Planung und Verwaltung von Kommunikationsnetzen: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
Schoni (Diskussion | Beiträge) |
Schoni (Diskussion | Beiträge) |
||
Zeile 347: | Zeile 347: | ||
#* Telekommunikationsnetzwerk beinhaltet Vermittlungssysteme und Übertragungssysteme | #* Telekommunikationsnetzwerk beinhaltet Vermittlungssysteme und Übertragungssysteme | ||
#* Managementnetzwerk beinhalter Managementsysteme und Nutzerschnittstellen und Verbindungen zum Telekommunikationsnetzwerk | #* Managementnetzwerk beinhalter Managementsysteme und Nutzerschnittstellen und Verbindungen zum Telekommunikationsnetzwerk | ||
− | # Welche Managementdimensionen unterscheidet TMN? [[Bild:TMN-Dimensionen.JPG|thumb]] | + | # Welche Managementdimensionen unterscheidet TMN? [[Bild:TMN-Dimensionen.JPG|thumb|TMN Managementdimensionen]] |
#* ''siehe Bild'' | #* ''siehe Bild'' | ||
# Welche Referenzpunkte gibt es bei TMN? | # Welche Referenzpunkte gibt es bei TMN? |
Version vom 3. März 2008, 22:52 Uhr
Planung und Verwaltung von Kommunikationsnetzen | |
---|---|
Vertiefungsrichtung | MIKS |
Vorlesender | Seitz |
Ort | H3507 |
URL | Website |
Information
Die Vorlesung findet immer montags um 15.00 Uhr im Raum H3507 (Büro von Prof. Seitz) statt.
Die Übung ist Mittwoches in geraden Wochen im Raum H1520 um 14.45 Uhr.
Kontrollfragen
vom 06.02.2007
Einleitung
- Welche Komponenten werden im Rahmen des Netzmanagements berücksichtigt? (1/6)
- Hardware
- Software (Updates, ...)
- Abstrakte Objekte (Netz-User Abbildung, Beziehungen untereinander)
- --> Granularität, Beziehungen, Modellierung
- Wie können Managementdomänen festgelegt werden? (1/6)
- Aufteilung von Komponenten in Zugrhörigkeit
- Geographisch
- Funktional
- Organisatorisch
- Welche Dimensionen des Netzmanagements können unterschieden werden? (1/15)
- Funktionale Dimension
- Zusammenfassung der anfallenden Aufgaben in Aufgabengruppen
- So genannte Funktionsbereiche: Sicherheit, Abrechnung, Leistungsbewertung, Störungsbehandlung, Konfigurationsbehandlung (FCAPS - Failure, Configuration, Accounting, Performance, Security Management)
- Zeitliche Dimension
- Planung, Installation, Betrieb, Migration
- Dimension des Gegenstands
- Unterschiedlicher Fokus des Netzmanagements
- Unterscheidungsmerkmal: die für eine Aufgabe benötigte Menge an Informationen
- Wie unterschiedet sich das Netzmanagement nach der Zeit, in der eine Managementaktion ausgeführt sein muss? Welche Managementaktionen können Sie dabei als Beispiele anführen? (1/17)
- Kurzfristiger Horizont - operationales Netzmanagement
- Unterstützung des eigentlichen Netzbetriebs
- Managementaufgaben, die innerhalb von Sekunden oder Minuten erbracht werden müssen
- Vollständige Automatisierung notwendig
- z.B. Veränderung von Routing-Tabellen bei toten Links
- Mittelfristiger Horizont - taktisches Netzmanagement
- Aufgaben, die innerhalb des Stundenbereichs zu erbringen sind
- Oft halbautomatische Bearbeitung unter Einbeziehung menschlicher Experten
- z.B. User einrichten, Optimierung der erbrachten Dienste
- Langfristiger Horizont - strategisches Netzmanagement
- Aufgaben im Wochen, Monaten, Jahren
- Planerischer Aspekt
- Zur Koordinierung langfristiger Unternehmensentwicklung
- z.B. Herstellerauswahl, Beschaffung, Kostenplanung
- Welche Anforderungen muss ein Managementsystem erfüllen? (1/18)
- Sicherstellung der Funktionsbereitschaft eines Netzes
- Automatische / halbautomatische Reaktion auf Betriebsstörungen
- Dynamische Reaktion auf Änderungen im Netz und in der Umgebung
- Beherrschbarkeit des Netzes
- Verbesserung der Arbeitsbedingungen der Administratoren
- Fortschritte durch Standardisierung
Allgemeine Grundlagen des Netzmanagements
- Erläutern Sie den Netzmanagement-Regelkreis. (2/27)
- dauernde Überwachung des Netzstatus --> Ereignisse werden gemeldet an Managementanwendung
- Managementanwendung steuert Netzkomponenten und greift auf Basis der Überwachung ein
- Wie sieht die funktionale Aufteilung des Netzmanagements aus? Geben Sie beispielhafte Anwendungen, die Sie den einzelnen Bereichen zuordnen. (2/29)
- FCAPS
- Failure Management (Fehlermanagement) - Fehlererkennung, - isoalation und -behandlung
- Configuration Management (Konfigurationsmanagement) - der Spaß mit den Maps & Views
- Accounting Management (Abrechnungsmanagement) - RADIUS Accounting
- Performance Management (Leistungsmanagement) - Leistungskenngrößen überwachen, Überlast erkennen, Leistungsverbesserung (Tuning)
- Security Management (Sicherheitmanagement) - Firewalls, Authorisierungsmaßnahmen
- --> strikte Trennung der Bereiche!
