Die Zukunft des Europäischen Wissenschaftsnetzes - GÉANT 2020 - DFN-Verein
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Deutsches Forschungsnetz Mitteilungen Ausgabe 81 | November 2011
www.dfn.de
Mitteilungen
Die Zukunft des Europäischen
Wissenschaftsnetzes
GÉANT 2020
Verschlüsselung für VoIP
Sichere Verbindungen im
DFNFernsprechen
Der Preis der Jugend
Neue Herausforderungen durch die
steigende Zahl minderjähriger Studierender
Impressum Herausgeber: Verein zur Förderung eines Deutschen Forschungsnetzes e. V. DFN-Verein Alexanderplatz 1, 10178 Berlin Tel.: 030 - 88 42 99 - 0 Fax: 030 - 88 42 99 - 70 Mail: dfn-verein@dfn.de Web: www.dfn.de ISSN 0177-6894 Redaktion: Kai Hoelzner (kh) Fotos: Torsten Kersting Gestaltung: Labor3 | www.labor3.com Druck: Rüss, Potsdam ©DFN-Verein 11/2011 Fotonachweis: Titel © Scanrail/Finnland Seite 6/7 © iStockphoto Seite 26/27 © iStockphoto
Prof. Dr. Gerhard Peter
Altrektor der Hochschule Heil-
bronn, Leiter der DFN-Nutzer-
gruppe Hochschulverwaltung
Die Nutzergruppe Hochschulverwaltung blickt in diesem Jahr auf ihr 20-jähriges Beste-
hen zurück. Am 10.11.1991 gegründet, hat sich die Nutzergruppe zur Aufgabe gemacht,
die Nutzung des Wissenschaftsnetzes für Verwaltungszwecke und dessen Nutzung
durch Verwaltungspersonal zu unterstützen. In der Nutzergruppe Hochschulverwal-
tung werden Informationen, die für die Hochschulverwaltungen relevant sind, ziel-
gruppengerecht aufbereitet. Das Themenspektrum der Nutzergruppe reicht dabei von
Netz-Diensten wie Video- und Web-Conferencing über Identity-Management bis hin zu
Datenschutzgesetzen oder Datensicherheit. Ebenso wird über die Entwicklung der den
Diensten und Services des DFN zugrunde liegenden technologischen Plattform infor-
miert. Ziel ist es, den Hochschulleitungen und Verwaltungsmitarbeitern Know-how zu
vermitteln und über die Potenziale wie auch die Risiken beim Einsatz von Netz-Tech-
nologien zu informieren.
In zweijährigem Rhythmus treffen sich die Mitstreiter der Nutzergruppe zu einer Tagung,
um den aktuellen Stand der Diskussion vor und mit einem breiten Forum von Fachleuten
und Kollegen zu erarbeiten. Seit Gründung der Nutzergruppe haben sich diese mehr-
tägigen Treffen für Hochschulleitungen, für Mitarbeiter der Hochschulverwaltungen
und der Rechenzentren sowie andere Interessierte zu einem aus dem Hochschulma-
nagement nicht mehr wegzudenkenden Termin entwickelt. Mehr als 200 Teilnehmer
trafen sich so im Mai 2011 in Berlin. Eine Reihe von Teilnehmern hat nach eigenem Be-
kunden in der 20-jährigen Geschichte dieser Tagung keinen einzigen Termin verpasst.
Als Sprecher der Nutzergruppe möchte ich die Gelegenheit nutzen, all jenen zu dan-
ken, die in den vergangenen Jahren zum Gelingen der Tagungen und zu der laufenden
Arbeit in der Nutzergruppe beigetragen haben. Als ein besonderes Merkmal der Grup-
pe muss genannt werden, dass es allen Mitgliedern gelungen ist, ein hohes fachliches
Interesse mit einem harmonischen Umfeld zu verbinden und die Arbeit in der Nutzer-
gruppe in gegenseitigem Vertrauen durchzuführen.
