11 2009 E-Mail- Archivierung Speicherung im Langzeit-Gedächtnis REAL-WORLD LABS: 3 E-Mail-Archivierungslösungen Igel Universal Desktop Netbooksvon Asus und Samsung 11. November 2009 Euro 6,15 ISSN 1435-2524 www.networkcomputing.de
... c o n n e c t i n g y o u r b u s i n e s s VPN von LANCOM. Das Beste für Ihr Netz! Hochverfügbarkeit, Virtualisierung, Kostenkontrolle, Voice bei VPN geht es heute um mehr als nur die sichere Vernetzung von Standorten. Mit VPN Routern, Gateways und Clients von LANCOM erfüllen Sie spielend alle Anforderungen. Ganz egal, ob für HomeOffices, mobile User, mobile Netzwerke oder Tausende von Filialen. LANCOM 1751 UMTS Die Hoch- verfügbar- keits- garantie! LANCOM 1751 UMTS: VPN Router mit ADSL2+ und UMTS Von One-Click-VPN und dem praktischen Budget-Manager im VPN Client über den UMTS-Router mit Hochverfügbarkeitsgarantie bis zum neusten VPN Gateway mit ungekannter Performance LANCOM vernetzt Standorte schnell und sicher, über alle DSL-Anschlüsse, WLAN oder UMTS. VPNvon derdeutschen Nummer EINS!Exzellenter Service& kostenlose Updates inklusive. www.lancom.de
NACHRICHTEN AKTUELL Die Dunkle Seite von Windows 7 Die ganze Branche jubelt Microsoft zu und freut sich über das tolle Windows 7 und den Windows-Server 2008 R2. Allerdings war es nach dem fatalen Flop von Windows-Vista auch nicht besonders schwer,ein passables neues Windows auf die Füße zu stellen viel schlechter als Vista hätte es die Gates-Company kaum hinkriegen können. Auch Network Computing hat die neuen Versionen bereits betrachtet und steht zu der Aussage, dass Windows 7 ein würdiger Nachfolger für XP ist und sich für den Business-Betrieb eignet allerdings mit Einschränkungen für die Microsoft selbst nicht verantwortlich ist. Aufeiner der Labor-Arbeitsstationen installierte Network Computing Windows 7 anstelle der zuvor laufenden XP- und Vista-Installation. Danach musste das Labor-Team leider feststellen, dass beide Sony- AIT-Bandlaufwerke in der Konfiguration fehlen. Der Grund ist schnell gefunden: Es gibt keine Windows-7-Treiber für den Ultra- 160-SCSI-Adapter von Adaptec und die wird es auch nicht geben,weder für Windows 7 noch für den Windows-Server 2008 R2. Adaptec liefert also keinen Langzeit-Investitionsschutz für seine Kunden; viele Grüße an die tausenden Kunden mit Ultra-160 als Tape-Controller:Kauft gefälligst neue HBAs.Die vielen Anwender, welche Server mit Ultra-160-Chip onboard betreiben, dürfen gleich neue Rechner kaufen. Da haben etliche IT-Manager langjährige Strategien für ihr Backup auf Band entwickelt. Nun besteht die Gefahr, dass es vorzeitig keine Treiberunterstützung für die Controller mehr gibt und damit im Zweifelsfalle das teure Bandlaufwerk unbrauchbar wird.wer garantiert denn den Administratoren, dass es nach dem nächsten Windows-Update überhaupt noch Treiber für Zur Sache Ultra-SCSI-Adapter gibt? Aufeinem IBM-Thinkpad T43p ergeht es dem Labor-Team ganz ähnlich: Die ATI-Mobility-Fire GL V3200 war einst die Krone der 3D-Karten für den mobilen Einsatz. Aus Sicht von ATI-Eigner AMD hat der Chip vier Jahre später nur noch Schrottwert. Unter Windows 7 geht er so gerade noch, aber den Support für den S-Video-Ausgang gibt es nicht mehr.amd treibt es dabei sogar noch dreister:der kommerzielle ATI-Linux-Treiber unterstützte bis vor wenigen Releases auf einem anderen Testrechner mit Onboard-ATI-9100-Karte (Asus Pundit) den TV-Ausgang.Nach einem Treiberupdate war der dann aber plötzlich weg. Der Hersteller hat bewusst und absichtlich seinen bestehenden und funktionierenden Code aus seinem Treiber entfernt, um den Anwender zum Kauf neuer Grafikkarten zu zwingen das nenne ich kundenfeindlich. So redet die Branche gerade in Zeiten einer Krise andauernd über Nachhaltigkeit und Langzeit-Investitionsschutz. Der Schwerpunkt dieses Artikels beschäftigt sich ab Seite 10 mit dem Thema Mail- Archivierung und damit einem sehr wichtigen Langzeit-Thema. Allerdings können die IT-Manager ihre längerfristigen IT-Strategien wegwerfen, wenn die Hardware-Hersteller weiterhin jedes kleine Betriebssystem-Update dazu missbrauchen, um ihre Kunden zum Hardware-Neukauf zu nötigen. Netze verbinden Abstimmungen in komplexen Geschäftsprozessen verlangen immer mehr rasche Entscheidungen. Anwender brauchen dafür alle notwendigen Kommunikationsmittel und Informationen vor Ort egal, wo sie sich auf der Welt befinden. Dies treibt die Entwicklung von konvergenten Netzen voran. Sie transportieren Sprache, Daten und Anwendungen überallhin und sorgen mit dafür, dass eine Welt zusammenwächst. Dadurch kommen unterschiedlichste Übertragungswege wie LAN, WAN oder Funkzusammen. Voice-over-IP wird zu einem zentralen Bestandteil von Collaboration und in Anwendungssystemen. Mehr Infos über den kostenlosen NWC-Newsletter: www.networkcomputing.de/newsletter über dasforum Konvergenz &Wireless: www.konvergenz-forum.de über den Branchenguide: www.networkcomputing.de/ branchenguide Ihr Andreas Stolzenberger www.networkcomputing.de Ausgabe 11 11. November 2009 3
INHALT REAL-WORLD LABS Dickhäuter-Gedächtnis E-Mail-Archivierungslösungen Elektronische Nachrichten ersetzen immer häufiger die Briefpost. Leider lassen sich Mails nicht einfach Lochen und Abheften für die Langzeitsicherung muss daher eine andere Lösung her. S. 12 EDITORIAL S. 3 Zur Sache REAL-WORLD LABS S. 6 Einzeltest: Thin-Client von Igel Diät-Sortiment S. 8 Einzeltest: Zwei Netbooksim Büroalltag Kleinvieh ohne Mist S. 10 Vergleichstest: E-Mail-Archivierungslösungen Elefanten vergessen nie / Dickhäuter-Gedächtnis ONLINE-SPECIAL DATACENTER Aktuelle News, Fachbeiträge, Lösungen, Anwenderberichte, Whitepapers und wichtige Firmen unter www2.networkcomputing.de/datacenterspecial/ oder via Shortlink: go.nwc.de/242 PRISMA S. 18 Management IT-Governance IT messen, kontrollieren und steuern mit Cobit S. 32 Management Providerwahl In der Wolke Kosten sparen S. 34 5 Fragen Konvergenz &Wireless Auch in der Krise für Sicherheit sorgen S. 36 Infrastruktur-Budget Kosten runter bei der Netzwerk-Infrastruktur S. 38 Schutzmechanismen 802.1X und WAC Angriffe blocken NEWS&SERVICE S. 40 Foren-News S. 46 Impressum und Anzeigenindex 4 Ausgabe 11 11. November 2009 www.networkcomputing.de
DurchDacht bis ins letzte Detail. Der neue PriMerGY rx200 s5 Verbessern Sie Ihre Energieeffizienz im Rechenzentrum mit dem innovativen PRIMERGY Cool-safe Systemdesign der neuen RX200 Rack Server Generation. Erhalten Sie mehr Leistung, verbesserte Erweiterbarkeit und Zuverlässigkeit in Kombination mit einem umfassend verbesserten Verhältnis von Leistung zu Energie all dies bietet ihnen der neue PRIMERGY RX200 mit Intel Xeon Prozessoren in nur einer Rackeinheit. Fujitsu ist weltweit drittgrößter Anbieter von umfassenden IT-Infrastrukturen. Bei Entwicklung und Produktion setzt Fujitsu international auf Made in Germany. So wurde die Verantwortung für strategische Produktbereiche wie x86-basierte Server,Storagesysteme und die Entwicklung innovativer Umwelttechnologien in Deutschland konzentriert. Fujitsu ist ein kundenorientiertes IT-Unternehmen, das flexibel und anpassungsfähig auf alle Anforderungen reagiert. Fujitsu bietet Unternehmen aller Größenklassen qualitativ hochwertige Produkte, Lösungen und Services für die IT-Infrastruktur,die auf weltweit führenden High-Performance-Informationstechnologien basieren. Mehr informationen unter http://de.ts.fujitsu.com oder 01805 372 100 (14 ct/min.) Intel, das Intel Logo, Xeon und Xeon Inside sind Marken der Intel Corporation in den USA und anderen Ländern.
