High Availability Firewalls

Größe: px
Ab Seite anzeigen:

Download "High Availability Firewalls"

Transkript

1 Projektarbeit High Availability Firewalls Remi Locherer Thomas Treuthardt 18. Februar 2005

2 Zusammenfassung An die Verfügbarkeit von IT-Services wie z.b. oder E-Banking werden hohe Erwartungen gestellt. Um diesen Erwartungen gerecht werden zu können, müssen sämtliche Komponenten, die zur Erbringung dieses Services notwendig sind, auf High Availability ausgelegt sein. Der Ausdruck High Availability wird verwendet, um ein System zu beschreiben, das darauf ausgerichtet ist, eine Beeinträchtigung des Betriebs durch Fehler und geplante Aktivitäten möglichst gering zu halten. Höchstes Ziel wäre, 100% Verfügbarkeit zu erreichen. In der Praxis ist die nicht realistisch, kann aber durch geeignete Massnahmen annähernd erreicht werden. In dieser Arbeit beschäftigen wir uns damit, wie Firewalls hochverfügbar aufgebaut werden können. Mit Hilfe von Firewalls kann der Datenuss zwischen Netzwerken kontrolliert und eingeschränkt werden. Unter den verschiedenen verfügbaren Firewalltechniken haben wir uns auf Paketlter beschränkt, die auf den OSI-Layern drei und vier arbeiten. Um High Availability Funktionen bei Firewalls zu realisieren, werden Clusters gebildet. Ein Cluster ist ein Verbund aus mehreren Computern, die gegen Aussen als ein System auftreten. Fällt ein Mitglied eines Clusters aus, übernimmt automatisch ein anderes Mitglied des Clusters dessen Funktionen. Für einen Enduser erfolgt dieser Vorgang transparent. Drei Produkte haben wir installiert und auf ihre HA-Funktionalität getestet. Die Lösung von Checkpoint basierend auf ClusterXL hat uns sehr überzeugt. Als einziges Produkt hat diese Lösung alle unsere Tests bestanden. Auch die Bedienung, die von einem zentralen Managementserver aus erfolgt, ist sehr überzeugend gelöst. Wenn die von Checkpoint zur Verfügung gestellte und auf Linux basierende SecurePlatform verwendet wird, kann der Aufwand bei der Installation und Wartung gegenüber anderen Lösungen beträchtlich reduziert werden. Mit OpenBSD kann dank den Protokollen CARP und pfsync ein redundanter Firewallcluster aufgebaut werden. Da OpenBSD unter der BSD-Lizenz steht, entfallen Lizenzierungskosten und der Sourcecode ist frei verfügbar. Was fehlt, ist ein zentrales Management. OpenBSD ist aber vorzüglich als Basis für eine eigene Platform geeignet. Das dritte getestete Produkt ist FortiGate 60. Hierbei handelt es sich um eine Appliance der Firma FortiNet. FortiGate 60 ist eher für den Einsatz in kleineren Betrieben geeignet. Trotzdem verfügt es mit der uns zur Verfügung stehenden Software über Features der grösseren Modelle, wie z.b. High Availability. Grundsätzlich macht das Produkt einen guten Eindruck. Für den Einsatz in einer auf Hochverfügbarkeit ausgelegten Umgebung ist es, unserer Meinung nach, noch nicht geeignet. 2

3 Abstract IT services such as or e-banking are subject to great expectations. To meet those demands, every single component associated with the provision of services must be of high availability. High Availability describes systems, which keep the disturbances caused by failures or planned actions as small as possible. The aim is to maintain operation at 100%. In reality, however, it's not realistic to meet this goal, although taking proper actions can help to get close to it. In this project, we were looking into high availability rewll concepts. Using rewalls, it is possible to control and limit network trac. There are various rewall techniques; we were focusing on packet lters, which work on OSI layers three and four. To build highly available rewalls, cluster technology is used. A cluster consists of two or more computers called nodes. If one node fails another node will take over. End users shouldn't notice anything of this. We were installing and testing three dierent rewall products with respect to their high availability features. The product distributed by Checkpoint, which is based on ClusterXL, convinced us most and passed all our tests. In addition, this solution is easy to handle through a central management server. Using Linux based SecurePlatform, only a small eort is needed to operate and maintain the system. OpenBSD is another solution to build a redundant rewall cluster using the CARP and pfsync protocols. As it is provided for free thanks to the BSD License, there are no fees and the source code is available. On the downside, it lacks a central management tool. Nevertheless, Open BSD can be used as a base for a platform. The third product we examined is FortiGate 60. It's an appliance of the company FortiNet designed to be used in small enterprises. In general our impression is quite good. However, the actual state of the high availability implementation does not meet the required standard yet. Therefore we do not recommend using it in a high availability environment. 3

4 Inhaltsverzeichnis 1 Einleitung Motivation Ziele der Arbeit Übersicht 6 2 Einführung in HA Firewalls Der Begri Firewall Paketlterung Statefull Filtering Grundwerte der IT-Sicherheit High Availability Allgemeine Denition von High Availability Wiso braucht es HA? Einsatzgebiete von HA Lösungen 11 3 Technische Umsetzung Cluster Virtual Router Redundancy Protocol (VRRP) Common Address Redundancy Protokol (CARP) Cluster Control Protokol (CCP) und ClusterXL FortiGate Cluster Protokoll (FGCP) Statesynchronisation Pfsync ClusterXL ct_sync Netzwerkinfrastruktur 21 4 Produktetest Produkteauswahl Testszenarien Kriterien Netzwerkaufbau Tools Ablauf 26 4

5 Inhaltsverzeichnis Inhaltsverzeichnis Firewall Rules Checkpoint FW1 NG (R55) Installation Konguration Funktionstests Fazit OpenBSD 3.6 mit CARP und Pfsync Installation Konguration Funktionstests Fazit Fortigate Installation Konguration Funktionstests Fazit Zusammenfassung 43 5 Schlusswort 44 A Anhang 45 A.1 Hardware Konguration 45 A.1.1 bart 45 A.1.2 lisa 46 A.1.3 maggie 47 A.1.4 Firewallcluster 47 A.1.5 DNS-Listing 48 A.2 Konguration 49 A.2.1 Checkpoint FW1 NG 49 A.2.2 OpenBSD 54 A.2.3 FortiGate A.3 Testskripte 56 A.3.1 failover_whithout_trac.sh 56 A.3.2 statesync_recovery.sh 56 A.3.3 interfaces.sh 56 A.3.4 failover_with_trac.sh 56 A.3.5 delay_analyzer.pl 57 A.4 Projektplan 58 A.5 Aufgabenstellung 59 Literaturverzeichnis 60 5

6 1. Einleitung 1.1. Motivation Es gilt heute als selbstverständlich, dass Applikationen wie e-banking oder Fahrplanauskünfte 7 x 24 Stunden über das Internet zur Verfügung stehen. Um das zu erreichen, muss nicht nur die Applikation selbst auf "High Availability" (HA) ausgerichtet sein, sondern auch die Netzwerkinfrastruktur. In dieser Projektarbeit untersuchen wir eine Komponente dieser Netzwerkinfrastruktur - die Firewall - genauer auf ihre HA-Tauglichkeit Ziele der Arbeit Das Ziel der Arbeit ist es, die Tauglichkeit von Firewalls für den Einsatz in einer HA-Umgebung zu untersuchen. Um dieses Ziel zu erreichen, unterteilten wir die Arbeit in verschiedene Schritte. Zuerst erarbeiten wir uns die Grundlagen über Hochverfügbarkeit und Firewalling im Allgemeinen. Danach untersuchen wir verschiedene auf dem Markt erhältliche Produkte und standardisierte Protokolle im Zusammenhang mit HA-Firewalls. Der nächste Schritt ist das Installieren von verschiedenen Produkten, um ihre HA-Funktionen zu testen. Wir wollen untersuchen, ob die Produkte den HA-Anforderungen auch wirklich gerecht werden und in welchen Punkten sich die verschiedenen Implementationen unterscheiden. Damit wir diese Tests durchführen können, müssen wir ein geeignetes und reproduzierbares Testverfahren entwickeln. Das Ziel der Testinstallation ist es, Aussagen über die untersuchten Produkte bezüglich Features, Implementations- und Betriebsaufwand zu machen Übersicht Der Bericht ist so gegliedert, wie wir vorgegangen sind. Im theoretischen Kapitel 2 Einführung in HA Firewalls gehen wir zunächst kurz auf Firewalls, IT-Sicherheit und HA im Allgemeinen ein. Im Kapitel 2.4 untersuchen wir die Funktionsweise verschiedener Protokolle, die für die Realisation von HA-Firewalls verwendet werden. Auf die Implementationen von Checkpoint und OpenBSD gingen wir ausführlich ein. Die HA-Lösungen von Checkpoint, OpenBSD und FortiNet haben wir zudem installiert und 6

7 1.3. ÜBERSICHT Einleitung auf ihre HA-Tauglichkeit getestet. Im Kapitel 3 ist zuerst unsere Testszenarios und dann die Ergebnisse im Detail erläutert. Mit einem kurzen Vergleich der Produkte betreend der Eignung für verschiedene Einsatzgebiete wird Kapitel 3 abgeschlossen. Zuletzt wird die Arbeit mit dem Schlusswort zur Projektarbeit abgeschlossen. 7

8 2. Einführung in HA Firewalls Inhalt 2.1 Der Begri Firewall Paketlterung Statefull Filtering Grundwerte der IT-Sicherheit High Availability Allgemeine Denition von High Availability Wiso braucht es HA? Einsatzgebiete von HA Lösungen 11 Damit die Erläuterungen zu den Protokollen in Kapitel 3 verständlich sind, müssen zuerst einige Grundlagen verstanden werden. In diesem Kapitel erläutern wir zuerst den Begri Firewall etwas bgenauer. Nach einer kurzen Einführung in die Grundwerte der IT-Sicherheit erklären wir, was es mit High Availability auf sich hat Der Begri Firewall Im IT-Grundschutzhandbuch [1] Kapitel 7.3 wird der Begri Firewall folgendermassen erklärt: Eine Firewall dient zur Kontrolle der Kommunikation zwischen zwei Netzen. Im Regelfall wird sie zum Schutz eines Netzes gegen Angrie aus einem Netz mit einem geringeren Schutzbedarf eingesetzt, z. B. bei der Anbindung eines zu schützenden Teilnetzes an ein organisationsumspannendes Netz oder der Anbindung eines Firmennetzes an das Internet. Der Einsatz von Firewalls alleine bietet jedoch noch nicht genügend Schutz für ein Netzwerk. Als Bestandteil eines Sicherheitskonzepts ist eine Firewall trotzdem ein sehr eektives Mittel. Firewalls gibt es als Softwarelösungen, die z.b. auf einem UNIX aufsetzen und vom Administrator selber installiert werden müssen. Vermehrt werden heute aber Appliance-Lösungen eingesetzt. Bei einer Appliance wird die Hardware mit vorinstallierter Software geliefert. Oft bauen Appliances auf spezialisierten Prozessoren auf, welche die Paketverarbeitung beschleunigen. 8