- Funktionen eines Bereiches sind Grundlage für Funktionen eines anderen
- Welche Instanzen werden beim Netzmanagement unterschieden? Erläutern Sie, wie diese - ganz allgemein - zusammenarbeiten. (2/30)
- Manager (aktive bzw. verwaltende Komponente) <--> Agent (reaktive bzw. zu verwaltende Komponente)
- der Manager hat lesenden/schreibenden Zugriff auf Agenten; führt Managementop. auf Agenten aus
- Agent meldet Ergebnisse an Manager zurück, sowie Traps bei Ausnahmesituationen
- Wie ist im Allgemeinen der Aufbau eines Managementsystems? (2/31)
- Darstellung einer einheitlichen GUI nach außen (Aufbereitung durch Darstellungsmodul)
- mit Hilfe MIB-Zugriffsmoduls Zugriff auf MIB
- Protokollstapel gewährleistet Kommunikationsmöglichkeit mit dem Netz
- verschiedene Netzmanagementanwendungen können im Manager laufen --> Zugriff auf Anwedungselemente
- Netzmanagementdatentransport zwischen "innerer" und "äußerer" Welt des Managers
- Mit Hilfe von Managed Objects werden zu verwaltende Komponenten modeliert. Erläutern Sie die allgemeinen Bestandteile eines solchen Managed Objects. (2/32, 33)
- repräsentiert physikalischen oder logischen Teil eines Systems
- MO's besitzen Attribute
- Operationen auf Attributen
- Kopplung an modellierte Komponente (Verhalten und Manipulation)
- Aussenden von Meldungen/Ergebnisrückmeldung
- Was versteht man unter einer Management Information Base? (2/35)
- Sammlung von MO's (da übblicherweise nicht nur ein MO je Netzkomponente)
- Welche Funktionen muss im Allgemeinen ein Managementprotokoll bereitstellen? (2/36)
- Operationen zum Lesen von Managementinformationen (also der Attribute in den MO's)
- Operationen zum Modifizieren von Managementinformationen
- evtl. Ausführen von Operationen konkreter MO's
- Rückgabe von Ergebnis-/Statuswerten
- Meldungen beim Erreichen kritischer Attributwerte (Ereignisbasiert! nicht Abfragebasiert)
- Welche Klassen von Managementsystemen können unterschieden werden? Erläutern Sie die Unterschiede. (2/40-46)
- zentrales Netzmanagement
- ein Manager pro Domäne (Managementplattform üblich)
- --> Fehleranfällig --> evtl. Totalausfall zur Folge
- intelligente Agenten
- bessere Fehlertoleranz durch Verlagerung der Intelligenz (z.B. log-Datei schreiben und Abholen aller 24h)
- dezentralisierte Ansätze
- hierarchisches Management
- Unterteilung in Unterdomänen, Verwaltung durch je einen Manager und Informationsaustausch untereinander
- verteiltes Management
- mehrere Manager überwachen eine Domäne, dedizierte Aufgabenbereiche
- Management durch Delegation von Managementaufgaben
- Agenten können dynamisch je nach Aufgabe mit Codefragmenten vom Manager erweitert werden (Schadcode?)
- Management durch intelligente autonome Einheiten
- Aufgabe zerlegt in Teilaufgaben
- mobile Agenten "reisen" an den Ort der Aufgabe und führen sie dort aus, zurück an Manager
Das ISO/OSI-Managementrahmenwerk
- Woraus besteht das ISO/OSI-Managementrahmenwerk?
- siehe Bild
- Warum kann man bei ISO/OSI-Managed Objects von einem objektorientierten Paradigma sprechen?
- Managed Objects sind Instanzen von "Managed Object"-Klassen
- Vererbungsbaum: Klasse übernimmt alle Eigenschaften der jeweiligen Oberklasse + zusätzliche möglich
- Wie werden bei ISO/OSI Managed Objects definiert?
