Das Magazin für Netze, Daten- und Telekommunikation - ITwelzel.biz

Weitere Magazine

Empfehlungen

Info

SCHWERPUNKT: VIRTUAL PRIVATE NETWORKS ANLEGEN UND ADMINISTRIEREN VON VPNS Management des Datenaustausches Virtual Private Networks (VPNs) stellen eine wirtschaftliche Lösung zum Einbinden von Partnern und mobilen Mitarbeitern in das Unternehmensnetz dar, da sie den sicheren und kostengünstigen Transport von Daten über öffentliche Netze ermöglichen. Das Management von VPNs bringt jedoch etliche Schwierigkeiten mit sich, die der verantwortliche Administrator berücksichtigen muss. Am weitesten verbreitet sind VPNs, die auf dem IP-Protokoll basieren (IP-VPN). Im Gegensatz zu traditionellen Datennetzwerken bieten IP-Netzwerke Kostenvorteile, haben eine durchgängige Infrastruktur und erhöhen, da dynamisch konfigurierbar, die Flexibilität. Allerdings eignen sich öffentliche IP- Netzwerke nur bei Einsatz spezifischer Schutzmechanismen für den Austausch unternehmenskritischer Informationen. (E-)BUSINESS AS USUAL? Bei der Auslegung von IP-VPNs gilt es für Netzadministratoren, vor allem folgende fünf Punkte zu beachten: – Architektur: Stehen die Kosten oder die Sicherheitsanforderungen im Vordergrund? – Verfügbarkeit: Welche Verfügbarkeit ist gefordert, und welche Teile der Lösung sollten redundant ausgelegt werden? – Leistungsbedarf – Skalierbarkeit: Auf welchen Bedarf sollte die VPN-Anwendung ausgelegt werden? Wie schnell wächst der Leistungsbedarf? – Datensicherheit – Zugangskonzept, Verschlüsselung: Welche Eigenschaften sind erforderlich, um die Benutzerdaten vor unzulässigem Zugriff zu schützen, und welche Anforderungen werden an die Verschlüsselung vertraulicher Daten gestellt? 210 LANline 12/2000 – Netzwerkmanagement, also Konfiguration, Fehlerbehebung und Benutzerverwaltung: Wie umfassend müssen die Verwaltungsfunktionen sein, und wie komfortabel lassen sie sich bedienen? Können die Verantwortlichen Komponenten verschiedener Hersteller gemeinsam verwalten? Auch wenn Architektur, Verfügbarkeit und Leistungsbedarf eine wichtige Rolle spielen, sind sie eher Standardthemen und lassen sich verhältnismäßig kurz abhandeln. Für die tägliche Arbeit spielen die Managementfunktionen die wichtigste Rolle, im sicheren Netzbetrieb sorgen Es sind Intranet-, Remote-Access- und Extranet-VPNs möglich die Sicherheitsmechanismen für Abhörsicherheit, Vertraulichkeit und Integrität der ausgetauschten Daten. DIE AUSWAHL GEEIGNETER SICHER- HEITSMECHANISMEN FÜR IP-VPNS Da der Aufbau von VPNs zum Austausch von Informationen über das Internet Sicherheitsrisiken birgt, sind die Anforderungen an verwendete Übertragungssysteme und -protokolle verhältnismäßig hoch. Um Angriffspunkte für Hacker so minimal wie möglich zu halten, bietet sich anstelle zahlreicher über eine Infrastruktur vernetzter Komponenten wie Firewalls, Router, Kryptoboxen, Datenbanken und ähnlichem der Einsatz einer “All-in-one-Box”-Lösung an. Da die Implementierung von VPNs in unterschiedlichen Schichten des Protokoll- Stacks erfolgen kann, ist zu überprüfen, welche Tunnelprotokolle die einzelnen Produkte unterstützen. Von den speziell für die Schicht zwei entwickelten Protokollen setzte sich im Wesentlichen nur das Layer-2-Tunneling-Protocol (L2TP) durch, welches aus dem Point-to-Point-Tunneling-Protocol (PPTP) und dem Layer-2- Forwarding-Protocol (L2F) entstanden ist. Als Standard für den Aufbau von IP-VPNs innerhalb der Schicht 3 konnte sich vielerorts das IPSec- Protokoll etablieren. Die Sicherheitsarchitektur setzt sich im Wesentlichen aus einem “Authentification www.lanline.de
