Auf dem Remote Framebuffer Protocol bauen Anwendungen wie VNC auf, die das Arbeiten an einem Computer über eine Netzwerkverbindung ermöglichen. Sie als Benutzer sitzen an einem mit Client bezeichneten Gerät, das über das Internet mit einem anderen Computer verbunden ist. Auf diesem Computer laufen Ihre Anwendungen. Was Sie bei direktem Kontakt mit dem Server auf seinem Bildschirm sehen würden, wird über das Netz übertragen.

Das Remote Framebuffer Protocol und seine Eigenschaften

Das RFP liegt im OSI-Netzwerkmodell in der Anwendungsschicht, im Protokollstack des Internets ist es über TCP angesiedelt.

RFP verwendet ein Client-Server-Modell. Der Client ist das Gerät, das Sie für Ihre Benutzerinteraktion verwenden. Der Server ist ein Computer, auf dem die von Ihnen verwendete Software läuft. RFP verbindet diese beiden Geräte so, dass Sie auf dem Client ähnlich wie direkt am Server arbeiten können.

Das Remote Framebuffer Protocol lässt den Server einen Screen anbieten, der vom Client dargestellt wird. Der Client wiederum nimmt Ihre Eingaben an Text und Maussteuerung entgegen und übermittelt sie an den Server.

Diese Übertragung ist grafikorientiert und deshalb für verschiedene Fenstersysteme geeignet. Das Remote Framebuffer Protocol ist zustandslos. Das bedeutet, dass hintereinander erteilte Anfragen des Clients an den Server voneinander unabhängig sind. Das ermöglicht einen einfachen Wechsel des Clients in einer Sitzung, da eine neue Verbindung nicht auf gespeicherte Parameter zugreifen muss.

Kodierung der Daten im Remote Framebuffer Protocol

Eine ständige Übertragung aller Pixel einer grafischen Benutzeroberfläche kann sehr aufwendig sein, wenn Sie zum Beispiel durch eine große Datei scrollen oder einen Webbrowser verwenden.

Eine Lösung für dieses Problem besteht zum Teil in der Wahl einer geeigneten Kodierung. Darüber hinaus werden nur die Änderungen übertragen, die in einem kurzen Zeitintervall angefallen sind. Der Client fordert in seiner initialen Anfrage eine bestimmte Farbtiefe vom Server. Dieser entspricht dieser Anforderung, wenn sie in seinem Angebot enthalten ist.

Die erste Version von RFP behandelte auch die Darstellung des Mauszeigers wie alle anderen zu übertragenden Daten. Das ergibt nicht nur hohe Datenraten, sondern auch eine hohe Latenz. Zwischen der Bewegung der Maus und der Darstellung auf dem Bildschirm entsteht also eine merkliche zeitliche Lücke, was für Sie als Benutzer irritierend wäre. Um diesen Punkt zu verbessern, wird ab der Version 3.8 der Mauszeiger vom Client dargestellt.

Anwendung im Virtual Network Computing

Virtual Network Computing oder VNC ist eine Implementation des RFP. Es ist plattformunabhängig und verfügbar für alle gängigen Betriebssysteme. Seit 1998 wird VNC als quelloffene Software angeboten.

Eine typische Verwendung von VNC ist die Anbindung Ihres eigenen Computers an ein Firmennetzwerk, um im Home Office arbeiten zu können. Geschäftsreisende können mit VNC von jedem Reiseziel ebenfalls auf die Ressourcen ihrer Firma zugreifen. Nicht zuletzt wird VNC oft für Supportdienstleistungen verwendet, wenn auf dem Gerät des Kunden Änderungen vorgenommen werden müssen.

VNC ist auch geeignet für die Verwendung mit einem Client geringer Leistung und deshalb ist Dateitransfer nicht als Standardfunktion enthalten. Für die Verwendung kann eine Konfiguration von Firewall oder Router erforderlich sein.

Die Sicherheit des Remote Framework Protocol und von VNC

An sich ist das Remote Framebuffer Protocol kein sicheres Protokoll, die Sicherheitsanforderungen müssen deshalb mit eigenen Maßnahmen erfüllt werden. Es ergeben sich zwei Probleme im Zusammenhang mit Informationssicherheit. Zum einen muss die Übertragung vertraulicher Daten zwischen Client und Server gesichert werden. Zum anderen sollte der Benutzer des Clients sicher sein, dass niemand eine Remote Framebuffer Protocol-Verbindung zu seinem Bildschirm hergestellt hat und ihn so überwachen kann. Vor einer solchen Überwachung möchten Sie auch oder sogar besonders dann geschützt sein, wenn sie von Ihrer Organisation durchgeführt wird.