- Abstract Syntax Notation (ASN.1)
- Ableitung von Templates (Festlegung der Templates in den Guidelines for the Definition of Managed Objects - GDMO)
- 9 Templates (Managed Object Class ~, Package ~, Attribut ~, Attribute Group ~, Action ~, Notification ~, Parameter ~, Name Binding ~, Behavior Template)
- Welche Operationen sieht das ISO/OSI-Management auf Managed Objects vor?
- Attributbezogene Operationen:
- "Get" - Lesen
- "Replace" - Setzen
- "Replace with default" - Rücksetzen auf default
- "Add" - Hinzufügen
- "Remove" - Löschen
- bezogen auf ganze MO:
- "Create" - Erzeugen eines neuen MO
- "Delete" - Löschen eines MO (Instanz)
- "Action" - Aufruf einer Operation auf einem Objekt
- Nennen Sie Beispiele für generische Objektklassen und generische Attribute!
- Generische Objektklassen (zur Definition spezifischer "Managed Object"-Klassen)
- Protokollinstanz als aktives Element einer Datenübertragung
- Verbindungsloser Protokollautomat
- Verbindungsorientierter Protokollautomat
- Physikalisches Medium
- Dienstzugangspunkt
- Subsystem
- Kommunikationsinstanz
- Generische Attributtypen (Grundelemente zur Vereinbarung von Attributen in MO)
- Counter (Inkrementation bei auftretendem Ereignis)
- Settable Counter (wie Counter, kann vom Manager modifiziert werden)
- Counter Threshold (Erzeugung von Meldungen bei Änderung des zugeordneten Counters)
- Gauge (Änderung in beide Richtungen --> Abstraktion dynamischer Variablen)
- Gauge Threshold (wie Counter Threshold)
- Tide-Mark (zeichnet Min/Max-Wert eines Gauge über Messperiode auf)
- Was ist ein Gauge im Kontext des ISO/OSI-Netzmanagements?
- Gauge (Änderung in beide Richtungen --> Abstraktion dynamischer Variablen)
- Wozu wird bei ISO/OSI ein Registrierungsbaum eingeführt?
- zur eindeutigen Identifikation von "Managed Object"-Klassen bei der Vererbung
- Eintrag "registered as"
- alle Bestandteile eines MO können registriert werden (Attribute, Meldungen, Operationen, ...)
- muß weltweit eindeutig sein!
- Wie und durch wen können "Managed Object"-Instanzen erzeugt werden?
- Erzeugung durch Instanziierung der dazugehörigen Klassen
- Erzeugung erfolgt entweder
- Automatisch beim Start eines Agenten
- Automatisch beim Auftreten des dafür vorgesehenen Ereignisses (z.B. Aufbau einer Transportschichtverbindung)
- auf Anforderung des Managers
- Wie können bei ISO/OSI "Managed Object"-Instanzen identifiziert werden?
- eindeutige Identifikation der MO je Agent
- pro "Managed Object"-Klasse mehrere MO auf einem Agenten möglich --> Registrierungseintrag nicht mehr eindeutig
- Enthaltenseinshierarchie (Containment Tree)
- lokal eindeutige Kennung der MO
- Anordnung erfolgt gemäß "ist enthalten in"-Beziehung
- ein MO kann nur in einem einzigen anderen MO enthalten sein
- globale Identifikation durch Verkettung der einzelnen Kennungen von Wurzel bis zum Objekt
- lokaler Name - Relative Distinguished Name (RND)
- globaler Name - Distinguished Name
- Was sind die GDMO?
- Guidelines for the Definition of Managed Objects
- Spezifikation zur Definition von MO
- stellt Hierarchie von MO dar
- Syntax: ASN.1
- Beispiele siehe Bild
- Auf welche Arten können bei ISO/OSI Managementinformationen ausgetauscht werden?
- Erläutern Sie die Dienste, die der Common Management Information Service anbietet.
- Bei der Adressierung von ISO/OSI-"Managed Objects" werden die Mechanismen Scoping und Filtering eingesetzt. Erklären Sie diese. Warum werden sie überhaupt benötigt?
- Was versteht man unter der Synchronisation des Zugriffs auf ISO-OSI-"Managed Objects"?
- Welche anderen Dienstelemente verwendet CMIS?
- Erläutern Sie die bei ISO/OSI definierten "Specific Functional Areas".
- Was wird mit der State Management Function nachgebildet?
- Wozu dient die "Event Report Management Function"?
- Welchen Mechanismus sieht das ISO/OSI-Managementrahmenwerk zum Aufzeichnen von Ereignissen vor?
- Wozu kann die "Usage Metering Function" benutzt werden?
- Was macht ein "Summarization Object"?
- Welchen Sinn hat die "Management Knowledge Management Function"?
Netzmanagement im Internet
- Was regelt die "Structure of Management Information"?
