Planung und Verwaltung von Kommunikationsnetzen

Aus II-Wiki
Wechseln zu: Navigation, Suche
Planung und Verwaltung von Kommunikationsnetzen
Vertiefungsrichtung MIKS
Vorlesender Seitz
Ort H3507
URL Website



Information

Die Vorlesung findet immer montags um 15.00 Uhr im Raum H3507 (Büro von Prof. Seitz) statt.

Die Übung ist Mittwoches in geraden Wochen im Raum H1520 um 14.45 Uhr.

Kontrollfragen

vom 06.02.2007

Einleitung

  1. Welche Komponenten werden im Rahmen des Netzmanagements berücksichtigt? (1/6)
    • Hardware
    • Software (Updates, ...)
    • Abstrakte Objekte (Netz-User Abbildung, Beziehungen untereinander)
    • --> Granularität, Beziehungen, Modellierung
  2. Wie können Managementdomänen festgelegt werden? (1/6)
    • Aufteilung von Komponenten in Zugrhörigkeit
    • Geographisch
    • Funktional
    • Organisatorisch
  3. Welche Dimensionen des Netzmanagements können unterschieden werden? (1/15)
    • Funktionale Dimension
    • Zusammenfassung der anfallenden Aufgaben in Aufgabengruppen
    • So genannte Funktionsbereiche: Sicherheit, Abrechnung, Leistungsbewertung, Störungsbehandlung, Konfigurationsbehandlung (FCAPS - Failure, Configuration, Accounting, Performance, Security Management)
    • Zeitliche Dimension
    • Planung, Installation, Betrieb, Migration
    • Dimension des Gegenstands
    • Unterschiedlicher Fokus des Netzmanagements
    • Unterscheidungsmerkmal: die für eine Aufgabe benötigte Menge an Informationen
  4. Wie unterschiedet sich das Netzmanagement nach der Zeit, in der eine Managementaktion ausgeführt sein muss? Welche Managementaktionen können Sie dabei als Beispiele anführen? (1/17)
    • Kurzfristiger Horizont - operationales Netzmanagement
    • Unterstützung des eigentlichen Netzbetriebs
    • Managementaufgaben, die innerhalb von Sekunden oder Minuten erbracht werden müssen
    • Vollständige Automatisierung notwendig
    • z.B. Veränderung von Routing-Tabellen bei toten Links
    • Mittelfristiger Horizont - taktisches Netzmanagement
    • Aufgaben, die innerhalb des Stundenbereichs zu erbringen sind
    • Oft halbautomatische Bearbeitung unter Einbeziehung menschlicher Experten
    • z.B. User einrichten, Optimierung der erbrachten Dienste
    • Langfristiger Horizont - strategisches Netzmanagement
    • Aufgaben im Wochen, Monaten, Jahren
    • Planerischer Aspekt
    • Zur Koordinierung langfristiger Unternehmensentwicklung
    • z.B. Herstellerauswahl, Beschaffung, Kostenplanung
  5. Welche Anforderungen muss ein Managementsystem erfüllen? (1/18)
    • Sicherstellung der Funktionsbereitschaft eines Netzes
    • Automatische / halbautomatische Reaktion auf Betriebsstörungen
    • Dynamische Reaktion auf Änderungen im Netz und in der Umgebung
    • Beherrschbarkeit des Netzes
    • Verbesserung der Arbeitsbedingungen der Administratoren
    • Fortschritte durch Standardisierung

Allgemeine Grundlagen des Netzmanagements

  1. Erläutern Sie den Netzmanagement-Regelkreis. (2/27)
    • dauernde Überwachung des Netzstatus --> Ereignisse werden gemeldet an Managementanwendung
    • Managementanwendung steuert Netzkomponenten und greift auf Basis der Überwachung ein
  2. Wie sieht die funktionale Aufteilung des Netzmanagements aus? Geben Sie beispielhafte Anwendungen, die Sie den einzelnen Bereichen zuordnen. (2/29)
    • FCAPS
    • Failure Management (Fehlermanagement) - Fehlererkennung, - isoalation und -behandlung
    • Configuration Management (Konfigurationsmanagement) - der Spaß mit den Maps & Views
    • Accounting Management (Abrechnungsmanagement) - RADIUS Accounting
    • Performance Management (Leistungsmanagement) - Leistungskenngrößen überwachen, Überlast erkennen, Leistungsverbesserung (Tuning)
    • Security Management (Sicherheitmanagement) - Firewalls, Authorisierungsmaßnahmen
    • --> KEINE strikte Trennung der Bereiche!
    • Funktionen eines Bereiches sind Grundlage für Funktionen eines anderen
  3. Welche Instanzen werden beim Netzmanagement unterschieden? Erläutern Sie, wie diese - ganz allgemein - zusammenarbeiten. (2/30)
    • Manager (aktive bzw. verwaltende Komponente) <--> Agent (reaktive bzw. zu verwaltende Komponente)
    • der Manager hat lesenden/schreibenden Zugriff auf Agenten; führt Managementop. auf Agenten aus
    • Agent meldet Ergebnisse an Manager zurück, sowie Traps bei Ausnahmesituationen
  4. Wie ist im Allgemeinen der Aufbau eines Managementsystems? (2/31)
    • Darstellung einer einheitlichen GUI nach außen (Aufbereitung durch Darstellungsmodul)
    • mit Hilfe MIB-Zugriffsmoduls Zugriff auf MIB
    • Protokollstapel gewährleistet Kommunikationsmöglichkeit mit dem Netz
    • verschiedene Netzmanagementanwendungen können im Manager laufen --> Zugriff auf Anwedungselemente
    • Netzmanagementdatentransport zwischen "innerer" und "äußerer" Welt des Managers
  5. Mit Hilfe von Managed Objects werden zu verwaltende Komponenten modeliert. Erläutern Sie die allgemeinen Bestandteile eines solchen Managed Objects. (2/32, 33)
    • repräsentiert physikalischen oder logischen Teil eines Systems
    • MO's besitzen Attribute
    • Operationen auf Attributen
    • Kopplung an modellierte Komponente (Verhalten und Manipulation)
    • Aussenden von Meldungen/Ergebnisrückmeldung
  6. Was versteht man unter einer Management Information Base? (2/35)
    • Sammlung von MO's (da üblicherweise nicht nur ein MO je Netzkomponente)
  7. Welche Funktionen muss im Allgemeinen ein Managementprotokoll bereitstellen? (2/36)
    • Operationen zum Lesen von Managementinformationen (also der Attribute in den MO's)
    • Operationen zum Modifizieren von Managementinformationen
    • evtl. Ausführen von Operationen konkreter MO's
    • Rückgabe von Ergebnis-/Statuswerten
    • Meldungen beim Erreichen kritischer Attributwerte (Ereignisbasiert! nicht Abfragebasiert)
  8. Welche Klassen von Managementsystemen können unterschieden werden? Erläutern Sie die Unterschiede. (2/40-46)
    • zentrales Netzmanagement
    • ein Manager pro Domäne (Managementplattform üblich)
    • --> Fehleranfällig --> evtl. Totalausfall zur Folge
    • intelligente Agenten
    • bessere Fehlertoleranz durch Verlagerung der Intelligenz (z.B. log-Datei schreiben und Abholen aller 24h)
    • dezentralisierte Ansätze
    • hierarchisches Management
    • Unterteilung in Unterdomänen, Verwaltung durch je einen Manager und Informationsaustausch untereinander
    • verteiltes Management
    • mehrere Manager überwachen eine Domäne, dedizierte Aufgabenbereiche
    • Management durch Delegation von Managementaufgaben
    • Agenten können dynamisch je nach Aufgabe mit Codefragmenten vom Manager erweitert werden (Schadcode?)
    • Management durch intelligente autonome Einheiten
    • Aufgabe zerlegt in Teilaufgaben
    • mobile Agenten "reisen" an den Ort der Aufgabe und führen sie dort aus, zurück an Manager