Zwanzig Jahre Nutzergruppe heißt aber auch, dass viele der Initiatoren von einst be-
reits im Ruhestand sind oder in den kommenden Jahren in den Ruhestand gehen wer-
den. Der Generationswechsel ist in vollem Gang, aber die Themen für die zukünftigen
Verwaltungsabläufe bleiben so spannend, dass auch die Jüngeren an dem Arbeitsge-
biet interessiert sind. Es bleibt interessant, eine Entwicklung mitzutragen und Hoch-
schulmitarbeiter auf diesem Weg unterstützend zu begleiten. Ein weiterer Grund für
die langjährige Zusammenarbeit in der Nutzergruppe war auch, dass es immer gelun-
gen ist, die eigene Weiterbildung mit der Vermittlung von Wissen an Dritte zu verbin-
den und von den Tagungsteilnehmern interessante Rückmeldungen zu vorgetragenen
eigenen Vorstellungen über zu ändernde Verwaltungsabläufe zu bekommen.
4 | DFN Mitteilungen Ausgabe 81 | November 2011
1 2 3 4
5 6 7 8
9 10 11 12
13 14 15
Unsere Autoren dieser Ausgabe im Überblick
1 Andrea Wardzichowski, DFN-Verein (wardzichowski@dfn.de); 2 Stefan Anders,
DFN-Verein (anders@dfn.de); 3 Renate Schroeder, DFN-Verein (schroeder@dfn.de);
4 Frank Klapper, Universität Bielefeld (frank.klapper@uni-bielefeld.de); 5 Kai
Hoelzner, DFN-Verein (hoelzner@dfn.de); 6 Hans-Martin Adler, DFN-Verein (adler@
dfn.de); 7 Petra Eitner, DFN-Verein (eitner@dfn.de); 8 Dr. Stefan Piger, DFN-Verein
(piger@dfn.de); 9 Prof. Dr. Andreas Hanemann, Fachhochschule Lübeck (hanemann.
andreas@fh-luebeck.de); 10 Dr. Marcus Pattloch, DFN-Verein (pattloch@dfn.de);
11 Dr. Ralf Gröper, DFN-Verein (groeper@dfn.de); 12 Daniel Wörheide, Forschungs-
stelle Recht im DFN (daniel.woerheide@uni-muenster.de); 13 Christian Mommers,
Forschungsstelle Recht im DFN (christian.mommers@uni-muenster.de).
DFN Mitteilungen Ausgabe 81 | 5
Inhalt
Wissenschaftsnetz Campus
DFN-MailSupport Silbernes Internet-Jubiläum: .de-Zone seit 25 Jahren
von Andrea Wardzichowski, Stefan Anders .................. 8 online . ........................................................................... 37
Verschlüsselung für VoIP im Dienst
DFNFernsprechen Sicherheit
von Renate Schroeder ................................................... 12
Sicherheit aktuell
von Marcus Pattloch, Ralf Gröper ................................. 40
Interview zum Konstant-Tarif beim
DFNFernsprechen in Bielefeld
von Kai Hoelzner . ......................................................... 16 Recht
Der Preis der Jugend
X-WiN 2011 von Daniel Wörheide ........................ ............................. 41
von Hans Martin Adler, Petra Eitner, Stefan Piger . ..... 19
PGP-Keyserver: Ein rechtliches Risiko
Kurzmeldungen ............................................................ 24 von Christian Mommers ................................................ 48
International DFN-Verein
Mit eigenen Wellenlängen quer durch Europa Übersicht über die Mitgliedseinrichtungen
von Andreas Hanemann und Stefan Piger . .................. 28 und Organe des DFN-Vereins ........................................ 52
Bericht über die Zukunft des Europäischen Wissen-
schaftsnetzes veröffentlicht ........................................ 30
GÉANT 2020 as the European Communications
Commons ....................................................................... 32
Internationale Kurzmeldungen ................................... 36
6 | DFN Mitteilungen Ausgabe 81 | November 2011 | WISSENSCHAFTSNETZ
WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 81 | 7 Wissenschaftsnetz DFN-MailSupport von Andrea Wardzichowski und Stefan Anders Verschlüsselung für VoIP im Dienst DFNFernsprechen von Renate Schroeder Interview zum Konstant-Tarif beim DFNFernsprechen in Bielefeld von Kai Hoelzner X-WiN 2011 von Hans-Martin Adler, Petra Eitner und Stefan Piger Kurzmeldungen
8 | DFN Mitteilungen Ausgabe 81 | November 2011 | WISSENSCHAFTSNETZ
DFN-MailSupport
Um das Aufkommen unerwünschter Mail im Wissenschaftsnetz zu reduzieren, berei-
tet der DFN-Verein derzeit die Einführung eines Anti-Spam- und Anti-Malware-Diens-
tes vor. Seit August 2011 im Pilotbetrieb, soll der Dienst „DFN-MailSupport“ Anfang
2012 als kostenneutraler Zusatzdienst eingeführt werden. Nutzer des DFN-Internet-
dienstes können Spam- und Malware-Mails künftig bereits markiert über das Wissen-
schaftsnetz empfangen und so wertvolle Ressourcen bei der Mail-Prüfung einsparen.