- beinhaltet Regeln zur Definiton von Objekten, die Gegenstand des Netzwerkmanagements sein sollten
- typisierte Variablen (Objekt, Wert)
- basiert auf ASN.1
- Regeln unabhängig von Managementprotokollen
- Wie sieht das Objektmodell im Internet-Management aus?
- siehe Bild
- Wozu dient das Object Type Macro?
- Beschreibung/Erzeugung von Objekten mit ASN.1
- Welche Datentypen kann ein Internet-"Managed Object" haben?
- grundlegende Datentypen
- INTEGER, OCTET STRING, OBJECT IDENTIFIER, NULL
- zusammengesetzte Datentypen
- SEQUENCE, SEQUENCE OF
- vordefinierte Datentypen
- IpAddress, NetworkAddress, Counter, Gauge, TimeTicks (0...4.294.967.296 in 1/100 Sekunden), Opaque
- Was ist der Unterschied zwischen einem Counter und einem Gauge?
- Counter wächst nur, Überlauf bei Erreichen des maximalen Wertes
- Gauge erlaubt Ausschlag in beide Richtungen, kein Überlauf bei erreichen von 2^32
- Welche Möglichkeiten können beim Zugriff auf ein Managed Object im Internet unterschieden werden?
- not-accessible, read-only, read-write, write-only (?!)
- Änderung in SMIv2: "write-only" eliminiert, neu "read-create" zum Erzeugen von Objekten (Tabellenzeilen) durch Manager
- Was drückt der "Status" in der Definition eines Internet-"Managed Objects" aus?
- Statusfeld enthält Informationen über Bedeutung/Vorhandensein eines Objekts bei Agenten
- Werte: "mandatory", "optional", "deprecated", "obsolete"
- SMIv2: "mandatory"="current", "optional" gestrichen
- Erläutern Sie, wie Managementinformation im Internet in einer Tabelle zu organisieren ist.
- Zeilendefinition durch "SEQUENCE"
- Aneinanderreihung unterschiedlicher einfacher Datentypen
- SEQUENCE{ <type 1>, ... , <type n> }
- zweidimensionale Tabelle durch "SEQUENCE OF"
- Liste gleich aufgebauter Managed Objects
- SEQUENCE OF <entry>
- Beispiele siehe Folien 5-123/124
- Wie wird ein Managed Object im Internet identifiziert?
- generell: Name des Objekts in MIB ("Klassenbezeichner") + ID der Instanz
- Beispiel: "sysDescr" = iso.org.dod.internet.management.mib-2.system.sysDescr
- Kurzschreibweise: 1.3.6.1.2.1.1.1 , Instanz: 1.3.6.1.2.1.1.1.0
- In der Standard-MIB im Internet gibt es einen Ast, der die "Simple Network Management Protocol"-Gruppe enthält. Welche Informationen sind dort abgelegt?
- Informationen über den Ablauf von SNMP
- Überwachung der Funktionsweise von SNMP (Statistiken über SNMP-PDUs)
- Welche grundlegenden Prinzipien sollte das Managementprotokoll im Internet erfüllen?
- zweckgebundene Einfachheit: Effizienz, geringer Ressourcenbedarf
- Das Simple Network Management Protocol (SNMP) nutzt das User Datagram Protocol auf der Transportschicht. Warum ist dieser dem Transmission Control Protocol vorgezogen worden?
- keine Verbindungsabbrüche möglich
- auch in Stausituationen einsetzbar
- keine Kontextinformationen notwendig
- Was bedeutet der Begriff "Trap-directed Polling"?
- Manager fragt Agenten in regelmäßigen Abständen ab (Polling)
- Agenten können durch eigene Meldungen (Traps) Ausnahme-/Fehlersituationen an Manager senden
- Manager kann sofort auf Situation reagieren/Abfragestrategie anpassen
- Welche PDUs sind in der ersten Version von SNMP definiert?
- Get (Typ 0), Get-Next (Typ 1), Response (Typ 2), Set (Typ 3), Trap (Typ 4)
- Wozu wird die Get-Next-PDU benötigt?
- Abfragen eines Wertes der MO Instanz, die lexikografisch nach dem angegebenen Bezeichner kommt
- Durchlauf der kompletten MIB auch ohne Kenntnis der Struktur möglich (aufeinander folgenden Get-Next)
- Wie reagiert ein SNMP-Agent, wenn eine Ausnahmesituation passiert? Nennen Sie vordefinierte Ausnahmesituationen.
- Agent sendet einen Trap an Manager mit Fehlerinformationen
- Generic Traps - allgemein definierte Traps
- coldStart (0) - Neustart des Agenten nach eventueller Konfigurationsänderung
- warmStart (1) - Neuinitialisierung des Agenten ohne Konfigurationsänderung
- linkDown (2) / linkUp (3)
- authenticationFailure (4) - empfangene SNMP-Nachricht enthielt falschen Community Name
- egpNeighborLoss (5) - Exterior Gateway Protokoll (Routing) Nachbar nicht mehr erreichbar
- enterpriseSpecific (6) - kein generic Trap, mehr siehe in "Specific Trap"-Feld
- Specific Traps - weitere Klassifikation spezifischer Traps
- Wie erfolgt die Zugriffskontrolle bei SNMPv1?