9 2.1. DER BEGRIFF FIREWALL Einführung in HA Firewalls Paketlterung Wenn von Firewalls die Rede ist, sind in den meisten Fällen Paketlter gemeint. Paketlterung ist ein Mechanismus und den Datenuss zu und von einem Netzwerk auf den OSI-Layern 3 und 4 zu kontrollieren. Es kann kontrolliert werden, von welcher IP-Adresse aus über welches Protokoll zu welcher IP-Adresse kommuniziert werden darf. Protokolle auf höheren OSI-Layern wie z.b. SMTP können nur zugelassen oder gesperrt werden. Der Inhalt kann nicht überprüft werden. Es ist auch nicht möglich, nach Usern z.b. auf Basis von Passwörtern oder Zertikaten zu ltern. Wenn solche Funktionen benötigt werden, müssen Proxies (Filter auf höheren OSI- Layern) verwendet werden. Paketlter haben gegenüber Proxies den Vorteil, dass auf den zu schützenden Komponennten keine Anpassungen notwendig sind. Die meisten Paketlter arbeiten auf OSI-Layer 3 als Router. Es gibt jedoch auch Produkte, die auf OSI-Layer 2 als Bridge konguriert werden können Statefull Filtering Um beispielsweise die Kommunikation mit einem Webserver hinter einer Firewall zu ermöglichen, muss die Firewall einerseits Verbindungen vom Client zum Webserver erlauben. Andererseits muss, für die Antwortpakete, die Verbindung vom Webserver zu den Clients ebenfalls erlaubt sein. Wenn Verbindungen in beide Richtungen zugelassen werden müssen, kann die Firewall die einzelnen Verbindungen nicht mehr überprüfen und kontrollieren. Diese zustandslose Filtermethode wird oft statische Paketlterung genannt. Statefull ltering oder Statefull inspection baut darauf auf, dass bei TCP basierten Protokollen eine Verbindung mit einem SYN-Paket initiiert wird. Danach kann die Session eindeutig identi- ziert werden. So ist es nur noch notwendig, Pakete mit gesetztem SYN-Flag zum Webserver durchzulassen. Die neue Verbindung wird in die State-Tabelle eingetragen und alle Pakete, die zu dieser Verbindung gehören, werden nun in beide Richtungen zugelassen. Damit keine toten Einträge in dieser Tabelle entstehen, wird zusätzlich noch mit Timeouts gearbeitet. Bei vielen Implementationen ist das Durchsuchen dieser State-Tabelle viel schneller als das Durcharbeiten des Rulesets. Schwieriger als bei TCP ist es bei UDP- und ICMP-Paketen, da diese Protokolle zustandslos sind. Hier wird ausschliesslich mit Timeouts gearbeitet. Statefull ltering wird in deutscher Literatur teilweise auch dynamische Paketlterung genannt. Ausführlichere Erläuterungen sind in [2] zu nden. Für detailiertere Informationen zu den Protokollen ist [3] empfehlenswert. In dieser Arbeit beschränken wir uns auf Paketlter die routen. Wenn ein Produkt zusätzlich Proxy-Funktionen anbietet, gehen wir nicht näher auf diese ein. 9

10 2.2. GRUNDWERTE DER IT-SICHERHEIT Einführung in HA Firewalls 2.2. Grundwerte der IT-Sicherheit Beim Begri IT-Sicherheit denken die Meisten zuerst an Vertraulichkeit. Bei Vertraulichkeit geht es darum, Daten vor unbefugten Zugrien zu schützen. Wenn die Vertraulichkeit nicht gewährleistet ist und z.b. Kundendaten oder Betriebsgeheimnisse in falsche Hände geraten, kann das für eine Unternehmung ernste Folgen haben. Es muss mit Image-Verlust, Wettbewerbsnachteilen und strafrechtlichen Verfahren gerechnet werden. Mindestens so wichtig wie der Schutz vor unbefugten Zugrien ist die Integrität der Daten. Es kann verheerende Konsequenzen haben, wenn z.b. manipuliertes Zahlenmaterial als Basis von Analysen verwendet wird. Oft weniger beachtet wird die Verfügbarkeit. Barth [2] deniert Verfügbarkeit folgendermassen: "Verfügbar sind Daten und Dienste dann, wenn Sie innerhalb einer zuvor festgelegten Zeitspanne (zum Beispiel Bürozeit, 5x8 h, 7x24 h etc.) im Bedarfsfall ohne Einschränkung, ordnungsgemäss erreichbar sind." In dieser Arbeit betrachten wir vor allem diesen Aspekt von Firewallsystemen High Availability Allgemeine Denition von High Availability Der Ausdruck High Availability wird verwendet um ein System zu beschreiben das darauf ausgerichtet ist, eine Beeinträchtigung des Betriebs durch Fehler und geplante Aktivitäten möglichst gering zu halten. Höchstes Ziel von HA wäre, 100% Verfügbarkeit zu erreichen. In der Praxis ist das kaum möglich. Mit sorgfältiger Planung kann jedoch eine sehr hohe Verfügbarkeit von beinahe 100% erreicht werden. Oft werden die ve 9s (99,999 %) erwähnt, was einer Ausfallzeit von ca. fünf Minuten pro Jahr entspricht. Ziel eines HA-Designs ist es, möglichst alle potentiellen Ursachen eines Unterbruchs zu eliminieren Wiso braucht es HA? Der Einsatz von IT-Systemen gilt heute als selbstverständlich und nimmt ständig zu. Die Leistungsfähigkeit von Computern ist stark angestiegen und sie werden heute in einem grossen Anwendungsfeld eingesetzt. Gleichzeitig sind die Preise drastisch gesunken, was der Verbreitung weiteren Anschub gab. Es ist ganz normal, das Anwender mit Systemen auf der ganzen Welt interagieren. Die Abhängigkeit von vernetzten Computersystemen nimmt stetig zu. Deshalb sinkt die Toleranz für Unterbrüche und Fehler. Die Erwartungen an die Verfügbarkeit von IT-Systemen nähert sich immer mehr denen der Telefonie an. Immer mehr Geschäftsfälle basieren auf den Möglichkeiten des Internets. Um das zu verdeutli- 10

11 2.3. HIGH AVAILABILITY Einführung in HA Firewalls chen hier ein Beispiel: Im Juni 1999 war der Service von ebay für 22 Stunden nicht verfügbar. Gemäss [4] gingen ebay dadurch zwischen 3 und 5 Millionen Dollar verloren. Um Schäden am Unternehmensimage zu vermeiden, ist eine hohe Verfügbarkeit einer Internetpräsenz wichtig. Bei einigen Ratings von Banken wird auch die Erreichbarkeit der Website und speziell der E-Banking Platform miteinbezogen. Immer mehr Unternehmen, die nicht direkt mit Internettechnologie Umsatz erzielen, messen Diensten wie oder dem WWW einen hohen Stellenwert zu. Wenn eine nicht innerhalb von wenigen Minuten beim Empfänger ankommt, wird schnell dem Support angerufen Einsatzgebiete von HA Lösungen Bei einer kleinen Umfrage hat sich gezeigt, dass in verschiedenen Unternehmen ganz unterschiedliche Ansichten und auch Anforderungen zum Thema HA vorherrschen. Einige Unternehmen lassen sich durch zusätzliche Kosten oder Komplexität abschrecken. Andere erachten es als essentiell um ihre vertraglichen Verpichtungen einhalten zu können. An der ZHW ist das Netzwerk mit Ausnahme weniger Services nicht redundant konzipiert. Redundant ist unter anderem die eingesetzte VPN-Lösung von Cisco, die DNS- und Proxy- Server sowie das Active Directory von Microsoft. Die Betriebszeiten ensprechen den Bürozeiten. HA ist desshalb keine Anforderung die gestellt wird. Für Probleme die Nachts oder an Wochenenden auftreten, existiert kein Bereitschaftsdienst. Bei der Firma terreactive, die sich auf umfassende IT-Sicherheitslösungen spezialisiert hat, werden mit den Kunden SLAs vereinbart. So werden Verfügbarkeit, maximale Ausfallzeit, Servicewindow und Reaktionszeit vertraglich vereinbart. Hauptsächlich werden DNS-, Webund Mailservices hochverfügbar ausgelegt. Um das zu erreichen, wird die eigens entwickelte Lösung tacas für Linux und Solaris eingesetzt. Zudem ist auch das Netzwerkdesign und die Internetanbindung redundant. Realisiert wird das mit BGP und dem von Cisco entwickelten Hot Standby Routing Protocol (HSRP). Für Notfälle existiert ein Bereitschaftsdienst. Die Schweizer Grossbank UBS AG legt viel Wert auf hohe Verfügbarkeit. Wichtige Services sind komplett redundant aufgebaut. Um auch Elementarschäden vorzubeugen, wurde ein zweites, Rechenzentrum aufgebaut. So wird z.b. ein Teil eines Firewallclusters im Rechenzentrum in Zürich betrieben und der zweite Teil im ca. 10 km entfernten Rechenzentrum. Die Verfügbarkeit der einzelnen Services ist mit SLAs geregelt. Da die UBS AG ein global tätiges Unternehmen ist, werden die wichtigsten Services rund um die Uhr aktiv von einer zentralen Stelle aus überwacht. KURZ ist ein weltweit agierender Anbieter der Heissprägetechnologie, mit Hauptstandort in Deutschland. Die verschiedenen Standorte sind mit VPN-Tunnels verbunden. Bei KURZ ist erfahrungsgemäss die Anbindung zum Internet Service Provider (ISP) die häugste Fehlerursache. Um die Verfügbarkeit zu steigern, setzt KURZ auf eine redundante Internetanbindung 11