SCHWERPUNKT: VIRTUAL PRIVATE NETWORKS Eine Lösung, die innerhalb des Unternehmens realisiert wird, bietet die höchste Datensicherheit Header” zur Sicherstellung der Authentizität und Integrität der Daten und einer als “Encapsulated Security Payload” (ESP) bezeichneten Komponente, die der Verschlüsselung von IP-Paketen dient, zusammen. Da IPSec jedoch den Einsatz zahlreicher Verschlüsselungsalgorithmen oder 212 LANline 12/2000 Key-Exchange-Verfahren zulässt, sind die VPN-Produkte verschiedener Unternehmen nur bedingt kompatibel. Zum Realisieren einer leistungsstarken VPN-Lösung bietet es sich daher an, auf die Produkte eines einzigen Herstellers zu setzen. Dabei sollten die Verantwortlichen unbedingt Eine vom Service-Provider außerhalb des Unternehmens realisierte Lösung lässt sich einfacher Skalieren darauf achten, dass in Home Offices eingesetzte Rechner sowie mobil genutzte Geräte mit einem VPN-Software-Client ausgestattet werden, der nicht nur die gängigen Plattformen (zum Beispiel Windows 2000- oder Linux-basierte Umgebungen), sondern vor allem IPSec über das Split- Tunneling-Verfahren unterstützt. Auf diese Weise können Remote-Anwender gleichzeitig über einen Tunnel auf unternehmensweite Ressourcen zugreifen und über einen anderen im Internet surfen. Dies bietet zwei entscheidende Vorteile, nämlich die Abschottung der unternehmensweiten Ressourcen vor Hacker-Angriffen durch zwei getrennte Tunnel und die Verringerung der Remote-Access-Kosten, denn der Zugriff auf das Internet erfolgt direkt und nicht über den sicheren für die Kommunikation mit dem Unternehmen aufgebauten IPSec-Tunnel. NUR FÜR GELADENE GÄSTE IP-VPN- Lösungen müssen weitreichende Authentifizierungsmechanismen zur Identifizierung von Remote-Anwendern bieten. Nur auf diesem Weg lässt sich ein unternehmenseigenes privates Netz vor unberechtigten Zugriffen schützen. In jedem Fall sollte das ausgewählte Produkt auf die Informationen standardbasierter interner oder externer LDAP- und Radius-Server zugreifen können. Bei LDAP handelt es sich um einen standardisierten Verzeichnisdienst, der die hierarchische Verwaltung von Informationen zum Beispiel zu Nutzergruppen oder einzelnen Anwendern inklusive der Zuweisung spezifischer Attribute (Filter, Services) in einer Datenbank übernimmt und zusätzlich die Suche nach diesen gestattet. Radius stellt eine standardbasierende AAA-Lösung (Authentication, Authorization, Accounting) zur Authentifizierung von Anwendern dar, die per Remote-Access-Verfahren auf die Unternehmensressourcen zugreifen möchten. In der Regel bietet es sich an, bei der Einwahl eines Nutzers zunächst die LDAP-Datenbank zu überprüfen. Sind in dem Verzeichnis keine entsprechenden Einträge auffindbar, wird die Anfrage an den Radius-Server weitergeleitet. Entscheidend ist, dass bei der www.lanline.de
Seite 1 und 2:
12 Storage Area Networks/Virtual Pr
Seite 3 und 4:
INHALT netzMARKT Internet im Mittel
Seite 5 und 6:
netzMARKT INTERNET IM MITTELPUNKT L
Seite 7 und 8:
