI), die aus dem Win32-basierten ServerView, aus ServerView S2 heraus oder über das Windows Start Menü geöffnet werden kann. Für einen Server oder eine Gruppe von Servern legen Sie fest, wann und wie oft der Download Manager die Download Tasks starten soll. Beim Ausführen einer Download Task überträgt der Download Manager folgendes vom FSC Web Server zum zentralen Management Server: die für die Aktualisierung benötigten Informationsdateien, die Update-Dateien für GlobalFlash und die aktuelle Version Manager Datenbank. Das Ziel für die Downloads ist ein Verzeichnis auf dem zentralen Management Server. Die Quelle ist der FSC Web Server. Alle Downloads gehen über das Internet und die Dateien sind nicht signiert. Falls Sie in Ihrer Umgebung sehr hohe Sicherheitsanforderungen haben, kann es sein, dass Ihnen dieser bequeme Weg des Downloads zu risikoreich erscheint. Empfehlung 18 Falls Sie die Übertragung der nicht signierten Dateien vom FSC Web Server zum zentralen Management Server über das Internet als zu gefährlich einstufen, können Sie stattdessen die ServerSupport CD2 verwenden. Eine aktuelle Version dieser CD ist zwei-monatlich verfügbar. 7.2 Global Flash Mit GlobalFlash können Sie Firmware, BIOS und Treiber, sowie ServerView- und GlobalFlash-Agenten auf den verwalteten Servern vom zentralen Management Server aus aktualisieren. Die dafür nötigen aktuellen Dateien können sich in einem Verzeichnis auf dem zentralen Management Server befinden (wo sie z.b. der Download Manager hin übertragen hat), oder Sie können die ServerSupport CD verwenden.

17 White Paper Ausgabe: 7. November 2006 Sicheres PRIMERGY Server Management Seite 17 / 28 Abhängig davon, was aktualisiert werden soll, unterstützt GlobalFlash folgende Abläufe: On-line Update zur Aktualisierung von Treibern und Agenten In diesem Fall werden die Aktionen über das aktive Betriebssystem gesteuert. Off-line Update von BIOS und Firmware In diesem Fall muss die Aktualisierung in einer DOS-Umgebung durchgeführt werden. GlobalFlash steuert den Boot- Prozess von DOS und dann wieder zurück zum eigentlichen Betriebssystem. Wie im Handbuch Global Flash beschrieben, besteht GlobalFlash aus den folgenden Komponenten: GlobalFlash (Manager), installiert auf dem zentralen Management Server GlobalFlash Agent, installiert auf jedem verwalteten Server GlobalFlash PXE Server Agent, installiert auf einem PXE Server (falls nötig). Das Aktualisieren von Firmware, BIOS, Treibern und Agenten ist eine Aktion, die geschützt werden muss. Unberechtigtes Aktualisieren von Firmware, BIOS, Treibern oder Agenten kann zu ernsthaften Problemen auf Ihren Servern führen. Deshalb bietet GlobalFlash Verfahren zur Authentifizierung von Berechtigten, die im Handbuch GlobalFlash im Kapitel 4.13 beschrieben sind. GlobalFlash verwendet dafür ein ähnliches Verfahren, wie es für die Absicherung von SNMP Set-Operationen verwendet wird: Der Administrator muss sich erfolgreich beim Agenten einloggen, bevor er Aktualisierungen starten kann. Es wird deshalb dringend empfohlen, bei der Installation der GlobalFlash-Agenten diese Option auszuwählen. Empfehlung 19 Richten Sie auf den verwalteten Servern eine Benutzergruppe mit Benutzer(n) ein, bevor Sie die GlobalFlash-Agenten installieren. Wählen Sie während der Installation der GlobalFlash-Agenten im Bildschirm Security Settings die Option Account Check aus und verwenden Sie die eingerichtete Benutzergruppe als Flash User Group. Damit stellen Sie sicher, dass ein Benutzer von GlobalFlash nur dann die Berechtigung für Aktualisierungen besitzt, wenn er sich erfolgreich mit dem korrekten Benutzernamen und Passwort eingeloggt hat. Empfehlung 20 Falls Sie aus Sicherheitsgründen die lokale Aktualisierung von Treibern und ServerView-Agenten bevorzugen, können Sie auch die lokale Kommandoschnittstelle des GlobalFlash-Agenten verwenden. Empfehlung 21 Falls Sie aus Sicherheitsgründen für das Flashen von Firmware und für die Aktualisierung des Server-BIOS lokale Werkzeuge bevorzugen, dann steht Ihnen anstelle des Download Managers und GlobalFlash dafür auchdie bootfähige Update CD zur Verfügung. 7.3 Boot-fähige Update CD Bisher haben wir gesehen, dass die Update CD alle Daten und Dateien enthält, die GloablFlash für Aktualisierungsvorgänge benötigt. Die ServerSupport CD 2 hat jedoch auch noch eine andere Funktion: Die Funktion Boot-fähige Update CD der ServerSupport CD2 ist eine eigenständige Management-Komponente der PRIMERGY ServerView Suite. Mit ihr ist es möglich, die Firmware verschiedener Serverkomponenten und das Server-BIOS lokal auf den verwalteten Servern zu aktualisieren bevor das Betriebssystem installiert wird. Natürlich kann es auch für bereits installierte Server verwendet werden. 8 SNMP-Agenten für out-of-band Management Kapitel 5 SNMP-Agenten auf verwalteten Servern hat das Thema Sicherheit für SNMP-Agenten auf verwalteten Servern mit installiertem Betriebssystem behandelt, d.h. im Zusammenhang mit in-band Management. In-band Management bedeutet, dass die Hardware des verwalteten Servers und auch das darauf installierte Ziel-Betriebsystem Voraussetzung sind, um auf die Managementinformation zuzugreifen. Außerdem muss noch eine entsprechende Software, zum Beispiel ein SNMP-Agent auf dem Ziel-Betriebssystem installiert sein. Out-of-band Management setzt kein laufendes Ziel-Betriebssystem voraus, um auf die Managementinformation des verwalteten Servers zuzugreifen. Zwei Fälle sind zu unterscheiden: Auf dem verwalteten Server läuft ein spezielles Management- oder Diagnose-Betriebssystem Eine vollständig unabhängige Hardware-Komponente wird benützt, um auf die Managementinformation des verwalteten Rechners zuzugreifen. Beispiele für solche Hardware sind: BMC, irmc, RSB/ RSB S2/ RSB S2 LP (3HU) oder eine RemoteView Management Board eines Blade Servers. Dieses Kapitel behandelt Sicherheitsthemen mit SNMP-Agenten, die auf solcher spezieller Management-Hardware laufen. Das SNMP-Protokoll muss auf beiden Seiten verfügbar sein, auf der speziellen Management-Hardware und auf dem RemoteView Front-End. Dieses Kapitel betrachtet nur die spezielle Management-Harware. RemoteView Front-Ends werden im nächsten Kapitel betrachtet. 8.1 auf RSB / RSB S2 / RSB S2 LP / irmc Das RemoteView Service Board (RSB) ist ein PCI Board mit eigenem Betriebssystem und eigener Stromversorgung und läuft damit vollständig unabhängig vom eigentlichen verwalteten Server. Ein RSB hat auch seinen eigenen Web Server, eigene SNMP-Agenten, eigene Benutzerverwaltung und einen eigenen Event Manager für das Weiterleiten von Alarmen. Der Remote Management Controller (irmc) ist eine entsprechende on-board Lösung. Auch hier können Sie SNMP Communities mit entsprechenden Rechten konfigurieren und auch Trap Destinations. SNMP Communities, die auf dem RSB/iRMC konfiguriert sind, müssen auch in der Server-Liste des Win32-basierten ServerVView/ServerView S2 konfiguriert sein, weil sonst der SNMP-Agent des RSB/iRMC die SNMP-Nachrichten dieser Front- Ends nicht akzeptiert. Sie sollten die SNMP-Agenten des RSB/iRMC nach denselben Regeln konfigurieren, die Sie beim