REAL-WORLD LABS SERVER & CLIENTS Diät-Sortiment Igel Universal Desktops Bei den Thin-Client- Angeboten treffen IT-Verwalter erstaunlich häufig auf recht komplexe Portfolios. Igel hat seine Geräte- und Systemauswahl neu geordnet. Unter dem Oberbegriff»Universal Desktop«vereint Igel insgesamt fünf verschiedene Geräteklassen. Der UD9 integriert sich dabei direkt in einen 19-Zoll-TFT,während die Clients der Serie UD2, 3, 5 und 7 als kompakte, lüfterlose Standalone-Boxen auftreten. Alle Geräte arbeiten mit Via-Prozessoren in Geschwindigkeiten von 400 MHz bis 1,5 GHz. Die Geräte unterscheiden sich zudem bei der I/O-Ausstattung. Ab UD3 gibt es serielle Schnittstellen, UD5 steuert zwei und UD7 bis zu vier Bildschirme. Als Betriebssysteme offeriert Igel Windows- CE, Windows-Embedded-Standard (basiert auf Vista) oder das Igel eigene Linux. Alle drei Systeme bietet der Hersteller mit verschiedenen Ausstattungen an. Je nach Paket sind dabei mehr oder weniger viele Client-Programme enthalten. Die Entry-Varianten beschränken sich auf Funktionen wie ICA, X und RDP, während die Advanced-Pakete Tools wie eine Java-VM, den Nomachine NX-Client,Vmware-View-Client sowie die SAP-Gui enthalten.für eine Umgebung mit Igel-Terminals liefert der Hersteller zudem die Universal-Management-Suite aus. Diese katalogisiert alle Terminals im LAN und kann profilbasiert deren Konfigurationen steuern. Zum Test entsendete Igel gleich drei Maschinen ins Labor Poing: Eine UD2 mit Linux, einen UD3 mit Windows-Standard und einen UD5 mit Linux. Alle drei UDs stecken in schicken schwarzen Gehäusen, verziert mit silbernen Lüftungsgittern für die Wärmeabfuhr.An der Rückseite findet der Anwender alle wesentlichen Anschlüsse wie LAN, 4 x USB, einen digitalen Videoausgang (DVI) und einen PS/2-Anschluss, so dass der Anwender zwischen USB- und PS/2-Tastatur wählen kann. Die größeren Maschinen verfügen über mehr DVI-Anschlüsse sowie über serielle Schnittstellen. Hinter einer Klappe an der Gehäusefront verbergen sich die Audio-Anschlüsse (UD2/UD3) und/oder weitere USB-Ports (UD3/UD5). Im Inneren der Thin-Clients arbeitet eine passiv gekühlte Via-CPU.Als Festplattenersatz baut Igel eine CF-Karte mit dem jeweiligen Betriebssystem ein. Optional offeriert Igel ab dem UD3 einen Smartcard-Reader für die Benutzerauthentisierung. Der UD5 fällt bereits recht wuchtig für einen Thin-Client aus. Hier hatte Network Computing bereits voll ausgerüstete Mini-PCs mit Festplatte (siehe»cigar Box«, Ausgabe 7-8/2009) im Labor,die weniger Platz beanspruchen. Diese geschlossenen Designs kamen dazu ohne Staub fangende Lüftungsöffnungen aus und lassen sich auch in schmutzigen Umgebungen wie Werkstätten betreiben. Bei der Software nimmt das Labor-Team vor allem das Igel eigene Linux unter die Lupe: Igel beschränkt das OS auf das Wesentliche und startet den Client mit einem abgespeckten Windows- Manager und ohne die sonst üblichen Linux- Tools. Das Igel-eigene Starter-Tool gibt dem Anwender Zugriff auf die Remote-Sitzungen. Das Terminal und die Sitzungen richtet der Verwalter über das Igel-eigene Setup-Tool ein. STECKBRIEF Empfehlung der Redaktion UniversalDesktop 2, 3 und 5 Hersteller: Igel Technology Charakteristik: Thin-Client Preis: 230 Euro (UD2-120LX) bisetwa 525 Euro (UD5-720LX) Web: www.igel.de Plusminus: + Gutes zentrales Management + Umfassende Protokollunterstützung (Advanced-Option) UD5 nach heutigen Maßstäben nicht»thin«genug Diese Software bewahrt die Übersicht, obwohl das Programm Unmengen an Konfigurationsoptionen in einem Fenster vereint. Der Administrator stellt hier die komplette UD-Konfiguration vom LAN über das Display bis hin zu Wählverbindungen ein. Zudem listet das Programm alle unterstützten Client-Protokolle mit möglichst einheitlichen Konfigurationsdialogen auf. Negativ fällt dabei lediglich auf, dass das Igel-Setup selbst auf dem üppig ausgerüsteten UD5 recht lange zum Starten braucht hier bleibt Platz für künftige Optimierungen. Die eigentlichen RDP/ICA/NX oder sonstigen Remote-Verbindungen arbeiten recht flüssig. Ein Highlight des UD-Produktportfolios stellt die UD-Management-Suite 3 (UMS) dar. Der Verwalter richtet den Management-Server auf einer Linux- oder Windows-Maschine ein. Ein Java-Client stellt vom Desktop des Systemverwalters eine Verbindung zum Management- Server her.ums sucht im LAN nach UD-Geräten und listet diese auf. Der Administrator kann dann Konfigurationen und Profile zentral verwalten und einzelnen Geräten oder Gruppen zuordnen. Auch das Klonen bestehender Gerätekonfigurationen ist möglich. Fazit: Die Hardware der UD-Geräte gefällt. Es bleibt jedoch anzumerken, dass aktuelle Mini- PCs mehr Leistung bei noch kompakteren Designs offerieren. Dabei sind die Mini-PCs oft günstiger als Igels Thin-Clients. Sehr gut hingegen gefällt das Igel-eigene auf Linux basierende Thin-Client-OS verbunden mit dem zentralen Management-Server. Erst die Kombination aus UD,UMS und Terminal-Services oder Desktop-Virtualisierung offeriert dem Anwender ein komplette Lösung mit klaren Vorteilen gegenüber einer Umgebung mit Mini- oder sonstigen voll ausgestatteten PCs. Was der Anwender anfangs mehr in die Thin- Client-Lösung investiert, kann er später über die geringeren Unterhaltskosten wieder zurückerhalten vorausgesetzt, er entscheidet sich für die zu seinem Unternehmen passende Terminaloder Virtual-Desktop-Lösung.Wer bestehende PCs weiterverwenden möchte kann übrigens das Igel-Linux-OS als bootfähigen USB-Stick erwerben und seine Rechner in Thin-Clients wandeln. ast@networkcomputing.de 6 Ausgabe 11 11. November 2009 www.networkcomputing.de
Cybercrime Daniels Netzwerk ist geschützt. Ihres auch? Wir halten Ihre Systemeam Laufen! Mit der neuen Management-Konsole können Sie jetzt noch effizienter arbeiten. Daniel muss sich um vieles kümmern. Er sorgt für die Verfügbarkeit des Systems und ein robustes Netzwerk. Außerdem löst er die technischen Probleme seiner Kollegen. Wegen Cybercrime macht er sich keine Sorgen. Wie 250 Millionen Menschen weltweit verlässt er sich auf Kaspersky Lab, wenn es um den zuverlässigen Schutz vor Trojanern, Phishing-Mails, Hackerangriffen und Spam geht. Überprüfen Sie jetzt, ob auch Ihr Unternehmen richtig geschützt ist. Überzeugen Sie sich davon, wie Kaspersky Lab Ihren Berufsalltag mit innovativen Administrationsfunktionen erleichtert. Jetzt auch für Windows 7! www.stop-cybercrime.de www.kaspersky.de
