Der Server http://www-igh.histsem.uni-bonn.de ist verlagert.
Alle Aufrufe der alten Webadresse werden umgeleitet auf http://www.uni-bonn.de/~uph202 <<< Link .
Bitte lesen Sie unbedingt die 'Neuigkeiten'.
Schliessen
Einige gute Gründe sprechen für Kauf und Einrichtung eines Routers
für den/die heimischen PC(s) mit Internetanschluss. Z.B. sind 4-Port
Router von fast allen namhaften Herstellern für ca. 40 - 50 € zu bekommen.
Mit allen können bis zu 4 Rechner oder z.B. 3 Rechner und ein
Netzwerkdrucker ein heimisches Netzwerk bilden und man kann damit die
Anbindung an einen DSL-Anschluss herstellen. Alle neuen Modelle enthalten
Firewallfunktionen (Paketfilter), mit denen man direkte Internetangriffe
über Ports, dazu später mehr, abwehren kann. Besondere Konfigurationen
lassen sichere Nutzung von interaktivem Betrieb (z.B. Schach interaktiv) zu.
Angesichts sinkender DSL Kosten für schnelle Leitungen kann man auch an den
Betrieb eines heimischen Webservers denken.
Die Anleitung soll helfen:
- Bei einer Erstinstallation wird der Anfänger einige Probleme wegen der
teilweise umfänglichen neuen Terminologie haben. Die Anleitung ist zwar
am Beispiel des D-Link DFL-200 dargestellt, aber in der Basisinstallation
für DSL Zugriff, Heimnetzwerk und Firewall ähneln sich die Geräte der div.
Hersteller. Sie erfolgt meist über Webbrowserschnittstellen.
- Die Handbücher sind oft mangelhaft bzw. nicht deutschsprachig, was
angesichts englischer Fachterminologie die Installation behindert,
unmöglich macht oder zu fehlerhaften Einstellungen führt. Viele
Hersteller produzieren im asiatischen Bereich.
- Besonderheiten bei der Installation, die Einrichtung eines (Web-)Servers,
erfordern besondere Regeln und Sicherheitsvorkehrungen.
Die nachfolgenden Erläuterungen gehen davon aus, dass Sie über einen
funktionsfähigen PC mit Internetanschluss verfügen. In einem eigenen Teil
geben wir Hinweise für Kauf, Auf-/Umrüstung eines PC ("Alten Computer
weiterbenutzen oder neuen Computer kaufen?"). Der Text enthält neben den
Installationshinweisen Hintergrundinformation, mit der eine gewisse
Vertiefung der Allgemeinkenntnis erreicht werden soll.
Damit der umfängliche Text nicht zu unübersichtlich
wird, sind zusätzliche Hinweise und Ergänzungen ('Lesen Sie hier mehr')
auf Wunsch ein-und ausblendbar. Lesen Sie hier mehr
Im Hausnetz war schon ein Router, Barricade SMC7004BR, von
SMC Networks mit DSL Anschluss in Betrieb, für
den wir, wie in "Alternativer Webserver" beschrieben, eine Alternative suchten.
Teilweise traten die o.a. Probleme schon bei der Produktsuche auf. Das D-Link
Produkt fanden wir durch eine Websuche, die Geräte gelten als zuverlässig
und robust, deswegen der Kauf. Bei notwendigen Rückfragen waren die Mitarbeiter
sehr hilfsbereit, heutzutage eher selten. Aber : In den Webseiten von
D-Link Deutschland fanden wir das Produkt
nicht wie erwartet unter 'Breitbandroutern' sondern unter "Security". Auf der
Produktwebseite fällt der merkwürdige Mix englischer und deutscher
Benennungen auf. Das Produktdatenblatt ist englisch ebenso wie auch das mir
vorab zugesandte PDF-Manual. Ein Anfänger mit nicht ausreichenden Sach-,
Terminologie- und Englischkenntnissen würde hier kapitulieren. Tatsächlich
ist das Manual weder ein Benutzer- oder Installationshandbuch, auch als
"Systemhandbuch" ist es nur bedingt geeignet. Das Gerät wird in einer
Tabellenübersicht aber als "Home User Solution" geführt. Es gibt keinerlei
problembezogene Benutzerführung, von einem "Quick Installation Guide", QIG,
abgesehen. Dem kann man zwar für eine Grundinstallation folgen, Erstbenutzer
verstehen aber die Zusammenhänge nicht.
Schliessen
Der Router soll über ein DSL-Modem mit dem Internet, 'Wide Area Network' kurz
'WAN', verbunden werden. Im lokalen Netz(Hausnetz), 'Local Area Network' kurz 'LAN',
werden die heimischen Pcs/Drucker angeschlossen. Neben den beiden Zonen, WAN und
LAN, benötigen wir eine vom LAN getrennte Zone, 'demilitarized zone' kurz 'DMZ',
in der ein Server installiert werden soll. Die Installationssituation soll durch
folgendes Schema veranschaulicht werden.
Bei den einfachen Routern fehlt die DMZ-Zone. Auch dann ist aber eine Art DMZ
möglich, dazu mehr im Kontext der Firewallkonfiguration. Die Netzwerkanbindung
mittels Ethernetkabel ist heute Standard und alle neueren Rechner verfügen über
mindestens einen eingebauten Ethernetanschluss. Für ältere Rechner bekommt man
Einbaukarten für unter 10 €. DSL kann sowohl über analog- als auch über
ISDN-Anschlüsse betrieben werden und wird heute von vielen Providern zu
Kampfpreisen zusammen mit benötigter Hardware, Splitter und DSL-Modem angeboten,
natürlich incl. notwendiger Kabel. Interessant sind die neueren Kombigräte, etwa
von AVM, z.B. AVM FRITZ!Box 2070: Router mit
integriertem DSL-Modem. Um die Geräte anzuschliessen, bedarf es keines
Ingenieurstudiums, es sind Kabel und Geräte zu verbinden. Dazu gibt es in der
Regel Skizzen. AVM verdankt seine marktbeherrschende Stellung u. a. der
hervorragenden Dokumentation und dem guten Service.
Schliessen
Wenn man bereits einen Internetzugang hat, kann man die bestehende Einstellung
für das Internetprotokoll(TCP/IP) in der Regel beibehalten. Wichtig ist hier,
wie die Zuweisung der Internet- und Nameserver(DNS)adresse erfolgt. Die wird
von fast allen Providern automatisch zugewiesen. (Feste Adressen gibt es für
viel Geld nur im Geschäftsbereich.) Für Windowssysteme, mit einer Ethernetkarte,
sieht das so aus:
Falls ein DSL-Modem vorhanden ist, wird es ausgeschaltet, der WAN-Port des Routers
wird mit dem DSL-Modem verbunden. Der Ethernetport des PC wird mit einem LAN-Port
des Routers verbunden. Ansonsten verkabelt man neue Geräte nach Vorgabe.
Lesen Sie hier mehr
Stellt man von einer vorhandenen ISDN Verbindung um, sollte man vorhandene
ISDN Karten nicht ausbauen, aber die Leitungen zur Sicherheit (Dialergefahr)
vom Telefonanschluss trennen, auch bei externen Geräten. Falls DSL mal ausfällt,
kann man dann auf ISDN zurückgreifen.
Schliessen
Zuerst wird üblicherweise die Verbindung zwischen LAN und WAN hergestellt. Dazu
benötigt man zwei Schritte: 1. Die Wahl der Verbindungsart zum WAN über das
DSL-Modem, das beinhaltet auch die Konfiguration des DSL-Providerzugangs, und 2. Die
Konfiguration der Netzwerkadressvergabe.
Die Konfigurationen erfolgen über einen Webclient (Firefox, Mozilla,
Internetexplorer). Mit dem Aufruf über eine sog.
private Internetadresse, hier wie auch sonst verbreitet, 192.168.1.1.
gelangt man beim DFL-200 in eine geführte Konfiguration. (Andere Hersteller
bieten eine durch Hyperlinks geführte Konfiguration an.) Die Basisinstallation
folgt dem QIG von D-Link.
Die 'privaten Internetadressen' werden zur Identifizierung von Hardware mit
eigenen Netzwerkkarten, (Routern, Switchen, Rechnern, Druckern, etc.),
in LANs eingesetzt, d.h. sie können (aber müssen nicht) eine Verbindung
zum WAN haben. In WAN-Hardware dürfen sie nicht benutzt werden. Die
Festlegung wird von der
Internet Assigned Numbers Authority
vorgenommen und ist u.a. bei der
Internet Engineering Task Force
veröffentlicht. Die Vorgaben findet man, wie auch für andere Netzstrukturen,
in einem sog. "Request for comment", RfC. Hier in Nr. 1918, S. 3:
Address Allocation for Private Internets. Dort ist u.a. der Bereich
der Adressen 192.168.0.0 - 192.168.255.255 festgelegt. Wer sich weiter
informieren will, kann z.B. beginnen mit der
Internet Wikipedia. Es gibt auch eine deutsche Version.
Schliessen
Nach dem Aufruf im Webclient erscheint ein Begrüßungsbild des DFL-200,
in den folgenden zwei Schritten wird ein Zugangspasswort und die
Zeitzone gesetzt.
In den zwei nächsten Schritten wird der Zugang zu dem Internetprovider, über den
der Zugang zum WAN erfolgt, eingerichtet. Es wird für DSL üblicherweise das
"Point to Point Protocol over Ethernet" - kurz PPPoE - benutzt, das wird im Menu
ausgewählt. Schließlich müssen wir noch die persönlichen Zugangsdaten eintragen,
die Benutzerkennung und das vom Provider erteilte Passwort.
Wie oben schon gesagt, werden die Internet- und Nameserveradressen vom Provider
zugeteilt. Die Router übernehmen sowohl die Zuordnung von externen- zu privaten
Netzadressen als auch die Zuteilung der privaten Netzadressen zu den im LAN
vorhandenen netzwerkfähigen Geräten. "IP-Adresse automatisch beziehen", s.o.,
bedeutet also, dass alle netzwerkfähigen Geräten ihre Adressen direkt vom Router
beziehen. Die Router verfügen heute alle über einen
DHCP - Server, dieser benutzt das "Dynamic Host Configuration Protocol".
Dazu wird im nächsten Installationsschritt der DHCP-Server im Router aktiviert,
wobei der Bereich der verfügbaren privaten Adressen festgelegt wird. Es wird
192.168.1.1 - 192.168.1.254 ausgewählt. (Man kann irgendeinen Bereich aus
192.168.0.0 - 192.168.255.255 auswählen, z.B. 192.168.111.1 - 192.168.111.254.)
Die im LAN vorhandenen Rechner müssen für den Bezug der Adressen vom DHCP-Server
eingerichtet werden. In Windowssystemen geht man dazu über 'Systemsteuerung' -
'Netzwerk(verbindung)'. Unter Windows XP wählt man die Netzwerkverbindung aus und
über 'Eigenschaften' - Auswahl 'Internetprotokoll(TCP/IP) - Eigenschaften' -
Registerkarte 'Alternative Konfiguration' wählt man "Automatisch zugewiesene,
private Adresse' aus. (Bei älteren Systemen ist der Weg kürzer.)
