ITS Skript 12.Klasse SI - Musterlösung PDF

INFORMATIONSTECHNISCHE SYSTEME JAHRGANGSSTUFE 12 - SI TEILBEREICH GERG Version: 1.01 Robert Gerg Seite 1 von 37 INHALT Wiederholungsaufgaben aus VS............................................................................................................................. 4 Allgemeine Fragen aus VS 10.............................................................................................................................. 4 Allgemeine Fragen aus VS 11.............................................................................................................................. 5 Strukturierte Verkabelung.............................................................................................................................. 5 Header............................................................................................................................................................ 5 Netzwerkfunktionalität.................................................................................................................................. 5 DHCP............................................................................................................................................................... 6 ARP/MAC........................................................................................................................................................ 6 DNS................................................................................................................................................................. 6 Cloud Computing.................................................................................................................................................... 8 Cloud-Computing IT-Kostenbremse für den Mittelstand?................................................................................ 8 Mittelstand fürchtet Abhängigkeit und Sicherheitslücken............................................................................. 8 Laufende Kosten statt teurer Investitionen................................................................................................... 9 Schrittweise in die Cloud migrieren............................................................................................................. 10 Cloud Computing eine Definition..................................................................................................................... 11 Service Varianten (def. 2012)........................................................................................................................... 11 IaaS (infrastructure as a Service).................................................................................................................. 11 PaaS (Platform as a Service)......................................................................................................................... 12 SaaS (Software as a Service)......................................................................................................................... 13 BPaaS (Business Process as a Service).......................................................................................................... 14 Cloud-Arten (def. 2012).................................................................................................................................... 15 Public Cloud.................................................................................................................................................. 15 Private Cloud................................................................................................................................................ 15 Hybrid Cloud................................................................................................................................................. 16 Community Cloud......................................................................................................................................... 16 Weiterführendes in Bezug auf Cloud Computing............................................................................................. 16 Aufgaben/Übung.............................................................................................................................................. 17 Allgemeine Fragen:....................................................................................................................................... 17 AP Aufgaben:................................................................................................................................................ 17 Virtualisierung....................................................................................................................................................... 19 Übersicht........................................................................................................................................................... 19 Einführung........................................................................................................................................................ 19 Virtualisierungsarchitekturen........................................................................................................................... 19 Hosted-Architektur....................................................................................................................................... 19 Bare-Metal-Virtualisierung........................................................................................................................... 21 Fazit.............................................................................................................................................................. 22 Seite 2 von 37 Virtualisierungstechnologien............................................................................................................................ 23 Binäre Übersetzung...................................................................................................................................... 23 Hardwareunterstützung............................................................................................................................... 23 Paravirtualisierung....................................................................................................................................... 23 Fazit................................................................................................................................................................... 23 Aufgaben/Übungen.......................................................................................................................................... 24 Allgemeine Fragen:....................................................................................................................................... 24 AP Aufgaben:................................................................................................................................................ 24 Firewall.................................................................................................................................................................. 25 Definition:......................................................................................................................................................... 25 Aufgaben einer Firewall.................................................................................................................................... 25 Aufbau einer Firewall........................................................................................................................................ 26 Paketfilter..................................................................................................................................................... 26 Applikation Gateway.................................................................................................................................... 28 Firewall – Architekturen................................................................................................................................... 29 Dual-Homed-Host/bastion Host................................................................................................................... 29 Screened-Host.............................................................................................................................................. 29 Einfache DMZ............................................................................................................................................... 30 Back to Back – Firewall................................................................................................................................. 31 Aufgaben/Übung.............................................................................................................................................. 