netzMARKT Lotus-Hosting-Management-
Seite 9 und 10:
netzMARKT wir von High-speed-Verkab
Seite 11 und 12:
netzMARKT DURCHBLICK AUF ALLEN EBEN
Seite 13 und 14:
netzMARKT NEUAUSRICHTUNG BEI ATI IP
Seite 15 und 16:
netzMARKT SIEMENS ICN: STÄRKER RIC
Seite 17 und 18:
PERSONALKARUSSELL netzMARKT stützu
Seite 19 und 20:
netzMARKT EXPONET 2000 IN KÖLN Net
Seite 21 und 22:
Firma Halle Stand Fiberlan GmbH 2.2
Seite 23 und 24:
Firma Halle Stand Scientific Comput
Seite 25 und 26:
netzPRODUKTE/SERVICES dungen und -A
Seite 27 und 28:
Web-Servern erfolgt. Das bedeutet,
Seite 29 und 30:
netzPRODUKTE/SERVICES ADAPTEC USB-X
Seite 31 und 32:
netzPRODUKTE/SERVICES D ie GLOBAL T
Seite 33 und 34:
netzPRODUKTE/SERVICES SPEICHERSYSTE
Seite 35 und 36:
62 LANline 12/2000 netzPRODUKTE/SER
Seite 37 und 38:
netzPRODUKTE/SERVICES AKTIVE KOMPON
Seite 39 und 40:
netzPRODUKTE/SERVICES MANAGEMENT id
Seite 41 und 42:
netzPRODUKTE/SERVICES SCHUTZ/SICHER
Seite 43 und 44:
70 LANline 12/2000 netzPRODUKTE/SER
Seite 45 und 46:
netzPRODUKTE/SERVICES MESSTECHNIK Q
Seite 47 und 48:
netzPRODUKTE/SERVICES MESSAGING UND
Seite 49 und 50:
Automatische Anrufverteilung Als Er
Seite 51 und 52:
Wer bereits über getrennte Kommuni
Seite 53 und 54:
netzTECHNIK wesentlich beeinträcht
Seite 55 und 56:
netzTECHNIK die alten 10-MBit/s-Eth
Seite 57 und 58:
netzTECHNIK Netzbetreibers, die Ele
Seite 59 und 60:
netzTECHNIK KOMMERZIELLES PEERING D
Seite 61 und 62:
netzTECHNIK DHCP UND WINDOWS 2000 S
Seite 63 und 64:
netzTECHNIK Die DHCP-Server-Version
Seite 65 und 66:
netzTECHNIK BUCHBESPRECHUNGEN WINDO
Seite 67 und 68:
netzTOOLBOX IM TEST: DRIVE IMAGE, V
Seite 69 und 70:
netzTOOLBOX Image-Dateien. Der Edit
Seite 71 und 72:
netzTOOLBOX PERFORMANCE IM WEB Schn
Seite 73 und 74:
netzTOOLBOX - der Web-Server, - der
Seite 75 und 76:
netzTOOLBOX de Jobs eines Druckers
Seite 77 und 78:
ist. Befindet sich Rendezvous auf b
Seite 79 und 80:
netzTOOLBOX Tipps &Tricks In der Ru
Seite 81 und 82:
In den Dateien ARCHIVE.DIR sind all
Seite 83 und 84:
Produktpaletten. Vor allem die Gese
Seite 85 und 86:
Die Serie Netzwerkdienstleister in
Seite 87 und 88:
Die drei Anschlusstechniken DASD, N
Seite 89 und 90:
SCHWERPUNKT: STORAGE AREA NETWORKS
Seite 91 und 92: SCHWERPUNKT: STORAGE AREA NETWORKS
Seite 95 und 96: 142 LANline 12/2000 SCHWERPUNKT: ST
Seite 101 und 102: gist bei EMC erläuterte die Rolle
Seite 127 und 128: Anbieter: Fibre-Channel-Switches He
Seite 129 und 130: Channel-Switches Switch-Bandbreite
Seite 131 und 132: Das “virtuell” in Virtual Priva
Seite 133 und 134: SCHWERPUNKT: VIRTUAL PRIVATE NETWOR
Seite 141: SCHWERPUNKT: VIRTUAL PRIVATE NETWOR
Seite 147 und 148: ein Paket von Protokollen, deren Im
Seite 151 und 152: 224 LANline 12/2000 www.lanline.de
Seite 159 und 160: fokusE-COMMERCE unter Umständen se
Seite 161 und 162: fokusE-COMMERCE tem werden weltweit
Seite 163 und 164: 240 LANline 12/2000 fokusE-COMMERCE
Seite 165 und 166: fokusE-COMMERCE che-Web-Server, der
Seite 167 und 168: fokusE-COMMERCE OBJEKT-BROKER FÜR
Seite 169 und 170: fokusECOMMERCE tion. Corba-2.0-komp
Seite 171 und 172: fokusE-COMMERCE den umgekehrten Pro
Seite 173 und 174: Info-Fax oder Internet Der moderne
Alle anzeigen

Das Magazin für Netze, Daten- und Telekommunikation - ITwelzel.biz

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?