REAL-WORLD LABS SERVER & CLIENTS Kleinvieh ohne Mist Netbooksim Büroalltag SechsMonate lang hat Network Computing zwei Netbooks mit verschiedenen Betriebssystemen auf ihre Business- Tauglichkeit geprüft. Hier der kompakte Bericht zu den kompakten Begleitern. 8 Zwei Netbooks haben das Testteam in den vergangenen Monaten auf Schritt und Tritt begleitet: Ein Samsung»NC10«und der Asus»EeePC 901«. Beide Rechner bringen eine 1,6 GHz schnelle Atom-CPU,1GByte RAM sowie ein 1024x600-Pixel-TFT mit. Beide Kontrahenten integrieren LAN, WLAN und UMTS-Modem. Während das Samsung-Testgerät mit einer 160-GByte-Platte arbeitet, genügt dem Asus eine 16-GByte-SSD-Karte. Unterstützend hat Network Computing dem Gerät eine zusätzliche 16-GByte-SD-Karte eingebaut. NC10 kontra Eee 901 Der 901 ist etwas kleiner als der NC10,dafür dicker.ohne Festplatte läuft der Eee bis zu 7 Stunden auf Akku. So lange hält es der NC10 nicht aus, nach etwas über 5 Stunden ist hier Schluss. Das TFT des NC10 ist etwas größer und Schärfer, aber nicht ganz so hell wie beim 901. Der größte Kritikpunkt bei Asus ist die kleine Tastatur.Hier hat der NC10 ganz klar die Nase vorne. Dessen Tasten fallen nahezu so groß wie bei einem normalen Notebook aus. Für Vielschreiber ist das Keyboard des 901 eher eine Zumutung. Fazit: Der NC10 hat im direkten Vergleich leicht die Nase vorne. Vor allem mit seiner guten Tastatur kann er punkten. Windows kontra Windows kontra Linux Als Basissysteme liefern Samsung und Asus eine modifizierte und abgespeckte Version von Windows-XP aus. Diese ist vollständig an die Hardware angepasst und liefert alle benötigten Treiber mit. Die Performance ist gut zumindest am Anfang der Tests. Wer viel mit Software spielt, Programme installiert und wieder entfernt kann allerdings den langsamen Verfall seiner Installation mitverfolgen. Deutlich früher als bei Desktops fällt die immer länger dauernde Startphase ins Gewicht. Beim Eee 901 mit der 16-GByte-Flash-Platte stößt der Anwender zudem sehr schnell an die Kapazitätsgrenzen. Windows 7 zeigt schon mit dem Release-Candidate, dass Microsoft aus den Vista-Fehlern Ausgabe 11 11. November 2009 mehr als deutlich gelernt hat. Trotz schmächtiger CPU geht das neue Windows auf beiden Winzlingen recht zügig ans Werk.Stellenweise macht Windows 7 dabei sogar einen flotteren Eindruck, als das vorinstallierte XP.Bei beiden STECKBRIEF NC 10 Hersteller: Samsung Preis-Leistung Charakteristik: Netbook Preis: ca. 300 Euro Web: www.netbook.samsung.de Plusminus: + Gutes Display + Sehr gute Tastatur Netbooks fehlt die Unterstützung für das Huawei-UMTS-Modem in Windows 7. Das dürfte sich mit dem Erscheinen des finalen Releases ändern oder zum Zeitpunkt der Artikelpublikation bereits geändert haben. Ubuntu Netbook Remix Das Killer-OS für Netbooks ist unter dem Strich allerdings ein Linux-Derivat: Das kommende Ubuntu 9.10 in der Netbook-Remix-Variante. Das schlanke OS fährt die kleinen PCs in weniger als der Hälfte der Starzeit eines Windows hoch. Das sehr übersichtliche Startmenü passt sich optimal an die Bildschirme mit geringer Auflösung an und quetscht die Applikationsfenster optimal in die Höhe. Ubuntu erkennt bei beiden Geräten auf Anhieb alle vorhandenen Geräte und bindet sie nahtlos in die Systemkonfiguration ein. Ubuntu unterstützt zudem die Energiefunktionen. Es dunkelt den Bildschirm bei Akkubetrieb automatisch auf und ab.auch Standby (Suspend to RAM) und der Ruhezustand (Suspend to Disk) arbeiten auf beiden Testgeräten. Eine vergleichsweise»fette«installation mit diversen Zubehörprogrammen belegt hier gerade mal 4,3 GByte Platte. Damit reicht dem Eee- PC die 16-GByte-SSD völlig aus. Im Zweifelsfall kann der Anwender für ein paar Euro eine 16- GByte-SD-Card als Erweiterung hinzufügen. Bei den Applikationen sollte sich der Business-Anwender auf das nötigste Konzentrieren. Komplexe Entwicklungsumgebungen mit SQL- Server, ein Photoshop-Setup mit Filter-Bibliothek,Videoschnitt-Tools oder ein fetter Notes- Client machen auf den schlanken Maschinen wenig Spass. Dabei bremst einen nicht einmal die schwache Atom-CPU aus. Vielmehr reicht das knappe 1024x600-Pixel-Display nicht aus, um sinnvoll mit»fetten«applikationen zu arbeiten. Für Mail-, Internet- und Office-Tools reicht die Plattform mit Windows oder Linux jedoch aus. Fazit: Im direkten Vergleich besiegt der Samsung NC10 denn Eee-PC 901, in erster Linie weil er die deutlich bessere Tastatur besitzt. Dafür läuft der Eee etwas sparsamer und damit länger auf Akku. Wer auf Windows verzichten kann und seine Arbeit mit Tools wie Open-Office, Abiword, Thunderbird und Gimp erledigen kann,bekommt mit Ubuntu 9.10 Netbook-Remix die optimale OS-Plattform für die schlanken Mobil-PCs. Wer zwingend auf Windows- Applikationen angewiesen ist, kann sich auch auf dem Netbook von XP verabschieden und Windows 7 einsetzen. ast@networkcomputing.de STECKBRIEF Eee 901 Hersteller: Asus Charakteristik: Netbook Preis: ca. 300 Euro Web: www.eeepc.asus.com/de Plusminus: + helles Display + lange Akku-Laufzeit www.networkcomputing.de
Fast Lane, die Spezialisten für: Training &Consulting rund um sichere IT-Infrastrukturen Content Security Endpoint Security Firewalls Security Management VoIP Security Virtual Private Networks Wireless Security Erfahren Sie mehr unter www.flane.de oder rufen Sie uns an: +49 (0)40 25334610. Die nächsten Kurstermine: Anti-Hacking Workshop (HACK) 07.12.09 München, 25.01.10 Berlin, 22.02.10 Frankfurt Sicherheitsrelevante Problematiken bei Webapplikationen (EHACK) 04.01.10 Berlin, 22.02.10 Frankfurt, 29.03.10 Frankfurt Voice Anti-Hacking Workshop (VHACK) 16.12.09 München, 11.01.10 Berlin, 15.02.10 Frankfurt WLAN Anti-Hacking Workshop (WHACK) 02.12.09 München, 18.01.10 Berlin, 08.03.10 Frankfurt Malware Inside (MWI) 14.12.09 München, 07.01.10 Berlin, 25.02.10 Frankfurt Check Point CCSA &CCSE Power Workshop (CPPW) 14.12.09 Hamburg, 18.01.10 Berlin, 01.02.10 Hamburg Securing Your Web with Cisco IronPort S-Series (SYW) 21.12.09 Frankfurt, 14.01.10 München, 04.02.10 Hamburg Securing Your Email with Cisco IronPort C-Series (SYEPW) 30.11.09 Frankfurt, 09.12.09 Hamburg, 21.12.09 Hamburg Implementing Cisco IOS Network Security (IINS) 14.12.09 Frankfurt, 18.01.10 Berlin, 25.01.10 Frankfurt Securing Networks with Cisco Routers &Switches (SNRS) 30.11.09 Frankfurt, 07.12.09 Hamburg, 14.12.09 München Securing Networks with ASA Fundamentals (SNAF) 30.11.09 Hamburg, 07.12.09 Stuttgart, 14.12.09 Frankfurt Securing Networks with ASA Advanced (SNAA) 30.11.09 München, 07.12.09 Frankfurt, 14.12.09 Stuttgart Implementing Cisco Intrusion Prevention System (IPS) 07.12.09 Hamburg, 12.01.10 Berlin, 26.01.10 München Implementing Cisco Network Admission Control (NAC) 04.01.10 Berlin, 22.02.10 Frankfurt, 29.03.10 Hamburg Implementing Cisco NAC Appliance (CANAC) 09.12.09 Düsseldorf, 27.01.10 Berlin, 24.02.10 Hamburg Implementing Cisco Security Monitoring, Analysis &Response System (MARS) 01.12.09 Frankfurt, 15.12.09 Düsseldorf, 19.01.10 Berlin CISCO TRAINING &CONSULTING SERVICES. LIEBER GLEICH MIT FAST LANE.