33 Allgemeine Fragen:....................................................................................................................................... 33 AP Aufgaben:................................................................................................................................................ 33 Seite 3 von 37 WIEDERHOLUNGSAUFGABEN AUS VS Einleitend beginnen wir mit Fragen/Aufgaben aus dem bekannten Themenbereichen, um den aktuellen Wissenstand aufzufrischen. ALLGEMEINE FRAGEN AUS VS 10 1. Erläutern Sie die Aufgaben, die von folgenden OSI-Layern erfüllt werden: Presentation, Session, Physical, Network, Data Link, Transport, Application 2. Stellen Sie dem OSI-Modell das TCP/IP-Schichtenmodell gegenüber! 3. Nennen Sie fünf Gründe, die für ein Schichtenmodell im Netzwerk sprechen und erläutern Sie diese kurz. 4. Nennen Sie 3 Protokolle der Anwendungsschicht und die Bedeutung dieser Abkürzungen. 5. Erläutern Sie zwei Gründe, warum man im Transport-Layer von einer sicheren Übertragung spricht. 6. Beschreiben Sie je zwei Aufgaben der 4 Layer des TCP/IP-Modells. 7. Skizzieren Sie das TCP/IP Modell am Beispiel eines Datentransfers mit Hilfe eines FTP Programms. 8. Beschreiben Sie die Aufgaben der sieben Schichten des OSI-Modells anhand eines praktischen Beispiels; z.B. E-Mail-Versand, Zugriff auf einen FTP-Server… 9. Erklären Sie den Begriff „Segmentierung“ im Zusammenhang mit dem OSI-Modell! 10. Nennen Sie zwei Protokolle, die der Transportschicht zugeordnet werden. 11. Benennen Sie ganz allgemeingültig die Adressen auf der Vermittlungsschicht und nennen Sie dazu zwei Beispiele. 12. Beschreiben Sie den Vorgang der Fragmentierung (Network-Layer) an einem praktischen Beispiel. 13. Erklären Sie den Vorgang, der auf der Sicherungsschicht die fehlerfreie Übertragung zwischen zwei Hosts gewährleistet. 14. Skizzieren Sie den Aufbau eines Ethernets-Frames! 15. Welche Hardware wird der Bitübertragungsschicht zugeordnet? 16. Warum werden die Netzwerktopologien (z.B. Ethernet, Token-Ring) dem zweiten OSI-Layer zugeordnet? 17. Was beschreibt bei einem Switch die sogenannte Latenzzeit? 18. Gegeben ist folgender Auszug aus einem Switch-Datenblatt. Erläutern Sie diese Eigenschaften: a) 24 Port 10/100/1000 Mbps auto negotiation b) forward method: store and forward, cut through, fragment free c) MAC-Addresses: 8000 d) Backplane: 9,6 Gbps e) VLAN f) unterstützt das Spanning Tree Protokoll g) link Aggregation 19. Laut Datenblatt besitzt ein 48-Port 10/100/1000 Mbps Switch eine Backplane von 96Gbps. Ist diese Backplane ausreichend? Belegen Sie dies durch eine Rechnung. 20. Bei einem Switch unterscheidet man verschiedene Arten der Weiterleitung, nennen Sie drei Switching- Methoden und erklären Sie die unterschiedlichen Verfahren. 21. Beschreiben Sie die Vor- und Nachteile dieser Mechanismen. 22. Erläutern Sie den Aufbau einer MAC-Adresse. 23. Erklären Sie den Begriff „Encapsulation“ und nennen Sie die Namen der Datenpakete in der richtigen Reihenfolge. 24. Was versteht man unter der sog. „Präambel“? Seite 4 von 37 ALLGEMEINE FRAGEN AUS VS 11 STRUKTURIERTE VERKABELUNG 1. In Ihrer Firma müssen neue Datenleitungen verlegt werden. Sie wollen dies in Form einer strukturierten Verkabelung durchführen. a) Skizzieren Sie für Ihr Firmen LAN (3 Gebäude mit jeweils 3 Etagen) einen solchen Entwurf. b) Benennen Sie die einzelnen Bereiche mit Fachbegriffen, geben Sie an, welche Kabel verwendet werden und begründen Sie ihre Kabelwahl. c) Geben Sie an, für welche Frequenzen die jeweiligen Kategorien zugelassen sind. 2. Die Datenübertragung mit Hilfe von Glasfaserleitungen wird immer häufiger angewendet. Welche Vor- bzw. Nachteile gibt es bezüglich dieser Übertragungsart? 3. Bei der Übertragung mit LWL spricht man von auch von einer Unempfindlichkeit gegenüber EMI und RFI. Was bedeuten diese Begriffe? 4. Erläutern Sie fünf Gründe, warum die Übertragung mittels Glasfaserleitung einer Kupferübertragung vorzuziehen ist. 5. Skizzieren Sie den Aufbau eines Glasfaserkabels. 6. Bei der Netzwerkübertragung werden drei verschiedene LWL verwendet. a) Nennen Sie die Bezeichnung der verschiedenen Fasern! b) Erklären Sie den Aufbau dieser Fasern! c) Beschreiben Sie die Art der Übertragung in den unterschiedlichen Glasfasern! d) Nennen Sie typische Anwendungsbeispiele aus der Praxis von zwei Glasfasertypen! HEADER 1. Gegeben ist folgende Mitschnitt eines Ethernet Frame: 00 1c 4a 55 ac b7 00 1a 73 5f a0 84 08 00 45 00 00 3f 68 31 00 00 80 11 4f ba c0 a8 00 74 c0 a8 00 fe d2 b3 00 35 00 2b 98 85 00 04 01 00 00 01 00 00 00 00 00 00 04 6f 63 73 70 08 76 65 72 69 73 69 67 6e 03 63 6f 6d 00 00 01 00 01 a) Wie lauten die beiden MAC-Adressen? b) Tragen Sie die IP-Daten in den gegebenen IP-Header ein. c) Welches Nutzlastprotokoll wird verwendet? d) Übertragen Sie die Daten in die entsprechenden Felder des TCP-Headers e) Wie lauten die Port-Adressen in dezimaler Form? f) Berechnen Sie die dezimalen IP-Adressen. g) Welche Anwendung wird mit diesem Frame angesprochen? h) Zu welchen Gruppen von Ports gehören die beiden verwendeten Ports? NETZWERKFUNKTIONALITÄT 1. Sie sind Netzwerkadministrator der Firma XYZ und sollen ihr bestehendes Klasse B Netz 183.13.0.0 /16 in 16 Subnetze aufteilen. Folgende Aufteilung soll erreicht werden: Netz A, B und C – je 1000 Hosts Netz D, E, F und G – je 200 Hosts Netz H, I, J und K – je 50 Hosts die restlichen Subnetze sollen für Transfernetze verwendet werden. Führen Sie ein Subnetting mit VLSM durch, erstellen Sie ein Tabellen mit den Netzadressen und Subnetzmasken. 2. Bestimmen Sie zu folgenden IP-Adressen die Netzadresse und die Broadcastadresse a) 134.76.45.34 /27 b) 217.98.100.67 /30 c) 14.89.45.121 /14 3. Welche von folgenden IP-Adressen können zur Adressierung von Hosts verwendet werden? Begründen Sie ihre Aussage. a) 127.13.57.123 /8 Seite 5 von 37 b) 225.23.45.65 /24 c) 134.45.128.0 /17 4. Zeigen Sie die Vorteile und Nachteile von dynamischem und statischem Routing auf! 5. In großen Netzten wie dem Internet spielt Routing eine sehr große Rolle. 6. Beschreiben Sie den Unterschied zwischen dynamischem und statischem Routing. Nennen Sie jeweils zwei Vor- und Nachteile von dynamischem Routing! 7. Beschreiben Sie die Funktionsweise von RIP. 8. Welche Verbesserung erfolgte bei der Einführung von RIP Version 2? 9. Nennen Sie vier Eigenschaften von RIP. 10. Nennen Sie zwei unterschiedliche dynamische Routing-Arten und nennen Sie dazu je ein Beispiel. Distance Vector Routing – RIP, Link State Routing – OSPF 11. Zeigen Sie die Vorteile und Nachteile von dynamischem und statischem Routing auf! DHCP 1. Beschreiben Sie die Aufgabe des DHCP-Protokolls. 2. Skizzieren Sie einen DHCP-Request! 3. Erläutere je vier Vor- und Nachteile beim Einsatz eines DHCP-Servers im Netzwerk! 4. Beschreiben Sie, warum der Einsatz von DHCP-Servern die Verwaltungsarbeit in einem Netzwerk erheblich vereinfacht. 5. Erläutern Sie an einem praktischen Beispiel die Aufgabe und Funktion von sog. Reservierungen in Zusammenhang mit DHCP. 6. Wozu werden sog. DHCP-Optionen verwendet? Nennen Sie dazu fünf Beispiele. 7. Was versteht man unter einem Relay-Agent? 8. Geben Sie zu folgenden Begriffen zu DHCP eine kurze Erklärung: Lease Time – Addresspool – Optionen - Transaction ID -Renewal Time ARP/MAC 1) Erkläre wozu das ARP-Protokoll benötigt wird! 2) Beschreibe den Vorgang eines ARP-Requests! 3) Welche Auswirkung hat der Befehl „arp –a“ auf der Kommandozeile? 4) Wie kann man den lokalen ARP-Cache löschen? 5) Geben Sie an, welche MAC-Adresse im Destination Bereich eines Frames eingetragen wird, wenn sich das Ziel des außerhalb des eigenen LANs befindet. DNS 1. Erläutern Sie DNS? 2. Wozu dient DNS? 3. Welche Vorteile bietet DNS? 4. Nennen Sie zwei unterschiedliche Zonentypen, die bei einem Standard DNS-Server erstellt werden können. Primäre Zone (schreiben u. lesen), Sekundäre Zone (Kopie der Primären Zone) 5. Wodurch unterscheiden sich Forward- und Reverse-Lookup? 6. Nennen Sie die drei Hauptkomponenten von DNS! 7. Beschreiben Sie den Begriff DNS-Zone. 8. Welche Aufgabe besitzen die sog. ROOT DNS-Server? 9. Bestimmen Sie ein Beispiel für einen Fully Qualified Domain Name. 10. Beschreiben Sie den Unterschied zwischen einer primären (lesen und schreiben, verwaltet vom primären DNS) und einer sekundären (nur lesen, gespeichert am sekundären DNS) Zonendatenbank- Datei! 11. Erklären Sie den Begriff „Forward-Lookup-Abfrage“! 12. Beschreiben Sie den Ablauf einer Namensauflösung mit DNS am Beispiel von www.itbspa.de 13. Beschreiben Sie folgende Einträge aus einer DNS-Zonendatenbankdatei: A – Record, MX, PTR, CNAME, SRV 14. Beschreiben Sie den Unterschied der Namensauflösung anhand der Hosts- Datei. 