Das ISO/OSI-Managementrahmenwerk

  1. Woraus besteht das ISO/OSI-Managementrahmenwerk?
    ISO/OSI-Managementrahmenwerk
    • siehe Bild
  2. Warum kann man bei ISO/OSI-Managed Objects von einem objektorientierten Paradigma sprechen?
    • Managed Objects sind Instanzen von "Managed Object"-Klassen
    • Vererbungsbaum: Klasse übernimmt alle Eigenschaften der jeweiligen Oberklasse + zusätzliche möglich
  3. Wie werden bei ISO/OSI Managed Objects definiert?
    • Abstract Syntax Notation (ASN.1)
    • Ableitung von Templates (Festlegung der Templates in den Guidelines for the Definition of Managed Objects - GDMO)
    • 9 Templates (Managed Object Class ~, Package ~, Attribut ~, Attribute Group ~, Action ~, Notification ~, Parameter ~, Name Binding ~, Behavior Template)
  4. Welche Operationen sieht das ISO/OSI-Management auf Managed Objects vor?
    • Attributbezogene Operationen:
    • "Get" - Lesen
    • "Replace" - Setzen
    • "Replace with default" - Rücksetzen auf default
    • "Add" - Hinzufügen
    • "Remove" - Löschen
    • bezogen auf ganze MO:
    • "Create" - Erzeugen eines neuen MO
    • "Delete" - Löschen eines MO (Instanz)
    • "Action" - Aufruf einer Operation auf einem Objekt
  5. Nennen Sie Beispiele für generische Objektklassen und generische Attribute!
    • Generische Objektklassen (zur Definition spezifischer "Managed Object"-Klassen)
    • Protokollinstanz als aktives Element einer Datenübertragung
    • Verbindungsloser Protokollautomat
    • Verbindungsorientierter Protokollautomat
    • Physikalisches Medium
    • Dienstzugangspunkt
    • Subsystem
    • Kommunikationsinstanz
    • Generische Attributtypen (Grundelemente zur Vereinbarung von Attributen in MO)
    • Counter (Inkrementation bei auftretendem Ereignis)
    • Settable Counter (wie Counter, kann vom Manager modifiziert werden)
    • Counter Threshold (Erzeugung von Meldungen bei Änderung des zugeordneten Counters)
    • Gauge (Änderung in beide Richtungen --> Abstraktion dynamischer Variablen)
    • Gauge Threshold (wie Counter Threshold)
    • Tide-Mark (zeichnet Min/Max-Wert eines Gauge über Messperiode auf)
  6. Was ist ein Gauge im Kontext des ISO/OSI-Netzmanagements?
    • Gauge (Änderung in beide Richtungen --> Abstraktion dynamischer Variablen)
  7. Wozu wird bei ISO/OSI ein Registrierungsbaum eingeführt?
    • zur eindeutigen Identifikation von "Managed Object"-Klassen bei der Vererbung
    • Eintrag "registered as"
    • alle Bestandteile eines MO können registriert werden (Attribute, Meldungen, Operationen, ...)
    • muß weltweit eindeutig sein!
  8. Wie und durch wen können "Managed Object"-Instanzen erzeugt werden?
    • Erzeugung durch Instanziierung der dazugehörigen Klassen
    • Erzeugung erfolgt entweder
    • Automatisch beim Start eines Agenten
    • Automatisch beim Auftreten des dafür vorgesehenen Ereignisses (z.B. Aufbau einer Transportschichtverbindung)
    • auf Anforderung des Managers
  9. Wie können bei ISO/OSI "Managed Object"-Instanzen identifiziert werden?
    • eindeutige Identifikation der MO je Agent
    • pro "Managed Object"-Klasse mehrere MO auf einem Agenten möglich --> Registrierungseintrag nicht mehr eindeutig
    • Enthaltenseinshierarchie (Containment Tree)
    • lokal eindeutige Kennung der MO
    • Anordnung erfolgt gemäß "ist enthalten in"-Beziehung
    • ein MO kann nur in einem einzigen anderen MO enthalten sein
    • globale Identifikation durch Verkettung der einzelnen Kennungen von Wurzel bis zum Objekt
    • lokaler Name - Relative Distinguished Name (RND)
    • globaler Name - Distinguished Name
  10. Was sind die GDMO?
    GDMO Beispiele
    • Guidelines for the Definition of Managed Objects
    • Spezifikation zur Definition von MO
    • stellt Hierarchie von MO dar
    • Syntax: ASN.1
    • Beispiele siehe Bild
  11. Auf welche Arten können bei ISO/OSI Managementinformationen ausgetauscht werden?
    • Trap
    • direkte Abfrage durch Manager (Get...)
  12. Erläutern Sie die Dienste, die der Common Management Information Service anbietet.
    • M-Event-Report: definierte Benachrichtigungen in dem MOs (Tresholds, Fehler, Start/Stop, ...)
    • M-Get: Abfragen eines Wertes eines MO
    • M-Set: Setzen eines Wertes
    • M-Action: Ausführen auf MO
    • M-Create: Anlegen einer neuen MO-Instanz
    • M-Delete: Löschen einer MO-Instanz
    • M-Cancel-Get: bricht laufende Abfrage ab
  13. Bei der Adressierung von ISO/OSI-"Managed Objects" werden die Mechanismen Scoping und Filtering eingesetzt. Erklären Sie diese. Warum werden sie überhaupt benötigt?
    ISO-OSI Scoping.JPG
    • Scoping siehe Bild
    • Filtering: Filterung auf durch Scoping festgelegten Bereich (weitere Einschränkung)
  14. Was versteht man unter der Synchronisation des Zugriffs auf ISO-OSI-"Managed Objects"?
    • Best Effort Synchronisation: Operation auf jedem Element auch wenn es zu Fehlern kommt
    • Atomic Synchronisation: Gibts nen Fehler bei einer Operation werden alle abgebrochen
  15. Welche anderen Dienstelemente verwendet CMIS?
    • ACSE (Association Control Service Element) Verbindungen auf/abbauen
    • ROSE (Remote Operation Service Element) Befehle auf dem Agenten ausführen
  16. Erläutern Sie die bei ISO/OSI definierten "Specific Functional Areas".
    • FCAPS
  17. Was wird mit der State Management Function nachgebildet?
    • Modell des Zustands der überwachten Netzkomponenten
    • Zustandsattribute: Betriebszustand (on/off), Benutzzustand (idle, active, busy, ...), verwaltungstechnischer Zustand (locked, unlocked, shutting down)
  18. Wozu dient die "Event Report Management Function"?
    • Eingehende Meldungen werden zu einem potentiellen Bericht zusammen gestellt
  19. Welchen Mechanismus sieht das ISO/OSI-Managementrahmenwerk zum Aufzeichnen von Ereignissen vor?
    • Log Control Function
  20. Wozu kann die "Usage Metering Function" benutzt werden?
    • Einheitliches Beschreibungsschema für Abrechnungsdaten
    • Austausch von Abrechnungsdaten
  21. Was macht ein "Summarization Object"?
    • Vorverarbeitung und Komprimierung von Daten innerhalb des Agenten
    • Aggregation mehrere Attribute
  22. Welchen Sinn hat die "Management Knowledge Management Function"?
    • Manager muss den Funktionsumfang des Agenten kennen
    • Anfragemöglichkeit, welche managementrelevante Information bei einem Agenten grundsätzlich unterstützt wird