REAL-WORLD LABS SICHERHEIT Elefanten vergessen nie E-Mail-Archive Über eine mehr oder weniger vernünftige Datensicherungslösung verfügt heute jedes Unternehmen. Anders sieht die Lage häufig bei der elektronischen Post aus. Viele Wege führen zumverlust vone-mails. Schwillt die PST-Datei eines Outlook-Benutzers (vor 2007) mal wieder über 2GByte an, sind alle Nachrichten futsch. Neben Unzulänglichkeiten der Software vernichtet auch der Anwender gerne selbst durch unüberlegte Löschaktionen eigentlich wichtige Mitteilungen. Verlorene Nachrichten sind dabei mehr als nur ein Ärgernis für den Anwender,sie können auch rechtliche Konsequenzen bedeuten. Die»Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen«(GDPdU) schreiben Betrieben vor, dass sie elektronisch gesicherte Unternehmensdaten längerfristig aufbewahren müssen. Das Problem mit den GDPdU ist dabei allerdings, dass es keine klaren Formulierungen und Vorschriften gibt, was die Unternehmen tatsächlich aufbewahren müssen und wie lange. Um sich auf sicherem Terrain zu bewegen hilft den Betrieben daher nur eins: Im Zweifelsfalle alles aufheben. Die elektronischen Office-Dokumente haben die IT-Verantwortlichen heute weitgehend im Griff. Auch ohne besonderearchive landen alle Dokumentefrüher oder später auf irgendeinem Band oder einer wie auch immer gearteten Datensicherung.Sollte jemals der Steuerprüfer gezielt nachunterlagen verlangen, müsste die IT-Abteilung dann die Suche nach der Nadel im Heuhaufen starten. Sicher wäre dabei allerdings, dass es die zu suchende Nadel existiert. Ganz anders sieht das vielerorts jedoch bei der E-Mail aus.viele, besonders kleinere, Unternehmen halten die E-Mails ihrer Mitarbeiter nicht einmal auf einem eigenen Mail-Servervor.Sobald der Benutzer die neuen Nachrichten auf seinen E-Mail-Client heruntergeladen hat, verschwinden sie vom lokalen Server oder dem Server des Providers und sind dann der Willkür des Benutzers ausgeliefert. Auch Installationen mit einer zentralen Mail- Speicherung gehen sehr lax mit der elektronischen Post um. Sehr häufig werden die Benutzer von ihrem IT-Verantwortlichen sogar direkt aufgefordert,alte Nachrichten zu löschen damit nicht die Platte des Mailservers überläuft. CC:Archiv Abhilfe schaffen Mail-Archive.Die Lösungen reichen hier von Freeware, über installierbareapplikationen und virtuellen Maschinen bis hin zu großen Hardware-Appliances mit Terabyteweise Sicherungsspeicher.Mail-Archive gibt es zudem als Teil von Dokumenten-Management- Lösungen oder eingebettet in reguläre Backup- Programme. In dieser Ausgabe befasst sich Network Computing mit reinen Mail-Archiv-Lösungen. In den Real-Wold Labs in Poing hat die Redaktion eine Reihe von Lösungen getestet, welche sich für sehr unterschiedliche Installationen und Unternehmensgrößen eignen. Im Labor liefen dabei sowohl Anwendungen zum Schutz weniger Postfächer als auch Lösungen, welche bis auf mehrere tausend Benutzer skalieren können. GezieltesAbgreifen Eine Archiv-Lösung kann sehr unterschiedliche Methoden einsetzen, um an die Nachrichten der Benutzerheran zu kommen. MitamZuverlässigsten funktioniert das SMTP-Gateway. Der IT- Manager platziert das Archivsystem logisch zwischen dem externen und dem internen Mailserver. Alle per SMTP ein- und ausgehenden Mails passieren dabei die Sicherungslösung,welche die Nachrichten in Kopie archiviert. Für die eindeutige Benutzerzuweisung muss sich das Archiv dann aber in einverzeichnis integrieren oder der Verwalter hinterlegt die Daten der Mail-Benutzer individuell auf dem Archiv.Der Nachteil dieses Ansatzes: Alle Spam- und Virenmails kommen auch ins Archiv.Bereits vorhandene Nachrichten lassen sich nicht nachträglich einstellen. Alternativ kann eine Archivlösung per POP3 oder IMAP auf einen E-Mail-Server zugreifen und die Mails kopieren. Das erlaubt die zum Zeitpunkt der Archiv-Einführung bestehenden 10 Ausgabe 11 11.November 2009 www.networkcomputing.de
SICHERHEIT REAL-WORLD LABS Mails zu sichern. Für den Alltagsbetrieb genügt IMAP/POP3 mit einem Zeitprofil (Sicherung jede Stunde, oder einmal täglich) nur bedingt. Der Anwender könnte hier Nachrichten vom Server löschen, bevor das Archiv eine Kopie davon abgreift. Zu guter Letzt lassen sicharchive direkt in bestimmte Mail-Applikationen und -Server einklinken. Sehr häufig offerieren die Hersteller eine Exchange-Integration. Die Archive greifen dabei auf die Protokollfunktion des Microsoft-Mailservers zu und erhalten somit die Mails auch dann noch,wenn sie der oder die Anwender bereits aus seinem Postfach entfernt hat. Auch die Integration in Client-Tools wie Outlook steht einzelnen Lösungen zur Verfügung. Ein gutes Mail-Archiv muss mehrere Zugänge offerieren. Im regulären Betrieb kommen dabei hauptsächlich der SMTP-Proxy und/oder direkte Integration in einen Mailserver wie Exchange zum Einsatz. Zudem bedarf es aber einer IMAPoder PST-Kopierfunktion für die initiale Fütterung des Archivs. EinArchiv muss ferner in der Lage sein, Dublettenzuerkennen. Besonders die Mails einzelner Personen an eine große Verteilerliste müssen nicht tausendfach imarchivspeicher stehen. EinEintrag mit den entsprechendenverweisen auf die einzelnen Benutzerkonten reicht aus. Zudem muss ein Archiv erkennen, was schon vorhanden ist. Je nacharchitektur könnte es vorkommen, dass Mails aus dem SMTP-Fluss ins Archiv gelangen während der Anwender bestehende Dateien aus seinem Mail-Client einpflegt. Anzeige Auf der Suche Sobald die Nachrichten im Archiv angekommen sind, müssen die Benutzer Zugang dazu erhalten. Eine umfangreiche Suchfunktion ist Pflicht, so dass der Anwender gezielt nach Mail-Headern aber auch Inhalten suchen kann. Archive mit besonders guten Suchmaschinen können dabei auch die Inhalte von Anhängenindizieren. Der Client-Zugriff erfordert jedoch einen Zugangsschutz, der den Sicherungsmaßnahmen der eigentlichen E-Mail-Lösung ebenbürtig ist. Zu guter Letzt sollte eine Archivlösung über eine Export-Funktion verfügen, um die Inhalte in ein Langzeitsicherung oder ein anderes Archivsystem zu übertragen. Im folgenden Test hat sich Network Computing drei recht unterschiedliche Lösungen zur E-Mail-Archivierung angesehen. Das Hauptaugenmerk der Tests lag dabei auf den Funktionen zur eigentlichen Archivierung und der Verwaltung des Archivs. Im Test hat das Laborteam zwar etliche Megabytes an Mails in die Archive geschrieben. Dennoch lassen sich in der vergleichsweise kurzen Testphase keine sinnvollen Testergebnisse zur Langzeittauglichkeit der Lösung,der Effizienz des Datenspeichers und der Geschwindigkeit der Suchfunktion angeben. ast@networkcomputing.de Realtime Security von NETGEAR ProSecure STM Security Threat Management (STM) professioneller Schutz von Web und E-Mail-Traffic speziell fürkleine undmittlereunternehmen (KMUs). Die ProSecure STM-Produktlinie von NETGEAR besteht aus drei unterschiedlich performanten Plattformen, die sämtlichen Unternehmensanforderungen bis zu600 simultanen Nutzern entsprechen. Damitmacht NETGEARKMUs einleistungs- undsicherheitsniveau zugänglich, das bisher nur Großunternehmen vorbehalten war. Ausführliche Details finden Sie unter: www.prosecure.netgear.com Vorteile der NETGEAR Lösung: Einfaches Management und unkomplizierte Konfiguration Übersichtliches Lizensierungsmodell (Keine zusätzlichen Kosten durch Pro-User-Lizenzen) Adaptierte Enterprise-Technologie für KMUs bis 600 Anwender ProSecure STM bietet: Mailsicherheit (Filterung des Mailverkehrs zur Abwehr von Spam, Viren, Phishing) Websicherheit (Filter für den gesamten Web und FTP Verkehr zur Abwehr von Viren und Spyware) Hohe Performance Schnelligkeit mittels Stream-Scanning-Technologie Real Time Protection durch regelmäßige Updates Einfache Bedienbarkeit durch intuitive, browserbasierte Administration 1,2 Mio. Antivirus Signaturen TRY & BUY Wenden Sie sich für einen kostenlosen Test der Netgear Security Produkte an vertrieb@netgear.com www.networkcomputing.de www.netgear.de