15. Erläutern Sie folgende Ausgabe von NSLOOKUP: Seite 6 von 37 Server: it1sw3s001.itbspa.local Address: 172.16.1.1 Nicht autorisierte Antwort: Name: www.l.google.com Addresses: 74.125.79.124, 74.125.79.104 Aliases: www.google.de 16. Beschreiben Sie die Aufteilung der Verantwortlichkeiten im DNS-Namespace am Beispiel von www.itbspa.de. 17. Wozu wird der sog. Resolver benötigt? 18. Auf welchem Port werden DNS Anfragen gestellt. 19. Welches Transportschichtprotokoll wird in der Regel für eine DNS Anfrage verwendet? Seite 7 von 37 CLOUD COMPUTING Einleitend zu dieser Thematik ein Whitepaper aus dem Jahre 2012 von comarch CLOUD-COMPUTING IT-KOSTENBREMSE FÜR DEN MITTELSTAND? Schon seit geraumer Zeit bestimmt das Stichwort Cloud Computing die Diskussion im IT-Markt. Doch viele Mittelständler zögern noch, es mit dem neuen, serviceorientierten Liefermodell für IT-Bedarfe zu probieren. Welche Vorteile und Risiken bietet Cloud dem Mittelständler wirklich? Cloud Computing ist in aller Munde. Das Thema durchzieht die Fachpresse und die Diskussionen der IT- Spezialisten. Der Markt wächst stark: So prognostizierten die Analysten der Experton Group dem deutschen Cloud-Markt im Mai 2011 einen Umsatz von 2 Milliarden Euro nach 1,1 Milliarden Euro im Vorjahr. Dominant ist dabei das Segment SaaS, also die Nutzung bestimmter Programme, beispielsweise Ver-triebssteuerung (Salesforce und andere) oder Office-Lösungen (z.B. Google/Microsoft) über das Internet. Zum Vergleich: Der deutsche Soft- waremarkt umfasste 2011 um die 15 Milliarden Euro Umsatz. SaaS hat also derzeit einen Anteil von etwa zehn bis 15 Prozent. Dieser dürfte allerdings schnell weiter wachsen. Immerhin 58 Cloud- Anbieter verzeichnete die Experton Group in ihrem Cloud Vendor Benchmark auf dem deutschen Markt, neunzehn davon für den Mittelstand. Doch was können Unternehmen von ihnen erwarten? Die Versprechungen der Technologie sind sehr verlockend. Denn es geht um nicht mehr und nicht weniger als ein neues, serviceorientiertes Liefermodell für die Informationstechnik samt Soft- ware. Das könnte eine Lösung für viele IT-Probleme gerade von Kleinunternehmen und Mittelstand sein. Ihnen stehen für die Informationstechnik häufig weniger Ressourcen zur Verfügung, als aus rein sachlichen Gesichtspunkten wünschenswert wäre. Doch weil die IT nur selten das Kern-geschäft ist, qualifizierte IT-Kräfte rar und teuer sind, bleibt es meist beim Unverzichtbaren. Dann müssen sich wenige IT-Fachkräfte oder gar andere Mitarbeiter „nebenbei“ mit den IT- Aufgaben herumschlagen: von der Installation neuer bis zum Update alter Maschinen, von der Beschaffung und Verwaltung ausreichender Speicherkapazitäten bei rasantem Datenwachstum bis zur Bereitstellung schneller Verbindungen für Internet-Präsenzen, vom Aufbau eines Web-Shops bis zum schnellen, zuverlässigen Dokumentenaustausch mit Partnern, um auf dem globalisierten Markt mit der Konkurrenz und den Wünschen der Kunden mitzuhalten. Nicht zu vergessen, soll jede Lösung auch noch rechts- und regelkonform, sicher und bitte bezahlbar sein. Kein Wunder, dass in dieser Situation strategische Überlegungen und neue Konzepte oft genug auf der Strecke bleiben. Hier könnten Cloud-Services eine Lösung sein. MITTELSTAND FÜRCHTET ABHÄNGIGKEIT UND SICHERHEITSLÜCKEN Dennoch fürchten viele Mittelständler den Einstieg in diese Technologie, weil sie sie noch nicht kennen und Fehlschläge fürchten. Größere Summen für IT-Projekte abzuschreiben, würde vielen Mittelständlern schlicht die Existenz kosten. Sie kön-nen sich kostspielige IT-Experimente mit ungewissem Ausgang schlicht nicht leisten. Besonders fürchten viele potentielle Cloud-Nutzer um ihre Daten: Datenschutz und Datensicherheit müssen, so meinen sie zu Recht, beim Dienstleister sicher gewährleistet sein. Dies nicht nur aus unternehmensinternen Gründen. In Deutschland gilt entsprechend dem Bundes-Datenschutzgesetz und der entsprechenden europäischen Richtlinien der Grundsatz: Wer Daten außerhalb des Unternehmens von Dritten aufbewahren lässt, bleibt trotzdem und unabdingbar für diese Daten verantwortlich und muss dafür sorgen, dass diese Daten bei den beauftragten Dienstleistern ordnungsgemäß verwaltet werden. Dafür ist das Management straf- und zivilrechtlich verantwortlich. Bestimmte Datenarten dürfen überhaupt nur im Inland aufbewahrt werden, besonders streng sind die Anforderungen an persönliche Daten. Wie sicher und wo aber ein Cloud-Dienstleis- ter beispielsweise Daten aufbewahrt oder Programme abspielt, die beim Cloud-Kunden auf dem Bildschirm Seite 8 von 37 erscheinen, können gerade kleine Firmen kaum wirksam mit zumutbarem Aufwand kontrollieren. Heikel ist dies vor allem dann, wenn der Partner diese Daten womöglich im außereuropäischen Ausland, etwa inden USA hält, wo durch das zur Terrorabwehr erlassene „Heimatschutzgesetz“ (Patriot Act, 2001) staatlichen Stellen bei Terrorverdacht direkte Durchgriffe auf alle Datenbestände gestattet. Zudem fürchten Mittelständler ihre mangelnde Verhandlungsmacht gegenüber Großanbietern wie Microsoft oder Amazon. Sie können nicht, wie milliardenschwere Großkunden, im Zweifel jahrelange Prozesse durchstehen, um beispielsweise Schadensersatzforderungen gegen im außereuropäischen Ausland angesiedelte Dienstleister durchzusetzen. Solche Auseinandersetzungen können sich zum Beispiel durch Streit um die zugesicherte Servicequalität und ihre Einhaltung ergeben. Besonders ärgerlich ist das, wenn aufgrund einer mangelhaften Leistung des Cloud-Anbieters finanzieller Schaden entstanden ist. Dies gilt erst recht, da die tatsächlichen Leistungsversprechen und –garantien in Cloud-Verträgen oft noch nicht den hiesigen Vor- stellungen solider Offerten aus Sicht der Kunden entsprechen. Schließlich fürchten potentielle Cloud-Nutzer eine zu enge Bindung an ihren Cloud-Partner. Sie könnte ihnen einen Anbieterwechsel erschweren. Und was geschieht, wenn der Cloud-Partner insolvent wird? Mittelständlern wird bei der Vorstellung, wie sie dann ihre Daten wiederbekommen, flau im Magen. LAUFENDE KOSTEN STATT TEURER INVESTITIONEN Doch auf all diesen Gebieten gibt es rasante Bewegungen – schließlich hat die Branche selbst größtes Interesse daran, das Vertrauen potentieller Kunden zu gewinnen. Nicht umsonst heißt das Motto der CeBIT 2012 „Managing Trust“ – ohne Vertrauen geht auf dem Cloud-Markt nichts. Immer mehr lokale oder auf europäische Kunden und ihre Anforderungen fokussierte Cloud-Anbieter treten auf. Deshalb muss sich heute niemand mehr mit einem — in seinen Augen — übermächtigen außereuropäischen Vertragspartner einlassen. Sie beachten selbstverständlich die deutschen und europäischen Gepflogenheiten – hinsichtlich der Leistungsversprechen, der Vertragsgestaltung und auch der Datenhaltung. Auch bemühen sich immer mehr Anbieter, beispielsweise durch Zertifizierungen oder klar definierte Servicequalitätsvereinbarungen, den Kunden ein Vertrauen erweckendes Sicherheits- und Qualitätsniveau zu bieten. Die Hindernisse, die Mittelständler bisher von der Nutzung von Cloud-Angeboten abgehalten haben, verschwinden also Stück für Stück, so dass immer mehr Unternehmen sich zu einem Test entschließen und inzwischen häufig sehr positive Erfahrungen machen. Denn Cloud-Services bieten ihren Anwendern große Vorteile. Der wichtigste besteht darin, dass Unternehmen Infrastruktur und/oder Software, die sie brauchen, nicht mehr selbst auf dem Weg der Investition beschaffen müssen. An die Stelle dieser häufig kreditfinanzierten Investitionen, die den Finanzstatus des Un-ternehmens verschlechtern, treten überwiegend laufende und klar quantifizierte Kosten. Sie können, eine auf bedarfsgerechte Nutzung ausgelegte Vertragsgestaltung vorausgesetzt, bei schlechterem Geschäftsgang sofort gesenkt werden und entlasten dann das Budget des Cloud-Kunden. Die alle drei bis fünf Jahre fällige Aktualisierung der Hardware entfällt für die Bereiche, für die ein externer Dienstleister die Infrastruktur stellt. Gerade in wirtschaftlich unsicheren Zeiten wie der heutigen ist das ein Plus, das man aus Sicht des Mittelstandes kaum über-schätzen kann: Wer nämlich seine IT-Bedarfe vorwiegend aus dem laufenden Budget befriedigt, kann das vorhandene Kapital und Kreditvolumen um so effektiver in seine Kernaufgaben investieren. Zudem wirtschaften professionelle IT-Dienstleister erheblich ressourceneffizienter. Während speziell Server im Unternehmens-RZ häufig nur zu zehn oder 20 Prozent ausgelastet sind, aber trotzdem laufen, gekühlt werden müssen und deshalb auch Strom verbrauchen, erreichen Dienstleister mit ihren Groß-Rechenzentren hier meist erheblich bessere Werte und bekommen zudem als industrielle Abnehmer auch bessere Stromtarife – in Zeiten steigender Strompreise ein nicht unwichtiger Faktor. Weil sie Massenabnehmer sind, erhalten sie in der Regel auch bei Hard- und Softwarelieferanten günstigere Konditionen – das sollte sich am Ende auch auf der Rechnung des Cloud-Kunden niederschlagen. Wer weniger Systeme hat, muss auch weniger in Support und Wartung investieren. Der verringerte Wartungsaufwand senkt unter Umständen den internen