ZIDline 07

AlphaServer SC45TU-ADSL

Digitale Forensik

Nr. 7 / Oktober 2002

ISSN 1605-475X

INFORMATIONEN DES ZENTRALEN INFORMATIKDIENSTES DER TU WIEN

Seite 2 – Oktober 2002 – ZIDline 7

Inhalt

TU-ADSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

VPN-Zugang zum TUNET. . . . . . . . . . . . . . . . . . . . . . . 5

AlphaServer SC45Der neue Server für Finite Elementeund Strömungsdynamik . . . . . . . . . . . . . . . . . . . . . . 7

White Pages Service . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

ZID Personendatenbank . . . . . . . . . . . . . . . . . . . . . . . . 16

Pflege der Personen- und Institutsdaten . . . . . . . . . . . . 18

Reif für die Insel?Wie weit ist Java? . . . . . . . . . . . . . . . . . . . . . . . . . . 20

Digitale ForensikAus der Analyse von Systemeinbrüchen lernen . . . 23

Zertifikate des Zentralen Informatikdienstes . . . . . . . . 30

Verbesserung des Datenbankangebotsan der Universitätsbibliothek der TU Wien . . . . . . 31

Netz- und Systemsicherheit . . . . . . . . . . . . . . . . . . . . . 33

Authentifizierungsservice . . . . . . . . . . . . . . . . . . . . . . . 35

Zur Verwendung von Peer-to-PeerFile Sharing Tools . . . . . . . . . . . . . . . . . . . . . . . . . . 37

Von MICROsoftware zu OPENsoftware:Open Source Software im Vormarsch . . . . . . . . . . 39

Windows XP Overview . . . . . . . . . . . . . . . . . . . . . . . . 42

Personelle Veränderungen . . . . . . . . . . . . . . . . . . . . . . 46

Auskünfte, Störungsmeldungen . . . . . . . . . . . . . . . . . . 46

PersonalverzeichnisTelefonliste, E-Mail-Adressen . . . . . . . . . . . . . . . . 47

Editorial

Wir haben den Erscheinungstermin der ZIDline vonJuni auf Herbst verlegt, um aktuell über neue Serviceswie TU-ADSL, VPN, die neuen White Pages und dieInbetriebnahme des AlphaServers SC45 berichten zukönnen.

Die Zuständigkeiten im Bereich Netz- und Systemsi-cherheit wurden neu organisiert. Ein Großteil der Artikelist diesem wichtigen Thema gewidmet. Besonders dan-ken wir Herrn Alexander Geschonneck, der uns schonseit vielen Jahren ein geschätzter Berater ist, für seinenBeitrag über Digitale Forensik.

Wie auf Seite 16 beschrieben, werden alle personenbe-zogenen Applikationen des ZID nun über die so genannte„ZID Personendatenbank“ abgewickelt, so auch der Ver-sand der ZIDline. Für Empfänger an der TU wird dieAdressierung daher wie in den White Pages angegeben,vorgenommen. Neue Abonnements können unter www.zid.tuwien.ac.at/zidline/abo.html bestellt werden.

Diese ZIDline enthält eine Reihe von Artikel zu denverschiedensten Themen. Wir würden gerne wissen, überwelche Themen Sie in dieser Zeitschrift gerne lesen wür-den, was Sie interessant finden, ob dies allgemeine The-men wie z.B. Open Source Software sind oder ob Siesich für praktische Tipps zum Thema Security oder zurBedienung von speziellen Programmen interessieren.Schicken Sie uns bitte eine kurze E-Mail (an [email protected]), wir freuen uns über jedes Feedback.

Ich bedanke mich sehr herzlich bei allen Autoren undInserenten für ihre Beiträge und die gute Zusammenar-beit. Die nächste ZIDline ist für Juni 2003 geplant.

Eine hoffentlich interessante Lektüre wünscht

Irmgard Husinsky

Impressum / Offenlegung gemäß § 25 Mediengesetz:

Herausgeber, Medieninhaber:Zentraler Informatikdienstder Technischen Universität WienISSN 1605-475X

Grundlegende Richtung: Mitteilungen des ZentralenInformatikdienstes der Technischen Universität Wien

Redaktion: Irmgard Husinsky

Adresse: Technische Universität Wien,Wiedner Hauptstraße 8-10, A-1040 WienTel.: (01) 58801-42014, 42001Fax: (01) 58801-42099E-Mail: [email protected]/zidline/

Erstellt mit Corel VenturaDruck: Grafisches Zentrum an der TU Wien,1040 Wien, Tel.: (01) 5863316

www.zid.tuwien.ac.at/zidline/

Titelbild: AlphaServer SC45, ApplikationsserverStrömungsdynamik und Finite Elemente.Bildbearbeitung und Effekte: Andreas Klauda

TU-ADSLJohann Kainrath

Der Zentrale Informatikdienst konnte vor kurzem mit der Telekom Austria einen Vertrag überdie Nutzung von ADSL durch Angehörige der Technischen Universität Wien (Studierende undMitarbeiter) abschließen. Organisatorische und technische Details sind weitgehend geklärt, imfolgenden Artikel sind nur die wichtigsten Eckpunkte dieser Kooperation veröffentlicht.

Was ist ADSL?

Die Abkürzung ADSL steht für Asymmetric DigitalSubscriber Line. Diese Technik ermöglicht es, über nor-male Telefonleitungen (Kupferkabel) viel höhere Daten-übertragungsgeschwindigkeiten als mit herkömmlichenModems oder ISDN zu erreichen. Es handelt sich dabeium eine permanente Standverbindung (Digital SubscriberLine): Man kann rund um die Uhr mit dem Internet ver-bunden sein, lästige Anwahlvorgänge entfallen. Bei fastallen ADSL-Varianten ist die Datenübertragungsrate vomInternet zum Kunden (Download) deutlich größer als indie umgekehrte Richtung (Upload), daher der Begriff„asymmetrisch“. Die Telefonkommunikation wird beiADSL nicht beeinflusst – man kann also gleichzeitig te-lefonieren und die Datenverbindung ins Internet nutzen.Voraussetzung ist ein herkömmlicher Telefonanschlussder Telekom Austria; zusätzlich muss über einen Splitterein ADSL-Modem an die Telefonsteckdose angeschlos-sen und mit dem Rechner verbunden werden.

Warum TU-ADSL?

Der Zentrale Informatikdienst bietet allen Universitäts-angehörigen bereits seit Jahren Internetzugang überWählleitungen an. Nun kommt mit TU-ADSL auch einweiterer Breitbanddienst mit innovativer Technologiehinzu, der österreichweit in Anspruch genommen werdenkann. Derartige Dienste – auch ADSL – kann jeder Be-nutzer aber auch über diverse Internet Service Providerbeziehen. Für den Zentralen Informatikdienst ist es nurdann sinnvoll, solche Services zu betreiben, wenn es fürdie Universitätsangehörigen deutliche Vorteile bringt.

Die Telekom Austria verlangt für jeden ADSL-An-schluss ein monatliches Grundentgelt, das der Benutzerbezahlen muss. Der Zentrale Informatikdienst trägt alleweiteren bei ihm anfallenden Kosten selbst. Die Entgeltefür die Benutzer liegen daher deutlich unter denen kom-merzieller Angebote. Dafür müssen universitäre ADSL-

Benutzer aber mit gewissen Einschränkungen leben: Esgibt nur einige bestimmte Arten von ADSL-Anschlüssen,während man am Markt unter einer Reihe von Variantenwählen kann. Weiters ist eine persönliche Störungsannah-me bzw. Beratung nur am Vormittag möglich.

Üblicherweise wird bei ADSL für Privatkunden eineBeschränkung des Download-Volumens vereinbart(ADSL-Dienste ohne jede Limitation sind wesentlich teu-rer): Ab Überschreiten einer bestimmten Grenze muss einweiteres Entgelt pro zusätzlich übertragenem Megabyteentrichtet werden. Beim ADSL-Dienst des ZID (TU-ADSL) gilt hingegen das Fair Use-Prinzip, und es wer-den neben dem monatlichen Grundentgelt keine Zusatz-entgelte eingehoben.

Fair Use bedeutet, dass auf ein gewisses Gleichge-wicht unter den Benutzern Wert gelegt wird und eine ex-zessive Ausnutzung der Verbindung vermieden werdensoll. Ein zeitweiliges Überschreiten des Datentransfer-volumens ist zulässig; nur Benutzer, deren Übertragungs-volumen permanent deutlich über dem Durchschnitt liegt,werden zunächst über diesen Umstand informiert und zueiner Änderung ihres Verhaltens aufgefordert. Wer ständiggroße Datenmengen überträgt, wird einen der wesentlichteureren kommerziellen Dienste, die keine Beschränkun-gen aufweisen, in Anspruch nehmen müssen.

Als TU-ADSL Benutzer bekommen Sie eine fix zuge-ordnete IP-Adresse aus dem Netz der TU Wien zugewie-sen. Dadurch hat Ihr Rechner zu Hause die selbenBerechtigungen wie ein lokal im TUNET angeschlosse-ner Rechner (wichtig etwa beim Zugriff auf Ressourcenin Datenbanken, Webseiten, Bibliotheksangeboten) unddamit natürlich auch entsprechende Rechte im Internet.

Wenn Sie noch keinen ADSL-Anschluss haben undalle Voraussetzungen erfüllen, können Sie sich unter

nic.tuwien.ac.at/tunet/adsl/

anmelden. Ein Providerwechsel bei bestehendem ADSL-Anschluss ist möglich.

ZIDline 7 – Oktober 2002 – Seite 3

TU-ADSL: Die Fakten

Nutzungsberechtigt sind alle Angehörigen der Techni-schen Universität Wien, das sind Studenten mit einemgültigen Studenten-Account sowie Mitarbeiter, Drittmit-telangestellte, Lehrbeauftragte usw., die neben einemEintrag in der ZID Personendatenbank / White Pagesüber eine gültige Mailadresse verfügen. Im TU-ADSL istkein Mail Account und kein Webspace der TelekomAustria enthalten.

Voraussetzungen:

• Fernsprechanschluss/ISDN-Basisanschluss der Telekommit mindestens Standard- oder TikTak-Tarif (nicht Mini-mumtarif)

• nicht gemeinsam mit A-Online Complete oder A-OnlineSpeed möglich

• im ADSL-Einzugsgebiet und bei technischer Machbar-keit, die in jedem Einzelfall (z.B. nicht bei Zählerübertra-gung, zu großer Entfernung von Vermittlungsstelle) nachBestellung geprüft wird

• Rechner muss über eine USB-Schnittstelle oder eineNetzwerkkarte verfügen

• Betriebssysteme: Windows 98, ME, 2000, XP oder MacOS ab Version 8.6 (oder Linux)

Das ADSL-Modem und die erforderliche Softwarewerden vom Kunden selbst installiert (außer ISDN). DerAnschluss des ADSL-Modems an den PC erfolgt wahl-weise über USB oder 10BaseT (Ethernet).

Kosten:

einmaliges Herstellungsentgelt für ADSL-Anschluss:• EUR 43,52 inkl. USt bei Selbstinstallation (für ADSL

mit Fernsprechanschluss und USB- bzw. Ethernet-Va-riante)

• EUR 130,80 inkl. USt bei Installation der Telekom vorOrt (für ADSL mit Fernsprechanschluss oder ISDN-Basisanschluss)

monatliche Entgelte:• zusätzlich zum Grundentgelt des Fernsprechanschlusses

bzw. ISDN-Basisanschlusses schreibt die Telekom aufder Telekomrechnung dem Studenten/Mitarbeiter fol-genden Betrag vor:EUR 26,08 inkl. USt je Monat – das sind EUR 52,16inkl. USt für 2 Monate je Rechnung, die alle 2 Monateeinlangt

Es fallen keine zusätzlichen Entgelte wie Volumsentgelt,Online-Entgelt, Online-(Fernsprech-Dial-In-)Tarife bzw.Kautionen an.


Die PPTP-Verbindung (Point-to-Point Tunneling Protocol) zurTU Wien geht vom PC des TU-ADSL-Benutzers über Modem undSplitter zu einem DSLAM (Digital Subscriber Line Access Multi-plexer) und dann durch das ATM-Netzwerk der Telekom Austriazum nächstgelegenen BRAS (Broadband Remote Access Server).Der BRAS befragt den AAA-Server (Authentication, Authorization,Accounting) der Telekom Austria, an welchen L2TP-Tunnel-End-punkt (Layer Two Tunneling Protocol) die Daten mit der Endungtuwien.ac.at übergeben werden sollen, und leitet sie dann an

den Tunnel-Endpunkt der TU Wien weiter. Dieser sendet den Be-nutzernamen ([email protected]) und das Passwort an denRADIUS-Server des ZID, der die Angaben überprüft und – sofernsie korrekt sind – IP-Adresse, DNS-Server und Subnetmask zu-rückliefert. Diese Daten werden an den ADSL-PC übermittelt, derdaraufhin einen VPN-Tunnel zum Tunnel-Endpunkt der TU Wienaufbaut. Der Tunnel bleibt bestehen, bis die Verbindung vom TU-ADSL-Benutzer getrennt wird.

ADSL Verbindung

Zu beachten !

Der Zentrale Informatikdienst kooperiert derzeit mitzwei Firmen (UPC Telekabel/chello und Tele-kom Austria), um den Studierenden und Mitarbeiternder TU Wien einen kostengünstigen Breitband-Inter-netzugang von zu Hause bieten zu können. Diese Er-sparnis wird vor allem dadurch ermöglicht, dass derZID im Rahmen dieser Zusammenarbeit kostenloseine Reihe von administrativen und technischen Auf-gaben übernimmt. Der Zentrale Informatikdienst hatallerdings keinen Einfluss auf die Tarifgestaltung. Anwelchen Standorten Anschlüsse errichtet werden kön-nen und wie gut oder schlecht das Netzwerk dortfunktioniert, liegt ebenfalls im Verantwortungsbe-reich des Kooperationspartners.

Generell muss eindringlich darauf hingewiesen wer-den, dass diese Services für Studierende und TU-Mit-arbeiter gedacht sind, die sie zu einem hohen Teil fürihre universitäre Arbeit nutzen. Benutzer mit großenBandbreitenanforderungen, die das Internet primärals Freizeiteinrichtung sehen, sollten die dafür geeig-neten Angebote kommerzieller Internet Service Provi-der in Anspruch nehmen.

Technische Daten:

Die Datenübertragungsraten des ADSL-Anschlussesbetragen 512 Kbit/s (Download) und 64 Kbit/s (Upload).

Das Transfervolumen liegt bei maximal 2 GB proMonat. Es gilt das Fair Use-Prinzip. Es werden keines-falls über das monatliche Grundentgelt hinausgehendeEntgelte für ADSL-Dienstleistungen eingehoben. BeiÜberschreiten des Transfervolumens wird (nach vorheri-ger Warnung) der Zugang zum Internet, ab 2,5 GB auchder Zugang zum Datennetz der TU Wien bis zum Mo-natsende gesperrt.

Der Datenverkehr vom TU-ADSL-Rechner zum Inter-net und zum TUNET Wien ist uneingeschränkt möglich(im Rahmen des Transfervolumens). Ein Verbindungs-

aufbau aus dem Internet zum TU-ADSL-Rechner istnicht möglich (wird durch eine Firewall des ZID ge-blockt).

Information und Beratung:

Beratung und Störungsannahme werden vom ZID derTechnischen Universität Wien durchgeführt:

TU-ADSL Beratung, Freihaus, 2. OG, roter Bereich,Eingang Rechnerraum, Raum DC02B06Montag bis Freitag (werktags), 9 bis 13 UhrHotline: 58801-42007E-Mail: [email protected]

Anmeldung, weitere Anleitungen und Informationen:

nic.tuwien.ac.at/tunet/adsl/

VPN-Zugang zum TUNETJohann Kainrath, Wilhelm Koch

Der zentrale Informatikdienst der TU Wien bietet als weiteres externes Zugangs-Service allenAngehörigen der TU Wien einen VPN-Zugang an. Mit VPN können Sie von überall in der Welt amTUNET teilnehmen. Möglich wird das durch einen virtuellen verschlüsselten Tunnel über dasInternet zur TU Wien. Ihr Rechner bekommt am Tunnelendpunkt eine IP-Adresse aus dem Netzder TU Wien zugewiesen. Dadurch haben Sie dieselben Rechte im TUNET sowie die Rechte derTU Wien im Internet als wären Sie direkt an der TU.

Was ist ein VPN?

VPN (Virtual Private Network) ist eine gesicherteVerbindung zwischen privaten Netzwerken über ein öf-fentliches Netzwerk wie das Internet. Um die Daten ver-traulich zu halten, wird der Verkehr und damit dieInformation verschlüsselt über das öffentliche Netz ge-schickt.

Der gesamte Verkehr wird über den Tunnel zum TU-NET geleitet, entpackt, und von dort als normaler IP-Verkehr zu den Zielrechnern an der TU bzw. über unsereAnbindung weiter ins Internet geführt. Nur der Verkehrzum lokalen Netz des Clients wird direkt abgehandelt.

Die verschlüsselte Verbindung der Benutzer endet amVPN-Konzentrator (man spricht davon, dass der z. B.mittels IPSec aufgebaute und verschlüsselte Tunnel amKonzentrator terminiert wird).

Die wesentlichen Eigenschaften von VPN sind:• Vertraulichkeit:

Der Sender verschlüsselt die Information, bevor er sieüber das Netzwerk schickt. Damit kann niemand dieeventuell abgehörte Information entziffern.

• Datenintegrität:Der Empfänger kann verifizieren, dass die Daten bei der

Übertragung durch das Internet nicht in irgendeiner Wei-se verändert wurden.

• Authentizität der Datenquelle:Der Empfänger kann die Datenquelle und damit die Her-kunft der Information eindeutig identifizieren und verifi-zieren.

Für wen ist der VPN-Zugang sinnvoll?

Potentieller Benutzerkreis sind Angehörige der TUWien, die entweder über einen eigenen Dialup-Zugang(nicht den der TU Wien) via ISDN, Modem bzw. Mobil-funknetz (keine fixe IP-Adresse bzw. kein fixer Standort)verfügen oder einen Internetzugang via Breitbanddiensteund DSL (tw. fixe Adresse, fixer Standort) besitzen.

Verwendet ein Benutzer das bisherige TU-eigeneWählleitungsservice, so besteht für ihn kein Bedarf amVPN-Service, da er ja eine TU-eigene IP-Adresse zuge-wiesen bekommt und somit innerhalb des TUNET sitzt.Seine Daten bis zu den Terminalservern der TU Wien ge-hen ja nicht über das öffentliche Internet, sondern überdas digitale Telefonnetz der Telekom und sind damitschwieriger abzuhören. Bei TU-ADSL ist VPN nichtsinnvoll, da ADSL selbst bereits ein VPN ist. Allgemeingilt also: Nicht zu verwenden ist das VPN Service überall


dort, wo man bereits eine IP-Adresse der TU Wien zuge-wiesen bekommt (Wählleitungsservice der TU, TU-ADSL).

Beim Dialin-Service erfolgt die Adresszuweisung nachwie vor dynamisch aus einem IP-Adresspool der TUWien. Bei VPN und TU-ADSL wird für jeden Benutzernur eine gemeinsame fixe TUNET IP-Adresse zugewie-sen. Daher ist keine gleichzeitige Verwendung dieser bei-den Services möglich.

Voraussetzungen

Für das VPN-Service ist eine eigene Berechtigung er-forderlich, es werden nicht automatisch die Berechtigun-gen aus dem Wählleitungsservice übernommen. DieAnmeldung zum Service erfolgt für Studenten über eineWebmaske. Dazu ist ein gültiger Studenten-Account undein White Pages Passwort notwendig. Als Mitarbeiter istdas entsprechende Formular für BetriebsmittelansuchenKommunikationsservices zu verwenden (nic.tuwien.ac.at/formulare/ansukom.pdf). Für VPN fallen keine zusätzli-chen Kosten an.

Benötigt wird ein Rechner mit Internetconnectivity(Fremd-Provider z.B. über Modem, Firmen-LAN etc.),weiters ein Betriebssystem, welches VPN unterstützt.Beim VPN-Zugang zur TU Wien sind nur Tunnelproto-kolle zugelassen, die eine ausreichend verschlüsselteÜbertragung erlauben.

Zur Sicherheit der VPN-Teilnehmer ist eine Firewallzwischen dem VPN-Netz der TU Wien und dem TUNETbzw. Internet installiert (wie bei TU-ADSL).

Um die VPN Funktionalität nutzen zu können, gibt eseine herstellereigene, kostenlose Client-Software. Diesenso genannten VPN-Client gibt es derzeit für alle Win-dows-Plattformen, Mac OS X sowie für Solaris und Li-nux (Downloadportal für IPSec Clients mit Validierung:nic.tuwien.ac.at/tunet/vpn/download/). Weitere Möglich-keiten bieten die in neueren Microsoft Betriebssystemenintegrierten VPN-Client Lösungen (PPTP, L2TP, IPSec).Welche Form aktuell von uns unterstützt wird, entneh-men Sie bitte unserer Webseite für VPN:

nic.tuwien.ac.at/tunet/vpn/


VPN an der TU Wien

Externer Zugang zum TUNETDer Zentrale Informatikdienst bietet allen Studierenden und Mitarbeitern der Technischen Universität Wien mehrereMöglichkeiten des externen Zugangs zum TUNET (Datenkommunikationsinfrastruktur der TU Wien) und zum Inter-net. Derzeit stehen neben dem allgemeinen Zugang über Internet vier spezielle Zugangsmöglichkeiten zur Verfü-gung (siehe auch nic.tuwien.ac.at/tunet/extern/):

� Wählleitungszugang via Modem / ISDNDie TU Wien bietet Wählleitungsverbindungen zum Onlinetarif (Telekom Austria) für Modemund ISDN an. Es werden keine Providergebühren verrechnet.