18 White Paper Ausgabe: 7. November 2006 Sicheres PRIMERGY Server Management Seite 18 / 28 Konfigurieren der auf dem Zielbetriebssystem laufenden SNMP-Agenten verwenden. Diese wurde im Kapitel 5 SNMP-Agenten auf verwalteten Servern beschrieben. SNMP Set-Operationen sollten wenn überhaupt nur hinter einer Firewall oder mit einem dedizierten Management-Netz erlaubt werden, außer wenn sie im Rahmen die Verwendung von RemoteDeploy erforderlich sind. Aktives Management, das über SNMP angestoßen wird, kann ebenso über eine SSL-gesicherte Web-basierte Benutzeroberfläche oder über SSLgesichertes Telnet durchgeführt werden. Umfangreiche Sicherheitsfunktionen des RSB stellen dann sicher, dass diese Operationen ausschließlich von berechtigten Benutzern durchgeführt werden können. Die Authentifizierung erfolgt über Benutzernamen und Passwort (gesicherter Transfer), wobei die Benutzernamen mit unterschiedlichen Rechten versehen werden können. Mit dem SSL-Protokoll (Secure Sockets Layer) wird sowohl der Datentransfer über die Web-basierte Benutzeroberfläche als auch über die Konsole verschlüsselt. Die Kommunikation übers Modem kann dadurch gesichert werden, dass die Verbindung vom verwalteten Server in Richtung Administrator aufgebaut wird (Call back). Zusätzlich werden Aktivitäten in Log-Dateien aufgezeichnet. Empfehlung 22 Aus Sicherheitsgründen sollten die SNMP Communities auf dem RSB/iRMC nur mit Leseberechtigung konfiguriert werden. Aktives Management über SNMP sollte vermieden werden, weil eine SSL-gesicherte Alternative für die Web- Oberfläche oder Telnet zur Verfügung steht. Das RSB/iRMC verfügt über ein eigenes Event-Management. Während SNMP-Agenten nur mittels SNMP Traps über Ereignisse informieren können, kann der Event Manager auf dem RSB/iRMC so konfiguriert werden, dass er den Administrator über Pager, Mail, SMS oder SNMP Trap benachrichtigt. SNMP Traps können verloren gelten und gelten deshalb als unzuverlässig. Die anderen Alternativen hingegen gelten als hinreichend zuverlässig. Empfehlung 23 Um dem Verlust von Ereignis-Benachrichtigungen vorzubeugen, wird empfohlen, den Event Manager auf dem RSB/iRMC bzw. auf dem Management Blade so zu konfigurieren, dass die Benachrichtigung nicht ausschließlich über SNMP Traps erfolgt. 8.2 auf dem RSB als Konzentrator Wenn ein RSB als Konzentrator eingesetzt wird, dann unterstützt es nicht nur entferntes Management für den PRIMERGY Server, in dem es eingebaut ist, sondern zusätzlich für bis zu 9 weitere PRIMERGY Server. In diesem Fall läuft ein SNMP- Agent mit einer ServerView-spezifischen MIB auf dem RSB. Dieser SNMP-Agent kommuniziert mit den BMCs jener Server, für die er als Konzentrator agiert. Bezüglich Sicherheit müssen in diesem Fall die folgenden zwei Kommunikationspfade betrachtet werden: SNMP-Kommunikation mit dem Agenten auf dem RSB Kommunkation zwischen dem RSB und den BMCs auf den anderen Servern Bezüglich der SNMP-Kommunikation sollten auch hier die Empfehlung 22 und die Empfehlung 23 des vorhergehenden Kapitels angewendet werden. Bezüglich der Kommunikation zwischen dem RSB und den BMCs ist festzustellen, dass die entsprechenden Parameter festgelegt werden, wenn der verwaltete Server einem RSB als Konzentrator zugeordnet wird. Dabei kann neben der IP-Adresse und dem Namen des Servers auch die Authentifizierungsmethode für die IPMI-basierte Kommunikation zwischen dem RSB und dem BMC festgelegt werden. Dafür stehen die folgenden Alternativen zur Verfügung: Keine Authentifizierung MD5, d.h. Benutzername und Passwort werden vor dem Zugriff auf den BMC abgefragt; das Passwort wird verschlüsselt übertragen. straight password, d.h. Benutzername und Passwort werden vor dem Zugriff auf den BMC abgefragt; das Passwort wird nicht verschlüsselt. Aus Sicherheitsgründen sollte immer die Alternative MD5 gewählt werden. Bitte achten Sie darauf, dass auch die BMCs auf den verwalteten Servern entsprechend konfiguriert sind, d.h. sie sollten nur Anfragen akzeptieren, deren Herkunft durch Benutzernamen und verschlüsseltes Passwort sichergestellt werden kann. Empfehlung 24 Wenn Sie ein RSB als Konzentrator verwenden, sollte die Kommunikation zwischen dem RSB und dem zugeordneten verwalteten Server so konfiguriert sein, dass MD5 für die Authentifizierung verwendet wird. 8.3 auf dem RemoteView Management Blade Das Management Blade wird auch von RemoteDeploy verwendet. Bei der Auslieferung ist das Management Blade nicht mit einer Default Community vorkonfiguriert. Wenn Sie RemoteDeploy einsetzen, müssen Sie deshalb eine entsprechende SNMP Community konfigurieren. Ältere Management Blades verwenden diesen Community String für Get und Set Operationen. Neuere Management Blades erlauben es, Community Strings mit unterschiedlichen Rechten zu versehen. Das Management Blade unterstützt auch das Filtern von SNMP-Adressen, d.h. Sie können IP-Adressen festlegen von denen SNMP-Anfragen akzeptiert werden. Anfragen, die von anderen Adressen kommen, werden abgelehnt. Es wird dringend empfohlen, solche Filter anhand der Tabellen im Kapitel 3.1 Kommunikationspfade anzulegen. Empfehlung 25 Wenn Sie RemoteDeploy einsetzen, dann müssen Sie für den SNMP Service auf dem RemoteView Management Board einen Community String konfigurieren. Es wird auch dringend empfohlen, SNMP Address Filter anhand der Tabellen im Kapitel 3.1 Kommunikationspfade anzulegen.

19 White Paper Ausgabe: 7. November 2006 Sicheres PRIMERGY Server Management Seite 19 / 28 9 RemoteView Wie bereits erwähnt, verwenden einige Komponenten der ServerView Suite, wie ServerView S2 oder RemoteDeploy, out-ofband SNMP Agenten für Managementzwecke. Die wichtigste Komponente innerhalb der ServerView Suite zur Unterstützung von out-of-band Management ist jedoch RemoteDeploy. RemoteDeploy umfasst die folgenden Komponenten: RemoteView Software Front-ends RemoteView Test und Diagnose Software (RTDS) RemoteView Service Board (RSB/RSB S2) oder on-board Remote Management Controller (irmc) RemoteView Management Blade BMC Manager Mit diesen Komponenten können viele unterschiedliche Management-Lösungen aufgebaut werden. Wenn kein Ziel-Betriebssystem läuft, aber die Rechner-Hardware (oder wenigstens Basisfunktionen) funktionsfähig ist, sind folgende Management-Lösungen möglich: RemoteView/LAN Front-end und BMC/IPMI. RemoteView/Web Front-end und BMC/IPMI. RemoteView/LAN Front-end mit RemoteView Software (RomPilot) RemoteView Modem Front-end mit RemoteView/Diagnostic System (chipdisk/rtds) Paralleles Management mit Zugriff über das RemoteView Service Board (RSB/ RSB S2/ RSB S2 LP (3HU)), den Remote Management Controller (irmc) oder das RemoteView Management Blade mittels SNMP oder HTTP (Web). RemoteView/LAN, Web oder Modem Front-end; Web Browser, Telnet oder Terminal Client Wenn kein Ziel-Betriebssystem läuft und die Rechner-Hardware nicht funktionsfähig ist, dann sind die folgenden Management- Lösungen möglich: Paralleles Management mit Zugriff über das RemoteView Service Board (RSB/ RSB S2/ RSB S2 LP (3HU)), den Remote Management Controller (irmc) oder das RemoteView Management Blade mittels SNMP oder HTTP (Web); RemoteView/LAN, Web oder Modem Front-end; Web Browser, Telnet oder Terminal Client Entferntes Management mit dem RemoteView/LAN Front-end und BMC/IPMI (zum Beispiel Text-Konsol-Umleitung oder Power Management) BMC Manager mit BMC/IPMI Die nachfolgenden Abschnitte behandeln diese Lösungen unter Sicherheitsaspekten. Das folgende Bild zeigt schematisch die Pfade zwischen dem Administrator und den verwalteten Servern und an welchen Stellen Benutzerkennungen gegen unberechtigten Zugriff schützen. Administrator Web Browser RV/Modem Front-end RV/LAN Front-end BMC Manager ServerView S2 Benutzerkennung Benutzerkennung Benutzerkennung RV/Web Front-end RTDS RomPilot Benutzerkennung Benutzerkennung Benutzerkennung RSB Benutzerkennung Benutzerkennung irmc RSB S2 RSB S2 LP Benutzerkennung RV Management Blade Primergy BMC Verwaltete Server Bild 3: RemoteView-Komponenten und Schutz durch Benutzerkennungen