Zur Übertragung von vertraulichen Daten wie Passwörtern kann eine Verschlüsselung auf einer tieferen OSI-Ebene eingesetzt werden. Dafür kommt eine SSL-Verschlüsselung auf der Transportschicht in Frage. Es steht mit VeNCrypt auch ein eigenes Verschlüsselungsprotokoll zur Verfügung, das besonders auf die Verwendung mit VNC optimiert ist. Eine elegante Lösung ist die Verwendung eines VPN, was mehrere Vorteile hat. Die Übertragung des Bildschirminhalts ist durch den VPN gesichert. Sie erhalten vom VPN eine neue IP-Adresse, was eine gewisse Anonymität verschafft. Schließlich kann die Verwendung eines VPN sonst möglicherweise auftretende Konfigurationsprobleme lösen.

Das andere Sicherheitsproblem ergibt sich daraus, dass ein Desktop-Sharing auch ohne das Einverständnis der Person am Client-Gerät aktiviert werden kann, wenn dem nicht eigene Riegel vorgeschoben werden. Eine Implementierung kann vom Benutzer diese Zustimmung aktiv anfordern und ein Screen-Sharing nur mit dieser Bestätigung aktivieren.

Road Warriors (englisch für Straßenkämpfer) gehören zu jener Personengruppe, die viel außerhalb eines Unternehmens arbeiten und für die ein fest eingerichteter, fixer Arbeitsplatz in einem stationären Büro kaum bis gar keine Bedeutung hat. Was einen Road Warrior ausmacht, und wie er sich von Menschen unterscheidet, die im Home Office arbeiten, erfahren Sie in diesem Beitrag.

Der Begriff Road Warrior stammt aus einer Zeit, in der es die heute aus dem Arbeits- und Wirtschaftsleben nicht mehr wegzudenkenden Telekommunikationsmittel noch nicht gegeben hat. Schon vor den 1990er Jahren wurden Menschen, die beruflich viel unterwegs waren, also zum Beispiel Handelsvertreter oder Kundenberater im Außendienst als Road Warrior bezeichnet. Diese Personen sind eigentlich nur zur Erledigung ihrer administrativen Verpflichtungen oder für wichtige Besprechungen ins Büro gekommen, oder, wenn sie Kommunikationsmittel wie das Telefax verwenden wollten. Diese technischen Ressourcen waren damals sehr teuer und nicht im Übermaß vorhanden, sondern standen an einer zentralen Stelle zur gemeinsamen Nutzung zur Verfügung.

Die Verbindung über VPN

Von besonderer Bedeutung ist, wie Sie, wenn Sie der außerhalb des Unternehmens arbeiten, auf das Netzwerk, die Programme und Dateien des Unternehmens zugreifen können. Dies erfolgt heutzutage fast immer über Remote-Desktop-Lösungen, weil es in den meisten Fällen praktischer und günstiger ist, als Software auf die einzelnen externen Computer zu spielen.

Der Zugriff von Remote-Usern auf Anwendungen des Unternehmens wird durch die Virtual-Private-Networks-Technologie (VPN-Technologie) ermöglicht. Ein virtuelles privates Netzwerk erweitert ein privates Netzwerk auf ein öffentliches Netzwerk und ermöglicht es Benutzern, Daten über gemeinsam genutzte oder öffentliche Netzwerke zu senden und zu empfangen.

Anwendungen, die über ein VPN ausgeführt werden, können von der Funktionalität, Sicherheit und Verwaltung des privaten Netzwerks profitieren. Natürlich ist die Sicherheit ein großes Thema, wenn eine Vielzahl externer Geräte auf Unternehmensressourcen zugreifen. Die Netzwerkverbindung erfolgt daher mithilfe eines verschlüsselten Tunnelprotokolls, der Road Warrior oder Mitarbeiter im Home Office muss sich identifizieren, um in das System einsteigen zu können. Diese Identifikation kann mittels eines Kennworts, biometrischer Daten (Iris-Erkennung, Fingerabdruck) oder Zwei-Faktor-Authentifizierung erfolgen.

Mit dem Aufkommen des Internets und der rasanten Verbreitung leistbarer, effizienter und mobiler Telekommunikationstechnologie in Form von Mobiltelefonen, Laptops, Smartphones und Tablets wurde die Arbeit für den Road Warrior insofern einfacher, als er noch weniger auf ein stationäres Büro bzw. einen fixen Arbeitsplatz angewiesen war. Heutzutage kann der Road Warrior praktisch alle seine administrativen Aufgaben bequem auswärts erledigen, ins Büro kommt er nur mehr für Besprechungen und zur Aufrechterhaltung der sozialen Anbindung an das Unternehmen.