� Chello Studentconnect (UPC Telekabel)Das StudentConnect-Angebot der Firma UPC Telekabel ermöglicht Angehörigen der TUWien einen kostengünstigen Breitband-Internetzugang in Wien.

� TU-ADSL (Telekom Austria)Durch die Zusammenarbeit mit der Telekom Austria können Angehörige der TU Wien einenBreitbandzugang und ADSL aus ganz Österreich zum Datennetz der TU Wien bestellen.

� VPN (Virtuelles Privates Netzwerk)Der VPN-Zugang zur TU Wien erlaubt eine gesicherte (verschlüsselte) Verbindung über dasöffentliche Netzwerk (Internet) zwischen Ihrem Heimrechner und dem TUNET.

„Die höchste Philosophie des Naturforschers besteht eben darin,eine unvollendete Weltanschauung zu ertragen

und einer scheinbar abgeschlossenen, aber unzureichenden vorzuziehen.“

Ernst Mach

AlphaServer SC45Der neueServer für Finite Elementeund StrömungsdynamikPeter Berger, Josef Beiglböck

Als Ersatz für das über fünf Jahre alte DEC/COMPAQ Clustersystem wurde im Sommer 2002 einAlphaServer SC45 System in Betrieb genommen. Das Einsatzgebiet dieses Applikationsservers fürdie Institute der TU Wien liegt bei großen Problemen, für die CFD- und FE-Programme eingesetztwerden. Leistungsfähige Softwarepakete stehen zur Verfügung.

Im Frühjahr 2001 wurde mit den Vorbereitungsarbei-ten für eine Ausschreibung eines neuen Applikationsser-vers „Finite Elemente und Strömungsdynamik“ als Ersatzfür das über fünf Jahre alte DEC/COMPAQ Clustersys-tem (fecfd.zserv) begonnen. Eine Arbeitsgruppe unter derLeitung des ZID, bestehend aus Vertretern der Hauptbe-nutzer dieses Clustersystems, erarbeitete die Spezifikatio-nen und stellte Benchmarkprogramme zur Verfügung.

Am 18. Dezember 2001 wurde vom ZID eine EU-wei-te öffentliche Ausschreibung für dieses Hochleistungs-Serversystem veröffentlicht. Als maximaler Finanzrah-men standen EUR 1.0 Mio. (inkl. MwSt) zur Verfügung.Die Ausschreibungsunterlagen wurden von 23 Firmen be-hoben, von 4 Firmen wurden Anbote bis zur Anbotseröff-nung am 15. Februar 2002 abgegeben.

Nach einer Evaluierungs- und Bewertungsphase wurdeam 21. 3. 2002 der Zuschlag der Firma Data SystemsAustria AG für ein Clustersystem COMPAQ AlphaSer-ver SC45, bestehend aus 10 Knoten ES45 (je 4 Prozesso-ren 21264C, 1 GHz), erteilt.

AlphaServer –Historisches und Zukünftiges

Im Jahr 1992 brachte Digital Equipment Corporation(DEC) – im Jahr 1998 durch Compaq übernommen – ersteRechner mit Alpha Prozessoren (21064 Chip) auf denMarkt. Das erste europaweit installierte System wurdevom ZID als „Fachbereichsrechner Elektrotechnik“ ange-

schafft. Zur gleichen Zeit wurden als Alternative zu dendamals im Supercomputing vorherrschenden Vektorrech-nern Massive Parallel Processing (MPP) Systeme entwi-ckelt. Ein typisches System dieser Ära war die auf AlphaChips basierende Cray T3D, welche auch mit Alphas derzweiten Generation (21164) als Cray T3E heute noch inder Top-500-Liste aufscheint. Im Jahr 1997, nach derÜbernahme von Cray Research durch Silicon Graphics(SGI), wurde die T3 Linie nicht mehr weiterentwickelt.Compaq entschloss sich darauf, ein eigenes System mitdem Alpha Chip der dritten Generation (21264) zu entwi-ckeln und schuf die Alphaserver SC Linie, die zahlreicheÄhnlichkeiten mit den Cray T3 Systemen aufweist.

Nach der Übernahme von Compaq durch HewlettPackard (HP) wurde für die Zukunft folgende Strategiefür AlphaServer und das Tru64 UNIX Betriebssystemfestgelegt:

HP und Compaq (New HP) konvergieren ihre Prozes-sor und Systemarchitektur zur Itanium Prozessor Familievon Intel. Die AlphaServer Linie wird bis 2004 zum Pro-zessor EV79 (Marvel Systeme) weiterentwickelt, bis2006 verkauft und bis 2011 unter dem BetriebssystemHP Tru64 „supported“. SC Systeme werden in Zukunftauch mit Itanium Prozessor unter HP-UX 11iv3 und Li-nux angeboten. HP-UX 11iv3 ist die Itanium-Versionvon HP-UX, wesentliche Teile von Tru64 UNIX (Advan-ced Filesystem und Clustering) werden darin enthaltensein.


AlphaServer SC Hardware Architektur

AlphaServer SC Systeme basieren auf einer Distribu-ted Shared-Memory Architektur. Jeder Knoten bestehtaus einem 4 Prozessor Shared Memory System (SMP) miteigenem Adressraum, welcher nicht zwischen Knotengeshared wird. Die Kommunikation zwischen den Kno-ten erfolgt durch

MPIMessage Passing, welches ein standardisiertes Interfa-ce (API) zum Austausch von Informationen in paralle-len Programmen darstellt,

SHMEMCray-kompatible Library für DMA Access auf remoteProzesse.

Wesentlich für die Performance einer MPI oderSHMEM Applikation ist der Transportmechanismus zwi-schen den Prozessen, welcher durch den High Speed In-terconnect Switch von QSW (Quadrics SupercomputerWorld) soft- und hardware-mäßig unterstützt wird.

Das SC45 System ist blockartig aus folgenden Stan-dard Komponenten zusammengesetzt:

Compute Building Block

10 AlphaServer ES45 mit je4 Prozessoren DEC 21264C/EV68, 1001 MHz

16 GB Hauptspeicher (8 Systeme)32 GB Hauptspeicher (2 Systeme)6 × 36 GB interne PlattenElan Switch Karte

Ein wesentliches ES45 Bauelement ist der CrossbarSwitch mit einer Gesamtleistung von 8 GB/s. Zwei un-abhängige 256 Bit breite 125 MHz getaktete Datenpfadeverbinden den Crossbar mit den 32 GB ECC Speicher-bänken. Jede Alpha 1 GHz EV68 CPU ist mit einem 128Bit breit angebundenen 8 MByte L2 Cache ausgestattet,wobei die Cache-Kohärenz gewährleistet wird. Die An-bindung an das Storage und den Quadrics Switch erfolgtüber Karten in zwei getrennten 64 Bit PCI Slots.

Interconnect Building Block

Jeder Knoten enthält eine 64 Bit 66 MHz Elan PCIAdapter-Karte, die über ein Kupferkabel mit dem QSWSwitch verbunden ist. Die bidirektionale Übertragungsra-te von 400 MB/s wird durch einen leistungsfähigen I/OProzessor, DMA, SDRAM und Cache bereitgestellt.

Der Interconnect ist als 16 Port Switch ausgelegt. Erenthält 8 Crossbar Switches, die in zwei-stufiger Fat TreeTopologie angeordnet sind. Wesentliche Eigenschaftensind eine hohe Bandbreite und kurze Latenzzeit von3.6 µs für SHMEM und 5.1 µs für MPI, die bei einem128 Knoten System real gemessen wurden.


ES45 Blockschaltbild

Management Building Block

Der Management Building Block umfasst einen AlphaServer DS20, einen Terminalserver für die Consolever-bindungen zu den Knoten und einen LAN Switch, überden die Knoten mit 100 MBit/s angebunden sind. Er er-laubt, Systemmanagement gezielt auf bestimmten Kno-tengruppen durchzuführen, Systemupdates, Boot, Shut-down, Power-on, Power-off etc.

Storage Building Block

Drei Clusterknoten sind als Fileserver Nodes konfigu-riert und greifen über zwei redundante Fiber ChannelController auf ein StorageWorks Modular Array 8000 zu.Das Storage ist mit Compaq Universal Drive Platten aus-gestattet und ist mit

19 × 72 GB Platten als RAID5 für /home2 × 36 GB Platten gespiegelt für /appl6 ×18 GB Platten gespiegelt für system

bestückt.

Weiters steht für Datensicherung ein Super DLTBandlaufwerk mit einer Kapazität von 220 GB pro Bandzur Verfügung.

SC Software Architektur

Die AlphaServer SC System Software besteht aus denKomponenten

• Tru64 UNIX Operating SystemBasisbetriebssystem

• SC SoftwareUtilities und Libraries zum Management und Betrieb desClusters

Wesentlicher Bestandteil sind die low-level Communi-cation Libraries (shmem und mpi), welche Treiber für dieQuadrics Elan Hardware zur Verfügung stellen. Für denBetrieb und das Jobmanagement des Clusters wurde dasResource Management System (RMS) entwickelt. Es er-laubt das Zerteilen des gesamten CPU-Pools in Partitionsfür verschiedene Jobklassen und verteilt Jobs optimalüber diese. Sämtliche Systeminformationen, Konfigura-tionsdaten, Accountinginformationen etc. bis hardware-spezifische Informationen wie Chiptemperaturen, Statusder Ventilatoren, Netzteile etc. werden in einer SQL-Da-tenbank verwaltet. Ein Event Handling Interface mini-miert Operator-Aktionen, da Systeme dieser Art auf eineextrem hohe Knotenanzahl ausgelegt sind und eine Über-sicht über alle Details nur mehr schwer möglich ist.

Alle Knoten befinden sich in einer Cluster FilesystemDomain, einheitliche Namen für Files und Directoriessind gewährleistet, die Knoten teilen sich ein gemeinsa-mes root Filesystem. Lokale (knotenspezifische) Filesys-teme wie swap und /tmp werden über so genannteContext Dependable Symbolic Links (CDSL) aufgelöstund selektiert.


SC45 Konfiguration

ES 45 – Node 54 CPUs, 1GHz16 GB Speicher










TUNET

DS 20Management-Workstation

Storage

MA 8000 (1,5 TB)

QUADRICS Switch FC Switch

FC Switch

Man

agem

ent-

LAN

User-LAN (Fast-Ethernet, 100Mb/s)

Super-DLT (220 GB)

Clusterkopplung (400 MByte/s)

Betriebssystemund Anwendersoftware

Software

Compaq Tru64 UNIX V5.1A

Compaq AlphaServer SC V2.4A

COMPAQ C++ Version 6.3

Compaq Fortran V5.5

Anwendersoftware

ABAQUS 6.2-5

ANSYS 6.1

CFX 4.4, 4.3

CFX 5.5.1

EMAS 4

FIDAP 8.62, 8.6

FLUENT 5.5.16, 6.0.20

GAMBIT/T 2.0.4

TASCflow 2.11.2, 2.10

TurboGrid 1.6

Für die Produkte ABAQUS, FIDAP und FLUENTsind Parallellizenzen vorhanden.

Zugang über das TUNET

Der Zugang erfolgt über zwei Fast Ethernet Anschlüs-se, Connections werden auf die Knoten mach0 undmach1 verteilt. Aus Sicherheitsgründen beschränkt sichder Zugang auf Secure Shell V.2. Telnet, FTP und Ber-keley r-Commands sind nicht möglich.

Erreichbar ist das System unter dem Hostnamen

sc.zserv.tuwien.ac.at

Die Knoten tragen den Namen des österreichischenPhysikers und Philosophen Ernst Mach. Ernst Mach(1838 – 1916) schuf den experimentellen Nachweis desDoppler’schen Gesetzes und das Mach’sche Gesetz durchUntersuchung schnell fliegender Objekte. Die nach ihmbenannte Mach-Zahl bezeichnet das Verhältnis der Ge-schwindigkeit eines Körpers zur Schallgeschwindigkeit.

Das SC-System steht vor allem jenen Benutzern derTU Wien zur Verfügung, die an der Lösung großer Pro-bleme aus dem Bereich Finite Elemente und Strömungs-dynamik arbeiten.

Die Systembetreuung wird von den Herren JosefBeiglböck (Tel.: 42071) und Erwin Srubar (Tel.: 42084)übernommen.

Ausführliche Dokumentation befindet sich im Web unter

www.zserv.tuwien.ac.at/sc/

Einige ausgewählte SC Installationen

Pittsburgh Supercomputer Center3000 CPUs, 3 TB Hauptspeicher, 6 TFLOPswww.psc.edu/general/hardware.html

Los Alamos National Laboratory4096 CPUs, 30 TFLOPSwww.c3.lanl.gov/~fabrizio/talks/ohio_30T.pdf

Australian Partnership for Advanced Computing500 CPUsnf.apac.edu.au/facilities/sc

TU Braunschweig40 CPUswww.tu-bs.de/rz/Compute-Server/COMPAQ.html

TU Graz40 CPUs, Installation im Oktoberwww.ZID.TUGraz.at/


White Pages ServiceJohann Klasek

Die White Pages als Personen- und Instituts- bzw. Organisationsverzeichnis sind in denunterschiedlichen Erscheinungsformen fester Bestandteil des Serviceangebots an der TU Wien,auch für Externe, geworden. Datenbestände aus unterschiedlichsten Quellen (Telefonanlage,Zentrale Verwaltung, ZID) haben dort Eingang gefunden und waren auch von den Abgleich-prozeduren sowie der Betreuung mitunter sensibel in der Handhabung. Die Zentralisierung derDatenbestände in eine einzige ZID Personendatenbank war auch der ausschlaggebende Punkt,die White Pages Darstellung und Datenhaltung neu zu gestalten.

KonzeptDas White Pages Service war in seiner bisherigen

Form eine eigenständige Instanz mit einem selbstverwal-teten Datenbestand, wo von unterschiedlichen Seiten Än-derungen eingepflegt werden mussten. Kern desgesamten Systems war das LDAP-Service (LightweightDirectory Access Protocol [3]), das auf eine (relativesimple) Datenbank aufbaute. Die nach außen angebote-nen Servicezugänge über Web-Interface, Finger- oderWhois-Protokoll waren auf LDAP abgebildet. Weitersbaute das Mailrouting der generischen TU Wien Adres-sen (auf @tuwien.ac.at oder @student.tuwien.ac.at en-dende Adressen) auf das im Betrieb teilweise rechtempfindliche LDAP-Service auf. Im Laufe der Zeit wur-de auch die LDAP-Authentifikation herangezogen, umpersonenbezogene Zugänge zu diversen anderen Servicesder TU Wien (Sides4mi/LZK, verschiedene Prüfungsan-meldungsanwendungen etc.) mittels White Pages Pass-wort zu realisieren.

Mit dem Aufbau des zentralen Datenbestandes in derZID Personaldatenbank (siehe Artikel auf Seite 16.)vereinfacht sich für die White Pages das Datenmanage-ment erheblich. Trotzdem war bzw. ist die Überführungauf die neue Datenbasis mit umfangreichen Umstruktu-rierungen verbunden, die nur schrittweise bei Einhaltungdes Regelbetriebes erfolgen konnten.

Die grundlegende Umgestaltung war auch der idealeZeitpunkt, das White Pages Web-Interface neu und zeit-gemäßer zu gestalten und dabei den sich aus den Ein-schränkungen des LDAP-Services ergebenden Funktions-umfang neu zu strukturieren bzw. aufzuteilen. DieRealisierung des neuen White Pages Services wurde aneine externe Firma abgegeben, wobei die Wahl auf dieFirma unikat fiel, die schon in der Vergangenheit durchProjekte wie LZK/Sides4mi mit einem entsprechendenTU Wien Insider-Wissen aufwarten konnte. Mit denstrukturellen Änderung wird auch eine Steigerung der

Zuverlässigkeit und Verfügbarkeit angestrebt. Dabeiwerden zwei identische Rechner in einer Redundanzkon-figuration (befinden sich außerdem in unterschiedlichenGebäuden) hinter einem redundanten Content-Switch (er-möglicht Load-Sharing) betrieben, wodurch ein Servicenach außen hin einheitlich unter einer einzigen Adresseerreichbar ist.

UmstellungenDie Services werden vom Funktionsumfang in Zu-

kunft unterschiedlich verteilt und aufgebaut sein, wobeisich folgende Strukturumstellung ergibt.

Wie man anhand der Abbildung erkennt, beziehen alleneuen Services die Daten von der ZID Personendaten-bank, wobei jeweils bei den entsprechenden Services lo-kale Datenbanken (z. B. MySQL) zur Zwischen-speicherung eingesetzt werden, damit zum einen die ZIDPersonendatenbank nicht die Last aller Abfragen tragenmuss und zum anderen die Nichtverfügbarkeit der ZIDPersonendatenbank keine Auswirkung auf die Funktions-fähigkeit der einzelnen Services hat. Die Aktualität derDaten wird durch einen Trigger-Mechanismus seitens der


LDAP

Web-Interface

Finger

Adressbuch

Authentifizierung

Mailrouting

wp.tuw

ien.a

c.at w

hite

pages

ldap

MySQL

Finger

Adressbuch

Web-Interface

LDAP/MySQL

Authentifizierung

Mailrouting

ZIDPersonen-datenbank

ZID Personendatenbank gewahrt, wodurch bei jeder Än-derung eine Aktualisierung des entsprechenden Objektssofort initiiert werden kann. Spätestens in der Nacht er-folgt eine komplette Synchronisation.

Die Services sind in Hinkunft unter anderen Namen zuerreichen:

• Web-Interface:wp.tuwien.ac.at:8888

-> whitepages.tuwien.ac.at

• Finger:wp.tuwien.ac.at

-> whitepages.tuwien.ac.at

• Whois: wird nicht mehr unterstützt

• LDAP-Search/Adressbuchfunktion:wp.tuwien.ac.at:389/390

-> ldap.tuwien.ac.at:389

• LDAP-Bind/Authentifikation:wp.tuwien.ac.at:389/390 -> nicht mehr unterstützt.Service wird ausgegliedert und auf HTTPS-Basis reali-siert (siehe Artikel über das Authentifizierungsserviceauf Seite 35).

Da einige Services nicht transparent in die jeweiligenneuen Services übergeführt werden können, sind gewisseÜbergangszeiträume vorgesehen. Zusammen mit denbereits erfolgten und noch kommenden Umstellungenergibt sich folgender Zeitplan:

2002-05-16 Die klassischen White Pages beziehendie Studentendaten von der ZID Perso-nendatenbank.

2002-06-07 Ankündigung des Probebetriebs der neu-en White Pages.

2002-06-21 Personal- und Organsationsdaten derklassischen White Pages kommen nunvon der ZID Personendatenbank.

2002-08-14 Generische Mailadressenweiterleitung er-folgt nicht mehr über LDAP, die Datenstammen direkt von der ZID Personen-datenbank.

2002 September Regelbetrieb der neuen Services:whitepages.tuwien.ac.at (HTTP, Finger)löst wp.tuwien.ac.at ab.Das neue Adressbuch ist unter ldap.tuwien.ac.at:389 verfügbar.Die Authentifikation via LDAP auf wp.tuwien.ac.at:389 bleibt ein Jahr erhalten,um den Übergang auf das neue Authen-tifizierungsservice zu ermöglichen.

Ende 2002 Keine Weiterleitung auf wp.tuwien.ac.atmehr, Ende der HTTP, Finger und WhoisServices.

2003 September LDAP auf wp.tuwien.ac.at:389 ermöglichtkeinen LDAP-Zugriff im Allgemeinen undkeine Authentifikation im Speziellen. Allebetreffenden Anwendungen müssen aufdas neue Authentifizierungsservice um-gestellt sein.

Datenquellen

Mit der zentralen ZID Personendatenbank werden nununterschiedlichste Datenquellen, die zum Teil in die

White Pages und in andere Services eingeflossen sind, aneinem Punkt konzentriert. An der Datenverantwortlich-keit zu den einzelnen Quellen hat sich im Wesentlichennichts geändert. Die White Pages stellen lediglich eineDatensicht auf die ZID Personendatenbank dar. Wie imArtikel „ZID Personendatenbank“ (Seite 16) dargestellt,fließen hier Daten der Zentralen Verwaltung, der Tele-fonanlage und Daten, die in der ZID Personendatenbankin der Regel vom Instituts-Adressmanager selbstverwaltet werden, zusammen.

Durch den Umstieg auf diese neue Datenbasis ergibtsich eine konsistentere Datenhaltung und Auflösung vonredundanten Daten, die einige Änderungen mit sichbrachten:

• Object ID: Jedes dargestellte Objekt, sei es eine Personoder eine Organisationseinheit, ist über eine eindeutigeObject Identification (OID) referenzierbar. Dies spiegeltsich auch in dem einheitlichen URL-Schema beim Web-Interface wider. Auch bei den klassischen White Pagesist ein Attribut „oid“ vorhanden, das als Suchkriteriumdienen kann.

• Vornamen Weiterer Mitarbeiter: Bei der Übertragungvon weiteren Mitarbeitern (vom Adressmanger angeleg-te White Pages-Einträge) mit mehrteiligen Vornamen indie ZID Personendatenbank, wurde nur der erste Vorna-me übernommen (es sei denn, ein zugehöriger Personal-oder Studenteneintrag aus der Zentralen Verwaltung hatauch mehrere Vornamen enthalten). Dies ist aber keineEinschränkung für derzeit stattfindende Änderungenoder neu erstellte „weitere Mitarbeiter“-Einträge.

• Mehrfache Vornamen: Durch das Zusammenfassenvon Personal, Weitere Mitarbeiter und Studenten-Rollenzu einer Person (mit einem Namen) haben mache Perso-nen mehrfache Vornamen erhalten. Um bei den generi-schen Mailadressen rückwärtskompatibel zu bleiben,sind im Mailrouting automatisch auch jene Varianten mitnur einem Vornamen vorhanden.