12 2.3. HIGH AVAILABILITY Einführung in HA Firewalls mit zwei ISPs. Zudem ist auch das interne Netzwerk redundant aufgebaut. Bei den Firewalls verzichtet man jedoch auf den Einsatz eines Clusters, da man mit der Verfügbarkeit der verwendeten Hardware gute Erfahrungen gemacht hat. 12

13 3. Technische Umsetzung Inhalt 3.1 Cluster Virtual Router Redundancy Protocol (VRRP) Common Address Redundancy Protokol (CARP) Cluster Control Protokol (CCP) und ClusterXL FortiGate Cluster Protokoll (FGCP) Statesynchronisation Pfsync ClusterXL ct_sync Netzwerkinfrastruktur 21 Um HA zu erreichen, gibt es verschiedene Ansätze. Im Mainframe Bereich ist HA auf Hardware- Ebene schon seit langem verwirklicht. Fallen Hardwarekomponenten aus, können diese während des Betriebs ausgetauscht werden. Der Einsatz von Raid-Systemen zur Minderung der Folgen eines Harddisk-Ausfalls ist weit verbreitet. Diese Techniken nützen aber nichts, wenn ein Techniker aus Unachtsamkeit das falsche Netzwerkkabel zieht oder der berühmte Bagger die Verbindung durchtrennt. In Kombination mit Cluster-Technologien kann jedoch eine sehr hohe Ausfallsicherheit erzielt werden. In diesem Kapitel beschäftigen wir uns einleitend mit Clustertechnologie im Allgemeinen. Danach stellen wir verschiedene Firewallspezische Lösungen vor. Um Firewallcluster zu bilden, ist einerseits ein Protokoll zur Clusterverwaltung und andererseits ein Protokoll zur Synchronisation notwendig. Auf diese zwei Bestandteile gehen wir im Folgenden getrennt ein. Wenn HA-Firewalls eingesetzt werden, sollte dass ganze Netzwerkdesign darauf ausgelegt sein. Diesen Punkt behandeln wir kurz am Ende dieses Kapitels Cluster Wenn mehrere Computer zu einer logischen Einheit zusammengeschaltet werden, wird dieser Verbund als Cluster bezeichnet. Gegen aussen tritt ein solcher Rechnerverbund als ein System auf. Ein einzelner Computer eines Clusters wird als Node oder Clusternode bezeichnet. Beim Design eines HA-Clusters muss zuerst die Betriebsart der Nodes deniert werden. Unterschieden wird zwischen Aktiv und Passiv. Ein Node im aktiven Modus nimmt Anfragen von 13

14 3.1. CLUSTER Technische Umsetzung Clients entgegen und beantwortet sie. Im Passiven Modus bearbeitet ein Node keine Anfragen von Clients. Der passive Node überwacht den aktiven und übernimmt dessen Funktion, sollte er ausfallen. [5] Am häugsten wird ein Firewallcluster mit einem aktiven und einem passiven Node betrieben. Man nennt diese Konguration das Aktiv-Passiv Clustermodell. Wenn beim Design des Firewallclusters die Skalierung wichtig ist, werden Firewallcluster als Aktiv-Aktiv oder Loadsharing Clustermodell mit mehreren aktiven Nodes verwendet. Bei beiden Modellen muss ein Mechanismus implementiert sein, um Netzwerkpakete zu steuern und zu verteilen. Dies kann mit einem externen Loadbalancer realisiert werden, der entweder die Pakete gleichmässig auf die Clusternodes verteilt (Aktiv-Aktiv Clustermodell) oder beim Ausfall des einen Clusternodes alle Pakete an den verbleibenden Clusternode sendet. Der Loadbalancer selbst muss natürlich auch auf HA ausgelegt sein. In der Regel wird der Mechanismus aber mit Hilfe von Protokollen von den Clusternodes selbst übernommen. In den folgenden Abschnitten betrachten wir verschiedene solche Protokolle genauer. Die unterschiedlichen Produkte und Protokolle verwenden teilweise unterschiedliche Begrie, die aber Dasselbe bedeuten. Für Passiv-Node werden auch die Begrie Backup oder Slave benutzt. Mit dem Begri Master ist ein aktiver Node gemeint Virtual Router Redundancy Protocol (VRRP) Bei einem Ausfall eines Routers kann mittels dynamischer Routingprotokollen wie z.b. OSPF eine alternative Route berechnet und benutzt werden. Das funktioniert aber nicht, wenn der erste Router einer Strecke ausfällt, da ein Host normalerweise nicht ins dynamische Routing eingebunden ist und nur einen Eintrag für den Defaultrouter hat. Um auch für diesen Problemfall Redundanz zu ermöglichen, wurde 1998 vom IETF, das Virtual Router Redundancy Protocol in RFC 2338 deniert. VRRP ist ähnlich aufgebaut wie das Hot Standby Routing Protocol der Firma Cisco. Mit VRRP können mehrere physikalische Router zu einem virtuellen zusammengefasst werden. Dieser virtuelle oder logische Router erhält eine eigenen MAC- und IP-Adresse. Ein Router im Cluster wird als Master bestimmt und verarbeitet Pakete die an die virtuellen Adressen gesendet werden. Der Master-Router sendet in einem denierten Zeitintervall Pakete um anzuzeigen, das er noch verfügbar ist. Wenn der Backup-Router diese Pakete nicht mehr erhält, übernimmt er die Funktion des Masters Common Address Redundancy Protokol (CARP) CARP ist ein Failover Protokoll, welches in OpenBSD implementiert ist. CARP ist eine Alternative zu VRRP. Die Patentansprüche von Cisco auf gewisse Bestandteile von VRRP hat das OpenBSD Entwicklerteam dazu veranlasst, ein eigenes, freies Protokoll zu schaen. Um 14

15 3.1. CLUSTER Technische Umsetzung zu verhindern, dass Cisco auch auf CARP Patentansprüche erhebt, wurden in CARP einige Features eingebaut die HSRP nicht unterstützt. Ein grosser Unterschied ist, dass CARP die Pakete veschlüsselt versendet und auf Integrität prüft. Dies ist ein sehr wichtiger Sicheheitsmechanismus. Ohne diesen Mechanismus könnte ein Angreifer im lokalen Netz mit falschen Paketen die Rolle des Masters übernehmen. Ein weiterer Unterschied ist, dass CARP bereits IPv6 unterstützt. Aktiv-Passiv Modus Ein CARP Cluster hat eine virtuelle Host Nummer (VHID), eine virtuelle IP-Adresse (VIP) und eine virtuelle MAC-Adresse (VMAC). Die VMAC-Adresse wird automatisch von CARP generiert und hat bei Ethernet und FDDI Interfaces das Format 00:00:E5:00:01:xx, wobei xx für die VHID steht. Diese Angaben sind im aktiv-passiv Modus auf allen Nodes gleich. Wichtig ist, dass die VIP-Adresse im gleichen Subnetz ist wie die realen IP-Adressen der Nodes. Bei der Konguration der CARP Interfaces wird jedem Node zudem eine Priorität zugeordnet. Diese wird für das Aushandeln des Masters benötigt. Der Node mit der höchsten Priorität ist der Master. Wenn nun von einem Host im Netz ein ARP-Request auf die VIP-Adresse stattndet, antwortet der Master mit der virtuellen MAC-Adresse. Die passiven Nodes erhalten die Pakete, welche an die VIP-Adresse gesendet werden, in einem geswitchten Netz normalerweise nicht. Falls doch, würden sie diese Pakete verwerfen. Der Master sendet, in einem von der Priorität bestimmten Intervall, CARP-Bestätigungspakete an die anderen Nodes. Anhand dieser Pakete können diese feststellen, ob der Master noch verfügbar ist. Wenn der Master, zum Beispiel auf Grund eines Defektes, keine Bestätigungspakete mehr senden würde, stellen das die anderen Nodes fest. Der Node mit der zweithöchsten Priorität im Cluster übernimmt die Funktion des Masters und sendet nun an seiner Stelle die Bestätigungspakete. Abbildung 3.1 zeigt die schematische Darstellung eines CARP-Clusters. Im Abschnitt 4.4 gehen wir genauer auf die Installation und Konguration von CARP im Aktiv-Passiv Modus ein. Loadsharing CARP bietet zusätzlich die Möglichkeit zur Konguration eines Loadsharing. Diese Option wird Arpbalancing genannt. Die Verteilung der Verbingungen basiert auf einem Hash über die Source IP-Adresse des Hosts, welcher den ARP-Request für die VIP-Adresse des Clusters sendet. Dies hat zur Folge, dass dieser Mechanismus nur im lokalen Netzwerksegment funktioniert. Wenn die Pakete über einen Router zum CARP-Cluster gelangen, ist die Source IP-Adresse des ARP-Requests immer die des Routers. Alle Pakete würden so über den selben Node im Cluster geführt Cluster Control Protokol (CCP) und ClusterXL Checkpoint hat mit ClusterXL ein eigenes, propretäres Cluster Protokoll entwickelt. Mit CCP tauschen die Clusternodes ihren Status wie auch die State-Informationen untereinander aus. 15

16 3.1. CLUSTER Technische Umsetzung Abbildung 3.1.: CARP Diagramm In diesem Abschnitt gehen wir nur auf den Failovermechanismus ein. Der Synchronisationsmechanismus wird unter 3.2 behandelt. Bei Checkpoint ist es möglich, verschiedene Produkte für den Betrieb eines Clusters zu nutzen. Wir betrachten hier nur die Checkpoint eigene Lösung mit ClusterXL. ClusterXL stellt vier verschiedene Betriebsarten zur Verfügung. Es gibt zwei High Availability und zwei Loadsharing Modi. Wir gehen hier auf drei dieser Modi genauer ein. Den High Availability Legacy Modus haben wir nicht näher untersucht. Für alle Modi benötigt jeder Node mindestens drei Netzwerkinterfaces. Je eines für das interne und das externe Netzwerk und eines für das Synchronisationsnetzwerk. Letzteres wird für die Synchronisation der Firewall State-Tabelle benötigt. Der Cluster hat für das interne und das externe Netwerk je eine viruelle IP-Adresse. Zu dieser VIP-Adresse existiert kein reales Interface. Jeder Node hat zudem für jedes Interface eine eigene eindeutige IP-Adresse. Die VIP-Adresse muss dabei nicht im gleichen Subnetz sein wie die eigene IP-Adressen der Nodes. So ist es möglich, das eine Unternehmung nur eine öentliche IP-Adresse besitzen muss. Jedoch müssen alle eigenen IP-Adressen der Nodes auf der gleichen Seite des Clusters im gleichen Subnetz sein. Die Nodes versenden in regelmässigen Abständen über alle Interfaces Statusinformationspakete. Diese Pakete werden mit einem Layer 2 Broadcast unverschlüsselt über das Netzwerk gesendet. In Abbildung 4.1 ist der Aufbau eines solchen Cluster ersichtlich. 16