Heute versteht man also denjenigen als Road Warrior, der seine Arbeit von unterwegs mit mobilen internetfähigen Geräten wie Tablets, Laptops und Smartphones erledigt. Über diese Technologien ist er mit Vorgesetzten, Mitarbeitern und Kollegen verbunden und kann mobil auf Unternehmensnetzwerke zugreifen.

Road Warriors haben eigentlich als erste vorgelebt, dass es funktionieren kann, ohne stationären Arbeitsplatz auszukommen. Ihre Art des mobilen Arbeitens hat wohl auch das Aufkommen von Arbeitsformen wie Heimarbeit (Home Office, Teleworking) unterstützt.

Unterschiedliche Arten, außerhalb des Unternehmens zu arbeiten

Die Art, wie ein Road Warrior arbeitet, würde man im Deutschen wohl als „mobiles Arbeiten“ bezeichnen. Dies ist begrifflich von der Arbeit im Home Office oder am Telearbeitsplatz zu unterscheiden. Road Warriors sind übrigens auch keine digitalen Nomaden. Darunter versteht man Menschen, die aufgrund einer persönlichen Entscheidung ohne festen Wohnsitz leben und von überall auf der Welt ausarbeiten.

Mobiles Arbeiten liegt auch dann vor, wenn Menschen, die eigentlich keine Road Warriors sind, von unterwegs oder von zu Hause aus berufliche Tätigkeiten verrichten. Dazu gehört das abendliche Lesen von E-Mails nach Arbeitsschluss, das berufliche Telefonieren im Auto, oder das Bearbeiten von Unterlagen nach Dienstschluss im privaten Umfeld.

Home Office (auch Telearbeit oder Heimarbeit genannt) lässt sich dagegen wie folgt charakterisieren: Der Beschäftigte arbeitet regelmäßig, dauerhaft und vertraglich verfestigt nicht nur ausnahmsweise zu Hause. Dabei kann es sein, dass der Arbeitnehmer vom Arbeitgeber Arbeitsmittel und -geräte beigestellt bekommt.

Was in allen Fällen wichtig ist

Zunächst muss die Art des Arbeitens rechtlich korrekt vereinbart werden, und es sind die einschlägigen Rechtsnormen einzuhalten. Weiters darf man soziale Aspekte, wie die Einbindung in das Unternehmensgefüge nicht aus den Augen verlieren.

Abgesehen von diesen Aspekten müssen aber natürlich vor allem die technischen und organisatorischen Voraussetzungen geschaffen werden, dass Home Office und mobiles Arbeiten funktionieren. So ist es wichtig, dass geeignete Hardware zur Verfügung steht, und eine leistungsstarke Internetverbindung vorhanden ist. Es sollte klar geregelt werden, wer die diesbezüglichen Kosten trägt. Dies ist in der Praxis nämlich erfahrungsgemäß immer wieder ein Streitpunkt. In der Regel wird man mit einem Mobiltelefon, einem PC, Notebook oder Laptop samt Maus und einem Bildschirm auskommen.

Sicherungskopien für die eigenen essentiellen Daten sind für jedes Unternehmen heute unabdingbar. Veeam Backup bietet eine effiziente, zuverlässige und flexible Lösung für dieses Problem.

Integrität und Verfügbarkeit von Daten werden nicht nur von konventionellen Gefahren wie Feuer und Wasser bedroht, sondern immer mehr durch Cybercrime mit Verschlüsselungstrojanern. Eine Vorsorge gegen solche Schäden durch einen geeigneten Notfallplan kann für das Überleben Ihres Unternehmens entscheidend sein.

Warum sind Backups erforderlich?

Die Technologie für Datenspeicherung ist heute so zuverlässig, dass die Verfügbarkeit Ihrer Daten über Jahre hinaus ohne Probleme oder Fehlfunktionen gegeben sein kann. Dieser Umstand wiegt viele in einer falschen Sicherheit. Auch heutige Datenträger können durch Verschleiß oder Fertigungsfehler versagen. Die dort gespeicherten Daten sind dann nur mit einem aufwendigen Prozess der Datenforensik sicherzustellen, wenn eine Wiederherstellung überhaupt möglich ist.

Auch Gefahren wie Wasser, Feuer, Terrorismus, Vandalismus und Naturkatastrophen können Ihre Daten für Sie unerreichbar werden lassen. Dazu kommen als noch ziemlich neue Gefahr Kriminelle, die Daten verschlüsseln, sodass Sie ihnen mit ihren Lösegeldforderungen ausgeliefert sind.