Text: Andrea Wardzichowski (DFN-Verein), Stefan Anders (DFN-Verein)
Foto: © fotolia
Mehr Sicherheit, weniger
Mails allerdings qualitativ und inhaltlich, als Kommunikationsmedium benutzbar zu
Aufwand
so stellt man fest, dass sich die Mehrheit erhalten, muss daher kontinuierlich in Sys-
Seit Einführung von E-Mail wächst das Mail- der Mails aus unerwünschten Spam- und teme investiert werden, die genügend Re-
Aufkommen beständig. Betrachtet man die Malware-Mails zusammensetzt. Um E-Mail chenleistung, Durchsatz und aktuelle Er-
WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 81 | 9
kennungsverfahren bereitstellen, um ei- von Dell. Jeder Server besitzt 4 CPUs mit die Spam-Erkennung wird bei DFN-Mail-
ne effektive Spam- und Malware-Abwehr jeweils 10 Kernen und 2.5 GHz Taktrate. Support „SpamAssassin“ aufgerufen, die
zeitnah durchführen zu können. Als Mail-Spool dienen jeweils zwei Solid- Malware-Erkennung übernehmen „Avira“,
State-Disks. „ClamAV“ und „Sophos“.
Das Ziel von DFN-MailSupport ist es, ei-
nen leistungsfähigen und hochverfügba- In seiner ersten Ausbaustufe ist der Dienst Teilnahme am Dienst
ren Service anzubieten, der einerseits Mails auf einen Durchsatz von mindestens 300
von verdächtigen Hosts abweist und an- Mails pro Sekunde ausgelegt. Durch Ein- Als Ansprechpartner für die Anwender wird
dererseits Mails auf Spam und Viren un- satz weiterer Blades kann die Kapazität eine Hotline eingerichtet, die umfassende
tersucht und diese markiert. Verdächtige des Systems im Bedarfsfall schnell und un- Hilfe beim Einrichten und bei der Adminis-
Mails dürfen aus rechtlichen Gründen nicht kompliziert erweitert werden. Die räumli- tration des Dienstes anbietet. Möchte ei-
verworfen, sondern müssen zugestellt wer- che Situation an den Kernnetz-Standorten ne Einrichtung am DFN-MailSupport teil-
den. Jedoch werden Mails nur dann ange- lässt dabei genügend Spielraum für eine nehmen, klärt sie mit der Hotline zunächst
nommen, wenn ihre Empfänger-Adresse Vervielfachung der Server-Ausstattung. die Konfigurationsparameter des Diens-
tatsächlich existiert. tes ab. Hierbei werden die Namen der be-
Software troffenen Mail-Domains, die DNS-Einträ-
Dadurch erhöht DFN-MailSupport zum ge der für die Mail-Domain zuständigen
einen die Sicherheit für die Nutzer. Zum Die drei Mailgateways werden unter Debi- Mailserver sowie die Anzahl der Nutzer,
anderen entlastet der Dienst die Mailser- an Linux betrieben. Als Mail Transfer Agent die ungefähre Anzahl der zu verarbeiten-
ver der Anwender, so dass diese mit weni- (MTA) wird im WiNShuttle bereits seit Jah- den Mails und die beim Anwender verein-
ger kostenaufwändiger und wartungsbe- ren erfolgreich Postfix eingesetzt. Tech- barte zulässige maximale Größe einer Mail
dürftiger Hardware in ihren Einrichtungen nisch gesehen wird für jeden Anwender benannt. Außerdem muss ein Ansprech-
auskommen. Allerdings bietet DFN-Mail- von DFN-MailSupport eine eigene Postfix- partner beim Anwender für Störfälle an-
Support keinen POP/IMAP-Server. Die Pfle- Instanz betrieben, die über eine IPv4- und gegeben werden.