20 White Paper Ausgabe: 7. November 2006 Sicheres PRIMERGY Server Management Seite 20 / 28 Viele Komponenten werden mit voreingestellten Benutzerkennungen ausgeliefert. Die nachfolgende Tabelle zeigt diese Benutzerkennungen, die so schnell wie möglich verändert werden sollten. Komponente irmc RSB RSB S2 Management Blade Voreingestellte Benutzerkennung Name/Passwort: admin/admin Name/ Passwort: admin/admin (Fujitsu Japan: root/fsc) Name/ Passwort: admin/admin Name/ Passwort: admin/admin BMC 9.1 RemoteView/LAN Front-end Name/ Passwort: admin/admin oder OEM/OEM Das RemoteView/LAN Front-end ist eine Arbeitsumgebung, in der die verschiedenen Fenster für Konsolumleitungen zur Verfügung stehen. Welche Fenster angezeigt werden hängt davon ab, über welche Hardware die Verbindung zum verwalteten Server aufgebaut ist. Das RemoteView/LAN Front-end verhindert unberechtigten Zugriff auf verwaltete Server durch Passwort-Schutz. Dieser Schutz stehet sowohl auf der Front-end-Seite wie auch auf dem Zielsystem (BMC, RomPilot, RSB, RSB S2, RSB S2 LP, RemoteView Management Blade) zur Verfügung. Wenn Sie das RemoteView/LAN Front-end das erste Mal starten, werden Sie aufgefordert ein Passwort einzugeben und dieses zu bestätigen. Hier sollten Sie ein Passwort eingeben, das der Sicherheitsstrategie Ihres Unternehmens entspricht. Empfehlung 26 Schützen Sie den Zugang zum RemoteView/LAN Front-end mit einem Passwort, das der Sicherheitsstrategie Ihres Unternehmens entspricht RemoteView/LAN Front-end mit BMC/IPMI In diesem Fall bietet das RemoteView/LAN Front-end die folgenden Fenster an: Das Remote IPMI Manager Fenster, mit dem Sie auf den Baseboard Management Controller (BMC) zugreifen können Das Telnet Konsol-Fenster, falls eine Konsolumleitung vom Remote IPMI Manager Fenster, das mit einem BMC mit Firmware V2.x verbunden ist, gestartet wurde. Der Zugriff vom IPMI Manager auf den BMC ist durch Benutzername/Passwort geschützt. BMCs werden mit vorkonfigurierten Passwörtern ausgeliefert. Aus Sicherheitsgründen wird dringend empfohlen, die vorkonfigurierten Passwörter schnellst möglich zu ändern, zum Beispiel durch das Server Management Werkzeug, das Bestandteil des RemoteView/Diagnostic Systems ist. Empfehlung 27 Es wird dringend empfohlen, die vorkonfigurierten Passwörter auf den BMCs schnellst möglich zu ändern RemoteView/LAN Front-end mit RemoteView Software (RomPilot) In diesem Fall bietet das RemoteView/LAN Front-end das folgende Fenster an: Das RomPilot Konsol-Fenster, falls die Verbindung zum verwalteten Server über die RomPilot-Erweiterung des BIOS hergestellt ist. Der Zugriff über RomPilot ist durch Benutzername/Passwort geschützt. Diese werden während der Einstellung von RomPilot auf dem verwalteten Server festgelegt. Das Passwort wird bei jedem Verbindungsaufbau abgefragt und muss während der POST-Phase des Servers eingegeben werden. Es ist im Prinzip möglich, RomPilot so zu konfigurieren, dass diese Passwortabfrage beim Verbindungsaufbau unterdrückt wird. Aber bedenken Sie, dass dadurch erhebliche Sicherheitsrisiken entstehen. Empfehlung 28 Aus Sicherheitsgründen sollten Sie die Passwortabfrage durch RomPilot nicht unterdrücken. 9.2 RemoteView/Web Front-end mit BMC/IPMI Das RemoteView/Web Front-end ist eine Arbeitsumgebung, in der die verschiedenen Fenster für Konsolumleitungen zur Verfügung stehen. Auf dem entfernten Arbeitsplatz wird lediglich ein Standard Web Browser vorausgesetzt. Das RemoteView/Web Front-end wird von ServerView S2 aus gestartet, dessen Installation vorausgesetzt wird. Unberechtigte Benutzung des RemoteView/Web Front-end wird deshalb bereits durch die Login-Prozedur von ServerView S2, die im Kapitel 6.3 SSL für ServerView S2 beschrieben ist, verhindert. Bezüglich der Konfiguration des BMC wird auf die Empfehlung 27 verwiesen. 9.3 RemoteView/Modem Front-end mit RemoteView/Diagnostic System (chipdisk/rtds) Sie können einen PRIMERGY Server so konfigurieren, dass das RemoteView/Diagnostic System (RTDS) automatisch gestartet wird, falls das Zielbetriebssystem nicht erfolgreich hochfährt. Daneben ist es auch möglich, RTDS explizit auf einem Server zu booten entweder lokal oder entfernt über ServerView. Die RTDS-Funktionen für den verwalteten Server stehen über das RemoteView/Modem Front-end zur Verfügung. Sie können ein Modem benützen, um damit die Verbindung zwischen dem verwalteten Server und dem entfernten Arbeitsplatz über das RemoteView/Modem Front-end aufzubauen.

Sicheres PRIMERGY Server Management Enterprise Security

Sicheres PRIMERGY Server Management Enterprise Security Sicheres PRIMERGY Server Management Enterprise Security Ausgabe Mai 2009 Seiten 30 PRIMERGY Server Management Sicherheit für hochverfügbare Plattformen Sicherheit ist wichtig für geschäftskritische IT

Mehr

Remote-Administration von eingebetteten Systemen mit einem Java-basierten Add-On-Modell

Remote-Administration von eingebetteten Systemen mit einem Java-basierten Add-On-Modell Remote-Administration von eingebetteten Systemen mit einem Java-basierten Add-On-Modell F. Burchert, C. Hochberger, U. Kleinau, D. Tavangarian Universität Rostock Fachbereich Informatik Institut für Technische

Mehr

SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse

SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse Fakultät Informatik Institut für Systemarchitektur Professur für Rechnernetze SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse Versuchsvorgaben (Aufgabenstellung) Der neu zu gestaltende Versuch

Mehr

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung 6. Zone Defense 6.1 Einleitung Im Folgenden wird die Konfiguration von Zone Defense gezeigt. Sie verwenden einen Rechner für die Administration, den anderen für Ihre Tests. In der Firewall können Sie entweder