Geht man den obigen Auswahlweg über die Registerkarte 'Allgemein' und dort auf
'Erweitert', so sieht man, das die IP-Adressen über DHCP bezogen werden. Als
Folge dieser Einstellung wird der DHCP-Client Dienst
auf dem Rechner aktiviert.
Wer noch ältere Windowsversionen benutzt, wird die entsprechenden Registerkarten
auch schnell finden. Grundsätzlich muss man den DHCP Server des Routers nicht
benutzen. Dann wird die Konfiguration allerdings kompliziert. Es müssen dann
alle Rechneradressen als statische Adressen eingerichtet werden, man muss
auch die Wege, Routen und Gateways per Hand setzen. Informationen finden Sie
wieder in Wikipedia :
Dynamic Host Configuration Protocol(DEU)
und Dynamic Host Configuration Protocol(EN).
Die Routerhersteller benutzen unterschiedliche Grundeinstellungen für
den Bereich der privaten Adressen. Beim DFL-200 können am LAN maximal 4 Netzgeräte
angeschlossen werden. (Den Fall, an einen Port statt einem Rechner einen Switch
anzuschliessen, der nochmal z.B. 4 Rechner bedienen kann, betrachten wir nicht.)
Man braucht also eigentlich nur 4 Adressen aus dem Gesamtbereich. Die Verfahren
zur Eingrenzung der Adressbereiche lassen wir hier weg. - Das Verfahren der
Zuordnung von externen- zu privaten Netzadressen heisst
"Network address translation" - NAT - (es gibt Varianten) und auch hier können
Sie sich in Wikipedia informieren :
NAT(DEU) und
Network address translation(EN).
Schliessen
Grundlage für die Zeitsynchronisation ist das
Network Time Protocol (NTP), der zugehörige Internetdienst arbeitet auf
Port 123. Mit der o.a. Einstellung fungiert der Router als Client zum Server,
der die Zeit liefert. Alle einschlägige Information finden Sie bei
ntp.org: Home of the Network Time Protocol,
z.B. RFCs, Dokumentation und Software. Für alle Betriebssysteme gibt es auch
kostenfreie Clients, die die aktuelle (Atom)uhrzeit anzeigen und eine
Synchronisation ermöglichen. Sehen Sie sich z.B. "BayTime" in
Computerzeit an. Sie finden dort auch
kurze Erläuterungen. Das Beispiel für die Zeitangabe als ASCII String
über Port 13 können Sie selbst ausprobieren: Geben Sie "telnet ptbtime1.ptb.de 13"
unter Windows in 'Start->Ausführen' oder in 'cmd.exe', unter Linux in
einem Terminalfenster ein. Als Ausgabe erhalten Sie z.B. "07 DEC 2005 18:04:43 MET".
Wir benutzen seit langem
Time Memo, läuft auch unter
Windows XP.
Schliessen
Um die LAN-Konfiguration abzuschließen, muss der Router neu gestartet werden.
Bei diesem Vorgang wird die Konfiguration gespeichert und man wird mit der
Webverwaltungsseite erneut verbunden, dazu muss Benutzername und Passwort
eingegeben werden.
Die Router liefern umfängliche Statusinformationen und bieten meist zusätzliche
Konfigurationsmöglichkeiten. Deswegen sollte zuerst der Status des Routers
nach der Installation in Augenschein genommen werden. Wer vorab schon feststellen
will, ob die Installation erfolgreich war, d.h. ob eine Verbindung zum WAN besteht,
kann zum Test eine Webseite in einem Browser öffnen.
Nach dem Login wird im Browser der System Status des
Routers angezeigt. Die Registerkarte "System" enthält Hyperlinks zu sieben
Statusangaben in der linken Tabellenspalte. Auf vielen Seiten gibt es direkten
Zugang zu "Hilfe". Welche Seiten von den sechs Registerkarten angesteuert
werden, erfahren Sie über die Registerkarte "Help" (unter 'Status' fehlt zwar der
Eintrag 'Users', im Hilfetext ist er vorhanden).
Nachfolgend einige spezielle Hinweise, die verwendete Terminologie wird in
der Hilfe erläutert. Unter 'Last restart' finden wir die uns vom Provider
zugeteilte IP Adresse, hier 80.136.84.172. Zu beachten ist die Zuweisung
durch das Interface 'WAN'. Deshalb die nächsten Blicke auf
Interface Status. Das 'LAN' Interface wird zuerst geöffnet. Die
nachfolgenden vier Bilder, die über Hyperlinks erreicht werden, zeigen in
der Reihenfolge das 'LAN', 'WAN-PHYS', 'WAN' und 'DMZ' Interface. Zu
beachten sind die Einträge unter MAC Address. Hier
sind das die individuellen Hardware-Adressen der Ethernetchips im Router.
Wir sehen, dass der Router drei Interfaces mit eigenen MAC Addressen besitzt :
LAN 0013:469b:fd81
WAN_PHYS 0013:469b:fd83
DMZ 0013:469b:fd82
Das WAN Interface verfügt über keine eigene Netzadresse, ihm ist aber die
vom Provider zugeteilte IP Adresse zugeordnet. Es handelt sich um die
Schnittstelle, über die der Datenstrom zwischen WAN - WAN-PHYS zum LAN
und DMZ geleitet wird.
Im WAN-PHYS steht dazu :
The WAN-PHYS interface shows stats for the physical Ethernet interface
that the WAN interface establishes its tunnel over.
Informationen zu MAC-Adressen finden Sie wieder in Wikipedia :
MAC-Adresse(DEU)MAC-Adresse(EN). Die
Vergabe der MAC-Adressen zu Herstellern erfolgt über die
IEEE Registration Authority,
dort findet man bei Eingabe der Kenndaten, s.o. "00-13-46", dass dieser
MAC-Adressebereich der D-Link Corporation zugewiesen wurde.
Schliessen
Nach den vorangehenden Ausführungen folgt : Die vom Provider zugeteilte
Netzadresse können wir immer im WAN-Status einsehen. Im LAN-Status finden
wir die vom DHCP-Server dem Rechner zugeteilte Netzadresse. Hier ist also
eine Umgewöhnung nötig, die letzlich durch die drei Ethernetinterface
erzwungen wird. Abfragen mit den üblichen Betriebssystemprogrammen zeigen nur
diese Adressen.
Unter dem DHCP Server Status findet man für die
Interface (LAN, WAN, DMZ), soweit konfiguriert, die verfügbaren Adressbereiche
und die aktiven Rechner, im LAN der Rechner, mit dem die Konfiguration durchgeführt
wird - 192,168.1.2 .
Da bisher nur LAN konfiguriert ist, bekommt man
Schließlich kann man unter Seite Tools mit dem Ping-Kommando
die Erreichbarkeit des aktiven Rechners vom Router testen. Ist der Ping erfolgreich,
sollte die Verbindung ins Internet möglich sein.
Erfolgreiche Netzwerkverbindungen können wir unter Connections
nachschauen. Hier zeigen sie nur Verbindungen im LAN an.
Weitere Kontrollen sind unter Logging
aufgelistet. Beide Listen werden später unter den Erläuterungen zum Umgang mit
dem Firewall nochmals genauer angesehen.
In der Basiskonfiguration wurde der DHCP-Server konfiguriert. Das Resultat kann
unter der Registerkarte Servers geprüft werden. Man sieht
dort die beiden Einträge LAN, die den Adressbereich
schon anzeigt, und ausserdem DMZ ohne Einträge.
Zur Einrichtung der DMZ kommen wir später hierher zurück.
Ein Klick auf LAN bringt uns zur Konfiguration des DHCP-Servers. Auch ein Blick auf das
DNS Relay ist nötig. Die Information zeigt die Nutzung
des eingebauten DHCP-Servers und legt die Verarbeitung der Netzadressen des
DHCP Servers mit den uns zugewiesenen Provideradressen mittels des
DNS relayers fest. Wichtig ist auch die Information
zur Lease time. Zu beidem nachfolgend mehr.
Wenn weitere Rechner ins Netzwerk eingebunden werden, überprüft man deren Status
unter der Registerkarte Status und dem Eintrag in
DHCP Server - das LAN Interface wird angezeigt. Einige
Hinweise zur Lease time sind nötig:
Innerhalb der lease time wird einem Rechner vom
DHCP-Server eine IP-Adresse zugewiesen. Ist ein Rechner nach Ablauf der lease time
nicht mehr aktiv, kann der DHCP-Server die IP-Adresse neu vergeben, ansonsten behält
der Rechner die IP-Adresse und bekommt eine neue lease time.
Die DHCP-Server ordnen aber der IP-Adresse der einzelnen Rechner normalerweise
ihre MAC Adresse zu, so der DFL-200. Ist ein Rechner inaktiv, behält der Router
die Zuordnung bis zur nächsten Aktivierung als
inaktive lease gespeichert und der DHCP-Serve
vergibt sie nach einem Neustart erneut an denselben Rechner. Neue Rechner
im LAN bekommen eine neue IP-Adresse, solange der Adressbereich nicht
ausgeschöpft ist, erst dann werden inaktive lease mitverwendet.
Dieser Umstand ist für die Arbeit im LAN nützlich. Man kann die vergebenen
Rechnernamen den lokalen IP-Adressen zuordnen. Es können dann etwa freigegebene
Festplatten im Netzwerk mit den Rechnernamen (netbios name) adressiert werden,
im Explorer finden Sie ihn in der Netzwerkumgebung, ein vorhandener Webserver
(Testserver) kann auch unter diesem Namen aufgerufen werden. Der Rechnername
wird normalerweise bei der Betriebssysteminstallation vergeben. Sollten Sie
ihn ändern wollen, öffnen Sie - unter Windows XP - die Systemsteuerung,
dort gehen Sie über 'Leistung und Wartung' zu 'System' und ändern in der
Registerkarte 'Computername' den Namen wie dort angegeben. Für die Namens- bzw.
Netzwerkzuordnungen sind in Windowsbetriebssystemen die beiden Datein
hosts und networks zuständig.
Sie finden sie im Ordner
C:\WINDOWS\system32\drivers\etc. (N.B. In Unix Systemen
finden sich die Dateien im Ordner "/etc", "/" ist das Basisverzeichnis - analog
zu "C:\" in Windows. In Unix ist der Slash, "/", als Ordnerbezeichner Standard.)
In den beiden Dateien finden Sie jeweils Beispiele für typische Einträge.
In 'hosts' wäre der Eintrag z.B. 192.168.1.2 pc1
und in 'networks' z.B. #Hausnetz pc1 192.168.1.2
Die Dateien werden vom System als Textdateien verarbeitet. Nach einer Änderung
müssen Sie "speichern unter" benutzen und im Speicherfenster unter 'Dateiname'
den Namen in Anführungszeichen setzen, also z.B. "hosts".
Die Datei wird zwar als Textdokument gespeichert, es wird ihr aber im
Gegensatz zu Dateien vom Typ ".txt" kein Verarbeitungsprogramm, z.B.