Demgegenüber sind die Kosten für eine professionelle Backup Lösung niedrig. Eine solche Lösung besitzt ein exzellentes Kosten-Nutzen Verhältnis. Eine gut funktionierende Daten-Recovery bedeutet eine schnelle Wiederherstellung von Daten in einer Form, die sie wie vor dem Schadensfall für Sie verfügbar macht.

Anforderungen an ein Backup

Eine Sicherungskopie anzufertigen scheint ein geradezu trivial einfacher Vorgang zu sein. In einem heutigen Computersystem und mit den heutigen Anforderungen sieht das allerdings nicht mehr so einfach aus. Die folgenden Bedingungen sind für jeden Benutzer von Backup Lösungen wichtig.

– Das Anfertigen der Sicherungskopien darf den nicht laufenden Betrieb behindern.

– Die Sicherungskopien müssen aktuell genug und daher in hinreichend kurzen Abständen angefertigt sein.

– Daten fallen in den verschiedensten Formaten und an verschiedenen Orten laufend an. Alle diese Daten müssen zeitnah in ein Backup aufgenommen werden.

– Das regelmäßige Anfertigen von Sicherungskopien muss mit der Größe Ihres Unternehmens und den anfallenden Daten mitwachsen. Dafür sollte nicht mehr als minimale Aufmerksamkeit der Nutzer nötig sein.

– Im Schadensfall muss die Sicherungskopie schnell und zuverlässig verfügbar sein. Sie muss auch ihrerseits vor Beeinträchtigungen und Schäden geschützt werden. Dafür gibt es online Backups und onsite Backups.

– Schließlich fallen Daten in verschiedenen Betriebssystemen an und das auch in Servern verschiedenen Typs. Ein Backup-System muss alle diese Anforderungen erfüllen können.

Das Unternehmen Veeam

Die Firma wurde im Jahr 2006 gegründet und ist mittlerweile auf über 3000 Mitarbeiter angewachsen. Der Hauptsitz des Unternehmens Veeam befindet sich im schweizerischen Zug.

Der Name leitet sich von der englischen Aussprache der Abkürzung VM für virtuelle Maschine ab. Ein Markenzeichen der Firma und der Veeam Backup Lösungen ist eben auch die Integration von virtuellen Maschinen.

Das Angebot von Veeam Backup

Die Entwicklung von Veeam Backup baut auf der Überzeugung auf, dass Sicherungskopien für den Benutzer kaum merklich angefertigt werden sollten. Veeam Backup bedeutet eine Lösung, die einfach, flexibel und zuverlässig ist und sich nicht auf Lösungen von Drittanbietern stützen muss. Der Fokus liegt auf einfacher Verwendbarkeit und Benutzerfreundlichkeit.

Die Firma Veeam legt besonderen Wert darauf, dass ihre Lösungen für Server verschiedenen Typs gleichermaßen einsetzbar sind. Ob Ihre Daten also auf physischen oder virtuellen Servern liegen spielt keine Rolle. Sie können auch Ihre Daten in der Cloud von Veeam Backup sichern lassen.

Veeam ist Technologiepartner von zahlreichen namhaften Herstellern von IT-Lösungen, in denen die zu sichernden Daten anfallen und deren Produkte für die Sicherung verwendet werden.

Eine von Ihnen gewählte Veeam Backup Lösung kann individuell auf Ihr Unternehmen angepasst werden und wächst in weiterer Folge mit Ihrer Firma mit. Mit steigenden Anforderungen kann auch die Funktionalität und Leistungsfähigkeit eines Veeam Backups nahtlos erweitert werden.

Technische Details eines Veeam Backup

Es stehen Lösungen für Microsoft Windows und Linux-Systeme zur Auswahl. Darüber hinaus kann ein Veeam Backup für verschiedene Hypervisors virtueller Maschinen eingesetzt werden.

Für besonders große Dateien stehen eigene und auf diese Anforderungen angepasste Funktion zur Verfügung. In jedem Fall haben Sie die Wahl, ob Sie einen ganzen Drive oder auch nur eine einzige Datei sichern lassen möchten.

Ist ein Schadensfall eingetreten, können Daten parallel und ohne merkliche Verzögerung wiederhergestellt werden. Auf diese Weise sind minimale Ausfallzeiten Ihrer Systeme realisierbar.

Eine seit einigen Jahren neu aufgekommene Anwendung für Sicherungskopien ist die Vermeidung von Lösegeldzahlungen an die Absender von Verschlüsselungstrojanern. Diese Bedrohung wirft die Frage auf, ob mit der Sicherungskopie auch diese Schadprogramme gespeichert werden. Auf einem Veeam Backup ist das nicht der Fall, da eine eigene Sicherung gegen Ransomware eingebaut ist.

