Transcription

Ausgabe Februar 2004ISSN 1435-1684ConnectZeitschriftdes Rechenzentrumsder UniversitätAugsburg

Die Titelseite zeigt die Rückansichtdes Parallelrechners IBM RS/6000 SPder Universität Augsburg.Impressumconnect – Zeitschrift des Rechenzentrums der Universität Augsburg ISSN 14351684 Herausgegeben im Auftrag des Rechenzentrums der Universität Augsburg Erscheinungsdatum Februar 2004 Auflage 1200 Redaktion: Dr. LeopoldEichner (verantwortlich), Dr. Annja Zahn, Dr. Markus Zahn Layout und Satz:Dr. Annja Zahn Herstellung Joh. Walch GmbH & Co, Augsburg Redaktionsanschrift: Rechenzentrum der Universität Augsburg, Universitätsstraße 8, 86159Augsburg, Tel. 0821/598-2000, Fax 0821/598-2028, E-Mail: [email protected], WWW: http://www.rz.uni-augsburg.de/connect/Autoren: Dr. Leopold Eichner, Rechenzentrum, [email protected] –Prof. Dr. Gert-Ludwig Ingold, Institut für Physik, [email protected]– Matthias Keßler, Wirtschaftswissenschaftliche Fakultät –[email protected] – Bettina Lapp, i-augsburg.de – Eva Kökeny, Rechenzentrum,[email protected] – Dieter Machui, Rechenzentrum,[email protected] – Dr. Hans Schoft, -augsburg.de – Dr. Michael Westerburg, e – Dr. Annja Zahn, Rechenzentrum,[email protected] – Dr. Markus Zahn, Rechenzentrum,[email protected] nächste Ausgabe erscheint im Oktober 2004.Redaktionsschluß: 14. August 2004.

EditorialLiebe connect-Leserinnen,liebe connect-Leser,es ist also wieder einmal soweit – eine neue Ausgabeunserer Rechenzentrumszeitschrift connect ist fertig.Etwas verspätet zwar, aber ein Blick zurück auf dieGeschehnisse des vergangenen Jahres ist sicher nocherlaubt.Ein großer Schritt nach vorne ist mit dem Abschlussder Arbeiten zur Sanierung des Datennetzes für dasGebäude der Wirtschaftswissenschaftlichen Fakultät,für die Zentralbibliothek und für das Sportzentrumgemacht. Rund zwei Drittel der Räume auf demCampus verfügen jetzt über eine „anständige“ Datennetzanbindung – erfreulich! Aber daraus folgt auch,dass immer noch ein Drittel der Benutzerarbeitsplätzemit der weniger leistungsfähigen Koaxialverkabelungauskommen müssen – weniger erfreulich! Umso trauriger, weil sich ein Zeithorizont für die Sanierung desDatennetzes im Rektorats- und N1-Gebäude derzeitnicht abzeichnet. Die Kosten sind sehr hoch, weilgrößere Umbaumaßnahmen erforderlich sind, um dieAuflagen des Brandschutzes zu erfüllen.Ein neues Netz verlangt auch nach einer neuen Betriebsstrategie. So haben wir im vergangenen Jahr – inZusammenarbeit mit den DV-Betreuern – das komplette Universitätsnetz neu strukturiert. VieleSchwachstellen wurden beseitigt und wir erwarteneine deutlich verbesserte Stabilität des Betriebs. Hoffentlich macht uns dabei nicht die Klimaanlage nocheinen Strich durch die Rechnung. Vielen Dank vondieser Stelle aus an die Mitarbeiter der Abteilung Bauund Technik, die ihr Bestes tun, um in unserem Maschinensaal die Umgebungsbedingungen wieder insLot zu bringen.Datennetz – das bedeutet heute leider auch verstärktAngreifbarkeit. Die Attacken auf die im Netz erreichbaren Rechner haben enorm zugenommen – nichtnur in der Quantität sondern vor allem in ihrer Gefährlichkeit. Bereits im Dezember 2002 hatten wir jaunser Mailsystem für die Universität neu strukturiertund mit einem zentralen Filterungsmechanismus gegen Viren ausgerüstet. Aber nicht nur Viren in EMail-Attachments sind eine Gefahrenquelle, nein, dergesamte Datenverkehr ist betroffen. Daher wurde dieFilterung der Datenpakete auf ihrem Transportwegam Übergang zum Wissenschaftsnetz offensiv umgesetzt. Dieser zusätzliche Sicherheitsmechanismusschließt viele „Löcher“, über die Angreifer versuchen,sich unberechtigten Zugang zu den internen Rechnern zu verschaffen. Eine wirkungsvolle Maßnahme –Zeitschrift