17 3.1. CLUSTER Technische Umsetzung High Availability New Mode Abbildung 3.2.: CCP FWHA_MY_STATE Paket In diesem Modus arbeitet der Cluster mit einem aktiven und einem oder mehreren passiven Nodes. Bei der Konguration wird allen Nodes eine Priorität zugeordnet die das Master/Slave Verhalten steuert. Zusätzlich ist es möglich das Verhalten zu beeinussen, wenn ein Node nach einem Ausfall wieder ins Cluster aufgenommen wird (Recovery). Eine Kongurationsmöglichkeit ist, dass der gerade aktive Node der Master bleibt, auch wenn der Node, welcher wieder in den Cluster aufgenommen wird, eine höhere Priorität besitzt. Bei der anderen Variante, übernimmt nach einem Recovery der Nodes mit der höchsten Priorität auch dieser wieder die Masterfunktion. Abbildung 3.2 zeigt den Aufbau eines CCP-Paketes, welches wir mit Hilfe von Ethereal gesnit haben. Dieses Paket liefert einige Informationen über den Cluster. Man sieht zum Beispiel, dass unser Cluster aus zwei Nodes besteht (Number of IDs Reported) und mit welchem Recoverymodus das Cluster arbeitet (HA mode). Unter Machine states ist ersichtlich, welcher Node gerade aktiv ist. Wie der High Availability New Mode im Detail bei einem Failover funktioniert, lässt sich am besten anhand eines Beispieles erklären. Wir nehmen an, dass 2 Subnetze über ein Firewallcluster miteinander verbunden sind. Nun möchte Host A im einen Subnetz mit Host B im anderen Subnetz kommunizieren. 17

18 3.1. CLUSTER Technische Umsetzung 1. Host A weiss anhand seiner Routingtabelle die IP-Adresse des Gateways. Diese Adresse entspricht der VIP-Adresse des Clusters. 2. Um die MAC-Adresse des Clusters hearauszunden, sendet Host A einen ARP-Request (broadcast) für die VIP-Adresse des Clusters. 3. Der Master des Cluster beantwortet diesen Request mit der MAC-Adresse seines realen Interfaces. 4. Host A sendet Pakete für Host B an die MAC-Adresse die er mit der VIP-Adresse verknüpft hat. 5. Mit einem ARP-Request ndet der Master heraus, welche MAC-Adresse Host B hat. 6. Die Pakete werden nun über den aktiven Node des Clusters zu Host B versendet. 7. Host B kennt die MAC-Adresse die zur VIP-Adresse vom vorhergehenden ARP-Request des Masters. 8. Wenn nun auf dem aktiven Node ein Fehler auftritt, bemerkt dies der passive Node und übernimmt die Rolle des Masters. Damit die Pakete auch zum neuen Node gesendet werden, sendet dieser an Host A und Host B einen unaufgeforderten ARP-Reply. Dies bewirkt, dass die Hosts die MAC-Adresse in der eigenen ARP-Tabelle für die VIP- Adresse des Clusters mit der neuen MAC-Adresse überschreiben. 9. Die Kommunikation zwischen den beiden Hosts kann nach einem kurzen Unterbruch weitergeführt werden. Loadsharing Multicast Wie der Name schon sagt, wird hier die Last auf alle Nodes im Cluster verteilt. Alle Nodes sind aktiv. Die Kommunikation unter den Nodes funktioniert gleich wie im High Availability New Mode. Ein grosser Unterschied besteht bei der Verteilung der Pakete auf die einzelnen Nodes. Auf den Switches, mit denen der Cluster verbunden ist, müssen Multicast MAC- Adressen eingerichtet werden. Wenn ein Paket an eine Multicast MAC-Adresse gesendet wird, leitet der Switch dieses an alle Nodes im Cluster weiter. Diese entscheiden nun anhand eines Algorithmus, welcher das Paket verarbeitet. Das Problem besteht darin, dass alle Pakete einer Verbindung, wegen der dynamischen Paketlterung, vom gleichen Node bearbeitet werden sollten. ClusterXL garantiert dies aber nicht für alle Fälle. Durch die Statesynchronisation sollte dies jedoch kein Problem darstellen. 18

19 3.1. CLUSTER Technische Umsetzung Loadsharing Unicast Auch in diesem Modus sind alle Nodes im aktiven Zustand. Man benötigt jedoch keine Multicast fähigen Switches. Die Nodes machen untereinander den sogenannten Pivot aus. Dieser beantwortet daraufhin alle ARP-Request mit der MAC-Adresse physikalischen Interfaces. Alle Pakete werden an diesen Pivot-Node gesendet und er entscheidet, ob er ein Paket selbst bearbeitet oder es mittels ARP-rewrite an einen anderen Node des Clusters weiterleitet. Falls der Pivot-Node ausfällt wird diese Funktion von einem anderen Node übernommen. Dieser Modus kann unter dem Aspekt der Performance nicht mit der Multicast-Variant mithalten. Der Vorteil liegt darin, dass keine spezielle Switchkonguration notwendig ist. Failover Damit ein Fehler erkannt wird und daraufhin ein Failover durchgeführt werden kann, überwacht auf jedem Node ein Prozess das eigene System. Ein Failover wird bei folgenden Ereignissen durchgeführt: Bei einem kritischen Prozess tritt ein Fehler aufh. Ein Beispiel für einen kritischen Pozess ist der Firewallprozess fwd. Ein Netzwerkinterface oder ein Netzwerkkabel ist defekt. Das Ruleset einer Firewall ist nicht korrekt installiert FortiGate Cluster Protokoll (FGCP) Auch die Firma FortiNet hat für den Clusterberieb ihrer Firewalls ein eigenes Clusterprotokoll entwickelt. Die Firewallprodukte werden unter dem Namen FortiGate vertrieben. Grundsätzlich funktioniert das FortiGate Cluster Protokoll ähnlich wie das CCP von Checkpoint. Der grösste Unterschied besteht darin, dass beim FGCP, wie bei CARP, mit virtuellen MAC- Adressen gearbeitet wird. Aus diesem Grund werden wir hier nur noch die markanten Unterschiede behandeln. Das FGCP übernimmt folgende Aufgaben: Austausch von Informationen über den Zustand der einzelnen Firewalls Synchronisation der Firewalls-State Tabelle Synchronisation der Konguration der Firewalls 19

20 3.2. STATESYNCHRONISATION Technische Umsetzung Ein Cluster aus mehreren FortiGate Firewalls ist im Netz nur als ein Gerät ersichtlich. Nachdem die einzelnen Nodes für den Clusterberieb vorkonguriert worden sind, übernimmt das FGCP die restliche Konguration. Als virtuelle IP-Adressen werden diejenige des Masters übernommen. Die Nodes haben nach der abschliessenden Konguration durch das FGCP keine eigenen IP-Adressen mehr. Alle Interfaces die am gleichen Subnetz angeschlossen sind, erhalten die vorhin erwähnte virtuelle IP-Adresse des Masters. Zudem haben alle beteiligten Interfaces von allen Nodes die gleiche MAC-Adresse. Der Cluster kann im Active-Passive und im Active-Active Modus betreiben werden. Im Active- Active Modus arbeitet das FGCP gleich wie das CCP im Loadsharing Unicast Modus. Alle Pakete werden von einem Node entgegengenommen und anhand eines Algorithmus auf die anderen Nodes verteilt. Den Active-Passive Modus wollen wir hier auch nicht weiter diskutieren, da das Prinzip demjenigen des CARP Active-Passive Modus entspricht. Als zusätzliches Feature ist es zudem möglich den Cluster transparent, das heisst auf Layer 2, zu betreiben. Über ein Webinterface oder über die Konsole kann der Cluster administriert werden. Die Änderungen werden automatisch auf die restlichen Nodes übertragen. Das FCGP überträgt die Pakete über TCP Port 720. Für die Synchronisation der Konguration wird TCP Port 23 verwendet. Die Daten werden ohne Verschlüsselung übertragen. Somit ist auch hier der Einsatz eines dedizierten Synchronisationsnetzwerks zu empfehlen. Für die Authorization zwischen den Nodes muss bei der Vorkonguration ein Passwort eingetragen werden Statesynchronisation Wie unter beschrieben, ist die dynamische Paketlterung ein zentraler Bestandteil einer Firewall. In einem Cluster müssen nun alle States unter den Nodes synchronisiert werden. Ohne diese Synchronisation würden bei einem Failover oene Verbindungen unterbrochen. Jedes Firewallprodukt hat ihre eigene Implementation der dynamischen Paketlterung. Deshalb benötigt auch jedes Produkt eigene Mechanismen um die States zu synchronisieren. Im Folgenden stellen wir einige dieser Mechanismen vor Pfsync Mit pfsync bietet OpenBSD das Werkzeug, um die States des Paketlters pf zwischen mehreren Clustern abzugleichen. In der Grundeinstellung sendet jede Firewall die pfsync Pakete per Multicast. Wenn sichere Authentisierung und Verschlüsselung gewünscht wird, kann auch Unicast konguriert werden, um einen IPSec-Tunnel zu benutzen. Pfsync setzt nicht auf TCP oder UDP, sondern direkt auf IP auf. Benutzt wird IP Protokoll 240. Konguriert wird pfsync über das Pseudointerface pfsync0 und über die Konguration von pf. Mit dem Statement nosync in der pf-konguration, kann pfsync daran gehindert werden, States für die entsprechende Verbindung zu berücksichtigen. 20

1 Hochverfügbarkeit. 1.1 Einführung. 1.2 Network Load Balancing (NLB) Quelle: Microsoft. Hochverfügbarkeit

1 Hochverfügbarkeit. 1.1 Einführung. 1.2 Network Load Balancing (NLB) Quelle: Microsoft. Hochverfügbarkeit 1 Hochverfügbarkeit Lernziele: Network Load Balancing (NLB) Failover-Servercluster Verwalten der Failover Cluster Rolle Arbeiten mit virtuellen Maschinen Prüfungsanforderungen von Microsoft: Configure

Mehr

Gefahren aus dem Internet 1 Grundwissen April 2010

Gefahren aus dem Internet 1 Grundwissen April 2010 1 Grundwissen Voraussetzungen Sie haben das Internet bereits zuhause oder an der Schule genutzt. Sie wissen, was ein Provider ist. Sie wissen, was eine URL ist. Lernziele Sie wissen, was es braucht, damit

Mehr

VRRP. Bild 004482 zeigt die Adressangaben in einem IP-Paket bei dessen Übermittlung über die Grenze eines IP-Subnetzes hinweg.