'Editor', 'Word' oder dgl., vom System zugeordnet. Der Typ der beiden Dateien
ist im Explorerfenster Datei. (Es gibt im
Betriebssystem diverse Dateien von diesem Typ. Sollten Sie solche bearbeiten
müssen, speichern Sie sie immer in der o.a. Weise ab.)
Grundsätzlich übernehmen Nameserver die Verarbeitung
und Verwaltung von Namen und Netzadressen, dafür ist das Domain Name System
(DNS) zuständig. Um etwa Datenpakete zwischen Rechnern zu übertragen,
müssen die Wege und die Adressen der beteiligten Rechner bekannt sein.
In unserem Szenarium differenzieren wir zwischen den Wegen von Paketen
innerhalb des LAN und den Wegen zwischen LAN und WAN, später noch zwischen
WAN und DMZ, dort soll der vom Internet her zugängliche Webserver laufen,
und LAN und DMZ, der Webserver muss ja verwaltet werden. Die Einrichtung
eines Nameservers im eigenen LAN ist grundsätzlich möglich, die Einrichtung
selbst ist nicht ganz einfach, in unserem Kontext ist sie nicht möglich,
weil der Provider uns seinen Nameserver zur Verfügung stellt. Die uns
zugewiesene Adresse, die wir im WAN Interface sehen, ist schon im Nameserver
des Providers mit einem ihr zugewiesenen Rechnernamen registriert, dazu
gleich mehr. Abgesehen vom enormen Aufwand bleibt immer noch das Problem,
aus dem WAN kommende Datenpakete an die verschieden adressierten Rechner
im LAN zu verteilen. Vereinfacht gesagt, übernehmen die Router genau diese
Aufgabe. Mit einer besonderen Technik - NAT : Network Address Translation -
wird die Provider IP-Adresse in eine andere übersetzt, hier in die vom
DHCP-Server an einen LAN Rechner vergebene IP-Adresse. Auf der
Rechnerebene leisten die beiden o.a. Dateien 'hosts' und 'networks' analoge
Zuordnungsaufgaben, im LAN müssen sie auf allen Rechnern vorhanden sein und
übernehmen lokal die Aufgabe, die sonst ein Nameserver übernähme. Beispiel
einer konkreten Zuordnung :
Die Adressübersetzung wird immer notwendig, wenn Daten zwischen LAN und WAN
und umgekehrt transportiert werden. Der Datenfluss wird beim DFL-200 vom Firewall,
genau gesagt von den dort definierten Regeln kontrolliert, s. das
o.a. Routerschema. Die vom Provider zugewiesenen Adressen sind im WAN Interface
gespeichert. Das DNS Relay stellt eine Verbindung der DNS Verwaltung zwischen
LAN und WAN her, es verhält sich wie ein DNS Client zu einem DNS Server.
Die beiden Häkchen in den obigen Abbildungen - DHCP Server und DNS Relay -
gewährleisten das. Aus den Routerwebseiten dazu zwei Zitate: Der DNS Relayer ...
provide DNS service on up to two fixed local IP addresses.
These can be used as DNS servers by computers on the LAN
can be configured to relay DNS queries from the internal LAN to the DNS servers
used by the firewall itself
Eine genauere Prüfung soll das verdeutlichen.
Ein nochmaliger Blick auf das weiter oben gezeigte Bild der Betriebssystemabfrage
zum Netzwerkstatus zeigt uns, dass die erste IP-Adresse 192.168.1.1 vom
DHCP-Server selbst belegt ist, (die erste zu vergebende Rechneradresse ist
192.168.1.2 ). 192.168.1.1 fungiert sowohl als Gateway wie auch - wegen des
DNS Relays - als DNS Server.
Den Rechnernamen p50884D7F.dip.t-dialin.net, mit dem
wir im Internet bekannt sind, erfragt man mit Hilfe des Programms
nslookup, das in der Kommandozeilenumgebung
cmd.exe aufgerufen wird. Beim Provider erhalten wir
auch dessen Nameserveradresse(n), hier bei T-Online. Auf der Webseite unter "Service"
findet man mit dem "Index A-Z" den Eintrag "Serveradressen". Auf dieser Seite
finden wir unter DNS-Server den Eintrag
194.25.2.129.
'nslookup' erwartet einen Standardserver, die Abfrage bleibt beim DHCP-Server
hängen, wir haben noch keinen eigenen Nameserver festgelegt. Als Standardserver
wird nun zuerst der DNS-Server von T-Online gesetzt und abgefragt, welcher
DNS-Name zu der uns zugewiesenen IP-Adresse gehört. Die 'nslookup' Abfrage ergibt:
Jetzt kann man auch zeigen, wie das DNS Relay arbeitet. Dazu stellen wir Anfragen
ohne Angabe eines Standardservers. Mittels des DNS Relays wird die Anfrage an den
Nameserver des Providers weitergeleitet. Beachten Sie den Eintrag bei 'Server' :
Server: UnKnown
Im nachfolgenden Bild sehen Sie, dass der DHCP-Server auch als DNS-Client arbeitet,
achten Sie wieder auf den Eintrag bei 'Server'.
Die anderen drei aufgeführten Möglichkeiten können bei anderen Rechnerkonfigurationen
verwendet werden, im Kontext einer kleinen privaten PC-Konfiguration spielen sie
keine Rolle. Mögliche Szenarien sind hintereinandergeschaltete Router, Router 2
bezieht seine Adressen vom vorgeschalteten Router 1, die Rechner im Netz von Router 2
sollen etwa keinen Zugang zum WAN haben. Oder : Vor dem Router ist ein Netzwerk
Switch mit eigenem DHCP-Server geschaltet, der Netzwerksegmente verbindet, s. z.B.
Switch(DEU).
Die Nameserver mit ihrer DNS Struktur bilden eine Hierarchie,
in der alle Domainnamen registriert sind. Würde uns der Provider seinen
Nameserver nicht zur Verfügung stellen, benötigten wir einen eigenen
Domainnamen mit Nameserver. Dieser läge in der Hierarchie unter dem des
Providers und müsste dort auch registriert werden, das ist bei den meisten
Providern nicht möglich. Die nationale Top-Level-Domain für Deutschland ist
.de, sie wird von
DENIC eG verwaltet, dort werden alle
deutschen Domainnamen registriert und verwaltet. Sie können dort unter dem
Link "Zonecheck/Nameserverüberprüfung" als Beispiel die Nameserver von der
Telekom/T-Online abfragen mit der Eingabe der Domaine "btx.dtag.de" in der
Zeile "Zone". Nachfolgend einige Lesehinweise, unterschiedliche
Lesebedürfnisse können erfüllt werden: Domain Name System (DNS) Hintergrund: Microsoft, das Internet und die Namen DNS Resources Directory DNS HOWTO T-Online Server
Neben Wikipedia ist das mehrsprachige
Linux Documentation Project
- nicht nur für Linuxfreaks - immer eine gute Informationsquelle,
hier die Abteilung
Networking .
Zum Abschluss der Installation oder jeder Veränderung in der Konfiguration müssen
die Änderungen aktiviert und die neue Konfiguration gespeichert werden. Auf
Routerwebseiten, in denen Veränderungen vorgenommen werden, findet sich immer
der Knopf Apply, den wir mit einem Mausklick aktivieren.
[Ausnahme : der Ping Befehl unter der Registerkarte
"Tools", das "Apply" schickt einen 'ping' an die eingetragene IP-Adresse.]
In allen anderen Fällen erscheinen links die zwei Schaltflächen
Activate und Discard.
Verwirft man die Änderung, muss man das im neu erscheinenden Fenster rechts bestätigen.
Bei Klick auf "Activate" öffnet sich das folgende Fenster, auch hier muss man
nochmals bestätigen. Der Text:
If the Administrator does not login within a set time, the unit will assume that
you accidentally ...
gibt nochmal die Chance, die Änderung zu verwerfen, wenn man sich innerhalb der
festgelegten Zeit neu in den Router einloggt. D.h. hat man versehentlich "Activate
Changes" betätigt, muss man innerhalb der Zeit alle Browserfenster des Typs,
also z.B. alle geöffneten Firefoxfenster schließen und sich erneut einloggen.
Ansonsten ...
...wartet man die festgesetzte Zeit ab. Achten Sie in der Http-Adresszeile des
Browsers auf das Adressende =60. Die eingetragene Zeit
wird heruntergezählt. Sie müssen warten bis Sie eine neue Webseite mit dem
Adresseintrag z.B http://192.168.1.1/admin/activatechanges?results=1
sehen.
Um die Konfiguration zu sichern gehen Sie in der Registerkarte "Tools" auf
Backup, betätigen "Download configuration" und im sich
öffnenden Fenster Save it to disk, wählen Sie einen geeigneten
Dateinamen - möglichst mit einem Namen wie : 'backup2-19-1-2006.pkg'.
Nach dem oben Gelernten ist die Einrichtung der DMZ einfach. Der für die DMZ
vorgesehene PC wird an den Router angeschlossen und gestartet. Dann muss man
das Interface mit seinem IP-Adressbereich definieren und für das Interface den
DHCP Server aktivieren. Nach Änderung, Speicherung und Sicherung der Änderungen
sollte der DMZ PC im Status zu finden sein. Sollte das nicht der Fall sein, wird
ein "Reset" durchgeführt, s. dazu den übernächsten Teil "Reset und Upgrade".
Die nachfolgenden Bilder veranschaulichen die Schritte.
Noch kann aber z.B. mit einem Webserver in der DMZ nicht gearbeitet werden. Dazu
muss der Firewall zuerst eingerichtet werden. Die Firewallkonfiguration wird im
nächsten Abschnitt besprochen. Es waren nur dann schon Verbindungen ins WAN
möglich, weil im Firewall vorab vom Hersteller Basisregeln eingerichtet waren.
Der Firewall (nach Duden 2004 auch 'der' - 'der Wall', oder 'die' -
'die Feuer/Brandmauer') des Routers erlaubt oder verbietet den Transport
von Daten zwischen LAN-WAN, DMZ-WAN und LAN-DMZ. Die transportierten Daten sind
an Typen gebunden, allgemein werden sie als Dienste (engl.
Services) bezeichnet. Dienste sind z.B. 'mail' - E-Mail, 'ftp' - Dateitransfer,
'www' - World Wide Web. Zu den Diensten gehören die Protokolle
, d. h. Anweisungen, wie die Dienste die Daten zu verarbeiten haben. Diese
Anweisungen sind in die Software, die die Dienste verarbeitet, eingebaut. Jedem
Dienst ist ein Port mit einer Portnummer zugeordnet. Nur
durch diese "Tür" werden die Daten der Dienste transportiert,
"Every service on the Internet listens on a particular port number".
Der Firewall übernimmt die Aufgabe, die Türen zu öffnen oder zu verschließen.
Auch auf jedem einzelnen PC, isoliert betrachtet, finden Dienste und Kommunikation
statt, z.B. zwischen Unterprozessen von Programmen, dazu später mehr.
Die Konfiguration eines Firewalls ist in einem größeren Rechnerverbund eine
schwierige Aufgabe. Im Falle kleiner Router, 4 - 5 Rechner, ist sie überschaubar
und auch bei richtigem Vorgehen für einen Einsteiger zu bewältigen, die Regeln
für die Hauptdienste braucht man ja nur einmal anzulegen.