• Spezielle Schreibweisen des Namens: Doppelnameeinfach, Nachnamenteilung, Rufvarianten von Vorna-men usw., die vormals noch manuell in den White Pageseingetragen werden konnten, sind nicht automatischübernommen worden. Diese Fälle müssen nun separatbehandelt und von der White Pages Administration neueingetragen werden.

• Namen mit Umlauten: Diese werden nun in den klassi-schen White Pages konsequent in der Schreibweise so-wohl mit als auch ohne Umlaute dargestellt, eine separatemanuelle Behandlung der einen oder anderen Variante istnicht mehr notwendig. Der Distinguished Name (DN) beider alten LDAP-basierten Authentifizierung enthält je-doch stets die umgewandelten Umlaute.

• Web-Änderungsinterface: Modifikationen von Einträ-gen erfolgen stets direkt über das Web-Änderungsinter-face am ZID Personendatenbank-Server (z.B. Link„Modifizieren“ im alten Web-Interface), unabhängigvon welchem Web-Interface man gekommen ist.

• Weitere Informationen: Eine Reihe von LDAP-Attri-buten, wie z.B. roomnumber, description, homephone,associateddomain, uid, ... sind in der ZID Personendaten-bank im Feld „Weitere Informationen“ zusammenge-fasst worden.


• Passwort: Es gibt nur noch genau ein White Pages Pass-wort für eine Person, unabhängig davon, wieviele Rolleneine Person inne hat. Wenn also eine Person als Studentund Personal bzw. weiterer Mitarbeiter vorhanden ist,dominiert das Passwort des Studenteneintrags. Solltedort kein Passwort existieren, kommt automatisch dasdes entsprechenden Personal- oder weiteren Mitarbeiter-Eintrages zur Anwendung. d.h. all jene Personen, dieweitere Mitarbeiter oder dem Personal zugehörig sindund ein aktives Studium offen haben, müssen sich nunmit dem White Pages Passwort aus der Studentenrolleauthentifizieren. Dabei kann das White Pages Passwortüber die Studentenservices auf jenes des Studenten-Accounts gesetzt werden.

• Löschungen: Personen, deren Dienstverhältnis endetund die nicht mehr in den White Pages dargestellt wer-den, bleiben in der ZID Personendatenbank erhalten undkönnen vom Adressmanager reaktiviert werden. Ein Per-sonendatensatz bleibt mindestens 6 Monate erhalten (unddamit auch die allgemeine E-Mail-Adressierungsmög-lichkeit durch das Mailrouting).

Die White Pages spiegeln im Gegensatz zu früher nunstets den tagesaktuellen Personalstand wider, was mit denGepflogenheiten des Personalverzeichnisses der ZentralenVerwaltung konform geht. War es bei der früheren WhitePages Umgebung so, dass Änderungen sofort in der Whi-te Pages Datenbank durchgeführt wurden, wird nun dieModifikation stets in der ZID Personendatenbank durch-geführt und über einen Benachrichtigungsmechanismusan die White Pages Interfaces (alt und neu) übermittelt.

Service-Zugänge

Web-Interface

Die Suchmöglichkeiten sind in 4 Sparten unterteilt,nämlich Personal (inkl. Weitere Mitarbeiter), Studieren-de, Organisationen und Funktionen. Die Suche ist stetsglobal und kann nicht mehr auf Teilhierarchien einge-schränkt werden.

Die Darstellung von Organisationseinheiten und derenzugeordneten Personen ist nun nach Funktionen dieserEinheit klassifiziert und innerhalb eine solchen Klassifi-zierung lexikalisch geordnet. Weiters dokumentieren dieRubriken „zugeteilt“, „karenziert“, „Weit.Mitarb.“ ent-sprechende Sonderstellungen.

Zugeteilte Personen besitzen in der Regel an diesemInstitut einen zeitlich begrenzten Lehrauftrag, sind Tuto-ren oder Studienassistenten oder sind als Dozenten bzw.emeritierte Professoren dem Institut zugeordnet. Dadurchwird dieser Personenkreis als nicht zum fixen Personaldes Instituts gehörender Personenkreis identifizierbar.

Hinter der Bezeichnung „Weit.Mitarb.“ verbergen sichin der Übersichtsdarstellung zwei Kategorien von Perso-nen, die zwecks Übersicht gemeinsam dargestellt werden.Erstens sind das Personen im Personalstatus der ZentralenVerwaltung, die als Funktion Weitere Mitarbeiter tragen.Das sind oftmals Personen, die im Zuge eines Gleichstel-lungsantrages der Zentralen Verwaltung gemeldet wurdenund damit z.B. auch im gedruckten Personalverzeichnisaufscheinen. Zweitens gibt es Personen, die als so genann-te weitere Mitarbeiter (ZID) von den Adressmanagern derInstitute eingetragen wurden, nur in der ZID Personenda-tenbank eingetragen sind und im Kontext der White Pagesin der Vergangenheit schlicht als „Weitere Mitarbeiter“bezeichnet wurden. Dieser Unterschied ist erst bei derDetailansicht einer konkreten Person ersichtlich, wo der


White Pages Startseite

whitepages.tuwien.ac.at

Beispiel Personensuche

linke, vertikale Balken eine entsprechende Kennzeichnungträgt und als Funktionsbezeichnung für den zweiten Fall„ZID Weit.Mitarb.“ bzw. für die Variante Zentrale Ver-waltung schlicht „Weit.Mitarb.“ ausgewiesen wird.

Finger

Das Finger-Service ist ein altes, aber dafür umso ein-facheres Protokoll, um textuelle Informationen (meist zuPersonen an einem Rechnersystem) zur Verfügung zustellen. Für die White Pages ist dieses Service etwasadaptiert worden und liefert im Wesentlichen all jene In-formationen, die man sonst aufwändiger mit einem grafi-schen Web-Browser akquirieren kann. Typische Anwen-dungen wie script-gesteuerte Abfragen lassen sich vor-züglich mit Finger in Einklang bringen. Auch wenn sichdie Ausgaben des alten und neuen Finger-Services nichtauf das Zeichen genau gleichen bzw. auch die Ergebnissezu den Abfragen mitunter etwas unterschiedlich ausfallenkönnen, sollte größtenteils die Rückwärtskompatibilitätgewahrt sein.

Die Klienten für dieses Service sind als Kommando-zeilenbefehl bei vielen Betriebssystemen inkludiert(Unix-like, Win9X etc.) oder separat als frei verfügbareSoftware vorhanden (eventuell auch als grafische Varian-ten). Hier soll ein kurzer Abriss mit Beispielen der kom-mandozeilen-orientieren Befehlsanwendung einige Mög-lichkeiten offenbaren:

Grundsätzlich gilt:

finger [email protected]

bzw. um Detailausgaben zu erzwingen:

finger -l [email protected]

Der SUCHSTRING kann aus Bestandteilen bzw. Zu-sammensetzungen von Vornamen, Nachnamen, Instituts-nummer, Institutsname/-nummer, Matrikelnummer,Telefon/Fax-Nummer bestehen (auf entsprechendes Quo-ting in Shell-Umgebungen ist zu achten):

Beispiele:


liefert die detaillierte Ausgabe der 2 gefundenenOrganisationseinheiten


liefert den detaillierten Eintrag einer Person


liefert alle Inhaber der Leitungs-Funktionen am ZID


liefert eine Liste von Instituten, die im Namen„maschinen“ enthalten


zeigt eine Übersicht mit allen Abteilungen, Funktionenund Personen einer Organisationseinheit


liefert den zu dieser TU Telefondurchwahl gehörendenPersoneneintrag

Die Abfragen lassen sich auch noch durch so genannteWildcards, hauptsächlich durch das Zeichen „*“ gebildet(für eine beliebige Zeichenanzahl stehend) erweitern.

Die Darstellung der Ergebnisse hängt von den Mög-lichkeiten des Finger-Clients ab, der mitunter abhängigvon der Lokalisierung des Betriebssystems 8-Bit-Zeichenunterschiedlich interpretiert. Der Finger-Server übermit-telt alle 8-Bit-Zeichen (also auch z.B. ISO-latin1 codierteUmlaute) mit Ausnahme von nicht für die Ausgabe not-wendiger Steuerzeichen (ASCII-codiert < 32).

LDAP/Adressbuch

Bei diversen Web-Browsern und deren angeschlosse-nem Mailclient oder separaten Mailclients ist oftmals dieAngabe eines elektronischen Adressbuchs (auf LDAP-Basis, siehe auch [3]) möglich. Die dazu notwendigenParameter sind:

Adresse:ldap.tuwien.ac.at:389

Base-DN/Server root:„o=Technische Universitaet Wien, c=at“

Im Gegensatz zur bisherigen LDAP-Installation mitseparaten LDAP-Bäumen für Personal und Studenten(mit separaten Portnummern), ist nun nur noch eineinziger LDAP-Baum über einen einzigen Port (denLDAP-Standardport 389) verfügbar.

Mailrouting

Mit der Umstellung auf die ZID PersonendatenbankDatenbasis werden die allgemeinen TU Wien (@tuwien.ac.at) und Studenten-Mailadressen (@student.tuwien.ac.at) nicht mehr via LDAP aufgelöst (was ohnehinschon seit einem Jahr durch ein Caching-Verfahren teil-weise umgangen wurde), sondern direkt über Tabellenauf den Mailrouter-Rechnern gelöst. Damit ließ sich derGewinn einer wesentlich höheren Zuverlässigkeit und derdadurch entstandenen Entkopplung sowie Entlastung desWhite Pages Services erzielen. Der einzige wesentlicheUnterschied ist die Verbreitungsgeschwindigkeit von Än-derungen gegenüber der bisherigen LDAP-Lösung. Wa-ren die Änderung der E-Mail-Zustelladresse früher sofortwirksam, so ist nun mit einer Verzögerung von max. 10Minuten zu rechnen.

Die Vielzahl an Variationsmöglichkeiten bei den all-gemeinen (generischen) Mailadressen wurden entspre-chend den dynamischen LDAP-Möglichkeiten nach-gebildet. Hier nur eine Auswahl der üblichen Variantenbezogen auf @tuwien.ac.at, wobei bei weniger spezifi-schen Angaben die Möglichkeit der Kollision mit ande-ren Personen im Auge behalten werden sollte.

vorname.vorname2.nachname+Exxx

volle Qualifizierung (ein-deutig)

vorname.vorname2.nachname

ohne Institutsbezeichnung(Achtung bei Kollision mitgleichnamigen Personenanderer Institute)

vorname.nachname+Exxx ohne 2. Vornamen (mit/ohne Institutsnummer)


v.v.nachname+Exxx alle Vornamen abgekürzt

v.nachname+Exxx ohne 2. abgekürztenVornamen

nachname+Exxx ohne Vornamen, aber mitInstitutsnummer, um dieEindeutigkeit zu anderenInstituten zu wahren.

Andere Varianten, speziell durch Weglassen der Insti-tutsnummer, sind zwar möglich, können aber wegen derGefahr einer fehlenden Eindeutigkeit nicht empfohlen wer-den. Bei den Institutsnummern sind auch die jeweiligenVarianten der übergeordneten Organisationseinheit ve-wendbar (sofern diese nicht unterschiedlich belegt sind),z.B. klasek+e020c oder klasek+e020, gottlob+e1842 odergottlob+e184.

Nicht mehr über das White Pages Service dargestellteEinträge werden im Mailrouting automatisch 6 Monatelang berücksichtigt. Das heißt, dass auch Lektoren, derenTätigkeit auf ein halbes Jahr beschränkt ist, trotzdem siein der nicht-aktiven Zeit via White Pages Web-Interfacenicht sichtbar sind, dennoch per E-Mail erreichbar blei-ben. Über allgemeine E-Mail-Adressen adressierte Perso-nen, die die TU verlassen haben, bleiben somit (sofernnichts anderes vereinbart oder durch einen weiteren Mit-arbeiter-Eintrag abgedeckt wurde) 6 Monate lang unterder bisherigen allgemeinen E-Mailadresse erreichbar.

Weitere nützliche Eigenschaften im Mailroutingsystem:

• Eine Funktions-E-Mail-Adresse leitet Nachrichten auto-matisch an alle Inhaber der Funktion weiter (sofern eineE-Mail-Zustelladresse beim jeweiligen Inhaber angege-ben ist). Existiert ein Mail-Attribut, wird jedoch nur noch

zu diesem Eintrag weitergeleitet und nicht mehr die Zu-stelladressen der Inhaber verwendet.

• Die Institutsadressierung der Form [email protected] möglich, wenn im Objekt der Organisationseinheit imMail-Attribut eine E-Mail-Adresse eingetragen ist.

• Wohlbekannte Funktionen und deren Adressierung fü[email protected]:

RektorDekan+Exx0 (nur für Fakultätsnummern)Sekretariat+ExxxAdressmanager+ExxxLeitung+ExxxLeiter, Leiterin, Vorstand

(kompatible aber nicht allgemein verfügbareFunktionen, die von den alten White Pagesübernommen wurden)

Referenzen

[1] Dokumentation White Pages Service:nic.tuwien.ac.at/services/white/

[2] Anmelden/Löschen von White Pages Adressmana-gern (Betriebsmittelansuchenformular Kommunika-tionsservices):nic.tuwien.ac.at/formulare/ansukom.pdf

[3] Yeong, W., Howes, T., and S. Kille, „LightweightDirectory Access Protocol“, RFC 1777, Performan-ce Systems International, University of Michigan,ISODE Consortium, March 1995:www.rfc-editor.org/rfc/rfc1777.txt


Zum Thema Spam:

Im Rahmen der Campus Software wird ein E-Mail-Filter-Programmfür Windows Plattformen angeboten.

Es löscht unerwünschte E-Mail direkt vom Server. Spam gelangt somit erst gar nicht indie „InBox“ Ihres Mailers. Es kann jederzeit geprüft werden, welche E-Mails gelöscht wur-den. Sie können Ihr gewohntes E-Mail-Programm normal weiter verwenden.

Weitere Informationen entnehmen Sie bitte unseren (neu gestalteten)Webseiten:

sts.tuwien.ac.at/css/

ZID PersonendatenbankGeorg Gollmann

Alle Abteilungen des ZID benötigen Personendaten, allerdings handelt es sich jeweils umunterschiedliche Teilmengen und Aspekte. Daher wurden die Bestände einzeln geführt undgepflegt. Durch die hohe Personenfluktuation ergibt sich aber ein sehr hoher Pflegeaufwand.Auch die Verbindung der einzelnen Datenbestände ist äußerst mühsam, da kein universellesIdentifikationsmerkmal existiert. Überdies hat bei manchen Diensten die Implementierung denaktuellen Anforderungen nicht mehr ganz entsprochen. Daher wurde von der Leitung des ZIDder Entschluss gefasst, die Personendatenhaltung auf eine einheitliche Basis zu stellen, auchwenn mit einem erheblichen Umstellungsaufwand zu rechnen war.


Datenfluss von und zur ZID Personendatenbank

Auswahl

Um Betriebsblindheit zu vermeiden, wurden externeFirmen für eine ausführliche Beratungs- und Ent-wurfsphase herangezogen. Letztendlich wurde entschie-den, den von der Abteilung Standardsoftware auf Basisdes Produktes GemStone/S betriebenen Anwendungsser-ver entsprechend zu erweitern.

Hintergrund

Von der Abteilung Standardsoftware wird seit 1993ein Object Application Server auf Basis von GemStone/S(www.gemstone.com/products/s/) betrieben. Ausgangs-punkt war die Verwaltung der Campussoftwarelizenzen(Zugriffsvergabe, Abrechnung). Mit den Jahren sind im-mer neue Funktionen übernommen worden. Ursprünglichals rein internes, auf X-Window basierendes Werkzeugvorgesehen, wurde der Server 1995 über WWW auch denKunden zugänglich gemacht. Damit war z.B. die online-Bestellung von Campussoftware möglich geworden. Mitdem Aufbau der Plattformunterstützung wurde 1999 einFallverfolgungssystem integriert. Dieses ist wiederum miteiner internen Urlaubs- und Krankenstandsevidenz ver-knüpft. Einge andere Funktionen: die Campuslizenzver-waltung speist die Kostenrechnung der Abteilung; einUmfragesystem erlaubt, in wenigen Stunden einen Über-blick über die Meinung unserer Kunden zu erhalten. Do-kumentation der Studentensoftwareverkäufe und eininternes Berichtssystem runden den Funktionsumfang ab.

Neue Funktionen

Kern der Erweiterungen ist der Import von Personal-und Studentendaten der Zentralen Verwaltung. Bei die-sem Vorgang werden zusammengehörige Personal- undStudenteneinträge konsolidiert, um die erwünschte ein-heitliche Sicht zu erhalten. Hier wird auch die Identifika-tionsnummer (object id, OID) vergeben. Die Datenwerden dann den anderen Benutzern im ZID zur Verfü-gung gestellt.

White Pages & Mailrouting

Die Darstellung der Daten erfolgt über einen eigenenRechner, um die Belastung der ZID Personendatenbankzu reduzieren und auch um die White Pages redundantbetreiben zu können. Die Änderungen erfolgen aber di-rekt in der ZID Personendatenbank, damit die Datenkon-sistenz sichergestellt ist. Sie werden dann sofort an denWhite Pages Server und den Mailrouter weitergeleitet.

Authentifizierung/Validierung

Die Authentifizierung ist in einem eigenen Artikel be-schrieben (Seite 35). Validierungsdaten werden auch fürdie Dienste VPN, ADSL, Dialin und Datentankstelle ge-halten. Die Validierung selbst wird für diese Services voneinem eigenen Server durchgeführt, der von Änderungenunmittelbar benachrichtigt wird.

TelekomZwischen der Telefonanlage und der ZID Personen-

datenbank erfolgt der Datenaustausch in beiden Richtun-gen, und zwar durch tägliche (besser: nächtliche) Trans-fers. An die Telefonanlage werden Personendaten über-geben, bezogen werden Telefonnummern und Raum-codes. Letztere werden mit den von der Zentralen Ver-waltung angebotenen Raumdaten verknüpft und fließenin die White Pages ein.

ZIDline VersandDie Verwaltung der Abonnementdaten für TU-interne

und externe Bezieher wurde ebenfalls in die ZID Perso-nendatenbank übernommen.

Datenmenge

Ein Abriss über die Anzahl einiger Objekte:

Organisationen 584

Mitarbeiter 5048

Studenten 17187

Räume 9000

Telefonnummern von Personen 3056

Rechner (nur SSW und PSS relevante) 1289

ASW & PSS Produkte 727

ASW & PSS Lizenzen 11436

Unterstützungsfälle 959

SSW Produkte 26

SSW Lizenzen 1080

Studentensoftwareverkäufe 29859

ASW ... Anwendungssoftware, PSS ... Plattformunterstützung,SSW ... Systemsoftware

Der Speicherbedarf beträgt rund 100 MB. Die Daten-menge ist also nicht sonderlich groß. Was die Problem-stellung interessant macht, sind die vielfältigenVerknüpfungen zwischen den einzelnen Objekten.

Hard- & Software

Server ist eine HP L1000 mit 2 360 MHz CPUs,768 MB Hauptspeicher und 4 8 GB Festplatten, die paar-weise gespiegelt sind. Eine bauähnliche Maschine dientfür Tests und als Reserve. Um bei Unbenutzbarkeit desMaschinenraums im Freihaus den Betrieb aufrechter-halten zu können (disaster tolerance), ist geplant, in ei-nem anderen Gebäude eine weitere – wenn auchleistungsschwächere – Maschine aufzustellen.

Die Softwareausstattung besteht aus HP/UX 11,GemStone 5.1.4, OpenSSL, einem selbstgeschriebenenFrontend, das GemStone mit OpenSSL verknüpft, SSHfür die Administrierung und SCP für Datentransfers.Nicht benötigte Protokolle wurden aus Sicherheitsgrün-den deaktiviert.


Pflege derPersonen- und InstitutsdatenJohann Klasek

In der ZID Personendatenbank laufen alle Änderungen an Personen- und Institutsdatenzusammen. Services wie etwa die White Pages repräsentieren dabei immer nur eine Sichtweiseauf den Datenbestand, ohne diesen selbst verändern zu können.

Zentrale Instanz bei der Datenwartung sind die vonden jeweiligen Instituten zu nominierenden

Adressmanager:

Geltungsbereich: Auf Institutsebene eingetragene Adress-manager können automatisch auch die Objekte der unter-geordneten Abteilungen manipulieren (das war bei denbisherigen White Pages nicht automatisch der Fall).Adressmanager auf Abteilungsebene sind in ihren Aktio-nen auf diesen Bereich beschränkt. Die Zuweisung bzw.Entfernung der Adressmanagerfunktion zu bzw. von ei-ner Person hat mit dem Betriebsmittelformular Kommu-nikationsservices (nic.tuwien.ac.at/formulare/ansukom.pdf)schriftlich zu erfolgen. Weiters hat sich in der Praxis alssehr vorteilhaft erwiesen, an einem Institut zumindestzwei Personen mit diesen Agenden auszustatten, um Fäl-le von Krankheit oder Urlaub optimal überbrücken zukönnen.

Authentifizierung: Entgegen der bisherigen Praxis imalten, nicht mehr existierenden Änderungsinterface miteinem speziellen, für die Adressmanagertätigkeit verge-benen Adressmanager-Passwort Modifikationen durchzu-führen, muss sich im neuen System der jeweiligeAdressmanager mit seinem persönlichen Passwort au-thentifizieren.

Modifikationen: Als Adressmanager fallen in derRegel folgende typische Änderungsaufgaben an:

• Weitere Mitarbeiter anlegen (über „Daten ändern“ aufder Übersichtsseite der Organisationseinheit) bzw. deak-tivieren oder reaktivieren. Z.B. ist die Selektion von derAuswahlbox „Mitgliedschaft nicht aktiv“ vorzunehmen,um den Eintrag in den White Pages unsichtbar zu ma-chen. Erreichbar bleibt ein Eintrag ohne aktiver Mitglied-schaft über die OID zusammen mit dem bekanntenAufbau der Änderungs-URL der ZID Personendaten-bank. Alternativ gelangt man auch mittels Hinzufügen ei-nes neuen Mitarbeiters (über die Organisationseinheit-Übersicht) zu einer Personalauswahl, wo deaktivierteEinträge ausgewählt werden können.