des Rechenzentrumswie ein Blick in die Log-Files zeigt, aber natürlich beiweitem kein Allheilmittel. Der gewissenhafteste Anwender kann nicht in Ruhe leben, wenn die Betriebssystemhersteller unnötige Sicherheitslücken offen lassen. Eine ständige Aktualisierung des Betriebssystemsist unabdingbar zum Schutz des eigenen Rechners.Die Wirtschaftswissenschaftliche Fakultät hat inEigeninitiative einen Windows-Update-Server aufgebaut und für alle Nutzer der Universität freigegeben –vielen Dank!Zum ersten Mal hat sich das Rechenzentrum am Girls’Day beteiligt und lud im Mai Schülerinnen der Jahrgangsstufen 5 bis 10 ins Rechenzentrum ein. Rechneraufzuschrauben und Schnappschüsse mit der Digitalkamera ins Internet zu stellen, ein Klassenfoto aufdem Plotter auszudrucken und spielerisch mit Videokonferenzen umzugehen, das hat wohl alle begeistert.Und auch uns hat diese Veranstaltung so viel Freudebereitet, dass wir am Girls’ Day 2004 wieder mitmachen wollen.Öffentlichkeitsarbeit wird für das Rechenzentrumimmer wichtiger. Experiment „eins“: RZ-Kolloquium.Rechtsfragen, Sicherheit in Netzwerken, Content Management Systeme, Datenanalyse und Visualisierung,Sicherheit in WLAN-Netzen, Datamining und Linuxim [email protected] – das war das bisherige Spektrum derVorträge. Der rege Zuspruch zu dieser Vortragsreihehat uns ermuntert, das Kolloquium auch im Jahr2004 fortzusetzen. Experiment „zwei“: Informationsveranstaltung des Rechenzentrums. Großes Lob ernteten wir von den mehr als 60 Besuchern für diesenkompakten Überblick über unsere konkrete Arbeitund Probleme in drei kurzen Vorträgen mit anschließender Diskussion. Also beide Experimente gut gelungen!Mit diesem Rückenwind gehen wir in das neue Jahr.Es gibt sehr viel zu tun. Ein wichtiger Schritt wird dieEinführung eines Web Content Management Systemsfür die Universität Augsburg sein, mit dem sich dasRechenzentrum auf neues Terrain begibt. Es ist einkleiner Schritt in Richtung Informationsmanagementund weitere werden in Zusammenarbeit mit der Universitätsbibliothek sicher folgen.(Dr. Leopold Eichner)i

InhaltInhaltsverzeichnisconnect 1/2004iiPortfilterung an der Universität Augsburg1Walter Tutschke geht in Ruhestand3RZ-Diskussionsveranstaltung4Content Management mit NPS5Die Hausschrift im Corporate Design7Neuer wissenschaftlicher Direktor8Erste Erfahrungen mit digitalen Videos9On-the-fly PDF-Anträge generieren12Linux Terminal-Server in der Bibliothek13IP-Adress-Umstrukturierung des Datennetzes16Automatisches en des Rechenzentrums20Campus- und Sammellizenzen22connect 1/2004

SicherheitPortfilterungan derUniversität AugsburgSchutz des Datennetzesvor unerwünschtem ZugriffZum Schutz vor Überfällen habensich die Menschen bis in die Neuzeithinein ausgeklügelte Befestigungsanlagen ersonnen. Türme, Ringmauernund Gräben vieler Burgen und Zitadellen zeugen von dieser Wehrhaftigkeit. Wenn es um die Sicherheit inund um Computer geht, bedient sichder Experte auch gerne eines militärischen Jargons. Nicht selten wundertsich der Laie über Begriffe wie „Verteidigung in der Tiefe“, „Firewall“oder „demilitarisierte Zone“. Vor einer Bedrohung schützt entweder einengmaschiges Netz defensiver Maßnahmen oder eine organisierteGegenwehr an zentraler Stelle. Besserwäre es, beide Verteidigungsstrategien zu kombinieren.Der Schutz des universitären Datennetzes vor Computerviren, die sich über EMails verbreiten, ist ein Beispiel für einekombinierte Verteidigung [1]. In einemAbschnitt des Mail-Transports – auf demMail-Gateway – wird der externe MailVerkehr auf Viren gefiltert. Dezentral –auf den institutseigenen Mail-Servern –erfolgt dasselbe für die universitätsinternverschickten E-Mails.Computerviren mißbrauchen nicht nurdas Mail-System um sich zu