Planung und Verwaltung von Kommunikationsnetzen
Version vom 1. März 2008, 22:54 Uhr von Schoni (Diskussion | Beiträge) (→Das ISO/OSI-Managementrahmenwerk: Fragen 1-10 beantwortet)
Planung und Verwaltung von Kommunikationsnetzen | |
---|---|
Vertiefungsrichtung | MIKS |
Vorlesender | Seitz |
Ort | H3507 |
URL | Website |
Information
Die Vorlesung findet immer montags um 15.00 Uhr im Raum H3507 (Büro von Prof. Seitz) statt.
Die Übung ist Mittwoches in geraden Wochen im Raum H1520 um 14.45 Uhr.
Kontrollfragen
vom 06.02.2007
Einleitung
- Welche Komponenten werden im Rahmen des Netzmanagements berücksichtigt? (1/6)
- Hardware
- Software (Updates, ...)
- Abstrakte Objekte (Netz-User Abbildung, Beziehungen untereinander)
- --> Granularität, Beziehungen, Modellierung
- Wie können Managementdomänen festgelegt werden? (1/6)
- Aufteilung von Komponenten in Zugrhörigkeit
- Geographisch
- Funktional
- Organisatorisch
- Welche Dimensionen des Netzmanagements können unterschieden werden? (1/15)
- Funktionale Dimension
- Zusammenfassung der anfallenden Aufgaben in Aufgabengruppen
- So genannte Funktionsbereiche: Sicherheit, Abrechnung, Leistungsbewertung, Störungsbehandlung, Konfigurationsbehandlung (FCAPS - Failure, Configuration, Accounting, Performance, Security Management)
- Zeitliche Dimension
- Planung, Installation, Betrieb, Migration
- Dimension des Gegenstands
- Unterschiedlicher Fokus des Netzmanagements
- Unterscheidungsmerkmal: die für eine Aufgabe benötigte Menge an Informationen
- Wie unterschiedet sich das Netzmanagement nach der Zeit, in der eine Managementaktion ausgeführt sein muss? Welche Managementaktionen können Sie dabei als Beispiele anführen? (1/17)
- Kurzfristiger Horizont - operationales Netzmanagement
- Unterstützung des eigentlichen Netzbetriebs
- Managementaufgaben, die innerhalb von Sekunden oder Minuten erbracht werden müssen
- Vollständige Automatisierung notwendig
- z.B. Veränderung von Routing-Tabellen bei toten Links
- Mittelfristiger Horizont - taktisches Netzmanagement
- Aufgaben, die innerhalb des Stundenbereichs zu erbringen sind
- Oft halbautomatische Bearbeitung unter Einbeziehung menschlicher Experten
- z.B. User einrichten, Optimierung der erbrachten Dienste
- Langfristiger Horizont - strategisches Netzmanagement
- Aufgaben im Wochen, Monaten, Jahren
- Planerischer Aspekt
- Zur Koordinierung langfristiger Unternehmensentwicklung
- z.B. Herstellerauswahl, Beschaffung, Kostenplanung
- Welche Anforderungen muss ein Managementsystem erfüllen? (1/18)
- Sicherstellung der Funktionsbereitschaft eines Netzes
- Automatische / halbautomatische Reaktion auf Betriebsstörungen
- Dynamische Reaktion auf Änderungen im Netz und in der Umgebung
- Beherrschbarkeit des Netzes
- Verbesserung der Arbeitsbedingungen der Administratoren
- Fortschritte durch Standardisierung
Allgemeine Grundlagen des Netzmanagements
- Erläutern Sie den Netzmanagement-Regelkreis. (2/27)
- dauernde Überwachung des Netzstatus --> Ereignisse werden gemeldet an Managementanwendung
- Managementanwendung steuert Netzkomponenten und greift auf Basis der Überwachung ein
- Wie sieht die funktionale Aufteilung des Netzmanagements aus? Geben Sie beispielhafte Anwendungen, die Sie den einzelnen Bereichen zuordnen. (2/29)
- FCAPS
- Failure Management (Fehlermanagement) - Fehlererkennung, - isoalation und -behandlung
- Configuration Management (Konfigurationsmanagement) - der Spaß mit den Maps & Views
- Accounting Management (Abrechnungsmanagement) - RADIUS Accounting
- Performance Management (Leistungsmanagement) - Leistungskenngrößen überwachen, Überlast erkennen, Leistungsverbesserung (Tuning)
- Security Management (Sicherheitmanagement) - Firewalls, Authorisierungsmaßnahmen
- --> strikte Trennung der Bereiche!