VRRP. Bild 004482 zeigt die Adressangaben in einem IP-Paket bei dessen Übermittlung über die Grenze eines IP-Subnetzes hinweg. VRRP Virtual Router Redundancy Protocol Autor: Prof. Dr.-Ing. Anatol Badach Auszug aus dem Werk: Herausgeber: Heinz Schulte WEKA-Verlag ISBN 978-3824540662 Netzwerke auf Basis des Internet Protocol (IP)

Mehr

GeoShop Netzwerkhandbuch

GeoShop Netzwerkhandbuch Technoparkstrasse 1 8005 Zürich Tel.: 044 / 350 10 10 Fax.: 044 / 350 10 19 GeoShop Netzwerkhandbuch Zusammenfassung Diese Dokumentation beschreibt die Einbindung des GeoShop in bestehende Netzwerkumgebungen.

Mehr

CCNA Exploration Network Fundamentals. ARP Address Resolution Protocol

CCNA Exploration Network Fundamentals. ARP Address Resolution Protocol CCNA Exploration Network Fundamentals ARP Address Resolution Protocol ARP: Address resolution protocol 1. Eigenschaften ARP-Cache Aufbau 2. Ablauf Beispiel Flussschema 3. ARP-Arten 4. Sicherheit Man-In-The-Middle-Attacke

Mehr

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät NAT und Firewalls Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung 27. April 2005

Mehr

Arbeitsblätter. Der Windows 7 MCITP-Trainer - Vorbereitung zur MCITP-Prüfung 70-685. Aufgaben Kapitel 1

Arbeitsblätter. Der Windows 7 MCITP-Trainer - Vorbereitung zur MCITP-Prüfung 70-685. Aufgaben Kapitel 1 Arbeitsblätter Der Windows 7 MCITP-Trainer - Vorbereitung zur MCITP-Prüfung 70-685 Aufgaben Kapitel 1 1. Sie betreuen die Clients in Ihrer Firma. Es handelt sich um Windows 7 Rechner in einer Active Momentan

Mehr

Eine hochverfügbare Firewall mit iptables und fwbuilder. Secure Linux Administration Conference, 11. Dec 2008

Eine hochverfügbare Firewall mit iptables und fwbuilder. Secure Linux Administration Conference, 11. Dec 2008 Eine hochverfügbare Firewall mit iptables und fwbuilder Secure Linux Administration Conference, 11. Dec 2008 Dr. Michael Schwartzkopff HA Firewall mit fwbuilder, SLAC 2008 / 1 Eine einfache Firewall Eine

Mehr

Remote Administration von Windows Servern mit Microsoft Terminal Services und OpenSSH

Remote Administration von Windows Servern mit Microsoft Terminal Services und OpenSSH Remote Administration von Windows Servern mit Microsoft Terminal Services und OpenSSH von Dominick Baier (dbaier@ernw.de) und Jens Franke (jfranke@ernw.de) 1 Einleitung Dieses Dokument behandelt die flexible

Mehr

8. Bintec Router Redundancy Protocol (BRRP) 8.1 Einleitung

8. Bintec Router Redundancy Protocol (BRRP) 8.1 Einleitung 8. Bintec Router Redundancy Protocol (BRRP) 8.1 Einleitung Im Folgenden wird die Konfiguration von BRRP gezeigt. Beide Router sind jeweils über Ihr Ethernet 1 Interface am LAN angeschlossen. Das Ethernet

Mehr

1.1 Wireshark Bedienung (Die neuste Wireshark-Version sieht leicht anders aus!) 1.2 Aufzeichnung starten. LAN-Komponenten in Betrieb nehmen Modul 129

1.1 Wireshark Bedienung (Die neuste Wireshark-Version sieht leicht anders aus!) 1.2 Aufzeichnung starten. LAN-Komponenten in Betrieb nehmen Modul 129 1 Wireshark für Protokolle (Verfasst von G. Schneider/TBZ-IT) 1.1 Wireshark Bedienung (Die neuste Wireshark-Version sieht leicht anders aus!) Wireshark ist ein sog. Sniffer. Diese Software dient dazu den

Mehr

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt. Arbeitsblätter Der Windows Small Business Server 2011 MCTS Trainer Vorbereitung zur MCTS Prüfung 70 169 Aufgaben Kapitel 1 1. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

Mehr

... relevante Ports für Streaming bzw. Remote Control!

... relevante Ports für Streaming bzw. Remote Control! ... relevante Ports für Streaming bzw. Remote Control! Wenn Sie mit der Installation des IO [io] 8000 / 8001 beginnen, ist es am sinnvollsten mit einem minilan zu beginnen, da dies mögliche Fehlrequellen

Mehr

Sicherheitsdienste für große Firmen => Teil 2: Firewalls

Sicherheitsdienste für große Firmen => Teil 2: Firewalls Seite 21 Sicherheitsdienste für große Firmen => Teil 2: Firewalls Sicherer Zugang zum World Wide Web (HTTP, FTP etc.) Sicherer Übergang zum Internet: Firewalls und Intrusion Detection Verzeichnisdienste

Mehr

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung 6. Zone Defense 6.1 Einleitung Im Folgenden wird die Konfiguration von Zone Defense gezeigt. Sie verwenden einen Rechner für die Administration, den anderen für Ihre Tests. In der Firewall können Sie entweder

Mehr

Aurorean Virtual Network

Aurorean Virtual Network Übersicht der n Seite 149 Aurorean Virtual Network Aurorean ist die VPN-Lösung von Enterasys Networks und ist als eine Enterprise-class VPN-Lösung, auch als EVPN bezeichnet, zu verstehen. Ein EVPN ist

Mehr

Stefan Dahler. 1. Konfiguration der Stateful Inspection Firewall. 1.1 Einleitung

Stefan Dahler. 1. Konfiguration der Stateful Inspection Firewall. 1.1 Einleitung 1. Konfiguration der Stateful Inspection Firewall 1.1 Einleitung Im Folgenden wird die Konfiguration der Stateful Inspection Firewall beschrieben. Es werden Richtlinien erstellt, die nur den Internet Verkehr

Mehr

Eine hochverfügbare Firewall mit Linux-HA, iptables und fwbuilder

Eine hochverfügbare Firewall mit Linux-HA, iptables und fwbuilder Eine hochverfügbare Firewall mit Linux-HA, iptables und fwbuilder FROSCON, 23.8.2009 Dr. Michael Schwartzkopff HA Firewall mit fwbuilder, Seite 1 Eine einfache Firewall Eine einfache Firewall mit Linux

Mehr

Dies ist eine Schritt für Schritt Anleitung wie man den Router anschließt und mit dem Internet verbindet.

Dies ist eine Schritt für Schritt Anleitung wie man den Router anschließt und mit dem Internet verbindet. Schnellinstallations Anleitung: Dies ist eine Schritt für Schritt Anleitung wie man den Router anschließt und mit dem Internet verbindet. 1) Verkabeln Sie Ihr Netzwerk. Schließen Sie den Router ans Stromnetz,

Mehr

D r e ISP S P i m K l K as a s s e s n e r n au a m H.Funk, BBS II Leer

D r e ISP S P i m K l K as a s s e s n e r n au a m H.Funk, BBS II Leer Der ISP im Klassenraum H.Funk, BBS II Leer Überblick Agenda: Ziel des Workshops Grundlagen PPPoE Realisierung eines lokalen PPPoE Servers Port-Forwarding DNS / DDNS Ziel des Workshops Ein Netzwerk vergleichbar

Mehr

Ether S-Net Diagnostik

Ether S-Net Diagnostik Control Systems and Components 4 Ether S-Net Diagnostik Ether S-Net Diagnostik 4-2 S-Net EtherDiagnostik.PPT -1/12- Inhalt - Kurzbeschreibung einiger Test- und Diagnosebefehle unter DOS - PING-Befehl -

Mehr

Werkzeuge zur Netzwerkdiagnose

Werkzeuge zur Netzwerkdiagnose Werkzeuge zur Netzwerkdiagnose Markus Dahms BraLUG e.v. 16. Januar 2008 Überblick 1 Einführung 2 Netzzugangsschicht Ethernet 3 Vermittlungsschicht Internet Protocol 4 Namensauflösung 5 Firewall-Troubleshooting

Mehr

Netzwerk Teil 2 Linux-Kurs der Unix-AG

Netzwerk Teil 2 Linux-Kurs der Unix-AG Netzwerk Teil 2 Linux-Kurs der Unix-AG Zinching Dang 17. Juni 2015 Unterschied Host Router Standardverhalten eines Linux-Rechners: Host nur IP-Pakete mit Zieladressen, die dem Rechner zugeordnet sind,

Mehr

OpenBSD Gateway Cluster

OpenBSD Gateway Cluster Carp, pfsync, pf, sasyncd: 15. September 2005 Firewall und IPSec Failover unter OpenBSD Markus Wernig Firewall Grundlagen: Sessions Stateful inspection IPSec Das Problem: Ausfall IP-Adressen Active-passive

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: 7. Intrusion Prevention System 7.1 Einleitung Sie konfigurieren das Intrusion Prevention System um das Netzwerk vor Angriffen zu schützen. Grundsätzlich soll nicht jeder TFTP Datenverkehr blockiert werden,

Mehr

How-to: VPN mit IPSec und Gateway to Gateway. Securepoint Security System Version 2007nx

How-to: VPN mit IPSec und Gateway to Gateway. Securepoint Security System Version 2007nx Securepoint Security System Version 2007nx Inhaltsverzeichnis VPN mit IPSec und Gateway to Gateway... 3 1 Konfiguration der Appliance... 4 1.1 Erstellen von Netzwerkobjekten im Securepoint Security Manager...