REAL-WORLD LABS SICHERHEIT Dickhäuter- Gedächtnis E-Mail-Archivierungslösungen Elektronische Nachrichten ersetzen immerhäufiger die Briefpost. Leider lassen sich Mails nicht einfach Lochen und Abheften für die Langzeitsicherung mussdaher eine andere Lösung her. Unternehmenskritische Informationen und Abläufe werden immer häufiger über elektronische Mails abgewickelt. Der Anwender muss für sich und sein zuständiges Finanzamt sicherstellen, dass geschäftsrelevante Nachrichten nicht verloren gehen. Dazu genügt es nicht, die Nachrichten ineinem Ordner irgendwo im Outlook oder einem anderen Mailclient abzulegen. Dort sind sie nicht vor Hard- und Softwarefehlern des Clients geschützt und lassen sich zudem manipulieren. E-Mail-Archivprogramme schützen E-Mails in einer nicht mehr veränderbaren Form.Sie arbeiten in der Regel unabhängig vom verwendeten Mailserver oder -Client. Damit überleben die archivierten Informationen auch umfassende Konfigurationsänderungen der IT-Infrastruktur. Hersteller von Backup- oder Dokumenten-Management-Lösungen offerieren oft optionale Module, welche E-Mails über die Basisplattform sichern. Diese Lösungen bleiben in diesem Test außen vor. Network Computing prüfte einige reinrassige E-Mail-Archivierungslösungen. Dabei handelt es sich nicht um 1:1 vergleichbare in Konkurrenz zueinander stehende Lösungen. Vielmehr soll der Test einen Überblick über die möglichen Lösungsansätze geben. Im Test finden sich Produkte für kleine Unternehmen ohne lokalen Mailserverebenso,wie Systeme, die bis tausende Benutzer skalieren. Mailstore4 Von der Firma Deepinvent stammt eine simple Windows-Lösung für kleinere und mittelgroße Unternehmen. Mailstore besteht aus insgesamt drei Komponenten:Der Mailstore-Server beherbergt das Archiv und der Mailstore-Client gibt dem Endanwender darauf Zugriff. Der Mailstore-Proxy fängt eingehende und ausgehende POP3/SMTP-Nachrichten ab. Der eigentliche Mailstore-Server gibt sich mit recht wenig zufrieden. Dem Programm genügt bereits ein Windows-XP-Rechner.Nach der Installation übernimmt ein eigenes Tool die Basiskonfiguration. Dort legt der Verwalter das Verzeichnis des Archivs fest und konfiguriert die IP- Ports. Mailstore kommuniziert über Port 8460 mit seinen Clients. Zudem können Anwender ohne Client viabrowser über http und https mit dem Server auf festzulegenden Ports eine Verbindung aufbauen. Alle weiteren Konfigurationen wickelt der Mailstore-Client entweder auf dem Server-PC oder jedem beliebigen anderen Rechner im LAN ab. In der Verwaltung kann der Administrator händisch lokale Benutzer mit jeweils mehreren Mail-Adressen anlegen. Zudem kann sich das Programm in ein bestehendes Active-Directory integrieren und die Benutzerkonten daraus extrahieren.der Server kann mehrere Speicherorte für das Archiv verwalten. Das erlaubt beispielsweise, pro Quartal ein Archiv anzulegen. Die Indizes machen dabei alle Archivedurchsuchbar. Bei der Index-Verwaltung kann der Verwalter pro Benutzer zudem angeben, ob die Inhalte von Anhängen wie DOC-oder PDF-Dateien für die Sucheindiziertwerden. Um SMTP-Mails abzufangen muss derverwalter den Mailstore-Proxy auf der Mailstore-Server oder einer anderen Maschine einrichten. Dieser Proxy akzeptiert alle ankommenden Nachrichten und leitet diese unverändert an den anzu- 12 Ausgabe 11 11.November 2009 www.networkcomputing.de
SICHERHEIT REAL-WORLD LABS gebenden Zielserver weiter.eine Kopie jeder Mail speichert der Proxy als eml-datei plus ein Textdokument mit den Header-Informationen in einem Verzeichnis. Ein SMTP-Routing für verschiedene Mail-Domains beherrscht der Proxy nicht. Allerdings kann der Verwalter mehrere SMTP-Weiterleitungen auf verschiedenen Ports konfigurieren:also: Eingehende SMTP-Mail auf Port 25 geht an Mailserver1 während Mail über Port 26 dem Mailserver2 zugestellt wird. Der SMTP-Proxy kann auch als transparenter POP3-Proxy zwischen Mailclient und dem Mailserver eines Providers fungieren. Viele Wege in den Mailstore Zu den Stärken dieser Lösung zählen die vielen Funktionen des Mailstore-Clients, um Nachrichten in das Archiv zu verfrachten.die Softwarekann: Mailserverüber POP3 oder IMAP4 abfragen, Outlook-PSTsauslesen, rohe Mail-Dateien (.msg oder.eml) importieren, sich per WebDAV mit Exchange 2003/2007 verbinden, Thunderbird/Seamonkey-Verzeichnisse importieren, Outlook-Express-Nachrichten einlesen, AVM-KEN-Maiboxenabfragen sowie Google-Mailkonten abrufen. Mit diesen Funktionen kann der Administrator Profile pro Benutzer generieren und diese einmalig oder als geplanten Task regelmäßig ausführen. SMTP-Nachrichten fängt Mailstore dabei über die Funktion eml-import und den SMTP-Proxy ein. Der Verwalter kann dabei festlegen, dass die über den SMTP-Proxy korrekt importierten Nachrichten gelöscht werden. Dabei bleiben die SMTP-Mails, mit denen Mailstore erst einmal nichts anfangen kann zumindest im Proxy gesichert. STECKBRIEF Mailstore4 Hersteller: Deepinvent Potenzial Charakteristik: E-Mail-Archivierung Preis: 300 Euro(5-User-Lizenz) Web: www.mailstore.com Plusminus: + Viele Funktionen für Mail-Import + Simple Administration und Konfiguration IMAP-Importkann abbrechen Im TestarbeitennahezuallegeprüftenFunktionen ohne Fehler.Lediglichein Lotus-Domino-Server schafft es, den IMAP-Import von Mailstore auszuhebeln. Im Test trennt der Lotus-Server aus unbekannten Gründen immer bei einer besonderen Mail die IMAP-Verbindung.Auf diesen Sonderfall ist der IMAP-Importvon Mailstoree leider nicht vorbereitet.es fehlt eine Recovery-Funktion, welche die defekte Mail auslässt und alle anderen importiert. Der Task läuftstets nur bis zumabbruch durch den Notes-Server. Network Computing hat den Hersteller über dieses Problem informiert und Deepinvent will in einer der kommenden Programmversionen den IMAP-Importverbessern. UnterdemStrich istderfehlernichtsotragisch und lässt sich mit einer der vielen anderen Import-Funktionen umschiffen. Im Test greift NetworkComputing einfachüber einem Outlook-Client auf den IMAP-Dienst vonnotes zu. Danach schickt der Mailstore-Client über den Outlook-Import-Filter die Nachrichtenin das Archiv.Dabei fällt auchauf, dass Mailstore sehr zuverlässig Dubletten erkennt und entfernt. Auch wenn eine Mail über zwei verschiedene Pfade wie IMAP und Outlook-Plugin an das Archiv gelangt, sichert das Archiv die Nachricht nureinmal ab. Der Client-Zugriff erfolgt über das Web-Gui oder den Mailstore-Client. Der in Mailstore definierte Anwender kann hier komfortabel in allen ihm zugewiesenen Mailkonten nachnachrichten suchen. Zudem gibt es eine gute Export- Funktion, die ausgewählte Nachrichten in Dateien sichert oder per SMTP versendet. Fazit: Mailstore 4 kann mit seinem großen Funktionsumfang überzeugen. Gut gefallen die vielen Import-Funktionen, die flexible Konfigurierbarkeit und die Option, pro Benutzer völlig unterschiedliche Mailkonten im Archiv zusammenzufassen. Den guten Eindruck trübt nur der Fehler im IMAP-Import. Das flexible Konzept lässt zudem viel Raum für Sicherheitslücken. Der SMTP- Proxylässt beispielsweise ungeschützte Kopien aller Nachrichten unverschlüsselt auf einem XP-Verzeichnis, im Zweifelsfalle sogar mit Anzeige Anzeige AKTION Weihnachts-Aktionsangebot für Endkunden STORE. SHARE. PROTECT. ReadyNAS NVX: Hier sind Ihre Daten gut drauf! Dual Gigabit Desktop Netzwerk-Speicher Der Mailstore- Client gibt dem Verwalter Zugriff auf alle Archive. www.networkcomputing.de Ausgabe 11 11.November 2009 13 www.netgear.de/ ReadyNAS
REAL-WORLD LABS SICHERHEIT SMP/CIFS-Freigabe, liegen. Hier wäre eine Echtzeit-Proxy-Funktion, welche SMTP-Mails direkt bei Ankunft in dasarchiv verfrachtet eine sichererelösung. Mailstore4eignet sichfür kleinsteund kleine Unternehmen, welche zu Beginn vielleicht noch nicht einmal einen eigenen Mailserver oder eine eigene Maildomäne verfügen. Dank der vielen und sehr flexiblen Funktionen kann Mailstoremit dem Unternehmen wachsen und sich an Änderungen der Infrastruktur anpassen. Auch mittelgroße Installationen mit Kerio/ Mdaemon- oder Exchange-Installationen und hunderten Benutzern können das Archiv verwenden. Für kommende Versionen hat der Hersteller Verbesserungen beim IMAP-Importund den Support von Linux als Mailstore-Server und -Client-OS angekündigt. Reddoxx Mail Depot Einen etwas anderen Ansatz verfolgt Reddoxx mit dem Mail-Depot. Die Lösung arbeitet als Appliance. Der Anwender kann dabei wahlweise eine vorkonfigurierte Hardware mit erwerben oder eine Virtual-Appliance für Vmware nutzen. Das Mail-Depot ist dabei nur eine von drei Komponenten des Reddoxx»Mail Protectors«. Die zwei anderen Komponenten kümmern sich um den Spam- undvirenschutz sowie die Mailverschlüsselung nach S-Mime-Standard. Das Lizenzmodell von Reddoxx erlaubt, die Komponenten einzeln zu verwenden. Die Appliance nutzt ein Linux-System als Basis. Nach dem initialen und wahrscheinlich STECKBRIEF Mail Depot Hersteller: Reddoxx Charakteristik: E-Mail-Archivierung Preis: 1490 Euro für RX-50 VMware mit unlimited User (Spamfinder+Mail-Depot), Option: MSX-Agent für 600 Euro für interne Archivierung bei Einsatz eines ExchangeServers. Web: www.reddoxx.de Plusminus: + flexibles SMTP-Routing mit multiplerverzeichnisintegration + Spam/Virenschutz undverschlüsselung als Option auf der Appliance fehlender Web-Client einzigen Login des Administrators an der Konsole des Systems, ändert dieser die IP-Parameter und das Admin-Kennwort ab.die weitere Konfiguration erfolgtimreddoxx-admin-tool. Die kompaktewindows-applikation läuft ohne vorherige Installation. Die