• Funktionen anlegen, ändern und entfernen: Personen(auch mehrere) können als Inhaber einer Funktion auf-scheinen. Damit ist in der Übersicht zur Organisations-einheit die entsprechende Funktion nach außen hinsichtbar und bietet überdies durch die Mailadressierung([email protected]) die Möglichkeit,konkrete Personen oder einen Personenkreis durch einenFunktionsbegriff zu adressieren.

• Behandlung der Einträge von Lektoren/Lehrbeauf-tragten: Alle, die nur einen auf 6 Monate beschränktenAuftrag besitzen, scheinen als Personal nur genau in dementsprechenden Zeitraum auf. Obwohl das Mailroutingfür diese Einträge durch die implizite 6-monatige Über-brückung gewahrt bleibt, können diese Personen durchAnlegen eines korrespondierenden „weiteren Mitarbei-ter“ Eintrags in den White Pages permanent dargestelltwerden (siehe „Benachrichtigungen“ weiter unten).

• Warten des Instituts-/Abteilungseintrags: Eintragungenwie URLs, Mailadressen (erreichbar unter [email protected], siehe Mailrouting, Seite 14), weitere Infor-mationen, FAX-Nummer und Postanschrift können bzw.sollten aktuell gehalten und erweitert werden.

Hinweis: Einträge von Personen, die über Zuteilungenzu anderen Instituten (Lehrauftrag) verfügen, könnenauch vom Adressmanager des jeweils anderen Institutsmodifiziert werden, was bei der angezeigten Auswahl anAdressmanager-Personen im ZID Personendatenbank Än-


ZID

Personendatenbank

White Pages

Personen-

& Institutsdaten

"Daten ändern"

Mailrouting

Authentifizierung

@

derungsinterface zu Verwirrungen führen könnte. Dieentsprechenden Adressmanager scheinen bei der Ein-stiegsmaske in der Personenauswahl auf, die sich aberstets dynamisch aus den Institutszugehörigkeiten der be-treffenden Person ergibt.

Einschränkungen: Typischerweise ist ein Adressma-nager durch diverse Datenverantwortlichkeiten an gewis-se Einschränkungen gebunden:• Namensdaten: Änderung von Namensdaten (inkl. Titel)

bei Personen mit mehreren Rollen und Datenverantwort-lichkeit bei der Zentralen Verwaltung ist nicht möglich.Das kommt bei den Rollenkombinationen „weitere Mitar-beiter“-Student oder „weiterer Mitarbeiter“-Personal vor.

• Passwort: Ein Adressmanager darf das Passwort einerPerson nicht setzen, wenn in deren Eintrag „Passwortvom Adressmanager setzen lassen“ nicht selektiert wor-den ist. Die Vorgabeeinstellung erlaubt jedoch demAdressmanager die Passwortänderung. Im Anlassfallmuss der ZID bemüht werden, um ein z.B. vergessenesPasswort zu ersetzen.

• TU-Telefonnummern: TU-Telefonnummern (die imPersonalverzeichnis aufscheinen) werden automatischaus der Telefonanlage abgeleitet und der ZID Personen-datenbank zugeführt. Daher sind Änderungen durch ent-sprechende Anträge an die Telekom-Gruppe des ZIDabzuwickeln (Formular Telefonanschluss bzw. Telefon-bucheintrag).

• Raumcode: ein eventuell vorhandener Raumcode stammtaus der Telefonanlage, wo aufgrund der technischen Ge-gebenheiten lediglich genau eine Raumbezeichnung (derHauptnummer bei eventuell mehreren Nummern) zuge-ordnet ist. Unter Umständen handelt es sich dabei auch nurum den Gebäudecode (z.B. bei DECT-Apparaten). DieRaumcodes sind mit den Daten des TU-Flächenmanage-ments abgeglichen. Ist eine Beschreibung erwünscht, dieüber die prägnante Raumcodedarstellung hinausgeht, sosollte diese im Feld „weitere Informationen“ eingefügtwerden.

Benachrichtigungen: Änderungen bei Personen, spe-ziell die Beendigung eines Dienstverhältnisses, werdenper E-Mail den Adressmanagern gemeldet. Personen, dieden Personalstatus verloren haben, können als weitereMitarbeiter vom Adressmanager wieder aktiviert werden(Deselektierung von „Mitgliedschaft nicht aktiv“). EineLöschung findet in erster Linie nicht statt. Die Einträgewerden mindestens 6 Monate aufgehoben und bleiben indieser Zeit für das Mailrouting aktiv. Bei einer Reakti-vierung des Dienstverhältnisses (z.B. bei Lehrbeauftrag-ten) werden diese Personen automatisch mit den zuletzteingetragenen Attributen wieder sichtbar. Damit bleibtauch die OID unverändert, wodurch die Eindeutigkeit ei-ner White Pages Referenz erhalten bleibt.

ZID „Meta-Adressmanager“:

Die Adressmanager werden per Antrag (siehe Formula-re auf den ZID-Webseiten) durch die Leitung eines Insti-tuts oder einer Organisationseinheit eingesetzt. Die Meta-Adressmanager sorgen für das Eintragen und Löschen derAdressmanager-Zuordnung zu den konkreten Personen. Indringenden Fällen, wo kein Adressmanager existiert oderverfügbar ist, kann das Neusetzen des White Pages Pass-wortes für eine Person von dieser schriftlich via Betriebs-mittelformular Kommunikationsservices beantragt werden(am Besten mit einer entsprechenden Anmerkung, dass daspersönliche Passwort gemeint ist, was normalerweise auchaus der Tatsache ableitbar wäre, wenn keine Unterschriftdurch den Institutsvorstand vorhanden ist).

Hinweis: Das generelle Modifizieren von Personen-oder Institutseinträgen ist durch die Meta-Adressmanagernicht möglich. Die Änderungsmöglichkeit beschränktsich auf das Setzen des Passwortes (via schriftlichen An-trag, Betriebsmittelformular Kommunikationsservices).

Probleme und Fragen kann man an die im Web-Inter-face bereitgestellte Kontakt-E-Mail-Adresse senden, diediese an den relevanten Personenkreis verteilt.


Authentifizierungsservice, Informationen zur UmstellungDie White Pages der TU Wien wurden strukturell auf einevöllig neue Basis gestellt. Wenn Sie an Ihrem Institut Ap-plikationen unterhalten, in denen die Validierung derUser über die Passworte der alten White Pages mittelsLDAP abgewickelt werden, so müssen Sie diese Appli-kationen auf das neue Authentifizierungsservice umstel-len, welches Ihnen den Zugriff auf die Passworte derneuen White Pages ermöglicht.

Diese Umstellung muss bis September 2003 abgeschlos-sen sein, danach wird das alte LDAP-Service unterwp.tuwien.ac.at nicht mehr zu Verfügung stehen.

Technisch gesehen wird der LDAP-Mechanismus durcheinen https-Mechanismus ersetzt, Informationen darüberfinden Sie auf Seite 35 in dieser ZIDline sowie untermacos.tuwien.ac.at/Authentifizierung.html

Ich lade Sie herzlich ein, mit uns Kontakt aufzunehmen(E-Mail:[email protected]), damit wir Ihnen

die Authentifizierungsprozeduren erklären bzw. Ihnenbei der Analyse der notwendigen Umstellungsmaßnah-men behilflich sein können.

Ich ersuche Sie, uns im jeden Fall mitzuteilen, wenn Siedurch Applikationen von diesen Umstellungen betroffensind, da wir keinen vollständigen Überblick über all dieApplikationen haben, die im Lauf der Zeit an den Institu-ten entwickelt wurden und die die Validierung über dieWhite Pages Passworte abgewickelt haben.

Geben Sie bitte diese Informationen an die Verantwortli-chen der angesprochenen Applikationen weiter bzw. set-zen Sie sich mit den Firmen in Verbindung, die dieseApplikationen entwickelt haben bzw. die sie betreiben.

Für weitere Auskünfte stehe ich gerne zur Verfügung.

Albert [email protected], Tel.: 58801-42020

Reif für die Insel?Wie weit ist Java?Franz Franchetti, Christoph Ortner, Christoph ÜberhuberInstitut für Angewandte und Numerische Mathematik, TU Wien

Längst hat Java den Ruf verloren, langsam zu sein [13]. Ob es jedoch bereits für das numerischeRechnen im Bereich technisch-naturwissenschaftlicher Anwendungen geeignet ist, wurde amInstitut für Angewandte und Numerische Mathematik der TU Wien untersucht [6, 7]. Als Basisdieser Studien dienten sowohl selbst geschriebene numerische Programme als auch fertigenumerische Software. In beiden Fällen wurden die Java-und C-Varianten hinsichtlich ihrerGleitpunktleistung (Performance) untersucht. Die Ergebnisse haben sich als vielversprechend,wenn auch nicht als spektakulär erwiesen.

Warum Java?

Java war ursprünglich für die Software-Entwicklungim Bereich elektronischer Geräte gedacht und sollte ne-gative Eigenschaften von C bzw. C++ vermeiden. Dieprimären Ziele waren Plattformunabhängigkeit, einfacheAnwendbarkeit und Zuverlässigkeit.

Besonders die Eigenschaft der Plattformunabhängig-keit macht Java zu einem sehr interessanten Werkzeugfür viele Anwendungen, allerdings erfordert dies die Ver-wendung von potentiell langsamen Virtual Machines(VMs). Spezielle VM-Technologien wie Just-in-Time-(JIT) Übersetzung ermöglichen es, Java-Programme zuschreiben, die fast so schnell sind wie C-Programme.

Weitere Vorteile von Java sind beispielsweise die au-tomatische Garbage Collection (erleichtert die Speicher-verwaltung), in die Sprache integriertes Exception-handling, integriertes Multi-threading und – ebenfallsvon enormer Bedeutung für das numerische Rechnen –Netzwerksicherheit und umfangreiche standardisierteKommunikationsbibliotheken. Diese Eigenschaften ma-chen Java zu einem vielversprechenden Werkzeug fürParallelrechner und verteilte Systeme.

Warum nicht Java?

Als relativ junge Programmiersprache hat Java nocheinige Schwächen, die erst behoben werden müssen, be-vor es in echte Konkurrenz zu C/C++ und Fortran tretenkann. Das größte Hindernis für den Einsatz im technisch-naturwissenschaftlichen Bereich ist die bisher unbefriedi-gende Performance (Gleitpunktleistung) von Java-Pro-grammen, die bis zu einem Faktor 100 langsamer sein

konnten als äquivalente C-Programme. Die Just-in-Time-Compiler verringerten diesen Rückstand beträchtlich,aber Java-Programme erreichen noch immer nicht dieLeistung von C- oder Fortran-Programmen. Einige derGründe dafür werden in der folgenden Aufstellung kurzangesprochen.

• Das Java-Klassenmodell, das ein grundlegender Be-standteil des „Java-Konzepts“ ist, verursacht einen rela-tiv hohen Overhead. In vielen Situationen würden„abgespeckte Klassen“, so genannte „Lightweight-Klas-sen“ benötigt, die diesen Overhead verringern und damiteine bedeutend höhere Gleitpunktleistung ermöglichen.

• Das Fehlen des Datentyps complex in der Sprachdefi-nition von Java ist für viele technisch-naturwissenschaft-liche Anwendungen ein wesentlicher Mangel. Um dasFehlen dieses Datentyps zu kompensieren, gibt es in Javaentweder die Möglichkeit, eine Klasse Complex selbstzu definieren, das führt aber zu Ineffizienzen (siehe vor-hergehender Punkt), oder die komplexen Rechnungenvollständig in reeller Arithmetik zu implementieren, waszu einem signifikant gesteigerten Programmieraufwandund zu fehleranfälligen, schlecht lesbaren und schlechtwartbaren Programmen führt.

• Java verbietet die Verwendung leistungssteigernder Fea-tures moderner Gleitpunkt-Hardware wie Fused-multi-ply-add- (FMA) Instruktionen oder (SIMD-) Vektor-operationen. Der Grund dafür liegt in der Java-Spezifika-tion, die eine exakte Reproduzierbarkeit der Rechener-gebnisse verlangt. Das heißt, auf jedem System mussman bei Durchführung bestimmter Rechenabläufe jeder-zeit exakt dasselbe numerische Ergebnis erhalten. DieseForderung verhindert Leistungssteigerungen um signifi-kante Faktoren.


An der Behebung der meisten dieser negativen Eigen-schaften von Java wird bereits intensiv gearbeitet. Bei-spielsweise wird nach Möglichkeiten gesucht, die Java-Spezifikation um eine Bibliothek für Methoden der Nu-merischen Linearen Algebra zu erweitern. Eine anderewichtige, bereits geplante Änderung wurde vorüberge-hend leider gestoppt – die Einführung des Schlüsselwortsfastfp, welches für die Verwendung beliebiger numeri-scher Hardware gedacht war.

Wie bereits erwähnt, enthält diese Liste nur Kritik-punkte an Java, die für die Gleitpunktleistung technisch-naturwissenschaftlicher Programme relevant sind. Detail-lierte Informationen findet man z.B. in [2, 4, 5, 9, 10, 11,12].

Java vs. C – FFT-Algorithmen

Dass Java-Programme nicht mehr langsam sind siehtman deutlich in Abb. 1, wo Java im In-cache-Fall bis zu75 % der Leistung von C erreicht. Den Leistungskurvendieser Abbildung liegt ein Experiment zugrunde, wo (imGegensatz zum Experiment des folgenden Abschnitts) dieGleitpunktleistung völlig äquivalenter Radix-4-FFT-Codes (siehe Van Loan [16]) gemessen wurde. Getestetwurde mit Virtual Machines von Sun und IBM sowie mitdem Visual C-Compiler von Microsoft auf einem PC mitPentium-4-Prozessor (1800 MHz) und 256MB RD-RAM.

Bei diesem FFT-Leistungstest erreichte die VirtualMachine von IBM [8] fast durchwegs 75 % der Leistungvon C. Auch die Virtual Machines von Sun [15] und Mi-crosoft lieferten eine durchaus zufriedenstellende Gleit-punktleistung. Interessanterweise scheint der ExcelsiorJet Compiler, der (ohne eine Virtual Machine zu verwen-den) ausführbare Dateien erstellt, keinen Vorteil gegen-über den anderen Systemen zu bieten. Besondersauffallend ist die Tatsache, dass im Out-of-cache-Bereichalle Java-Plattformen sehr nahe an die Leistung des C-Vergleichsprogramms herankommen. Dieses Bild ist ty-pisch für Vergleiche von Java und C auf Prozessoren derPentium-4-Familie.

Bei Verwendung eines anderen Speicher-Layouts(split statt interleaved) ist es sogar möglich, dass Java-

Programme im Out-of-cache-Fall um 10 % schneller sindals das entsprechende C-Programm.

Die Ergebnisse auf einem PC mit Athlon XP-Prozes-sor (der ein anderes Speicher-Subsystem als der Pentium4 besitzt) fielen weniger vorteilhaft für Java aus, warenaber noch akzeptabel. Die Gleitpunktleistung der VirtualMachine von IBM liefert dort etwa die halbe Gleitpunkt-leistung des entsprechenden C-Programms.

Java vs. C – Algorithmen der LinearenAlgebra

Im Rahmen eines anderen numerischen Experimentswurden existierende Java-Software-Pakete aus dem Be-reich der Numerischen Linearen Algebra verglichen [7].Als Basis des Vergleichs dienten CLAPACK [1] undCATLAS [3].

Hier ergab sich ein anderes Bild als bei dem FFT-Ex-periment. Java-Software erreichte auch hier etwa dieHälfte der Gleitpunktleistung des „Standardpakets“ CLA-

PACK, allerdings existiert mit CATLAS die Möglichkeit,noch deutlich höhere Leistungswerte zu erzielen, die der-zeit mit Java nicht annähernd erreichbar sind. Dies liegtdaran, dass CATLAS spezielle maschinenspezifische Opti-mierungen durchführt, die es weder bei CLAPACK nochbei den verschiedenen Java-Versionen gibt.

Getestet wurde mit Programmen für die Matrizenmul-tiplikation, LU- und Cholesky-Faktorisierung, sowohl inreeller als auch in komplexer Arithmetik. Die verwendeteVirtual Machine war auch hier JDK 1.2.2 von IBM unterWindows, der C-Code wurde unter Linux mit dem GNUC-Compiler kompiliert. Das Testsystem war ein PC miteinem Prozessor vom Typ AthlonXP 1800+ (1533 MHz)und 768 MB DDR-SDRAM.

Die Java-Leistung für die komplexen Berechnungenmit CLAPACK ist konsistent mit den Resultaten der FFT-Studie: JAMPACK konnte bei der Matrizenmultiplikation80 % der Leistung von CLAPACK erreichen. Auch bei derLU- und der Cholesky-Faktorisierung konnten ähnlichgute und teilweise sogar noch bessere Ergebnisse erzieltwerden.


��

��

��

�� !"�

�# $%�

��

��

��

��

��

��

��

��

��

��

��

��

��

�

Abbildung 1: Gleitpunktleistung einer einfachen Radix-4-FFT-Routi-ne in C und unter verschiedenen Java-Plattformen (alle unter Win-dows 2000) auf einem PC mit Pentium-4-Prozessor (1800 MHz)und 256MB RD-RAM.

��

��

��

��

��

��

��

��

��

��

��

��

�

Abbildung 2: Gleitpunktleistung der LU-Faktorisierung mit verschie-denen Java-Programmpaketen (IBM Jdk 1.2.2, WindowsXP) und C(gcc, Linux) auf einem PC mit AthlonXP 1800+ (1533 MHz) und768MB RAM.

Der Umfang jener Java-Programmbibliotheken, dievertretbare Performance liefern, erreicht derzeit nochnicht den Umfang von LAPACK. Das einzige Java-Paket,welches alle einschlägigen Routinen enthält, liefert eineso schlechte Gleitpunktleistung, dass es bei den Testsausgeklammert wurde [7].

Folgerungen

Die Frage, ob Java für die Entwicklung technisch-na-turwissenschaftlicher Software verwendet werden soll, istim Augenblick eher noch zu verneinen. Allerdings entwi-ckelt sich Java äußerst schnell und wird vermutlich baldin direkte Konkurrenz zu C und Fortran treten können.Mit dem Erscheinen neuer, Java-spezifischer, effizienternumerischer Software wird sich schon bald eine Situationergeben, wo Java eine ernst zu nehmende Alternative zuFortran und C darstellt.

Der Hauptvorteil von Java gegenüber anderen Spra-chen – eine nahezu vollständige Plattformunabhängigkeit– garantiert, dass es spätestens nach dem Beseitigen nochvorhandener Schwächen eine attraktive Programmierspra-che für technisch-naturwissenschaftliche Problemlösun-gen darstellen wird.

Literatur

[1] E. Anderson, Z. Bai, C. Bischof, J. Demmel, J.J.Dongarra, J. Du Croz, S. Hammarling, A. McKen-ney, S. Ostrouchov, D.C. Sorensen: LAPACK User’sGuide. SIAM Press, Philadelphia, 3rd ed., 1999.

[2] P.V. Artigas, M. Gupta, R.D. Lawrence, S.P. Mid-kiff, J.E. Moreira, M. Snir: Java Programming forHigh-performance Numerical Computing. IBM Sys-tem Journal, 39(1): pp. 21–56, 2000.http://www.research.ibm.com/journal/sj/391/moreira.html

[3] ATLAS.http://math-atlas.sourceforge.net/

[4] J. D. Darcy, W. Kahan: How Java’s Floating-PointHurts Everyone Everywhere.http://www.cs.berkeley.edu/~wkahan/JAVAhurt.pdf

[5] J. D. Darcy, W. Kahan: Analysis of Proposal forExtension to Java Floating-Point Semantics, Revi-sion 1.

http://www.sonic.net/~jddarcy/Research/jgrande.pdf

[6] F. Franchetti, C. Ortner, C. W. Ueberhuber: Java vs.C – A Performance Assessment Based on FFT Al-gorithms. Technical Report AURORA TR2001-20,Institute for Applied Mathematics and NumericalAnalysis, Vienna University of Technology, 2001.ftp://ftp.par.univie.ac.at/projects/aurora/reports/auroratr2001-20.ps.gz

[7] F. Franchetti, C. Ortner, C. W. Ueberhuber: Perfor-mance of Linear Algebra Routines in Java and C.Technical Report AURORA TR2002-06, Institutefor Applied Mathematics and Numerical Analysis,Vienna University of Technology, 2002.ftp://ftp.par.univie.ac.at/projects/aurora/reports/auroratr2002-06.ps.gz

[8] IBM Developer Works.http://www-106.ibm.com/developerworks/

[9] Java Grande Forum.http://www.javagrande.org/

[10] Java Numerics.http://math.nist.gov/javanumerics/

[11] B. Joy: The Design of the Java Language: Towardsa Science of Reliable Programming, 1999.www.cs.ucsb.edu/conferences/java99/slides/81-joy.ppt

[12] S. Midkiff, J. Moreira: A Comparison of Java, C/C++, and Fortran for Numerical Computing. IEEEAntennas and Propagation Magazine, 40(5): pp.102–105, 1998.

[13] J. Moreira, S. Midkiff, M. Gupta: From Flop to Me-gaflops: Java for Technical Computing. ACMTransactions on Programming Languages and Sys-tems, 22(2): pp. 265–295, 2000.

[14] Sun’s Java Homepage.http://java.sun.com/

[15] C.F. Van Loan: Computational Frameworks for theFast Fourier Transform. SIAM Press, Philadelphia,1992.