Eine Grundkenntnis der Zuordnung von Diensten zu Portnummern ist unabdingbar.
Man muss wissen, welche Dienste man für den Datenverkehr zwischen den
Netzsegmenten benötigt und welche nicht zugelassen werden. Wir möchten z.B.
nicht, dass aus dem WAN Netzwerkverbindungen zu unseren Netzwerkplatten im
eigenen LAN hergestellt und so unsere Daten öffentlich werden.
Die Verwaltung der Dienste/Ports liegt bei der oben schon erwähnten Organisatzion
IANA. Sie sollten einen Blick auf die
PROTOCOL AND SERVICE NAMES und auf die Liste der
PORT NUMBERS werfen.
Die Webseiten werden ständig aktualisiert. Für das Grundverständnis notwendig
ist die Gruppierung der Port Nummern in der Liste der Port Nummern :
"Well Known Ports", "Registered Ports", "Dynamic and/or Private Ports", s. die
Erläuterungen im Text. Wenn Sie die Liste durchscrollen, werden Ihnen einige
Namen bekannt vorkommen. Für den Gebrauch ist es wichtig, schnell die
Zuordnungen zu finden, mit gezielter Suche im Internet kann man sich über
Leistung eines Dienstes informieren, evtl. erfährt man auch etwas über
Gefahren, die mit dem Gebrauch eines Ports/Dienstes verbunden sind. Als Beispiel
diene der Port 1433, ein registrierter Port für den Microsoft SQL Server
Microsoft SQL Server(Datenbankserver). Geben Sie als Suchfolge "port 1433"
in eine Suchmaschine ein und schauen Sie sich einige Resultate an.
(Kennen Sie Vivísimo
oder
Metager2 metasuche ohne müll ?).
Bevor man in die Firewallkonfiguration einsteigt, sollte man mit vorhandenen
Befehlen die Aktivität an den Ports erkunden. Falls sie schon mit Windows XP
arbeiten, öffnen Sie "Hilfe und Support" und geben Sie im Suchfeld
'Befehlszeilenreferenz' ein. Unter dem Treffer 'Befehlszeilenreferenz A-Z'
finden Sie unter "N" Netzwerkbefehle. Mit dem Befehl
netstat -a -p TCP findet man die Dienst/Port
Informationen für das TCP Protokoll, "netstat /?" zeigt die Befehlsdetails an.
Man sieht dort teilweise die Dienstnamen oder auch Kombinationen von
IP-Adressen und Ports (chh:2556 oder localhost:1091). Beachten Sie, Ports
mit Nummern über 1024 werden schon benutzt. Wie oben gesagt, man benötigt die
Zuordnungen von Dienst zu Port. Nicht nur die IANA-Liste zeigt sie, auch auf
unserm PC finden wir sie unter
C:\WINDOWS\system32\drivers\etc\services (Linux/Unix
'/etc/services'), öffnen mit 'wordpad'. Mein Beispiel zeigt das, hier arbeitet
der Firewall schon.
Weiter unten werden wir andere Hilfsmittel kennen lernen, auch lernen wir, wie
man sich Informationen über die Zuordnung von Diensten zu Programmen verschafft.
Bei der Auswahl von Diensten/Ports gibt uns die DFL-200 Schnittstelle Hilfe.
Unter der Registerkarte Firewall finden wir unter
"Services" eine Liste von definierten Diensten, die Gesamtliste als
Doppelbild:
Diese Liste ist aus verschiedenen Gründen wichtig:
Alle für den "normalen" Betrieb benötigten Einträge sind vorhanden. Mit der
Liste selbst ist keine Routerfunktion verbunden. Die Firewallregeln werden
über die beiden Links Policy - Port Mapping
festgelegt.
Sie enthält für jeden eingetragenen Dienst das ihm zugeordnete Protokoll und
zusätzliche Parameter: Ziel- bzw. Quellport und für die Protokolle die
unterschiedlichen Typen: TCP, UDP, ICMP. Sehen Sie sich die unterschiedlichen
Einträge in der Spalte Parameter an (Bemerkung dazu in den Hinweisen).
Sie enthält die vom DFL-200 benutzten Dienstnamen, die teilweise spezifischer
als die in den beiden o.a. Listen sind, z.B. 'ping-inbound' vs. 'ping-outbound'.
Diese Namen werden in den festzulegenden Firewallregeln benutzt. (Üblicherweise
lässt man keine "ping-Anfrage' zu, ein Hacker erfährt damit, ob unser PC arbeitet
oder nicht. Ein 'ping' auf unseren Uni-Webserver, www-igh.histsem.uni-bonn.de,
liefert keine Anwort aber Webseiten werden angeliefert. Der Hacker weiß, dass
er vor einem Firewall steht.)
Hier kann man auch neue Festlegungen einfügen. Für manche interaktive
Internetspiele, z.B. Schach, werden besondere Ports mit den Protokollen
TCP/UDP benötigt. Dies trägt man in die Liste ein und öffnet den zugehörigen
Port in einer Regel. Bei den zugehörigen Servern bekommt man Hinweise.
Wie oben gesagt, werden die Firewallregeln über die beiden Links
Policy - Port Mapping festgelegt. 'Port Mapping'
wird uns bei der Einrichtung des Webservers beschäftigen. Zuerst wenden wir uns
'Policy' zu. Die Regeln sind den Netzsegmenten zugeordnet, eine Gruppe gibt es
entsprechend auch in umgekehrter Richtung.
LAN → WAN LAN → DMZ DMZ → WAN
Damit Zugriff aufs WAN möglich ist, müssen Regeln für die Richtung 'LAN → WAN'
festgelegt werden. Bei unserer Version waren im DFL-200 für diese Richtung 4 Regeln
vorgegeben. Die erste ist brauchbar, die zweite und dritte können als Beispiel dienen.
Die vierte mit dem Namen allow_standard erlaubt alle Dienste
von allen LAN-PCs aus, sie war es, die uns direkt nach der Basisinstallation die
Zugänge zum WAN ermöglicht hat. Grundstrategie ist: Nur die wirklich benötigten Dienste
werden erlaubt.
(Wenn alle Gruppen leer sind, gibt es in keine Richtung Datentransfer.) Für den
DFL-200 gilt wie bei den meisten Firewalls, alles Nichterlaubte ist verboten.
In jeder Regelgruppe gibt es den Hinweis "If no rule matches,
the connection will be denied and logged". Über die Registerkarte
"Firewall" öffnet man den Link "Policy":
Im Bild sehen Sie, dass Regeln nur für die ausgehenden Richtungen bestehen.
Für den Anfang habe ich 9 Regeln für 'LAN → WAN' festgelegt, später im Text gibt es notwendige
Ergänzungen dazu, die Ziffern in Klammern stehen für Portnummern. Beachten Sie,
dass für das Segment die NAT, Network Address Translation, s.o., eingerichtet
wird. Vor dem Einfügen der neuen Regeln habe ich die Regeln 2-4 gelöscht. Dazu
ediert man die Regel, selektiert 'Delete this rule' und klickt auf 'Apply' :
"smb-all" sperrt die sogenannten Netbiosdienste (135-139) und den Microsoft
Directory Service (445) in Microsoft Netzwerken, also Netzwerkplattenverbindungen
und 'Filesharing'-Dienste, 'smb' steht für "Server Message Blocks". Diese
Ports sind beliebte Angriffsspunkte für Hacker.
"DNS_Aufloesung" garantiert die Zuordnung von Netzwerknamen zu
Netzwerkadressen über die Nameserver (53).
"www_Zugang" für die Webzugänge, 'http' und 'https' Protokolle (80,443).
"Filetransfer" für Dateitransfer mit dem 'ftp', File Transfer Protokoll (21).
"Send_Mail" Mail senden mit dem 'smtp', Simple Mail Transfer Protokoll (25).
"Mailbox" Mail aus der Mailbox holen mit dem 'pop3', Post Office Protokoll (110).
"Timeserver" Uhrsynchronisation mit dem 'ntp', Network Time Protokoll (123).
"Ping_out" Test zur Erreichbarkeit von Rechnern (im WAN), ICMP Echo (Ping).
"VPN_Uni_Bonn" Datentunnel zur Univ. Bonn, unten gibt es einen eigenen Abschnitt.
Von der neuen Einstellung fertigt man nach erfolgreichem Test ein Backup an.
Mit der www_Zugang-Regel kann man auch Anwendungen nutzen, die primär im WAN
über das http-Protokoll arbeiten, lokal aber an andere Dienste gekoppelt sind.
Beispiel sei Internetradio mit dem RealPlayer,
auch für RealPlayer-Linux, der mit dem PC
Musikwiedergabe liefert. Sobald man die wichtigsten Regeln festgelegt hat, sollte
man sich einen Blick auf die arbeitenden Dienste verschaffen. Mit dem o.a.
Befehl 'netstat' ist das zwar möglich aber sehr unübersichtlich. Im Internet
findet man Tools dazu. Besonders zu empfehlen sind die freien Tools von
Sysinternals, dort unter den
'Utilities'. Zwei sind im Augenblick wichtig:
TCPView aus
'Utilities: Networking' und der
Process Explorer
aus 'Utilities: Processes & Threads', andere finden Sie unter den ergänzenden Hinweisen.
Mit TCPView sieht man den sich zeitlich verändernden Status (Minimum 1 Sekunde)
der aktiven Dienste, Protokolle und Ports. Mit dem Process Explorer verschafft
man sich die Detailinformationen zu laufenden Prozessen und den zugehörigen
Systembibliotheken. Man gewinnt auf diese Weise auch mal einen Einblick in das,
was sich hinter dem Desktop tut. Tatsächlich bieten die Tools aber auch Hilfe
bei Fehlfunktionen oder wenn man unerklärliche Aktivitäten auf dem PC aufspüren
will.
Es bleiben zwei Punkte zu diesem Teil der Firewallkonfiguration übrig:
1. Eine aus dem WAN ablaufende Prüfung evtl. offener Ports.
2. Eine Technik mit der man sich die nötigen Informationen für die Einfügung
des zugehörigen Services und einer zugehörigen Regel verschafft, wenn man nicht
über die nötigen Informationen verfügt.
- zu 1: Eine derartige Prüfung erfordert einen aus dem WAN ausgeführten
Portscan. Das Verfahren wird auch von Hackern zum
Auffinden offener Ports für Attacken auf Rechner benutzt. Es gibt im Internet
zahlreiche freie Anbieter webbasierter Portscans. Von uns seit Jahren genutzt,
es werden dort auch umfängliche andere Infos angeboten, ist
ShieldsUP!. Man scrollt
die Seite abwärts bis zum Link mit dem Namen 'ShieldsUP!' und öffnet die Seite.
(Achtung : Aus der Webadresse entnehmen Sie, das der
Zugang über eine verschlüsselte Leitung kam - https - und aus z.B.
'https:/.../x/ne.dll?rh1dkyd2', dass für Sie ein eindeutiger 8-stelliger
Zugangscode verwendet wurde, quasi ein Passwort, d.h. die Adresse können Sie
nicht nochmal verwenden.) Lesen Sie die Info und klicken Sie auf 'Proceed'.