- Funktionen eines Bereiches sind Grundlage für Funktionen eines anderen
- Welche Instanzen werden beim Netzmanagement unterschieden? Erläutern Sie, wie diese - ganz allgemein - zusammenarbeiten. (2/30)
- Manager (aktive bzw. verwaltende Komponente) <--> Agent (reaktive bzw. zu verwaltende Komponente)
- der Manager hat lesenden/schreibenden Zugriff auf Agenten; führt Managementop. auf Agenten aus
- Agent meldet Ergebnisse an Manager zurück, sowie Traps bei Ausnahmesituationen
- Wie ist im Allgemeinen der Aufbau eines Managementsystems? (2/31)
- Darstellung einer einheitlichen GUI nach außen (Aufbereitung durch Darstellungsmodul)
- mit Hilfe MIB-Zugriffsmoduls Zugriff auf MIB
- Protokollstapel gewährleistet Kommunikationsmöglichkeit mit dem Netz
- verschiedene Netzmanagementanwendungen können im Manager laufen --> Zugriff auf Anwedungselemente
- Netzmanagementdatentransport zwischen "innerer" und "äußerer" Welt des Managers
- Mit Hilfe von Managed Objects werden zu verwaltende Komponenten modeliert. Erläutern Sie die allgemeinen Bestandteile eines solchen Managed Objects. (2/32, 33)
- repräsentiert physikalischen oder logischen Teil eines Systems
- MO's besitzen Attribute
- Operationen auf Attributen
- Kopplung an modellierte Komponente (Verhalten und Manipulation)
- Aussenden von Meldungen/Ergebnisrückmeldung
- Was versteht man unter einer Management Information Base? (2/35)
- Sammlung von MO's (da übblicherweise nicht nur ein MO je Netzkomponente)
- Welche Funktionen muss im Allgemeinen ein Managementprotokoll bereitstellen? (2/36)
- Operationen zum Lesen von Managementinformationen (also der Attribute in den MO's)
- Operationen zum Modifizieren von Managementinformationen
- evtl. Ausführen von Operationen konkreter MO's
- Rückgabe von Ergebnis-/Statuswerten
- Meldungen beim Erreichen kritischer Attributwerte (Ereignisbasiert! nicht Abfragebasiert)
- Welche Klassen von Managementsystemen können unterschieden werden? Erläutern Sie die Unterschiede. (2/40-46)
- zentrales Netzmanagement
- ein Manager pro Domäne (Managementplattform üblich)
- --> Fehleranfällig --> evtl. Totalausfall zur Folge
- intelligente Agenten
- bessere Fehlertoleranz durch Verlagerung der Intelligenz (z.B. log-Datei schreiben und Abholen aller 24h)
- dezentralisierte Ansätze
- hierarchisches Management
- Unterteilung in Unterdomänen, Verwaltung durch je einen Manager und Informationsaustausch untereinander
- verteiltes Management
- mehrere Manager überwachen eine Domäne, dedizierte Aufgabenbereiche
- Management durch Delegation von Managementaufgaben
- Agenten können dynamisch je nach Aufgabe mit Codefragmenten vom Manager erweitert werden (Schadcode?)
- Management durch intelligente autonome Einheiten
- Aufgabe zerlegt in Teilaufgaben
- mobile Agenten "reisen" an den Ort der Aufgabe und führen sie dort aus, zurück an Manager
Das ISO/OSI-Managementrahmenwerk
- Woraus besteht das ISO/OSI-Managementrahmenwerk?
- siehe Bild
- Warum kann man bei ISO/OSI-Managed Objects von einem objektorientierten Paradigma sprechen?
- Managed Objects sind Instanzen von "Managed Object"-Klassen
- Vererbungsbaum: Klasse übernimmt alle Eigenschaften der jeweiligen Oberklasse + zusätzliche möglich
- Wie werden bei ISO/OSI Managed Objects definiert?
- Abstract Syntax Notation (ASN.1)
- Ableitung von Templates (Festlegung der Templates in den Guidelines for the Definition of Managed Objects - GDMO)
- 9 Templates (Managed Object Class ~, Package ~, Attribut ~, Attribute Group ~, Action ~, Notification ~, Parameter ~, Name Binding ~, Behavior Template)
- Welche Operationen sieht das ISO/OSI-Management auf Managed Objects vor?
- Attributbezogene Operationen:
- "Get" - Lesen
- "Replace" - Setzen
- "Replace with default" - Rücksetzen auf default
- "Add" - Hinzufügen
- "Remove" - Löschen
- bezogen auf ganze MO:
- "Create" - Erzeugen eines neuen MO
- "Delete" - Löschen eines MO (Instanz)
- "Action" - Aufruf einer Operation auf einem Objekt
- Nennen Sie Beispiele für generische Objektklassen und generische Attribute!