Quick-Start-Option regelt die Grundeinstellungen wie IP-Informationen, Mail-Domain und SMTP-Routingpfad. Die Baumansicht des eigentlichen Admin- Tools stellt die einzelnen Module der Appliance dar. Bevor es an die Konfiguration der Komponente Mail-Depot geht, legt der Verwalter weiteregrundparameter fest. Darunter finden sichauchparameter für den Betrieb in einemfail-over-cluster. DasMail- Depot routet eingehende SMTP-Nachrichten zum jeweiligen Mailserver undsichert Kopien ins Archiv. Einen erheblichen Raum nehmen die umfangreichen Konfigurationsoptionen für die E- Mail-Weiterleitung ein. Mail-Depot arbeitet dabei als SMTP-Router,welcher Nachrichten in Abhängigkeit der Zieladresse an verschiedene Mailserver versendet. Zu jeder Mail-Domain kann der Verwalter einen LDAP-Verzeichnisdienst angeben. So kann die Software bereits vor dem Durchreichen an den Mailserver prüfen, ob der Zielbenutzer überhaupt existiert. Mails an falsche Adressen wandern direkt in die Spam- Mülltonne und helfen dem optionalen Spamfilter. Zudem kann Reddoxx über die LDAP-Integration neue Anwender ermitteln und in die lokale Konfiguration eintragen. Als LDAP-Server können das Active-Directory (für Exchange 2003/2007)Exchange 5.5, Lotus-Domino oder Open-LDAP zum Einsatz kommen. Parallel zur Directory-Integration kann Mail- Depot aber auch mit lokalen Benutzern arbeiten. Über Aliase lassen sich den lokal definiertenbenutzernauchmehrerepostfächer zuordnen. Die lokalen Appliance-Benutzer lassen sich unabhängig von den Mail-Domains und deren Anwendern gestalten. Auch hier lässt sich die Appliance an bestehende Verzeichnisdienste ankuppeln oder arbeitet mit lokalen Konten. Die Verwaltung des Archiv-Speichers arbeitet noch nicht sonderlich flexibel. Bevorzugt setzt die Appliance lokale Plattenressourcen ein. Alternativ kann Mail-Depot auf ein via SMB/CIFS gemountetes Netzwerklaufwerk zugreifen. Aktuell werden weder die schnelleren NFS-Freigaben, noch die Konfiguration mehrere Depots unterstützt. Laut Reddoxx soll das jedoch in der nächsten Version von Mail-Depot funktionieren. Exchangevia Journal In erster Linie bezieht das Archiv seine Nachrichten aus dem weitergeleiteten SMTP-Traffic. Auch der Betrieb als transparenter POP3-Proxy ist möglich. Jedoch beherrscht die Reddoxx- Software kein IMAP-Protokoll. Für Exchange- Benutzer gibt es ein besonderes Plugin. Um das ans Laufen zu bekommen, muss der Verwalter einen besondern Journal-Benutzer auf dem Exchange-Server erstellen und Exchange anweisen, eine Kopie jeder ein- oder ausgehenden Mail ins Postfach des Journal-Accounts zu legen. Die händischekonfiguration dieser Option dauert etwas. Reddoxx liefert jedoch eine gute Beschreibung mit, so dass der MSX-Agent fehlerfrei seinen Betrieb aufnehmen kann. Als Client muss der Anwender ebenfalls auf ein kleines Windows-Tool zurückgreifen, was nicht explizit installiert werden muss. EinWeb- Frontend fehlt der aktuellen Programmversion. Auch hier soll das angekündigte Release 2 nachbessern. Nach der Anmeldung am Client erhält der Benutzer Zugriff auf sein Archiv mit allen zuvor deklarierten Mailkonten.Die Suchfunk- 14 Ausgabe 11 11.November 2009 www.networkcomputing.de
SICHERHEIT REAL-WORLD LABS tion hilft, Inhalte im Mailkörper und den Kopfzeilen zu finden. Auch Anhänge werden vom Mail-Depot indiziert. Allerdings kann es nach der Installation der Reddoxx-Appliance einen Tagdauern, bis der Index zur Verfügung steht. Die Vorgabe-Konfiguration frischt die Indizes nachts auf. Ein kleines Outlook-Plugin integriert den Reddoxx-User-Client in den Outlook-Verzeichnisbaum. Allerdings kann der Anwender hier nicht einfach per Drag-and-Drop Nachrichten in das Archiv schieben. Fazit: Mail-Depot zeigt sich bei den Import- Funktionen ein wenig unflexibler als Mailstore. Reddoxx bietet größeren Kunden jedoch an, über nicht im Lieferumfang enthaltene Tools die initiale Fütterung des Archivs als Service durchzuführen. Gut gefällt an der Reddoxx-Lösung der flexibel konfigurierbare SMTP-Router und die Option,sich für Mail-Domänen und lokale Benutzer simultan in verschiedene Verzeichnisse einzuhängen. Die optionalen Dienste für Spam- und Virenschutz machen in einer integrierten Appliance sehr viel Sinn, da sich die Module gegenseitig unterstützen und zentrale Komponenten wie Mail- Routing und Directory-Integration gemeinsam nutzen. Die Lösung eignet sich für mittelgroße und große Unternehmen mit Exchange oder beliebigen anderen Mailservern. Das Test-Team vermisst im getesteten Release einen Browser- Zugang zum Archiv,umauchMac-und Linux- Nutzern Zugriff zum Archiv zu gewähren. Die kommende Version 2 muss zeigen, ob Reddoxx die Nachbesserungsversprechen erfüllen kann. ArtecEMA Artec setzt auf eine Appliance als Archivlösung. Der Hersteller offeriert Geräte in verschiedenen Größen. Diese unterstützen sowohl kleine Büros mit einzelnen PCs als auch Unternehmen mit hundertenarbeitsplätzen. Ins Labor Poing entsendeteartec die kompakte, lüfterlose S40-Appliance mitvia-cpu und 2,5-Zoll-Festplatte für kleine Installationen. Zum Test der Funktionen genügt dieses Modell. Die EMA unterstützt einen Betriebsmodus, welcher besonders den kleinen Installationen STECKBRIEF EMA S40 Hersteller: Artec Charakteristik: E-Mail-Archivierung Preis: ab 2000 Euro Web: www.artec-it.de Plusminus: + Simpler Betriebsmodus als transparente Bridge + gute Integration in Verzeichnisdienste kein SMTP-Forwarder entgegen kommt. Das Gerät lässt sichals Bridge mit zwei LAN-Adaptern zwischen den Router und den LAN-Switch einbinden. Fortan fängt es alle Nachrichten ab, die per POP3 oder SMTP gesendet und empfangen werden. Die Benutzerkonten lernt die EMA selbständig aus den Mail- Headern. Der transparente POP3-Proxy fängt zudem die Kennwörter der Anwender ab und kann damit automatisch passende Accounts auf der Appliance generieren. Die Benutzer erhalten dabei über den Web-Client sofort Zugriff auf ihr Archiv.Sollte der Verwalter dies nicht wünschen, stellt die Software den Benutzern eine Willkommens-Nachricht mit einem zufällig generiertenkennwortzu. DertransparenteBetrieb eignet sichsehr für kleinebüros ohne eigenen Mailserver. Dabei ist nicht einmal eine Grundkonfiguration der Appliance nötig,dadiese im Bridge-Modus sofort und ohne weitere Parameter ans Werk geht. In der Mehrzahl der Fälle arbeitet eine EMA jedoch mit einem lokalen Mail-Server zusammen. Dafür schaltet der Verwalter den Bridge- Modus ab und konfiguriert direkte IP-Adressen. Das zweite LAN-Interface kann in diesem Fall verwendet werden, um Mail-Serverinanderen Netzwerksegmenten (beispielsweise der DMZ) abzufragen. Ein drittes LAN-Interface der zum Test vorliegenden S40-Appliance bleibt mit fixer IP-Adresse als Management-Portreserviert. Damit garantiert der Hersteller,dass der Verwalterauchbei einer völlig vermurksten Konfiguration immer noch an die Konsole heran kommt. Für den Test deaktiviert NetworkComputing die Bridge und startet das Gerät mit fixer IP- Konfiguration neu. Die Grundkonfiguration führt den Anwender durch umfangreiche Setup-Dialoge. Dabei legt der Verwalter die zu archivierenden Mail-Domänen und die Anbindung zu einem Verzeichnisdienst fest. Dabei fällt auf, dass die EMA für den Betrieb mit einem Mailserver konzipiert ist dieser kann dabei natürlichmehreredomains verwalten. Zwar unterstützt Artec viele verschiedene Systeme wie Exchange, Kerio oder auch Lotus-Domino aber nurmit Abstrichen im Simultanbetrieb.Es ist beispielsweise nicht möglich, das Gerät mit mehreren LDAP-Servern zu koppeln, um Benutzer für verschiedene Mail-Domänen zu synchronisieren. Im Regelfall integriert der Verwalter die EMA mit dem vorliegenden Benutzerverzeichnis. Das Anzeige Anzeige AKTION Weihnachts-Aktionsangebot für Endkunden 2Festplatten gratis!* TESTVERFAHREN E-MAIL-ARCHIVIERUNG Für den Test setzt Network Computing insgesamt vier Mailserver mit eigenen Mail-Domains ein: Alt-N Mdaemon 10.1.1, Kerio 6.6.2, Lotus-Domino 7.0.1und Microsoft-Exchange2003SP2 Mit Ausnahme von Lotus-Domino laufen alle Mailserver auf virtuellen Maschinen im Vmware-Cluster des Labors in Poing. Alle Server verfügen über ein paar Testbenutzer die regelmäßig Mails erhalten auch wenn es sich dabei nur um alle möglichen Newsletter handelt. Als Clients setzt das Test-Team Outlook-XP auf Windows-XP,Outlook-2007 auf Windows 7und Mozilla Thunderbird auf Ubuntu 9.04 und Windows 7ein. Die Hälfte der Windows-Clients arbeiten als Teil des Labor-ADS. www.networkcomputing.de Ausgabe 11 11.November 2009 15 Infos und Anmeldung unter: www.netgear.de/promotion/ ReadyNASNVX_2009/ www.netgear.de/ ReadyNAS *Beim Kauf eines RNDX4250 (inkl. 2x500 GB) vom 12.10. 27.12.09 erhalten Sie zwei zusätzliche 500 GB Festplatten gratis. Solange Vorrat reicht.