Mehr

PLESK 7 FÜR WINDOWS INSTALLATIONSANLEITUNG

PLESK 7 FÜR WINDOWS INSTALLATIONSANLEITUNG PLESK 7 FÜR WINDOWS INSTALLATIONSANLEITUNG Copyright (C) 1999-2004 SWsoft, Inc. Alle Rechte vorbehalten. Die Verbreitung dieses Dokuments oder von Derivaten jeglicher Form ist verboten, ausgenommen Sie

Mehr

ISO INTERCOM School Office

ISO INTERCOM School Office ISO INTERCOM School Office Zusammenfassung der Systemvoraussetzungen und Systemkonfiguration Alle Rechte vorbehalten! 2015 INTERCOM GmbH (se) Das nachfolgende Dokument behandelt einige der häufigsten Support-Anfragen

Mehr

Thema: Systemsoftware

Thema: Systemsoftware Teil II 25.02.05 10 Uhr Thema: Systemsoftware»Inhalt» Servermanagement auf BladeEbene» Features der ManagementSoftware» Eskalationsmanagement» Einrichten des Betriebssystems» Steuerung und Überwachung»

Mehr

estos XMPP Proxy 5.1.30.33611

estos XMPP Proxy 5.1.30.33611 estos XMPP Proxy 5.1.30.33611 1 Willkommen zum estos XMPP Proxy... 4 1.1 WAN Einstellungen... 4 1.2 LAN Einstellungen... 5 1.3 Konfiguration des Zertifikats... 6 1.4 Diagnose... 6 1.5 Proxy Dienst... 7

Mehr

AixVerein 2.0 - Anleitung zur Einrichtung des

AixVerein 2.0 - Anleitung zur Einrichtung des Seite 1/6 AixVerein 2.0 - Anleitung zur Einrichtung des Datenbank-Servers und der Dokumentenablage Bei der vorliegenden Anwendung handelt es sich um eine Client-Server-Anwendung, d.h. die Software wird

Mehr

Aktualisierungsrichtlinie für die KMnet Admin Versionen 3.x und 2.x

Aktualisierungsrichtlinie für die KMnet Admin Versionen 3.x und 2.x Aktualisierungsrichtlinie für die KMnet Admin Versionen 3.x und 2.x Dieses Dokument beschreibt, wie KMnet Admin aktualisiert wird. Für den Übergang auf KMnet Admin 3.x und 2.x sind Sicherungs- und Wiederherstellungstätigkeiten

Mehr

ISO INTERCOM School Office

ISO INTERCOM School Office ISO INTERCOM School Office Zusammenfassung der Systemvoraussetzungen und Systemkonfiguration Alle Rechte vorbehalten! 2011 INTERCOM GmbH (se) Das nachfolgende Dokument behandelt einige der häufigsten Support-Anfragen

Mehr

Microsoft ISA Server 2006

Microsoft ISA Server 2006 Microsoft ISA Server 2006 Leitfaden für Installation, Einrichtung und Wartung ISBN 3-446-40963-7 Leseprobe Weitere Informationen oder Bestellungen unter http://www.hanser.de/3-446-40963-7 sowie im Buchhandel

Mehr

Mitglied der: KNX Association OPC Foundation BACnet Interest Group Europe. Dokumentversion: 1.0.2

Mitglied der: KNX Association OPC Foundation BACnet Interest Group Europe. Dokumentversion: 1.0.2 Mitglied der: KNX Association OPC Foundation BACnet Interest Group Europe Dokumentversion: 1.0.2 Inhaltsverzeichnis 1. System Überblick 4 2. Windows Firewall Konfiguration 5 2.1. Erlauben von DCOM Kommunikation

Mehr

MVB3. Einrichten eines Servers für MVB3 ab Version 3.5. Admin-Dokumentation. Inhalt V3.05.001

MVB3. Einrichten eines Servers für MVB3 ab Version 3.5. Admin-Dokumentation. Inhalt V3.05.001 V3.05.001 MVB3 Admin-Dokumentation Einrichten eines Servers für MVB3 ab Version 3.5 Inhalt Organisatorische Voraussetzungen... 1 Technische Voraussetzungen... 1 Konfiguration des Servers... 1 1. Komponenten

Mehr

Neuigkeiten in Microsoft Windows Codename Longhorn. 2006 Egon Pramstrahler - egon@pramstrahler.it

Neuigkeiten in Microsoft Windows Codename Longhorn. 2006 Egon Pramstrahler - egon@pramstrahler.it Neuigkeiten in Microsoft Windows Codename Longhorn Windows Server - Next Generation Derzeit noch Beta Version (aktuelles Build 5308) Weder definitiver Name und Erscheinungstermin sind festgelegt Direkter

Mehr

TYPO3-Workshop Zugangsgeschützte Webbereiche in TYPO3

TYPO3-Workshop Zugangsgeschützte Webbereiche in TYPO3 Leibniz Universität IT Services TYPO3-Workshop Zugangsgeschützte Webbereiche in TYPO3 Workshop TYPO3@RRZN Sep. 2012 Dr. Thomas Kröckertskothen - RRZN Zugangsgeschützte Webbereiche in TYPO3 Was sind zugangsgeschützte

Mehr

INSTALLATION und BENUTZUNG von REAL VNC 3.3.5-7

INSTALLATION und BENUTZUNG von REAL VNC 3.3.5-7 INSTALLATION und BENUTZUNG von REAL VNC 3.3.5-7 Einleitung: Real VNC ist ein Remote Programm das zur Fernwartung von PCs über das Internet verwendet werden kann. It is fully cross-platform das heißt man

Mehr

GeoShop Netzwerkhandbuch

GeoShop Netzwerkhandbuch Technoparkstrasse 1 8005 Zürich Tel.: 044 / 350 10 10 Fax.: 044 / 350 10 19 GeoShop Netzwerkhandbuch Zusammenfassung Diese Dokumentation beschreibt die Einbindung des GeoShop in bestehende Netzwerkumgebungen.

Mehr

Webbasiertes Projektmanagement InLoox Web App 6.x Installationshilfe

Webbasiertes Projektmanagement InLoox Web App 6.x Installationshilfe y Webbasiertes Projektmanagement InLoox Web App 6.x Installationshilfe Ein InLoox Whitepaper Veröffentlicht: November 2010 Aktuelle Informationen finden Sie unter http://www.inloox.de Die in diesem Dokument

Mehr

Quick Installation Guide

Quick Installation Guide WWW.REDDOXX.COM Erste Schritte Bitte beachten Sie, dass vor Inbetriebnahme auf Ihrer Firewall folgende Ports in Richtung Internet für die Appliance geöffnet sein müssen: Port 25 SMTP (TCP) Port 53 DNS

Mehr

Installation KVV Webservices

Installation KVV Webservices Installation KVV Webservices Voraussetzung: KVV SQL-Version ist installiert und konfiguriert. Eine Beschreibung dazu finden Sie unter http://www.assekura.info/kvv-sql-installation.pdf Seite 1 von 20 Inhaltsverzeichnis

Mehr

Laborübung SNMP. Aufgabe 1: SNMP Basics genutzter Agent: 10.20.143.73 (VM_SNMP_Win_XP)

Laborübung SNMP. Aufgabe 1: SNMP Basics genutzter Agent: 10.20.143.73 (VM_SNMP_Win_XP) Netzmanagement SS 2014 Prof. Dr. Martin Leischner / Dipl.Inf. Wolfgang Pein 14.5.14 - V1 Laborübung SNMP Einführung Um Netzmanagement betreiben zu können, ist es notwendig, auf Managementinformationen

Mehr

Wo kann GFI EventsManager im Netzwerk installiert werden?