Mehr

Network Time Protocol NTP

Network Time Protocol NTP Network Time Protocol NTP Autor: Luca Costa, HTW Chur, luca.costa@tet.htwchur.ch Dozent: Bruno Wenk, HTW Chur, bruno.wenk@fh-htwchur.ch Inhaltsverzeichnis 1 Network Time Protocol... 3 1.1 Einleitung...

Mehr

Wurm-Lizenzserver Internetverbindung über Port 80 (http) Bei aktiver Firewall muss die Ausnahme für die URL http://ls.wurm.de eingerichtet werden

Wurm-Lizenzserver Internetverbindung über Port 80 (http) Bei aktiver Firewall muss die Ausnahme für die URL http://ls.wurm.de eingerichtet werden Der Wurm Lizenzmanager Der Wurm Lizenzmanager dient als Lizenzserver für Software der Firma Wurm. Die Installation erfolgt auf einem Rechner innerhalb des jeweiligen Intranets. Dadurch kann auf separate

Mehr

4. Network Interfaces Welches verwenden? 5. Anwendung : Laden einer einfachen Internetseite 6. Kapselung von Paketen

4. Network Interfaces Welches verwenden? 5. Anwendung : Laden einer einfachen Internetseite 6. Kapselung von Paketen Gliederung 1. Was ist Wireshark? 2. Wie arbeitet Wireshark? 3. User Interface 4. Network Interfaces Welches verwenden? 5. Anwendung : Laden einer einfachen Internetseite 6. Kapselung von Paketen 1 1. Was

Mehr

Load Balancing mit Freier Software

Load Balancing mit Freier Software Volker Dormeyer GNU/LinuxTag 2005 Inhalt 1 Begriffserläuterung OSI und IP Schichten 2 3 Inhalt Begriffserläuterung OSI und IP Schichten 1 Begriffserläuterung OSI und IP Schichten

Mehr

Client/Server-Systeme

Client/Server-Systeme Frühjahrsemester 2011 CS104 Programmieren II / CS108 Programmier-Projekt Java-Projekt Kapitel 3: /Server-Architekturen H. Schuldt /Server-Systeme Ein zweischichtiges /Server-System ist die einfachste Variante

Mehr

Konfigurationsanleitung Network Address Translation (NAT) Funkwerk. Seite - 1 - Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.

Konfigurationsanleitung Network Address Translation (NAT) Funkwerk. Seite - 1 - Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1. Konfigurationsanleitung Network Address Translation (NAT) Funkwerk Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.1 Seite - 1 - 1. Konfiguration von Network Address Translation 1.1

Mehr

LAN Schutzkonzepte - Firewalls

LAN Schutzkonzepte - Firewalls LAN Schutzkonzepte - Firewalls - Allgemein Generelle Abschirmung des LAN der Universität Bayreuth - Lehrstuhlnetz transparente Firewall - Prinzip a) kommerzielle Produkte b) Eigenbau auf Linuxbasis - lokaler

Mehr

Network Address Translation (NAT) Prof. B. Plattner

Network Address Translation (NAT) Prof. B. Plattner Network Address Translation (NAT) Prof. B. Plattner Warum eine Übersetzung von Adressen? Adressknappheit im Internet Lösungen langfristig: IPv6 mit 128-bit Adressen einsetzen kurzfristig (und implementiert):

Mehr

Installation SQL- Server 2012 Single Node

Installation SQL- Server 2012 Single Node Installation SQL- Server 2012 Single Node Dies ist eine Installationsanleitung für den neuen SQL Server 2012. Es beschreibt eine Single Node Installation auf einem virtuellen Windows Server 2008 R2 mit

Mehr

Praktikum IT-Sicherheit. Firewall

Praktikum IT-Sicherheit. Firewall IT-Sicherheit Praktikum IT-Sicherheit - Versuchshandbuch - Einrichten von Firewallsystemen mit IPtables Firewall In diesem Versuch lernen Sie den Umgang mit Paketfiltern im Zusammenhang von Servern und

Mehr

Laborübung SNMP. Aufgabe 1: SNMP Basics genutzter Agent: 10.20.143.73 (VM_SNMP_Win_XP)

Laborübung SNMP. Aufgabe 1: SNMP Basics genutzter Agent: 10.20.143.73 (VM_SNMP_Win_XP) Netzmanagement SS 2014 Prof. Dr. Martin Leischner / Dipl.Inf. Wolfgang Pein 14.5.14 - V1 Laborübung SNMP Einführung Um Netzmanagement betreiben zu können, ist es notwendig, auf Managementinformationen

Mehr

sedex-client Varianten für den Betrieb in einer hoch verfügbaren

sedex-client Varianten für den Betrieb in einer hoch verfügbaren Département fédéral de l'intérieur DFI Office fédéral de la statistique OFS Division Registres Team sedex 29.07.2014, version 1.0 sedex-client Varianten für den Betrieb in einer hoch verfügbaren Umgebung

Mehr

Root-Server für anspruchsvolle Lösungen

Root-Server für anspruchsvolle Lösungen Root-Server für anspruchsvolle Lösungen I Produktbeschreibung serverloft Internes Netzwerk / VPN Internes Netzwerk Mit dem Produkt Internes Netzwerk bietet serverloft seinen Kunden eine Möglichkeit, beliebig

Mehr

Man unterscheidet zwischen LAN (Local Area Network) und WAN (Wide Area Network), auch Internet genannt.

Man unterscheidet zwischen LAN (Local Area Network) und WAN (Wide Area Network), auch Internet genannt. Netzwerk Ein Netzwerk wird gebildet, wenn mehrere Geräte an einem Switch mit Netzwerkkabeln angeschlossen werden. Dabei können die einzelnen Geräte miteinander kommunizieren und über ein Netzwerkprotokoll

Mehr

NTCS Synchronisation mit Exchange

NTCS Synchronisation mit Exchange NTCS Synchronisation mit Exchange Mindestvoraussetzungen Betriebssystem: Mailserver: Windows Server 2008 SP2 (x64) Windows Small Business Server 2008 SP2 Windows Server 2008 R2 SP1 Windows Small Business

Mehr

SSH. Nun brauchen wir noch das passwd-file. Dieses erstellen wir mit folgendem Befehl: mkpasswd -k -u marco >>..\etc\passwd

SSH. Nun brauchen wir noch das passwd-file. Dieses erstellen wir mit folgendem Befehl: mkpasswd -k -u marco >>..\etc\passwd SSH 1 Grundlagen... 1 2 Authentifizierung... 1 3 Installation von OpenSSH for Windows... 1 3.1 Anmeldung mit Schlüsselpaar... 3 4 SSH-Tunnel... 4 4.1 Funktionsweise... 5 4.2 Remote-Desktop durch einen

Mehr

Cluster Quick Start Guide

Cluster Quick Start Guide Cluster Quick Start Guide Cluster SR2500 Anleitung zur Konfi guration KURZÜBERBLICK CLUSTER SEITE 2 FUNKTIONSWEISE DES THOMAS KRENN CLUSTERS (SCHAUBILD) SEITE 3 CLUSTER AUFBAUEN UND KONFIGURIEREN SEITE

Mehr

Masterarbeit über IPv6 Security: http://blog.webernetz.net/2013/05/06/ipv6-security-master-thesis/ Xing:

Masterarbeit über IPv6 Security: http://blog.webernetz.net/2013/05/06/ipv6-security-master-thesis/ Xing: 1 Masterarbeit über IPv6 Security: http://blog.webernetz.net/2013/05/06/ipv6-security-master-thesis/ Xing: https://www.xing.com/profile/johannes_weber65 2 3 4 Kernproblem: Wer hatte wann welche IPv6-Adresse?

Mehr

Referat von Sonja Trotter Klasse: E2IT1 Datum Jan. 2003. Subnetting

Referat von Sonja Trotter Klasse: E2IT1 Datum Jan. 2003. Subnetting Referat von Sonja Trotter Klasse: E2IT1 Datum Jan. 2003 Subnetting Einleitung Thema dieser Ausarbeitung ist Subnetting Ganz zu Beginn werden die zum Verständnis der Ausführung notwendigen Fachbegriffe

Mehr

Client-Server mit Socket und API von Berkeley

Client-Server mit Socket und API von Berkeley Client-Server mit Socket und API von Berkeley L A TEX Projektbereich Deutsche Sprache Klasse 3F Schuljahr 2015/2016 Copyleft 3F Inhaltsverzeichnis 1 NETZWERKPROTOKOLLE 3 1.1 TCP/IP..................................................

Mehr

EX-6031. RS-232 zu Ethernet / IP. Bedienungsanleitung. 7. Anschlüsse. 8. Technische Daten. Seriell 9 Pin D-SUB Stecker

EX-6031. RS-232 zu Ethernet / IP. Bedienungsanleitung. 7. Anschlüsse. 8. Technische Daten. Seriell 9 Pin D-SUB Stecker 7. Anschlüsse Bedienungsanleitung Seriell 9 Pin D-SUB Stecker Pin Signal Pin Signal Pin Signal 1 DCD 4 DTR 7 RTS 2 RXD 5 GROUND 8 CTS 3 TXD 6 DSR 9 DB 9M EX-6031 8. Technische Daten Stromanschluss: 5V

Mehr

SZENARIO BEISPIEL. Implementation von Swiss SafeLab M.ID mit Citrix. Redundanz und Skalierbarkeit

SZENARIO BEISPIEL. Implementation von Swiss SafeLab M.ID mit Citrix. Redundanz und Skalierbarkeit SZENARIO BEISPIEL Implementation von Swiss SafeLab M.ID mit Citrix Redundanz und Skalierbarkeit Rahmeninformationen zum Fallbeispiel Das Nachfolgende Beispiel zeigt einen Aufbau von Swiss SafeLab M.ID

Mehr

Stefan Dahler. 1. Remote ISDN Einwahl. 1.1 Einleitung

Stefan Dahler. 1. Remote ISDN Einwahl. 1.1 Einleitung 1. Remote ISDN Einwahl 1.1 Einleitung Im Folgenden wird die Konfiguration einer Dialup ISDN Verbindungen beschrieben. Sie wählen sich über ISDN von einem Windows Rechner aus in das Firmennetzwerk ein und

Mehr

DynDNS Router Betrieb

DynDNS Router Betrieb 1. Einleitung Die in dieser Information beschriebene Methode ermöglicht es, mit beliebige Objekte zentral über das Internet zu überwachen. Es ist dabei auf Seite des zu überwachenden Objektes kein PC und/oder

Mehr

DHCP. DHCP Theorie. Inhalt. Allgemein. Allgemein (cont.) Aufgabe

DHCP. DHCP Theorie. Inhalt. Allgemein. Allgemein (cont.) Aufgabe 23. DECUS München e.v. Symposium 2000 Bonn Norbert Wörle COMPAQ Customer Support Center Inhalt Theorie Allgemein Aufgabe von Vorteile / Nachteile Wie bekommt seine IP Adresse? Wie wird Lease verlängert?