Sie finden Hinweise zu den einzelnen Scanverfahren (HELP) und umfängliche
Zusatzinformationen, z.B FAQ. Führen Sie den 'File Sharing' Test und danach
den 'Common Ports' Test aus. Im Beispiel sehen Sie einen Teil des Tests, der
offene Port 80 bedient den Webserver in der DMZ, erinnern Sie sich auch, dass
es keine Regeln für 'WAN → LAN' gibt, auf 'ping' gibt es keine Antwort.
Alle anderen Ports sind geschlossen.
Die Ergebnisseite enthält unten - im Bild nicht zu sehen - ein neues Eingabefeld.
Sie sollten dort eine Portnummer (119 - pop3) eingeben und 'Lookup Specified
Port Information' anklicken (mit Klick auf 'User Specified Custom Port Probe'
erhalten Sie Hilfe zu Formen mehrfacher Portangaben). Sie erhalten Informationen
zu dem Port, Test des Ports und ein Eingabefeld für andere Ports.
- zu 2: Es gibt zwei Möglichkeiten. (1 -Standard) Man ruft das Programm mit dem unbekannten
Internetzugang auf und überprüft die neuen Logeinträge, die man unter der
Registerkarte "Status" und dem Link "Logging" findet, man sollte das Log vorher
mit 'Clear log' löschen, denn wie oben gesagt, bei nicht vorhandenen Regeln
wird ein Logeintrag angelegt. Im nachfolgenden Beispiel wurde in "cmd.exe" ein
Telnetversuch ausgeführt, der an den bekannten Port 23 geht
- 'telnet www.t-online.de'. Der unterste Eintrag enthält die primäre Anfrage vom
LAN (recvif=LAN), s. Uhrzeit, und der bisher unbekannte Zielport ist '23'
(destport=23), s. Bild. Das Format der Logeinträge ist unter "Help" erläutert.
Man fügt dann eine neue Regel ein, in dem Fall ist der Dienst in der Basisliste
enthalten.
(2 -Notnagel) Man öffnet mit einer Regel alle Dienste gemäß nachfolgendem Bild,
den Eintrag "All" unter "Service" wählt man über das zugehörige Klappmenu aus.
Man ruft das Programm mit dem unbekannten Internetzugang auf und überprüft den
zugehörenden Dienst/Port in der Anzeige mit dem o.a. 'TCPView'. Vor der
Einführung der neuen Regel sollte man die Regel "allow_standard" aber löschen.
Die Regeln für die Bedienung und den Betrieb des Webservers in der
DMZ können in drei Schritten erledigt werden.
1. Schritt Für die Verwaltung und Tests des Webservers benötigt man
mindestens zwei Regeln für das Segment 'LAN → DMZ', s. Bild oben: Eine Regel für den
Transfer der Webseitendaten vom LAN zur DMZ und eine zweite für die Browserzugriffe.
Da nur die privaten IP-Adressen verwendet werden, wird zunächst
No NAT aktiviert. 1. Zur Datenübertragung kann das Filetransferprotokoll - FTP -
benutzt werden, zusammen mit dem Microsoft Webserver kann ein FTP-Server betrieben
werden. 2. Für die Browserzugriffe setzt man eine Regel, die den Service "http-all" für
einen PC aus dem LAN und dem oben konfigurierten PC in der DMZ zulässt, also
z.B. 'Source': 192.168.1.2 und 'Destination': 192.168.123.2 . Den Webserver
erreichen wir dann mit der URL http://192.168.123.2/.
2. Schritt Für das Segment 'DMZ → WAN' habe ich zwei Regeln gesetzt.
Die erste entspricht der ersten Regel des Segments 'LAN → WAN', kein Netbios
und kein Filesharing. Mit der zweiten erlaube ich "ping-outbound" zu einfachen
Erreichbarkeitstests im WAN. Notwendig ist hier aber wie in 'LAN → WAN', dass
NAT enabled gesetzt wird, die Anfragen nach Webseiten
aus dem WAN sollen an die private IP-Adresse des Webservers gehen.
3. Schritt Es muss gewährleistet werden, dass nur genau die Webanfragen
an den Webserver gerichtet werden, d.h. die http/https-Dienste auf Port 80/443
müssen zum Webserver in der DMZ gerichtet werden. Dazu wird eine Zuordnung,
Port Mapping, eingerichtet. Über die Registerkarte
"Firewall" und den Link "Port Mapping" wird die Einrichtung vorgenommen,
beachten Sie den Eintrag zu 'Pass To' :
Bei 'einfachen' Routern ohne eigenes DMZ Segment wird ein sogenanntes
Port Forwarding eingerichtet: Für einen PC an einem 4-Port
Router wird eine Paketweiterleitung von http(Web)-Anfragen an die Adresse dieses
Rechners festgelegt, d.h. die Adressübersetzung aus dem WAN wird für diesen
Fall eingeschränkt. Da alle PCs am Router im LAN konfiguriert sind, ist das
LAN potentiell aus dem WAN angreifbar.
Abschliessend sollte man mit ShieldsUP! den externen Port Test wiederholen.
In älteren Systemen ist es am einfachsten, im Explorer den Ordner
C:\Windows\Help zu öffnen. Falls Sie den Inhalt
nicht kennen, werden Sie sich wundern, was Sie dort alles finden.
Eine andere gute Informationsquelle ist das
FOLDOC The Free On-line Dictionary of Computing. Öffnen Sie z.B. FOLDOC
und tragen Sie im Suchfeld "igmp" ein, der erste definierte Dienst in der
Liste, achten Sie auch immer auf die Querverweise.
Es ist für den Normalverbraucher nicht nötig, in die Tiefen der RFCs
einzusteigen, obwohl sich ein Blick in das Eine oder Andere lohnt, etwa
- jeder gebraucht den Dienst fast täglich -
Dienst: SMTP - Simple Mail Transfer Protocol.
Genaues Wissen z.B. über die Form der Datenpakete zu einzelnen Protokollen
wird bei der Fehlersuche in Netzwerkproblemen benötigt. Wissen sollte man
aber, dass über geöffnete Ports Datenpakete mit gefährlichem Programmcode
eingeschleust werden können. Sowohl die Definition der Protokolle als auch
die damit verbundenen Dienstprogramme dürfen keine Schwachstellen aufweisen.
Genau nach solchen Schwachstellen suchen die Hacker. Die Logeinträge zeigen
auch unberechtigte Zugangsversuche aus dem WAN.
Aus der Sammlung der freien Systemtools von Sysinternals
- s.o. - empfehle ich die nachfolgenden zusätzlich zu den beiden
o.a. Infos zu jedem Tool auf der zugehörigen Webseite, zu allen Tools gibt
es Hilfe:
AccessEnum
Filemon
PsTools
Autoruns
RootkitRevealer
TDIMon
Regmon
Außerdem das Microsofttool
Dependency Walker, auch hier Erläuterungen auf der Webseite. Download
auch
hier direkt (Datei entpacken und die Files in ein eigenes Verzeichnis kopieren).
Den Dependency Walker kann man direkt aus dem Process Explorer aufrufen.
Sollten Sie einmal massive Netzwerkprobleme bekommen, hilft nur ein Netzwerk
Analysewerkzeug. Frei verfügbar sowohl für Windows als auch Linux (alle
bekannten Linux Distributionen enthalten es als Standard) ist
Ethereal®.
Schliessen
Erläuterungen zu 'Intrusion Detection' und 'Content Filtering'
werden nachgereicht. Es fehlen Informationen von D-Link bzw. die
Konfigurationsanweisungen sind lückenhaft.
In einigen Fällen ist die Durchführung eines Reset
nötig, z.B. wenn nach Verbindungsstörungen die Verbindung zum Provider
wiederhergestellt werden muss oder wenn nach einer Fehlkonfiguration eine
zuvor funktionierende Konfiguration neu eingelesen worden ist.
Von Zeit zu Zeit sollte man auf der Support Webseite des Herstellers nach
Firmware Upgrades schauen, der Betriebssoftware des Routers. Diese lädt man
auf seinen Rechner und spielt sie über das Browserinterface ein. Die
Vorgehensweise ist beim Hersteller und im Handbuch/Help beschrieben.
Die Support Webseiten sind D-Link (EN) und
D-Link (DE), über den Link "Technischer Support"
und Links unter "EVENT" auf der Seite.
Hinweise zu IDS(Intrusion Detection System) gab
es unter "Firewall".
Ein Virtuelles Privates Netzwerk - VPN besteht aus
einem VPN-Server - VPN-Client Datenverkehrsdienst, der über einen "Tunnel" in
einem öffentlichen Netzwerk 'private' Daten auszutauschen gestattet. In den
meisten Fällen werden die Daten auch verschlüsselt übertragen. Die VPNs werden
z.B. eingesetzt, wenn Mitarbeiter von Firmen private Daten vom WAN in ein
Firmennetzwerk übertragen. Die im DFL-200 mögliche Einrichtung brauchen wir
hier nicht zu diskutieren, denn in den meisten Fällen hängt die Einrichtung
von der verwendeten Server-Client-Software des Anbieters ab. Die meisten
deutschen Universitäten stellen solche Dienste zur Absicherung des Datenverkehrs
für ihre Mitarbeiter und Studenten, die über eine Zugangsberechtigung verfügen,
bereit. Die Informationen für die Univ. Bonn finden Sie unter
VPN (Virtual Private Networks): Installation, Konfiguration, Verbindungsaufbau.
Der Client der Univ. Bonn stammt von der Firma CISCO, einem Marktführer in der
Branche. Wir benötigen den Dienst u.a. zur Übertragung unserer Webserverdaten
sowie der Fernwartung des Webservers. Man muss die Cisco Clientsoftware wie
auf der Univ. Webseite beschrieben installieren. Wir entnehmen den Anweisungen
auch Portinformationen, Port 10000 - "ndmp 10000/tcp Network Data Management
Protocol", und tragen u.a. die für die Übertragung nötigen Angaben ein:
Um mit dem VPN arbeiten zu können, reicht die folgende zusätzliche Regel aus.
Hier geht es um ein paar Tipps für Aufrüstung oder Neukauf eines Computers.
Sie bekommen auch Hinweise, wie man Systemsoftware selbst installiert.