Netzmanagement im Internet

  1. Was regelt die "Structure of Management Information"?
    • beinhaltet Regeln zur Definiton von Objekten, die Gegenstand des Netzwerkmanagements sein sollten
    • typisierte Variablen (Objekt, Wert)
    • basiert auf ASN.1
    • Regeln unabhängig von Managementprotokollen
  2. Wie sieht das Objektmodell im Internet-Management aus?
    Objektmodell im Internet-Management
    • siehe Bild
  3. Wozu dient das Object Type Macro?
    • Beschreibung/Erzeugung von Objekten mit ASN.1
  4. Welche Datentypen kann ein Internet-"Managed Object" haben?
    • grundlegende Datentypen
    • INTEGER, OCTET STRING, OBJECT IDENTIFIER, NULL
    • zusammengesetzte Datentypen
    • SEQUENCE, SEQUENCE OF
    • vordefinierte Datentypen
    • IpAddress, NetworkAddress, Counter, Gauge, TimeTicks (0...4.294.967.296 in 1/100 Sekunden), Opaque
  5. Was ist der Unterschied zwischen einem Counter und einem Gauge?
    • Counter wächst nur, Überlauf bei Erreichen des maximalen Wertes
    • Gauge erlaubt Ausschlag in beide Richtungen, kein Überlauf bei erreichen von 2^32
  6. Welche Möglichkeiten können beim Zugriff auf ein Managed Object im Internet unterschieden werden?
    • not-accessible, read-only, read-write, write-only (?!)
    • Änderung in SMIv2: "write-only" eliminiert, neu "read-create" zum Erzeugen von Objekten (Tabellenzeilen) durch Manager
  7. Was drückt der "Status" in der Definition eines Internet-"Managed Objects" aus?
    • Statusfeld enthält Informationen über Bedeutung/Vorhandensein eines Objekts bei Agenten
    • Werte: "mandatory", "optional", "deprecated", "obsolete"
    • SMIv2: "mandatory"="current", "optional" gestrichen
  8. Erläutern Sie, wie Managementinformation im Internet in einer Tabelle zu organisieren ist.
    • Zeilendefinition durch "SEQUENCE"
    • Aneinanderreihung unterschiedlicher einfacher Datentypen
    • SEQUENCE{ <type 1>, ... , <type n> }
    • zweidimensionale Tabelle durch "SEQUENCE OF"
    • Liste gleich aufgebauter Managed Objects
    • SEQUENCE OF <entry>
    • Beispiele siehe Folien 5-123/124
  9. Wie wird ein Managed Object im Internet identifiziert?
    • generell: Name des Objekts in MIB ("Klassenbezeichner") + ID der Instanz
    • Beispiel: "sysDescr" = iso.org.dod.internet.management.mib-2.system.sysDescr
    • Kurzschreibweise: 1.3.6.1.2.1.1.1 , Instanz: 1.3.6.1.2.1.1.1.0
  10. In der Standard-MIB im Internet gibt es einen Ast, der die "Simple Network Management Protocol"-Gruppe enthält. Welche Informationen sind dort abgelegt?
    • Informationen über den Ablauf von SNMP
    • Überwachung der Funktionsweise von SNMP (Statistiken über SNMP-PDUs)
  11. Welche grundlegenden Prinzipien sollte das Managementprotokoll im Internet erfüllen?
    • zweckgebundene Einfachheit: Effizienz, geringer Ressourcenbedarf
  12. Das Simple Network Management Protocol (SNMP) nutzt das User Datagram Protocol auf der Transportschicht. Warum ist dieser dem Transmission Control Protocol vorgezogen worden?
    • keine Verbindungsabbrüche möglich
    • auch in Stausituationen einsetzbar
    • keine Kontextinformationen notwendig
    • weniger Overhead --> geringere Netzlast
  13. Was bedeutet der Begriff "Trap-directed Polling"?
    • Manager fragt Agenten in regelmäßigen Abständen ab (Polling)
    • Agenten können durch eigene Meldungen (Traps) Ausnahme-/Fehlersituationen an Manager senden
    • Manager kann sofort auf Situation reagieren/Abfragestrategie anpassen
  14. Welche PDUs sind in der ersten Version von SNMP definiert?
    • Get (Typ 0), Get-Next (Typ 1), Response (Typ 2), Set (Typ 3), Trap (Typ 4)
  15. Wozu wird die Get-Next-PDU benötigt?
    • Abfragen eines Wertes der MO Instanz, die lexikografisch nach dem angegebenen Bezeichner kommt
    • Durchlauf der kompletten MIB auch ohne Kenntnis der Struktur möglich (aufeinander folgenden Get-Next)
  16. Wie reagiert ein SNMP-Agent, wenn eine Ausnahmesituation passiert? Nennen Sie vordefinierte Ausnahmesituationen.
    • Agent sendet einen Trap an Manager mit Fehlerinformationen
    • Generic Traps - allgemein definierte Traps
    • coldStart (0) - Neustart des Agenten nach eventueller Konfigurationsänderung
    • warmStart (1) - Neuinitialisierung des Agenten ohne Konfigurationsänderung
    • linkDown (2) / linkUp (3)
    • authenticationFailure (4) - empfangene SNMP-Nachricht enthielt falschen Community Name
    • egpNeighborLoss (5) - Exterior Gateway Protokoll (Routing) Nachbar nicht mehr erreichbar
    • enterpriseSpecific (6) - kein generic Trap, mehr siehe in "Specific Trap"-Feld
    • Specific Traps - weitere Klassifikation spezifischer Traps
  17. Wie erfolgt die Zugriffskontrolle bei SNMPv1?
    • SNMP-Community, Identifikation durch "Community Name" der im !Klartext! übertragen wird (dafault="public")
  18. Vergleichen Sie SNMPv1 und CMIP.
    • CMIP: verbindungsorientiert, zuverlässig, aufwändig, umfangreich, ressourcenintensiv, öffentliche Netze
    • SNMP: verbindungslos, unzuverlässig, einfach, eingeschränkt, ressourcenschonend, lokale Netze
  19. Warum wurde die zweite Version von SNMP entwickelt?
    • ineffiziente Kommunikation (trap-directed polling, Tabellenabfragen), Fehlerbehandlung (generic traps)
    • unzureichende Schutzmechanismen
    • keine Koordination zwischen Managern
    • eingeschränkte Anzahl an Datentypen
  20. Welche neuen PDUs kamen bei SNMPv2 dazu? Erklären Sie deren Bedeutung.
    • GetBulk - Tabellen abfragen
    • Inform - Manager-Manager-Kommunikation
  21. Was ist neu in der Fehlerbehandlung bei SNMPv2?
    • differenzierte Fehlerbehandlung möglich
    • 18 anstatt 5 (in v1) unterschiedliche Werte
    • mehrere Operationen in einer Anfrage: Abbruch nur des fehlerhaften Zugriffs, bei v1 führt ein fehlgeschlagener Zugriff zum Abbruch aller Operationen der Anfrage
  22. Was versteht man unter dem "RowStatus"-Mechanismus?
    • dient zur Erzeugung von neuen Tabellenzeilen
    • letzte Spalte einer Tabelle vom Typ "RowStatus"
    • wenn weitere Zeile benötigt wird wählt Manager unbenutzten Index und setzt RowStatus auf "createAndWait"
    • neue Zeile wird vom Agenten angelegt
  23. Welche Sicherheitsstufen unterscheidet SNMPv2?
    • unsichere Nachrichten (wie in v1)
    • authentische Nachrichten - Sender wird mit Authentifikationsprotokoll authentifiziert (z.B. MD5)
    • private Nachrichten - Nachrichten sind authentisch und verschlüsselt (z.B. mit DES)
  24. Was war das Ziel von SNMPv3?
    • einheitliches Internet-Managementrahmenwerk
  25. Erläutern Sie den Aufbau einer SNMPv3-Instanz und deren Funktionsweise.
    SNMPv3-Instanz
    • SNMP-Entity = SNMP-Instanz, die als Manager, Agent oder Kombination aus beiden agieren kann
    • Bestandteile:
    • SNMP-Engine - Verarbeiten von PDUs und Nachrichten, Umsetzung von Sicherheitsmerkmalen
    • SNMP-Applications - benutzen Dienste der SNMP-Engine, Erzeugen und Empfangen von SNMP-Befehlen bzw. Trap/Inform-Nachrichten
  26. Was ist ein SNMPv3-Kontext?
    • logische Gruppierung von Managementobjekten einer Entity
    • Kontexte können gleiche/unterschiedliche Objekte enthalten
  27. Was versteht man unter einer "View-based Access Control (VACM)"?
    • Menge von Objekten (Teilbaum), auf die ein Benutzer Zugriff besitzt
    • abhängig von: Benutzer, Sicherheitsmodell, eingesetzten Sicherheitsmechanismen, SNMP-Operationen
  28. Vergleichen Sie die verschiedenen Versionen von SNMP.
    SNMP Versionsvergleich
    • siehe Bild