Mehr

Universal Mobile Gateway V4

Universal Mobile Gateway V4 PV-Electronic, Lyss Universal Mobile Gateway V4 Autor: P.Groner Inhaltsverzeichnis Allgemeine Informationen... 3 Copyrightvermerk... 3 Support Informationen... 3 Produkte Support... 3 Allgemein... 4 Definition

Mehr

Einführung in die. Netzwerktecknik

Einführung in die. Netzwerktecknik Netzwerktecknik 2 Inhalt ARP-Prozeß Bridging Routing Switching L3 Switching VLAN Firewall 3 Datenaustausch zwischen 2 Rechnern 0003BF447A01 Rechner A 01B765A933EE Rechner B Daten Daten 0003BF447A01 Quelle

Mehr

Internet Security 2009W Protokoll Firewall

Internet Security 2009W Protokoll Firewall Internet Security 2009W Protokoll Firewall Manuel Mausz, Matr. Nr. 0728348 manuel-tu@mausz.at Aldin Rizvanovic, Matr. Nr. 0756024 e0756024@student.tuwien.ac.at Wien, am 25. November 2009 1 Inhaltsverzeichnis

Mehr

Network Address Translation (NAT) Warum eine Übersetzung von Adressen?

Network Address Translation (NAT) Warum eine Übersetzung von Adressen? Network Address Translation () Prof. B. Plattner Warum eine Übersetzung von Adressen? Adressknappheit im Internet Lösungen langfristig: IPv6 mit 128-bit Adressen einsetzen kurzfristig (und implementiert):

Mehr

Wolfgang Barth Das Firewall-Buch Grundlagen, Aufbau und Betrieb sicherer Netzwerke mit Linux SuSE PRESS

Wolfgang Barth Das Firewall-Buch Grundlagen, Aufbau und Betrieb sicherer Netzwerke mit Linux SuSE PRESS Wolfgang Barth Das Firewall-Buch Grundlagen, Aufbau und Betrieb sicherer Netzwerke mit Linux SuSE PRESS \ 1 Ziel dieses Buches 2 Wozu braucht man Firewalls? 2.1 Der Begriff Firewall" 2.2 Was ein Firewall

Mehr

UDP-, MTU- und IP- Fragmentierung

UDP-, MTU- und IP- Fragmentierung UDP-, MTU- und IP- Fragmentierung Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung

Mehr

Auf der Homepage steht

Auf der Homepage steht Auf der Homepage steht VirtualBox is a powerful x86 and AMD64/Intel64 virtualization product for enterprise as well as home use. Not only is VirtualBox an extremely feature rich, high performance product

Mehr

IP Adressen & Subnetzmasken

IP Adressen & Subnetzmasken IP Adressen & Subnetzmasken Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung 27. April

Mehr

Hyper-V Server 2008 R2

Hyper-V Server 2008 R2 Hyper-V Server 2008 R2 1 Einrichtung und Installation des Hyper-V-Servers 1.1 Download und Installation 4 1.2 Die Administration auf dem Client 9 1.3 Eine VM aufsetzen 16 1.4 Weiterführende Hinweise 22

Mehr

Die Cargo Plattform bietet einen sicheren und einfachen Datentransfer mit einem modernen Web- Interface.

Die Cargo Plattform bietet einen sicheren und einfachen Datentransfer mit einem modernen Web- Interface. Die Cargo Plattform bietet einen sicheren und einfachen Datentransfer mit einem modernen Web- Interface. Inhaltsverzeichnis Erste Schritte Anmelden 2 Startseite 3 Dateimanager 4 CargoLink 5 Freigaben 6

Mehr

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.0.

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.0. Konfigurationsanleitung Access Control Lists (ACL) Funkwerk Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.0 Seite - 1 - 1. Konfiguration der Access Listen 1.1 Einleitung Im Folgenden

Mehr

Port-Weiterleitung einrichten

Port-Weiterleitung einrichten Port-Weiterleitung einrichten Dokument-ID Port-Weiterleitung einrichten Version 1.5 Status Endfassung Ausgabedatum 13.03.2015 Centro Business Inhalt 1.1 Bedürfnis 3 1.2 Beschreibung 3 1.3 Voraussetzungen/Einschränkungen

Mehr

Bridgefirewall eine transparente Lösung. Thomas Röhl 08. April 2005

Bridgefirewall eine transparente Lösung. Thomas Röhl 08. April 2005 Bridgefirewall eine transparente Lösung Thomas Röhl 08. April 2005 Inhalt Warum eine Bridgefirewall? Installation der Bridge IPtables der Paketfilter unter Linux Funktionsweise von IPtables Firewallregeln

Mehr

Rechnernetze Praktikum Versuch 2: MySQL und VPN

Rechnernetze Praktikum Versuch 2: MySQL und VPN Rechnernetze Praktikum Versuch 2: MySQL und VPN Ziel Absicherung einer MySQL Verbindung mittels VPN Vorbereitung Warum muss eine MySQL Verbindung gesichert werden? Was versteht man unter MySQL Injektion?

Mehr

VoIPcom Supportpakete

VoIPcom Supportpakete VoIPcom Supportpakete bietet drei verschiedene Supportpakete an. Anrecht auf das Supportpaket Silber haben grundsätzlich alle Kunden, welche eine VoIPcom Telefonanlage im Einsatz haben. Für Firmenkunden

Mehr

1 Änderungen bei Windows Server 2008 R2

1 Änderungen bei Windows Server 2008 R2 1 Änderungen bei Windows Server 2008 R2 1.1 Der BranchCache Eine völlig neue Möglichkeit, auf Ressourcen zuzugreifen, bietet der BranchCache. In vielen Firmen gibt es Zweigstellen, die mit der Hauptstelle

Mehr

Session Storage im Zend Server Cluster Manager

Session Storage im Zend Server Cluster Manager Session Storage im Zend Server Cluster Manager Jan Burkl System Engineer, Zend Technologies Agenda Einführung in Zend Server und ZSCM Überblick über PHP Sessions Zend Session Clustering Session Hochverfügbarkeit

Mehr

IP Integration Sysmess Multi und Compact Firmware 3.6,X, July 2014

IP Integration Sysmess Multi und Compact Firmware 3.6,X, July 2014 IP Integration Sysmess Multi und Compact Firmware 3.6,X, July 2014 Alarm XML CSV Webinterface Internet TCP / RTU Slave IP-Router E-Mail FTP / SFTP UDP RS 232 GLT RS 485 GPRS / EDGE / UMTS SPS S0-Eingänge

Mehr

Tipps & Tricks: März 2011. Parameter der tnsnames.ora im RAC Umfeld. 1. Parameter: Bereich: Erstellung: RAC 03/2011 SH. Letzte Überarbeitung: 11.

Tipps & Tricks: März 2011. Parameter der tnsnames.ora im RAC Umfeld. 1. Parameter: Bereich: Erstellung: RAC 03/2011 SH. Letzte Überarbeitung: 11. Tipps & Tricks: März 2011 Bereich: RAC Erstellung: 03/2011 SH Versionsinfo: 11.2 Letzte Überarbeitung: 03/2011 SH Als PDF Downloaden! Parameter der tnsnames.ora im RAC Umfeld Wird Oracle Real Application

Mehr

IAC-BOX Netzwerkintegration. IAC-BOX Netzwerkintegration IACBOX.COM. Version 2.0.1 Deutsch 14.05.2014

IAC-BOX Netzwerkintegration. IAC-BOX Netzwerkintegration IACBOX.COM. Version 2.0.1 Deutsch 14.05.2014 IAC-BOX Netzwerkintegration Version 2.0.1 Deutsch 14.05.2014 In diesem HOWTO wird die grundlegende Netzwerk-Infrastruktur der IAC- BOX beschrieben. IAC-BOX Netzwerkintegration TITEL Inhaltsverzeichnis

Mehr

Verfügbarkeit von Applikationen und Failover Szenarien. Winfried Wojtenek. wojtenek@mac.com

Verfügbarkeit von Applikationen und Failover Szenarien. Winfried Wojtenek. wojtenek@mac.com Verfügbarkeit von Applikationen und Failover Szenarien Winfried Wojtenek wojtenek@mac.com Verfügbarkeit % Tage Stunden Minuten 99.000 3 16 36 99.500 1 20 48 99.900 0 9 46 99.990 0 0 53 99.999 0 0 5 Tabelle

Mehr

Routing und DHCP-Relayagent

Routing und DHCP-Relayagent 16.12.2013 Routing und DHCP-Relayagent Daniel Pasch FiSi_FQ_32_33_34 Inhalt 1 Aufgabenstellung... 3 2 Umsetzung... 3 3 Computer und Netzwerkkonfiguration... 3 3.1 DHCP-Server berlin... 4 3.2 Router-Berlin...

