komplette Ausgabe - Comment - UniversitÃ¤t Wien

Weitere Magazine

Empfehlungen

Info

16 95/2 basierten Services auf Basis der IP-Adresse eingeschränkt werden: In den entsprechenden Konfigurationsdateien muß vermerkt werden, welchen Rechnern ein Zugang über Telnet, FTP usw. erlaubt oder verboten ist. Firewalls Internet Firewall Ein Firewall ist eine Einrichtung, die einen Abschnitt des Netzwerks – etwa das Netzwerk eines Instituts – vom „unsicheren“ Rest des Netzwerks trennt. Die Kommunikation zwischen Internet und Subnetz (oder „privates Netz“) geht ausschließlich über den Firewall, der eine Zugangskontrolle durchführt. Es gibt zwei Modelle für Firewalls: Packet Filtering und Application Gateways. Packet Filtering Hier entscheidet der Firewall auf Paketebene, ob die Pakete zwischen privatem Netz und Internet weitergereicht oder blockiert werden. Die Implementierung des Firewalls kann mittels Routern (mittels Accesslisten) oder auf Unix-Rechnern mit entsprechender Software erfolgen. Die Konfiguration des Filters erfolgt durch Definition von Regeln, die etwa folgende Semantik haben: ● ● Verbindungen zu einem Port/Protokoll von einer Adresse im Internet zu einer Adresse im privaten Netz werden erlaubt. Verbindungen zu einem Port/Protokoll von einer Adresse im privaten Netz zu einer Adresse im Internet werden erlaubt. Bei der Konfiguration können statt Ports auch Bereiche von Ports und statt Rechneradressen auch Adressen von Netzwerken angegeben werden. Die Regeln für einen Firewall könnten beispielsweise lauten: ● ● ● ● Verbindungen zum SMTP-Port des Mail-Rechners im privaten Netz sind vom ganzen Internet aus möglich (SMTP = Simple Mail Transfer Protocol, das Protokoll zum Transport von eMail im Internet). Telnet-Verbindungen vom privaten Netz in das Internet sind möglich. SMTP-Verbindungen vom privaten Netz in das Internet sind möglich. http-Verbindungen vom privaten Netz in das Internet sind möglich (http = Hypertext Transfer Protocol, das für WWW-Services verwendete Protokoll). Bei TCP-Verbindungen sind die Folgepakete einer einmal aufgebauten Verbindung durch das gesetzte SYN-Bit erkennbar. Weil bekannt ist, wer die Verbindung aufgebaut hat, können TCP-Verbindungen einfach in einer Richtung erlaubt und in der anderen Richtung gesperrt werden. Die Überprüfung der Zugriffsbeschränkungen erfolgt beim Verbindungsaufbau, Pakete mit gesetztem SYN-Bit dürfen den Firewall ungehindert passieren. Unter den TCP-basierten Services machen vor allem Anwendungen wie FTP Probleme: FTP arbeitet mit einer Verbindung, die vom Klienten aufgebaut wird und auf der Kommandos zum Server übertragen werden. Für die Übertragung von Dateien wird eine weitere Verbindung vom Server zurück zum Klienten aufgebaut. Die Schwierigkeit liegt nun darin, daß dieser Datenstrom nicht auf ein bestimmtes Port festgelegt ist, sondern irgendein freies Port benutzt. UDP-basierte Services stellen bei der Konfiguration des Firewalls generell ein Problem dar, da bei den Nachrichten nicht auf einfache Weise zwischen Anfragen und Antworten unterschieden werden kann. Die Probleme mit UDP-basierten Services oder Services, welche wie FTP oder X-Windows Verbindungen zurück zum Klienten verlangen, sind mit einfachen Paketfiltern