computerwoche.de

Archiv

Netzzugangstechniken/Tools helfen bei zentraler Steuerung und Verwaltung

Zugriffe auf Unternehmensnetze stellen Administratoren vor neue Aufgaben

29.01.1999
Netzzugangstechniken wie Frame Relay und ISDN ermöglichen Unternehmen die Anbindung von Außenstellen an das zentrale Netz. Diese remoten Standorte sind in mancherlei Hinsicht jedoch Stief- und Sorgenkind der Firmen: Weit ab vom Schuß, müssen die Mitarbeiter trotzdem mit den nötigen Applikationen, Daten und entsprechender Zugriffskapazität versorgt werden. Mit welchen Netzzugangsverfahren und Protokollen sich Sicherheit, Administration und Kapazitätssteuerung besser umsetzen lassen, beschreibt Petra Borowka im nachfolgenden Beitrag.

Der Betrieb von Außenstandorten bringt eine Reihe von Risiko- und Kostenfaktoren mit sich, die Netzadministratoren seit Jahren in den Griff zu bekommen versuchen: Ihnen obliegt die Verwaltung von PCs und remoten Servern; außerdem lauern sowohl Sicherheitsrisiken durch die Nutzung von Wähldiensten als auch Kapazitätsengpässe aufgrund ständig wachsender Applikations- und Datenvolumen. Darüber hinaus bedingte die Ablösung von antiquierten SNA-Landschaften durch neue PC-Strukturen einen starken Anstieg des Betreuungsaufwands einerseits sowie der Hardware-Investitionen und Kommunikationskosten andererseits.

In Filialorganisationen wie Versicherungen und Banken werden teilweise Client-Server-Strukturen betrieben, die nicht nur einen, sondern mehrere Server (für Office-Applikationen, Eigenentwicklungen für Finanzierungs- und Vertragsgestaltungen, Vertriebsunterstützung, Kunden-Schnittstellen etc.) für eine Standortgröße von maximal zehn oder 15 Mitarbeitern erfordern. Dies senkt das Client-Server-Verhältnis von den durchschnittlich 50 bis 100 Benutzern pro Server in großen Standorten auf vier bis fünf Benutzer pro Server in Außenstandorten.

Die notwendige Kommunikation sowie der Datenabgleich zwischen den Außenstandorten und der zentralen Datenverarbeitung erfordern dabei Bandbreiten von 64 Kbit/s und mehr, bei Verzicht auf den einen oder anderen remoten Server sogar 2 Mbit/s oder noch höhere Verbindungskapazitäten. ISDN als Zugangsverfahren empfiehlt sich in diesen Fällen meist nicht, statt dessen müssen Anwender auf Standard-Festverbindungen (SFV) oder Frame Relay zurückgreifen. Die Öffnung in Richtung Extranets und zum weltweiten Internet verschärft die Sicherheitsproblematik und erfordert zunehmende Authentisierungs- und Zugriffskontrolle, die wiederum Betreuungskapazität bindet - kein Wunder also, daß verschiedenste Ansätze, die genannten Problemzonen zu reduzieren, gierig implementiert wurden: Um den Betreuungsaufwand und den Kapazitätsbedarf niedrig zu halten, setzen Netzverwalter Hilfsmittel wie Softwareverteilung, Adreß- und Namensverwaltung mit DHCP und DNS sowie Zugangsauthentisierung mit Radius oder Tacacs+ ein, die nachfolgend kurz dargestellt werden.

Zur einfacheren Administration von Benutzern, Daten und Applikationen wurden bessere Tools für die Softwareverteilung entwickelt: Unter anderem stehen Programme wie "CID" von IBM, "SMS" von Microsoft sowie entsprechende Zusatztools unter "HP/ITO" und Tivolis "TME10" zur Verfügung. Das sogenannte Desktop- Management soll bei der Verwaltung von Konfigurationsdaten (Softwareversionen, Treiber, Netzwerk- und Grafikkarten, Platten- und Hauptspeicherdaten) helfen. Wake-on-LAN oder ähnliche Funktionen ermöglichen Backup-Läufe und Ferndiagnose beziehungsweise die Wartung in Abwesenheit des Benutzers. Ob für Backup und Verteilung ISDN noch rentabel ist oder ob man besser Frame Relay einsetzt, entscheidet sich an der durchschnittlichen Dauer dieser regelmäßigen Administrationstätigkeiten.