- SNMP-Community, Identifikation durch "Community Name" der im !Klartext! übertragen wird (dafault="public")
- Vergleichen Sie SNMPv1 und CMIP.
- CMIP: verbindungsorientiert, zuverlässig, aufwändig, umfangreich, ressourcenintensiv, öffentliche Netze
- SNMP: verbindungslos, unzuverlässig, einfach, eingeschränkt, ressourcenschonend, lokale Netze
- Warum wurde die zweite Version von SNMP entwickelt?
- ineffiziente Kommunikation (trap-directed polling, Tabellenabfragen), Fehlerbehandlung (generic traps)
- unzureichende Schutzmechanismen
- keine Koordination zwischen Managern
- eingeschränkte Anzahl an Datentypen
- Welche neuen PDUs kamen bei SNMPv2 dazu? Erklären Sie deren Bedeutung.
- GetBulk - Tabellen abfragen
- Inform - Manager-Manager-Kommunikation
- Was ist neu in der Fehlerbehandlung bei SNMPv2?
- differenzierte Fehlerbehandlung möglich
- 18 anstatt 5 (in v1) unterschiedliche Werte
- mehrere Operationen in einer Anfrage: Abbruch nur des fehlerhaften Zugriffs, bei v1 führt ein fehlgeschlagener Zugriff zum Abbruch aller Operationen der Anfrage
- Was versteht man unter dem "RowStatus"-Mechanismus?
- dient zur Erzeugung von neuen Tabellenzeilen
- letzte Spalte einer Tabelle vom Typ "RowStatus"
- wenn weitere Zeile benötigt wird wählt Manager unbenutzten Index und setzt RowStatus auf "createAndWait"
- neue Zeile wird vom Agenten angelegt
- Welche Sicherheitsstufen unterscheidet SNMPv2?
- unsichere Nachrichten (wie in v1)
- authentische Nachrichten - Sender wird mit Authentifikationsprotokoll authentifiziert (z.B. MD5)
- private Nachrichten - Nachrichten sind authentisch und verschlüsselt (z.B. mit DES)
- Was war das Ziel von SNMPv3?
- einheitliches Internet-Managementrahmenwerk
- Erläutern Sie den Aufbau einer SNMPv3-Instanz und deren Funktionsweise.
- SNMP-Entity = SNMP-Instanz, die als Manager, Agent oder Kombination aus beiden agieren kann
- Bestandteile:
- SNMP-Engine - Verarbeiten von PDUs und Nachrichten, Umsetzung von Sicherheitsmerkmalen
- SNMP-Applications - benutzen Dienste der SNMP-Engine, Erzeugen und Empfangen von SNMP-Befehlen bzw. Trap/Inform-Nachrichten
- Was ist ein SNMPv3-Kontext?
- logische Gruppierung von Managementobjekten einer Entity
- Kontexte können gleiche/unterschiedliche Objekte enthalten
- Was versteht man unter einer "View-based Access Control (VACM)"?
- Menge von Objekten (Teilbaum), auf die ein Benutzer Zugriff besitzt
- abhängig von: Benutzer, Sicherheitsmodell, eingesetzten Sicherheitsmechanismen, SNMP-Operationen
- Vergleichen Sie die verschiedenen Versionen von SNMP.
- siehe Bild
Remote Monitoring
- Welche Idee steckt hinter dem RMON-Ansatz?
- intelligente Agenten
- "Sog. Sonden (Engl.: "probe") analysieren den im Netzwerk auftretenden Verkehr, nehmen eine Filterung vor und speichern Informationen zur späteren Auswertung"
- Was für RMON-Sonden können unterschieden werden?
- stand-alone probe - dedizierte Hardware-Komponente mit ausreichend Speicher und Rechenleistung
- embedded probe - als Software in Gerät integriert, evtl. Einfluß auf Leistung der überwachten Komponente
- hosted probe - selbständiges Hardware-Modul
- distributed probe - Softwarelösung, Funktionalität auf verschiedenen Komponenten verteilt, proprietäres Protokoll zum Einsammeln der Informationen
- Wo werden die RMON-Messungen abgelegt? Was muss ich tun, um eine neue Messung zu initiieren?
- Datenablage in Tabellen
- kombinierte Kontroll-/Datentabelle - gemeinsame Tabelle für Konfigurationsparameter und Ergebnisse
- getrennte Kontroll-/Datentabelle - getrennte Tabelle für Konfiguration und Daten-/Ergebnisspeicherung
- Manager muß RMON-Agenten beauftragen
- Was kann – standardmäßig – alles mit RMON1 erfasst werden?