ge der Mailboxen ihrer Nutzer sowie das IPv6-Adresse erreichbar ist. Die jeweils ei-
Bereithalten von Plattenplatz und Back- genen Instanzen für jeden Nutzer ermög- Der Anwender erhält eine Einrichtungs-
ups für den lokalen Mailservice liegt wei- lichen im Bedarfsfall eine spezifische Kon- Nummer sowie ein sogenanntes Hotline-
terhin in der Verantwortung der Einrich- figuration des Dienstes. Kennwort zugewiesen, mit dem Änderungs-
tungen. wünsche, die per Telefon eingehen, auto-
Nutzt eine Einrichtung IPv6 im produkti- risiert werden können.
Die Hardware ven Betrieb, können Mails bereits im Pilot-
betrieb per IPv6 zugestellt werden. IPv6- Konfiguration der Mailserver
Die zur Erbringung von DFN-MailSup- Zustellung kann aber auch zu einem spä-
port eingesetzte Hardware ist direkt an teren Zeitpunkt aktiviert werden. Auf Seiten der Anwender sind vor der Teil-
drei Kernnetzknoten des X-WiN installiert. nahme an DFN-MailSupport nur wenige
Alle Standorte sind technisch gleich gut Bereits in Postfix werden Realtime Black- Konfigurationsarbeiten zu erledigen. Der
ausgestattet, verfügen über eine doppelte hole Lists (RBLs) eingebunden, mit denen MX-Record im Domain Name System (DNS)
Anbindung an das Wissenschaftsnetz und Mails von bereits bekannten Spam-Versen- gibt dem Versende-Server einer Mail an,
wurden Ende September 2011 in Betrieb dern erkannt und vor der eigentlichen welches System auf der Empfängerseite,
genommen. Die Entscheidung für mehre- Übertragung des Mail-Inhalts zurückge- etwa für die Adresse nutzer@dfn.de für
re Standorte ergab sich aus Betrachtun- wiesen werden können. Somit wird kei- den Empfang von E-Mails zuständig ist. Der
gen zur Verfügbarkeit und Lastverteilung ne weitere Prüfung, Markierung und Aus- existierende Eintrag im DNS muss vom An-
im Netz. Eine ähnliche Verteilung von Res- lieferung notwendig. wender entsprechend den Vorgaben des
sourcen hat sich bereits im DFNVC-Dienst DFN-Vereins geändert werden.
bewährt, wo die eingesetzten MCUs und Wird eine E-Mail durch Postfix angenom-
ISDN-Gateways ebenfalls an mehreren men, wird sie zur inhaltsbasierten Spam- Da drei Server an drei Standorten im Wis-
Kernnetzknoten des Wissenschaftsnet- Erkennung an ein Programm namens „Ama- senschaftsnetz als Mail-Server fungieren,
zes installiert sind. visd“ übergeben, das verschiedene Zusatz- müssen auch alle drei Server als MX-Server
programme aufruft, mit denen die Mails im DNS eingetragen werden. Von nun an
Die Hardware-Basis von DFN-MailSupport auf Spam-Indizien und Malware untersucht werden die Mails an eines der drei Mail-Ga-
besteht aus drei PowerEdge M915 Servern und entsprechend markiert werden. Für teways an den DFN-Standorten gesendet.