Digitale ForensikAus der Analysevon Systemeinbrüchen lernenAlexander Geschonneck 1

Fast jede Organisation wurde bereits mit der Frage eines erfolgreichen Systemeinbruchskonfrontiert. Auch Privatpersonen, die sich mit ihrem PC mit dem Internet verbinden, beschleichtzuweilen ein diesbezügliches unsicheres Gefühl. Die wenigsten sind gut darauf vorbereitet. Willman Sicherheitsprobleme vermeiden oder ermitteln, ob noch andere Systeme der eigenenUmgebung Opfer eines Angriffs geworden sind, ist es sinnvoll so genannte forensischeUntersuchungen durchzuführen. Hierbei geht es u.a. darum, herauszufinden, ob ein Angreiferwirklich erfolgreich war, welchen Weg der Angreifer genommen und welche Systemlücken zudiesem Einbruch geführt haben könnten. Das Internet und aktuelle IT-Publikationen sind voll vonTipps und Tricks zum Absichern von Systemen und Kommunikationswegen, viele Dinge werdenvon den Administratoren umgesetzt, dennoch kommt es zu Einbrüchen.

Dieser Artikel soll dem technisch versierten Administrator einen ersten Überblick geben, welcheMaßnahmen sinnvoll sind und welche Werkzeuge zur Verfügung stehen. Wer aber nicht weiß, waser da gerade tut, sollte lieber die eigenen Finger von solchen Untersuchungen lassen, da sonstwichtige Beweise vernichtet werden oder das eigene System gänzlich unbrauchbar gemachtwerden kann.

Forensische Untersuchungen finden in der Regel dannstatt, wenn es ernst zu nehmende Hinweise auf erfolgteoder gerade ablaufende Angriffe auf die eigene System-landschaft gibt. Überdurchschnittlich hoher Netzverkehrin das eigene Netz hinein oder aus dem eigenen Netz he-raus, sowie eine ungewöhnlich hohe Anzahl von Fire-wall-Regelverstößen (besonders ausgehend) sollten denVerdacht des Administrators wecken. Natürlich sind hierauch die Ergebnisse von Intrusion Detection- oder Audi-ting-Systemen heranzuziehen. Weiterhin sollte man auf-merksam werden, wenn sich Anwender über unge-wöhnlich hohe Systemlast oder „plötzlich“ beendeteDienste auf einem System beschweren. Finden sich zu-sätzlich unbekannte Userkennungen, Dateien oder Pro-

zesse auf diesem Server, sollten auch hier weitergehendeUntersuchungen gestartet werden.

Hat ein Angreifer ein Rootkit installiert, das System-befehle austauscht und damit verdächtige Aktivitäten ver-steckt, ist den Informationen, die dem kompromittiertenSystem entnommen werden können, allerdings keinGlauben mehr zu schenken.

Viele Organisationen erfahren auch von externenQuellen, dass sie höchstwahrscheinlich Opfer eines An-griffes geworden sind. Diese externen Quellen sind zumBeispiel die eigenen Kunden und Geschäftspartner, Straf-verfolgungsbehörden, die Presse, externe Computer Inci-dent Response Teams oder Intrusion Mapping Systeme(z.B. www.dshield.org).


1 Alexander Geschonneck ist seit 1998 als Senior Security Consultant bei der HiSolutions AG für eine Vielzahl technischer und organisatorischerSicherheitsanalysen verantwortlich. Privat betreibt er unter http://geschonneck.com eine Security Informationssammlung.

IDS-Syslog-MeldungNov 7 23:11:06 victim snort[1260]: RPC Info Query: 216.216.74.2:963 -> 172.16.1.107:111Nov 7 23:11:31 victim snort[1260]: spp_portscan: portscan status from 216.216.74.2: 2 connectionsacross 1 hosts: TCP(2), UDP(0)Nov 7 23:11:31 victim snort[1260]: IDS08 - TELNET - daemon-active: 172.16.1.101:23 ->216.216.74.2:1209Nov 7 23:11:34 victim snort[1260]: IDS08 - TELNET - daemon-active: 172.16.1.101:23 ->216.216.74.2:1210Nov 7 23:11:47 victim snort[1260]: spp_portscan: portscan status from 216.216.74.2: 2 connectionsacross 2 hosts: TCP(2), UDP(0)Nov 7 23:11:51 victim snort[1260]: IDS15 - RPC - portmap-request-status: 216.216.74.2:709 ->172.16.1.107:111Nov 7 23:11:51 victim snort[1260]: IDS362 - MISC - Shellcode X86 NOPS-UDP: 216.216.74.2:710 ->172.16.1.107:871

IDS-Mitschnitt des RPC-Angriffs:11/07-23:11:50.870124 216.216.74.2:710 -> 172.16.1.107:871UDP TTL:42 TOS:0x0 ID:16143Len: 4563E D1 BA B6 00 00 00 00 00 00 00 02 00 01 86 B8 >...............00 00 00 01 00 00 00 02 00 00 00 00 00 00 00 00 ................00 00 00 00 00 00 00 00 00 00 01 67 04 F7 FF BF ...........g....04 F7 FF BF 05 F7 FF BF 05 F7 FF BF 06 F7 FF BF ................06 F7 FF BF 07 F7 FF BF 07 F7 FF BF 25 30 38 78 ............%08x20 25 30 38 78 20 25 30 38 78 20 25 30 38 78 20 %08x %08x %08x25 30 38 78 20 25 30 38 78 20 25 30 38 78 20 25 %08x %08x %08x %30 38 78 20 25 30 38 78 20 25 30 38 78 20 25 30 08x %08x %08x %038 78 20 25 30 38 78 20 25 30 38 78 20 25 30 38 8x %08x %08x %0878 20 25 30 32 34 32 78 25 6E 25 30 35 35 78 25 x %0242x%n%055x%6E 25 30 31 32 78 25 6E 25 30 31 39 32 78 25 6E n%012x%n%0192x%n90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 ................90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 ................90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 ................90 90 EB 4B 5E 89 76 AC 83 EE 20 8D 5E 28 83 C6 ...K^.v... .^(..20 89 5E B0 83 EE 20 8D 5E 2E 83 C6 20 83 C3 20 .^... .^... ..83 EB 23 89 5E B4 31 C0 83 EE 20 88 46 27 88 46 ..#.^.1... .F’.F2A 83 C6 20 88 46 AB 89 46 B8 B0 2B 2C 20 89 F3 *.. .F..F..+, ..8D 4E AC 8D 56 B8 CD 80 31 DB 89 D8 40 CD 80 E8 [email protected] FF FF FF 2F 62 69 6E 2F 73 68 20 2D 63 20 65 ..../bin/sh -c e63 68 6F 20 34 35 34 35 20 73 74 72 65 61 6D 20 cho 4545 stream74 63 70 20 6E 6F 77 61 69 74 20 72 6F 6F 74 20 tcp nowait root2F 62 69 6E 2F 73 68 20 73 68 20 2D 69 20 3E 3E /bin/sh sh -i >20 2F 65 74 63 2F 69 6E 65 74 64 2E 63 6F 6E 66 /etc/inetd.conf3B 6B 69 6C 6C 61 6C 6C 20 2D 48 55 50 20 69 6E ;killall -HUP in65 74 64 00 00 00 00 09 6C 6F 63 61 6C 68 6F 73 etd.....localhos74 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 t...............00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................

Abbildung 1:Klassischer Ablauf: Portscan, RPC-Probe, Systemidentifikation auf Telnet-Port und dann Angriff auf den gefundenen Portmapper,

Versuch der Installation einer Root-Shell auf Port 4545 (Daten von http://project.honeynet.org/).

Die ersten Schritte bei der Analyse eines Sicherheits-vorfalles können entscheidend sein für die Qualität desUntersuchungsergebnisses. Macht man hier Fehler, kön-nen entweder wichtige Beweise zerstört oder deren Ver-wendung bei der strafrechtlichen Verfolgung erheblicheingeschränkt werden. Das Untersuchungsteam sollte soklein wie möglich sein, die Mitglieder namentlich be-nannt werden. Für dieses Team oder den konkreten Vor-fall sollte es einen Koordinator geben. Zu Beginn derAnalyse sollte ein Protokoll angefertigt werden, in demalle durchgeführten Schritte zu vermerken sind. Mitunterkommt es bei der Bewertung der Untersuchungsergebnis-se vor Gericht auf jedes einzelne Detail an. Jeder Schritt,der zu einer weiteren Erkenntnis führt, muss durch einezweite Person bezeugt werden.

Ein wichtiger Grundsatz ist, dass man Änderungen amOriginalsystem so weit wie möglich vermeidet. Sobaldder Verdacht eines Sicherheitsvorfalles besteht, sollte imRahmen der aktuellen Situation jede weitere normale Ar-beit am System beendet werden. Zu beachten ist, dass einübereiltes Ausschalten des Systems wichtige Hinweiseüber den aktuellen Zustand des Systems vernichten kann.Ein Entfernen des betroffenen Systems vom Netzwerk isthier sinnvoller.

Zu beachten ist auch, dass eine erweiterte Datenana-lyse mit den nachfolgend beschriebenen Zusatzwerkzeu-

gen nur an einer Kopie des kompromittierten Systemsdurchgeführt werden sollte. Die Gefahr der Zerstörungessentieller Beweise ist zu groß. Aus diesem Grund soll-ten die Daten zunächst gesammelt und erst später analy-siert werden. Um im Nachhinein eine Unversehrtheit derDaten nachweisen zu können, sollte man SHA1- oderMD5-Prüfsummen erzeugen. Tools wie grave-robber, au-topsy und IRCR erstellen diese Prüfsummen automatisch.

Die Daten sollten in der Reihenfolge ihrer Halbwerts-zeit gesichert werden. Als erstes ist hier der Inhalt desCaches zu nennen, dann folgen die Sicherung des Haupt-speicherinhaltes, Informationen über den Netzwerkstatus(offene Ports, aktive Verbindungen, gerade beendeteVerbindungen etc.) und laufende Prozesse (alle Informa-tionen: Mutterprozesse, Eigentümer, Prozessorzeiten,Aufrufparameter etc.). Wichtig ist auch der Inhalt desproc-Filesystems, da sich hier die Binaries der laufendenProgramme befinden. Wenn ein Programm nach demStart gelöscht wurde, kann man es dort finden (Beispiel:# /mnt/cdrom/forensic/bin/cat /proc/PID/exe

> filename).

Zum Schluss werden vom betroffenen System die In-formationen der Festplatten gesichert. Dieses kann so-wohl offline, als auch online geschehen. Gesichertwerden sollte mit dem Unix-Tool dd (unter http://www.sans.org/webcasts/dd/index.htm auch für Windows


verfügbar), da damit ein bitweises Kopieren möglich ist.Bei einer Sicherung auf Dateiebene würden viele wichti-ge Informationen verloren gehen. Die Sicherung kann –wenn genug Platz auf einem zusätzlichen Datenträgervorhanden ist – sowohl lokal, als auch über das Netz ge-schehen. Hierbei ist zu beachten, dass der Status des Sys-tems bei beiden Sicherungsweisen verändert wird. Diesessollte man bei der Auswertung der gewonnenen Informa-tionen im Hinterkopf behalten. Die Art und Weise derDatensicherung sollte deswegen dokumentiert werden.

Unter einem Unix-Betriebssystem stehen einem Ana-lysten viele Möglichkeiten zur Verfügung, um einen ak-tuellen Status der laufenden Umgebung zu erfassen.Solche Befehle sind z.B. last, who, ps, netstat, arp undlsof. Lsof bewährt sich häufig, wenn es darum geht, he-rauszufinden, welche Dateien von welchem Prozess ge-öffnet sind. Lsof ist dabei nicht nur auf „normale“Dateien eingeschränkt. Es können sowohl Informationenüber Block- und Character-Devices, als auch über Libra-ries, Streams oder Netzwerkdateien abgefragt werden.Lsof befindet sich aber nicht im Lieferumfang aller Unix-Systeme.

Die verwendeten Tools sollten vorher auf sauberenSystemen kompiliert und auf sauberen Medien gespei-chert werden, da die auf dem kompromittierten Systembefindlichen Tools höchstwahrscheinlich vom Angreiferausgetauscht wurden. Für die post mortale Analyse lassensich u.a. spezielle Linux-Distributionen wie Trinux (http://www.trinux.org), Biatchux (http://biatchux.sourceforge.net) oder Knoppix (http://www.kopper.net) verwenden, dasie komplett von Floppy oder CD-ROM gebootet werdenkönnen. Biatchux bietet zusätzlich die Möglichkeit, daszu untersuchende System noch zur Laufzeit mit statischvorkompilierten Binaries zu untersuchen. Systembefehlefür Solaris, Linux und Windows sind bereits enthalten.Bei der Verwendung der bootbaren Linux-Distributionenist aber darauf zu achten, dass eventuell vorhandene loka-le Swap-Partitionen nicht verwendet werden, da sich dortmitunter noch Hinweise finden lassen.

Einige Zusatzwerkzeuge helfen dem geübten Spezia-listen, einem gehackten System wertvolle Informationenzu entlocken:

The Coroners Toolkit (TCT) von Dan Farmer undWietse Venema (www.porcupine.org/forensics/tct.html)liefert Kommandozeilentools, die die post mortale Unter-suchung eines Unix-Systems ermöglichen. Es ermöglichtauch die Analyse von Inodes oder ganzen Blöcken vonufs- und extfs-Dateisystemen:

• grave-robber: Sammelt von einem aktiven Systeme allewichtigen Informationen zur weiteren Analyse. Es kannaber auch nachträglich (mit einigen Einschränkungen)mit einem Image verwendet werden. Zusätzlich erhältman eine Übersicht aller auf dem System befindlichenDateien.

• pcat: Zeigt den Hauptspeicherinhalt eines laufenden Pro-zesses an. Auch wenn das zugehörige Programm nachdem Start gelöscht wurde, kann man hier noch aussage-kräftige Ergebnisse erhalten.

• icat: Zeigt den Inhalt von Inodes an.

• ils: Alle Informationen über nicht allokierten Inodes ei-ner Partition können angezeigt werden.

• unrm: Speichert alle nicht allokierten Blöcke einer Parti-tion in eine Datei.

• lazarus: Ermöglicht das teilweise Zusammensetzen vonDateien aus Images mit gelöschten Blöcken. Diese Ima-ges können mit unrm erstellt werden.

• mactime: Analyse von Zugriffszeiten in einem definier-baren Zeitraum

TCTUTILs von Brian Carrier (http://www.cerias.purdue.edu/homes/carrier/forensics oder in der neueren Version1.50 als TASK [The @stake Sleuth Kit] unter http://www.atstake.com/research/tools/task/) ergänzt das TCTum weitere Systemanalyse-Tools für die Untersuchungkompromittierter Dateisysteme:

• iIstat: Zeigt alle vorhandenen Informationen und Datenzu einem Inode an.

• fls: Erweitert das TCT um die Möglichkeit, eine Liste al-ler Dateien und Verzeichnisse mit Zugriffszeiten undkurz vorher gelöschten Dateien zu erstellen.

• bcat: Gibt den Inhalt eines Blocks in ASCII, HTML oderHEX aus.

Der Autopsy Forensic Browser, ebenfalls von BrianCarrier, (http://www.cerias.purdue.edu/homes/carrier/forensics bzw. in der neueren Version 1.60 unter http://www.atstake.com/research/tools/autopsy/) ist ein HTML-Interface, das die Tools aus TCT und TCTUTILs mitStandard Unix Werkzeugen (strings, md5sum, grep etc.)wirkungsvoll verbindet. Ein kompromittiertes Dateisys-tem kann als Image oder auf Block- bzw. Inode-Ebeneuntersucht werden. Autopsy enthält keine eigenen Foren-sic-Tools, sondern fasst Werkzeuge anderer Pakete sinn-voll zusammen.


Abbildung 2:Biatchux: „saubere“ Solaris, Win32 und Linux Binaries

zuzüglich einiger Forensic-Tools

Abbildung 3:Autopsy: Suche nach dem Wort „linsniff“ in ungenutzten Inodes

Abbildung 4:Autopsy: Anzeige von Dateien. Hier: Inhalte von Rootkit-Dateien unter /dev/ida/.drag-on


Abbildung 5:Autopsy: Anzeige des Inhalts und Export von gelöschten Dateien. Hier: ein vollständiges Rootkit TAR File

Abbildung 6:Autopsy: Timeline-Analyse. Hier: zeitlicher Ablauf einer Rootkit-Installation


Netcat (nc) ist ein universelles Tool, um u.a. Dateneinfach über ein Netz zu transportieren. Netcat kann un-ter http://www.atstake.com/research/tools/nc110.tgz he-runtergeladen werden. Bei der Übertragung vertraulicher

Daten über ungesicherte Netze sollte auf Cryptcat (http://farm9.com/content/Free_Tools/Cryptcat) zurückgegriffenwerden.

Beispiel:

# dd if=/dev/hda2 | nc 10.0.0.1 8000

(der komplette Inhalt der Partition hda2 wird mittels netcat an ein anderes System auf Port 8000 gesendet)

Auf dem Zielsystem 10.0.0.1 sollte dann zum Abspeichern des Datenstroms folgender Befehl verwendet werden:# nc -l -p 8000 |dd of=/forensic/image.hda2

Abbildung 7: Erstellen von Diskimages über ein Netzwerk

Mac-robber von Brian Carrier ist ein Forensic und Re-sponse Tool, das Modified, Access und Change-Times(MAC) von Dateien und Verzeichnissen sammelt. Dasverwendete Zeitformat ist mit dem von The CoronersToolkit (TCT) identisch und kann gleich damit weiterver-wendet werden. Mac-robber basiert auf dem Werkzeuggrave-robber aus dem TCT. Im Gegensatz zu grave-rob-

ber aus dem TCT ist Mac-robber nicht in Perl, sondern inC geschrieben. Dadurch ist es leicht auf andere Plattfor-men portierbar. Mac-robber kann auf einem „sauberen“System statisch vorkompiliert und auf eine IR-CD bzw.-Floppy kopiert werden. Durch Kombination mit Netcatbzw. Cryptcat ist der Einsatz über ein Netzwerk möglich.

Beispiele:

# mac-robber /var/log > data/var_log.mac

(mac-robber analysiert das Verzeichnis /var/log und sendet die Ausgabe in eine Datei)

# mac-robber /var/log | nc 10.0.0.1 8000

(mac-robber analysiert das Verzeichnis und sendet die Ausgabe mittels netcat an ein anderes System auf Port 8000)

Auf dem System 10.0.0.1 sollte dann folgender Befehl verwendet werden:# nc -l -p 8000 > /forensic/var_log.mac

Um die Daten zu analysieren, wird das mactime Tool aus dem TCT benötigt. Es werden alle Dateien angezeigt, derenMAC-Time sich seit dem angegebenen Datum geändert haben.

# mactime -b /forensic/var_log.mac 01/01/2002(date time size MAC perms owner group file)[....]Jan 05 02 04:05:00 5506499 m.. -rw-rw-rw- root mailman /var/log/syslog.7Jan 10 02 04:05:00 6389017 m.. -rw-rw-rw- root mailman /var/log/syslog.6Jan 12 02 01:04:39 3978 .a. -rw------- root mailman /var/log/arclogJan 12 02 14:10:15 3978 m.c -rw------- root mailman /var/log/arclog[....]

Abbildung 8: Analyse der MAC-Time mit mac-robber

Mit dem Forensic ToolKit von NT OBJECTives(www.ntobjectives.com) kann man einen forensischenSnapshot von Microsoft Windows Systemen erzeugen. Esenthält folgende Tools:

• Afind: zeigt Informationen über den letzten Dateizugriff an,

• Sfind: zeigt Hidden Data Streams an,

• Hfind: zeigt versteckte Dateien an,

• FileStat: zeigt diverse Dateistatistiken an,

• Hunt: zeigt die verfügbaren Netbios-Informationen unddie Administratorkennungen an.

Der Incident Response Collection Report (IRCR) ist inden Grundzügen dem Coroner’s Toolkit (TCT) ähnlich.

Dieses Programm sammelt mit diversen Toolsforensische Daten von Microsoft Windows Systemen.Das Ergebnis wird als HTML-Output erstellt.

Abbildung 9:Incident Response Collection Report (IRCR)


Abbildung 10: IRCR-Ausgabe

Mit Fatback von Nicholas Harbour (Department ofDefense Computer Forensics Lab) hat man auch unterUnix die Möglichkeit, FAT-Partitionen zu untersuchen

und gelöschte Dateien sichtbar zu machen. Dies funktio-niert unter Unix analog zum DOS-Befehl undelete.

# fatback morgue/image2.dd

Running Fatback v1.3Command Line: fatback morgue/image2.ddTime: Tue Apr 16 08:28:52 2002uname: Linux Ripper 2.4.18 #1 Fri Mar 15 12:40:44 CET 2002 i686Working Dir: /usr/local/forensicUnable to map partitions1 characters of the OEM name in the VBR are invalidThe VBR reports no hidden sectorsoem_name: mkdosfsbytes_per_sect: 512reserved_sects: 1fat_copies: 2max_rdir_entries: 512total_sects_s: 0media_descriptor: f8sects_per_fat: 125sects_per_track: 32num_heads: 8hidden_sects: 0total_sects_l: 127968serial_num: 3c7e78defs_id: FAT16Filesystem type is FAT16Rood dir location: 0fatback> ls??? Mar 15 09:49:54 2002 20480 ?ONFUS~1.C confuse_router.c??? Mar 15 09:49:54 2002 278638 ?RAGRO~1.TGZ fragrouter.tgzSun Mar 15 09:49:52 2002 5942 ?BNBS.CSun Mar 15 09:50:22 2002 61897 ?MBAT-~1.GZ smbat-src-1.0.5.tar.gzSun Mar 15 09:50:22 2002 43398 ?MBPRO~1.TGZ smbproxy-src-1.0.0.tgzSun Mar 15 09:49:54 2002 315 ?RIPWI~1 tripwire-checkfatback>

Abbildung 11: undelete von FAT-Partitionen unter Unix


Abbildung 12:Foremost: Rekonstruktion gelöschter Dateien.