Wo kann GFI EventsManager im Netzwerk installiert werden? Installation Einführung Wo kann GFI EventsManager im Netzwerk installiert werden? GFI EventsManager kann ungeachtet ihres Standorts auf allen Computern im Netzwerk installiert werden, die die Systemvoraussetzungen

Mehr

Online Help StruxureWare Data Center Expert

Online Help StruxureWare Data Center Expert Online Help StruxureWare Data Center Expert Version 7.2.7 Virtuelle StruxureWare Data Center Expert-Appliance Der StruxureWare Data Center Expert-7.2-Server ist als virtuelle Appliance verfügbar, die auf

Mehr

Dynamische Web-Anwendung

Dynamische Web-Anwendung Dynamische Web-Anwendung Christiane Lacmago Seminar Betriebssysteme und Sicherheit Universität Dortmund WS 02/03 Gliederung Einleitung Definition und Erläuterung Probleme der Sicherheit Ziele des Computersysteme

Mehr

Aufbau einer Testumgebung mit VMware Server

Aufbau einer Testumgebung mit VMware Server Aufbau einer Testumgebung mit VMware Server 1. Download des kostenlosen VMware Servers / Registrierung... 2 2. Installation der Software... 2 2.1 VMware Server Windows client package... 3 3. Einrichten

Mehr

objectif Installation objectif RM Web-Client

objectif Installation objectif RM Web-Client objectif RM Installation objectif RM Web-Client Bei Fragen nutzen Sie bitte unseren kostenlosen Support: Telefon: +49 (30) 467086-20 E-Mail: Service@microTOOL.de 2014 microtool GmbH, Berlin. Alle Rechte

Mehr

Anlage 3 Verfahrensbeschreibung

Anlage 3 Verfahrensbeschreibung Anlage 3 Verfahrensbeschreibung Stand September 2015 1 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 SYSTEMVORAUSSETZUNGEN... 3 2.1 Technische Voraussetzung beim Kunden... 3 2.2 Ausstattung des Clients... 3 3

Mehr

4-441-095-42 (1) Network Camera

4-441-095-42 (1) Network Camera 4-441-095-42 (1) Network Camera SNC easy IP setup-anleitung Software-Version 1.0 Lesen Sie diese Anleitung vor Inbetriebnahme des Geräts bitte genau durch und bewahren Sie sie zum späteren Nachschlagen

Mehr

DocuWare unter Windows 7

DocuWare unter Windows 7 DocuWare unter Windows 7 DocuWare läuft unter dem neuesten Microsoft-Betriebssystem Windows 7 problemlos. Es gibt jedoch einige Besonderheiten bei der Installation und Verwendung von DocuWare, die Sie

Mehr

Bedienungsanleitung INHALT. Nano-NAS-Server. 1 Produktinformationen...1. 2 Technische Daten...2. 3 Systemanforderungen...3

Bedienungsanleitung INHALT. Nano-NAS-Server. 1 Produktinformationen...1. 2 Technische Daten...2. 3 Systemanforderungen...3 INHALT Nano-NAS-Server 1 Produktinformationen...1 2 Technische Daten...2 3 Systemanforderungen...3 4 Anschließen des Gerätes...4 5 Konfigurieren des DN-7023...5 6 Einstellungen...9 Bedienungsanleitung

Mehr

Oracle Enterprise Manager Cloud Control 12c: Installation von Ralf Durben, ORACLE Deutschland B.V. & Co. KG

Oracle Enterprise Manager Cloud Control 12c: Installation von Ralf Durben, ORACLE Deutschland B.V. & Co. KG Nach Abschluß der Softwareinstallation konfigurieren Sie den Listener (mit netca) und erzeugen eine Datenbank. Der einfachste Weg zur Erzeugung der Datenbank ist die Nutzung des Database Config Assistants

Mehr

LOGOS. Version 2.41. Installationsanleitung - MS Windows

LOGOS. Version 2.41. Installationsanleitung - MS Windows LOGOS Version 2.41 Installationsanleitung - MS Windows Inhalt 1. Systemanforderungen...2 2. Installation des LOGOS-Servers...3 2.1. LOGOS-Server installieren...3 2.2. Anlegen eines Administrators...7 3.

Mehr

Booten aus dem Netz PXE. Technologiepräsentation Rechenzentrum Uni Kiel

Booten aus dem Netz PXE. Technologiepräsentation Rechenzentrum Uni Kiel PXE Technologiepräsentation Rechenzentrum Uni Kiel Inhalt 1. Einführung Motivation Anwendungsszenarien Technische Hintergründe 2. Stand der Umsetzung 3. Implementierung im Uni-Netz? 4. Alles neu mit ipxe!?

Mehr

TimePunch SQL Server Datenbank Setup

TimePunch SQL Server Datenbank Setup TimePunch TimePunch SQL Server Datenbank Setup Benutzerhandbuch 26.11.2013 TimePunch KG, Wormser Str. 37, 68642 Bürstadt Dokumenten Information: Dokumenten-Name Benutzerhandbuch, TimePunch SQL Server Datenbank

Mehr

4D v11 SQL Release 6 (11.6) ADDENDUM

4D v11 SQL Release 6 (11.6) ADDENDUM ADDENDUM Willkommen zu Release 6 von 4D v11 SQL. Dieses Dokument beschreibt die neuen Funktionalitäten und Änderungen der Version. Erweiterte Verschlüsselungsmöglichkeiten Release 6 von 4D v11 SQL erweitert

Mehr

Benutzerhandbuch für. MEC Management Software

Benutzerhandbuch für. MEC Management Software für MEC Management Software Version 1.2.2 Consulting für Informationstechnologie und EDV-Netz Management Dr. Dipl.-Ing. Manfred R. Siegl A-1090 Wien, Währinger Gürtel 166 Tel.: +43 1 319 59 893, Fax: +43

Mehr

Fernwartung von Mac OS 9 u. X per VNC

Fernwartung von Mac OS 9 u. X per VNC Fernwartung von Mac OS 9 u. X per VNC Inhalt: Was ist VNC, und was bringt es uns? Vorraussetzungen Welche Schwierigkeiten warten auf uns IP- Adresse, per Mail, DynDNS Wie installieren wir VNC Server, Client

Mehr

Wissenswertes über LiveUpdate

Wissenswertes über LiveUpdate Wissenswertes über LiveUpdate 1.1 LiveUpdate «LiveUpdate» ermöglicht den einfachen und sicheren Download der neuesten Hotfixes und Patches auf Ihren PC. Bei einer Netzinstallation muss das LiveUpdate immer

Mehr

OP-LOG www.op-log.de

OP-LOG www.op-log.de Verwendung von Microsoft SQL Server, Seite 1/18 OP-LOG www.op-log.de Anleitung: Verwendung von Microsoft SQL Server 2005 Stand Mai 2010 1 Ich-lese-keine-Anleitungen 'Verwendung von Microsoft SQL Server

Mehr

Good Dynamics by Good Technology. V1.1 2012 by keyon (www.keyon.ch)

Good Dynamics by Good Technology. V1.1 2012 by keyon (www.keyon.ch) Good Dynamics by Good Technology eberhard@keyon.ch brunner@keyon.ch V1.1 2012 by keyon (www.keyon.ch) 1 Über Keyon Experten im Bereich IT-Sicherheit und Software Engineering Als Value added Reseller von

Mehr

MSXFORUM - Exchange Server 2003 > SSL Aktivierung für OWA 2003

MSXFORUM - Exchange Server 2003 > SSL Aktivierung für OWA 2003 Page 1 of 23 SSL Aktivierung für OWA 2003 Kategorie : Exchange Server 2003 Veröffentlicht von webmaster am 20.05.2005 Die Aktivierung von SSL, für Outlook Web Access 2003 (OWA), kann mit einem selbst ausgestellten

Mehr

Dokumentation. HiPath OpenOffice EE V1 myportal entry. Communication for the open minded. Installationsanleitung A31003-P2010-J101-3-31

Dokumentation. HiPath OpenOffice EE V1 myportal entry. Communication for the open minded. Installationsanleitung A31003-P2010-J101-3-31 Dokumentation HiPath OpenOffice EE V1 myportal entry Installationsanleitung A31003-P2010-J101-3-31 Communication for the open minded Siemens Enterprise Communications www.siemens.de/open Copyright Siemens