Remote Monitoring

  1. Welche Idee steckt hinter dem RMON-Ansatz?
    • intelligente Agenten
    • "Sog. Sonden (Engl.: "probe") analysieren den im Netzwerk auftretenden Verkehr, nehmen eine Filterung vor und speichern Informationen zur späteren Auswertung"
  2. Was für RMON-Sonden können unterschieden werden?
    • stand-alone probe - dedizierte Hardware-Komponente mit ausreichend Speicher und Rechenleistung
    • embedded probe - als Software in Gerät integriert, evtl. Einfluß auf Leistung der überwachten Komponente
    • hosted probe - selbständiges Hardware-Modul
    • distributed probe - Softwarelösung, Funktionalität auf verschiedenen Komponenten verteilt, proprietäres Protokoll zum Einsammeln der Informationen
  3. Wo werden die RMON-Messungen abgelegt? Was muss ich tun, um eine neue Messung zu initiieren?
    • Datenablage in Tabellen
    • kombinierte Kontroll-/Datentabelle - gemeinsame Tabelle für Konfigurationsparameter und Ergebnisse
    • getrennte Kontroll-/Datentabelle - getrennte Tabelle für Konfiguration und Daten-/Ergebnisspeicherung
    • Manager muß RMON-Agenten beauftragen
  4. Was kann – standardmäßig – alles mit RMON1 erfasst werden?
    • RMON1-Gruppen: statistics(1), history(2), alarm(3), host(4), hostTopN(5), matrix(6), filter(7), capture(8), event(9)
    • statistics - Statistiken über Verkehrs-/Fehlerrate auf MAC-Ebene
    • history - Aufzeichnung der Daten der Statistics-Gruppe über gegebenes Zeitintervall i (Speicherung von "Delta"-Werten)
    • alarm + event - Überwachung beliebiger Integer-Objekte --> zusätzlich konfigurierbare Traps
    • host - Analyse des Verkehrsaufkommens auf Schicht 2 für ein/mehrere Netzwerkschnittstellen
    • hostTopN - Einschränkung der Host-Gruppe auf vorgegebene Anzahl an Hosts (N Spitzenpositionen eines Überwachungsauftrages)
    • matrix - Erstellen von Paketstatistiken für je zwei Kommunikationspartner
    • filter - Definition von Daten- und Statusfiltern
    • capture - Aufzeichnung von Paketen eines Kanals (hohe Speicherbelastung!)
  5. Wie unterscheidet sich RMON2 von RMON1?
    • RMON1-Gruppen arbeiten nur auf Schicht 2
    • RMON2-Gruppen zuzüglich zu RMON1-Gruppen, arbeiten auf Schicht größer gleich 3
    • neue Gruppen: protocolDirectory, protocolDistribution, addressMapping, networkLayerHost, networkLayerMatrix, applicationLayerHost, applicationLayerMatrix, userHistory, probeConfiguration

Telecommunication Management Network

  1. Was versteht man unter dem Telecommunication Management Network (TMN)?
    • TMN-Spezifikation ist wichtigster Standard zur Verwaltung (öffentlicher) Telekommunikationssysteme
  2. Erläutern Sie grob das TMN-Konzept.
    • Trennung von Telekommunikations- und Managementnetzwerk
    • Telekommunikationsnetzwerk beinhaltet Vermittlungssysteme und Übertragungssysteme
    • Managementnetzwerk beinhalter Managementsysteme und Nutzerschnittstellen und Verbindungen zum Telekommunikationsnetzwerk
  3. Welche Managementdimensionen unterscheidet TMN?
    TMN Managementdimensionen
    • siehe Bild
  4. Welche Referenzpunkte gibt es bei TMN?
    • q-Referenzpunkt: Informationsaustausch innerhalb eines TMN
    • x-Referenzpunkt: Informationsaustausch zwischen verschiedenen TMNs
    • f-Referenzpunkt: Informationsaustausch zwischen dem TMN und einer WSF (Work Station Function)
    • m-Referenzpunkt: Informationsaustausch zwischen einem Q-Adapter und externen Netzelementen (außerhalb der TMN-Standardisierung)
    • g-Referenzpunkt: Informationsaustausch zwischen einem WSF-Block und dem menschlichen Benutzer (außerhalb der TMN-Standardisierung)
  5. Wie sieht das informationstechnische Modell bei TMN aus?
    • Objektorientierter Ansatz (Vererbung, ...)
    • basierend auf ISO/OSI-Managementinformationsmodell
    • Manager/Agent-Konzept wie bei ISO/OSI
  6. Erläutern Sie die unterschiedlichen Schichten der TMN-Architektur.
    • Business Management: Verwaltung des gesamten Unternehmens, Unternehmensziele; strategisches Management
    • Service Management: Verwaltung der Dienste, die Kunden angeboten werden; QoS-Überprüfung, Abrechnung, Nutzerverwaltung
    • Network Management: Verwaltung der Netzwerke und Systeme, welche die Dienste erbringen (Ende-zu-Ende-Sicht); komplette Netzsicht, Wege, Auslastung, QoS, Routingtabelle
    • Network Element Management: Verwaltung der Netz- und Systemkomponenten; Geräte, Eigenschaften, Ressourcenauslastung, aktiv: Rücksetzen, Firmwareupdate
  7. Wie können TMN und das Internet-Management integriert werden?
    • Integration des Internet-Managements in TMN über Q-Adapter-Funktion
  8. In welcher TMN-Ebene würden Sie die Netzplanung einordnen? Erklären Sie Ihre Entscheidung.
    • Network Management Layer
    • erlaubt Blick auf gesamtes Netz, herstellerunabhängig
    • Beschreibung von Pfaden durch das Netz und deren Überwachung
    • Element Management Layer erlaubt nur Sicht auf einzelne Netzkomponenten --> kein Überblick möglich
    • Service Management Layer erlaubt nur Sicht auf erbrachte Dienste des Netzes, einzelne Netzkomponenten nicht mehr darstellbar