10 | DFN Mitteilungen Ausgabe 81 | November 2011 | WISSENSCHAFTSNETZ
DNS-Anfrage
Mail MX Record
ternativ kann die Verifikation der Empfän-
DNS der
Uni Test RBL1 RBL2 RBLn ger-Adressen nämlich auch anhand einer
… vom Anwender übermittelten statischen
RBLs
Liste der realen Empfänger-Adressen einer
sende Mail an eines der
Mailgateways
anfragen Einrichtung durchgeführt werden.
mfilter-999-1-2.mx.srv.dfn.de
Spam- und Malware-Erkennung
RBL ok: Mail weiterverarbeiten
Nach erfolgreicher Prüfung der Vertrau-
Fehlermeldung an Absender erzeugt
RBL nicht ok: Mail geht zurück enswürdigkeit des Versende-Servers und
der Empfänger-Adresse wird die vollstän-
Abb. 1: Der Absenderhost wird anhand von RBLs auf seine Reputation geprüft.
dige Mail angenommen und an das Pro-
gramm „Amavisd“ übergeben. Dieses prüft
zunächst auf unerwünschte Anhänge. Hier-
zu zählen vor allem ausführbare Dateien
Selbstverständlich kann eine Einrichtung Adressat existent? wie „.exe“, „.dll“ oder „.pif“. Eine vollstän-
die MX-Records jederzeit wieder auf die dige Liste der zu markierenden Anhänge
eigenen Mailserver umleiten. Die Hoheit In einem zweiten Schritt vor der Annahme wird in Kürze auf dem Portal für DFN-Mail-
über die DNS und MX-Records verbleibt so- der eigentlichen Mail prüft Postfix, ob die Support veröffentlicht. Wird eine Mail mit
mit beim Anwender, der allein durch Än- Empfänger-Adresse beim Anwender über- einer angehängten „.exe“-Datei markiert,
derung dieser Einträge über die Nutzung haupt existiert. Dazu wird der Mailserver würde ein entsprechender Eintrag im Mail-
des DFN-Dienstes entscheidet. der Einrichtung des Empfängers mit einer Header lauten:
Testmail befragt, ob die Empfängeradresse X-Amavis-Alert: BANNED, message
Versende-Server verdächtig? existiert. Antwortet der Mailserver auf die- contains .exe,.exe-ms,UPS_DELI-
se Anfrage positiv, nimmt Postfix die Mail VERY_NOTICE_Manalâ?®cod.exe
Bei Eingang einer Mail prüft Postfix zu- an. Existiert kein realer Empfänger, wird
nächst anhand von Realtime Blackhole die Mail von Postfix zurückgewiesen. Anschließend ruft Amavisd nacheinander
Lists (RBLs) die Reputation des Versende- Avira und ClamAV für die Prüfung auf Mal-
Servers. Ist der Server nicht vertrauenswür- Vorsicht ist allerdings geboten, wenn ware auf. Bei Erkennung von Malware wer-
dig, wird die Mail nicht angenommen. Der Mailserver grundsätzlich mit „OK“ ant- den diese Header ergänzt durch z. B.
Absender erhält dann eine Fehlermeldung. worten. Einige Produkte auf dem Markt X-Amavis-Alert: INFECTED, message
Derzeit werden für DFN-MailSupport fol- erzwingen, dass die Mail trotz nicht exis- contains virus: PHISH/PayPal.AX
gende RBLs genutzt: tierender Empfängeradresse übertragen
wird, um die Prüfung selbst durchzufüh- Zur Spam-Erkennung durchlaufen die Mails
• zen.spamhaus.org ren. Doch selbst wenn die automatisierte danach einen regelbasierten Filter (Spa-
• dbl.spamhaus.org Adressen-Verifikation mit vereinzelten Sys- mAssassin) und einen Bayes-Filter (Bogofil-
• bl.spameatingmonkey.net temen am Markt nicht funktioniert, kann ter). Übersteigen diese in der Summe einen
• fresh10.spameatingmonkey.net der Anwender DFN-MailSupport nutzen. Al- Schwellwert, wird die E-Mail als Spam ein-
• b.barracudacentral.org
• ix.dnsbl.manitu.net
• dsn.rfc-ignorant.org Abb. 2: Adressen-Verifikation
Um Mails trotz fälschlicher oder irrtümli- mfilter-999-1-2.mx.srv.dfn.de mail.testuni.de
SMTP
cher Blacklist-Einträge empfangen zu kön- Anfrage existiert der Adressat?
nen, lassen sich in Postfix Ausnahmen, so
genannte „Whitelists“, für den RBL-Check JA „200 OK“
Helo mfilter-999-1.2.srv.dfn.de
Mail wird weiterverarbeitet
konfigurieren. Die Einträge in einer White- MAIL FROM: foo@bar
RCPT TO: user@testuni.de
list lassen sich sogar differenziert nach „IP-
Adresse des Versender-Servers“, „Mail-Ad- Mail wird abgelehnt,
Fehlermeldung erzeugt NEIN
resse des Absender“, und „Mail-Adresse des Abbruch des Dialogs
Empfängers“ vornehmen.WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 81 | 11
mfilter-999-1-2.mx.srv.dfn.de mail.testuni.de nen, an den die Logfiles von Postfix und
Amavisd versandt werden können.