Hier: Rekonstruktion von Bildern, die mit einer Digitalkameraauf einer CF-Karte erstellt und wieder gelöscht wurden

Kris Kendall und Jesse Kornblum vom Air ForceOffice of Special Investigations haben das Tool Foremostentwickelt. Dieses Programm kann unter Unix durchAuswertung von Header- und Footerinformationen ent-sprechend erkannte Dateitypen aus einem dd-Image re-konstruieren.

Es ist aber auch wichtig, dass man für die AnalyseZugriff auf Logfiles zusätzlicher Sicherheitstechnik hat.Hierzu zählen neben Firewall- und Logfiles auch die Pro-tokolle von Intrusion Detection Systemen.

Uns stehen heute innovative und sehr effektive Toolszur Unterstützung bei der Aufklärung von Systemein-brüchen zur Verfügung. Die durchzuführenden Tätigkei-ten hingegen sind nicht neu. Die Verfügbarkeit dieserkomfortablen Werkzeuge darf aber nicht darüber hinweg-täuschen, dass eine sinnvolle Sicherheitsvorfall-Behand-lungsstrategie schon der halbe Weg zur erfolgreichenAufklärung von Systemeinbrüchen sein kann.


Zertifikatedes Zentralen Informatikdienstes

TU Testzertifizierungsstelle:http://www.zid.tuwien.ac.at/security/zertifikate.php

Von dieser Seite können die Zertifikate der TU Testzertifizierungsstelle in den Browser geladen werden.

Fingerprints der Test-CAs:

Zertifikat der Root-Test-CA (PCA)gültig von Dec 30 1999 bis Dec 26 2014MD5 Fingerprint=0D:D9:02:9C:24:61:85:9E:72:59:93:28:68:3D:B3:7C

Zertifikat der Server-Test-CA (SCA)gültig von Dec 30 1999 bis Dec 27 2009MD5 Fingerprint=03:2F:CB:C6:B6:5B:FC:00:C0:56:41:DF:CD:E9:AF:98

Zertifikat der User-Test-CA (UCA)gültig von Dec 30 1999 bis Dec 27 2009MD5 Fingerprint=3C:B3:AC:1F:83:D0:C9:1E:3E:11:31:53:A0:F3:C9:88

Fingerprints von „TC TrustCenter Class 2 CA“:Server-Zertifikat von

info.tuwien.ac.at (Informationsserver für die TU Wien)gültig bis 27/03/2003MD5 Fingerprint=48:18:8C:7A:4D:E6:19:8B:10:4E:11:7A:7B:2A:32:1C

uhura.kom.tuwien.ac.at (Informationsserver Abt. Kommunikation)gültig bis 27/03/2003MD5 Fingerprint=0D:8E:42:F7:2E:5D:BB:92:5E:16:F3:2F:F2:B7:F8:CC

Verbesserung desDatenbankangebotsan der Universitätsbibliothekder TU WienMag. Karl SchreinerUniversitätsbibliothek der TU [email protected]

Die Universitätsbibliothek der TU Wien ( UBTUW ) bietet seit kurzem einige der wichtigstenDatenbanken im technisch-naturwissenschaftlichen Bereich erweitert und mit neuemkomfortablem Web-Interface an. Im Folgenden möchte ich diese Datenbanken im Einzelnenkurz vorstellen.

Zuvor die Web-Adressen der unten besprochenen Datenbanken:Universitätsbibliothek der TU Wien (Links zu den Datenbanken): http://www.ub.tuwien.ac.at/

Engineering Village (Compendex, US Patent Office, Tech Street): http://www.ei.org/ev2/home/ISI Web of Knowlegde (Science Citation Index Expanded, CurrentContentsConnect,ISI Proceedings, Journal Citation Report): http://isiknowledge.com/

Engineering Village

Compendex

Compendex gehört zu den weltweitgrößten und wichtigsten Datenbankenim ingenieurwissenschaftlichen Be-reich, sie umfasst ca. 6 Mio. Datensät-ze mit Hinweisen auf Zeitschriften-artikel, Monographien und Konferenz-berichte. Das Themenspektrum der Da-tenbank ist sehr breit und umfasst alleingenieurwissenschaftlichen Diszipli-nen. Die UB der TU Wien hat dieseDatenbank bereits seit langem im An-gebot, jetzt aber im Rahmen des Engi-neering Village 2 von EngineeringInformation Inc. erweitert um dieJahrgänge 1970 - 1989.


Neben Compendex hat man im Ei Village 2 auch denZugang zum US Patent Office mit ca 6 Mio. Patenten,sowie zu Techstreet Standards, einer umfassendenSammlung von Industriestandards.

ISI Web of Knowledge

Science Citation Index Expanded

Diese multidisziplinäre Datenbank offeriert nicht nurdie von bibliographischen Datenbanken bekannten Su-choptionen (Autor, Titel, Schlagwort, Freitext, …) son-dern auch eine auf einem Zitierungsindex basierendeSuche. Dies ermöglicht z.B. gezielt zu recherchieren, werwen in welcher Arbeit zitiert oder wie oft ein bestimm-ter Autor in einem bestimmten Jahr in der Fachliteraturerwähnt wurde. Der Science Citation Index ist also einWerkzeug zur Evaluation wissenschaftlichen Arbeitens.

Seit kurzem gibt es jetzt für die TU Wien Zugang zumWeb of Science, in dessen Rahmen der Science CitationIndex ab Jahrgang 2001 in der Expanded Version, d.h.inklusive Abstracts, benützt werden kann. Ältere Jahrgän-ge sind nach wie vor in der Hauptbibliothek zu benützen.

Index to Scientific and Technical Procee-dings (ISI Proceedings)

Wer umfassenden Überblick über die Konferenzlitera-tur aus dem wissenschaftlich-technischen Bereich sucht,ist mit diesem Index gut beraten. Die Datenbank umfasstden Zeitraum von 1992 - 2002 und wird jedes Jahr umetwa 225.000 Datensätze erweitert.

CurrentContentsConnect

Physical, Chemical & Earth Sciences und Enginee-ring, Computing & Technology (Zeitraum 1998 ff.) sinddie Web-Editionen von CurrentContentsConnect, die seitheuer im Bereich des TU-Netzes benützt werden können.

Die Jahrgänge 1995 - 2000 dieser Editionen und auchdie Current Contents Editionen Agriculture, Biology &Environmental Sciences und Life Sciences für diesenZeitraum finden Sie im Datenbanknetz der UB, unterdem Titel CurrentContents Archiv.

Die CurrentContents Editionen helfen dem Wissen-schaftler up-to-date zu bleiben, indem er sich über aktuelleZeitschrifteninhalte aus seinem Arbeitsgebiet informierenkann. Für die einzelnen CurrentContents Editionen wer-den übrigens jeweils mehr als 1000 Fachzeitschriften aus-gewertet.

Journal Citation Report (JCR)

JCR eröffnet dem Benutzer die Möglichkeit, quantita-tive Daten zu wissenschaftlichen Zeitschriften seines In-teressenbereiches zu erhalten. Der Journal CitationReport erlaubt bei kluger Handhabung eine Standortbe-stimmung und ein Ranking der Zeitschriften eines Fach-gebietes, dient also dem wissenschaftlich Publizierendenals Orientierungshilfe. Fünf Kennzahlen werden im Jour-nal Citation Report jeder erfassten Zeitschrift zugeordnet:Total Cites, Impact Factor, Immediacy Index, Articles,Cited Half-Life. Von diesen Zahlen ist sicherlich für dieRelevanz einer wissenschaftlichen Zeitschrift der ImpactFactor die wichtigste Größe, er gibt die mittlere Zitie-rungshäufigkeit einer Zeitschrift an. Die anderen Parame-ter zu erläutern würde den Umfang dieses Artikelssprengen, daher verweise ich auf die Help-Funktion derDatenbank.


Einstieg für alle Datenbanken an der UBTUWhttp://www.ub.tuwien.ac.at/ska/cdrom/cdrom.htm

Netz- undSystemsicherheitGeorg Gollmann, Andreas Klauda, Ingmar Jaitner

Die Agenden des Bereichs Netz- und Systemsicherheit sind in die Abteilung Standardsoftwareeingegliedert worden. Dieser Artikel beschreibt die organisatorischen Änderungen sowie dieneuen Webseiten und gibt Tipps zur Vermeidung von Sicherheitsproblemen.

Organisatorische Änderungen

Durch die Karenzierung von Udo Linauer kam es imBereich Netz- und Systemsicherheit zu personellen Ände-rungen. Die Koordination des Bereiches, die Security Po-licy und die Ausgabe von Zertifikaten wurden von HerrnGollmann übernommen. Unser neuer Mitarbeiter IngmarJaitner betreut die laufende Überwachung (IntrusionDetection System) und die Reparatur von gehacktenRechnern. Die anderen Themen (Viren, Firewall, Spam)bleiben in den bewährten Händen.

Bitte verwenden Sie aber für Kontaktaufnahmen im-mer die offizielle E-Mail-Adresse [email protected].

Besuchen Sie auch unsere neu gestalteten Webseiten auf

www.zid.tuwien.ac.at/security/

Security Policy

Die im Jahr 2000 vom Kollegen Udo Linauer entwor-fene Security Policy hat sich gut bewährt, sodass bei derturnusmäßigen Überarbeitung nur die Formatierung ange-passt wurde, um die einzelnen Abschnitte besser referen-zieren zu können (www.zid.tuwien.ac.at/security/policies/).

Authentifizierungsservice

Der ZID betreibt seit einigen Jahren einen Authentifi-zierungsdienst auf Basis der White Pages Passworte. DieImplementierung entspricht aber nicht mehr den heutigenSicherheitsanforderungen. Deshalb wird dieser Dienst aufeine neue Basis gestellt, die in einem eigenen Artikel aufSeite 35 vorgestellt wird.

Neugestaltung der Webseitenwww.zid.tuwien.ac.at/security/

Auf den neu gestalteten Webseiten finden Sie nebenaktuellen Informationen über Viren und Sicherheitsrisi-ken auch Links zu wichtigen Seiten, sowie nützlicheFreeware und Kontaktadressen der verschiedenen Abtei-lungen.

Virenstatistik

Ebenfalls neu im Web gibt es eine tagesaktuelle Sta-tistik über die von unserem zentralen Mailscanner gefun-denen Viren (www.zid.tuwien.ac.at/security/viren_stat.php).


Virenstatistik August 2002Anzahl verschiedene Viren: 49

Anzahl gefundener Viren: 20614

Test-Zertifizierungsstelle

Seit einigen Jahren sind digitale Signaturen und Zerti-fikate ein vieldiskutiertes Thema. Der ZID hat deshalbeine Test-Zertifizierungsstelle eingerichtet. Weitere Informa-tionen finden Sie auf unserer Webseite unter dem PunktZertifikate (www.zid.tuwien.ac.at/security/zertifikate.php)Bislang hat nur die Ausgabe von Serverzertifikaten fürgesicherte Webserver (https) Bedeutung erlangt.

Allgemeine Sicherheitstipps

Weiters möchten wir unsere Erfahrungen mit Sicher-heitsproblemen (Hackerattacken, Virenverseuchung etc.)und den Gebrauch von geeigneten Gegenmaßnahmenpublizieren. Die Abteilung Standardsoftware bietet auchumfangreiche Hilfe in Form von Plattformunterstützungfür Server und Arbeitsplätze an (sts.tuwien.ac.at/pss/).

Durch das immer schnellere Bekanntwerden von Si-cherheitslücken, welche die Hacker ausnutzen, ist einmöglichst schnelles Installieren von Patches notwendig.Derzeit geht man davon aus, dass, wenn eine Sicherheits-lücke bekannt wird, man innerhalb von 48 Stunden einenPatch einspielen sollte, um die Sicherheit zu gewährleisten.

Der beste Beitrag zur Sicherheit ist sicherlich die Prä-vention, denn wenn ein Rechner einmal gehackt ist, be-deutet dies meistens eine Neuinstallation. Um das zuvermeiden, hier ein paar Tipps:

• Keine offenen Dienste ohne Passwörter oder defaultPasswörter, installieren Sie nur die Dienste auf demRechner, die wirklich benötigt werden.

• Keine unsicheren Logins per Telnet, sondern verwendenSie SSH.

• Halten Sie diese Dienste immer auf dem neuesten Ver-sionsstand.

• Bei Windows Clients: installieren Sie immer Virenscan-ner und auch Trojanerscanner (am besten mit Internet-Update-Funktion). Keinesfalls ersetzt der zentrale Mail-scanner solche Software mit aktuellen Virendefinitionen.

• Bei Neuinstallation: Checksummen aller Programmeauf ein externes Medium speichern (bei Änderungen die-se Daten auf dem externen Medium aktualisieren).

• Speichern Sie Logfiles auch auf einen externen Rech-ner, da Hacker auf dem angegriffenen Rechner meist ihreSpuren verwischen.

Hinweise zur Benützung von File Sharing Tools undzu Spyware finden Sie in einem eigenen Artikel auf Seite37.

Windows 2000/XP Security

Obwohl viele Security-Probleme der Vorgängerver-sionen 95/98 und NT unter Windows 2000 und XP ge-löst worden sind, gibt es doch ein paar Tipps, derenBerücksichtigung auch Windows 2000/XP sicherer ma-chen können.

Generell ist zu bemerken, dass ein Arbeitsplatzrech-ner im Gegensatz zu Servern keine Dienste zur Verfü-gung stellen sollte, d. h. Fileserver-Dienste und Web-server-Dienste usw. sollten auf dedizierten Servern zurVerfügung gestellt werden. Die Verwendung von Windows 2000 Professional (der Windows 2000 Workstation-Variante) anstelle der Windows 2000 Server (die automa-tisch auch den Internet Information Server mit instal-lieren und der ohne Patches ein Problem darstellt) wirddringendst empfohlen.

Ein weiterer Punkt ist die Zugänglichkeit der Regi-stry. Damit die Registry nur lokalen Usern zugänglichist, sollte ein Wert mit Hilfe des Programms Regedt32(findet man üblicherweise in \WinNT\ system32\) geän-dert werden:Einen Schlüssel RestrictAnonymous unter System\ControlSet001\Control\Lsa\ generieren und mit TypREG_DWORD den Wert 2 setzen. Damit ist die Registryvon außen nicht mehr erreichbar.

Um den Administrator Account vor Password Crackingzu schützen, ist es möglich, den originalen Account desAdministrators auf einen anderen Namen umzubenennen.Dann einen neuen, falschen Administrator Account mitNamen Administrator einrichten, der keiner Gruppe zu-geordnet werden darf.

Auch das Setzen von Sicherheitsrichtlinien ist mög-lich, standardmäßig sind sie in der Voreinstellung sehrweit gesetzt. Die Sicherheitsrichtlinien finden Sie in derSystemsteuerung im Untermenü Verwaltung unter demEintrag „lokale Sicherheitsrichtlinien“.

Hier einige nützliche Einstellungen:• Bei der Kontosperre-Richtlinie die Kontosperrungs-

schwelle auf 5 ungültige Logins setzen.• Bei der Überwachungs-Richtlinie sollten Sie folgende

Werte einstellen:Beim Eintrag „Anmeldeversuche überwachen“ die er-folgreichen Anmeldeversuche protokollieren lassen, un-ter dem Punkt „Anmeldeereignisse überwachen“ sowohldie erfolgreichen als auch die fehlgeschlagenen Ereignis-se protokollieren lassen.

• Unter „Kontenverwaltung überwachen“ die fehlgeschla-genen Ereignisse protokollieren lassen.

Danach sollten Sie regelmäßig die Ereignisprotokollelesen, die Sie ebenfalls in der Systemsteuerung im Menü-punkt Verwaltung, Eintrag „Ereignisanzeige“ finden.

Derzeit ist das Service Pack 3 für Windows 2000 ver-fügbar. Es ist nützlich, dieses gleich anschließend nacheiner Windows 2000 Installation einzuspielen.

Für Windows XP gibt es zusätzlich zum Service-pack 1 von Microsoft das Freeware Tool xp-AntiSpy(www.xpantispy.de), das Einstellungen am System vor-nimmt und unerwünschte Dienste deaktiviert. Die Ände-rungen können auch jederzeit wieder rückgängig gemachtwerden.


AuthentifizierungsserviceGeorg Gollmann

Der ZID betreibt seit einigen Jahren einen Authentifizierungsdienst auf Basis der WhitePages Passworte. Die Implementierung entspricht aber nicht mehr den heutigenSicherheitsanforderungen. Deshalb wird dieser Dienst auf eine neue Basis gestellt.

Übersicht

Um das White Pages Passwort guten Gewissens zurAnmeldung bei verschiedenen Anwendungen einsetzenzu können, dürfen die Passworte der Benutzer nicht mehrden einzelnen Servicebetreibern bekannt werden. EineKlartextübertragung ist selbstverständlich auch zu ver-meiden.

Für Web-Anwendungen wird daher ein Authentifizie-rungsserver bereitgestellt, der den Benutzer nach erfolg-reicher Authentifizierung zum jeweiligen Anwendungs-server weiterleitet. Für den Benutzer ist dieser Vorgangtransparent, es sieht nur die von der jeweiligen Anwen-dung erzeugten Webseiten.

Bei Sicherheitsfragen existiert immer ein Konfliktzwischen Bequemlichkeit und Sicherheit. Ein Aspekt indiesem Zusammenhang ist, ob der Adressmanager dasWhite Pages Passwort eines Benutzers setzen darf. Dieserleichtert die Neuvergabe eines vergessenen Passwortes,erlaubt aber auch dem Adressmanager, die Identität desBenutzers anzunehmen. Da die Beurteilung dieses Sach-verhaltes von der individuellen Situation des einzelnenBenutzers abhängt, kann er wählen, ob er dem Adressma-nager dieses Recht gibt oder nicht. Standardeinstellungist, es zu vergeben. Dies ist notwendig, damit der Adress-manager neuen Mitarbeitern ein Passwort zuweisen kann.

Implementierung

Die Implementierung muss sich auf die im Feld vor-handenen Klienten stützen. In der heutigen Umgebung istder Web-Browser der universelle Klient. Leider wird diein RFC 2069 beschriebene „Digest“ Authentifizierunggerade von derzeit weit verbreiteten Browsern nicht un-terstützt. Es wurde daher ein an Kerberos angelehntesVerfahren gewählt: Das Web-Anmeldeformular schicktdie Daten (Benutzeridentifizierung, Passwort und An-wendungsidentifikation) über HTTPS an den Authentifi-zierungsserver. Nach erfolgreicher Überprüfung des Pass-

wortes wird eine „Temporary Redirect“ Antwort er-zeugt, die einen Session Key enthält und den Browserdes Benutzers an den Anwendungsserver weiterleitet.Der Session Key wird aus der Benutzeridentifikation,einer Zeitmarke, dem Rechnernamen des Benutzers undeinem gemeinsamen Geheimnis zwischen Authentifizie-rungs- und Anwendungsserver gebildet. Da dem Anwen-dungsserver diese Bestimmungsstücke auch bekannt sind,kann er den Session Key auf Gültigkeit überprüfen.


Server

Flat screen

Anwendungsserver

ZID Personendatenbank

Client

Anmeldeformular

Session Key

Formularinhalt

Session Key

3b

1

2

3a

Ablauf der HTTPS-Transfers

Technische Beschreibung

Siehe auch: http://macos.tuwien.ac.at/Authentifizierung.html

Aufruf

Typischerweise wird das Anmeldeformular vom Ap-plikationsserver angeboten, die Form-Action zeigt aufden Authentifizierungsserver. Ein Beispiel findet sich un-ter https://studman.ben.tuwien.ac.at/studacct/ (Statusab-frage und Passwortänderung für Studentenaccounts).

Der Aufruf der Authentifizierungsservices hat eine derbeiden Formen

Hinweis: Hostname und Portnummer könnten sich nochändern.

app: die zugewiesene Anwendungsnummeroid: ObjectIDmn: Matrikelnummerpw: White Pages Passwort

Ein optionales Feld param wird an den Anwendungs-server durchgereicht. Dieses Feld darf allerdings keineZeichen enthalten, die eine spezielle URL-Codierung be-nötigen (Leerzeichen, etc.).

Für jede Anwendung wird gespeichert:

1. der URL des Services2. das gemeinsame Geheimnis (siehe unten: appServer-

Secret)3. ob die OID oder die Matrikelnummer als userID ver-

wendet werden soll4. welches Format der Redirect-URL benutzen soll

Antwort

Der Redirect-URL kann wahlweise eine von zwei For-men haben:

• https://userID:sessionKey@host/pathEs ist zu beachten, dass viele Browser die Authentifizie-rungsinformation erst weiterleiten, wenn sie vom An-wendungsserver mit einer „401 Unauthorized“ Antwortdazu aufgefordert werden. Ebenso haben viele Browserdie Tendenz, alte Authentifizierungsinformation weiter-zuverwenden, auch wenn sie einen neuen Redirect-URLbekommen haben. Einige stellen für den Benutzer trans-parent auf die neuen Daten um, wenn der Anwendungs-server „401 Unauthorized“ antwortet. Manche sind aberhartnäckig und verlangen das Eingreifen des Benutzers.

• https://host/path?user=userID&sKey=sessionKey

Um den Session Key zu bilden, werden die ElementeuserID, timeStamp, clientHostName und appServerSecretzusammengehängt und der SHA-1 Hash gebildet (als 40Zeichen Hex-String formatiert).

• userIDEntweder die ObjectID oder – bei Studenten – die Matri-kelnummer.

• timeStampDie Zeit in Sekunden seit 1.1.1970 0:0:0 UTC (Unixtime), ganzzahlig dividiert durch 10. Die Division ver-mindert die Anforderungen an die Synchronisation derServer.

• clientHostNameDer DNS Name des Rechners des Benutzers in Klein-schreibung.