Eine nicht triviale Aufgabe im Zusammenhang mit Netzzugriffen ist die Verwaltung von IP-Adressen und IP-Konfigurationsparametern. Hier kann das Dynamic Host Configuration Protocol (DHCP) dem Administrator erhebliche Erleichterung bringen. Prinzipiell genügt der Einsatz eines zentralen DHCP-Servers, um Adressen und IP- Konfigurationen für mehrere oder alle Standorte zu verwalten. Mittels IP-Broadcast, der durch entsprechende DHCP-Relay- Konfiguration des Access-Routers oder Access-Servers an die Zentrale weitergeleitet wird, erfragt ein Benutzer beziehungsweise ein Computersystem seine IP-Adresse sowie die IP-Konfiguration. Die Zuteilung erfolgt über den Parameter "Leasing-Zeit" für ein begrenztes Zeitintervall. Man kann sie aber auch quasi-statisch festlegen, indem der entsprechende Wert auf unendlich gesetzt wird. Die Abfrage erfolgt bei jedem Boot-Vorgang oder bei laufender Session nach Ablauf der Leasing-Zeit. Zusätzlich zu Adresse, Subnetzmaske und Default Router können beliebige weitere IP-Konfigurationsparameter übermittelt werden. Da die dynamische Adreßänderung von Servern, Switches und Routern ziemlich katastrophale Folgen hätte, läßt DHCP über Reservierungen auch die vollkommen statische Adreßvergabe zu. Der über DHCP minimierte Betriebsaufwand steht vielfach jedoch der angestrebten Kapazitätsoptimierung im Weg: Da die Konfigurationsabfrage bei jedem Boot-Vorgang läuft, entsteht insbesondere zu Spitzenzeiten ein erhöhter Kapazitätsaufwand. Sehr kurze Leasing-Zeiten von unter einer Stunde (bei kleinen Adreßpools im Verhältnis zur Benutzeranzahl) sind wenig geeignet für ISDN, da die erneute Anfrage und Zuteilung der Adressen durch ständigen intervallmäßigen Verbindungsaufbau zu hohe Kosten verursachen. Falls viele Benutzer gleichzeitig booten wollen, kann es bei Festverbindungen mit hoher Grundlast und auch bei ISDN zu entsprechend langen Wartezeiten kommen.

Der Domain Name Service (DNS) arbeitet komplementär zu DHCP: Er verbindet Host-Namen mit IP-Adressen, allerdings nach den aktuell implementierten Standards in statischer Form. Ein Benutzer muß daher beim Session-Aufbau keine unhandlichen IP-Adressen mehr ansprechen, sondern nur noch den Host-Namen. Dies erspart dem Administrator, bei jeder Umkonfigurierung eines Host-Rechners auf alle Benutzersysteme zuzugreifen und dort die IP-Adressen der angesprochenen Hosts zu ändern. Statt dessen erfolgt die Änderung nur auf dem DNS-Server; zusätzlich muß ein dynamischer Abgleich zwischen DHCP und den DNS-Servern erfolgen. Beim DNS-Einsatz gelten die gleichen Voraussetzungen für den netztechnischen Zugang wie für DHCP, wobei die Namensabfrage zwar kürzer ist. Sie findet dafür aber nicht nur beim Booten, sondern bei jedem Session-Aufbau statt.

Die Vorteile von DHCP und DNS liegen in der zentralisierten Verwaltung von IP-Adressen und -Konfigurationen, der leichten Modifizierbarkeit einzelner Konfigurationsparameter ohne direkten Zugriff auf die betroffene Benutzerstation, automatische Adreßänderung bei Umzügen und Netzwerkänderungen. Außerdem lassen sich bei Adreßknappheit oder der Anbindung mobiler Mitarbeiter Adreßpools nutzen. Nachteilig wirkt sich der höhere Aufwand bei der Server-Ausstattung aus; außerdem wird mehr Kapazität für den WAN-Zugang benötigt, was gegen den Einsatz von ISDN spricht.