IT-Personalbedarf. Das vorhandene IT-Personal muss sich nicht mehr hauptsächlich damit beschäftigen, die bestehenden Systeme in Schuss zu halten. Vielmehr können die IT-Fachleute nun neue strategische Initiativen entwickeln, um die IT enger als bisher am Geschäftszweck auszurichten. Ein weiterer Vorteil von Cloud ist mehr Flexibilität, auch bei der Abrechnung: Günstigenfalls können Cloud- Kunden aus unterschiedlichen Bezahlmodellen (per User, per Megabyte, per Prozessauslastung, per SAPS, pauschal pro Stunde/Tag/Monat etc.) wählen. In technischer Hinsicht beschleunigt sich vieles: Während es oft Wochen oder Monate dauert, einen Server auf konventionellem Weg zu beschaffen, benötigt man in Cloud- Umgebungen dafür häufig nur Tage oder gar Stunden. Dadurch können Unternehmen auf interne und externe Anforderungen erheblich schneller reagieren. Seite 9 von 37 Viele Sicherheitsprobleme verlieren ihren Schrecken. Denn nur selten sind die Daten gerade in kleineren oder mittelständischen Betrieben optimal gesichert und geschützt. Diese Aufgabe kann ein professioneller Anbieter, der seinen Kunden die Lösung dieser Aufgaben nach den europäischen und deutschen Richtlinien glaubwürdig garantiert, oft besser erfüllen. Denn sie steht im Zentrum seines Geschäftsinteresses. Wegen seiner Größe kann ein Cloud-Dienstleister zudem auf anspruchsvollere technologische Lösungen zurückgreifen, die für eine Umgebung mit nur wenigen PCs oder Servern schlicht nicht bezahlbar wäre. SCHRITTWEISE IN DIE CLOUD MIGRIEREN Den kompletten Sprung in die Cloud-Welt wird trotz all dieser Vorteile kaum ein Unternehmen wagen. Er ist auch nicht anzuraten. Sinnvoll ist ein schrittweises Vorgehen, bei dem das Unternehmen durch positive Erfahrungen Vertrauen in die neue Technologie gewinnt und zu unterscheiden lernt, welche IT-Prozesse letztlich auch von externen Dienstleistern geliefert wer-den können und welche, beispielsweise aus rechtlichen oder wettbewerblichen Gründen, vorläufig in eigener Regie erbracht werden sollten. Oft wird am Anfang eines Cloud-Projekts die konsequente Konsolidierung, Automatisierung und Zentralisierung der eigenen Infrastruktur stehen. Ein logischer weiterer Schritt ist die Zusammenfassung möglichst vieler IT- Dienste in einer Private Cloud, die das Unternehmen selbst noch unter voller Kontrolle hat. Funktioniert das, kann man dazu übergehen, einzelne Bereiche oder Anwendungen an sorgfältig, am besten per Ausschreibung, ermittelte externe Cloud-Dienstleister zu vergeben. Dabei entsteht eine sogenannte Hybrid Cloud, die sich aus intern und extern erbrachten, für den Anwender aber transparenten integrierten Services zusammensetzt. Der IT-Manager wird durch eine solche Entwicklung noch stärker als bisher zum Integator. Eine seiner wichtigen Kompetenzen liegt in der vom Cloud-Paradigma geprägten Zukunft darin, zu unterscheiden, welche Services am besten wie und von wem erbracht werden können. Dafür braucht er neben technischem auch erhebliches betriebswirtschaftliches Wissen. Er muss auswählen, welche Anbieter diese Services am besten in der gewünschten Sicherheit, Flexibilität, Qualität und Preisklasse zur Verfügung stellen und die entsprechenden Verträge so gestalten, dass sie die Bedürfnisse des Unternehmens möglichst gut bedienen. Gelingt dies, kann Cloud Computing für seine Anwender zu einem neuen IT-Produktivitätsmotor werden und ganz neue Anwendungsmöglichkeiten erschließen. Notizen Seite 10 von 37 CLOUD COMPUTING EINE DEFINITION Somit beschreibt Cloud Computing den Ansatz Infrastrukturen, Plattformen, Services & weitere IT-Ansätze, bedarfsgerecht/dynamisch an den Bedarf des Users anzupassen. Die Bereitstellung dieser Services erfolgt über das Netzwerk bzw. Internet. SERVICE VARIANTEN (DEF. 2012) Hier eine Grafik wie z.B. Gartner die Servicevarianten aufteilt IAAS (INFRASTRUCTURE AS A SERVICE) IaaS (Infrastructure-as-a-Service) ist eine sofort nutzbare Computinginfrastruktur, die über das Internet bereitgestellt und verwaltet wird. Die Ressourcen dieser Infrastruktur können nach Bedarf zentral hoch- oder herunterskaliert werden, und Sie zahlen nur für die Ressourcen, die Sie auch tatsächlich nutzen. Seite 11 von 37 Mit IaaS gehören die Kosten und die Komplexität, die mit dem Erwerb und der Verwaltung eigener physischer Server und Datencenter-Infrastrukturkomponenten einhergehen, der Vergangenheit an. Jede Ressource wird als separate Dienstkomponente angeboten, und Sie leihen eine Ressource nur so lange aus, wie Sie sie benötigen. Während Sie die Software (Betriebssysteme, Middleware und Anwendungen) selbst erwerben, installieren, konfigurieren und verwalten, übernimmt der Cloud Computing-Dienstanbieter die Verwaltung der Infrastruktur. Der Dienstleister stellt die Hardware, Kühleinrichtungen, Strom- bzw. Notstromversorgung zur Verfügung. Alles andere obliegt dem Kunden bzw. dem User. PAAS (PLATFORM AS A SERVICE) PaaS (Platform-as-a-Service) ist eine vollständige Entwicklungs- und Bereitstellungsumgebung in der Cloud, über die Sie Zugang zu den erforderlichen Ressourcen erhalten, um verschiedenste Lösungen bereitstellen zu können – von einfachen cloudbasierten Apps bis hin zu ausgereiften cloudfähigen Unternehmensanwendungen. Sie erwerben die erforderlichen Ressourcen basierend auf einem nutzungsabhängigen Zahlungsmodell von einem Clouddienstanbieter und greifen über eine sichere Internetverbindung darauf zu. Genau wie IaaS umfasst PaaS Infrastrukturkomponenten wie Server, Speicher und Netzwerkelemente. Zusätzlich bietet PaaS jedoch Middleware, Entwicklungstools, BI-Dienste (Business Intelligence), Datenbank- Verwaltungssysteme und mehr. Mit PaaS lässt sich der gesamte Webanwendungs-Lebenszyklus unterstützen – vom Erstellen, Testen und Bereitstellen der Anwendungen bis hin zu deren Verwaltung und Aktualisierung. Entscheiden Sie sich für PaaS, um die Kosten und die Komplexität zu umgehen, die mit dem Erwerb und der Verwaltung von Softwarelizenzen, der zugrunde liegenden Anwendungsinfrastruktur und Middleware oder den Entwicklungstools und anderen Ressourcen einhergehen. Bei PaaS verwalten Sie die Anwendungen und Dienste, die Sie selbst entwickeln, während der Clouddienstanbieter üblicherweise die Verwaltung aller anderen Komponenten übernimmt. Seite 12 von 37 Neben der gesamten Infrastruktur vergl. IaaS werden vom Dienstleister auch Hardwarenahe Software (OS & Virtualisierungen) bereitgestellt und gepflegt. Alles weitere obliegt dem Kunden/User SAAS (SOFTWARE AS A SERVICE) Mit SaaS (Software-as-a-Service) können Benutzer sich über das Internet mit cloudbasierten Apps verbinden und diese nutzen. Gängige Beispiele sind E-Mail-, Kalender- und Office-Tools (z. B. Microsoft Office 365). SaaS bietet eine umfassende Softwarelösung, die basierend auf einem nutzungsabhängigen Zahlungsmodell von einem Clouddienstanbieter erworben wird. Sie zahlen also eine Leihgebühr für eine App, und Ihre Benutzer verbinden sich über das Internet mit der App (üblicherweise unter Verwendung eines Webbrowsers). Die gesamte zugrundeliegende Infrastruktur, Middleware und App-Software sowie die App-Daten befinden sich im Datencenter des Dienstanbieters. Der Dienstanbieter verwaltet die Hardware und die Software und stellt bei Abschluss eines entsprechenden Servicevertrags auch die Verfügbarkeit und Sicherheit der App und Ihrer Daten sicher. Mit SaaS kann Ihr Unternehmen eine App im Handumdrehen bereitstellen und nutzen – und das mit minimalen Investitionskosten. Der SaaS umfasst den IaaS bzw. PaaS als Grundlage. Bei dieser Art des Service werden Softwareanwendungen im Netz bereitgestellt und können vom User genutzt werden (z.b. O365) Seite 13 von 37 BPAAS (BUSINESS PROCESS AS A SERVICE) Der BPaas beschreibt wohl das komplexere Gebilde eines Cloud-Computing Prozesses. Gemeint Sein kann z.B. eine externe automatisierte Lohnverarbeitung. Immer mehr Bedeutung hat dieser Prozess allerdings für die Industrie im Zusammenhang mit den Schlagworten IoT (Internet of Things) und Industrie 4.0. Diese neueren Techniken wollen ja nichts anderes wie Automatisierungstechniken miteinander vernetzen (mit automatisierten Prozessen) und dieses IoT dann wiederum mit dem Menschen und oder anderen Softwareteilen. Bereitstellung von ganzen Geschäftsprozessen in der Cloud -> große Buchungssysteme für den Luftverkehr oder Industrie 4.0 Anwendungen Seite 14 von 37 CLOUD-ARTEN (DEF. 2012) Die Grundlegenden Prozesse und Strukturen sind aber nur die eine Seite des Cloud-Computing Ansatzes, die andere wichtige Definition ist wo werden die Daten abgelegt die in der Cloud Verarbeitet bzw. bearbeitet werden. PUBLIC CLOUD Dies ist eine standardisierte IT-Umgebung, die vom Anbieter extern betrieben wird. Die Angebote Services sind öffentlich und können von allen Unternehmen bezogen werden. Der Cloud Kunde kontrolliert nur den internen Teil der physischen Infrastruktur direkt (Webverbindung oder ThinClients) sowie das interne IT-Personal. Ansonsten