Mehr

SolarWinds Engineer s Toolset

SolarWinds Engineer s Toolset SolarWinds Engineer s Toolset Die Discovery Tools Das Engineer s Toolset ist eine Sammlung von 49 wertvoller und sinnvoller Netzwerktools. Die Schwerpunkte liegen in den Bereichen Discovery Tools, Monitoring

Mehr

Konzept für eine Highperformance- und Hochverfügbarkeitslösung für. einen Anbieter von Krankenhaus Abrechnungen

Konzept für eine Highperformance- und Hochverfügbarkeitslösung für. einen Anbieter von Krankenhaus Abrechnungen Konzept für eine Highperformance- und Hochverfügbarkeitslösung für Anforderungen : einen Anbieter von Krankenhaus Abrechnungen Es soll eine Cluster Lösung umgesetzt werden, welche folgende Kriterien erfüllt:

Mehr

Red Hat Cluster Suite

Red Hat Cluster Suite Red Hat Cluster Suite Building high-available Applications Thomas Grazer Linuxtage 2008 Outline 1 Clusterarten 2 3 Architektur Konfiguration 4 Clusterarten Was ist eigentlich ein Cluster? Wozu braucht

Mehr

Grundlagen Funktionsweise Anhang Begriffserklärungen. DHCP Grundlagen. Andreas Hoster. 9. Februar 2008. Vortrag für den PC-Treff Böblingen

Grundlagen Funktionsweise Anhang Begriffserklärungen. DHCP Grundlagen. Andreas Hoster. 9. Februar 2008. Vortrag für den PC-Treff Böblingen 9. Februar 2008 Vortrag für den PC-Treff Böblingen Agenda 1 Einleitung Netzwerkeinstellungen 2 Feste Zuordnung Lease 3 4 Einleitung Einleitung Netzwerkeinstellungen DHCP, das Dynamic Host Configuration

Mehr

Machen Sie Ihr Zuhause fit für die

Machen Sie Ihr Zuhause fit für die Machen Sie Ihr Zuhause fit für die Energiezukunft Technisches Handbuch illwerke vkw SmartHome-Starterpaket Stand: April 2011, Alle Rechte vorbehalten. 1 Anbindung illwerke vkw HomeServer ins Heimnetzwerk

Mehr

TCP/IP-Protokollfamilie

TCP/IP-Protokollfamilie TCP/IP-Protokollfamilie Internet-Protokolle Mit den Internet-Protokollen kann man via LAN- oder WAN kommunizieren. Die bekanntesten Internet-Protokolle sind das Transmission Control Protokoll (TCP) und

Mehr

EXCHANGE 2013. Neuerungen und Praxis

EXCHANGE 2013. Neuerungen und Praxis EXCHANGE 2013 Neuerungen und Praxis EXCHANGE 2013 EXCHANGE 2013 NEUERUNGEN UND PRAXIS Kevin Momber-Zemanek seit September 2011 bei der PROFI Engineering Systems AG Cisco Spezialisierung Cisco Data Center

Mehr

VPN-Technologien gestern und heute Entwicklungen, Tendenzen und Fakten

VPN-Technologien gestern und heute Entwicklungen, Tendenzen und Fakten VPN-Technologien gestern und heute Entwicklungen, Tendenzen und Fakten Dr. Matthias Rosche Manager Security Consulting 1 Agenda VPN-Technologien Kundenwünsche und Praxis Neue Lösungsansätze Empfehlungen

Mehr

ecadfem Hinweise zum Setup Christian Meyer Stefan Halbritter 12/2012

ecadfem Hinweise zum Setup Christian Meyer Stefan Halbritter 12/2012 ecadfem Hinweise zum Setup Christian Meyer Stefan Halbritter 12/2012 Inhalt Voraussetzungen Funktion Freischaltung Software Netzwerkverbindung Installation Freischaltung User-Kennung IP-Kennung lokaler

Mehr

Installation KVV Webservices

Installation KVV Webservices Installation KVV Webservices Voraussetzung: KVV SQL-Version ist installiert und konfiguriert. Eine Beschreibung dazu finden Sie unter http://www.assekura.info/kvv-sql-installation.pdf Seite 1 von 20 Inhaltsverzeichnis

Mehr

Howto. Konfiguration eines Adobe Document Services

Howto. Konfiguration eines Adobe Document Services Howto Konfiguration eines Adobe Document Services (ADS) Inhaltsverzeichnis: 1 SYSTEMUMGEBUNG... 3 2 TECHNISCHE VERBINDUNGEN ZWISCHEN DEN SYSTEMEN... 3 2.1 PDF BASIERENDE FORMULARE IN DER ABAP UMGEBUNG...

Mehr

Kurzanleitung zur Softwareverteilung von BitDefender Produkten...2

Kurzanleitung zur Softwareverteilung von BitDefender Produkten...2 Kurzanleitung zur Softwareverteilung von Kurzanleitung zur Softwareverteilung von BitDefender Produkten...2 I. BitDefender Management Agenten Verteilung...2 1.1. Allgemeine Bedingungen:... 2 1.2. Erste

Mehr

Um IPSec zu konfigurieren, müssen Sie im Folgenden Menü Einstellungen vornehmen:

Um IPSec zu konfigurieren, müssen Sie im Folgenden Menü Einstellungen vornehmen: 1. IPSec Verbindung zwischen IPSec Client und Gateway 1.1 Einleitung Im Folgenden wird die Konfiguration einer IPSec Verbindung vom Bintec IPSec Client zum Gateway gezeigt. Dabei spielt es keine Rolle,

Mehr

ZMI Benutzerhandbuch Sophos. Sophos Virenscanner Benutzerhandbuch

ZMI Benutzerhandbuch Sophos. Sophos Virenscanner Benutzerhandbuch ZMI Benutzerhandbuch Sophos Sophos Virenscanner Benutzerhandbuch Version: 1.0 12.07.2007 Herausgeber Zentrum für Medien und IT ANSCHRIFT: HAUS-/ZUSTELLADRESSE: TELEFON: E-MAIL-ADRESSE: Zentrum für Medien

Mehr

DIE GRUNDLAGEN DER FERNÜBERWACHUNG

DIE GRUNDLAGEN DER FERNÜBERWACHUNG DIE GRUNDLAGEN DER FERNÜBERWACHUNG Verbraucherleitfaden Version 1.0 Deutsch Einleitung Derzeit sind am Markt zahlreiche Videoüberwachungssysteme erhältlich, die einen digitalen Zugriff über Netzwerkverbindungen

Mehr

Replikation mit TeraStation 3000/4000/5000/7000. Buffalo Technology

Replikation mit TeraStation 3000/4000/5000/7000. Buffalo Technology Replikation mit TeraStation 3000/4000/5000/7000 Buffalo Technology Einführung Durch Replikation wird ein Ordner in zwei separaten TeraStations fast in Echtzeit synchronisiert. Dies geschieht nur in einer

Mehr

VirtualBox und OSL Storage Cluster

VirtualBox und OSL Storage Cluster VirtualBox und OSL Storage Cluster A Cluster in a Box A Box in a Cluster Christian Schmidt Systemingenieur VirtualBox und OSL Storage Cluster VirtualBox x86 und AMD/Intel64 Virtualisierung Frei verfügbar

Mehr

Phion Netfence Firewall Mag. Dr. Klaus Coufal

Phion Netfence Firewall Mag. Dr. Klaus Coufal Phion Netfence Firewall Mag. Dr. Klaus Coufal Übersicht I. Konzepte II. Installation und Konfiguration III. High Availability IV. Firewall V. VPN Server VI. Management Center VII. Addons Mag. Dr. Klaus

Mehr

E-Mail-Verschlüsselung mit Geschäftspartnern

E-Mail-Verschlüsselung mit Geschäftspartnern E-Mail-Verschlüsselung mit (Anleitung für Geschäftspartner) Datum: 13.07.2011 Dokumentenart: Anwenderbeschreibung Version: 3.0 : Redaktionsteam PKI cio.siemens.com Inhaltsverzeichnis 1. Zweck des Dokumentes:...3

Mehr

4 Planung von Anwendungsund

4 Planung von Anwendungsund Einführung 4 Planung von Anwendungsund Datenbereitstellung Prüfungsanforderungen von Microsoft: Planning Application and Data Provisioning o Provision applications o Provision data Lernziele: Anwendungen

Mehr

Internet Routing am 14. 11. 2006 mit Lösungen

Internet Routing am 14. 11. 2006 mit Lösungen Wissenstandsprüfung zur Vorlesung Internet Routing am 14. 11. 2006 mit Lösungen Beachten Sie bitte folgende Hinweise! Dieser Test ist freiwillig und geht in keiner Weise in die Prüfungsnote ein!!! Dieser

Mehr

CSMA/CD: - keine Fehlerkorrektur, nur Fehlererkennung - Fehlererkennung durch CRC, (Jabber) Oversized/Undersized

CSMA/CD: - keine Fehlerkorrektur, nur Fehlererkennung - Fehlererkennung durch CRC, (Jabber) Oversized/Undersized 1.1.: MAC-Adressen für CSMA/CD und TokenRing bestehen jeweils aus 48 Bits (6 Bytes). Warum betrachtet man diese Adressräume als ausreichend? (im Gegensatz zu IP) - größer als IP-Adressen (48 Bits 32 Bits)

Mehr

ZyXEL DSL-Router für Xbox LIVE oder PlayStation-Network einrichten

ZyXEL DSL-Router für Xbox LIVE oder PlayStation-Network einrichten ZyXEL DSL-Router für Xbox LIVE oder PlayStation-Network einrichten Dieses Beispiel zeigt, wie ein P-660HN Router für Xbox LIVE oder PlayStation-Network (PS3) eingerichtet wird. Sinngemäss können diese

Mehr

EX-6032. 2 x RS-232 zu Ethernet / IP. Bedienungsanleitung. 6. Anschlüsse. 7. Technische Daten. Seriell 9 Pin D-SUB Stecker (Port 1 und 2) :

EX-6032. 2 x RS-232 zu Ethernet / IP. Bedienungsanleitung. 6. Anschlüsse. 7. Technische Daten. Seriell 9 Pin D-SUB Stecker (Port 1 und 2) : 6. Anschlüsse Bedienungsanleitung Seriell 9 Pin D-SUB Stecker (Port 1 und 2) : Pin Signal Pin Signal Pin Signal 1 CDC 4 DTR 7 RTS 2 RXD 5 GROUND 8 CTS 3 TXD 6 DSR 9 RI DB 9M EX-6032 7. Technische Daten

Mehr

Clustering und Failover mit Linux

Clustering und Failover mit Linux Grazer Linux-Tage 2003 25. April Markus Oswald Worum geht es? Load-Balanced Cluster Failover Cluster Shared Storage Computational Cluster Beowulf Distributed Computing Worum es nicht

Mehr

Booten aus dem Netz PXE. Technologiepräsentation Rechenzentrum Uni Kiel

Booten aus dem Netz PXE. Technologiepräsentation Rechenzentrum Uni Kiel PXE Technologiepräsentation Rechenzentrum Uni Kiel Inhalt 1. Einführung Motivation Anwendungsszenarien Technische Hintergründe 2. Stand der Umsetzung 3. Implementierung im Uni-Netz? 4. Alles neu mit ipxe!?

Mehr

Technische Grundlagen von Internetzugängen

Technische Grundlagen von Internetzugängen Technische Grundlagen von Internetzugängen 2 Was ist das Internet? Ein weltumspannendes Peer-to-Peer-Netzwerk von Servern und Clients mit TCP/IP als Netzwerk-Protokoll Server stellen Dienste zur Verfügung

Mehr