verbreiten,sondern auch freizügige Netzwerkfreigaben und Fehler im Programmcode derSoftware. Kürzlich verursachte der Computervirus Blaster, auch bekannt unterdem Namen LovSan, einen Schaden imdreistelligen Millionenbereich. Der Computerwurm verbreitete sich über eine bekannte Schwachstelle im RPC-Dienst desBetriebssystems Windows.Dr. Michael Westerburg,RechenzentrumZeitschrift des RechenzentrumsDiese Form der Kriminalität erfordert es,das eigene Betriebssystem und die verwendete Software auf einem aktuellenStand zu halten. Der Benutzer ist verantwortlich, regelmäßig die von den Herstellern bereitgestellten Sicherheitsupdateseinzuspielen. Eine abgesicherte Softwarehilft noch lange nicht gegen Nachlässigkeit oder Unkenntnis bei der Konfiguration eines Computers.Offenbar ergeht es einem Administratorbei der Pflege und Installation seinerComputer wie dem Hasen beim Wettlaufmit dem Igel. Wie sehr der Hase sichauch anstrengt, der Igel ist ihm stets einSchritt voraus. Um die Chancengleichheitwiederherzustellen, wird der Datenverkehr zwischen dem Datennetz der Universität Augsburg und dem Internet seitdem 19.11.2003 gefiltert. Das Vorhabenberuht auf einem Beschluß der DV-Betreuer der Fakultäten und der zentralenEinrichtungen mit dem Rechenzentrumvom 25.6.2003.Die Filterung erfolgt in der Komponentedes Datennetzes, die die Universität andas Internet anbindet. Das hört sich einfach an, der Teufel steckt aber bekannt-lich im Detail. Wie wird entschieden, waserwünscht ist und was nicht? Um dieseFrage zu beantworten, muß man verstehen wie im Internet Daten übertragenwerden.Computer im GesprächPraktisch kommt eine Datenübertragungim Internet einem Dialog zweier Computer gleich, die miteinander Informationenaustauschen. Das gemeinsame Medium,die Sprache, ist in einem Protokoll festgelegt. Die Auslieferung einer E-Mail beginnt beispielsweise stets mit einemfreundlichen „helo“ (kein Druckfehler)des sendenden an den empfangendenMail-Server. Dieser Gruß wird erwidert.Der sendende Server übermittelt dieAdressen des Absenders und des Empfängers der E-Mail, wobei er jeweils aufeine Bestätigung wartet. Schließlich wirdder eigentliche Inhalt der E-Mail Zeichenfür Zeichen übertragen. Das Protokollerkennt einen einzelnen Punkt am Zeilenanfang als Eingabeende. Damit ist alles Notwendige gesagt, die Auslieferungist abgeschlossen. Die Gesprächsteilnehmer quittieren ihren Dialog, die Verbindung wird beendet (siehe Kasten 1).helo Empfaenger-Paris.fr250 Sender-Versailles.fr Hello Empfaenger-Paris.fr [110.120.30.40],pleased to meet youmail from:[email protected] 2.1.0 [email protected] Sender okrcpt to:[email protected] 2.1.5 [email protected] Recipient okdata354 Enter mail, end with "." on a line by itselfSébastien Le Prestre de Vauban (1633 - 1707) était un architecte militairefrançais, nommé maréchal de France par Louis XIV.250 2.0.0 hASA9wQw015040 Message accepted for deliveryquit221 2.0.0 Sender-Versailles.fr closing connectionKasten 1: Beispiel für einen Dialog zweier Computer bei der Auslieferung einer E-Mail. Diekursiven Textstellen geben die Antworten des Empfängers wieder.1

SicherheitDer Dialog wird durch die beiden Computer, das Protokoll (hier das Transmission Control Protocol (TCP)) und diebeiden beteiligten Ports, über die die Datenübertragung erfolgt, gekennzeichnet.In einem Mail-Dialog verwendet der sendende Server einen Port größer 1023 undkontaktiert seinen Gesprächspartner aufdem Port 25.Der gesamte Mail-Dienst der UniversitätAugsburg mit dem Internet wird gegenwärtig von zwei Computern mit den IPAdressen 137.250.121.10 und 11 abgewickelt. Jeder andere Mail-Server muß andiese beiden Computer E-Mails übergeben dürfen. Die Filterregel muß also lauten: Lasse jede