gelten Lieferverträge und Dienstgütevereinbarungen PRIVATE CLOUD Ist eine von einer internen IT-Abteilung oder von einem Dienstleister angebotene, standardisierte (aber auch skalierbare) IT-Umgebung. Die Angebote bzw. Services stehen ausschließlich diesem Unternehmen zur Verfügung. Das Unternehmen hat die volle Kontrolle über Infrastruktur, Anwendungen und Personal Seite 15 von 37 HYBRID CLOUD Ein Teil der IT-Services wird intern, z.B. aus einer Privaten Cloud, erbracht. Ein anderer von einem externen Dienstleister zugeliefert. Das Unternehmen kontrolliert nur einen Teil der Infrastruktur, der Anwendungen und des Personals direkt, ansonsten gelten Lieferverträge und Dienstgütevereinbarungen COMMUNITY CLOUD Eine Form der Private Cloud die auf einen bestimmten User Kreis begrenzt ist. z.B. Cloudsystem nur für Partner, Lieferanten und Projektbeteiligte WEITERFÜHRENDES IN BEZUG AUF CLOUD COMPUTING Im Geschäftsleben werden im Zusammenhang immer wieder einige Betriebswirtschaftlichen Begriffe aufgegriffen um das Cloud Computing besser zu vermarkten. Diese Begrifflichkeiten sind auch die Schlagwörter, welche die wichtigsten Punkte widerspiegeln, ob eine Cloud basierte Lösung für ein Unternehmen in Frage kommt. INTEGRATION: Beschreibt die Integrationsmöglichkeit der Cloud-Lösung in das bestehende IT-Gebilde SICHERHEIT: Sicherheit der Lösung (z.B. vor Angriffen von außen) BESCHAFFUNG: Ist die gewünschte Lösung mit den gewünschten Eigenschaften lieferbar bzw. vorhanden COMPLIANCE: (teil der Unternehmensführung) Einhalten der gesetzlichen, vertraglichen und unternehmensinternen Regelungen  transparenz & Sicherheit (BDSG) GOVERNANCE: (teil der Unternehmensführung) Schaffen von Unternehmenswerten & Risiken minimieren Seite 16 von 37 AUFGABEN/ÜBUNG ALLGEMEINE FRAGEN: Welche Vorteile bzw. Nachteile bieten Cloud Services Ihrer Meinung nach? Wie bzw. was würden Sie in Ihrer Firma in die Cloud migrieren? Wo sehen Sie Sicherheitslücken im Cloud Computing auch im Vergleich zur Firmen internen Sicherheit? Erläutern Sie den Unterschied zwischen IaaS/PaaS/SaaS/BPaaS an Hand von selbstgewählten Beispielen. Erläutern Sie den Unterschied zwischen Private/Public/Hybrid Cloud an Hand von selbstgewählten Beispielen. Nennen Sie jeweils 2 Chancen und 2 Risiken des Cloud Computings für den Mittelstand. AP AUFGABEN: Sommer 2012: Auszug aus dem 1.HS mit 19 von 25 Punkten In Cloud Computing setzt die IT-Wirtschaft große wirtschaftliche Hoffnungen. Daher hat sich auch die IT-System GmbH dieses neue Geschäftsfeld erschlossen. a) Nennen Sie zwei Eigenschaften, die das Cloud Computing wesentlich kennzeichnen. (4P) b) Cloud-Anwendungen werden sowohl im Privatbereich als auch in der Arbeitswelt genutzt. i. Nennen Sie zwei Cloud-Anwendungen, die bereits heute im Privatbereich genutzt werden. (4P) ii. Die IT-System GmbH will im Geschäftsfeld Cloud Computing Software as a Service (SaaS) anbieten. Erläutern Sie SaaS allgemein und nennen Sie ein Beispiel für eine SaaS. (5P) c) Kunden der IT-System GmbH sind Cloud-Systemen gegenüber auch skeptisch eingestellt. Nennen Sie drei Argumente, die gegen Cloud Computing sprechen. (6P) Auszug aus dem 2.HS mit 10 von 25 Punkten Die IT-Solution GmbH soll die Media AG zu Cloud Computing beraten. Die Media AG betreibt ein eigenes Rechenzentrum und plant nun die Umstellung auf Cloud Computing. Die Cloud soll von einem Provider betrieben werden. Das Beratungsgespräch wird von Ihnen vorbereitet. a) Nennen Sie zwei Vorteile von Cloud Computing durch Dienstleister gegenüber dem Betrieb eines eigenen Rechenzentrums. (4P) b) Sie sollen anhand der folgenden Abbildungen die drei Nutzungsmodelle Private Cloud, Public Cloud und Hybrid Cloud zeigen. Beschriften Sie die Abbildungen mit der jeweils entsprechenden Bezeichnung. (3x1P) Seite 17 von 37 bd) Erläutern Sie eines der drei genannten Cloud-Modelle (3P) Seite 18 von 37 VIRTUALISIERUNG ÜBERSICHT Bei der Evaluierung verschiedener Virtualisierungstechnologien ist es wichtig zu verstehen, wie Virtualisierungssoftware funktioniert. In diesem Whitepaper werden die unterschiedlichen Arten von Virtualisierungssoftware näher erläutert und die Hard- und Softwaretechniken vorgestellt, die für die Virtualisierung notwendig sind. EINFÜHRUNG Virtualisierung ist eine Technologie, die von vielen Ingenieuren in Betracht gezogen wird, um Kosten zu senken, Systemgrößen zu verkleinern und besser integrierte Systeme zu erstellen. Um Entscheidungen bezüglich des Einsatzes von Virtualisierung in Mess- und Automatisierungsanwendungen treffen zu können, müssen zuerst einmal die grundlegenden Virtualisierungsarchitekturen und -technologien betrachtet werden. Nachfolgend wird ein Überblick über diese Architekturen und Technologien gegeben, um Anwender bei der Entscheidungsfindung zu unterstützen. Dieser Artikel geht davon aus, dass Leser bereits über ein grundlegendes Verständnis der Virtualisierung und ihrer Vorteile verfügen. Grundlegende Informationen zur Virtualisierung können im Whitepaper Grundlagen der Virtualisierung nachgelesen werden. VIRTUALISIERUNGSARCHITEKTUREN Es existieren zurzeit zwei Hauptvirtualisierungsarchitekturen, die für Anwendungen genutzt werden können: Bare-Metal und Hosted. Jede Architektur hat andere Auswirkungen auf I/O-Zugriff, Determinismus und Handhabung. All dies sollte in die Überlegungen mit einbezogen werden, bevor ein virtualisiertes System erstellt wird. In den nachfolgenden Abschnitten werden beide Architekturen näher vorgestellt, einschließlich der I/O- Kommunikation (die eine wichtige Rolle spielt) sowie der jeweiligen Vor- und Nachteile. HOSTED-ARCHITEKTUR Ü BERBLICK Bei dieser Architektur wird zuerst ein Basis-Betriebssystem, wie z. B. Windows, installiert. Anschließend wird eine Software, genannt Hypervisor oder Virtual Machine Monitor (VMM), auf dem Host-Betriebssystem installiert, mit der Anwender in der Lage sind, mehrere weitere Betriebssysteme auf derselben Maschine auszuführen. Einige der gängigen Produkte, welche diese Architektur einsetzen, sind VMWare Workstation und Parallels Desktop für Mac. Nachfolgend ist ein Diagramm der Hosted-Virtualisierungsarchitektur zu sehen. Abbildung: Hosted-VMM-Software wird auf einem Host-Betriebssystem installiert. Seite 19 von 37 I/O-Z UGRIFF Bei der Hosted-Virtualisierungsarchitektur hat jede virtuelle Maschine (bzw. jedes Betriebssystem) nur auf eine begrenzte Anzahl an I/O-Geräten Zugriff. Das Host-Betriebssystem behält die Kontrolle über alle angeschlossenen physischen I/O bei, während die VMM-Software jeder virtuellen Maschine (VM) eine nachgebildete Ansicht der eigentlichen Hardware (wenn möglich) zur Verfügung stellt. Da die VMM-Software die meisten nichtgenerischen I/O-Geräte, wie z. B. PCI-Datenerfassungskarten, nicht erkennt, zeigt es diese Geräte den VMs nicht an. Es werden nur generische Geräte wie z. B. Netzwerkschnittstellenkarten und CD-ROM- Laufwerke nachgebildet und damit angezeigt. Ein Großteil der Hosted-Virtualisierungslösungen unterstützt jedoch Tunnelfunktionen für den USB-Anschluss. Diese Funktion ermöglicht Anwendern den direkten Zugriff auf USB-Geräte aus den einzelnen VMs heraus, so dass weitere I/O-Funktionen zusätzlich zu den bereits erwähnten nachgebildeten Geräten zur Verfügung stehen. So ist es mit der Hosted-Virtualisierung beispielsweise möglich, von einer VM auf ein NI-USB- Datenerfassungsgerät zuzugreifen und Daten zu erfassen. In einer Hosted-Virtualisierungsarchitektur arbeiten mehrere Softwarekomponenten zusammen, um den I/O- Zugriff zu ermöglichen. VMWare Workstations leiten I/O-Anfragen der virtuellen Maschine zuerst an eine Low- Level-VMM-Komponente, anschließend an einen Treiber und schlussendlich an eine anwenderseitige Anwendung, genannt VMApp, weiter. Die VMApp-Komponente leitet die I/O-Anfragen dann an das Host- Betriebssystem weiter. Nachfolgend ist eine Abbildung dieses Vorgangs dargestellt. Abbildung: Hosted-VMM-Software besteht in der Regel aus verschiedenen Komponenten, die miteinander kommunizieren, um die I/O-Anfragen der VMs an das Host-Betriebssystem weiterzuleiten. V OR - UND N ACHTEILE Ein Vorteil der Hosted-Virtualisierungsarchitektur liegt in der einfachen Installation und Konfiguration. Die VMWare-Workstation-Software beispielsweise kann mithilfe eines einfachen Installationsprogramms in Windows innerhalb von Minuten eingerichtet werden. Sobald die Software installiert ist, kann der Entwickler auf einem physischen Computer mehrere virtuelle Maschinen implementieren, die unterschiedliche Betriebssysteme ausführen. Ein weiterer Vorteil ist, dass Hosted-VMM-Software auf einer Vielzahl an verschiedenen PCs ausgeführt werden kann. Da ein Host-Betriebssystem bereits über die Treiber für die Kommunikation mit Low-Level-Hardware verfügt, kann VMM-Software ohne Modifikationen auf so gut wie allen Computern installiert werden. Wie bereits erwähnt, sind Hosted-Virtualisierungsarchitekturen nicht in der Lage, einen Großteil an