- Generische Objektklassen (zur Definition spezifischer "Managed Object"-Klassen)
- Protokollinstanz als aktives Element einer Datenübertragung
- Verbindungsloser Protokollautomat
- Verbindungsorientierter Protokollautomat
- Physikalisches Medium
- Dienstzugangspunkt
- Subsystem
- Kommunikationsinstanz
- Generische Attributtypen (Grundelemente zur Vereinbarung von Attributen in MO)
- Counter (Inkrementation bei auftretendem Ereignis)
- Settable Counter (wie Counter, kann vom Manager modifiziert werden)
- Counter Threshold (Erzeugung von Meldungen bei Änderung des zugeordneten Counters)
- Gauge (Änderung in beide Richtungen --> Abstraktion dynamischer Variablen)
- Gauge Threshold (wie Counter Threshold)
- Tide-Mark (zeichnet Min/Max-Wert eines Gauge über Messperiode auf)
- Was ist ein Gauge im Kontext des ISO/OSI-Netzmanagements?
- Gauge (Änderung in beide Richtungen --> Abstraktion dynamischer Variablen)
- Wozu wird bei ISO/OSI ein Registrierungsbaum eingeführt?
- zur eindeutigen Identifikation von "Managed Object"-Klassen bei der Vererbung
- Eintrag "registered as"
- alle Bestandteile eines MO können registriert werden (Attribute, Meldungen, Operationen, ...)
- muß weltweit eindeutig sein!
- Wie und durch wen können "Managed Object"-Instanzen erzeugt werden?
- Erzeugung durch Instanziierung der dazugehörigen Klassen
- Erzeugung erfolgt entweder
- Automatisch beim Start eines Agenten
- Automatisch beim Auftreten des dafür vorgesehenen Ereignisses (z.B. Aufbau einer Transportschichtverbindung)
- auf Anforderung des Managers
- Wie können bei ISO/OSI "Managed Object"-Instanzen identifiziert werden?
- eindeutige Identifikation der MO je Agent
- pro "Managed Object"-Klasse mehrere MO auf einem Agenten möglich --> Registrierungseintrag nicht mehr eindeutig
- Enthaltenseinshierarchie (Containment Tree)
- lokal eindeutige Kennung der MO
- Anordnung erfolgt gemäß "ist enthalten in"-Beziehung
- ein MO kann nur in einem einzigen anderen MO enthalten sein
- globale Identifikation durch Verkettung der einzelnen Kennungen von Wurzel bis zum Objekt
- lokaler Name - Relative Distinguished Name (RND)
- globaler Name - Distinguished Name
- Was sind die GDMO?
- Guidelines for the Definition of Managed Objects
- Spezifikation zur Definition von MO
- stellt Hierarchie von MO dar
- Syntax: ASN.1
- Beispiele siehe Bild
- Auf welche Arten können bei ISO/OSI Managementinformationen ausgetauscht werden?
- Erläutern Sie die Dienste, die der Common Management Information Service anbietet.
- Bei der Adressierung von ISO/OSI-"Managed Objects" werden die Mechanismen Scoping und Filtering eingesetzt. Erklären Sie diese. Warum werden sie überhaupt benötigt?
- Was versteht man unter der Synchronisation des Zugriffs auf ISO-OSI-"Managed Objects"?
- Welche anderen Dienstelemente verwendet CMIS?
- Erläutern Sie die bei ISO/OSI definierten "Specific Functional Areas".
- Was wird mit der State Management Function nachgebildet?
- Wozu dient die "Event Report Management Function"?
- Welchen Mechanismus sieht das ISO/OSI-Managementrahmenwerk zum Aufzeichnen von Ereignissen vor?
- Wozu kann die "Usage Metering Function" benutzt werden?
- Was macht ein "Summarization Object"?
- Welchen Sinn hat die "Management Knowledge Management Function"?
Netzmanagement im Internet
Remote Monitoring
Telecommunication Management Network
Managementplattform
Web-basiertes Management
Abrechnungsmanagement
Sicherheitsmanagement
- Erläutern Sie die Sicherheitsziele. Was muss das Sicherheitsmanagement hierfür leisten? (12/371f)
- Die Sicherheitsziele sind Authentisierung des Kommunikationspartners, Datenintegrität (Schutz gegen Verfälschung), Vertraulichkeit der Daten, Verbindlichkeit (Nachweis lieferbar, mit wem kommuniziert wurde)/Nicht-Abstreitbarkeit, Zugangskontrolle (Neben der Authentisierung des Kommunikationspartners muss er auch authorisiert sein, den betreffenden Dienst in Anspruch nehmen zu dürfen).