Managementplattformen

  1. Wie ist eine Managentplattform allgemein aufgebaut?
    • Oberflächenbaustein
    • Managementapplikation und Entwicklungswerkzeuge
    • Basisanwendungen ( verschiedene Manager, MIB-Browser, Zustandsmonitor,...)
    • Infrastruktur
  2. In einer Managementplattform ist eine Infrastrukturkomponente enthalten. Aus welchen Bausteinen besteht diese und was sind deren Aufgaben?
    • Kommunikationsbaustein: Zugriff auf Managementinformationen in anderen Systemen
    • Informationsverwaltung: Verwaltung und Speicherung von Informationen
  3. In der Benutzerorberfläche einer Managementplattform können "Maps" und "Views" unterschieden werden. Erläutern Sie deren Eigenschaften und die damit realisierbaren Managementfunktionen.
    • Maps sind graphische Darstellungen des Netzes mit Verbindungen und Systemen wie sie physikalisch vorhanden sind
    • Views sind Nutzerangepasste Sichten vom Netz oder Teilen davon (z.B. physikalische, logische)
  4. Was für Basisanwendungen findet man häufig in Managementplattformen?
    • MIB Browser
    • Zustandsmonitor
    • Ereignismanagement (mit Ereignisfilterung/-korrelation)
    • Leistungsmonitor
    • Topologiemanagement
    • Konfigurationsmanagement
  5. Was leistet ein Zustandsmonitor in einer Managementplattform?
    • Überwachung von Zustand/Diensterbringung einer Komponente
    • Initiative geht vom Manager aus
  6. Warum muss eine Managementplattform Ereignisfilterung und -korrelation durchführen?
    • ein Ereignis erzeugt viele Fehlermeldungen --> Managerwird damit überschwemmt
    • deshalb Filterung/Korrelation und Reduktion auf eine/wenige Meldung/en
  7. Erläutern Sie die Funktionsweise eines Leistungsmonitors.
    • überwachen eines Attributs eines Agenten in verschiedenen Intervallen (z.B. Linkauslastung alle 5 Sekunden)
    • Manager muss zyklisch Abfragen stellen (Starten,Anhalten der Messung...)
  8. Was versteht man unter einem Topologie-Management?
    • Sammlung von Informationen im Netz und Darstellung als Map
    • Discoveryfunktion und Darstellung von Links und Systemen
  9. Nennen Sie beispielhafte Managementplattformen.
    • HP Openview
    • Tivoli Management Evironment
  10. Das TME hat Entwicklungswerkzeuge integriert. Wozu können diese verwendet werden?
    • zum entwickeln eigener Managementanwendungen
    • z.B. eigene MIBs bauen mit AdventNet