PCI-I/O- Geräten nachzubilden bzw. Tunnelfunktionen zu bieten. Da I/O-Anfragen der VMs über das Host-Betriebssystem geleitet werden, kann es aufgrund dessen zu Leistungseinschränkungen kommen. Ein weiterer Nachteil dieser Architektur liegt in der mangelnden Unterstützung für Echtzeitbetriebssysteme. Da das zugrundeliegende Host- Betriebssystem die Ablaufkoordination der Anwendungen und der VMM-Software diktiert, ist es in der Regel nicht möglich, ein Echtzeitbetriebssystem auf einer VM deterministisch auszuführen. A NWENDUNGSBEREICHE Aufgrund der Vorteile der Hosted-Virtualisierung wird diese in der Regel für das Testen von Beta-Software (da keine dedizierte Testmaschine notwendig ist) oder die Ausführung älterer Anwendungen eingesetzt. Hosted- Virtualisierung ermöglicht zudem die schnelle Ausführung verschiedener Betriebssysteme auf einem PC, was nützlich sein kann, wenn häufiger Zugriff auf verschiedene Anwendungen notwendig ist. Seite 20 von 37 BARE-METAL-VIRTUALISIERUNG Ü BERBLICK Die zweite gängige Virtualisierungsarchitektur ist Bare-Metal. Bei dieser Architektur kommuniziert die installierte VMM-Software (auch Hypervisor genannt) direkt mit der Systemhardware, ohne dass ein Host-Betriebssystem dazwischenliegt. Die nachfolgende Abbildung zeigt diese Architektur. Abbildung : Bare-Metal-VMM-Software wird direkt auf die Systemhardware installiert. I/O-Z UGRIFF Bare-Metal-Virtualisierungslösungen bieten eine Reihe an I/O-Zugriffsoptionen für virtuelle Maschinen. Da kein Host-Betriebssystem dazwischenliegt, kann der Hypervisor direkt mit den I/O-Geräten kommunizieren. Um die angeschlossenen I/O-Geräte zwischen den virtuellen Maschinen aufzuteilen, benötigt die Hypervisor-Software einen Low-Level-Treiber, der mit den Geräten kommuniziert. Der Treiber muss zudem in der Lage sein, jedes geteilte Gerät für weitere virtuelle Maschinen nachzubilden. Abbildung: Bei der Bare-Metal-Virtualisierungsarchitektur muss auf die System-I/O-Geräte, die zwischen virtuellen Maschinen aufgeteilt werden, über einen Kernel-Treiber zugegriffen werden. Eine weitere Möglichkeit, auf I/O zuzugreifen, liegt in der Zuweisung der einzelnen Geräte an die jeweiligen VMs. Dies wird als Partitionierung bezeichnet und kann für eine erhebliche Steigerung der I/O-Leistung sorgen. Da VMs über ihre nativen Treiber direkt auf partitionierte I/O-Geräte (z. B. PCI-Datenerfassungskarten) zugreifen können, Seite 21 von 37 muss sich die VMM-Software nicht einschalten. Nachfolgend ist der direkte (partitionierte) I/O-Zugriff in einer Bare-Metal-Virtualisierungsarchitektur zu sehen. Abbildung: Bare-Metal-Virtualisierungssoftware ermöglicht die Partitionierung der I/O-Geräte und die Zuweisung zu einzelnen VMs. V OR - UND N ACHTEILE Zusätzlich zu der verbesserten I/O-Leistung bieten Bare-Metal-Virtualisierungsarchitekturen Unterstützung für Echtzeitbetriebssysteme. Da ihnen kein Host-Betriebssystem zugrundeliegt, können Bare-Metal-Hypervisor Funktionen zur Abfederung der Interrupt-Latenz sowie deterministische Leistung implementieren. Das bedeutet, dass bei der Bare-Metal-Virtualisierung ein Echtzeitbetriebssystem neben einem universellen Betriebssystem ausgeführt werden kann. Allerdings hat auch die Bare-Metal-Virtualisierung einige Nachteile, die es zu bedenken gilt. Der Hypervisor muss zusätzlich zu den Treibern der Geräte, die zwischen den virtuellen Maschinen aufgeteilt werden, auch über alle notwendigen Treiber für die verschiedenen Hardwareplattformen verfügen. Da diese Architekturen nicht auf einem Host-Betriebssystem installiert werden, gestaltet sich die Installation und Konfiguration in der Regel schwieriger als bei einer Host-Lösung. A NWENDUNGSBEREICHE Aufgrund der Low-Level-Natur und des I/O-Zugriffs von Bare-Metal-Hypervisor-Systemen eignet sich diese Architektur für eingesetzte Anwendungen, die mehrere Betriebssysteme verwenden. Insbesondere für Anwendungen, die Echtzeitdatenverarbeitung erfordern und Zugriff auf universelle Betriebssystemdienste (wie z. B. grafische Benutzeroberflächen) bieten, profitieren von der Bare-Metal-Virtualisierung. FAZIT Vor der Implementierung eines Virtualisierungssystems muss entschieden werden, welche Architektur – Hosted, Bare-Metal oder eine Kombination aus beidem – die größeren Vorteile bietet. Die Hosted-Virtualisierung bietet größere Vorteile für die Entwicklungsphase und ermöglicht die Kostenreduzierung beim Testen von Beta- Software. Des Weiteren lassen sich ältere Anwendungen und solche, die für andere Betriebssysteme geschrieben wurden, ausführen. Die begrenzten I/O-Fähigkeiten der meisten Hosted-Virtualisierungslösungen sollten jedoch in die Überlegungen mit einbezogen werden. Bare-Metal-Virtualisierung hingegen bietet verschiedene Vorteile wie z. B. Unterstützung für Echtzeitbetriebssysteme und besseren I/O-Zugriff über Partitionierung. Die Integration eines Bare-Metal- Hypervisors in eine Anwendung erfordert jedoch zusätzlichen Installationsaufwand. Des Weiteren muss Unterstützung für die zugrundeliegende Hardware gewährleistet werden. Seite 22 von 37 VIRTUALISIERUNGSTECHNOLOGIEN VMM-Software wurde bisher in diesem Whitepaper als eine Art Blackbox behandelt, welche die parallele Ausführung mehrerer Betriebssysteme ermöglicht. In diesem Abschnitt werden einige der zugrundeliegenden Techniken beschrieben, die von einer VMM-Software für die Trennung der einzelnen virtuellen Maschinen von der Systemhardware eingesetzt werden. Die nachfolgend beschriebenen Techniken können sowohl von Hosted- als auch Bare-Metal-Lösungen genutzt werden. Alle beschriebenen Techniken haben dasselbe Ziel: das Abfangen jeglicher Befehle der virtuellen Maschinen, die den Systemzustand (gemeinsame Ressourcen) auf irgendeine Art und Weise beeinflussen. Jede Technik nutzt dafür lediglich einen anderen Ansatz. BINÄRE ÜBERSETZUNG VMM-Software, die binäre Übersetzung anwendet, ändert den ausgeführten Programmcode dynamisch, um zu verhindern, dass der Systemzustand beeinflusst wird. Jedes Mal, wenn der kompilierte Code einer virtuellen Maschine einen privilegierten Befehl (u. a. Zugriff auf ein I/O-Gerät) enthält, kann die VMM-Software binäre Übersetzung einsetzen, um die I/O-Anfrage entsprechend umzuleiten und somit Konflikte zwischen einzelnen VMs zu vermeiden. Hosted-Virtualisierungssoftware setzt in der Regel binäre Übersetzung ein. Ein Beispiel hierfür ist die bereits erwähnte VMWare Workstation. Da jedes Mal, wenn ein Code übersetzt wird (jegliches Umschalten von einer virtuellen Maschine zur VMM- Software) die Leistung beeinträchtigt wird, überprüft und übersetzt die Virtualisierungssoftware Befehle jeweils in Gruppen. Somit lassen sich die Leistungseinbußen geringhalten. HARDWAREUNTERSTÜTZUNG Anstatt den VM-Code während des Ablaufs zu modifizieren, setzt der hardwareunterstützte Ansatz spezielle Prozessortechnologien ein, um Systemzustandsänderungen zu verhindern. Sowohl Intel als auch AMD haben neue Virtualisierungstechnologien in ihre Prozessoren (Intel-VT und AMD-V) integriert, um, wenn nötig, eine VMM-Software automatisch aufzurufen. Viele Bare-Metal-Hypervisor-Systeme nutzen diese Technologie. Wie bei der binären Übersetzung kann auch hier die Leistung eingeschränkt werden, sobald die Ausführung einer virtuellen Maschine durch den Hypervisor unterbrochen werden muss. Um diese Auswirkungen zu minimieren, können die Prozessoren, die über Hardwarefunktionen für die Virtualisierung verfügen, so konfiguriert werden, dass sie die VM-Ausführung nur dann unterbrechen, wenn es unbedingt notwendig ist. So kann auf ein spezifisches I/O-Gerät, das partitioniert ist, von der zugewiesenen VM zugegriffen werden, ohne dass der Hypervisor eingreifen muss. PARAVIRTUALISIERUNG Eine letzte Technik, die für die Virtualisierung eingesetzt werden kann, ist die Paravirtualisierung. Bei dieser Methode wird das Betriebssystem explizit so modifiziert, dass es sich der Virtualisierung "bewusst" ist und automatisch die zugrundeliegende VMM-Software aufruft, wenn nötig. Diese Aufrufe werden in der Regel als Hypercalls bezeichnet Paravirtualisierung kann zwar die Systemleistung erheblich verbessern, da die Anzahl der VMM-Aufrufe minimiert wird, jedoch erfordert es Zugriff auf den Quellcode des Betriebssystems, um die Modifizierungen vorzunehmen. FAZIT Für die Integration von Virtualisierungstechnologien in Mess- oder Automatisierungsanwendungen kann entweder Hosted- oder Bare-Metal-VMM-Software eingesetzt werden. Jede Architektur hat andere Auswirkungen auf den I/O-Zugriff, den Determinismus und die Handhabung. Diese Architekturen setzen Techniken wie z. B. binäre Übersetzung, Hardwareunterstützung und Paravirtualisierung ein, um Virtualisierung zu erreichen. Da Virtualisierung im Ingenieurwesen eine immer größere Rolle spielt, ist es wichtig, sich mit den Virtualisierungsarten und den zugrundeliegenden Technologien vertraut zu machen, um die Leistung virtualisierter Systeme zu optimieren und gleichzeitig