ClamAV Sophos Postfächer
zustellen Zusätzlich stehen in Zukunft über eine
Webschnittstelle statistische Daten des
Mail Dienstes zur Verfügung.
Spam-
Avira Assassin
Whitelists
prüfen und taggen
Spam ändert sich fortwährend. Aus diesem
Abb. 3: Prüfen, Markieren und Zustellen der Mail Grund müssen die Spamfilter laufend an-
gepasst werden. Für jeden Anwender gibt
es spezifische Mailadressen, an die Mails
gestuft und es werden folgende Header er- Mailserver hier für welche Maildomain zu- gesendet werden können, die fälschlicher-
gänzt (z. B. für Spam ab Spam-Level 6.2): ständig sind, wurde von der Einrichtung weise markiert bzw. nicht markiert wur-
X-Spam-Flag: YES im Vorfeld mitgeteilt. den. Der Zugang zu diesen Mailadressen
X-Spam-Score: 7.022 wird mit Hilfe von IP-Adressen und Absen-
X-Spam-Level: ******* Ob die Mails dann in der Inbox der Nut- der-Mailadressen auf die Postmaster der
X-Spam-Status: Yes, zer abgelegt oder anhand der von DFN- Anwender eingeschränkt, um böswilliges
score=7.022 tagged_above=2 MailSupport eingefügten Header schon in falsches Training zu vermeiden.
required=6.2 Unterordner sortiert werden, entscheidet
tests=[BOGO_SPAM=7, HTML_ wie bisher der Anwender. Hier nimmt der Für die Pflege der Black-/Whitelists ist
FONT_SIZE_HUGE=0.001, HT- DFN-Verein keinen Einfluss. ebenfalls eine Webschnittstelle geplant, so
ML_MESSAGE=0.001, T_FRT_CON- dass einzelne Adressen leichter eine maß-
TACT=0.01, T_FRT_PROFIT1=0.01] Umfassende Kontrolle durch geschneiderte Konfiguration des Dienstes
autolearn=disabled den Anwender erhalten können. M
Auch wenn eine Mail nicht als Spam oder Ein wichtiger Aspekt des Dienstes DFN- Kontakt
mit Malware infiziert klassifiziert wurde, MailSupport ist eine größtmögliche Trans- Mehr Information und Dokumentation fin-
wird ein Header eingefügt: parenz für den Anwender und die Berück- den Sie in Kürze unter http://www.dfn.de/
X-Virus-Scanned: Debian amavisd- sichtigung individueller Anforderungen. dienstleistungen/dfn-mailsupport
new at mgw1-stu.srv.dfn.de Um etwa das Debugging des Dienstes für
die lokale Mail-Administratoren zu erleich- Anmeldung
Zustellung der Mails tern, wird für jede Einrichtung ein Syslog- mailsupport@dfn.de
Stream erzeugt. Anhand dieses Streams
Die Prüfung der E-Mail ist nunmehr abge- kann nachverfolgt werden, ob eine Mail Hotline
schlossen und sie kann an den Mailserver zugestellt wurde oder nicht. Die Anwender 0711-63314-217
des Anwenders zugestellt werden. Welche müssen hierfür lediglich einen Host benen- hotline@mailsupport.dfn.de
Abb. 4: Wochenstatistik für DFN-Mail Support im Pilotbetrieb.12 | DFN Mitteilungen Ausgabe 81 | November 2011 | WISSENSCHAFTSNETZ
Verschlüsselung für VoIP im
Dienst DFNFernsprechen
Bereits seit fünf Jahren wird VoIP (Voice over IP) im Fernsprechdienst des DFN-Vereins
angeboten und von vielen Einrichtungen erfolgreich eingesetzt. Begonnen wurde zu-
nächst mit nur wenigen Funktionen und nur einem Gateway, worüber VoIP-Telefonate
in die öffentlichen Telefonnetze geführt werden konnten. Inzwischen haben viele
Weiterentwicklungen stattgefunden: Funktionen, Leistungsmerkmale, Verbindungs-
arten und auch die Möglichkeit zur Verschlüsselung wurden ergänzt.