Wenn jeder Teilnehmer als Knoten in einem Netz mit einer Zentrale verbunden ist, kann ein Knoten über die Zentrale direkt mit jedem anderen Knoten Verbindung aufnehmen. Diese Organisation ist nur in kleinen Netzen sinnvoll. Größere Netze werden in kleinere gegliedert, die untereinander Verbindungen haben. Zwischen zwei Knoten können für eine Übertragung also mehrere Zwischenstationen nötig sein. Routing ist das Verfahren zur Zustellung Ihrer Daten von einem Knoten zum anderen.

Die Idee des Routing in verschiedenen Netzwerken

Routing kommt in einem System von mindestens einem Netz zum Einsatz, wobei keins dieser Netze von den anderen isoliert ist.

Muss eine Standleitung hergestellt werden wie beispielsweise im Telefonsystem, wird mit Routing die Wahl der Knoten zwischen Ihnen und Ihrem Gesprächspartner getroffen.

Müssen Datenpakete ausgetauscht werden, versteht man unter Routing die Vermittlung dieser Pakete vom Absender zum Empfänger. Verschiedene Pakete können verschieden geroutet werden, auch wenn sie auf einer höheren Ebene als Teil derselben Kommunikation angesehen werden.

In beiden Typen von Netzen bezeichnet Routing die Gesamtheit aller Entscheidungen über die Verbindung von einzelnen Knoten. Unter Forwarding versteht man die Entscheidung einzelner Knoten betreffend die von diesem Knoten behandelten Datenpakete.

In einem kleinen lokalen Netz

In einem hinreichend kleinen Netz können Datenpakete an alle angeschlossenen Knoten verschickt werden. Technisch lässt sich das durch das Anlegen von Spannung an eine mit allen Knoten verbundene Leitung umsetzen, wenn nicht sogar eine drahtlose Funkverbindung zum Einsatz kommt. Jeder Knoten überprüft die Adresse jedes Datenpakets, verwirft die für andere Knoten vorgesehenen und empfängt die für ihn bestimmten Daten.

Senden zwei Knoten in einem solchen Netz gleichzeitig, kann keine erfolgreiche Übertragung stattfinden. Die Kollision wird bemerkt und nach einem Intervall zufällig gewählter Länge wird ein neuer Versuch unternommen. Nachdem beide Knoten diese Länge unabhängig voneinander wählen, kommt es nur mit einer sehr geringen Wahrscheinlichkeit nochmals zu einer Kollision.

Ein solches System braucht viel Übertragungskapazität und kann deshalb keine große Zahl von Knoten bewältigen. Sind mehr Knoten erforderlich als auf diese Weise möglich, müssen zwei oder mehrere solche Netze über eine Verbindung zusammengeschaltet werden.

Zur Verbindung kann ein sogenannter Switch zum Einsatz kommen. Ankommende Datenpakete werden von diesem Switch nur an diejenigen Unternetze oder Geräte verschickt, für die sie ihrer Adresse nach bestimmt sind.

Die Zusammenschaltung von Netzen

Als einfaches Beispiel für Routing betrachten wir folgendes Protokoll. Ein Knoten sendet an alle anderen im selben Netz befindlichen. Wenn die Zieladresse einem dieser Knoten entspricht, ist die Übertragung erfolgreich abgeschlossen.

Wenn nicht, wird das von mindestens einem Gerät im Netz erkannt. Dieses Gerät wird auch als Router bezeichnet und übernimmt dann die Übermittlung des Datenpakets in ein anderes Netzwerk, das näher an der Zieladresse liegt. Nichttriviales Routing besteht aus den verschiedenen Strategien, diese Wahl eines Netzwerks zu treffen.

Routing im Internet

Das Protokoll IP ist für den Zweck der Weiterleitung von Datenpaketen entworfen worden. Dieses Routing ist eine zentrale Funktion des Internets und ermöglicht das flexible Zusammenschalten von vielen einzelnen Netzen. Dabei können Daten über viele Knoten in verschiedenen Netzen ans Ziel transportiert werden.

Source Routing

In diesem Fall ist die gesamte Struktur der Verbindungen aller Knoten bekannt und stabil. Der Weg eines Datenpakets kann deshalb vom Absender festgelegt werden. Jeder Router übermittelt das Paket an die nächste Adresse auf der Liste, bis es am Ziel angekommen ist. Dieses System ist nur für fix entworfene Netzwerke praktikabel.

Statisches Routing

Für jeden Zielknoten verfügt der Router über eine Tabelle mit möglichen Nachbarroutern und einer Gewichtung, mit welcher Präferenz die einzelnen Möglichkeiten in dieser Tabelle zu wählen sind. Daraus ergeben sich viele mögliche Wege ans Ziel. Statisch heißt die Methode darum, weil diese Tabellen über längere Zeit gleich bleiben.