Vorweg etwas zur Orientierung. Auch wenn man seinen Computer zunächst nur für
die Standardarbeiten einsetzt, Texte verfassen, E-Mail benutzen, Informationen
beschaffen, etc., meist steigen die Anforderungen bei jeder Art fachlicher
Orientierung sehr schnell. Neuere Computersoftware ist ressourcenhungrig -
Plattenplatz, Memorybedarf, Grafikkapazität, Medien, Netzwerk incl. WLAN - und
das unabhängig davon, ob man Microsoft Windows- oder Unixbasierte Betriebssysteme
(Linux, MAC OS X) benutzt. Im Augenblick stehen wir kurz vor Einführung neuer
Hard- und Softwaretechnologien : Dual Core Prozessortechnik, Wimax, Mac OS auf
Intelprozessoren, Microsofts Windows XP Nachfolger Vista kommt dieses Jahr und
auch die Linuxentwicklung schläft nicht. Gute Planung ist also wichtig. Die
Aufrüstung älterer Computer (Prozessoren unter 1 GHz, Platte kleiner als 40 GB,
Memory unter 256 MB, Grafik weniger als 128 MB, kein Ethernet und Audio,
kein DVD RW Laufwerk ) lohnt meist nicht, denn für den Preis der Summe aller
Einzelkomponenten bekommt man im örtlichen Computerhandel heute einen aktuell
ausgerüsteten PC um € 400+. Den alten PC muss man deswegen nicht wegwerfen oder
verschenken, er lässt sich auf mancherlei Weise nutzen: mit ISDN-Karte als
FAX Empfänger, mit einem (evtl. grafikfreien Linux) als Router, Web- oder
Druckserver, falls CD vorhanden mit einer Linux Live-CD zum Testen und lernen
von Linux (z.B. Knoppix, Kanotix, Ubuntu - oder Freeduc: Linux für Grundschüler
-gewusst?) [In unserem LAN arbeiten zwei alte Notebooks mit Windows NT Server 4
als Fax-Empfänger und der neue Webserver in der DMZ. Hardware 120 MHz Pentium,
48 MB Memory, 1.2 GB Harddisk, CD, Ethernet - 1996 Stand der Technik.]
Es ist auch nicht ratsam, die allerneueste Hardware zu kaufen. Wer einen alten PC
besitzt, der unter Windows 98 oder auch Windows NT arbeitet, und sich einen Drucker
neuester Bauart beschafft, wird dafür keine Druckertreiber mehr bekommen. Kauft
man neue Hardware unmittelbar nach Erscheinen neuer Betriebssystemsoftware,
besteht die Gefahr, dass die Treiber dafür noch nicht bereitstehen (oft die
Gefahr bei Linux). Angesichts der Preiskämpfe würde ich bei einem jetzt neu
gekauften Billigdrucker nicht davon ausgehen, dass der Hersteller am Ende des
Jahres dafür noch neue Treiber für Windows Vista bereitstellt. Bei einem Neukauf
sollte man sich nicht nur über die derzeitigen Einsatzarten Gedanken machen,
auch über die geplante Lebensdauer sollte man nachdenken und Beschaffung von
PC und Zubehör zeitnah planen. Fehl- und Falschkäufe gilt es zu vermeiden,
das sind meist die Ursachen, wenn die Gesamtanschaffung teuer wird.
Die Details:
Im Zeitraum von 4 - 5 Jahren kann man ein System mit Updates, Patchen,
Verbrauchsmaterial etc. aktuell halten, wenn das Einsatzgebiet nicht
radikal geändert wird.
Klassischer PC oder Notebook? Das hängt hauptsächlich vom verfügbaren Geld ab,
aber auch unter €1000 gibt es brauchbare Angebote. Im Studium ist ein Notebook
hilfreich, viele Alltagsarbeit kann man vor Ort erledigen, Zettel- und
Karteikästen sind out. An vielen Universitäten ist WLAN mit Internet für
Studenten möglich:
Wireless LAN - Funknetze an der Universität Bonn
Nehmen Sie sich Zeit für die Planung. Im Internet finden Sie Infos in Mengen.
Nutzen Sie die PC-Pools an der Uni, wenn Sie zu Hause keine leisungsfähige
Internetanbindung haben. In manchen Rechenzentren und Instituten finden Sie Hilfe.
Mit der Grundkonfiguration eines aktuellen Systems sollten Sie sich zuerst
vertraut machen. Eine gute Quelle sind Webseiten solcher (örtlichen) Händler,
die einen Konfigurator auf einer Webseite oder zu
jedem PC bereithalten. Sie können damit Komponenten nach Ihrem Gusto auswählen
und sehen sofort die Änderung im Preis. Ausserdem können Sie sicher
sein, dass dabei nur zueinander passende Teilkomponenten wählbar sind. Wenn Sie
einen örtlichen Händler kennen, lohnt sich ein Besuch. Computerzeitschriften
enthalten regelmäßig Artikel, so das c't magazin für computer
technik, das bringt jährlich einen Artikel "Der optimale PC", zuletzt im
Heft 24/2005. Das können Sie auch nachbestellen unter
c't Einzelhefte bestellen
Eine besonders gute Informationsquelle ist die deutsche Seite von
Tom's Hardware Guide(DE), das Original
ist Tom's Hardware Guide(EN) (leider
wird dort jetzt viel Werbung betrieben).
Es gibt in "Tom's Hardware Guide(EN)" einen Link "Build Your Own" mit
ausführlichen Anleitungen.
PC im Selbstzusammenbau ist durchaus ein Thema, nach einer "c't-Umfrage zum
Weihnachtsquartal 2005", c't 2/06, Seite 80, werden 38% der Computer selbst
zusammengebaut, 31% kommen vom Fachhändler. Für kenntnisreiche und geübte
Heimwerker ist der Eigenbau kein Problem. Es spricht aber auch vieles dagegen.
Bei guten Händlern, die die PCs als Eigenmarken zusammenbauen, bekommt man
heute optimal mit Qualitätsmarkenteilen konfigurierte Computer mit z.T. langen
Garantiefristen für den ganzen PC. Im Eigenbau hat man zwar die gesetzlichen
Garantien, aber auf jedes Einzelteil. Da die Händler große Stückzahlen kaufen,
liegt man sogar mit der Summe der Einzelteile meist auch über dem
Händlerendpreis. Die reputierten örtlichen Händler können sich den Einbau
billiger mieser Hinterhofware nicht leisten.
Die Wahl eines örtlichen bzw. nahegelegenen Händlers ist anzuraten. Evtl.
Probleme können Sie vor Ort regeln, Sie brauchen nichts für viel Geld
zu verschicken oder Ihre Zeit nicht mit Hotlinegesprächen zu verbringen. Ich
gebe Ihnen nachfolgend ein Händlerbeispiel, Sie können sich einen PC Konfigurator
ansehen und ausprobieren. Da der Händler nur an "gewerbliche Anwender" verkauft,
liegt hier auch keine unzulässige Werbung vor. Gehen Sie auf
der Webseite von Transtec auf den Link
"PCs und Workstations" und klicken Sie dort z.B. auf den Preis von
"transtec Entry PC". Dort sehen Sie in einer Liste die 'Basis Spezifikationen'
und über den Link 'Erweiterte Spezifikationen' sehen Sie eine ausführliche
Liste. Damit haben Sie auch ein aktuelles Konfigurationsbeispiel. Es gibt
Abbildungen. Sie können weiter unten auf der Seite den Rechner im Detail nach
Ihren Wünschen konfigurieren. Wenn ein örtlicher Händler keine entsprechenden
Möglichkeiten auf seinen Webseiten anbietet, rate ich zur Vorsicht, außerdem
sollte der Händler auch nachweislich einige Jahre im Geschäft sein.
Zur Information über Anforderungen an Betriebssysteme finden Sie genaue Angaben
immer auf den Webseiten der Hersteller: Top Resources for IT Pros(Microsoft),
die Eingangsseite, über den Link "Products & Technologies" gelangen Sie zu den
Einzelprodukten und Sie finden dort den Link zu
Windows Vista
von wo Sie über den geöffneten Link "Hardware Guidance" auf das Paper
Windows Vista Capable PC Hardware Guidelines kommen.
An den Informationen können Sie die Anforderungen an das künftige System ablesen.
Dto. zu Mac OS X on Intel.
The Unix Hardware Buyer HOWTO für Linux/Unix. Details finden sich auch bei den
einzelnen Distributionen. Suche in derselben Webseite über den Link "Distributions",
wo Sie nach eigenen Eingaben suchen können.
Als Folge aus den Recherchen würde ich als Student ein Angebot wie das von
Transtec wie folgt modifizieren: Processor: Celeron® D Prozessor 346, 3.06 GHz Speicher: 1 GB, 2 * 512 MB, 400 MHz DDR-RAM anstatt standard Wichtige Anfrage: Welches Fabrikat Prozessorboard
(Mainboard) wird eingebaut?
Namhafte Mainboardhersteller wie Asus, Gigabyte, MSI, Asrock, Tyan etc. stellen
für den OEM (Original Equipment Manufacturer)-Markt oft Abkömmlinge ihrer
Markenboards her. Die regionalen Händler kaufen für ihre Eigenmarken diese
Produkte. Für solche Firmen wie etwa Dell oder Medion(Aldi) werden Sonderserien
hergestellt, in deren Werbung gibt es keine Hinweise auf das Mainboardfabrikat.
Problematisch ist der Support für solche Boards z.B was Biosupdates betrifft.
Ein auf der Herstellerseite nicht nachweisbares Board würde ich niemals
kaufen! Festplatte: 2 Seagate 80 GB Ultra-ATA Festplatten (unten mehr dazu)
[2 Hitachi 160 GB Ultra-ATA Festplatten bei viel Grafik (Foto, Video)] Grafikkarte- heikel: Soll MS Vista Anforderungen erfüllen evtl.
auch unter Linux laufen und zum Prozessorboard passen. Ich nutze ATI Radeon
9800 Pro 128 MB,
ATI Windows Vista Webseite, mit der Karte läuft Linux : Debian (Orig., Knoppix,
Kanotix), Red Hat, Suse. Optische Laufwerke: +Double-Layer DVD+/-RW Laufwerk mit Nero Betriebssystem: Kein Betriebssystem - unten mehr Wechseldatenträger: Zusätzliches Diskettenlaufwerk, wird
immer noch für manche Boot- und Sicherungsarbeiten benötigt (Bei Aldi etc.
NIE dabei, es dürfen KEINESFALLS USB Laufwerke sein !!) Garantie: Zusätzlich 2 -3 Jahre Schnittstellenkarten: Firewire Karte, manchmal schon
auf dem Processorboard - für Digital- oder Video Kamera Lautsprecher: 2 Lautsprechet - Musik am Computer
kann zur Entspannung beitragen - müssen nicht teuer sein Sonst wichtig: Evtl. Lärmschutz einbauen lassen,
gute Kühlung ist ganz wichtig, evtl. 1 - 2 zusätzliche Lüfter einbauen. Bildschirm: TFT Flachbildschirme sind platzsparend
und mittlerweile erschwinglich. Einen 17" Schirm bekommen Sie in Bonn schon
für unter €250, selbst ein 17" Eizo (besonders gute Qualität) gibt es für
€299. Wer Augenprobleme hat oder intensiv mit vielen Fenstern auf dem Desktop
arbeitet, sollte einen 19" oder 21" Schirm kaufen.
Software bekommt man als Student in Form von Studenten/Schüler Lizenzen bei
div. Online Shops, Nachweis z.B. Immatrikulationsbescheinigung. Die meisten
Univ. haben Verträge mit Shops z.B.
Software-Shop der Universität Bonn. Wir selbst kaufen z.B. bei
BtB, deren Preise liegen z.T.
unter denen des Univ. Bonn Shops. Auch ein Blick ins Angebot von
Amazon.de lohnt manchmal.