alle anderen Belange auszubalancieren. Seite 23 von 37 AUFGABEN/ÜBUNGEN ALLGEMEINE FRAGEN: 1) Unterscheiden Sie die Hosted Architektur und das Bare-Metal Verfahren in 2 Eigenschaften 2) Welches Verfahren würden Sie anwenden und warum? Begründen Sie Ihre Aussage AP AUFGABEN: Auszug WI 2011/12 GA2 In der BBS Astadt sollen mehrere Servertypen zum Einsatz kommen. a) Für den File-Server und den Exchange-Server ist eine Virtualisierung vorgesehen. i) Erläutern Sie Server-Virtualisierung. (4P) ii) Nennen Sie zwei Vorteile und einen Nachteil der Server-Virtualisierung gegenüber physischen Servern. (3P) iii) Geben Sie zwei Möglichkeiten der Server-Virtualisierung auf Hardwareebene an. (2P) b) Für einen PC-Schulungsraum mit 20 Arbeitsplätzen ist eine Application-Virtualisierung vorgesehen. An den Arbeitsplätzen werden sowohl Office-Anwendungen als auch Anwendungsentwicklung geschult. Nennen Sie drei Vorteile, die virtuelle Arbeitsplatzrechner gegenüber physischen Arbeitsplatzrechnern haben. (3P) Auszug WI 2007/08 GA1 Im laufenden Projekt prüft die Mercure AG den Einsatz virtueller Maschinen. a) Erläutern Sie den Begriff „virtuelle Maschine". (4P) b) Derzeit werden bei der Mercure AG 80 reale Server betrieben. Nennen und begründen Sie vier Vorteile, die sich durch eine Umstellung auf virtuelle Maschinen ergeben würden. (8P) c) Beschreiben Sie zwei Kritikpunkte, die Sie gegen die geplante Umstellung anbringen würden. (4P) d) Legen Sie aus fachspezifischer Sicht der Softwareentwicklungsabteilung zwei Gründe dar, die für einen Einsatz von virtuellen Maschinen in Programmierumgebungen sprechen. (4P) Seite 24 von 37 FIREWALL Aus der Anbindung eines Rechners oder lokalen Netzes an ein öffentliches Netz wie dem Internet ergeben sich vielfältige Bedrohungen. Hierzu gehören u. a.: Address Spoofing: Unter einer gefälschten Identität wird eine Kommunikationsverbindung aufgebaut. Hierbei erzeugt der Angreifer IP-Pakete mit gefälschter IP-Absenderadresse. Denial-of-Service-Angriff: Ziel ist es, einen bestimmten Server »lahmzulegen" und ihn so daran zu hindern, Antworten auf Anfragen zu erzeugen. Dies geschieht meist in der Form, dass die Ressourcen des Servers voll belegt werden und so für weitere Anfragen keine Ressourcen mehr zur Verfügung stehen. Abhören fremder Zugangsdaten während des Netzverkehrs Eine Firewall regelt, welche Dienste des „dahinterliegenden“ Netzes von einem anderen Netz aus (meist aus dem Internet) erreichbar sind. Damit erhält Ihr Netz einen gewissen Schutz, was direkte Angriffe von außen angeht. Sie können die Firewall aber auch als eine von mehreren Komponenten innerhalb Ihres Schutzkonzeptes verwenden. Die Firewall befindet sich zwischen dem Internet und einem privaten Netz (Intranet). Sie können sie als zentrale Netzwerkkomponente (Hardware Firewall) oder als Softwarelösung auf einem einzelnen Rechner (Software Firewall/Personal Firewall) einsetzen. Eine Hardware Firewall benutzt schnelle Spezialhardware, welche auch das größte Datenaufkommen gut bewältigt. Die für den Anschluss kleiner Büros oder von Privathaushalten eingesetzten Router sind oftmals zusätzlich mit einer Firewall ausgestattet. DEFINITION: Eine Firewall ist ein System, das zwei Netzwerke koppelt und hierbei sie herstellt, dass jeglicher Verkehr zwischen den beiden Netzen ausschließlich durch die Firewall geleitet wird. Dabei wird die Weiterleitung von solchen Paketen verhindert, die eine mögliche Bedrohung eines Netzes bedeuten können. AUFGABEN EINER FIREWALL Schutz vor unbefugten Netzzugriffen. Zugangskontrolle: Steuerung, welche Nutzer in welcher Form auf welche Netzressourcen zugreifen dürfen. Protokollierung der Netzwerkaktivitäten: Aufzeichnung des Netzverkehrs, um hieraus Rückschlüsse auf erfolgte Angriffe ziehen zu können. Seite 25 von 37 Alarmierung bei sicherheitsrelevanten Ereignissen: Werden sicherheitsrelevante Aktionen von hierzu nicht befugten Nutzern durchgeführt, so wird durch die Firewall ein Alarm ausgelöst. Verbergen der internen Netzstruktur (IP-Masquerading): Um Angreifern mögliche Angriffspunkte des internen Netzwerks vorzuenthalten, verhindert die Firewall das Einsehen der Struktur dieses Netzwerks von außen. Gewährleistung der Vertraulichkeit von Daten: Sicherstellung, dass der interne Netzverkehr nicht abgehört werden kann. Eine Firewall hat 2 grundsätzliche Funktionsprinzipien:  Es ist alles erlaubt, was nicht verboten ist  Blacklist  Es ist alles verboten, was nicht erlaubt ist  Whitelist AUFBAU EINER FIREWALL Firewalls werden in verschiedene Klassen eingeteilt:  Paketfilter (Layer 3 und 4 Firewall)  Applikation Gateway (Layer 7 Firewall) Diese Klassen werden häufig kombiniert eingesetzt, so dass sich eine vielfältige Anzahl von Firewall- Architekturen ergibt. PAKETFILTER Eine Paketfilter-Firewall verhält sich wie ein IP-Router, der alle ankommenden Pakete nach bestimmten Regeln filtert. Erlaubte Pakete werden mittels der konfigurierten Routen an den Empfänger weitergeleitet, unerlaubte Datenpakete dagegen werden gesperrt. Paketfilter-Firewalls arbeiten auf den ISO/OSI-Schichten drei und vier. Sie überprüfen alle ankommenden Datenpakete auf bestimmte Eigenschaften, die den einzelnen Feldern der jeweiligen Protokollheader entnommen werden. Hierbei werden nur die Header-Informationen der in den Schichten 3 und 4 verwendeten Protokolle ausgewertet. Höhere Schichten, insbesondere die in den Anwendungsprotokollen abgesetzten Kommandos und die in den Paketen enthaltenen Daten, bleiben unberücksichtigt. Die folgende Tabelle zeigt häufig zur Filterung herangezogene Felder der Protokollheader Protokolle Felder IP-Paket Source Adress, Destination Adress, Protocol TCP Flags, Source-Port, Destination Port UDP Source-Port, Destination Port ICMP Type, Code Die eigentliche Filterung der Datenpakete erfolgt anhand von Regeln, die vom Administrator aufgestellt und am Paketfilter konfiguriert werden. Mittels dieser Regeln entscheidet die Firewall darüber, wie mit den einzelnen Paketen umzugehen ist. So kann eine Regel das Passieren oder das Zurückweisen der Pakete durch die Firewall bewirken. Im Allgemeinen werden die aufgestellten Regeln für jedes Paket von oben nach unten abgearbeitet. Seite 26 von 37 Sobald eine Regel auf das zu untersuchende Datenpaket passt, wird die in der Regel definierte Aktion ausgeführt. Alle nachfolgenden Regeln werden dann nicht weiter berücksichtigt. Somit werden folgende Eigenschaften festgestellt:  Der Paketfilter arbeitet auf dem Network- und dem Transport-Layer  Er analysiert die Header Protokolle des Datenpakets und wendet Filterregeln an ACL (Access Control List) 1 ACL hat mindestens einen ACE (Access Control Entry)  Der Paketfilter entscheidet an Hand der Daten im Protokollheader, ob das Datenpaket die Firewall passieren darf. Bei der Paketfilterung wird unterschieden in: S TATISCHER P AKETFILTER Statische Paketfilter arbeiten zustandslos, d. h. die Filterregeln sind unabhängig von vorangegangenen bereits untersuchten Datenpaketen. Auf jedes Paket wird immer derselbe Satz von Filterregeln angewendet. Es werden feste Portnummern im Filter integriert (ACL) D YNAMISCHE P AKETFILTERTECHNIK /SPI Dynamische Paketfilter arbeiten zustandsabhängig: Wenn eine bestimmte Verbindung erlaubt wurde, wechselt der Paketfilter in einen Zustand, in dem automatisch auch die benötigte Rückrichtung für die Dauer der Verbindung freigeschaltet wird. Hierzu muss sich die Firewall jeden Verbindungsaufbau merken, um Folgepakete einer bestimmten Verbindung zuordnen zu können. Das Protokoll wird analysiert und der zugehörige Port wird für die Dauer der Übertragung geöffnet. V ORTEILE DER P AKETFILTERTECHNIK : hohe Arbeitsgeschwindigkeit kostengünstig leichte Konfiguration und Wartung N ACHTEILE DER P AKETFILTERTECHNIK : kein umfassender Schutz nur einfache Protokollierungsmöglichkeiten Eine einzelne Komponente ist für den Schutz des gesamten Netzwerks zuständig. Seite 27 von 37 APPLIKATION GATEWAY Applikationsfilter arbeiten auf der Anwendungsschicht des ISO/OSI-Referenzmodells. Sie stellen im Prinzip eine Proxy-Firewall dar. Im Gegensatz zu den reinen auf der Transportschicht arbeitenden Proxies besitzen sie jedoch die Fähigkeit, die Inhalte der einzelnen Datenpakete entpacken und bzgl. des Inhalts untersuchen zu können. Ein Applikationsfilter für den FTP-Dienst kann so z.B. erkennen, welche FTP-Befehle übertragen werden, und behandelt diese dann gemäß der festgelegten Sicherheitsstrategie unterschiedlich. Werden beispielsweise Schreibzugriffe auf einen FTP-Server untersagt, so muss der Applikationsfilter das FTP- Kommando „PUT" herausfiltern. Alle Datenverbindungen vom LAN in das Internet laufen über einen speziellen Server (Proxy = Stellvertreter) Der Datenaustausch mit dem Internet wird vom Proxy-Server durchgeführt (Socketproxy) Eine direkte Verbindung vom LAN ins Internet besteht nur virtuell Protokolliert den Laufenden Datenverkehr Content Screening/Content Filtering