Dynamisches Routing

Die Router verändern ihre Routingtabellen abhängig von der Situation im Netz. Einzelne Kriterien sind zunächst die Erreichbarkeit der Nachbarrouter, die Auslastung der Verbindungen und Informationen über ihre Situation von Nachbarroutern. Diese Informationen können beispielsweise die Qualität der Verbindungen zu weiter entfernten Netzwerken betreffen.

Der Vorteil dynamischen Routings besteht darin, dass beim Ausfall eines Netzes die Routingdaten und -tabellen schnell geändert werden können. Das Gesamtnetz kann sich so an neue Bedingungen anpassen und bleibt stabil.

Dieses Verfahren ist der Hauptgrund für die Stabilität des Internets und seine Widerstandsfähigkeit gegen Ausfälle einzelner Teile. Im globalen Netz werden ständig neue Unternetze angeschlossen und ebenso Teile abgeschaltet. Das bedeutet, dass auf der einen Seite die Ausfälle bewältigt und die Aufgaben der ausgefallenen Teile anders verteilt werden müssen. Genauso ist es aber auch wesentlich, dass neu angeschlossene Netzteile nützlich integriert werden und ihre Übertragungskapazitäten sinnvoll zum Einsatz kommen.

Über das Bridging verbinden sich zwei Netzwerke untereinander. Die Verbindung funktioniert meist ohne Kabel, weswegen oft von Wireless- oder WLAN-Bridge die Rede ist. Allerdings lässt sich auch eine LAN Bridge nutzen, wenn zwei Netzwerke mit einem entsprechenden Kabel in Verbindung treten. Wir stellen alle gängigen Formen des Bridgings vor.

Bridging im Kurzüberblick

Eine WLAN-Brücke oder WLAN-Bridge stellt die Verbindung zwischen zwei Netzwerken her. Über die verwandten LAN-Brücken lassen sich kabelgebundene Geräte, die lediglich einen LAN-Port besitzen, in ein Funknetzwerk integrieren. Repeater und weitere Verstärker wie Powerline-Adapter sind weitere Geräte, die eine Alternative zu klassischen WLAN-Bridges darstellen.

Alle Geräte verstärken über unterschiedliche Übertragungswege die Datenübertragungsrate und sorgen für eine vergrößerte Reichweite des Funknetzwerkes. Ähnliche Aufgaben erfüllen auch Access-Points, die WLAN-Geräte mit einem kabelgebunden Netzwerk in Verbindung bringen, sodass der Zugriff auf das Internet möglich ist.

Bridging: Vor- und Nachteile im Alltag

Mit einer WLAN-Bridge lassen sich Netzwerkgeräte in Räumen, die der Router nicht mehr erreicht, per kabelloser Funkverbindung einbinden. Zu diesem Zweck verbinden Sie zum Beispiel diverse LAN- oder WLAN-Geräte mit dem zweiten Router, der das Bridging übernimmt. Auf diese Weise lässt sich die Reichweite des Funknetzwerkes deutlich vergrößern. Zugleich kann sich die Störanfälligkeit des gesamten WLANs reduzieren. Zudem erhöht sich die Datenübertragungsrate oftmals signifikant.

Falls Sie die WLAN-Bridge über das 5 Ghz-Frequenzband realisieren, kann sich das Tempo der Internetverbindung deutlich erhöhen. Bei perfekter Montage von hochwertigen Komponenten lassen sich sogar große Entfernungen überbrücken. Allerdings sind WLAN-Bridges, aufgrund der hohen Frequenzbelastung, recht anfällig für Störungen. Hier lohnt es oftmals die Verkabelung, um Geräte per LAN-Bridging zu integrieren.

Einrichtung einer Bridge

Zur Einrichtung einer klassischen WLAN-Bridge benötigen Sie zwei Router. Über den ersten Router erfolgt – wie gewohnt – die Anbindung in das Internet. Der zweite Router arbeitet im Bridge-Modus, der sich nach Verkabelung mit einem Computer meist in den Einstellungen des Gerätes aktivieren lässt.

Die Eingabe einer IP-Adresse, die im Bereich des ersten Routers liegt, ist für solch ein Bridging erforderlich. Es ist zudem darauf zu achten, dass die Subnet-Masken beider Router identisch sind. Diese Geräte sollten außerdem eindeutige Bezeichnungen besitzen.

Durch die Vergabe einer eindeutigen SSID (Service Set Identifier) lassen sich die am Besten per WPA2-Verschlüsselung gesicherten Netze der verwendeten WLAN-Router besser differenzieren. So können Sie das Netz des Ersatzgerätes zum Beispiel „Büro“ nennen, während der als Bridge arbeitende Router für sein WLAN die Bezeichnung „Wohnzimmer“ erhält.