REAL-WORLD LABS SICHERHEIT 16 Die EMA bedient sich aus der Journal-Mailboxeines Exchange-Servers oder lässt sich vom jeweiligen Mailserver Kopien aller Mails für das Archiv zusenden. kann Lotus-Domino, Exchange/ADS, Imail oder einfach Open-LDAP sein. Dabei wird die Appliance immer versuchen, die zu archivierenden Mails den Benutzern dieses Verzeichnisses zuzuordnen. Mit der richtigen LDAP-Konfigurationkönnen sichallemail-benutzer ohne weitere Vorbereitung an dem Web-Gui der S40-Appliance anmelden. Die Benutzerverifikation erledigt die Artec-Lösung direkt über LDAP. Als Archivspeicher kann die lokale Platte der Appliance alleine herhalten. Das alleine genügt dem Hersteller jedoch nicht. Vielmehr soll der Verwalter dem Gerät Massenspeicher über SMB/CIFS, NFS, SSH oder iscsi zuweisen. Das Archiv liegt dann in Kopie auf der LAN/SAN- Freigabe und der lokalen Platte. Letztere behält dabei jeweils nur die aktuellsten Daten um schnelle Suchergebnisse liefern zu können, während die Daten auf der LAN/SAN-Freigabe vollständig archiviert sind. Die archivierten Nachrichten verschlüsselt und signiert die EMA, um Modifikationen auszuschließen. Auch beim Zugriff über das Gui kann Artec einen verbesserten Zugriffsschutz aktivieren. Dabei darf ein einzelnerverwalter nicht alleine in die Archive der Benutzer blicken. Das Vier- Augen-Prinzip gibt dabei vor, dass sich zwei zuvor festgelegteverwalter an der Appliance anmelden müssen, bevor sie Zugriff auf Benutzer- Mails erhalten. Auch die Rechte der Anwender selbst lassen sich sehr detailliertkonfigurieren. Der Administrator kann einzelne festlegen, ob Anwender Mails aus ihrem Archiv herunterladen, weiterleiten als ZIP verpacken oder gar Ausgabe 11 11.November 2009 komplett exportieren dürfen. Zudem gibt es eine Vertreterregelung,bei der Anwender zeitbeschränkt anderen Anwendern Zugriff auf ihr Archiv geben können. Saugen stattweiterleiten Bei den Funktionen zum Abrufen von Mails zeigt sich die EMA nicht so flexibel wie der Mailstore. Prinzipiell unterstützt die Archivplattform nur POP3-Downloads oder eine direkte SMTP-Zustellung ohne Weiterleitung.Der Verwalter muss daher immer beim Mail-Server Hand anlegen und dort eine geeigneteweiterleitung konfigurieren.bei Exchange nutzt Artec die Journaling-Funktion wie das auch bei Reddoxx funktioniert. Während Reddoxx mit einem eigenen Plugin die Journal-Daten vom Exchange-Server andas Archiv anliefert, kontaktierte die EMA über POP3 den Microsoft-Mailserver und holt den Inhalt des Journal-Postfachs per POP3 ab. Beianderen MailservernwieMdaemonoder Kerio muss der Verwalter eine Weiterleitung der Nachrichten über SMTP an eine Pseudo-Adresse archiv@config.emabox.de einrichten. Im Zweifelsfalle muss der Verwalter diese Weiterleitung jedoch von Hand für alle Mailbenutzer konfigurieren.für Systeme wie Lotus-Domino gibt es gesonderte Plugins. Im Test ist die EMA zügig installiert und in das Active-Directory des Labors eingebunden. Da für das Setup bereits ein Journal-Benutzer existiert, fällt die Konfiguration für den POP3- Zugang leicht. Fortan bezieht das Archiv alle neuen Nachrichten und legt im Verlauf des Tests auchautomatisiertarchive zu allen Exchange- Postfächern an. Die jeweiligen Benutzer können sich, ohne vorher auf der EMA deklariert worden zu sein, am Archiv direkt anmelden und ihre gesicherten Nachrichten einsehen. Fazit: Das transparente Proxy-Konzept der Artec-EMA eignet sich gut für kleine Installationen mit geringem IT-Know-how vor Ort. Auch den regulären Betrieb mit Mailserver beherrscht die Lösung.Gut gefällt dabei die nahtlose Integration in bestehende Verzeichnisse. Im Gegenzug lässt Artec einige Import-Funktionen wie IMAP oder SMTP-Forwarding vermissen und macht dem Verwalter damit im Zweifelsfall die Integration mit bestehenden Mailservern nicht gerade Einfach. Test-Fazit: Im Vergleichstest der Mail-Archivlösungen gibt es auf den ersten Blick keine klaren Gewinner und Verlierer.Alle Lösungen erledigen ihren Jobgut wennsie der Verwalter erst einmal in die Infrastruktur integriert hat. Allerdings unterscheiden sich die drei Systeme sehr stark bei der Art und Weise, wie sie Mails aus dem laufenden Betrieb und bestehendenserverninihrarchiv bekommen. Den größten Funktionsumfang liefertmailstoremit diversen Client-Protokollen und -Tools sowie einem Proxy. Der nimmt es dabei aber nicht so genau mit der Sicherheit. Zudem arbeiten alle Importerdieser Lösung als geplantetasks und nicht in Echtzeit. Weniger Import-Funktionen weist das Reddoxx-Mail-Depot auf. Dafür leistet die Appliance gute Dienste als flexibler SMTP-Forewarder für viele Mail-Domains sowie -Server und integriertsichbei Bedarf in mehrereverschiedeneverzeichnisdienste.auch dieoption, auf der AppliancegleichVerschlüsselungs- und Anti-Spam/Viren-Dienste mitzuverwenden dürfte vielen Administratoren entgegen kommen. Die EMA von Artec bedient sich sehr leicht und komfortabel und trumpft mit einer guten Verzeichnisintegration sowie dem transparenten Betrieb auf. Dafür kann die Lösung nurmit einemverzeichnisdienst arbeiten. Zudem fordert diese Lösung vomadministrator etliche Konfigurationsarbeit an seinem Mailserver. Nach Abwägung aller Vor- und Nachteile erreichen alle Lösungen glatte 4 von 5 Punkten wobei das Mail-Depot von Reddoxx im direktenvergleich der Features die Nase geringfügig vorne hat aber für volle fünf Punkte genügt es auch hier nicht. Der IT-Manager muss im Detail für sich entscheiden, auf welche Funktionen er in seinem Umfeld gesteigerten Wert legt und worauf er verzichten kann. ast@networkcomputing.de www.networkcomputing.de