TCP-Verbindung aus demInternet zu den IP-Adressen137.250.121.10 und 11 zu, vorausgesetzt,der verwendete Port ist größer 1023 undseitens der Universität der Port 25. In derSyntax der filternden Komponente heißtdas:permit tcp any greater than 1023host 137.250.121.10 equal 25permit tcp any greater than 1023host 137.250.121.11 equal 25Jeder Dienst, den ein Server innerhalbdes Datennetzes der Universität Augsburg anbietet, kann analog behandeltwerden. Dasselbe gilt nicht nur für eingehende, sondern auch für ausgehende Verbindungen. Die beiden Computer müssen ihrerseits E-Mails an jeden anderenMail-Server ausliefern dürfen:permit tcp host 137.250.121.10greater than 1023 any equal 25permit tcp host 137.250.121.11greater than 1023 any equal 25In einer Portfilterung können zweigrundsätzlich unterschiedliche Prinzipienvorgegeben werden. Entweder werdenbestimmte Dienste erlaubt und alle anderen verboten (Whitelist). Oder bestimmteDienste werden gefiltert und alle anderenzugelassen (Blacklist). Die Vorgehensweisen haben ihre Vor- und Nachteile (sieheKasten 2). Das an der Universität Augsburg umgesetze Konzept verfolgt beideStrategien. Die eingehenden Datenverbindungen unterliegen einer Whitelist,die ausgehenden einer Blacklist. Auf diese Weise wird die Freiheit der Benutzernicht unnötig eingeschränkt und gleichzeitig ein sicherer Informationsaustauschgewährleistet.2WhitelistDie Whitelist, die eingehende Datenverbindungen filtert, besteht aus vier Blökken. Abgewiesen werden im Internetnicht geroutete IP-Adressen. Hierzu gehört u.a. der Adressbereich der Universität Augsburg (137.250.0.0/16). Daten,deren Ursprung auf die UniversitätAugsburg schließen läßt, können nichtaus dem Internet kommen. Umgekehrtmüssen Daten aus der Universität Augsburg auch eine entsprechende IP-Adressevorweisen. Dieses Verfahren erfordert inder Whitelist einen Ingress-Filter und inder Blacklist einen Egress-Filter. Seit derEinführung der Portfilterung am19.11.2003 wurden mehrere tausend der-artiger Verbindungen unterbunden.Ein zweiter Block der Whitelist filtert dasInternet Control Message Protocol(ICMP). ICMP dient zur Übertragungvon Statusmeldungen und Kontrollaufrufen im Internet und eignet sich folglichals Vehikel für Ausspähversuche und Attacken. Der ICMP Typ 3 (DestinationUnreachable) ist in ein- und ausgehenderRichtung uneingeschränkt zugelassen.Weiterhin sind die für die Unix Kommandos ping und traceroute (WindowsBefehl tracert) notwendigen ICMP Typenfür ausgehende Verbindungen erlaubt.Ein weiterer dritter Block öffnet alle ausdem Datennetz der Universität heraus initiierten Verbindungen.Fortsetzung S.3Whitelist contra Blacklist(1) Eine Whitelist ist überschaubarer, intuitiver und zumeist kürzer, folglich einfacherzu pflegen und weniger fehleranfällig. Der zeitliche Aufwand für die Administrationist deutlich geringer.(2) Sicherheitslücken ergeben sich durch fehlende oder fehlerhafte Filterregeln. In einer Blacklist bedeutet eine fehlende Filterregel eine Sicherheitslücke. Mängel im Regelwerk beschneiden bei einer Whitelist erlaubte Dienste und werden daher schnellaufgedeckt.(3) Mit einer Blacklist können lediglich bekannte und aktuelle Sicherheitslücken ausgeschlossen werden. Eine Whitelist verhindert die Ausnutzung von Schwachstellen innicht benötigten, aber trotzdem installierten Diensten auf schlecht gewarteten Systemen (z.B. Code Red). In einer Whitelist werden explizit die Systeme mit ihren Diensten aufgeführt, die nach außen geschützt werden müssen.(4) Mit einer Blacklist muß auf jede neue Bedrohung unmittelbar reagiert werden(reaktiv). Eine Whitelist kann heute schon das ausschließen, was morgen zu einer Bedrohung wird (aktiv). In jedem Fall bietet sie ein Zeitfenster für die Beseitigung derSicherheitslücke.