- RMON1-Gruppen: statistics(1), history(2), alarm(3), host(4), hostTopN(5), matrix(6), filter(7), capture(8), event(9)
- statistics - Statistiken über Verkehrs-/Fehlerrate auf MAC-Ebene
- history - Aufzeichnung der Daten der Statistics-Gruppe über gegebenes Zeitintervall i (Speicherung von "Delta"-Werten)
- alarm + event - Überwachung beliebiger Integer-Objekte --> zusätzlich konfigurierbare Traps
- host - Analyse des Verkehrsaufkommens auf Schicht 2 für ein/mehrere Netzwerkschnittstellen
- hostTopN - Einschränkung der Host-Gruppe auf vorgegebene Anzahl an Hosts (N Spitzenpositionen eines Überwachungsauftrages)
- matrix - Erstellen von Paketstatistiken für je zwei Kommunikationspartner
- filter - Definition von Daten- und Statusfiltern
- capture - Aufzeichnung von Paketen eines Kanals (hohe Speicherbelastung!)
- Wie unterscheidet sich RMON2 von RMON1?
- RMON1-Gruppen arbeiten nur auf Schicht 2
- RMON2-Gruppen zuzüglich zu RMON1-Gruppen, arbeiten auf Schicht größer gleich 3
- neue Gruppen: protocolDirectory, protocolDistribution, addressMapping, networkLayerHost, networkLayerMatrix, applicationLayerHost, applicationLayerMatrix, userHistory, probeConfiguration
Telecommunication Management Network
- Was versteht man unter dem Telecommunication Management Network (TMN)?
- TMN-Spezifikation ist wichtigster Standard zur Verwaltung (öffentlicher) Telekommunikationssysteme
- Erläutern Sie grob das TMN-Konzept.
- Trennung von Telekommunikations- und Managementnetzwerk
- Telekommunikationsnetzwerk beinhaltet Vermittlungssysteme und Übertragungssysteme
- Managementnetzwerk beinhalter Managementsysteme und Nutzerschnittstellen und Verbindungen zum Telekommunikationsnetzwerk
- Welche Managementdimensionen unterscheidet TMN?
- siehe Bild
- Welche Referenzpunkte gibt es bei TMN?
- q-Referenzpunkt: Informationsaustausch innerhalb eines TMN
- x-Referenzpunkt: Informationsaustausch zwischen verschiedenen TMNs
- f-Referenzpunkt: Informationsaustausch zwischen dem TMN und einer WSF (Work Station Function)
- m-Referenzpunkt: Informationsaustausch zwischen einem Q-Adapter und externen Netzelementen (außerhalb der TMN-Standardisierung)
- g-Referenzpunkt: Informationsaustausch zwischen einem WSF-Block und dem menschlichen Benutzer (außerhalb der TMN-Standardisierung)
- Wie sieht das informationstechnische Modell bei TMN aus?
- Objektorientierter Ansatz (Vererbung, ...)
- basierend auf ISO/OSI-Managementinformationsmodell
- Manager/Agent-Konzept wie bei ISO/OSI
- Erläutern Sie die unterschiedlichen Schichten der TMN-Architektur.
- Business Management: Verwaltung des gesamten Unternehmens, Unternehmensziele; strategisches Management
- Service Management: Verwaltung der Dienste, die Kunden angeboten werden; QoS-Überprüfung, Abrechnung, Nutzerverwaltung
- Network Management: Verwaltung der Netzwerke und Systeme, welche die Dienste erbringen (Ende-zu-Ende-Sicht); komplette Netzsicht, Wege, Auslastung, QoS, Routingtabelle
- Network Element Management: Verwaltung der Netz- und Systemkomponenten; Geräte, Eigenschaften, Ressourcenauslastung, aktiv: Rücksetzen, Firmwareupdate
- Wie können TMN und das Internet-Management integriert werden?
- Integration des Internet-Managements in TMN über Q-Adapter-Funktion
- In welcher TMN-Ebene würden Sie die Netzplanung einordnen? Erklären Sie Ihre Entscheidung.
- Network Management Layer
- erlaubt Blick auf gesamtes Netz, herstellerunabhängig
- Beschreibung von Pfaden durch das Netz und deren Überwachung
- Element Management Layer erlaubt nur Sicht auf einzelne Netzkomponenten --> kein Überblick möglich
- Service Management Layer erlaubt nur Sicht auf erbrachte Dienste des Netzes, einzelne Netzkomponenten nicht mehr darstellbar
Managementplattform
Web-basiertes Management
Abrechnungsmanagement
Sicherheitsmanagement
- Erläutern Sie die Sicherheitsziele. Was muss das Sicherheitsmanagement hierfür leisten? (12/371f)
- Die Sicherheitsziele sind Authentisierung des Kommunikationspartners, Datenintegrität (Schutz gegen Verfälschung), Vertraulichkeit der Daten, Verbindlichkeit (Nachweis lieferbar, mit wem kommuniziert wurde)/Nicht-Abstreitbarkeit, Zugangskontrolle (Neben der Authentisierung des Kommunikationspartners muss er auch authorisiert sein, den betreffenden Dienst in Anspruch nehmen zu dürfen).