PRISMA MANAGEMENT IT messen, kontrollieren und steuern mit Cobit IT-Governance Die Wirtschaftskrise hat die Entscheider in den Unternehmen für IT- Governance sensibilisiert. Es zielt auf die strategische Steuerung der IT ab, um darüber die Geschäftsanforderungen optimal zu unterstützen. Die meisten Entscheider haben sich über die letzten Jahre mit der Vermutung zufrieden gegeben, dass die IT zum Geschäftsnutzen beiträgt. In welcher Form und in welchen Umfang dies geschah, wurde oftmals nicht ermittelt. Was nicht gemessen werden kann, kann aber weder bewertet noch gesteuert werden. Also blieb der tatsächliche Wertschöpfungsbeitrag der IT im Dunkeln. Im Dunkeln blieb ohne objektive Leistungskriterien auch die Erkenntnis, ob die IT-Strategie im Einklang mit den Zielen des Unternehmens steht. Jetzt, da in den Unternehmen verstärkt der Kostendruck regiert, ist die Sensibilität für das Thema IT-Governance gewachsen. Geschäftsverantwortliche wollen die IT besser und fortlaufend am Business ausrichten (IT-Business- Alignment), nicht zuletzt um Kosten zu sparen und das Kerngeschäft des Unternehmens abzusichern. Um dies zu erreichen, ist die frühzeitige Betrachtung von IT-Risiken die Voraussetzung.Sie zu erkennen und zu verfolgen heißt, betriebswirtschaftliche Schäden zu minimieren oder ganz auszuschließen. Nicht zuletzt der Gedanke an die Umwelt und die Stromkosten hat die Verantwortlichen aufgerüttelt, sämtliche IT-Ressourcen (Informationen, Applikationen, Infrastruktur und Mitarbeiter) überlegter und verantwortungsbewusster einzusetzen. Dies alles ist aber nur vom Erfolg gekrönt, wenn die IT-Strategie und alle damit verbundenen Aktivitäten permanent mit Blick auf die Geschäftsziele gemessen, kontrolliert und gesteuert werden. Beim Erreichen dieses hohen Ziels, die IT sicher,im Einklang mit dem Geschäft und gegebenenfalls konform gesetzlicher Auflagen (Compliance) zu betreiben, bietet die Kombination zwei bewährter Referenzmodelle eine pragmatische Unterstützung: die Best-Practice-Sammlung ITIL (IT Infrastructure Library) und der De-facto-IT-Governance-Standard Cobit (Control Objectives for Information and Related Technology). Vor allem Cobit erfreut sich im Management wachsender Beliebtheit. Denn Cobit aktuell in Version 4.1 richtet sich im Vergleich zu ITIL stärker an die unternehmerische Seite und adressiert das Senior-Management. Zwar sind beide, Cobit und ITIL, Rahmenwerke, über die ein Modell für die Prozesse der IT entwickelt werden kann. Cobit geht aber weiter und schlägt eine Brücke zwischen der IT- und der Business-Sicht. Darüber können organisatorische Fähigkeiten etabliert werden, um so IT und Business besser zu verbinden. Nicht, wie etwas zu tun ist, sondern was zu tun ist und warum es getan werden sollte, sind gemäß Cobit die wesentlichen Fragestellungen. Genauer gesagt eröffnet Cobit ein fünfstufiges Reifegrad-Modell, über das die Reife von IT-Prozessen ermittelt werden kann. Über die fünf Stufen können die notwendigen Maßnahmen zur Verbesserung dieser Prozesse abgeleitet werden. Die höchste Stufe erreichen die IT-Prozesse, wenn sie mit dem fünften Reifegrad»optimized«lückenlos dokumentiert, überwacht, automatisiert und kontinuierlich verbessert werden können. Für das Messen des jeweiligen Reifegrads werden mehr oder weniger»trennscharfe«metriken herangezogen. Sie setzen sich aus Key- Performance- (KPI) und Key-Goal-Indikatoren (KGI) zusammen. In den KGI werden die Ziele hinterlegt, die zu einer besseren IT-Unterstützung des Geschäfts erfüllt werden müssen. Die KPI fungieren als Frühwarnindikatoren, indem sie durch permanente Messungen Abweichungen von den definierten Zielen registrieren und anzeigen. Dadurch können die Verantwortlichen rechtzeitig entgegensteuern. Cobit gibt zahlreiche KGI und KPI für insgesamt 34 IT-Prozesse vor. Das erleichtert das Einrichten von Mess- und Kontrollmechanismen zur strategischen Steuerung der IT erheblich. Daneben sind besondere KGI und KPI notwendig.um diese unternehmensspezifischen Metriken möglichst einfach herauszufinden, zu bemessen sowie operativ umzusetzen, haben Dienstleister wie Materna mit einem umfassenden Kennzahlensystem vorgearbeitet. Der hohe Stellenwert objektiver Zahlen und Fakten sollte nicht überschätzt, der Faktor Mensch nicht unterschätzt werden. IT-Governance einzuführen, zieht immer eine Reihe an Veränderungen nach sich. Die Initiative sollte vom Top-Management ausgehen, idealer Weise im Schulterschluss von CEO und CIO.Ebenso wichtig ist es, von Anfang an die Mitarbeiter der Fachbereiche einzubinden. Schließlich sind sie eine der wichtigsten Voraussetzungen dafür,dass die beschlossenen Maßnahmen umsetzbar sind und nachhaltig etabliert und gelebt werden können. Erik Hansmann istteamleiter Management Consulting bei Materna E-Mail: Erik.Hansmann@Materna.de 18 Ausgabe 11 11. November 2009 www.networkcomputing.de
extra11 2009 ICTDAS KOMPETENZMAGAZIN FÜR INFORMATIONS- UND KOMMUNIKATIONSTECHNOLOGIE VON T-SYSTEMS 4 Wolkiger Datenschutz Peter Schaar zum Cloud Computing 8 Sicherheitsrisiko Wolke? Experte René Reutter gibt Entwarnung 9 IT stets zu Diensten Fünf Schritte zur sicheren Cloud 11 Mode wird zur Realität Interview mit Professor Dr. Stefan Tai TITELTHEMA Cloud Computing Fotolia, Tim Bird
ZAHLEN FAKTEN TRENDS 2 [ [ Die weltweiten Ausgaben für Cloud-Dienste wie Software as aservice (SaaS) oder Online-Speicher könnten sich bis zum Jahr 2012 auf 42 Milliarden Dollar verdreifachen. Das ergabeine IDC-Umfrage unter CIOs und anderen Führungskräften. [ Impressum ICT extra 11/2009 ist eine Beilage der IT-Director Herausgeber T-Systems International GmbH Leiter Kommunikation Harald Lindlar Mainzer Landstraße 50 60325 Frankfurt am Main www.t-systems.de Redaktion &Layout PR-Partner Köln Agentur für Kommunikation GmbH Breite Straße 161 167 50667 Köln www.prp-koeln.de Redakteure Frank Griesel, Roger Homrich, Uwe Kerrinnes, Silke Kilz Autoren dieser Ausgabe Dr. Marc Hilber, René Reutter, Dr. Martin Reti Ausgabe 11/2009 Bis zum Jahr 2013 werden Unternehmen mindestens 20 Prozent derursprünglich inhouse erledigten IT-Aufgaben in die Cloud auslagern. Das prognostizieren Analysten von Saugatuck Technology.] Durch die Virtualisierung vonservern lassen sich nach Angaben des Unternehmens VMware bis zu 80 Prozent der Stromkosteneinsparen. Die veröffentlichten Beiträge sind urheberrechtlich geschützt ] 3 4 5 6 7 8 9 10 11 [ Die Kosten für eine Stunde Serverausfall bei einem Shopping-Portal liegenbei 75.000 Euro, bei einembankrechenzentrum bei 1,7 Millionen Euro und bei einerbroker-anwendung bei 4,4 Millionen Euro. Die Industrielle Revolution der Neuzeit: Gartner-Analyst Daryl Plummer über Cloud Computing. Mehr Transparenz: Datenschützer Peter Schaar fordert die Vergabe von Gütesiegeln. Kampf der Datenschutz-Kulturen: Wie USA und EU sich beim Datenschutz annähern. Geringere Kosten mehr Qualität: T-Systems-Geschäftsführer Olaf Heyden verrät, wie es geht. Komplizierte Rechtslage: Jurist Dr. Marc Hilber rät Firmen zu Dienstleistern mit hoher Compliance. Sicherheitsrisiko Wolke? René Reutter gibt Entwarnung. IT stets zu Diensten: Mit fünf Schritten in die Wolke. Wundertüte Cloud Computing: Das Potenzial ist längst noch nicht ausgeschöpft. (Quelle: CONTINGENCY RESEARCH) INHALT Ein Modebegriff wird Realität: Professor Dr. Stefan Tai über das erste Lehrbuch zum Cloud Computing. ] ] ICTextra 11 2009