• appServerSecretEin gemeinsames Geheimnis zwischen Authentifizie-rungsserver und dem jeweiligen Anwendungsserver.

Der Anwendungsserver bildet ebenfalls den Hash undvergleicht mit dem übergebenen Sessionkey. Dabei ist zuberücksichtigen, dass die Uhren der Server u.U. nichtperfekt synchronisiert sind und daher beim timeStampauch Werte vor und nach der aktuellen Zeit probiert wer-den müssen. Beispiele in PHP und Perl finden sich unterhttp://macos.tuwien.ac.at/AuthBeispiel.html.

Fehlerbehandlung

Kann der Benutzer nicht ermittelt werden, wird einRedirect der Formhttps://host/path?error=user

zurückgegeben.

Ist das Passwort falsch, ist die Redirect-Antworthttps://host/path?error=password&user=userID.

Ein allfälliges param Feld in der Anfrage wird eben-falls mitgeschickt.

Verfügbarkeit

Es wird eine Verfügbarkeit von besser als 99,9%während der üblichen Dienstzeiten, 99% außerhalb, an-gestrebt.


https://iu.zid.tuwien.ac.at:8008/0.authenticate? app=...&oid=...&pw=...

https://iu.zid.tuwien.ac.at:8008/0.authenticate? app=...&mn=...&pw=...

Zur Verwendung vonPeer-to-PeerFile Sharing ToolsAndreas Klauda

Da die – eventuell unbewusste – Verwendung von so genannten File Sharing Tools, wie KaZaA,WinMX, Gnutella usw. den eigentlichen wissenschaftlichen Nutzverkehr am TUNET zunehmendbeeinträchtigen, möchte ich hier ein paar Informationen und Tipps zu deren Verwendung geben.

Im Prinzip funktionieren alle diese Programme nachdem gleichen Schema, sie unterscheiden sich nur durchverschiedene Peer-to-Peer-Netze und Ausstattung: Nachder Installation können eigene Files (MP3, Bilder, Videosusw.) zum Download angeboten werden. Mit einer einge-bauten Suchfunktion können die Rechner der anderen Be-nutzer nach Dateien durchsucht werden. Bei großen Peer-to-Peer-Netzen wie FastTrak sind oft bis zu 2 Mio. Useronline, dadurch ergibt sich eine beachtliche Anzahl vonDateien, die „getauscht“ werden können.

Diese Art von Software kommt ohne zentralen File-server aus, die angebotenen Dateien befinden sich nur aufden heimischen Rechnern der Benutzer und werden auchvon dort zum Download angeboten. Als Nebeneffektbeim Download steht der Rechner dann sofort auch alsServer zur Verfügung, wodurch der Zugriff für andereBenutzer aus dem Internet offen steht und so abgehenderVerkehr erzeugt wird, was vielen Benutzern nicht be-wusst ist.

Da viele private Anwender nicht über Breitband-Inter-net verfügen, kann der Download mitunter einige Zeitdauern, auch wenn man selbst einen schnellen Internetzu-gang hat. Einige Programme greifen hier zu einem Trickund können eine Datei auch von mehreren Quellengleichzeitig laden. Die Software holt sich dazu von jederQuelle einen Teil der Datei und setzt diese nach demDownload wieder zusammen, wobei Rechner mit guterInternetanbindung bevorzugt werden.

Gründe, die Download-Dateien in kleinere Teile zuzerstückeln, sind:• Mehrere redundante Quellen zu haben und nicht bei einer

langsamen „hängen zu bleiben“, obwohl es eventuell in-zwischen eine schnellere Quelle gäbe.

• Keinen kompletten Abbruch des Downloads zu erleiden,wenn der Rechner, von dem der Download geschieht, ab-geschalten wird.

• Schließlich haben auch urheberrechtliche Aspekte mit-gespielt. Die Idee dahinter ist, ob zu recht oder nicht, dassdas Urheberrecht auf einen für sich sinnlosen Teil einesLiedes (z.B: 32 KB) nicht angewandt werden kann.

Die TU Wien verfügt über eine sehr schnelle Internet-anbindung, daher sind falsch konfigurierte File SharingTools eine große Belastung und ein Problem für dasTUNET. Befindet sich z.B. eine beliebte Datei auf demRechner (neu herunter geladene Dateien werden von die-sen Tools auch gleich wieder zum Download angeboten),dann kann es vorkommen, dass diese viele hundert Malvon anderen Benutzen angefordert wird. Wir hattenschon Rechner, die an einem Tag über 40 GigaByte insInternet geschickt haben, das sind über 10% des täglichenGesamtdatenvolumens (Outgoing) der TU Wien, und dasGanze verursacht von einem einzigen Rechner.

Dies ist ein Verstoß gegen die Security Policy und istdementsprechend nicht zulässig:Abschnitt 6. Regelwidrige Benutzung: Absatz B2) Aneig-nung von Ressourcen über das zugestandene Maß.

Weiters definiert die TUNET Benützungsregelung(nic.tuwien.ac.at/tunet/benutzungsregelung.html) unterPunkt 2.2 „Eine unmäßige Verwendung für private Zweckeoder persönliche Geschäfte ist unzulässig“ oder Punkt2.3 „Eine Verwendung ist unzulässig, wenn sie andereBenutzer oder Service-Anbieter behindert oder wenn esdas gute Funktionieren der Services des TUNET oder de-ren Partner-Netzwerke stört“.

Das betrifft natürlich auch den übermäßigen Down-load und nicht nur das Anbieten („Uploaden“).

Die meisten Programme verfügen jedoch über dieMöglichkeit, die Bandbreite einzuschränken oder denUpload ganz abzuschalten.


Konfiguration von KaZaA

Im Menü unter Hilfsmittel/Optionen/Verkehr die Op-tion Sperrung der Dateien für andere KaZaA Mitgliederaktivieren.

Möchte man Files anbieten, sollte die Bandbreite ein-geschränkt werden. Ein empfohlener Wert ist hier64Kbit/sec, zusätzlich muss noch die Option Beste Band-breite wenn der Computer nicht betätigt wird deaktiviertwerden, damit die Beschränkung wirksam wird.

Konfiguration von WinMX

Im Menü unter Settings/Bandwidth Throttle die OptionLimit outgoing bandwidth aktivieren und als Wert auf8168 Bytes per second (ca. 64 Kbit/sec) einstellen.

Sollte ein Programm keine solche Funktion haben, istvon dessen Verwendung abzuraten.

In dem Zusammenhang möchte ich noch auf einenPunkt der Security Policy hinweisen:Abschnitt 6. Regelwidrige Benutzung: Absatz C1) Kopie-ren und Verbreiten auf Computer der TU Wien bzw. derTransport über Netze der TU Wien von urheberrechtlichgeschütztem Material im Widerspruch zu Lizenzvereinba-rungen oder anderen Vertragsbestimmungen.

Ein weiteres Problem bei vielen File Sharing Tools ist,dass sie mit so genannter Spyware versehen sind.

Das sind kleine Programme, die sich unbemerkt imHintergrund mit installieren und Daten wie besuchteWebseiten, eingegebene Suchbegriffe, Online-Zeitenusw. übertragen und speichern.

Diese Daten werden dann von verschiedenen Werbe-firmen für gezieltes Spam-Mailing und andere Dinge„verwendet“. Diese „Zusatzsoftware“ kann z.B. mit Ad-Aware (zu finden auf www.zid.tuwien.ac.at/security/freeware.php) entfernt werden, allerdings verweigern diemeisten der Programme dann den Dienst. Eine Alternati-ve ist WinMX, das keine Spyware enthält.

Links

Betriebs- und Benutzungsordnung des Zentralen Infor-matikdienstes (ZID) der Technischen Universität Wien:www.zid.tuwien.ac.at/bbo.html

TUNET Benützungsregelung:nic.tuwien.ac.at/tunet/benutzungsregelung.html

Security Policy der TU Wien:www.zid.tuwien.ac.at/security/secpol.php

Verkehrsstatistiken für das TUNET:nic.tuwien.ac.at/tunet/traffic/


Lack of money is the root of all evil— George Bernard Shaw

Von MICROsoftware zuOPENsoftware:Open Source Software im Vormarsch

Antonin Sprinzl

Softwareprodukte von Open Source Software (OSS) sowie die OSS-Bewegung gewinnen bei denAnwendern zunehmend an Attraktivität. Anwender von Informationssystemen sehen sichheutzutage einer Vielfalt von Forderungen konfrontiert. Einhaltung von Standards, Inter-operabilität von Komponenten unterschiedlicher Produktanbieter untereinander sind gefragt.Proprietäre Produktanbieter sind trotz ihrer redlichen Bemühungen kaum mehr in der Lage, dieKomplexität der Anwenderbedürfnisse in ihrer Gesamtheit zu bewältigen. Produkte und Servicesaus einer Quelle sind daher immer weniger anziehend. Nach neuen offenen, kombinierbarenLösungsansätzen wird gefragt. Die Open Source Software bietet auch im Bereich „Ausbildungund öffentliche Verwaltung“ eine Reihe lizenzgebühren-freier Lösungsmöglichkeiten, die sichdurch hohe Qualität und Realisierungsökonomie auszeichnen. Die OSS-Entwicklung verdientbesondere Aufmerksamkeit. Der Goodie Domain Service als lokale Quelle bietet ein Volumen von1 TB an selektierten OSS-Komponenten und -Systemen.

Kurz zur Vorgeschichte,treibende Motivation

Die emsigen Aktivitäten vieler Hardware-Herstellersowie Software-Anbieter Ende des vorigen Jahrhundertsbrachten eine bunte Vielfalt von Lösungen mit sich, dieaus der Anwenderperspektive eines gemeinsam hatten:eine ruinöse Inkompatibilität. Der Anwender stand vorder Entscheidung:

• eine Vernunftheirat auf Gedeih und Verderb mit einembestimmten Hersteller, Produktanbieter einzugehen,oder

• zahlreiche Interoperabilitätsprobleme in Kauf zu neh-men, die in der Regel aus der Komponenten- undSchnittstellen-Inkompatibilität resultierten.

Die Situation hatte sich durch die weitere Zunahmeder Softwarekomplexität verschärft, die auf die anhalten-de Leistungsteigerung sowie gestiegene Anwendererwartun-gen zurückzuführen war. Das zunehmende Chaos war nurdurch Standardisierung und Modularisierung von Kompo-nenten und Schnittstellen in den Griff zu bekommen.

Eine besondere Erwähnung in dieser Hinsicht verdientRichard Stallman, ein engagierter Verfechter der freien,herstellerunabhängigen Software. Stallman startete Mitteder 80er-Jahre das GNU-Projekt (gd.tuwien.ac.at/www.gnu.org/), das später organisatorisch in die FreeSoftware Foundation (FSF) eingebettet wurde. Das GNU-Projekt wurde anfangs von manchen belächelt. Der Kreisder GNU-Nutznießer wuchs aber von Jahr zu Jahr. DasProjekt wurde zum großen Erfolg. Stallmans leitendeVorstellung bzgl. der Softwarefreiheit lautete: Freiheithinsichtlich der Programm-Ausführbarkeit und -Modifi-zierbarkeit sowie der -Redistributierbarkeit. Seine Vor-stellung von Softwarefreiheit fand später auch ent-sprechenden Eingang in die Open Source Definition(OSD, gd.tuwien.ac.at/OSD.html).

Stallman stand mit seinem unermüdlichen Einsatz fürdie Idee der Softwarefreiheit als beispielgebendes Vor-bild für eine Reihe von Fachleuten, die seinem Beispielfolgten. Diese haben einen signifikanten Beitrag zur all-mählichen Verbreitung der OSS beigetragen: Linus Tor-valds mit der Anfang der 90er-Jahre begründeten Linux-Bewegung (gd.tuwien.ac.at/opsys/linux/), Larry Wall als



Begründer der administrativen Programmiersprache Perl(at.cpan.org), Brian Behlendorf als Leader des Web-Server-Projektes Apache (gd.tuwien.ac.at/www.apache.org/), Ras-mus Lerdorf als Leader der server-side Programmierspra-che PHP, um nur einige herausragende Persönlichkeiten zunennen.

Warum begeistern sich Anwender für OSS ?

Die auffallend starke Zunahme der Attraktivität vonOSS bei Anwendern ist in mehreren Faktoren begründet:

• Strategische Perspektive: SystemkontrolleEin Informationssystem wird heutzutage als ein strategi-sches Gut angesehen. Dementsprechend behält der Anwen-der gerne die Kontrolle und die Freiheit über die Sys-temkomposition, den Einsatz oder Ersatz von Systemkom-ponenten in eigenen Händen. OSS wird in gemeinsamerKooperation von vielen Individuen und Organisa-tionen,oft weltweit verteilt, herstellerneutral erstellt. Ökonomi-sche Überlegungen stellen keine Voraussetzung für die Er-stellung oder den weiteren Bestand der Software dar. Damitist ihre Existenz, Pflege etc. auch in Zeiten ökonomischerTurbulenzen gesichert. Der Crash-Boom von Dot-Com Fir-men in den USA fand z.B. im OSS-Bereich keine Entspre-chung.

• Preis/Leistungsverhältnis, SoftwarequalitätOSS zeichnet sich durch ein besonders „günstiges“ Preis/Leistungsverhältnis aus. Die Produktqualität ist in denmeisten Fällen beeindruckend. Im Klartext bedeutet dies,dass OSS-Komponenten und -Systeme, die üblicherweiseden anerkannten Branchenstandards, Modularisierungs-prinzipien und Integrations-forderungen genügen, zumTräger-Beschaffungspreis zu bekommen sind (CD-Kauf,Internet-Download etc.). Für OSS sind keine Gebühren zuentrichten (s.a. Open Source Definition (OSD), gd.tuwien.ac.at/OSD.html).

• SicherheitsperspektiveOSS bietet Sicherheit. Die Implementation von „Troja-nern“ etc. in OSS ist um Größenordnungen schwieriger alsvergleichsweise bei proprietärer Software. OSS ist be-kanntlich für die breite Öffentlichkeit einsehbar. Sie kanndaher von Fachleuten leicht auf „Herz und Nieren“ unter-sucht werden. In dieser Hinsicht leistet die OSS-Communi-ty einen namhaften Beitrag zur Softwaresicherheit in derganzen IT-Industrie.

• Softwareanpassung an AnwenderprofilBei der Konzeption von OSS werden unterschiedliche An-wenderperspektiven und Bedürfnisse (der Beteiligten) be-rücksichtigt. Softwarekomponenten vom OSS-Pool sinddaher in der Regel für ein breites Anwendungsspektrum ge-dacht, leicht konfigurierbar und ausgezeichnet dokumen-tiert. Sie sind infolge ihres modularen Aufbaues an diespezifischen Bedürfnisse der Endanwender rasch anpass-bar. (Im Extremfall wird die gewünschte Funktionalitätdurch die Änderung des begleitenden Quellcodes erzielt).

• Breite BetreuungsbasisFür den Anwender von OSS-Komponenten kommen meh-rere Betreuungsebenen in Frage: Studium der Begleitdoku-mentation (als Beispiel s. Linux Documentation Project(LDP), gd.tuwien.ac.at/opsys/linux/LDP/); Subskription

von einschlägigen Diskussionslisten; Rückgriff auf eineVielzahl von spezialisierten Consultingfirmen;

• Massive Ausweitung des AnwendungsspektrumsDer bisherige, als bereits von vielen etabliert angeseheneinfrastrukturelle IT-Bereich (linuxbasiertes System) wurdeum den strategisch wichtigen Office- und Datenbank-Be-reich ausgeweitet, vor allem durch die KomponentenOpenOffice (gd.tuwien.ac.at/office/openoffice/) undMySQL (gd.tuwien.ac.at/db/mysql/). Schätzungen zufolgegibt es derzeit über 10000 OSS-Applikationen und Middle-ware (davon 4000 im IT-Bereich).

• Aushängeschilder für OSSIn wichtigen Businessbereichen können immer häufigerumfangreiche, OSS-basierte Implementationen angetrof-fen werden. Als Paradebeispiel ist hier Google zu nennen,als einer der derzeit besten Suchdienste im Internet. Mit ih-rer „Server-Farm“, die aus über 4000 PC-basierten Linux-Servern besteht, wurde die hervorragende Skalierbarkeitvon Linux unter Beweis gestellt.

• OSS-Werbung durch FirmenNamhafte IT-Firmen, allen voran IBM, HP und Sun habendie Bedeutung des OSS-Marktes längst erkannt. Sie versu-chen ihre Kerngeschäftsbereiche durch den Einsatz von be-trächtlichen Mitteln derart umzugestalten, um durch dieInklusion des vorhandenen OSS-Potentials und der imOSS-Bereich geltenden, gelebten Kultur neue Synergie- ef-fekte zu erzielen. Der dabei als Nebenprodukt in der breitenÖffentlichkeit erscheinende Werbeeffekt zu Gunsten vonOSS ist beträchtlich (s. insbesondere bei IBM).

• Unbehagen mit proprietären ProduktanbieternEinerseits neigen proprietäre Produktanbieter grundsätz-lich dazu, durch geschickte Marktstrategien die Anwenderan das eigene, proprietäre Environment zu binden. Ande-rerseits sind sie infolge der massiv zugenommenen Vielfaltvon Forderungen seitens der Anwenderschaft sichtlichüberfordert, das breite Spektrum der Anwenderbedürfnissebei angemessenen Preisen zu befriedigen.

Gegenwärtige Situation

OSS erfreut sich zunehmend einer besonderen Beliebt-heit sowohl im Ausbildungsbereich, in der öffentlichenVerwaltung als auch im Internet/Telefon-Anbieterbereich.OSS findet aber auch einen enorm gestiegenen Zuspruchim Businessbereich: im Bank- und Versicherungswesen, inden Industriebetrieben sowie im Distributionsbereich (inkleinen und mittelgroßen Handelsfirmen). Manche Interes-sensgruppierungen im non-for-profit Bereich könnten ohneOSS-Einsatz sogar eine öffentliche Präsenz im Web kaumerreichen.

Der Einzug von OSS in die öffentliche Verwaltung invielen Ländern ist deutlich zu beobachten. In Südamerika,vor allem in Brasilien, in der Dritten Welt aber auch in Eu-ropa (Frankreich, Italien) werden im legistischen BereichStimmen immer lauter, dem Einsatz von OSS Vorzug zugeben bzw. den Einsatz überhaupt legistisch zu erzwingen,siehe hierzu auch die hervorragend strukturierte Seite derösterreichischen Regierung „Ihr Amtshelfer im Internet“(help.gv.at), die mit OSS Komponenten, Apache, PHP,

OpenSSL (u.a. „nicht sichtbaren“ im Hintergrund) reali-siert wurde.

Laut Forschungsumfragen gewinnt vor allem im infra-strukturellen Bereich der Einsatz von OSS zusehends anBoden. Allein im Laufe des vergangenen Jahres, das fürmanche Anbieter devastierend ausging, erfuhr die Zahlneuer Linuxinstallationen eine ungebrochen anhaltende30%ige Zunahme. Der WWW-Server Apache z.B. alsSprössling der OSS-Bewegung gehört inzwischen zu denmeistverbreiteten, wichtigsten Komponenten des WWW.

Die Liste jener Firmen, die sich bereit zeigen, dieOSS-Entwicklung zu unterstützen, nimmt kontinuierlichzu. Dabei kann ein Umdenkprozess beobachtet werden:vom produktbasierten zum service- und beratungsbasier-ten Konzept der Gewinnerzielung.

Zukunftstendenzen

Laut Schätzungen soll das Wachstum der linuxbasier-ten Systeme noch einige Jahre bei knapp 30% liegen. Diezunehmende Einhaltung von Linux Standard Base (LSB)als Integrationsbasis wird eine weitere Verbesserung derInteroperabilität von OSS-Komponenten und -Distributio-nen untereinander mit sich bringen.

Im herkömmlichen Unix-Bereich ist aufgrund desmassiven Vordringens von Linux mit einem weiteren sig-nifikanten Rückgang von herstellerspezifischen Unix-Va-rianten zu rechnen. IBM hat diese Tendenz am frühestenerkannt und durch massive Reinvestition in naher Ver-gangenheit das Umschwenken auf eine linuxbasierte Pro-duktlinie eingeleitet. HP und Sun ließen mit ähnlichenStrategien nicht lange auf sich warten.

Einer Marktanalyse bzgl. des Stellenwertes von OSSfür IT-Entscheidungsträger zufolge, die vom not-for-pro-fit orientierten OpenForum Europe in Auftrag gegebenwurde, liegt der OSS-Vorteil für 2/3 der Befragten in derKostenreduktion; 86% beabsichtigen OSS in naher Zu-kunft im infrastrukturellen IT-Bereich einzusetzen.

OSS-Angebot am Goodie Domain Service(GDS)

GDS als aktiver Distributor von OSS bedient die loka-le, aber auch die österreichweite akademische und schuli-sche Gemeinschaft, den öffentlichen und non-for-profitSektor. Das gegenwärtige Angebot an OSS-Komponentenund -Systemen innerhalb des Goodie Domain Serviceumfasst 1TB. Dazu gehören u.a. fast alle Linux-Distribu-tionen mit ihren spezifischen Schwerpunkten sowie u.a.der komplete Spiegel von „Sourceforge“, der derzeitgrößten und umfangreichsten Projektsammlung von OSSam Internet.

Windows XP OverviewGregor Hartweger 1

In diesem Artikel sollen einige für nützlich befundene Eigenschaften von Windows XP dargestelltwerden, die man sonst vielleicht in der Menge an Menüpunkten nicht so leicht selbst alle findet.Er erhebt aber keinen Anspruch auf vollständige Darstellung aller Neuigkeiten und Änderungen.