Mehr

In Verbindung mit IP Cam D-Link DCS-7110 Tech Tipp: IP Kamera Anwendung mit OTT netdl 1000 Datenfluss 1. 2. OTT netdl leitet das Bild der IP Cam an den in den Übertragungseinstellungen definierten Server

Mehr

OpenManage Integration for VMware vcenter Version 3.0 Kompatibilitätsmatrix

OpenManage Integration for VMware vcenter Version 3.0 Kompatibilitätsmatrix OpenManage Integration for VMware vcenter Version 3.0 Kompatibilitätsmatrix Anmerkungen, Vorsichtshinweise und Warnungen ANMERKUNG: Eine ANMERKUNG liefert wichtige Informationen, mit denen Sie den Computer

Mehr

Konfiguration Zentyal 3.3 Inhaltsverzeichnis

Konfiguration Zentyal 3.3 Inhaltsverzeichnis Konfiguration Zentyal 3.3 Inhaltsverzeichnis Installation... 2 Grundkomponenten... 5 Grundkonfiguration... 6 Netzwerk... 6 Domain... 7 Updates installieren... 8 DNS konfigurieren... 10 Anpassungen in DNS

Mehr

KYOFLEETMANAGER DATA COLLECTOR AGENT VORAUSSETZUNGEN UND INSTALLATION

KYOFLEETMANAGER DATA COLLECTOR AGENT VORAUSSETZUNGEN UND INSTALLATION KYOFLEETMANAGER DATA COLLECTOR AGENT VORAUSSETZUNGEN UND INSTALLATION Bitte verwenden Sie diese Unterlagen, um vorab sicherzustellen, dass alle Voraussetzungen zur Installation des KYOfleetmanager DCA

Mehr

Smart. network. Solutions. myutn-80

Smart. network. Solutions. myutn-80 Smart network Solutions myutn-80 Version 2.0 DE, April 2013 Smart Network Solutions Was ist ein Dongleserver? Der Dongleserver myutn-80 stellt bis zu acht USB-Dongles über das Netzwerk zur Verfügung. Sie

Mehr

Informationen zur LANCOM GS-2326P

Informationen zur LANCOM GS-2326P Informationen zur LANCOM GS-2326P Copyright (c) 2002-2014 LANCOM Systems GmbH, Würselen (Germany) Die LANCOM Systems GmbH übernimmt keine Gewähr und Haftung für nicht von der LANCOM Systems GmbH entwickelte,

Mehr

IKONIZER II Installation im Netzwerk

IKONIZER II Installation im Netzwerk Der IKONIZER II ist netzwerkfähig in allen bekannten Netzwerken. Da jedoch etwa 95% der Installationen lokal betrieben werden, erfolgt diese grundsätzlich sowohl für das Programm wie auch für den lizenzfreien

Mehr

Installieren von GFI EventsManager

Installieren von GFI EventsManager Installieren von GFI EventsManager Einführung Wo kann GFI EventsManager im Netzwerk installiert werden? GFI EventsManager kann ungeachtet des Standorts auf allen Computern im Netzwerk installiert werden,

Mehr

Installationsanleitung - Command WorkStation 5.5 mit Fiery Extended Applications 4.1

Installationsanleitung - Command WorkStation 5.5 mit Fiery Extended Applications 4.1 Installationsanleitung - Command WorkStation 5.5 mit Fiery Extended Applications 4.1 Fiery Extended Applications Fiery Extended Applications (FEA) 4.1 ist ein Softwarepaket für Fiery Druckcontroller mit

Mehr

Die automatische Clientkonfiguration durch den DHCP-Server geschieht folgendermaßen:

Die automatische Clientkonfiguration durch den DHCP-Server geschieht folgendermaßen: Default Gateway: 172.16.22.254 Ein häufiger Fehler in den Konfigurationen liegt darin, dass der Netzanteil des Default Gateway nicht mit dem Netzanteil der IP-Adresse des Rechners übereinstimmt. 4.4 DHCP-Service

Mehr

HP USB Virtual Media Interface Adapter Informationen zur Funktionsweise

HP USB Virtual Media Interface Adapter Informationen zur Funktionsweise HP USB Virtual Media Informationen zur Funktionsweise Verwenden von virtuellen Medien HP empfiehlt den HP USB Virtual Media (Modell AF603A) nur für Computer, die keine Unterstützung für eine PS2-Tastatur

Mehr

highsystem.net Clients importieren

highsystem.net Clients importieren highsystem.net Clients importieren Tipps & Tricks highsystem R Version: 1.0 Erstellt am: 28.05.2009 Letzte Änderung: - 1 / 11 Hinweis: Copyright 2006,. Alle Rechte vorbehalten. Der Inhalt dieses Dokuments

Mehr

Um DynDNS zu konfigurieren, muss ausschließlich folgendes Menü konfiguriert werden:

Um DynDNS zu konfigurieren, muss ausschließlich folgendes Menü konfiguriert werden: 1. Konfiguration von DynDNS 1.1 Einleitung Im Folgenden wird die Konfiguration von DynDNS beschrieben. Sie erstellen einen Eintrag für den DynDNS Provider no-ip und konfigurieren Ihren DynDNS Namen bintec.no-ip.com.

Mehr

Avira Management Console AMC Serverkonfiguration zur Verwaltung von Online-Remote-Rechnern. Kurzanleitung

Avira Management Console AMC Serverkonfiguration zur Verwaltung von Online-Remote-Rechnern. Kurzanleitung Avira Management Console AMC Serverkonfiguration zur Verwaltung von Online-Remote-Rechnern Kurzanleitung Inhaltsverzeichnis 1. Allgemeine Informationen... 3 2. Netzwerkübersicht... 3 3. Konfiguration...

Mehr

Erstellen sicherer ASP.NET- Anwendungen

Erstellen sicherer ASP.NET- Anwendungen Erstellen sicherer ASP.NET- Anwendungen Authentifizierung, Autorisierung und sichere Kommunikation Auf der Orientierungsseite finden Sie einen Ausgangspunkt und eine vollständige Übersicht zum Erstellen

Mehr

Remote Tools. SFTP Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de

Remote Tools. SFTP Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de Remote Tools SSH SCP Proxy SFTP Port X11 christina.zeeh@studi.informatik.uni-stuttgart.de Grundlagen IP-Adresse 4x8 = 32 Bit Unterteilung des Adressraumes in Subnetze (Uni: 129.69.0.0/16) 129.69.212.19

Mehr

1. Wireless Switching... 2. 1.1 Einleitung... 2. 1.2 Voraussetzungen... 2. 1.3 Konfiguration... 2. 2. Wireless Switch Konfiguration...

1. Wireless Switching... 2. 1.1 Einleitung... 2. 1.2 Voraussetzungen... 2. 1.3 Konfiguration... 2. 2. Wireless Switch Konfiguration... Inhaltsverzeichnis 1. Wireless Switching... 2 1.1 Einleitung... 2 1.2 Voraussetzungen... 2 1.3 Konfiguration... 2 2. Wireless Switch Konfiguration... 3 2.1 Zugriff auf den Switch... 3 2.2 IP Adresse ändern...

Mehr

Browser mit SSL und Java, welcher auf praktisch jedem Rechner ebenso wie auf vielen mobilen Geräten bereits vorhanden ist

Browser mit SSL und Java, welcher auf praktisch jedem Rechner ebenso wie auf vielen mobilen Geräten bereits vorhanden ist Collax SSL-VPN Howto Dieses Howto beschreibt wie ein Collax Server innerhalb weniger Schritte als SSL-VPN Gateway eingerichtet werden kann, um Zugriff auf ausgewählte Anwendungen im Unternehmensnetzwerk

Mehr

IBM SPSS Modeler Server 16 for Windows Installationsanweisungen

IBM SPSS Modeler Server 16 for Windows Installationsanweisungen IBM SPSS Modeler Server 16 for Windows Installationsanweisungen Inhaltsverzeichnis Installationsanweisungen....... 1 Systemanforderungen........... 1 Installation............... 1 Ziel................