- für Prof. Schäfer sind die genannten 5 Punkte SicherheitsDIENSTE in der Netzsicherheit-Vorlesung
- Das Sicherheitsmanagement muss dafür Systeme und das Netz überwachen, Verschlüsselung für Informationen anbieten, Authentifizierung durchführen und die Authorisierung prüfen.
- Welche Arten von Angreifern können unterschieden werden? ()
- Passiver Angreifer
- dieser ist nur in der Lage, Datenverkehr empfangen zu können
- stellt eine Bedrohung für die Vertraulichkeit dar
- Aktiver Angreifer
- dieser ist in der Lage, Datenverkehr abhören zu können, aber auch zu manipulieren, wiedereinzuspielen, löschen...
- er kann außerdem Angriffe auf Systeme durchführen (DoS, Außerkraftsetzen von Routern, ...)
- stellt eine Bedrohung für die Vertraulichkeit, Integrität, Authorizität dar
- Was ist der Unterschied zwischen Authentizität und Verbindlichkeit?
- Die Verbindlichkeit gewährleistet zusätzlich, dass nachweisbar ist, mit wem in der Vergangenheit kommuniziert wurde, und nicht nur im aktuellen Augenblick
- Erklären Sie die Unterschiede von symmetrischer und asymmetrischer Kryptographie.
- Bei symmetrischer Kryptographie kennen zwei Kommunikationspartner ein gemeinsames Geheimnis. Nachrichten zwischen den beiden werden mit dem gemeinsamen Geheimnis verschlüsselt und ausgetauscht. Wird das Geheimnis öffentlich, ist jeder Kommunikationsvorgang, der abgehört wurde, für jeden mit Kenntnis des Schlüssels lesbar, ebenso wie jeder Kommunikationsvorgang in der Zukunft
- Bei asymmetrischer Kryptographie werden 2 Schlüssel verwendet, der private Schlüssel K- und der öffentliche Schlüssel K+. K+ muss jedem bekannt sein, der mit einem kommunizieren möchte. Für Verschlüsselungszwecke müssen Nachrichten mit K+ des Kommunikationspartners verschlüsselt und geschickt werden. Der Kommunikationspartner kann die Nachricht durch entschlüsseln mit K- lesen. Für Nachrichtenauthentisierungszwecke muss ich in eine kryptographische Hashfunktion mit Schlüsselabhängigkeit den Schlüssel K- eingehen lassen, so dass jeder mit Hilfe von K+ prüfen kann, dass die Nachricht von mir kommt.
- Was ist eine kryptographische Hash-Funktion?
- Der Zusatz ggb. Hashfunktionen besteht in der Einweg-Eigenschaft: Zwei Nachrichten M1 und M2, die gehasht werden, dürfen nicht den selben Hashwert haben - es darf also keine Kollision auftreten. Nähere kryptographische Sicherungen sind der Netzsicherheit-Vorlesung zu entnehmen.
- Die Hashwerte haben eine feste Länge, zB 128 Bit, 160 Bit
- SHA1, MD5, RIPEMD-160
- Wie kann eine Authentisierung erfolgen?
- Nachrichtenauthentisierung erfolgt am Besten mit schlüsselabhängigen kryprographischen Hashfunktionen, siehe oben.
- Was ist der Unterschied zwischen dem „Electronic Codebook“- und dem „Cipher BlockChaining“-Verfahren bei der symmetrischen Verschlüsselung?
- Bei beiden Verfahren wird der zu verschlüsselnde Klartext in Blöcke, typisch 64 Bit, zerlegt, und anschließend die Blöcke verschlüsselt. Beim Electronic Codebook sind die entstehenden Ciphertextblöcke nicht voneinander abhängig, beim Cipher Block Chaining hingegen schon. D.h., Cipherblock i ist abhängig von Cipherblock i-1. Es kann also bemerkt werden, wenn Blöcke vertauscht wurden, denn dann funktioniert die Entschlüsselung nicht mehr (der entstehende Klartext ist "kaputt").
- Wie arbeitet ein hybrides Verschlüsselungssystem?
- Es verwendet sowohl asymmetrische als auch symmetrische Kryptographie, Mithilfe der asymmetrischen findet eine Authentisierung der Kommunikationspartner statt, und für den Kommunikationsvorgang wird ein symmetrischer Sitzungsschlüssel generiert.