(5) Attacken, die nicht gegen bestimmte Applikationen, sondern gegen das zugrundeliegende Betriebssystem gerichtet sind, sind nicht notwendig an dezidierte Portsgebunden. Mit einer Whitelist erreichen korrumpierende Datenpakete das Systemerst gar nicht.(6) Jede Änderung bedeutet einen administrativen Aufwand. Eine zusätzliche Portfilterung bei einer Blacklist muß mit allen Verantwortlichen abgestimmt werden, während bei einer Whitelist nur die Betreiber des Dienstes berührt werden.(7) Eine Blacklist wird leicht umgangen, weil jedes neue System dem filternden Device unbekannt ist und Pakete für diese Systeme passieren dürfen. Sie wird kontakariert, indem Dienste auf nicht gefilterte Ports umgestellt werden.(8) Ein korrumpiertes System kann bei einer Whitelist keine Hintertüren auf beliebigen Ports ins Internet öffnen.(9) Code Red oder der SQLSlammer haben gezeigt, dass wenige Systeme in einemLAN ausreichen, um den gesamten Netzwerkbetrieb lahm zu legen. Eine Whitelistbietet einen Grundschutz gegen ähnliche Denial-of-Service Angriffe.Kasten 2: Vor- und Nachteile von Whitelists bzw. Blacklists.connect 1/2004

PersonaliaVom Operator zumWindows-ExptertenWalter Tutschke geht in RuhestandAm 1. April 2004 wird sich ein Ihnenallen bestens bekannter Mitarbeiterdes Rechenzentrums, Herr WalterTutschke, in den wohlverdienten Ruhestand verabschieden. Sophos,wntds-rz, Windows-Support: Das sindBegriffe, die eng mit seiner heutigenArbeit verbunden sind. Vielleicht weniger augenfällig, aber umso wichtiger für uns, alle Fäden für die gesamte CIP-Pool-Infrastruktur der Universität – soweit die Windows-Systemebetroffen sind – laufen bei ihm zusammen. Ja, so kennen wir unseren„Walter“ heute. Schauen wir aberauch zurück.Mehr als dreißig Jahre lang, also fast vonAnfang an, hat Herr Tutschke die Geschichte des Rechenzentrums miterlebtund mitgeschrieben. Da ging es in derAufbauphase hauptsächlich um Programmierung und Verwaltungs-Anwendungen.Benutzt wurden die Rechenanlagen imMinisterium, einen eigenen Rechner bekam die Universität erst im Jahr 1979. Eswar ein „Großrechner“ mit sage undschreibe 512 Kilobyte Hauptspeicher.Das Betriebssystem hieß BS2000 und derSystemverwalter – Sie erraten es – hießWalter Tutschke. Die hauptsächliche BeFortsetzung von S. 2Der größte und letzte Block gibt die vonden DV-Betreuern gemeldeten Serverund deren Dienste frei. Ein Beispiel sinddie beiden diskutierten Server des MailGateways.BlacklistDie Blacklist, die ausgehende Datenverbindungen filtert, ist deutlich kürzer. Siebesteht aus einem Block für ICMP, demEgress-Filter und einem dritten Block,der ausdrücklich als unerwünscht angesehene Dienste betrifft. Welche dies sind,können den ständig aktualisierten Hinweisen auf den Web-Seiten des RechenZeitschrift des Rechenzentrumstriebsform war der „Batch“-Betrieb, beidem Programm und Daten auf Lochkarten gestanzt wurden, um danach vom„Operator“ über den Kartenleser in dieMaschine eingegeben zu werden.Nach der Einrichtung der MathematischNaturwissenschaftlichen Fakultät kam1983 ein „wissenschaftlicher“ Rechnerder neuen Generation hinzu – Lochkarten und Batchbetrieb Ade! Kaum war derRechner da, stieg der Appetit auf„mehr“. Ein Anschluss an das LeibnizRechenzentrum in München (LRZ) musste her, denn dort gab es schnelle Rechner und vor allem Software, die man sichin Augsburg nicht leisten konnte. DerEinstieg in die Datenfernverarbeitungwar gemacht – und „Walter“ hatte schonwieder ein neues Aufgabengebiet zusätzlich am Hals. 1985 ging es dann weitermit dem Anschluss an das Wissenschaftsnetz, mit E-Mail und NetNews. Am Anfang zögerlich, aber wie sich dieser Sektor entwickelt hat, das wissen Sie ja selbst.Anfang der 