Mehr

SolarWinds Engineer s Toolset

SolarWinds Engineer s Toolset SolarWinds Engineer s Toolset Diagnostic Tools Das Engineer s Toolset ist eine Sammlung von 49 wertvoller und sinnvoller Netzwerktools. Die Nr. 1 Suite für jeden Administrator! Die Schwerpunkte liegen

Mehr

FTP-Leitfaden RZ. Benutzerleitfaden

FTP-Leitfaden RZ. Benutzerleitfaden FTP-Leitfaden RZ Benutzerleitfaden Version 1.4 Stand 08.03.2012 Inhaltsverzeichnis 1 Einleitung... 3 1.1 Zeitaufwand... 3 2 Beschaffung der Software... 3 3 Installation... 3 4 Auswahl des Verbindungstyps...

Mehr

Konfigurieren eines Webservers

Konfigurieren eines Webservers Unterrichtseinheit 12: Konfigurieren eines Webservers Erleichterung der Organisation und des Verwaltens von Webinhalten im Intranet und Internet. Übersicht über IIS: Der IIS-Dienst arbeitet mit folgenden

Mehr

Installation des Zertifikats am Beispiel eines Exchange-Mail-Servers. Voraussetzungen. Zertifikate importieren. Outlook-Webaccess

Installation des Zertifikats am Beispiel eines Exchange-Mail-Servers. Voraussetzungen. Zertifikate importieren. Outlook-Webaccess HS-Anhalt (FH) Fachbereich EMW Seite 1 von 6 Stand 04.02.2008 Installation des Zertifikats am Beispiel eines Exchange-Mail-Servers Bedingt durch die verschiedenen Transportprotokolle und Zugriffsmethoden

Mehr

1 Änderungen bei Windows Server 2008 R2

1 Änderungen bei Windows Server 2008 R2 1 Änderungen bei Windows Server 2008 R2 1.1 Der BranchCache Eine völlig neue Möglichkeit, auf Ressourcen zuzugreifen, bietet der BranchCache. In vielen Firmen gibt es Zweigstellen, die mit der Hauptstelle

Mehr

Scalera Mailplattform Dokumentation für den Anwender Installation und Konfiguration des Outlook Connectors

Scalera Mailplattform Dokumentation für den Anwender Installation und Konfiguration des Outlook Connectors Installation und Konfiguration des Outlook Connectors Vertraulichkeit Die vorliegende Dokumentation beinhaltet vertrauliche Informationen und darf nicht an etwelche Konkurrenten der EveryWare AG weitergereicht

Mehr

Installations-Dokumentation, YALG Team

Installations-Dokumentation, YALG Team Installations-Dokumentation, YALG Team Version 8.1 1 Benötigtes Material 2 Vor der Installation 3 Beginn 4 Installation 4.1 Sicherheit 4.2 Partitionierung 4.3 Paketauswahl 4.4 Paketauswahl (fein) 5 Konfiguration

Mehr

Aufsetzen Ihres HIN Abos

Aufsetzen Ihres HIN Abos Aufsetzen Ihres HIN Abos HIN Health Info Net AG Pflanzschulstrasse 3 8400 Winterthur Support 0848 830 740 Fax 052 235 02 72 support@hin.ch www.hin.ch HIN Health Info Net AG Grand-Rue 38 2034 Peseux Support

Mehr

DCOM Einstellungen zur rechnerübergreifenden Kommunikation zwischen OPC Server und OPC Client

DCOM Einstellungen zur rechnerübergreifenden Kommunikation zwischen OPC Server und OPC Client DCOM Einstellungen zur rechnerübergreifenden Kommunikation zwischen OPC Server und OPC Client 1. Einleitung Für die rechnerübergreifende Kommunikation zwischen OPC Client und OPC Server wird bei OPC DA

Mehr

ESET NOD32 Antivirus. für Kerio. Installation

ESET NOD32 Antivirus. für Kerio. Installation ESET NOD32 Antivirus für Kerio Installation Inhalt 1. Einführung...3 2. Unterstützte Versionen...3 ESET NOD32 Antivirus für Kerio Copyright 2010 ESET, spol. s r. o. ESET NOD32 Antivirus wurde von ESET,

Mehr

EgoSecure Mail Encryption Quick Setup Guide

EgoSecure Mail Encryption Quick Setup Guide EgoSecure Mail Encryption Quick Setup Guide Inhalt 1 Einleitung... 2 2 Vorbereitung... 3 2.1 Firewall... 3 3 Inbetriebnahme... 3 3.1 Einschalten und anschließen... 3 3.2 Erstes Login... 3 3.3 Admin-Passwort

Mehr

Parallels Plesk Panel. Firewall-Modul für Parallels Plesk Panel 10 für Linux/Unix. Administratorhandbuch

Parallels Plesk Panel. Firewall-Modul für Parallels Plesk Panel 10 für Linux/Unix. Administratorhandbuch Parallels Plesk Panel Firewall-Modul für Parallels Plesk Panel 10 für Linux/Unix Administratorhandbuch Copyright-Vermerk Parallels Holdings, Ltd. c/o Parallels International GmbH Vordergasse 59 CH-Schaffhausen

Mehr

GSM 25: Setup Guide GSM 25. +++ Setup Guide +++

GSM 25: Setup Guide GSM 25. +++ Setup Guide +++ GSM 25 +++ Setup Guide +++ Über dieses Dokument: Diese Anleitung beschreibt die Inbetriebnahme eines Greenbone Security Manager 25 (GSM 25), einem Produkt der Greenbone Networks GmbH (http://www.greenbone.net).

Mehr

VPN mit Windows Server 2003

VPN mit Windows Server 2003 VPN mit Windows Server 2003 Virtuelle private Netzwerke einzurichten, kann eine sehr aufwendige Prozedur werden. Mit ein wenig Hintergrundwissen und dem Server- Konfigurationsassistenten von Windows Server

Mehr

4 Netzwerkzugriff. 4.1 Einführung. Netzwerkzugriff

4 Netzwerkzugriff. 4.1 Einführung. Netzwerkzugriff 4 Netzwerkzugriff Prüfungsanforderungen von Microsoft: Configuring Network Access o Configure remote access o Configure Network Access Protection (NAP) o Configure network authentication o Configure wireless

Mehr

Installationsanleitung für IBM SPSS Decision Management 6.2 unter Windows

Installationsanleitung für IBM SPSS Decision Management 6.2 unter Windows Installationsanleitung für IBM SPSS Decision Management 6.2 unter Windows Installation und Konfiguration des Produkts Vor der Installation von IBM SPSS Decision Management müssen Sie alle Softwarevoraussetzungen

Mehr

bintec Workshop Dynamic Host Configuration Protocol Copyright 8. November 2005 Funkwerk Enterprise Communications GmbH Version 0.9

bintec Workshop Dynamic Host Configuration Protocol Copyright 8. November 2005 Funkwerk Enterprise Communications GmbH Version 0.9 bintec Workshop Dynamic Host Configuration Protocol Copyright 8. November 2005 Funkwerk Enterprise Communications GmbH Version 0.9 Ziel und Zweck Haftung Marken Copyright Richtlinien und Normen Wie Sie

Mehr

1 Einleitung. 2 Vorbereitung 2.1 Firewall. 3.1 Einschalten und Anschliessen. 3.2 Erstes Login. 3.3 Admin-Passwort ändern. 3.