- Erklären Sie grob die Funtionsweise von Kerberos.
- Kerberos stellt ein zentralisiertes Authentisierungssystem (kein Verschlüsselungssystem) dar. Benutzer können sich zentral für im Netzwerk befindliche Dienste authentisieren. Das bedeutet jedoch nicht, dass diese Benutzer auch Zugriff auf bestimmte Dienste haben, also gleichzeitig authorisiert sind. Eine zentrale Instanz, das Key Distribution Center (KDC), kennt alle Benutzer. Hat man sich beim KDC authentifiziert, erhält man ein Tiget Granting Ticket (TGT). Mit diesem geht man zum Ticket Granting Server (TGS). Von diesem erhält man mithilfe des TGT ein Ticket, welches nur für einen bestimmten Dienst, auf einem bestimmten Server und für eine Zeitspanne gültig ist. Mit diesem Ticket geht man nun zum dienstanbietenden Server und hofft, dass man authorisiert ist, diesen Dienst zu benutzen.
- Vorteil: Der so genannte Single Sign-On im Netzwerk. Man muss sich nur einmal im gesamten Netz zentral anmelden, und anschließend kann man ohne erneute Anmeldung Dienste im Netzwerk benutzen.
- Tiefergehend gibt es z.B. hier etwas.
- Wie arbeitet eine Public Key Infrastructure (PKI)?
- Mithilfe einer PKI ist es möglich, sich selbst Zertifikate zu erstellen, zu unterschreiben und zu verwalten.
- Sie besteht aus:
- Certificate Authority (vertrauenswürdige Stelle, die andere Zertifikate unterschreibt)
- Registry Authority (Organisation, bei der man Zertifikate beantragt)
- Digitalen Zertifikaten
- Verzeichnisdienst: enthält eine Liste aller ausgestellten Zertifikate und der öffentlichen Schlüssel
- Zertifizierungssperrliste (Certificate Revocation List): enthält eine Liste aller zurückgezogenen/ungültigen Zertifikate
- Dokumentation der PKI (Arbeitsprinzipien, Sicherung, Anforderungsprozess, ...)
- Wie ist das X.500-Informationsmodell organisiert?
- Es ist ein einem Baum organisiert
- Es besteht aus
- Wurzel (zB I = Institution [TU Ilmenau]) verzweigt in Kontexte mit
- Objekteinträgen (zB o = Organizaion, ou = OrganizationalUnit) bestehend aus Attributen (zB telephoneNumber, givenName); oder
- Aliasen auf andere Objekteinträge im Baum
- Was ist unter einem Zertifikat zu verstehen? Welche Informationen werden darin gehalten?
- sind strukturierte Daten, die den Eigentümer sowie weitere Eigenschaften eines öffentlichen Schlüssels bestätigen
- Öffentlicher Schlüssel
- Identität des Schlüsselinhabers
- Identität des Ausstellers
- Gültigkeitszeitraum
- Signatur des Ausstellers
- Was versteht man unter einem Zertifizierungpfad? Wozu wird dieser gebraucht?
- Ist ein Pfad, um - über Zwischenzertifizierungsinstanzen - die Wahrheit über die Echtheit von jemand anderem zu erhalten
- Wird gebraucht, weil einzelne Zertifizierungsinstanzen für große, inhomogene Netze nicht ausreicht --> muss also untergliedert werden
- Was muss passieren, wenn ein privater Schlüssel offen gelegt wurde? Warum ist dieser Prozess sehr zeitintensiv?
- Das Zertifikat muss zurückgezogen werden
- Das Problem ist, dass das Zurückziehen des Zertifikats überall bekannt gemacht werden muss
- Was versteht man unter einem „Key Escrow System“?
- Ein System, um verloren gegangene private Schlüssel zurückzugewinnen oder Daten mit einem Generalschlüssel entschlüsseln zu können
- Wozu dienen Firewalls? Beschreiben Sie grundsätzlich die Anbindung eines privaten Netzes an das Internet über eine Firewall.
- dienen zum Schutz von lokalen Netz gegen Angriffe von außen
- Internet - Firewall - (Server in der DMZ) - Firewall - Intranet
- Prinzipiell gibt es die folgenden beiden Grundregeln, nach denen eine Firewall arbeitet:
- Beim einen kann man alles machen, was nicht geht, und beim anderen geht nicht, außer Dinge, die explizit funktionieren sollen.
- Was versteht man im Zusammenhang mit einer Firewall unter einem „Bastion Host“?
- ein Server, der Dienste für das öffentliche Internet anbietet oder als Proxy auf das öffentliche Internet zugreifen muss und daher besonders gegen Angriffe geschützt werden muss
- Zum Schutz wird der Server in einem Netzwerk platziert, das sowohl gegenüber dem Internet als auch dem internen Netzwerk durch eine Firewall abgesichert ist.