- für Prof. Schäfer sind die genannten 5 Punkte SicherheitsDIENSTE in der Netzsicherheit-Vorlesung
- Das Sicherheitsmanagement muss dafür Systeme und das Netz überwachen, Verschlüsselung für Informationen anbieten, Authentifizierung durchführen und die Authorisierung prüfen.
- Welche Arten von Angreifern können unterschieden werden? ()
- Passiver Angreifer
- dieser ist nur in der Lage, Datenverkehr empfangen zu können
- stellt eine Bedrohung für die Vertraulichkeit dar
- Aktiver Angreifer
- dieser ist in der Lage, Datenverkehr abhören zu können, aber auch zu manipulieren, wiedereinzuspielen, löschen...
- er kann außerdem Angriffe auf Systeme durchführen (DoS, Außerkraftsetzen von Routern, ...)
- stellt eine Bedrohung für die Vertraulichkeit, Integrität, Authorizität dar
- Was ist der Unterschied zwischen Authentizität und Verbindlichkeit?
- Die Verbindlichkeit gewährleistet zusätzlich, dass nachweisbar ist, mit wem in der Vergangenheit kommuniziert wurde, und nicht nur im aktuellen Augenblick
- Erklären Sie die Unterschiede von symmetrischer und asymmetrischer Kryptographie.
- Bei symmetrischer Kryptographie kennen zwei Kommunikationspartner ein gemeinsames Geheimnis. Nachrichten zwischen den beiden werden mit dem gemeinsamen Geheimnis verschlüsselt und ausgetauscht. Wird das Geheimnis öffentlich, ist jeder Kommunikationsvorgang, der abgehört wurde, für jeden mit Kenntnis des Schlüssels lesbar, ebenso wie jeder Kommunikationsvorgang in der Zukunft
- Bei asymmetrischer Kryptographie werden 2 Schlüssel verwendet, der private Schlüssel K- und der öffentliche Schlüssel K+. K+ muss jedem bekannt sein, der mit einem kommunizieren möchte. Für Verschlüsselungszwecke müssen Nachrichten mit K+ des Kommunikationspartners verschlüsselt und geschickt werden. Der Kommunikationspartner kann die Nachricht durch entschlüsseln mit K- lesen. Für Nachrichtenauthentisierungszwecke muss ich in eine kryptographische Hashfunktion mit Schlüsselabhängigkeit den Schlüssel K- eingehen lassen, so dass jeder mit Hilfe von K+ prüfen kann, dass die Nachricht von mir kommt.
- Was ist eine kryptographische Hash-Funktion?
- Der Zusatz ggb. Hashfunktionen besteht in der Einweg-Eigenschaft: Zwei Nachrichten M1 und M2, die gehasht werden, dürfen nicht den selben Hashwert haben - es darf also keine Kollision auftreten. Nähere kryptographische Sicherungen sind der Netzsicherheit-Vorlesung zu entnehmen.
- Die Hashwerte haben eine feste Länge, zB 128 Bit, 160 Bit
- SHA1, MD5, RIPEMD-160
- Wie kann eine Authentisierung erfolgen?
- Nachrichtenauthentisierung erfolgt am Besten mit schlüsselabhängigen kryprographischen Hashfunktionen, siehe oben.
- Was ist der Unterschied zwischen dem „Electronic Codebook“- und dem „Cipher BlockChaining“-Verfahren bei der symmetrischen Verschlüsselung?
- Bei beiden Verfahren wird der zu verschlüsselnde Klartext in Blöcke, typisch 64 Bit, zerlegt, und anschließend die Blöcke verschlüsselt. Beim Electronic Codebook sind die entstehenden Ciphertextblöcke nicht voneinander abhängig, beim Cipher Block Chaining hingegen schon. D.h., Cipherblock i ist abhängig von Cipherblock i-1. Es kann also bemerkt werden, wenn Blöcke vertauscht wurden, denn dann funktioniert die Entschlüsselung nicht mehr (der entstehende Klartext ist "kaputt").
- Wie arbeitet ein hybrides Verschlüsselungssystem?
- Es verwendet sowohl asymmetrische als auch symmetrische Kryptographie, Mithilfe der asymmetrischen findet eine Authentisierung der Kommunikationspartner statt, und für den Kommunikationsvorgang wird ein symmetrischer Sitzungsschlüssel generiert.
- Erklären Sie grob die Funtionsweise von Kerberos.