Frequenzbänder für das Bridging

WLAN-Bridges lassen sich auf zwei unterschiedlichen Frequenzen betreiben. Das Funknetzwerk kann entweder über das 2,4- oder über das 5-GHz-Band laufen. Bei einer Nutzung des 2,4 GHz-Frequenzbandes drohen allerdings starke Überlastungen, weil viele öffentliche oder interne Netzwerke dieses Band verwenden. Gerade in der Stadt funktioniert das 2,4 GHz-Band nicht so gut. Hier ist es oft empfehlenswert, das Bridging über die 5 GHz-Frequenz zu realisieren.

Auf dem Land gibt es häufig weitaus weniger WLAN-Netze in der direkten Umgebung. Hier kann es sich lohnen, auf das 2,4 GHz-Band zu setzen. Schließlich sind die versendeten Signale bei bestimmten Störfaktoren nicht so anfällig. Wände oder Decken überwinden die Geräte auf dieser Frequenz etwas besser. Außerdem fällt der Preis für die benötigten Komponenten etwas günstiger aus. In dichter besiedelten Gebieten kann sich die Investition in 5 GHz-fähige Geräte allerdings lohnen, weil diese Frequenz nicht so häufig in Verwendung ist.

Alternativen

Außer kleinen Repeatern, die ein bestehendes WLAN-Signal verstärken, oder einem zweiten Router, der für ein weiteres Funknetzwerk sorgt, gibt es weitere Möglichkeiten zur Verbesserung des heimischen Netzwerkes. Diverse Hersteller bieten mittlerweile weitere Adapter zur Leitung der Signale an. Diese Geräte leiten die Daten allerdings über den Strom, sodass sie weite Entfernungen innerhalb eines Kreislaufes überbrücken.

Über den ersten Adapter, der mit dem Router verbunden ist, gelangen die Daten zu einem zweiten Adapter, der sich in weiterer Entfernung befindet. Dieses Gerät erhält die Daten über die Stromleitung, mit der auch der erste Adapter verbunden ist. Zwar ist diese Lösung häufig etwas teurer als das klassische Bridging, allerdings kann sich auch in diesem Fall eine Investition lohnen, weil sie häufig für eine noch bessere Verbindung sorgt.

Bei einem Intrusion Detection Service, abgekürzt IDS, handelt es sich um ein performantes Sicherheitssystem. Es ist in der Lage, Angriffe auf einzelne Computer, Server oder auf gesamte Netzwerke automatisch zu erkennen und die verantwortlichen Administratoren darüber zu informieren. Ein Intrusion Detection System kommt in der Regel in Kombination mit einer Firewall zum Einsatz, um eine bestmögliche Sicherheit von Computer-Netzwerken und -Systemen zu gewährleisten.

Allgemeine Informationen

Ein Intrusion Detection Service ist in der Lage, Angriffe auf Computernetzwerke oder Systeme automatisch zu erkennen und Anwender oder Administrationen darüber zu informieren. Intrusion Detection Systeme sind in unterschiedlichen Varianten erhältlich. So können Sie beispielsweise als dedizierte Hardware im Rahmen eines Netzwerks realisiert oder auch als Softwarekomponente auf einem Betriebssystem installiert sein. Ein IDS ist von einem Intrusion Prevention System (IPS) zu unterscheiden. Während ein Intrusion Detection System Angriffe aktiv verhindert, nimmt ein Intrusion Detection System potenzielle Angriffe lediglich wahr und verhindert diese nicht aktiv.

Administratoren oder weitere Sicherheitssysteme leiten die entsprechenden Gegenmaßnahmen bei Angriffen ein, die anhand der Alarmierung durch den Intrusion Detection Service ausgelöst werden. Im Vergleich zu einer gewöhnlichen Firewall zeichnet sich ein Intrusion Detection Service durch einen besseren Schutz aus. Dies ist auf die Tatsache zurückzuführen, da ein IDS auch Angriff nach einer Penetration der Firewall erkennen und nachverfolgen kann. Um sinnvolle und vor allem wirksame Gegenmaßnahmen zur Abwehr des Angriffs zu treffen, ist es von großer Bedeutung, dass der Intrusion Detection Service genaue Informationen über die Art und Weise sowie die Herkunft der Attacke liefert. So lassen sich zum Beispiel betroffene Services oder Ports automatisch herunterfahren oder blockieren.