Ein ganz anderer Gesichtspunkt ist die Überlegung, eine kostenlose Linuxversion
zu installieren. Für die o.a. Standardarbeiten reicht es immer und auch
in vielen Wissenschaftsgebieten kann Linux sich sehen lassen. Es gibt
Unmengen von Entwicklungswerkzeugen für die man sonst viel Geld ausgeben
müsste.
Aus vorgenannten Gründen also den Computer ohne Software kaufen. Ein anderer Grund ist aber viel wichtiger :
Die Händler benutzen automatisierte Installationsroutinen. Folge davon ist,
das oft der gesamte Plattenplatz für eine Partition genutzt wird, d.h. das
Laufwerk "C:" belegt z.B. die gesamte 80GB PLatte. Man kann in solchen
Fällen das Betriebssystem von eigenen Daten und Programmen nicht trennen,
man kann etwa keine Sicherungskopien auf anderen Partitionen ablegen oder
ein zweites Betriebssystem installieren : Es gibt keine weiteren Partitionen.
Bei einigen Händlern kann man das gegen Aufpreis zwar machen lassen, man
kann es dann aber nicht mehr verändern. Die Betriebssystem CD ist beim
Händler meist eine sogenannte OEM CD, es gibt immer wieder Berichte über
diverse Probleme mit diesen CDs.
Der Rechner wird ohne Betriebssystem aber mit zwei Festplatten gekauft.
Damit hat man die Freiheit, mehrere Betriebssysteme zu installieren.
Windows Systeme müssen noch immer auf der ersten Platte installiert sein,
Linux nicht. Es wird ein Partitionswerkzeug zur Platteneinteilung benutzt z.B.
Acronis Disk Director, gibt es bei BTB.
Man sollte auch lernen, die Betriebssystemsoftware selbst zu installieren.
Es ist nicht schwierig und man lernt etwas dazu, MS XP - auf jeden Fall die
'professinal' Version - zu installieren dauert ca. eine Stunde. Zwei
Szenarien sind zu unterscheiden : Aufrüstung und Neuinstallation. Aufrüstung :
Falls Ihr Rechner nahezu die o.a. Kriterien erfüllt, manchmal reicht die
Memoryaufrüstung, eine zweite Platte und die neue Grafikkarte. Sollten Sie
noch MS Windows 98 benutzen, wird der Umstieg zu MS XP oder Linux dringlich.
Für MS XP gibt es eine preiswerte Upgradeversion bei vorhandenem MS WIN98.
CD einlegen, sie startet meist von selbst und das Upgrade ausführen. Sollte
Ihr PC die Voraussetzungen dafür nicht erfüllen, wird die Installation abgebrochen
- neuer Rechner oder aufrüsten. Ansonsten müssen Sie nur gelegentlich
einen Mausklick ausführen. Ihre Daten, Einstellungen etc. werden in das
neue System übernommen. Für die Partitionierung s. nachfolgende Erläuterung.
Im Falle eines neuen Rechners sollten Sie vor der selbst durchgeführten
Installation nicht zurückschrecken. Bei neuer Hardware booten die Rechner
Windows XP oder Linux (z.B. Knoppix) von der CD/DVD. Starten Sie den neuen PC,
legen Sie die CD/DVD ein und booten neu. Wenn sich nichts tut, muss man nur im
Bios eine Einstellung ändern. Dazu muss man unmittelbar nach dem Start die
Taste 'DEL' d.h. 'Entfernen' drücken. Im Biosmenu navigieren Sie, bis Sie die
Bootoptionen sehen (erstes Bootlaufwerk : Floppy, Harddisk, CD, DVD), stellen Sie
diese auf CD/DVD. Bei manchen Biosversionen muss man entsprechend die Taste 'F8'
drücken. Anleitungen stehen auch meist in dem Prozessorboard Handbuch.
(Kontrollieren Sie beim Kauf, ob Sie für alles Zubehör auch Handbücher oder
CDs bekommen, die Händler sind gesetzlich zur Lieferung verpflichtet.) Sobald
Sie das Setupmenu sehen, beginnt die Installation. Es wird immer ein
Hardwaretest durchgeführt, gelegentlich müssen Sie Eingaben wie Rechnername,
Adminstratorpassword etc. machen. Im Begleittext gibt es Hinweise, im Falle
von Linux kann in jedem Installationspunkt Hilfe erfragt werden. Das
Setupprogramm steuert die gesamte Installation, Sie tun nur etwas, wenn Sie
dazu aufgefordert werden. Das Setup erfolgt meist auch in mehreren Schritten,
erschrecken Sie nicht und greifen Sie nicht mit eigenen Aktionen ein, wenn
das System zwischendurch neu bootet. Bevor Daten auf die Platte geschrieben
werden, müssen Sie Angaben für die Größe der Systempartition eingeben,
es wird auch nur diese angelegt. Nun ist es Zeit, sich über die
Platteneinteilung des neuen Rechners klar zu werden.
In den nachfolgenden Punkten erkläre ich meine Lösung.
Windows Systeme lagern auf der ersten Platte, Linux kommt auf die zweite
Platte. Es wird Windows XP zweimal installiert: Die Partition 'C:' dient als
Rettungssystem, XP in der Partition 'D:' ist das Arbeitssystem, 'E:' enthält
alle Software, die nicht zum Basissystem gehört und das sonst auf 'C' bzw.
'D' befindliche Systemverzeichnis 'TEMP', 'F' enthält eigene Programme,
Testsoftware, Daten, in 'G' sind Daten und Programme von alten Rechnern, es
dient auch zum Datenaustausch mit Linuxsystemen, die zwei Backups - 'H', 'I'
enhalten Backups von Linux und Windows. Auf der zweiten Platte liegen zwei
Linuxsysteme, Debian - damit arbeite ich - und eine aktuelle Knoppixversion
zur Orientierung über die aktuelle Entwicklung, Linux Swap-Space (die Linux
Auslagerungsdatei), 'K' Webserverbackups, etc. Die 'NTFS' formatierten
Partitionen für XP Datenzugriffe, 'FAT32' formatierten auch für Linuxzugriff.
Im nachfolgenden Bild sehen Sie die Einteilung, sie ist mit einem anderen
Werkzeug - PartitionMagic - durchgeführt worden (würde ich nicht mehr neu kaufen).
Die Antwort auf die obige Frage wäre also : 8GB, d.h. die geplante weitere
Einteilung würde in einem nächsten Schritt nach Abschluss und Neustart des
Systems erfolgen, denn erst dann kann der 'Acronis Disk Director' installiert
werden, der gehört auf 'C:'. Das Acronis Produkt arbeitet ähnlich, ist neuer
und Testsieger bei den c't Tests. Nach der Einteilung sollte man sofort das
zweite System installieren. Gebootet wird ein solches System immer von 'C:',
die gemeinsamen Bootfiles liegen auch dort. Mein 'boot.ini' in 'C:\boot.ini'
sieht so aus
[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(3)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(3)\WINDOWS="MSXP Prof Arbeitssystem - D " /fastdetect /NoExecute=OptIn
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="MSXP Prof Rettungssystem - C " /fastdetect /NoExecute=OptIn
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="MSXP Prof Kopie D mit SP2 - D " /fastdetect /NoExecute=OptIn
multi(0)disk(0)rdisk(1)partition(2)\WINDOWS="MSXP Prof Kopie D vor SP2 - D " /fastdetect /NoExecute=OptIn
Zum Booten der Linuxsysteme benutze ich nicht eines der üblichen Multibootverfahren
sondern Boot-CDs, die aus den bei jeder guten Linuxversion während des
Installationsprozesses erstellen Bootfloppies erzeugt wurden. In der geplanten
neuen Webseite zu Linux dazu mehr.
Der Vorteil der Partitionierungswerkzeuge wie die o.a. liegt darin, dass man die
Partitionen z.B. vergrößern oder verkleinern kann, ganze Partitionen können an
andere Stellen der Platte kopiert werden (Backup vor Einspielen eines
Servicepacks z.B.). Die enthaltenen Daten werden nicht zerstört. Mit Microsoft
Programmen geht das nicht.
DRINGENST rate ich zum Kauf einer Backupsoftware, mit
der Sie Ihre Partitionen sichern und ein beschädigtes System in Minutenschnelle
wiederherstellen können. Die bei Microsoft vorhandene 'Sicherung' eignet sich nicht
und auch die in MS XP vorhandene Wiederherstellungsoption hat in manchen
Fällen schon versagt.
Eine gute Wahl ist
Acronis True Image. Bei einem Platten(partitionen) Image werden die Daten
plattensektorweise 1 zu 1 hin- und zurückkopiert. Wenn Sie kein solches Tool
haben, stehen Sie bei Defekten vor der Situation, das gesamte System neu
installieren zu müssen. (Von der Seminar- bis zur Doktorarbeit ist plötzlich
alles weg !) Sie können auch nicht gefahrlos mit dem System experimentieren,
was bei einer wissenschaftlichen Ausbildung eigentlich üblich sein sollte. Es
gab auch Fälle, bei denen Microsofts Service Packs oder Patche auf einzelnen
Konfigurationen versagt haben - PC tot ! Mit €50 sind Sie dabei. Rezept :
Vor jedem Experiment ein Image der Systempartition in einen freien Plattenplatz
der 2. Platte. Mit 'True Image' geht das im laufenden System - deswegen in
meinem System der reichliche Platz auf der 2. Platte und überhaupt der Grund
für eine große 2. Platte (Die Partition am Ende der ersten Platte und die
Partition 'J:' sind Kopien von 'D:', s. o. die 'boot.ini' Einträge).
Geht etwas schief, kopieren Sie das Image zurück. Dazu wird bei 'True Image'
eine Rettungs CD erstellt. 20 GB werden in ca. 15 Minuten zurückkopiert
- mit schnellem Prozessor.
Zuletzt noch ein Wort zu schneller privater Internetverbindung. Lange Zeit war
uni@home eine gute Lösung. Über
die Angebote der Unis informieren die örtlichen Rechenzentren. In allen
Hochschulstandorten gibt es (über)regionale DSL-Anbieter, bei denen Sie für
+-€6 einen mindestens DSL 1000 Anschluß bekommen. Wenig bekannt sind die Angebote
des Deutschen Forschungsnetzes. Informieren Sie sich über 'WiNShuttle' und
'DFN@home' bei
Dienstleistungen des DFN-Vereins.
Die Tipps und Hinweise basieren nicht nur auf eigenen Kauf- und Nutzungserfahrungen
sondern auch auf solchen in einem Universitätsinstitut (Kommunikationsforschung
und Phonetik, Univ. Bonn.), Beratung anderer Institute und der Tätigkeit in
der ehemaligen Datenverarbeitungskommission der Phil. Fak. der Univ. Bonn
(PC-Pools, wissenschaftliche Arbeitsplätze, Netzplanung, etc.). In meinen
Veranstaltungen hat folgendes Rezept erfolgreich gewirkt: Den PC Kauf durch
ein einmaliges Geschenk aus dem Familien- und Verwandtschaftskreis zum Geburts-
oder einem anderen Feiertag zu finanzieren. Das Institut hat übrigens seit
Anfang der 1980er Jahre bei Transtec gekauft. Heute kauft das Institut und auch
wir privat in Bonn bei
Proton. Dort finden Sie auch einen
Konfigurator.