Die beschriebenen administrativen Zugriffe von der Zentrale auf Außenstandorte und insbesondere die Benutzerzugriffe von Außenstandorten zur Zentrale sollten ausschließlich über einen autorisierten Netzzugang erfolgen. Hierfür sind Dienste wie Radius oder Tacacs+ gut nutzbar. Die Implementierung zusammen mit den notwendigen WAN-Diensten führte zu einer neuen Produktkategorie, dem Remote Access Service (RAS). Hier lassen sich grob zwei Ansätze unterscheiden: Zum einen gibt es proprietäre Hardwareboxen von Herstellern wie Cisco, 3Com, Lucent oder Nortel/Bay, zum anderen offene Systeme auf der Basis von NT-Servern und PC-Technik (Rascom, Compaq und Acer sind hier einige Anbieter). Während offene RAS-Lösungen den großen Vorteil haben, mit der Benutzerverwaltung von NT-Netzen besser integriert zu sein und neue Anbindungstechniken in Form von PC-Karten schneller verfügbar zu haben, tun sich proprietäre Access-Server durch höhere Leistung, bessere Kompression, höhere Port-Konzentration sowie mehr Schnittstellen-Vielfalt hervor. Während bei NT-basierten Lösungen die Stabilität bekanntermaßen viele Wünsche offen läßt, erfordert die Konfiguration einiger Hardwareboxen eine besondere Liebe zu kryptischen Kommandosprachen ("login authentication admins; modem ri-is-cd; interface group-async 1; encaps ppp; ppp authentication pap ddialins" - ein authentischer Config-Extrakt eines marktführenden Netzwerkherstellers).

Radius ist ein Client-Server-Protokoll, das den Austausch von Authentisierung und Autorisierung, aber auch Konfigurationsinformationen zwischen einem (zentralen) Authentisierungs- und dezentralen Access-Servern erlaubt. Der Access-Server am Außenstandort (Network Access Server = NAS) agiert als Client des Radius-Servers. Startet ein entfernt arbeitender Nutzer eine Session, so stellt der NAS eine Anfrage (Access-Request) mit den Attributen, die er von diesem erhalten hat (Benutzername, Paßwort, NAS-ID, Port-ID). Das Paßwort wird in jedem Fall verschlüsselt übertragen. Der Radius-Server überprüft die Benutzerdaten, eventuell festgelegte Anforderungen an die Session und den gewünschten Dienst beziehungsweise TCP/UDP-Port (zum Beispiel SLIP, PPP, Login User) anhand der Radius-Datenbank. Dies erlaubt es, je Benutzer bestimmte höhere IP-Protokolle zuzulassen oder zu sperren. Sind alle Anforderungen erfüllt, beantwortet der Radius-Server die Anfrage mit einem Access-Accept. Er kann dann dem NAS Konfigura- tionsdetails wie Diensttyp, IP- Adresse, Subnetzmaske, Kompressionsverfahren oder Paketfilter mitteilen. Somit ist für verschiedene Standorte und Benutzer der Netzzugang individuell konfigurierbar, wird aber trotzdem zentral administriert.

Der Einsatz von Radius bringt dem Anwender einige Vorteile: So erfolgt die Benutzerverwaltung in einer einzigen konsistenten Datenbasis auf dem Radius-Server. Wenn dieser beispielsweise auf Basis von Microsoft-NT-Server implementiert ist, läßt sich hierfür die allgemeine NT-Benutzerverwaltung verwenden. Eine separate Administration von Benutzerrechten und benutzerspezifischen Konfigurationsdaten auf allen Access-Servern sowie die Notwendigkeit, bei Umzügen Konfigurationsänderungen vorzunehmen, entfallen.

Sind die Access-Server Radius-kompatibel, kann die Authentisierung über den Radius-Server abgewickelt werden. Die Paßwortübertragung erfolgt verschlüsselt, die Authentisierung ist für den User transparent, da sie über eine Point-to-point-Protocol-(PPP- )Session läuft, die der Access-Server initiiert. Somit sinkt das Risiko einer Manipula- tion. Die Authentisierung eines Benutzers ist nicht an eine bestimmte Methode gebunden, sondern frei wählbar (zum Beispiel PAP, CHAP oder Unix Login). Accounting gemäß RFC 2139 (Request for Comment) kann bezogen auf einzelne Benutzer-Ses- sions durchgeführt werden und liefert so wertvolle Informationen über Session-Fehler oder entsprechenden Tuning-Bedarf. Zukünftige Weiterentwicklungen werden es ermöglichen, Radius-Accounting- Informationen in Abrechnungssoftware oder Trendanalyse-Tools zu importieren und dort weiter aufzubereiten. Nachteilig ist dagegen, daß alle Attribute außer dem Paßwort unverschlüsselt übertragen werden und für etwaige Angriffe ausspioniert werden können.

Tacacs+ ist ein von Cisco unterstütztes Protokoll, das ähnlich wie Radius arbeitet, aber schon erheblich länger auf dem Markt ist. Im Unterschied zu Radius nutzt es TCP und unterstützt einige Protokolle mehr (ARA, NASI, NetBIOS Frame Protocol Control, PAD), deren Nutzung jedoch zunehmend an Bedeutung verliert.