1 Einleitung. 2 Vorbereitung 2.1 Firewall. 3.1 Einschalten und Anschliessen. 3.2 Erstes Login. 3.3 Admin-Passwort ändern. 3. Version 5.2.0 1 Einleitung Wir gratulieren Ihnen zum Kauf Ihrer SEPPmail Appliance. Dieser Quick Setup Guide soll Ihnen helfen, die Appliance ohne Komplikationen in Betrieb zu nehmen. In diesem Quick Setup

Mehr

Kurzeinführung VPN. Veranstaltung. Rechnernetze II

Kurzeinführung VPN. Veranstaltung. Rechnernetze II Kurzeinführung VPN Veranstaltung Rechnernetze II Übersicht Was bedeutet VPN? VPN Typen VPN Anforderungen Was sind VPNs? Virtuelles Privates Netzwerk Mehrere entfernte lokale Netzwerke werden wie ein zusammenhängendes

Mehr

Smart NETWORK. Solutions. www.dongleserver.de

Smart NETWORK. Solutions. www.dongleserver.de Smart NETWORK Solutions www.dongleserver.de Professionelle Dongle-Lösungen Was ist ein Dongleserver? Die Dongleserver von SEH stellen USB-Dongles über das Netz zur Verfügung. Ihre durch Kopierschutz-Dongles

Mehr

Herzlich Willkommen. Roland Kistler. Tel. +49 (89) 242 39 90 17. Sales Engineer. r.kistler@online-usv.de. Folie 1

Herzlich Willkommen. Roland Kistler. Tel. +49 (89) 242 39 90 17. Sales Engineer. r.kistler@online-usv.de. Folie 1 Herzlich Willkommen Roland Kistler Sales Engineer Tel. +49 (89) 242 39 90 17 E-Mail r.kistler@online-usv.de Folie 1 Tools SNMP-Adapter Folie 2 FW-Update im Normalzustand FW-Update im Broken Device Zustand

Mehr

Cluster Quick Start Guide

Cluster Quick Start Guide Cluster Quick Start Guide Cluster SR2500 Anleitung zur Konfi guration KURZÜBERBLICK CLUSTER SEITE 2 FUNKTIONSWEISE DES THOMAS KRENN CLUSTERS (SCHAUBILD) SEITE 3 CLUSTER AUFBAUEN UND KONFIGURIEREN SEITE

Mehr

KOGIS Checkservice Benutzerhandbuch

KOGIS Checkservice Benutzerhandbuch Technoparkstrasse 1 8005 Zürich Tel.: 044 / 350 10 10 Fax.: 044 / 350 10 19 KOGIS Checkservice Benutzerhandbuch Zusammenfassung Diese Dokumentation beschreibt die Bedienung des KOGIS Checkservice. 4.2.2015

Mehr

Anleitung. Update/Aktualisierung EBV Mehrplatz Homepage

Anleitung. Update/Aktualisierung EBV Mehrplatz Homepage Anleitung Update/Aktualisierung EBV Mehrplatz Homepage Zeichenerklärung Möglicher Handlungsschritt, vom Benutzer bei Bedarf auszuführen Absoluter Handlungsschritt, vom Benutzer unbedingt auszuführen Rückmeldung

Mehr

1REMOTE KONFIGURATION

1REMOTE KONFIGURATION 1REMOTE KONFIGURATION Copyright 24. Juni 2005 Funkwerk Enterprise Communications GmbH Bintec Workshop Version 0.9 Ziel und Zweck Haftung Marken Copyright Richtlinien und Normen Wie Sie Funkwerk Enterprise

Mehr

ORGA 6000 in Terminalserver Umgebung

ORGA 6000 in Terminalserver Umgebung ORGA 6000 in Terminalserver Umgebung Sie möchten das ORGA 6000 in einer Windows (Terminal) Server Umgebung betreiben. Wie gehen Sie dazu am besten vor? Sie haben drei Möglichkeiten das ORGA 6000 in einer

Mehr

SSH. Nun brauchen wir noch das passwd-file. Dieses erstellen wir mit folgendem Befehl: mkpasswd -k -u marco >>..\etc\passwd

SSH. Nun brauchen wir noch das passwd-file. Dieses erstellen wir mit folgendem Befehl: mkpasswd -k -u marco >>..\etc\passwd SSH 1 Grundlagen... 1 2 Authentifizierung... 1 3 Installation von OpenSSH for Windows... 1 3.1 Anmeldung mit Schlüsselpaar... 3 4 SSH-Tunnel... 4 4.1 Funktionsweise... 5 4.2 Remote-Desktop durch einen

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: 1. Access Point im Personal Mode (WEP / WPA / WPA2) 1.1 Einleitung Im Folgenden wird die Konfiguration des Access Point Modus gezeigt. Zur Absicherung der Daten werden die verschiedenen Verschlüsselungsalgorithmen

Mehr

Securepoint Security Systems

Securepoint Security Systems HowTo: Virtuelle Maschine in VMware für eine Securepoint Firewall einrichten Securepoint Security Systems Version 2007nx Release 3 Inhalt 1 VMware Server Console installieren... 4 2 VMware Server Console

Mehr

Use-Cases. Bruno Blumenthal und Roger Meyer. 17. Juli 2003. Zusammenfassung

Use-Cases. Bruno Blumenthal und Roger Meyer. 17. Juli 2003. Zusammenfassung Use-Cases Bruno Blumenthal und Roger Meyer 17. Juli 2003 Zusammenfassung Dieses Dokument beschreibt Netzwerk-Szenarios für den Einsatz von NetWACS. Es soll als Grundlage bei der Definition des NetWACS

Mehr

Documentation. OTRS Appliance Installationshandbuch. Build Date:

Documentation. OTRS Appliance Installationshandbuch. Build Date: Documentation OTRS Appliance Installationshandbuch Build Date: 10.12.2014 OTRS Appliance Installationshandbuch Copyright 2001-2014 OTRS AG Dieses Werk ist geistiges Eigentum der OTRS AG. Es darf als Ganzes

Mehr

FAQ Igel Thin Clients und Management Software

FAQ Igel Thin Clients und Management Software FAQ Igel Thin Clients und Management Software Version 1.00 INDEX 1. UMS Universal Management Suite 2. LINUX 3. WES Windows embedded Standard 4. Diverses IGEL Technology Page 2 1. UMS Universal Management

Mehr

mysoftfolio360 Handbuch

mysoftfolio360 Handbuch mysoftfolio360 Handbuch Installation Schritt 1: Application Server und mysoftfolio installieren Zuallererst wird der Application Server mit dem Setup_ApplicationServer.exe installiert und bestätigen Sie

Mehr

Quick Guide. Installation SeeTec Version 5-1 -

Quick Guide. Installation SeeTec Version 5-1 - Quick Guide Installation SeeTec Version 5-1 - Inhaltsverzeichnis 1. Installation der SeeTec Software...3 1.1 Hinweise zur Installation...3 2. Standardinstallation (Server und Client)...3 2.1 SeeTec Administration

Mehr

SAP FrontEnd HowTo Guide

SAP FrontEnd HowTo Guide SAP FrontEnd HowTo Guide zum Zugriff auf die SAP-Systeme des UCC Magdeburg über das Hochschulnetz der FH Brandenburg Version 1.4 bereitgestellt durch den TLSO des Fachbereichs Wirtschaft Dieser HowTo Guide

Mehr

1 Praktikum Protokolle SS2007 Fachhochschule OOW 15.05.2007. VPN Dokumentation. Erstellt von: Jens Nintemann und Maik Straub

1 Praktikum Protokolle SS2007 Fachhochschule OOW 15.05.2007. VPN Dokumentation. Erstellt von: Jens Nintemann und Maik Straub 1 Praktikum Protokolle SS2007 Fachhochschule OOW VPN Dokumentation 1 2 Praktikum Protokolle SS2007 Fachhochschule OOW Inhaltsverzeichnis Thema Seite 1. Einleitung 3 2. Unsere Aufbaustruktur 3 3. Installation

Mehr

http://www.cis.upenn.edu/~bcpierce/unison/download/stable/unison- 2.9.1/

http://www.cis.upenn.edu/~bcpierce/unison/download/stable/unison- 2.9.1/ Einführung Was ist Unison? Unison ist ein Dateisynchronisationsprogramm für Windows und Unix. Es teilt sich viele Funktionen mit anderen Programmen, wie z.b. CVS und rsync. Folgend einige Vorteile des

Mehr