90er Jahre gab es dann dengroßen Bruch. Zentralsysteme waren„out“, vernetzte Rechnersysteme setztensich im wissenschaftlichen Bereich durch.Herr Tutschke musste aber noch bei„seinem“ Großrechner bleiben, der jetzthauptsächlich von der Verwaltung undzentrums entnommen werden [2]. Jenach Dienst variiert die Zahl unterbundener Verbindungen seit dem 19.11.2003zwischen einigen wenigen und mehrerenTausend pro Tag.Mit der vorgestellten Portfilterung anzentraler Stelle und dem Betrieb einesPersonal Firewall unter Windows oderiptables unter Linux läßt sich das Prinzipeiner „Verteidigung in der Tiefe“ realisieren. Die Vorrichtungen sind zueinanderredundant und ergänzen sich gegenseitig.Die Portfilterung schützt vor unerwünschtem Zugriff aus dem Internet.Ein Personal Firewall schützt zusätzlichvor unerwünschtem Zugriff aus dem Datennetz der Universität.der Universitätsbibliothek genutzt wurde.Erst nachdem dieseAnwendungen auf eigenständige Rechnersysteme umgezogenwaren, durfte sichHerr Tutschke auf dieBetreuung der PCFoto: Walter TutschkeSysteme stürzen.Schon interessant, wie grundlegend sichdie Aufgaben wandeln. Vom reinen Programmieren, zur Systemverwaltung einesGroßrechners, dann eine komplett neueRechnergeneration mit ganz anderen Anforderungen an das Wissen des Systemadministrators, schließlich Datenfernverarbeitung und Kommunikationssoftwaredazu, dann stehen Einzelsysteme imVordergrund und ein bisschen Vernetzung und schließlich werden Rechnerund Netz funktional zu einer Einheit undein Administrator gestaltet in einer neuenWelt von vielen zentralen Diensten undebenso vielen dezentralen Anforderungen. Und neuerdings kämpft er auch gegen die vielen ihn umgebenden Sicherheitsrisiken. Nicht jeder schafft das alles.Gut gemacht. Vielen Dank für das Engagement. Vielen Dank, Walter!Mit der Einrichtung der Portfilterung ander Universität Augsburg sind die Benutzer und Administratoren natürlich nichtaus ihrer Verantwortung für die Sicherheit ihrer Computer entlassen. Die Portfilterung bildet nur eine Maßnahme in einem immer enger zu knüpfenden Netzan Sicherheitsvorkehrungen.Literaturhinweise:[1] Virus abgefangen, connect 1/2003– html[2] Portfilterung an der UniversitätAugsburg – r.shtml3

AktuellIhre Meinungist gefragtRZ-DiskussionsveranstaltungZahlreiche Angehörige der Universität Augsburg, Mitarbeiter wie Studierende, trafen sich am 14. Oktober2003 auf Einladung des Rechenzentrums zu einer offenen Diskussionsrunde mit ihren Kollegen aus demRechenzentrum. Drei Vorträge lieferten den Teilnehmern ausführliche Informationen über die aktuellen Neuerungen und Fortschritte in der ITVersorgung der Universität Augsburg.lem Endgerät und festverkabeltem Datennetz werden ausschließlich verschlüsselt übertragen. Ein dermaßen abgesicherter Zugang zum Funknetz erfordertnatürlich ein ausgereiftes Konzept. Dochin der Zwischenzeit sind die technischenVoraussetzungen an den Netzkomponenten geschaffen, eine robuste Lösung fürdie Hörsäle wird zur Zeit noch erarbeitet.Nach einer herzlichen Begrüßung durchden Leiter des Rechenzentrums, Dr. Leopold Eichner, ging es mit den Themenschwerpunkten „Datennetz“, „Serverund Dienste“ sowie „Rechner- und Netzsicherheit“ schnell zur Sache.Neben dem Datennetz bilden die Dienste der Arbeitsgruppe „Server und Dienste“ das Rückgrat der IT-Versorgung ander Universität Augsburg. Dr. MarkusZahn gab in seinem Vortrag einen Überblick über die vielfältigen Aufgaben seiner Arbeitsgruppe, angefangen bei dercampusweiten Benutzerverwaltung („RZBenutzerkennung“) über die Betreuungzahlreicher Internet-Server (E-Mail,WWW, FTP, .) bis hin zum Datenmanagement (Dateiserver, Datensicherung).Das Rechenzentrum betreibt zu diesemZweck über 50 verschiedene Server-Systeme.Das