URL Filtering V ORTEILE DER A PPLIKATION G ATEWAY T ECHNIK : Durchführung von Kontrollen in Abhängigkeit der versendeten Nachrichten. Hohe Sicherheit Umfangreiche Filtermöglichkeiten Beschleunigter Zugriff durch Caching N ACHTEILE DER A PPLIKATION G ATEWAY T ECHNIK : langsamer als Paketfilter und einfache, auf der Transportschicht arbeitende Proxy-Firewalls. Kostenintensiv Hoher Konfigurationsaufwand Seite 28 von 37 FIREWALL – ARCHITEKTUREN DUAL-HOMED-HOST/BASTION HOST Der Dual-Homed Host ist ein Rechner der in zwei Netzen (LAN und Internet) beheimatet ist (Dual Homed). Die angeschlossenen Netze können nicht direkt miteinander kommunizieren, das Routing auf dem Dual-Homed Host ist deaktiviert. Die Vermittlung zwischen den Netzen findet auf der Anwendungsschicht statt und wird von speziellen Programmen, den Proxy-Servern/Application Gateways übernommen. Gateways verfügen über wesentlich differenziertere Kriterien zur Paketanalyse, müssen aber für jeden Dienst, wie z.B. HTTP und FTP, explizit konfiguriert und gewartet werden. Vorteile: Umfangreiche Zugriffskontrolle Nur erlaubte Dienste können in Anspruch genommen werden Nachteile: begrenzte Erweiterungsmöglichkeiten Bastions müssen sehr gut gegen Angriffe geschützt werden Relativ geringer Schutz, da Firewall- System nur aus einer “Stufe“ besteht SCREENED-HOST Firewallsystem mit zwei Stufen, dem Sicherheitsrouter mit Filterregeln für den 192.168.1.101 Zugriff auf das externe Netz und dem LAN Application Gateway im lokalen Netz. Der Zugriff auf das externe Netz erfolgt nur über WAN das Application Gateway. Die Anbindung an 1.1 das Internet erfolgt durch einen separaten Router mit integriertem Paketfilter. Dadurch 198.133.219.25:80 Sicherheits- ist das Application Gateway nicht direkt mit router dem Internet verbunden und damit nicht angreifbar. Nicht vertrauenswürdig Application Gateway Vorteile: umfangreiche Protokollierung möglich interne Netzstruktur wird versteckt zwei unabhängige Firewall-Instanzen Seite 29 von 37 Nachteile: relativ hoher Preis „Single Point of Failure“-Problem – Sobald der Router überwunden ist, steht das interne Netz offen EINFACHE DMZ Eigene Zugriffsregeln (ACL1) HTTP get Wieder andere Zugriffsregeln Zu (ACL3) Ei iffsr 2) gr AC ge eg DMZ ne el ( L n Eine Firewall (Gerät mit 3 Netzwerkschnittstellen) ist für die Weiterleitung der Datenpakete mit entsprechenden Filterregeln (ACL = Access Control List) ausgestattet. Die Firewall ist mit dem externen Netz, dem internen Netz und einem Zwischennetz, der sog. DMZ (Demilitarisierte Zone) verbunden. In der DMZ werden Ressourcen zur Verfügung gestellt, die vom externen Netz erreichbar sein müssen. (Webserver, FTP- Server, VPN-Server…). Der Zugriff auf das interne Netz sollte nur über einen Server in der DMZ ermöglicht werden. Vorteile: Sicherheitsnetz für öffentlich zur Verfügung gestellte Server Kein direkter Zugang vom externen in das interne Netz Geringer Hardwareaufwand Seite 30 von 37 Nachteile: Single Point of Failure Relativ hoher Konfigurationsaufwand BACK TO BACK – FIREWALL In besonders sicherheitsrelevanten Bereichen werden oftmals zwei voneinander völlig getrennte Firewalls eingesetzt, teilweise sogar von unterschiedlichen Herstellern. Diese Konstellation bietet noch höhere Sicherheit gegenüber einer zentralen Firewall, da für einen Einbruch in das lokale Netzwerk gleich zwei Firewalls überwunden werden müssen. Ein weiterer Vorteil ist die Möglichkeit zur Einrichtung eines Perimeternetzwerks (früher auch als "Demilitarisierte Zone" oder kurz "DMZ" bezeichnet), das zwischen den beiden Firewalls liegt. Jede Übertragung zwischen dem Internet und dem lokalen Netzwerk muss demnach durch das Perimeternetzwerk geschleust werden; beide Netzwerke haben keine direkte Verbindung miteinander. Das Perimeternetzwerk kann zusätzlich als Bereich für die Aufstellung von Servern genutzt werden, die öffentliche Dienste bereitstellen, also direkt aus dem Internet erreichbar sein sollen. Diese sind im Perimeternetzwerk quasi in einem "Quarantänebereich", ein dortiger Hackerangriff muss das lokale Netzwerk nicht unbedingt in Mitleidenschaft ziehen. Bei einer Back to Back Firewall sind im weiteren Sinne auch meist zusätzliche Sicherheitsmaßnahmen wie IDS und IPS in Nutzung (Intrusion Detecting System und Intrusion Protecting Systeme) Vorteile: Höhere Sicherheit Perimeternetzwerk auch als "Quarantänebereich„ Bereitstellung von öffentlichen Diensten über Perimeternetzwerk Seite 31 von 37 Nachteile Bei zwei Firewalls von unterschiedlichen Herstellern: o Doppelter Aufwand (versch. Konfigurationen) o Mehr Personal/Wissen benötigt o Kosten (2. Firewall) Seite 32 von 37 AUFGABEN/ÜBUNG ALLGEMEINE FRAGEN: 1) Definieren Sie den Begriff Firewall 2) Erläutern Sie 3 Aufgaben einer Firewall 3) Ein Firewallsystem kann aus verschiedenen Bestandteilen aufgebaut werden. Benennen Sie diese Teile und erläutern Sie deren Funktionsweise. 4) Erläutern Sie die Fumktionsweise des sogenannten Proxyservers 5) Beschreiben Sie die Funktionsweise eines Perimeternetzwerkes/DMZ AP AUFGABEN: Sommer 20XX (20P) Die Security GmbH möchte ihr LAN gegenüber Fremdzugriffen aus dem Internet absichern. Hierzu soll die IT- Solutions AG eine Firewall installieren. a) Erläutern Sie die Aufgabe einer Firewall. (2P) b) Die Firewall arbeitet u. a. mit Paketfilterung. (2P) i) Nennen Sie zwei Nachteile der Paketfilterung. (2P) ii) Erklären Sie, was n:ian bei der Paketfilterung unter „allow" und „deny" versteht. (2P) iii) Prüfen Sie, ob mit folgender Firewall Konfiguration ein Mailverkehr (SMTP) möglich ist. Begründen Sie Ihre Entscheidung. (3P) FIREWALL -DENY-PORT-N='4' # no. of ports to rejec/deny FIREWALL-DENY-PORT-1 ='0:24 DENY' # privileged ports: reject or deny FIREWALL-DENY-PORT-2='26:52 DENY' # privileged ports: reject or deny FIREWALL-DENY-PORT-3='54:112 DENY' # privileged ports: reject or deny FIREWAILL-DENY-PORT-4='114:1023 DENY' # privileged ports: reject or deny c) Da die Server der Security GmbH auch aus dem Internet von den Außendienstmitarbeitern angesprochen werden, soll eine demilitarisierte Zone (DMZ) eingerichtet werden. i) Erläutern Sie die Aufgabe einer DMZ. (4P) ii) Vergeben Sie eine geeignete IP-Netzadresse für die DMZ. Für das interne LAN wurde die Netzadresse 192.168.2.0/24 vergeben. (1P) iii) Vervollständigen Sie folgende Skizze mit einer DMZ. In der DMZ soll sich ein Web/Mail-Server und der VPN-Server befinden. (4P) Seite 33 von 37 Sommer 2009 (20P) Die folgende Darstellung zeigt in vereinfachter Form das Netzwerk der Blackbox AG. a) Der Router in der Zentrale soll auf seine Ethernetschnittstellen die jeweils letzte Adresse im jeweiligen Subnetz erhalten. (9P) Ergänzen Sie dazu die folgende Tabelle: Schnittstelle IP-Adresse Erklärung/Begründung ETH0 ETH1 ETH2 Seite 34 von 37 b) Das Firmennetz ist über eine Standleitung mit dem Internet verbunden. Der Provider hat der Blackbox AG die IP-Adresse 217.40.40.6 mi1 der Subnetmaske 255.255.255.252 zugewiesen. Die Routingtabelle muss um eine Defaultroute nach folgendem Muster ergänzt werden: 0.0.0.0 0.0.0.0 i) Nennen Sie die Next Hop Adresse (2P) 0.0.0.0 0.0.0.0 217.40.40.5 Auf der Firewall (reiner Paketfilter) wurden zunächst die folgenden Regeln eingetragen, um den Zugriff auf den Webserver zu gewährleisten: ii) Den Außendienstmitarbeitern soll das Senden (SMTP) und Abholen {POP3) von Mails über den Mailserver und eine gesicherte Verbindung zum Webserver ermöglicht werden. Tragen Sie die dazu erforderlichen Regeln in folgende Tabelle ein. (7P) Permit TCP Any 217.15.45.10 Any 443 SO IN Permit TCP 217.15.45.10 Any 443 Any SO Out Permit TCP Any 217.15.45.9 Any 25 SO IN Permit TCP 217.15.45.9 Any 25 Any SO Out Permit TCP Any 217.15.45.9 Any 110 SO IN Permit TCP 217.15.45.9 Any 110 Any SO Out Deny IP c) Die Firmenleitung beschließt, den Internetverkehr nur noch über einen Proxyserver zu erlauben. Nennen Sie zwei Aufgaben, die der Proxyserver übernimmt. (2P) Seite 35 von 37 Sommer 2010 (25P) Das neue Netzwerk der Meschemann KG soll eingerichtet und durch eine Firewall abgesichert werden. a) Erläutern Sie, wie viele IP-Adressen mit der Subnetmaske /29 in der DMZ vergeben werden können. (2P) b) Sie sollen den E-Mail-Server, den Webserver, die DMZ-Schnittstelle des Routers und den Client 1 für das neue Netz konfigurieren. Nennen Sie in folgender Tabelle die jeweilige IP-Konfiguration. (6P) c) Die Routerfirewall arbeitet nach dem Prinzip der Stateful lnspection. Erläutern Sie, wodurch sich eine Stateful lnspection Firewall auszeichnet. (4P) Seite 36 von 37 d) Auf der Schnittstelle zum LAN sind die folgenden Firewall-Regeln eingetragen: i) Erläutern Sie die Firewall-Regeln. (6P) ii) Im Browser von Client 1 ist kein Proxy eingetragen. Erläutern Sie, was passiert, wenn der Client versucht, eine Webseite aufzurufen. (2P) Seite 37 von 37

ITS Skript 12.Klasse SI - Musterlösung PDF

Document Details

Tags

Related

Summary

Full Transcript

Upgrade to continue