Wenn Sie Microsoft Systeme verwenden, sollten Sie die vorhandenen Hilfesysteme
benutzen, sehr verbessert ist das 'HelpCenter' unter XP. Bei eingeschalteter
Internetverbindung bekommen Sie auch die Nachweise in der Microsoft Knowlegde
Base - eine zentrale Referenz. Bei schneller Internetverbindung weise ich
besonders auf die 'Webcasts' hin. Von Powerpoint- bis Videopräsentationen
finden Sie umfängliches Material zu vielen Themen, sogar Schulungen zum
Umgang mit Software etc. Sehen Sie sich gründlich in
Events & Webcasts und den Unterseiten um.
Besseres Arbeiten mit virtuellen Desktops: Für WIN
XP gibt es unter den
Microsoft PowerToys for Windows XP das einzelne Tool
Virtual Desktop Manager(MSVDM), es verwaltet 4 getrennte
Desktopoberflächen. Unter den Linux/Unix Desktopmanagern (XWindows) gibt
es das schon seit langem. Sie können z.B. im ersten Desktop im Internet surfen,
im zweiten einen Text edieren, im dritten mit einer Datenbank arbeiten und im
vierten Mail schreiben. Besonders, wenn man an kleineren Bildschirmen arbeitet,
ist das Tool sehr hilfreich, genug Memory braucht man natürlich. (Viele
Zusatzsoftware neuerer Grafikkarten liefert auch so etwas.) Sie laden das Tool
"Deskman.exe" von der Webseite, mit dessen Aufruf startet die Installation.
Ihr bisher evtl. vorhandenes Hintergrundbild setzen Sie auf 'leer'. Sie können
- aber Sie müssen nicht - die Hintergrundbilder konfigurieren, indem Sie das
Kontextmenu(rechte Maustaste) der Taskleiste und dort das Symbolleistenmenu
öffnen. Mit einem Klick aktivieren sie den MSVDM:
In der Taskleiste erscheint neben dem Feld der Autostartsymbole - Systray,
wo die Uhr eingeblendet ist - ein Feld "MSVDM" mit 5 Knopfsymbolen, öffnen
sie das Kontextmenu mit Klick auf den Namen "MSVDM", dort mit nochmaligem
Klick auf "Configure Desktopimages", dann erhalten Sie:
MIt Klick auf die Zahlen 1..4 wählen Sie den jeweilgen Desktop zum Arbeiten
aus. Der linke der fünf Knöpfe hat eine zusätzliche Funktion: er zeigt alle
Desktops an, Klick auf eine Zahl wählt auch den Desktop aus. Der Pfeil im
Desktop 4 zeigt nochmal die Position des MSVDM:
Einige Hinweise zur HTML-Technik in dieser Seite. Wie an anderen Stellen auf
unseren Seiten ausgeführt, haben wir bei der letzten Umstellung der Seiten u.a.
die strikte Anwendung von Stylesheets v. CSS2 unter dem Dokumenttyp html4/strict
vorgenommen. Wir haben schon in den Anfängen unserer Seiten, in
"Alte Browserhinweise", auf Schwierigkeiten der Benutzung des "Document Object Model"
hingewiesen. In der Zwischenzeit ist ein beträchtlicher Teil der Probleme beseitigt,
d.h. die neuesten Browserversionen implementieren die
Document Object Model (DOM) Empfehlungen von W3C. Es treten aber immer noch
Unverträglichkeiten in den Implementierungen bei Mozilla/Firefox und MS
Internetexplorer auf. Die Technik auf dieser Seite und auf einigen Hauptseiten
benutzt einige der Eigenschaften von DOM, Stylesheets und Javascript um Menus
einzublenden oder Textteile zu 'verstecken' oder sie anzuzeigen, so dass sie mit
wenig Aufwand und in identischer Weise für die o.a. Browser arbeiten. Benutzt wird
hauptsächlich die DOM Eigenschaft, mit der auf identifizierbare Textobjekte Bezug
genommen wird. In Kombination von Stylesheets und Javascript können dann die
benannten Effekte erreicht werden. Wir haben eine Webseite vorbereitet, in der
alles zusammengefasst ist. Im Quellcode können Sie sich alles genau ansehen und
bei Bedarf in eigenen Webseiten verwenden. Die Stylesheetdefinitionen enthalten
die für die Seite notwendigen Teile aus unserem allgemeinen Stylesheet.
Beachten Sie, dass für die beiden Javascriptfunktionen nur eine Zeile benötigt
wird, und sehen Sie sich die HTML Zuordnungen in den Stylesheetdefinitionen
dazu an.
Bei vielen Webseitenentwicklern ist es immer noch üblich, diese Effekte mit Hilfe
von Javascriptfunktionen allein zu entwickeln. Resultat sind in der Regel
Funktionen die aus 15 oder mehr Zeilen bestehen. Aber auch in anderen Fällen
zeigt sich eine ähnliche Javascriptmanie.
Seit Herbst 2006 hat die Telekom/T-Online neue Surftarife in Ihrem Angebot.
Neukunden - Altkunden auf Wunsch - erhalten mit einer Bestellung auch
Hardware: Kombi aus (kleiner) Telefonanlage + DSL Modem. Geliefert werden
unterschiedliche Versionen der Speedport Serie.
Man kann nicht absehen, welche Version man bekommt. In mir bekannten Fällen
wurden die Typen 'W 500 (V)', 'W 501 V', 'W 700 V' und 'W 701 V' geliefert.
Zur Zeit - 23. 02. 07. - wird mit "Call & Surf Comfort" der Typ 'W 501 V' angeboten.
Die Hardware wird vom Marktfüherer AVM geliefert. (Es gibt dazu
Hinweise im Internet, es wurde mir aber auch auf telefonische Anfrage
bestätigt.) Damit ist man auf der sicheren Seite. Die Dokumentation der
T-Com stammt nicht von AVM, vom wem die Software stammt, ist nicht
ganz klar. Auf den nachfolgend angegebenen Dokumentationswebseiten findet
man Angaben wie "Quellcode Speedport W xxx V" der unter 'GNU GENERAL PUBLIC LICENSE'
veröffentlicht wird, auf den Inhalt kann ich hier nicht eingehen.
Ich habe einen Speedport W 701 V installiert. Bei der Grundkonfiguration
wird man geführt, sie verläuft normal und problemlos, ähnlich wie oben
zu meinem Gerät beschrieben. Das Webinterface ist natürlich anders. Das
mitgelieferte PDF Handbuch ist nicht immer hilfreich und bzgl.
Firewallkonfiguration gibt es keinerlei Information. Der Firewall sollte
normalerweise keinerlei Pakete durchlassen, manche Anbieter öffnen den
Firewall für den Zugang zum Internet. Man muss, wie oben geschildert alle
Portregeln selbst definieren. Im Fall des Speedport W 701 V stellte sich nun
heraus, dass man zwar die Zugänge vom WAN zum LAN einrichten kann,
Begriffserläuterung im vorangehenden Text. Man benötigt das manchmal, wenn
etwa ein Fernzugriff auf einen PC gebraucht wird (Remote Desktop oder VNC),
um z.B. Anfängern zu helfen. Man kann keinerlei Regeln vom LAN zum WAN angeben,
anders gesagt: der Speedport W 701 V ist vom
LAN zum WAN völlig offen. Fängt man sich z.B.
irgendwelche Malware ein, so kann die unbehelligt auf dem PC arbeiten. Dieser
Umstand ist gemessen an den beständigen Mahnungen zur Einhaltung von mehr
Sicherheit schlicht skandalös. Hier hat die T-Com mit der Weglassung
einer Hälfte der Firewallfunktion nicht nur an der falschen Stelle gespart,
sondern zusammen mit einem Surfpaket ein Gerät unter die Leute gebracht,
dass es in der Form eigentlich nicht geben dürfte. Es gelang
mir schließlich nach erheblichem Aufwand mit einem Mitarbeiter des zuständigen
Teams der T-Com zu sprechen. Der Mangel wurde eingeräumt und die T-Com
hat in einem FAQ zu dem Gerät den Punkt "Welche Sicherheitsfunktionen
(Firewall) bietet der Speedport W 701V gegen Angriffe aus dem Internet?"
geändert. Es wurde ein spezieller "HINWEIS" eingefügt: Es wird eine
Firewallsoftware benötigt. (Man muss den Text in diesem Punkt sehr genau lesen,
um die Tragweite zu erkennen! Natürlich gehören alle Hinweise im FAQ
eigentlich in die Dokumentation.)
Unter Windows XP, Service Pack 2, gibt es einen Firewall, die Handhabung
ist nicht ganz einfach. Bequemer sind Firewalls mit "Lernphase": Der
Firewall lernt die erlaubten ein- und ausgehenden Verbindungen. Nach
beendeter Lernphase ist alles verboten, was nicht erlaubt ist.
Wir selbst benutzen seit Jahren den
Sunbelt Kerio Personal Firewall. In diversen Tests wird vom Einsatz von
Kombipaketen (Virenschutz, Mailfilter, Firewall, Spywareprüfer) abgeraten. Die
erforderlichen Leistungen weden nicht gleichmäßig in allen Teilen erbracht und
die Administration erweist sich als kompliziert.
Zur Erhöhung der Computersicherheit Ihres PC möchte ich Ihnen noch ein
sehr gutes kostenloses Tool dringend empfehlen :
Spybot - Search & Destroy. Ursprünglich war es 'nur' ein Spyware-Tool.
Mittlerweile kann es mehr. Auf der Webseite gibt es eine Einführung. Im
Programm selbst eine umfangreiche Hilfe. Die Spy- und Malware Datenbank
erhält regelmäßige Updates. Die Einarbeitung ist nicht schwierig, den
PC regelmäßig überprüfen und Updates nachladen. Besonders hilfreich ist eine
im Hintergrund arbeitende Kontrolle, die Veränderungen am Windows Registry
überwacht und ggf. warnt.
Falls Sie eines der neueren Angebote der T-Com/T-Online wahrgenommen haben
oder es wahrzunehmen beabsichtigen, sollten Sie sich vorher informieren.
Die Angebotspakete sind nicht unattraktiv, es kommt immer auch auf die
örtlichen Anbieter an, T-Online und 1&1 sind regelmäßig die Testsieger bei
Internetprovider Tests. Grundsätzlich sollten Sie wissen, ob der Provider
über eigene Netze verfügt oder nicht doch bei der T-Com mietet.
Die Informationen zum Speedport bei der T-Com sind nicht einfach zu finden.
Nachfolgend die Auswahlwege zu den beiden Bereichen. Ein '→' zeigt
den nachfolgenden Schritt. Start ist immer
T-Com: FAQ :
Start →
Faq & Hilfe →
FAQ →
Auswahl: Telefone, Anlagen & mehr →
Auswahl: Netzwerkkomponenten →
Auswahl: Speedport Serie →
Auswahl: Modell auswählen
Bedienungsanleitung etc. :
Start →
Service →
Downloads →
Bedienungsanleitungen →
Auswahl: Netzwerkkomponenten →
Auswahl: Speedport Serie →
Auswahl: Modell auswählen.