Verschiedene Arten im Überblick

Intrusion Detection Systeme sind in unterschiedlichen Varianten erhältlich. Abhängig von dem Einsatzbereich und dem zu schützenden Netzwerk bzw. Computersystem kann man grundsätzlich zwischen drei unterschiedlichen IDS-Varianten unterscheiden:

– die Host-basierten Intrusion Detection Services (HIDS)

– die Netzwerk-basierten Intrusion Detection Services (NIDS)

– die hydriden Intrusion Detection Services (IDS)

Host-basierte IDS

Die Host-basierten Intrusion Detection Systeme werden direkt auf den zu überwachenden und zu schützenden Systemen installiert und stellen die älteste Art von Angriffserkennungssystemen dar. Das IDS überwacht auf dem Host den gesamten eingehenden und ausgehenden Netzwerkverkehr und sammelt unterschiedliche Daten des Systems. Falls ein potenzieller Angriff erkannt wird, werden die betroffenen Ports oder Services auf dem jeweiligen Host automatisch geblockt und die zuständigen Administratoren oder Anwender werden darüber in Kenntnis gesetzt. Obwohl ein IDS hocheffektiv ist, kann es nicht alle Angriffe gleichermaßen gut erkennen und analysieren. Wird ein Host beispielsweise durch eine Denial of Service-Attacke außer Gefecht gesetzt, ist IDS prinzipiell unwirksam.

Vorteile:

– Sehr genaue Aussagen über die Attacken

– Hosts werden umfassend überwacht

Nachteile:

– Kann durch einen DoS-Angriff unwirksam gemacht werden

Netzwerk-basierte IDS

Netzwerk-basierte Intrusion Detection Systeme versuchen, alle ein- und ausgehenden Pakete im Netzwerk aufzuzeichnen. Diese werden automatisch analysiert, um verdächtige Aktivitäten und Muster zu erkennen. Da heutzutage der Netzwerkverkehr im hohen Maße über das Internetprotokoll realisiert wird, muss eine Attacke auch über dieses Protokoll erfolgen. Demzufolge lässt sich ein gesamtes Netzwerksegment mit nur einem Intrusion Detection System überwachen. Die Bandbreite moderner Netzwerke kann jedoch die Kapazität des IDS übersteigen. In diesem Fall müssen dann Pakete verworfen werden, weswegen eine lückenlose Überwachung nicht mehr gewährleistet werden kann.

Vorteile:

– Ein IDS kann ein gesamtes Netzwerksegment überwachen

– Durch das gezielte Ausschalten eines Zielsystems ist die Funktion des IDS nicht gefährdet

Nachteile:

– Bei Überlastung kann keine lückenlose Überwachung gewährleistet werden

– Bei verschlüsselter Kommunikation können verschlüsselte Inhalte nicht analysiert werden

Hybride IDS

Ein hybrider Intrusion Detection Service verbindet beide Prinzipien, um eine höhere Erkennungsrate von Angriffen zu ermöglichen. Bei solchen Systemen spricht man von einer Kombination Host- und Netzwerk-basierter IDS-Typen, die über ein zentrales Managementsystem gesteuert werden. Die meisten modernen IDS basieren auf einem solchen hybriden Funktionsprinzip.

 

Funktionsweise eines Intrusion Detection Service

Die Funktionsweise eines Intrusion Detection Service lässt sich grob in zwei Schritte unterscheiden, und zwar:

– Datensammlung, und

– Datenanalyse

Während Host-basierte und hybride ID Systeme unterschiedliche Quellen für ihren Datenbestand nutzen, sammeln Netzwerk-basierte IDS ihre Daten auf Basis des Datenverkehrs. Besonders wichtig ist, dass alle Daten aus zuverlässigen Quellen stammen oder vom Intrusion Detection Service selbst gesammelt werden, sodass eine Manipulation nicht möglich ist. Das IDS untersucht die gesammelten Daten nach Auffälligkeiten und bekannten Angriffsmustern. Zu diesem Zweck zieht das Intrusion Detection System Datenbanken heran, sodass es in der Lage ist, Abweichungen und vom Normalbetrieb und Anomalien mit hoher Trefferquote zu erkennen. Bei modernen IDS kommen außerdem Erkennungs- und Analyseverfahren zum Einsatz, die auf künstlicher Intelligenz basieren.

Honeypots als wichtige Bestandteile moderner IDS

Einen wichtigen Bestandteil vieler Intrusion Detection Services stellen sogenannte Honeypots dar. Dabei handelt es sich um einen Computer oder einen Service im Netzwerk, der ungesichert ist und somit einen Hackerangriff provozieren soll. Er zieht Angriffe auf sich und bietet Administratoren die Möglichkeit, die Attacken genauer zu analysieren. Anhand dieser Analysen lassen sich besserer Präventions- und Abwehrmaßnahmen entwickeln.