Erscheinungsbild

Als neuer Anwender von Windows XP ist man sicherpositiv überrascht über das primäre Erscheinungsbild desDesktops, der Start- und Symbolleiste. Die neuen Featu-res (allerdings nur rudimentärer Standard) werden ange-kündigt und bieten sich selbst permanent an. Derkomplett leere Desktop wirkt sicherlich für jemanden, derin Büros oder bei anderen Leuten total überfüllte Desk-tops gesehen hat, beruhigend und verspielt (klar, ist janix da!). Das mag ja für komplette Neulinge und Kindersehr schön sein, aber wie sieht das mit alt eingesessenenund hart arbeitenden Windows-Usern aus?

Meine erste Reaktion war ein Lachanfall über das kit-schige Hintergrundbild und die Einführungs-Tour. Dochmein anfängliches Amüsement legte sich spätestens, alsich anfing, diese Verspieltheiten und lästigen PopUp-Fenster zu entfernen und den Kindercomputer in einenArbeitsplatz zu verwandeln: Wie bei jeder neuen Win-dows-Version führen immer mehrere Wege nach Rom.Alle zu beschreiben würde wohl den Rahmen des Artikelssprengen, also beschränke ich mich auf die schnellsten.

HowTo:

Start – Alle Programme – Systemsteuerung – Zur klassi-schen Ansicht wechseln (links oben).So sieht’s schon besser aus (Zur Kategorieansicht wech-seln – links oben – führt wieder zurück).

Anzeige öffnen: unter Designs stellt man Windows XP aufWindows - klassisch um.

Taskleiste und Startmenü öffnen: unter Taskleiste dieSchnellstartleiste anzeigen markieren und unter Startme-nü auf klassisches Startmenü (Anpassen bitte auch ver-wenden) umstellen.

Benutzerverwaltung

Standardmäßig befindet sich ein neu installierterWindows XP Client in einer Arbeitsgruppe und es arbei-ten mehrere User auf einem Client. Um es mehrerenUsern zu ermöglichen, auf einem PC zu arbeiten und ei-gene Profile (Desktopeinstellungen, Netzlaufwerke, E-Mail-Einstellungen, etc.) zu verwenden, gibt es die Be-nutzerkonten.

Hier gibt es etwas Neues, und zwar die Funktion Be-nutzer wechseln. Damit wird es Benutzern ermöglicht,während der Arbeit (mit geöffneten Programmen) zwi-schen verschiedenen Benutzerprofilen zu wechseln,ohne die Programme schließen zu müssen. Beim Wech-seln des Benutzers wird angezeigt, welcher Benutzernoch Programme geöffnet hat, also praktisch noch aktivist. Dieses Feature steht allerdings nur dann zur Verfü-gung, wenn man sich nicht in einer Domäne befindet(in der Domäne sieht das Fenster für die Benutzerkontenaus wie unter Windows 2000) bzw. nicht die besondersfür Notebooks interessante Fähigkeit der Offline-Filesnutzt.

HowTo:

Start – Einstellungen – Systemsteuerung – Benutzerkonten

Unter Art der Benutzeranmeldung ändern aktiviert manWillkommenseite verwenden und dann Schnelle Benut-zerumschaltung verwenden. Daraufhin gibt es ein neuesSymbol, wenn man auf Start – „User“ abmelden geht.

Die netten Bilder, die beim Usernamen erscheinen,kann man beliebig gegen andere austauschen. Nahelie-gend sind zum Beispiel Portraitfotos der User, die in ei-ner beliebigen Größe und Auflösung an einem beliebigenOrt digital zur Verfügung stehen können.


1 Firma digiremote, externer Partner bei der Systemunterstützung der Abteilung Standardsoftware des ZID

HowTo:

Start – Einstellungen – Systemsteuerung – Benutzerkonten

Unter Konto ändern wählt man den User aus, dessen Ein-stellungen man ändern will, und klickt auf Bild ändern.Jetzt kann man entweder eines der schönen Standardbil-der auswählen oder man geht zu Weitere Bilder suchenund sucht sich sein eigenes Wunschbild aus, das dann ko-piert und konvertiert wird.

Eine kleine aber nützliche Neuheit ist, dass man eineWarnmeldung bekommt, wenn man bei der Passwortein-gabe im Zuge der Anmeldung die Feststelltaste gedrückthat. Allerdings habe ich, als mir das zum ersten Mal pas-sierte, natürlich nicht gelesen, was da steht, sondern an-genommen, dass da das steht, was bei den früherenWindowsversionen immer dort stand (wer’s ausprobiert,weiß wovon ich rede).

Hilfe und Erklärungen

Im Großen und Ganzen sind die Erklärungen, die manjetzt bekommt, wesentlich leichter verständlich gewor-den, was heißen soll, dass man nicht mehr unbedingt denMCSE gemacht haben muss, um zu verstehen, was dieüberhaupt meinen (zumindest soweit es die trivialerenFunktionen betrifft).

Hilfe ist wirklich überall vorhanden, schon fast zu vielfür meinen Geschmack.

Übertragung von Dateien und Einstellungen

Die Übertragung von Dateien und Einstellungen er-möglicht, wie der Name schon sagt, Dateien und Einstel-lungen aus Benutzerprofilen ohne großen Aufwand aufandere Systeme zu portieren. Mit diesem Feature kannman programmspezifische Einstellungen, Windows-Ein-stellungen und Windows-Ordner und beliebige andereOrdner auf das neue System übertragen.

Jede mögliche Vorgehensweise zu beschreiben, wäreetwas langwierig, also beschreibe ich möglichst kurz, wiees vom Prinzip her funktioniert, dann erscheinen die Er-klärungen, die der Assistent bietet, etwas logischer.

Man muss ein Client-Programm, das als Assistent be-zeichnet wird und den Namen fastwiz.exe hat, auf demComputer ausführen, von dem man die Dateien und Ein-stellungen importieren will (man kann sich entweder eineDiskette erstellen lassen oder die Windows XP CD ver-wenden).

Auf diesem Quellcomputer wird ein Ordner angelegt,in dem die benötigten Informationen abgelegt werden.Bei allem, was der Assistent wissen will, geht es darum,wie einerseits der Assistent (das Programm) auf denQuellcomputer gelangt und andererseits die gesammeltenDaten auf den Zielcomputer zurück gelangen.

Mit dieser Methode ist es auch möglich, Dateien undEinstellungen von einer Windows-Version (ab Windows

95 aufwärts) zu importieren, die auf demselben PC instal-liert ist (z.B. auf einer anderen Partition).

HowTo:

Start – Programme – Zubehör – Systemprogramme –Übertragen von Dateien und Einstellungen

Ab hier würde ich vorschlagen, es einfach selber auszu-probieren.

Systemwiederherstellung

Das Erstellen von Systemwiederherstellungspunktenist eine bekannte Funktion aus Windows ME, die eineArt Snapshot des aktuellen Systems macht und desseneinfache Wiederherstellung ermöglicht. Diese System-speicherpunkte beinhalten: Systemdateien und Konfigura-tionen aus der Registry bezüglich der Funktionalität desSystems. Was mir besonders positiv auffiel, ist die Tatsa-che, dass solche Systemspeicherpunkte bei der Installa-tion von neuer Software (sofern diese den systemeigenenWindows-Installer verwendet) und von Treibern automa-tisch erstellt werden.

Standardmäßig wird alle 24 Stunden ein Wiederher-stellungspunkt erstellt. Abhängig vom davon zur Verfü-gung stehenden Plattenplatz stehen damit meist nichtmehr als 3 Wiederherstellungspunkte zur Auswahl.Kommt man nun erst nach mehr als 3 Tagen drauf, dassein neuer Treiber oder eine neuinstallierte Software Pro-bleme macht, ist die praktische Funktion der Systemwie-derherstellung nicht mehr verwendbar, um das Systemund die Registry sauber auf den Stand davor zurückzu-fahren. Dem kann man abhelfen, indem man das Intervallvon 24 Stunden auf z.B. 3 Tage vergrößert, womit manimmer eine gute Woche zurück kann.

HowTo:

Ändern des Registry-Keys:HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\Windows NT\ CurrentVersion\ SystemRestoreRPGlobalInterval von 86400 auf 259200

Firewall

Die Firewall-Funktionalität ist nun endlich in einembeschränkten Maße in das System integriert worden,sprich Paketfilter und grundsätzliche ICMP Hacker Ab-wehr (siehe Abbildung 1). Durch Integration der Firewallin den Betriebsystems-Kernel entsteht klarerweise ein ge-ringerer Overhead, dadurch ergibt sich mehr verfügbareSystemleistung. Im Gegensatz zu Windows 2000 ist fürjede Netzwerkverbindung die Firewall eigens konfigu-rierbar (entsprechende Optionen unter den Eigenschaftender jeweiligen Netzwerkverbindungen..

Es gibt eigene Firewall-Produkte auf dem Markt (z.B.Norton Internet Security), die weitaus komfortabler sindund einen größeren Leistungsumfang haben. Jedoch soll-te die in Windows XP integrierte Firewall für einenGroßteil der Netzwerk-Konfigurationen mehr als ausrei-chend sein.


HowTo:

Start – Einstellungen – Netzwerkverbindungen

Öffnet man die Eigenschaften der LAN-Verbindung(rechte Maustaste), dann gibt es unter Erweitert die Mög-lichkeit, Internetverbindungsfirewall zu aktivieren. Hierfindet man auch einen Link zur Hilfe, die die Funktionali-tät beschreibt (Vorkenntnisse zum Thema Firewall undInternet-Security sind hier sicher von Vorteil).

Remote-Zugriff

Eine weitere sehr interessante Innovation ist der Re-mote-Desktop, welcher ein kernelintegrierter TerminalServer ist und vergleichbare Produkt wie z.B. PC-Anywhere und Konsorten überflüssig macht. Dies ist einticketbasierter Remote-Desktop (siehe Abbildung 2), derunter Umständen eine Marktlücke darstellen könnte – fürFirmen, die diese Remote-Unterstützung zu ihrem Pri-mär-Aufgabenbereich machen.

Es gibt drei Varianten, wie ein anderer Computer denEigenen fernsteuern kann:

1.) Remotedesktopverbindung

Die gebräuchlichste und von Win2000 Server schonbekannte Variante, über einen Computer Kontrolle zuübernehmen, ist es, mit einem Terminaldienste-Client zuarbeiten.

Die neueste Version des Windows XP Remotedesktop-client (root\support\tools\msrdpcli.exe) hat mehr Featuresals ihr Vorgänger. Mit der neuen Version kann man auchautomatisch seine eigenen Laufwerke auf den Remote-computer verbinden lassen. Allerdings funktioniert das

auch nur auf einen Windows XP Computer und nicht aufeinen Win2000 Server (außer es läuft Citrix Metaframe).

Vorsicht ist auch geboten, wenn man versucht, Dru-cker auf einen Win2000Server automatisch verbinden zulassen. Während der Versuch, ein Laufwerk zu verbin-den, lediglich eine Fehlermeldung am Win2000 Serververursacht, kann es bei einer missglückten Druckerver-bindung von einer Fehlermeldung über ein Hängen blei-ben des Druckspoolerdienstes mit einer 100% CPU-Auslastung bis hin zu einem Serverabsturz kommen.

Wo bekommt man die Clients:

http://www.microsoft.com/windowsxp/pro/downloads/rdclientdl.asphttp://www.microsoft.com/downloads (Terminal ServicesClient for Pocket PC 2002 – German),http://www.rdesktop.org (linux), http://www.citrix.com/download (Citrix MetaFrame)

HowTo :

Konfiguration: Rechts klicken auf Arbeitsplatz – Eigen-schaften – Remote

Ausführung: Start – Programme – Zubehör – Kommuni-kation – Remotedesktopverbindung

2.) Remoteunterstützung

Hier handelt es sich um eine ticketbasierte Remote-Desktopverbindung, bei der beide User den Desktop sehenund miteinander in einem Chat kommunizieren können.

Der Wermutstropfen ist, dass das nur zwischen Win-dows XP Systemen funktioniert.

Die Einladung wird per Messenger oder E-Mail ge-schickt (Abb. 2)

Im Attachment liegt die Datei rcBuddy.MsRcIncident,die ausgeführt werden muss (sitzt man hinter einer Fire-wall, muss man den Port 3389 freigeben).


Abbildung 2

Abbildung 1

HowTo:

Konfiguration: Rechts klicken auf Arbeitsplatz – Eigen-schaften - Remote

Ausführung: Start – Programme – Remoteunterstützung

3.) Remotedesktop-Webverbindung

Um diese Funktion zu nutzen, ist es erforderlich,den WWW-Dienst (IIS 5) zu installieren, mit dem stan-dardmäßig die Remote Desktop-Webverbindung dazuinstalliert wird. Dann ist es möglich, über die lokaleWebsite den Remote-Computer fernzusteuern (http://123.456.789.123/tsweb).

HowTo:

1.) Start – Einstellungen – Systemsteuerung

Unter Software auf Windows-Komponenten hinzufügen/entfernen gehen.

Jetzt markiert man Internet-Informationsdienste (IIS)und klickt auf Details, dann selektiert man WWW-Dienst.(Unter Details und sollte dann auch der Punkt RemoteDesktop-Webverbindung angehakt sein).

2.) Start – Einstellungen – Systemsteuerung

Unter Verwaltung auf Internet-Informationsdienste gehen.

In dieser MMC erweitert man Websites (aufs Pluszeichendrücken) und markiert dann tsweb. Jetzt öffnet man dieEigenschaften von tsweb (rechte Maustaste) und wech-selt dann zur Registerkarte Verzeichnissicherheit, woman im Feld Steuerung des anonymen Zugriffs und derAuthentifizierung auf Bearbeiten. Hier wird AnonymerZugriff aktiviert und, nachdem man noch zweimal aufOK gedrückt hat, ist man fertig.

Application-Check

Der Application-Check ist eine überaus hilfreiche undpraktische Innovation in Windows XP, welche die Gefah-ren bei einem Systemupdate senken soll, da Applikatio-nen vor dem Update nach Möglichkeit auf Funktions-tüchtigkeit geprüft werden. In gesonderten Fällen ist esmöglich, die betreffende Applikation „kompatibel“ zumachen, indem das Environment (Zugriff auf Systemda-teien, Umgebungsvariablen, usw.) auf das entsprechendeSystem herabgestuft wird.

Aus Erfahrung kann ich sagen, dass es sich bis jetztnoch nie wirklich ausgezahlt hat, ein Betriebssystem-Up-date durchzuführen. Sinn macht es, diesen Application-Check am alten System auszuführen, um zu sehen, fürwelche Programme man Updates besorgen muss, und dasBetriebssystem neu aufzusetzen.

Multimediales

Im Großen und Ganzen kann man sagen, dass es vonAllem etwas, aber nichts Ganzes gibt.

Mit WebCams (Plug and „Pray“ wurde auf USB an-scheinend verbessert) kann man standardmäßig Snapshotsschießen, ohne Zusatzsoftware zu installieren.

Das CD-Brennen hat einen vergleichbaren Leistungs-umfang wie Roxios DirectCD. Die zu brennenden Datei-en werden lediglich auf das CDR-Laufwerk kopiert (Abb.3) und mit der entsprechenden Bestätigung auf der CDverewigt. Beim Beschreiben der CDR steht lediglich CD-ROM XA Mode 2 zur Verfügung, was aber wiederum inden meisten Fällen ausreichend sein sollte (z.B. Datensi-cherung und Portierung).

Komprimierte Dateien (z.B.: WinZip) können ohne Zu-satzsoftware geöffnet werden.

Spracherkennung, Schrifterkennung, Sprachausgabe

HowTo:

Start – Einstellungen – Systemsteuerung – Sprachein-/ausgabe

Netzwerk

Nettes Feature für Administratoren, denen es zu blödist, hundert mal am Tag ein DOS-Fenster zu öffnen: BeiWindows XP ist kein winipcfg (Win98) oder ipconfig(WinNT) mehr nötig!

HowTo:

Start – Einstellungen – Netzwerkverbindungen

Öffnet man LAN-Verbindung (Status von LAN-Verbin-dung), dann gibt’s da was Neues, und zwar Netzwerkun-terstützung. Unter den Details wird u.a. auch die phy-sikalische Adresse aufgelistet).


Abbildung 3

Personelle VeränderungenHerr Dipl.-Ing. Udo Linauer, der bisherige Beauf-

tragte für IT-Sicherheit am ZID, wurde vom Bundesmi-nisterium für öffentliche Leistung und Sport abgeworbenund ist vom 1. 2. 2002 bis 31. 12. 2003 für die Mitarbeitin der IT Task Force der Bundesregierung karenziert. DieAgenden des Bereichs Sicherheit sind in die AbteilungStandardsoftware eingegliedert worden.

Seit Anfang März ist Herr IngmarJaitner ([email protected], Nst:42037) in der Abt. Standardsoftwareschwerpunktmäßig zur Unterstützung imBereich Systemsicherheit tätig.

Wir wünschen allen neuen Mitarbeitern viel Erfolgund Freude bei ihrer Tätigkeit am ZID.

Herr Ing. Thomas Gonschorowski([email protected], Nst.42056) ist seit Anfang August in der Ab-teilung Kommunikation im Bereich Netz-Hardware, Infrastruktur im Access-Be-reich tätig.

Seit Anfang August arbeitet HerrDietmar Sonnleitner ([email protected], Nst. 42087) in der Ab-teilung Zentrale Services anstelle vonHerrn Manfred Hautzinger, der EndeMai den Zentralen Informatikdienst ver-lassen hat. Sein Aufgabengebiet ist dieUNIX-Systemunterstützung bei den zen-tralen Servern.


Wählleitungen01 / 589 32 Normaltarif

07189 15893 Online-Tarif(50 km um Wien)

Datenformate:300 - 56000 Bit/s (V.92)

MNP5/V.42bis/V.44PPP

ISDN Synchronous PPP

Auskünfte, Störungsmeldungen

SekretariatTel.: 58801-42001E-Mail: [email protected]

TUNET

Störungen

Tel.: 58801-42003E-Mail: [email protected]

E-Mail: [email protected]

Hotline: 08 (nur innerhalb der TU)E-Mail: [email protected],Abrechnung: 58801-42008TU-ADSL

Hotline 58801-42007E-Mail: [email protected]

Netz- und SystemsicherheitE-Mail: [email protected]

Service-Line Abt. StandardsoftwareTel.: 58801-42004E-Mail: [email protected]

SystemunterstützungComputer Help Line 42124E-Mail: [email protected]: sts.tuwien.ac.at/pss/

CampussoftwareE-Mail: [email protected]

[email protected]

Zentrale Server, OperatingTel.: 58801-42005E-Mail: [email protected]

Internet-RäumeTel.: 58801-42006E-Mail: [email protected]

PersonalverzeichnisTelefonliste, E-Mail-Adressen

Zentraler Informatikdienst (ZID)der Technischen Universität WienWiedner Hauptstraße 8-10 / E020A - 1040 WienTel.: (01) 58801-42000 (Leitung)Tel.: (01) 58801-42001 (Sekretariat)Fax: (01) 58801-42099Web: www.zid.tuwien.ac.at

Leiter des Zentralen Informatikdienstes:

W. Kleinert 42010 [email protected]

Administration:

A. Müller 42015 [email protected]

M. Grebhann-Haas 42018 [email protected]

Öffentlichkeitsarbeit

I. Husinsky 42014 [email protected]

Abteilung Zentrale Services

www.zid.tuwien.ac.at/zserv/

Leitung

P. Berger 42070 [email protected]

W. Altfahrt 42072 [email protected]

J. Beiglböck 42071 [email protected]

P. Deinlein 42074 [email protected]

P. Egler 42094 [email protected]

H. Eigenberger 42075 [email protected]

C. Felber 42083 [email protected]

H. Flamm 42092 [email protected]

W. Haider 42078 [email protected]

E. Haunschmid 42080 [email protected]

M. Hofbauer 42085 [email protected]

P. Kolmann 42095 [email protected]

F. Mayer 42082 [email protected]

J. Pfennig 42076 [email protected]

M. Rathmayer 42086 [email protected]

M. Roth 42091 [email protected]

J. Sadovsky 42073 [email protected]

D. Sonnleitner 42087 [email protected]

E. Srubar 42084 [email protected]

Werner Weiss 42077 [email protected]

Abteilung Kommunikation

nic.tuwien.ac.at

Leitung

J. Demel 42040 [email protected]

S. Beer 42061 [email protected]

F. Blöser 42041 [email protected]

G. Bruckner 42046 [email protected]

S. Dangel 42066 [email protected]

A. Datta 42042 [email protected]

T. Eigner 42052 [email protected]

S. Geringer 42065 [email protected]

T. Gonschorowski 42056 [email protected]

J. Haider 42043 [email protected]

P. Hasler 42044 [email protected]

S. Helmlinger 42063 [email protected]

H. Kainrath 42045 [email protected]

J. Klasek 42049 [email protected]

W. Koch 42053 [email protected]

T. Linneweh 42055 [email protected]

I. Macsek 42047 [email protected]

M. Markowitsch 42062 [email protected]

F. Matasovic 42048 [email protected]

W. Meyer 42050 [email protected]

R. Vojta 42054 [email protected]

Walter Weiss 42051 [email protected]

Abteilung Standardsoftware

sts.tuwien.ac.at

Leitung

A. Blauensteiner 42020 [email protected]

C. Beisteiner 42021 [email protected]

J. Donatowicz 42028 [email protected]

G. Gollmann 42022 [email protected]

M. Holzinger 42025 [email protected]

I. Jaitner 42037 [email protected]

N. Kamenik 42034 [email protected]

A. Klauda 42024 [email protected]

H. Mastal 42079 [email protected]

H. Mayer 42027 [email protected]

G. Mosinzer 42023 [email protected]

E. Schörg 42029 [email protected]

R. Sedlaczek 42030 [email protected]

W. Selos 42031 [email protected]

B. Simon 42032 [email protected]

A. Sprinzl 42033 [email protected]

W. Steinmann 42036 [email protected]

P. Torzicky 42035 [email protected]


Documents

ZIDline 07