Web-basiertes Management

  1. Was versteht man unter Web-basiertem Management und welche Vorteile verspricht man sich davon?
    • Management über Web, keine spezialisierten Plattformen mehr, Management über Web-Browser
    • „(Netzwerk-)Management unter Nutzung von Web-Technologien wie HTML, HTTP, Java, Corba, ..."
    • Vorteile
    • Plattform-/Betriebsunabhängigkeit (nur Browser in der regelt benötigt [evtl. Java oder ActiveX Plugin noch])
    • Ortsunabhängigkeit
    • effiziente Ressourcennutzung, weil keine dedizierte Managementstation notwendig
    • Einheitlichkeit, im Sinne einheitlicher Programmierschnittstellen und Darstellung
    • Kompatibilität (vereinfachte Zusammenarbeit)
  2. Wie kann ein Web-Server für das Netzwerkmanagement genutzt werden? Wie können dann Managementoperationen realisiert werden?
    • Integration eines WebServers in zu verwaltende Komponente, um Befehle als Manager auf dem Gerät direkt umzusetzen
    • WebServer als Manager-Proxy
    • WebServer sammelt zB per SNMP Informationen einer vielzahl von Geräten
    • WebServer zeigt per HTML Stati an und lässt Änderungen zu
    • WebServer übermittelt Kommandos per SNMP an Agenten der Geräte
    • außerdem Management-Tunneling: CMIP/SNMP-Pakete werden über HTTP getunnelt und an Agenten weitergeleitet
    • Managementoperationen durch Server-Side-Includes/CGI-Skripte/Servlets im Management-Server realisiert werden
    • Managementoperationen lokal durch Applets realisieren und Kommunikation mit Agenten direkt per SNMP
  3. Was sind die Java Management Extensions (JMX)?
    • Java-Erweiterung, die direkt für Management entwickelt wurde
  4. Warum kann mittels JMX ein flexibles und erweiterbares Netzmanagement erreicht werden?
    • JMX betrachtet Management für und durch Java
    • universelle Java-Erweiterung für Managementaufgaben (Verwaltung beliebiger Ressourcen)
    • Nutzung aktueller Technologien (z.B. Java-Beans, Jini, ...)
    • Unabhängigkeit von Manager (SNMP, CMIP, Java, ...)
    • Unabhängigkeit von Informationsmodell
    • einfache Erweiterbarkeit (Manager <-> Agenten)
    • Intelligenz und Autonomie der Agenten
  5. Was ist die Common Object Request Broker Architecture (CORBA)?
    • Architektur zum "einfachen" Implementieren verteilter Anwendungen, die nicht an eine Programmiersprache gebunden ist, aber grundsätzliches über Kommunikationsvorgang, Art der auszutauschenden Objekte usw. durch formale Spezifikation (IDL) von Schnittstellen vorgibt
    • Programmierer müssen nun serverseitig die Schnittstellen in Methoden/Funktionen implementieren und im Netzwerk anbieten - man muss also serverseitige eine eigene Object-Request-Broker-Implementierung bauen
    • Clientseitig lassen sich aus der IDL Klassen generieren, die der Programmierer dann ganz normal aufrufen kann, als wären es lokale Klassen. In Wahrheit jedoch findet eine Netzwerkkommunikation mit dem Server statt, und Objektinstanzen werden über den Draht serialisiert kommuniziert
    • Ähnliche Architekturen (teilweise mit Bezug auf Programmiersprache(n)): Java RMI, WebServices WS-*, DOM, .NET Remoting, WCF
  6. Erläutern Sie grob, wie mittels CORBA eine verteilte Anwendung programmiert wird. (aus Wikipedia)
    • Die CORBA-Spezifikation ist nicht an eine bestimmte Programmiersprache gebunden. Vielmehr sind die Softwarehersteller oder Communities aufgerufen, auf der Grundlage dieser Spezifikation eigene Object-Request-Broker-Implementierungen zu erstellen. Die meisten Hersteller bieten Implementierungen für mehrere Programmiersprachen und auch Betriebssysteme an. Die gemeinsame Spezifikation ermöglicht dann die Kommunikation von Anwendungen untereinander, die mit unterschiedlichen ORBs, Programmiersprachen und Betriebssystemen erstellt wurden.
      Mittels der in CORBA genutzten Interface Definition Language (IDL) erstellt der Programmierer eine formale Spezifikation der Schnittstellen (Daten und Methodensignaturen), die eine bestimmte Serveranwendung für entfernte oder lokale Zugriffe zur Verfügung stellt. Die Funktionen sind also nicht ausprogrammiert. Diese Schnittstellenbeschreibung wird dann mit einem IDL-Compiler in ein Objektmodell der verwendeten Programmiersprache umgesetzt. Diese IDL-Compiler werden dabei von dem Hersteller des jeweiligen ORB mitgeliefert. Aus der IDL wird Quelltext generiert, der zu der jeweiligen ORB-Implementierung passt. Der Quelltext enthält dann die so genannten Stubs und Skeletons. Hier wird ein Architekturmuster verwendet, das so genannte Broker Pattern, welches die Komplexität der Netzwerkschnittstelle vor dem Programmierer verbirgt und einen Methodenaufruf wie einen lokalen Aufruf erscheinen lässt.
      Die Stubs dieser generierten Klassen können nun von der Client-Anwendung wie ganz normale lokale Objekte benutzt werden. Die ganze Arbeit bei der Interprozesskommunikation besorgen die generierten Klassen und die von der CORBA-Implementierung mitgelieferten Bibliotheken. So definiert z. B. der Entwickler einer C++-Server-Anwendung zuerst seine IDL-Schnittstellen, danach erzeugt er mit Hilfe eines entsprechenden IDL-Compilers C++-Skeleton-Klassen. Als nächstes erweitert er die Skeletons mit der notwendigen Implementierung der Logik. Damit ist seine Arbeit erledigt. Ein Client-Entwickler benutzt die IDL-Schnittstellen des Server-Entwicklers und erzeugt mittels seines IDL-Compiler Stubs im Java-Quelltext. Er kann dann die Instanzen dieser generierten Klassen wie oben erläutert als ganz normale Java-Objekte benutzen.