DatennetzDieter Machui, mitverantwortlich für denBereich Datennetz, widmete sich in seinem Vortrag dem Thema „IP-Subnetze“.Nach einigen grundlegenden Überlegungen zum Sinn und Zweck von IP-Subnetzen erläuterte er deren Einsatz an derUniversität Augsburg. Schnell wurde damit auch klar, auf welchen Überlegungendie jüngsten Änderungen in der Netzstruktur basieren und warum sich der betriebene Aufwand für alle Universitätsangehörigen gelohnt hat. Ausführliche Informationen dazu können Sie in dieserAusgabe von connect nachlesen.Der bereits seit längerem in Planung befindliche Aufbau eines Funknetzes zurErgänzung der Festverkabelung bildeteden zweiten Teil des Vortrags. So soll u.a.Studierenden endlich die Möglichkeit geboten werden, von eigenen mobilen Geräten wie z.B. Laptops, das Datennetzder Universität Augsburg nutzen zu können. Das angestrebte Funknetz soll natürlich nur für Uni-Angehörige zugänglich sein, sonst würde die Universitätschnell zum „offenen Internetprovider“werden. Der Schlüssel zum drahtlosenNetz stellt wie üblich die „RZ-Benutzerkennung“ dar, die Daten zwischen mobi-4Die Zentralen ServerDas Herzstück bildet die Benutzerdatenbank, über die allen Mitarbeitern undStudierenden eine persönliche Benutzerkennung zugewiesen wird. SämtlicheDienste bauen auf dieser persönlichenBenutzerkennung auf. Das campusweiteBenutzer- und Datenmanagement hat inden letzten Jahren sicher erheblich zurKonsolidierung der IT-Infrastruktur ander Universität Augsburg beigetragen.Allerdings steht die Arbeitsgruppe imnächsten Jahr vor dem großen Problem,die komplette technische Infrastrukturauszuwechseln, ohne dabei den für dieAnwender inzwischen zur Gewohnheitgewordenen Komfort einzuschränken.Die SicherheitDr. Michael Westerburg beschloss mitseinem Vortrag zum Thema „Rechnerund Netzsicherheit“ den ersten Teil derVeranstaltung. Dr. Westerburg konnte imVortrag die verschiedenen „Brandherde“veranschaulichen und damit die an derUniversität angestrebten und zum Teilbereits eingeleiteten Gegenmaßnahmenmotivieren. Mit Hilfe der vorgelegten statistischen Auswertungen wurde vor Augen geführt, dass es sich bei den aufgezeigten Bedrohungen keinesfalls um fiktive Szenarien handelt. Insbesondere diesystematische und zeitlich eng gestaffelteAbfolge der analysierten Angriffe untermauert die Forderung nach einer koordinierten, gemeinsamen Vorgehensweise.Ein erster Schritt war die Einführung einer sogenannten „Mail-Firewall“. HerrWesterburg konnte mit einigen interessanten Auswertungen den Erfolg des implementierten Konzepts dokumentieren.Durch die seit November 2003 aktiviertePortfilterung am Eingangsrouter hat sichdas Sicherheitsniveau ein weiteres Maldeutlich erhöht. Über die – im Vortragangekündigte und in der Zwischenzeitumgesetzte – Portfilterung informiert ein eigener Artikel in dieser Ausgabe von connect.Die DiskussionNach den Vorträgen blieb den Zuhörernjede Menge Zeit für Fragen und zur Diskussion. Wer wollte, konnte im Anschlussdie Gelegenheit nutzen, mit den Mitarbeiterinnen und Mitarbeitern des Rechenzentrums ins Gespräch zu kommen.Foto: Die Expertenrunde tagt.Die rege Teilnahme und das Interesse derAnwesenden bestärkt uns in unseremVorhaben, eine derartige Veranstaltung inZukunft einmal pro Jahr anzubieten.connect 1/2004