Es wird klar: Netzzugangstechniken ermöglichen Anwendungen wie etwa den Fernzugriff auf Unternehmensressourcen, die jedoch Administratoren vor neue Aufgaben stellen. Dabei sind ihnen eine Reihe von Tools nützlich, die die Verwaltung und den Betrieb remoter Standorte vereinfachen und Kosten senken helfen. Moderne Netze höchster Dienstgüte entdecken sogar die Tugenden alter Großrechnersysteme neu: So versprechen Hersteller etwa Class of Service für Netzzugang und Ressourcennutzung, Sicherheit und Zentralisierung von Ressourcen für eine große Anzahl von Benutzern, die auf viele Standorte verteilt sind.

Erreichen wollen sie dies über Verfahren wie Directory Enabled Networks (DEN) und Policy-Netzwerke. Diese Techniken wollen mit redundanten und inkonsistenten Administrationsverzeichnissen von Netzbetriebssystemen Schluß machen und DHCP-, DNS- sowie Radius- Servern mit inkompatiblen Datenformaten und Benutzeroberflächen, unterschiedlichen Paßwörtern und schlimmstenfalls unterschiedlichen Benutzernamen ein Ende bereiten. Statt dessen sollen Anwender durch den Einsatz von DEN Single Sign On und remote Autokonfiguration bekommen.

Weitere Hilfe durch Verzeichnisse

Beliebige Netzwerk- und Systemkomponenten erhalten ihre Konfigurationsparameter inklusive der erlaubten beziehungsweise nicht erlaubten Netzzugangsverfahren von einem zentralen Directory-Server. Anstelle unterschiedlicher Gerätekonfigurationen wird ein System oder eine Netzkomponente remote autokonfiguriert, indem die entsprechenden Parameter in die protokollmäßig vorgesehenen Felder (Records) eingetragen werden. Als Zugriffsprotokoll zeichnet sich dabei Version 3 des Lightweight Directory Access Protocol (LDAPv3) ab, eine erheblich abgespeckte Weiterentwicklung von X.500 auf Basis des Internet Protocol, die sich auf ein einheitliches Zugriffsschema mit X.500-kompatiblen Namen beschränkt, ohne jedoch die tatsächliche Directory- Arbeitsweise vorzuschreiben. Somit sind verschiedene Verzeichnisdienste einheitlich nutzbar (Netware Directory Services, Netscape Directory Service, Microsoft Active Directory, X.500-Directory).

Unter dem Begriff Policy-Netze wird die zentral gesteuerte Ressourcenkontrolle angestrebt, also maximale effiziente Ausnutzung von Server-Leistung und Leitungskapazität. Jeder Session-Aufbau führt zu einer Kontroll-Anfrage bei einem Policy- Server, ob das spezielle Gerät oder der Benutzer zu diesem Zeitpunkt mit der angefragten Priorität und dem angefragten Netzzugang (ISDN, Standard-Festverbindung = SFV, Frame Relay) die geforderte Applikation (Datei, Datenbank, Video, Telefon) nutzen darf. Pro- tokolle von Bedeutung sind in diesem Kontext RSVP (Reservation Protocol) für Reservierung, IEEE 802.1p und Q für Priorisierung, Cops und DIAMETER als Policy-Server.

Abkürzungen

ARA Apple Remote Access

Chap Challenge Handshake Authentification Protocol

Cops Common Open Policy Service

DEN Directory Enabled Networks

DHCP Dynamic Host Configuration Protocol

DNS Domain Name Service

LDAP Lightweight Directory Access Protocol

NASI Netware Asynchronous Service Interface

PAD Packet Assembler/Disassembler

PAP Password Authentification Protocol

RAS Remote Access Service

Radius Remote Authentication Dial-In User Service

RSVP Resource Reservation Protocol

Slip Serial Line Interface Protocol

SNA Systems Network Architecture

Tacacs+ Terminal Access Controller Access Control System

TCP/UDP Transfer Control Protocol/User Datagram Protocol

Angeklickt

Ein wichtiger Aspekt im Zusammenhang mit Netzzugangstechniken sind die administrativen Probleme, die Technologien wie ADSL, ISDN oder Funk-LAN aufwerfen. Die durch sie möglich werdenden Fernzugriffe auf das Unternehmensnetz schaffen zugleich auch ganz und gar nicht triviale Aufgaben wie das Verwalten der den Mitarbeitern zugewiesenen IP-Adressen. Abhilfe ist jedoch in Sicht: So kann der Einsatz von Tools wie DHCP und DNS dem Administrator einiges Kopfzerbrechen ersparen.

Diplominformatikerin Petra Borowka ist Geschäftsführerin bei der Unternehmensberatung Netzwerke UBN in Aachen.