  7. Was sind die Vorteile von CORBA für das Netzmanagement?
    • Objektorientiert, was das Erstellen von komplexen (verteilten) Anwendungen vereinfacht
    • Managementinformationen finden Platz in passenden Objekten
    • orts- und plattformunabhängig
    • hersteller- und programmiersprachenunabhängig
    • Integration anderer Managementstandards möglich (IDL->GDMO und IDL->SMIv2 Abbildungen vorhanden)
    • Interoperabilität von Managementplattformen
    • Programmierer muss sich nicht mit komplizierter Netzwerkprogrammierung herumschlagen, wird ihm von IDL-Compilern abgenommen
  8. Wie sieht das Informationsmodell für das Web-Based Enterprise Management (WBEM) aus?
    • in der Mitte die Core (Core Model), beinhaltet grundlegende abstrakte Elemente des Bereiches Management
    • Unterteilung in physikalisch/logische Elemente
    • sonst nichts (also nicht Anwendungen, Netwerke etc.)
    • zusätzlich zum Kern die allgemeinen Erweiterungen (Common Model)
    • Apps, Benutzer, Geräte (CPU, Speicher, ...), Netzwerke (Protokolle, Dienstzugangspunkte, ...), System, ...
    • technologieUNabhängig
    • Spezifische Erweiterungen (Extension Model)
    • Betriebssysteme, Netzwerkkarten, ...
    • technologieABHÄNGIG

Abrechnungsmanagement

  1. Welche Teilaufgaben des Abrechnungsmanagements können Sie nennen?
    • Erfassen von Verbrauchsdaten (Zeit/Zeitpunkt, Volumen) --> geeignete MIB definieren, nutzen von Leistungmanagement-Methoden
    • Führen von Abrechnungskonten --> Datenbank/MIB
    • Zuordnen von kosten zu Konten
    • Verteilen und Überwachen von Kontingenten (Stichwort: Prepaid Services)
    • Führen von Verbrauchsstatistiken --> Rückwirkung auf die Netzplanung
    • Definition der Abrechnungspolitik --> Festlegen von Tarifen, Vereinbarung von Rabatten
    • Problem: TCP/IP macht Fehlerkorrektur mit Neuübertragung, zahlt der Verbraucher dafür auch?
  2. Welche Anforderungen muss ein Abrechnungssystem erfüllen?
    • Verursacherorientierte Abrechnung
    • Verbrauch einem Verbraucher zuordnen (über Adresse, Anschluss)
    • auch bei kompliztierten Auftragsverhältnissen muss Verursacherorientierung gewahrt bleiben
    • pauschale Abrechnung, wenn oberen Bedingungen nicht einhaltbar (Flatrates)
    • Betriebsmittel sollen von allen Benutzern in etwa im gleichen Umfang benutz werden
    • Verbrauchsbezogene Abrechnung
    • Kosten sind streng proportional zum Verbauch
    • Kosten werden pauschal auf die Nutzergruppe verteilt
    • Mengenrabatte können gewährt werden
    • Gruppeneinteilung als Grundlage der Preispolitik
  3. Nennen Sie Beispiele für Standards bei ISO/OSI und im Internet, die dem Abrechnungsmanagement zuzurechnen sind.
    • Accounting-MIB im Internet RFC2513
  4. Wonach kann die Abrechnung erfolgen?
    • Fixkosten (Anschluss, monatl. Grundpreis)
    • Pauschalkosten
    • Kostenübernahmeregelung
    • Verbindungsaufbau (da im Netz eine Reservierung stattfindet beim Verbindungsaufbauwunsch)
    • Verbindungsdauer
    • Verbindungszeitpunkt
    • Übertragungsgeschwindigkeit
    • zugesicherte Dienstgüte (Latenz, Jitter, Zuverlässigkeit)
    • ...
  5. Wie können Abrechnungsinformationen übertragen werden?
    • Managementprotokolle: SNMP, CMIP
    • spezielle Abrechnungsprotokolle: RADIUS Accounting, TACACS+
    • herkömmliche Anwendungsprotokolle zwischen Domänen: SMTP, FTP, HTTP
  6. Wie können die Abrechnungsinformationen gesammelt werden? (12/355)
    • Abfrage (Polling); Ereignisgesteuert ohne Zusammenfassung, Ereignisgesteuerte Abfrage mit Zusammenfassung und Scheduling, reine Ereignisgesteuerte Abfrage
  7. Erläutern Sie die "Probleme" bei der Tarifierung integrierter Netze.
    • steigende Preise verursachen zunächst steigenden, dann zu fallenden Umsätzen --> Blockierungswahrscheinlichkeit nimmt ab!
    • steigende Preise verursachen fallende Netzlast
    • bei Verbindungsaufbaugebühren steigen die Umsätze --> Blockierungswahrscheinlichkeit nimmt ab!
    • Tarifierung je nach Last führt zu gleichmäßiger Netzauslastung --> Blockierungswahrscheinlichkeit nimmt ab!
  8. Was versteht man unter synamischer Abrechnung? Warum ist dieses Konzept praktisch nur sehr schwer umsetzbar?
    • Delta Auction: der Kunde bietet (periodisch) für seine gewünschte Bandbreite
    • Adaptives, Load Sensitive Volume Pricing: Dienstanbieter gibt Grundpreis vor
    • dynamische Preisanpassung mittels Preisanstiegsfunktion (Angebot/Nachfrage)
    • Umsetzungsschwierigkeiten da hohe Intelligenz an HArdware gestellt wird, Kunde keine festen Preise hat, daher Anbieterwechsel...
  9. Nenne Sie Möglichkeiten der Abrechnung, wenn mehrere Diensterbringer zu berücksichtigen sind.
    • Abrechnung über den direkt beauftragenden Beteiligten (wie eine Kette von einem Provider zum nächsten bis zum Kunden)
    • Abrechnung über den Diensterbringer des Kunden (alle Rechnungen gehen an Provider bei dem der Kunde unter Vertrag ist)
    • Direkte Abrechnung beim Kunden (alles geht an Kunden)
    • zentrale Abrechnung (eine zentrale Abrechnungstelle, die an Kunden Gesamtrechnungsbetrag weiterleitet)
    • gemischte Vorgehensweise
  10. Warum ist die Abrechnung gerade in paketvermittelten Netzen sehr komplex?
    • Auf welcher (ISO/OSI) Schicht wird abgerechnet?
    • Wie werden die in Rechnung gestellten Leistungen nachgewiesen?
    • Wer zahlt für Übertragungswiederholung oder Duplizierte Pakete?
    • Was passiert bei Verletzung der vereinbarten Dienstgüte?
    • Wie kann ein Weiterverkauf von Bandbreite gregelt werden?