ohne Modifikation der Klienten nicht mit vertretbarem Aufwand lösbar. Die neuesten Firewall-Produkte analysieren jedoch den Datenverkehr und sind so imstande, die obigen Schwierigkeiten zu umgehen. Application Gateways (Proxy-Server) Bei diesem Konstruktionsprinzip wird der gesamte IP- Verkehr zwischen dem Internet und dem privaten Netzwerk blockiert, und alle Verbindungen müssen über Serverprozesse am Firewall abgewickelt werden. Die Proxy-Server arbeiten entweder transparent und schleusen den Verkehr einfach durch den Firewall durch, oder sie verlangen die Authentisierung der Verbindung, die z.B. durch Username und Paßwort erfolgen kann. Firewalls stellen jedoch nur eine Abschirmung des privaten Netzes gegen Gefährdungen von außen dar – gegen Attacken im privaten Netz helfen sie naturgemäß nicht. Martin Gräff ■ NETZWERK
95/2 17 THIN ETHERNET & TWISTED PAIR: NETZWERKSTANDARDS AN DER UNIVERSITÄT WIEN Hinweis: Dieser Beitrag erläutert, welche technologischen Standards der Errichtung des Datennetzes der Universität Wien derzeit zugrunde liegen. Um das Datennetz benutzen zu können, müssen Sie die folgenden Seiten weder lesen noch verstehen. Sollten Sie sich jedoch dafür interessieren, wie Ihr Rechner an das Netzwerk angeschlossen ist (bzw. werden wird) und welche Einschränkungen dabei zu berücksichtigen sind, finden Sie hier einige Hintergrundinformationen zu diesem Thema. Das Datennetz der Universität Wien ist im Prinzip eine Vereinigung aller Lokalen Netzwerke (Local Area Networks = LANs), die an den einzelnen Standorten der Universität bestehen. Während die Verbindung zwischen den Standorten mittels verschiedenster Technologien erfolgt (Standleitungen, Lichtwellenleiterverbindungen, interne Leitungswege der Universität), werden im Bereich der LANs an den Instituten die jeweiligen Netzwerke auf Basis des Netzwerkstandards „Ethernet“ errichtet. Ethernet ist eine LAN-Technologie, die es erlaubt, Informationen zwischen Computern mit einer Geschwindigkeit von 10 Millionen Bits per Sekunde (10 Mbit/s) zu übertragen. Neuere Ethernetstandards erlauben sogar Übertragungsraten bis zu 100 Mbit/s. Von den am Markt befindlichen LAN-Technologien ist Ethernet die gebräuchlichste – jeder Computerhersteller unterstützt diesen Standard. Durch diese große Verbreitung sind einerseits Ethernetprodukte sehr preisgünstig erhältlich, andererseits ist es mit Ethernet möglich, Geräte verschiedenster Hersteller untereinander zu verbinden. Andere Standards wie beispielsweise „TokenRing“ erlauben dies nicht: TokenRing-Netzwerkadapter sind nicht für alle Rechnertypen erhältlich. In einem universitären Umfeld ist es jedoch immens wichtig, daß jeder Rechner, und sei er noch so exotisch, am Netzwerk partizipieren kann. Aus diesem Grund finden sich TokenRing-Netzwerke an der Universität Wien nur dort, wo sie früh entstanden sind, nämlich in der Universitätsverwaltung und im Bereich der Medizinischen Fakultät. Die Funktionsweise von Ethernet Alle an einem Ethernet-Netzwerk angeschlossenen Geräte (im folgenden als Stationen bezeichnet) arbeiten unabhängig voneinander und teilen sich gleichberechtigt das benutzte Übertragungsmedium. Die Signale werden in das Medium eingespeist. Alle angeschlossenen Stationen hören am