InternetContentManagementfür alleErste Einblicke in dasContent Managment System NPSSeit der letzten Ausgabe von connecthat sich in Sachen Content Management wieder einiges getan: Das Leitungsgremium und das ConciliumDekanale haben den Kauf eines CMSbefürwortet, die Hard- und Softwareist bereits installiert und eine Referenzimplementierung für die Juristische Fakultät steht kurz vor der Fertigstellung. Die Aufnahme des Produktivbetriebs steht also unmittelbarbevor. Der vorliegende Artikel gibtIhnen einen Überblick über den aktuellen Stand der Dinge.Wie bereits berichtet, wurden vom „WebArbeitskreis“ der Universität Augsburgdie Möglichkeiten für den Einsatz einesContent Management Systems evaluiert.Ausgehend vom erstellten Anforderungsprofil wurden die verfügbaren Systemeauf ihre Fähigkeiten untersucht. Mit welchen Systemen lassen sich die von unsgestellten Aufgaben am besten lösen undwie lassen sich diese Systeme in die vorhandene IT-Infrastruktur integrieren?Von ursprünglich zwölf Kandidaten kamen drei Systeme in die engere Auswahl:zwei Open Source Systeme und ein kommerzielles Produkt. Alle Systeme wurdenvor Ort von ihren Herstellern vorgestellt.Nach den Präsentationen entschied sichder Arbeitskreis mit großer Mehrheit fürdas kommerzielle System „NPS“ der Berliner Firma Infopark. Ausschlaggebendfür diese Entscheidung war:1. NPS besitzt gegenüber der Konkurrenz einen deutlich größeren Funktionsumfang und erfüllte somit ambesten das Anforderungsprofil.Dr. Annja Zahn,RechenzentrumZeitschrift des Rechenzentrums2. NPS lässt sich mitüberschaubarem Aufwand in unsere bestehende IT-Infrastruktureinbinden. Insbesondere die Anbindung andie campusweite Benutzerverwaltung und dieSicherung der eingespeisten Daten lässtsich mit NPS am einfachsten realisieren.Weiter geht’sUnsere CMS-Installationbesteht aus zwei Komponenten: einem RedaktionsAbb. 1: NPS-Formular aus Sicht des Redakteurs.Server und einem Datenbank-Server. Wir setzen NPS in Kombination mit dem Datenbanksystem „DB2“ die inhaltlichen und die damit zuder Firma IBM ein. Die DB2-Datenbansammenhängenden organisatoriken werden direkt über den vom Rechenschen Strukturen herausgearbeitet,zentrum betriebenen TSM-Server gesi Objektklassen und Objektattributechert. Für Redaktions- und Datenbankdefiniert,System stehen je ein Server vom Typ Layout- und NaviagtionstemplatesIBM xSeries 345 (Dual Intel Xeon Proimplementiert,zessor mit 2,8 GHz, 1,5 GB Hauptspei die Anbindung an unsere Benutzercher und 6 x 36 GB Festplatten) zur Verdatenbank vorbereitet undfügung. Das Betriebssystem auf beiden Importfunktionen für bereits besteServern ist Debian Linux 3.0.hende Web-Seiten implementiert.Das Betriebssystem, die Datenbank undAufbauend auf den Ergebnissen wurdedas Content Management System ließendie Referenzimplemtierung für die Juristisich erwartungsgemäß ohne Schwierigkeische Fakultät in Eigenregie weiter entten installieren. Eine dreitägige Schulungwickelt. Selbstverständlich wurde beimhalf, das System von innen kennen zuEntwurf der Referenzimplemtierung darlernen und den Einstieg in die Bedienungauf geachtet, dass dieser Prototyp nichtvon NPS zu finden. Beim Entwurf dernur den Ansprüchen einer einzigen FaReferenzimplementierung für die Juristikultät bzw. deren Lehrstühlen gerechtsche Fakultät konnten wir darüber hinauswird. Vielmehr soll der Prototyp eine soauf das Know-How eines Infopark-Conlide Grundlage für den Einstieg weiterersultants zurückgreifen. Während einesBereiche bilden. Nach einer erfolgreicheneinwöchigen Workshops wurdenPilotphase und hoffentlich nur noch einzelnen Anpassungen, wird das System bereits bestehende sowie zukünftigedann allen Interessenten offen stehen.Inhalte untersucht und klassifiziert,5

InternetAber welche Gründe sprechen denn nundafür, auf den CMS-Zug aufzuspringenund den Aufwand für eine UmstellungIhrer Webseiten auf sich zu nehmen?gefallen, der kann sich via CMS natürlicheigene Formatvorlagen definiere

[email protected] – Dr. Markus Zahn,Rechenzentrum, [email protected] Die nächste Ausgabe erscheint im Oktober 2004. Redaktionsschluß: 14. August 2004. Die Titelseite zeigt die Rückansicht des Parallelrechners IBM RS/6000 SP