- Kerberos stellt ein zentralisiertes Authentisierungssystem (kein Verschlüsselungssystem) dar. Benutzer können sich zentral für im Netzwerk befindliche Dienste authentisieren. Das bedeutet jedoch nicht, dass diese Benutzer auch Zugriff auf bestimmte Dienste haben, also gleichzeitig authorisiert sind. Eine zentrale Instanz, das Key Distribution Center (KDC), kennt alle Benutzer. Hat man sich beim KDC authentifiziert, erhält man ein Tiget Granting Ticket (TGT). Mit diesem geht man zum Ticket Granting Server (TGS). Von diesem erhält man mithilfe des TGT ein Ticket, welches nur für einen bestimmten Dienst, auf einem bestimmten Server und für eine Zeitspanne gültig ist. Mit diesem Ticket geht man nun zum dienstanbietenden Server und hofft, dass man authorisiert ist, diesen Dienst zu benutzen.
- Vorteil: Der so genannte Single Sign-On im Netzwerk. Man muss sich nur einmal im gesamten Netz zentral anmelden, und anschließend kann man ohne erneute Anmeldung Dienste im Netzwerk benutzen.
- Tiefergehend gibt es z.B. hier etwas.
- Wie arbeitet eine Public Key Infrastructure (PKI)?
- Mithilfe einer PKI ist es möglich, sich selbst Zertifikate zu erstellen, zu unterschreiben und zu verwalten.
- Sie besteht aus:
- Certificate Authority (vertrauenswürdige Stelle, die andere Zertifikate unterschreibt)
- Registry Authority (Organisation, bei der man Zertifikate beantragt)
- Digitalen Zertifikaten
- Verzeichnisdienst: enthält eine Liste aller ausgestellten Zertifikate und der öffentlichen Schlüssel
- Zertifizierungssperrliste (Certificate Revocation List): enthält eine Liste aller zurückgezogenen/ungültigen Zertifikate
- Dokumentation der PKI (Arbeitsprinzipien, Sicherung, Anforderungsprozess, ...)
- Wie ist das X.500-Informationsmodell organisiert?
- Es ist ein einem Baum organisiert
- Es besteht aus
- Wurzel (zB I = Institution [TU Ilmenau]) verzweigt in Kontexte mit
- Objekteinträgen (zB o = Organizaion, ou = OrganizationalUnit) bestehend aus Attributen (zB telephoneNumber, givenName); oder
- Aliasen auf andere Objekteinträge im Baum
- Was ist unter einem Zertifikat zu verstehen? Welche Informationen werden darin gehalten?
- sind strukturierte Daten, die den Eigentümer sowie weitere Eigenschaften eines öffentlichen Schlüssels bestätigen
- Öffentlicher Schlüssel
- Identität des Schlüsselinhabers
- Identität des Ausstellers
- Gültigkeitszeitraum
- Signatur des Ausstellers
- Was versteht man unter einem Zertifizierungpfad? Wozu wird dieser gebraucht?
- Ist ein Pfad, um - über Zwischenzertifizierungsinstanzen - die Wahrheit über die Echtheit von jemand anderem zu erhalten
- Wird gebraucht, weil einzelne Zertifizierungsinstanzen für große, inhomogene Netze nicht ausreicht --> muss also untergliedert werden
- Was muss passieren, wenn ein privater Schlüssel offen gelegt wurde? Warum ist dieser Prozess sehr zeitintensiv?
- Das Zertifikat muss zurückgezogen werden
- Das Problem ist, dass das Zurückziehen des Zertifikats überall bekannt gemacht werden muss
- Was versteht man unter einem „Key Escrow System“?
- Ein System, um verloren gegangene private Schlüssel zurückzugewinnen oder Daten mit einem Generalschlüssel entschlüsseln zu können
- Wozu dienen Firewalls? Beschreiben Sie grundsätzlich die Anbindung eines privaten Netzes an das Internet über eine Firewall.
- dienen zum Schutz von lokalen Netz gegen Angriffe von außen
- Internet - Firewall - (Server in der DMZ) - Firewall - Intranet
- Prinzipiell gibt es die folgenden beiden Grundregeln, nach denen eine Firewall arbeitet:
- Beim einen kann man alles machen, was nicht geht, und beim anderen geht nicht, außer Dinge, die explizit funktionieren sollen.
- Was versteht man im Zusammenhang mit einer Firewall unter einem „Bastion Host“?
- ein Server, der Dienste für das öffentliche Internet anbietet oder als Proxy auf das öffentliche Internet zugreifen muss und daher besonders gegen Angriffe geschützt werden muss
- Zum Schutz wird der Server in einem Netzwerk platziert, das sowohl gegenüber dem Internet als auch dem internen Netzwerk durch eine Firewall abgesichert ist.