Übertragungsmedium mit und entscheiden selbst, ob die derzeit übertragene Information für sie bestimmt ist oder nicht – ein zentraler Vermittlungsknoten ist daher nicht notwendig. Bevor eine Station Signale sendet, überprüft sie, ob das Medium frei ist oder ob bereits eine andere Station überträgt. Erst wenn das Medium frei ist, beginnt die Station mit der Übertragung. Der Zugriff zum Medium wird durch einen Mechanismus gesteuert, der MAC (Medium Access Control) heißt und bei jedem Netzwerkstandard etwas anders funktioniert. Bei Ethernet basiert der MAC-Mechanismus auf CSMA/ CD (Carrier Sense Multiple Access / Collision Detection). Ein wesentlicher Teil von CSMA/CD wurde bereits beschrieben: CS (Carrier Sense) wird von einer Station angewendet, um herauszufinden, ob das Medium frei ist. Sendet bereits eine andere Station, wird eine definierte Zeitspanne gewartet und anschließend erneut einCarrier Sense durchgeführt. Ist das Medium frei, darf im Prinzip jede angeschlossene Station senden, wobei alle gleichberechtigt sind – daher MA (Multiple Access). Wenn nun aber – was recht oft passiert – zwei oder mehrere Stationen gleichzeitig mit einer Übertragung am Medium beginnen, kommt es zu einer Kollision. Die gerade übertragenden Stationen erkennen diese Kollision (CD = Collision Detection) und beenden die Übertragung. Nach einer zufallsgesteuerten Sendepause versucht eine Station wieder zu übertragen, indem sie erneut einen Carrier Sense durchführt. Dieser Mechanismus (CSMA/CD) wird für jede Übertragung am Ethernet angewendet. Im Prinzip überträgt also immer nur eine Station; da dies alles aber sehr schnell passiert (im Nanosekunden-Bereich), bemerkt der Benutzer davon nichts. Medienarten von Ethernet Die Übertragung der Information erfolgt auf einem Übertragungsmedium – das ist im allgemeinen irgendeine Art von Verkabelung. Es gibt jedoch neuerdings auch Arten von Ethernet, die als Medium Funkwellen oder Infrarot- NETZWERK
Seite 1 und 2: vienna university computer center M
Seite 3 und 4: 95/2 1 Liebe LeserInnen! EDITORIAL
Seite 5 und 6: 95/2 3 haben oder zumindest irgendw
Seite 7 und 8: 95/2 5 EIN HOCHMODERNER PARALLELREC
Seite 9 und 10: 95/2 7 DER NEUE ALPHA-CLUSTER: (K)E
Seite 11 und 12: 95/2 9 a4 2100 4/275 512 MB a3 2100
Seite 13 und 14: 95/2 11 muß. Im Rahmen der Ausschr
Seite 15 und 16: 95/2 13 MAUERBLÜMCHEN DER STANDARD
Seite 17: 95/2 15 SCHUTZ GEGEN ATTACKEN AUS D
Seite 21 und 22: 95/2 19 Das EDV-Zentrum errichtet i
Seite 23 und 24: 95/2 21 BACKBONE-NETZE IM INTERNET
Seite 25 und 26: 95/2 23 NEWS - DAS „SCHWARZE BRET
Seite 27 und 28: 95/2 25 sci soc „science“; vers
Seite 29 und 30: 95/2 27 Lehrbeauftragte Zusätzlich
Seite 31 und 32: 95/2 29 Kommandos werden mit dem te
Seite 33 und 34: 95/2 31 To: Cc: Bcc: Subject: Date:
Seite 35 und 36: 95/2 33 „SERVICE-MAILADRESSEN“
Seite 37 und 38: 95/2 35 KURSE VOM 6. JUNI BIS 15. O
Seite 39 und 40: 95/2 37 Netzwerke Basisdienste im D
Seite 41 und 42: 95/2 39 Novell NetWare 2) Oracle1)
Seite 43 und 44: 95/2 41 SERVICERECHNER & NAMESERVER
Seite 45 und 46: 95/2 43 ANSPRECHPARTNER IN GRUNDSÄ
Seite 47 und 48: ✁ Der Comment, das Mitteilungsbla

komplette Ausgabe - Comment - UniversitÃ¤t Wien

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?