Sicherheitsmanagement

  1. Erläutern Sie die Sicherheitsziele. Was muss das Sicherheitsmanagement hierfür leisten? (12/371f)
    • Die Sicherheitsziele sind Authentisierung des Kommunikationspartners, Datenintegrität (Schutz gegen Verfälschung), Vertraulichkeit der Daten, Verbindlichkeit (Nachweis lieferbar, mit wem kommuniziert wurde)/Nicht-Abstreitbarkeit, Zugangskontrolle (Neben der Authentisierung des Kommunikationspartners muss er auch authorisiert sein, den betreffenden Dienst in Anspruch nehmen zu dürfen).
    • für Prof. Schäfer sind die genannten 5 Punkte SicherheitsDIENSTE in der Netzsicherheit-Vorlesung
    • Das Sicherheitsmanagement muss dafür Systeme und das Netz überwachen, Verschlüsselung für Informationen anbieten, Authentifizierung durchführen und die Authorisierung prüfen.
  2. Welche Arten von Angreifern können unterschieden werden? ()
    • Passiver Angreifer
    • dieser ist nur in der Lage, Datenverkehr empfangen zu können
    • stellt eine Bedrohung für die Vertraulichkeit dar
    • Aktiver Angreifer
    • dieser ist in der Lage, Datenverkehr abhören zu können, aber auch zu manipulieren, wiedereinzuspielen, löschen...
    • er kann außerdem Angriffe auf Systeme durchführen (DoS, Außerkraftsetzen von Routern, ...)
    • stellt eine Bedrohung für die Vertraulichkeit, Integrität, Authorizität dar
  3. Was ist der Unterschied zwischen Authentizität und Verbindlichkeit?
    • Die Verbindlichkeit gewährleistet zusätzlich, dass nachweisbar ist, mit wem in der Vergangenheit kommuniziert wurde, und nicht nur im aktuellen Augenblick
  4. Erklären Sie die Unterschiede von symmetrischer und asymmetrischer Kryptographie.
    • Bei symmetrischer Kryptographie kennen zwei Kommunikationspartner ein gemeinsames Geheimnis. Nachrichten zwischen den beiden werden mit dem gemeinsamen Geheimnis verschlüsselt und ausgetauscht. Wird das Geheimnis öffentlich, ist jeder Kommunikationsvorgang, der abgehört wurde, für jeden mit Kenntnis des Schlüssels lesbar, ebenso wie jeder Kommunikationsvorgang in der Zukunft
    • Bei asymmetrischer Kryptographie werden 2 Schlüssel verwendet, der private Schlüssel K- und der öffentliche Schlüssel K+. K+ muss jedem bekannt sein, der mit einem kommunizieren möchte. Für Verschlüsselungszwecke müssen Nachrichten mit K+ des Kommunikationspartners verschlüsselt und geschickt werden. Der Kommunikationspartner kann die Nachricht durch entschlüsseln mit K- lesen. Für Nachrichtenauthentisierungszwecke muss ich in eine kryptographische Hashfunktion mit Schlüsselabhängigkeit den Schlüssel K- eingehen lassen, so dass jeder mit Hilfe von K+ prüfen kann, dass die Nachricht von mir kommt.
  5. Was ist eine kryptographische Hash-Funktion?
    • Der Zusatz ggb. Hashfunktionen besteht in der Einweg-Eigenschaft: Zwei Nachrichten M1 und M2, die gehasht werden, dürfen nicht den selben Hashwert haben - es darf also keine Kollision auftreten. Nähere kryptographische Sicherungen sind der Netzsicherheit-Vorlesung zu entnehmen.
    • Die Hashwerte haben eine feste Länge, zB 128 Bit, 160 Bit
    • SHA1, MD5, RIPEMD-160
  6. Wie kann eine Authentisierung erfolgen?
    • Nachrichtenauthentisierung erfolgt am Besten mit schlüsselabhängigen kryprographischen Hashfunktionen, siehe oben.
  7. Was ist der Unterschied zwischen dem „Electronic Codebook“- und dem „Cipher BlockChaining“-Verfahren bei der symmetrischen Verschlüsselung?
    • Bei beiden Verfahren wird der zu verschlüsselnde Klartext in Blöcke, typisch 64 Bit, zerlegt, und anschließend die Blöcke verschlüsselt. Beim Electronic Codebook sind die entstehenden Ciphertextblöcke nicht voneinander abhängig, beim Cipher Block Chaining hingegen schon. D.h., Cipherblock i ist abhängig von Cipherblock i-1. Es kann also bemerkt werden, wenn Blöcke vertauscht wurden, denn dann funktioniert die Entschlüsselung nicht mehr (der entstehende Klartext ist "kaputt").
  8. Wie arbeitet ein hybrides Verschlüsselungssystem?
    • Es verwendet sowohl asymmetrische als auch symmetrische Kryptographie, Mithilfe der asymmetrischen findet eine Authentisierung der Kommunikationspartner statt, und für den Kommunikationsvorgang wird ein symmetrischer Sitzungsschlüssel generiert.
  9. Erklären Sie grob die Funtionsweise von Kerberos.
    • Kerberos stellt ein zentralisiertes Authentisierungssystem (kein Verschlüsselungssystem) dar. Benutzer können sich zentral für im Netzwerk befindliche Dienste authentisieren. Das bedeutet jedoch nicht, dass diese Benutzer auch Zugriff auf bestimmte Dienste haben, also gleichzeitig authorisiert sind. Eine zentrale Instanz, das Key Distribution Center (KDC), kennt alle Benutzer. Hat man sich beim KDC authentifiziert, erhält man ein Tiget Granting Ticket (TGT). Mit diesem geht man zum Ticket Granting Server (TGS). Von diesem erhält man mithilfe des TGT ein Ticket, welches nur für einen bestimmten Dienst, auf einem bestimmten Server und für eine Zeitspanne gültig ist. Mit diesem Ticket geht man nun zum dienstanbietenden Server und hofft, dass man authorisiert ist, diesen Dienst zu benutzen.
    • Vorteil: Der so genannte Single Sign-On im Netzwerk. Man muss sich nur einmal im gesamten Netz zentral anmelden, und anschließend kann man ohne erneute Anmeldung Dienste im Netzwerk benutzen.
    • Tiefergehend gibt es z.B. hier etwas.
  10. Wie arbeitet eine Public Key Infrastructure (PKI)?
    • Mithilfe einer PKI ist es möglich, sich selbst Zertifikate zu erstellen, zu unterschreiben und zu verwalten.
    • Sie besteht aus:
    • Certificate Authority (vertrauenswürdige Stelle, die andere Zertifikate unterschreibt)
    • Registry Authority (Organisation, bei der man Zertifikate beantragt)
    • Digitalen Zertifikaten
    • Verzeichnisdienst: enthält eine Liste aller ausgestellten Zertifikate und der öffentlichen Schlüssel
    • Zertifizierungssperrliste (Certificate Revocation List): enthält eine Liste aller zurückgezogenen/ungültigen Zertifikate
    • Dokumentation der PKI (Arbeitsprinzipien, Sicherung, Anforderungsprozess, ...)
  11. Wie ist das X.500-Informationsmodell organisiert?
    • Es ist ein einem Baum organisiert
    • Es besteht aus
    • Wurzel (zB I = Institution [TU Ilmenau]) verzweigt in Kontexte mit
    • Objekteinträgen (zB o = Organizaion, ou = OrganizationalUnit) bestehend aus Attributen (zB telephoneNumber, givenName); oder
    • Aliasen auf andere Objekteinträge im Baum
  12. Was ist unter einem Zertifikat zu verstehen? Welche Informationen werden darin gehalten?
    • sind strukturierte Daten, die den Eigentümer sowie weitere Eigenschaften eines öffentlichen Schlüssels bestätigen
    • Öffentlicher Schlüssel
    • Identität des Schlüsselinhabers
    • Identität des Ausstellers
    • Gültigkeitszeitraum
    • Signatur des Ausstellers
  13. Was versteht man unter einem Zertifizierungpfad? Wozu wird dieser gebraucht?
    • Ist ein Pfad, um - über Zwischenzertifizierungsinstanzen - die Wahrheit über die Echtheit von jemand anderem zu erhalten
    • Wird gebraucht, weil einzelne Zertifizierungsinstanzen für große, inhomogene Netze nicht ausreicht --> muss also untergliedert werden
  14. Was muss passieren, wenn ein privater Schlüssel offen gelegt wurde? Warum ist dieser Prozess sehr zeitintensiv?
    • Das Zertifikat muss zurückgezogen werden
    • Das Problem ist, dass das Zurückziehen des Zertifikats überall bekannt gemacht werden muss
  15. Was versteht man unter einem „Key Escrow System“?
    • Ein System, um verloren gegangene private Schlüssel zurückzugewinnen oder Daten mit einem Generalschlüssel entschlüsseln zu können
  16. Wozu dienen Firewalls? Beschreiben Sie grundsätzlich die Anbindung eines privaten Netzes an das Internet über eine Firewall.
    • dienen zum Schutz von lokalen Netz gegen Angriffe von außen
    • Internet - Firewall - (Server in der DMZ) - Firewall - Intranet
  17. Prinzipiell gibt es die folgenden beiden Grundregeln, nach denen eine Firewall arbeitet:
    • Beim einen kann man alles machen, was nicht geht, und beim anderen geht nicht, außer Dinge, die explizit funktionieren sollen.
  18. Was versteht man im Zusammenhang mit einer Firewall unter einem „Bastion Host“?
    • ein Server, der Dienste für das öffentliche Internet anbietet oder als Proxy auf das öffentliche Internet zugreifen muss und daher besonders gegen Angriffe geschützt werden muss
    • Zum Schutz wird der Server in einem Netzwerk platziert, das sowohl gegenüber dem Internet als auch dem internen Netzwerk durch eine Firewall abgesichert ist.

Dienstgütemanagement

  1. Warum wird ein Dienstgütemanagement überhaupt benötigt?
    • Benutzer wollen Dienste mit einer bestimmten Qualität nutzen
    • Auswahl der Dienste anhand der von ihnen zugesicherten Dienstgüte
    • Dienstgütegarantie während der Inanspruchnahme des Dienstes (Zugangskontrolle, Ressourcenreservierung, Ressourcenüberwachung, Überlastvermeidung)
  2. Welche Netzressourcen fallen unter das Dienstgütemanagement?
    • alle zur Übertragung notwendigen / an der Übertragung beteiligten Systeme ?!
  3. Wie kann eine geforderte Dienstgüte angegeben werden?
    • allgemeine Charakteristik (z.B. zeitliche Verzögerung)
    • zeitbezogene Charakteristiken, kapazitätsbezogene Charakteristiken (Puffer), Vollständigkeitscharakteristiken, kostenbezogene Charakteristiken, sicherheitsbezogene Charakteristiken, Zuverlässigkeitscharakteristiken (Verfügbarkeit)
    • abgeleitete Charakteristik (z.B. Übertragunsverzögerung)
    • spezialisierte Charakteristik (z.B. Übertragunsverzögerung auf einem Netzsegment)
  4. Was versteht man unter Dienstevermittlung und wie muss die Dienstgüte dort integriert werden?
    • Formulierung der benötigten Charakteristiken
    • Open Distribution Processing (ODP)
    • SEARCH - Suche auf dem Dienstverzeichnis gemäß einer gegebenen Spezifikation
    • SELECT - Auswahl eines Dienstes, der den kleinsten Abstand zur Anfragespezifikation aufweist
  5. Wozu wird bei der Dienstevermittlung eine Dienstmetrik benötigt?
    • Metrik = Maß für Abstand
    • Ziel ist Ermittlung des nächstliegenden Elements zur Anfrage (siehe Frage 4 - ODP)