Text: Renate Schroeder (DFN-Verein)
Foto: © Tareck El SombatiWISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 81 | 13
VoIP ist Bestandteil des Dienstes DFNFernsprechen. Teilnehmer DFN-Einrichtung A DFN-Einrichtung B
des Fernsprechdienstes haben die Wahl zwischen Analog- oder
ISDN-Anschlüssen, VoIP-Anschlüssen oder einer Kombination bei- VoIP-TK-Anlage VoIP-TK-Analge
der Anschlussarten. Zur Erbringung des Dienstes DFNFernspre-
chen arbeitet der DFN-Verein mit einem Provider zusammen, der
durch regelmäßige Ausschreibungen ermittelt wird. Zur Zeit fin-
det eine Zusammenarbeit mit T-Systems statt.
X-WiN
Die Voraussetzung für die Teilnahme einer Einrichtung am VoIP-
Betrieb ist der Betrieb einer VoIP-TK-Anlage in dieser Einrichtung.
Die VoIP-TK-Anlage wird an eine von T-Systems bereitgestellte
Breakout
VoIP-Plattform über einen SIP-Trunk angeschlossen. Prinzipiell
Breakin
ist auch der Anschluss von H.323-basierten Telefonanlagen mög- VoIP-Plattform
lich, in der Praxis wird dies jedoch nicht genutzt. Einzelne Tele-
fone können definitiv nicht angeschlossen werden.
VoIP-Verbindungen Öffentliche Telefonnetze
Über den SIP-Trunk werden verschiedene VoIP-Verbindungen ge-
Abb. 1: VoIP-Verbindungen über das Wissenschaftsnetz. Oranger Pfeil = Break-
schaltet: out; blauer Pfeil = Breakin; grüner Pfeil = Connect-Verbindung.
• Breakout-Verbindungen sind Verbindungen, die aus der keiten offerieren. Zur Gruppe der etablierten Hersteller gehö-
VoIP-Welt in die öffentlichen Telefonnetze führen. Der Ruf ren Aastra, Alcatel, Asterisk Server, Avaya, Cisco, Innovaphone,
wird von einer VoIP-TK-Anlage einer Einrichtung initiiert und Philips, Siemens und Swyx. Erfahrungsgemäß sind auch beim
über das X-WiN und einen Gateway (Breakout) auf der VoIP- Anschluss von VoIP-TK-Anlagen anderer Hersteller keine Proble-
Plattform zu einem Anschluss in den öffentlichen Telefon- me zu erwarten.
netzen geführt.
• Breakin-Verbindungen verlaufen in der Gegenrichtung. Der Verschlüsselung der VoIP-Verbindungen auf
Ruf kommt von einem Anschluss in den öffentlichen Tele-
dem Trunk
fonnetzen, wird in einem Gateway (Breakin) auf der VoIP-
Plattform in VoIP umgesetzt und erreicht als VoIP-Call über Mit einer Verschlüsselung werden Vertraulichkeit, Authentizität
das X-WiN die VoIP-TK-Anlage der Einrichtung. und Integrität der VoIP-Verbindungen auf dem Trunk gesichert.
• Connect-Verbindungen sind Verbindungen zwischen zwei Die Forderung des DFN-Vereins nach solch einer Verschlüsselung
VoIP-TK-Anlagen zweier Einrichtungen, die beide einen VoIP- der VoIP-Verbindungen konnte lange Zeit nicht erfüllt werden, da
Anschluss besitzen. Dabei handelt es sich um eine reine IP- vom Hersteller der VoIP-Plattform keine Verschlüsselung ange-
Verbindung. boten wird. Erst durch die Beschaffung eines zusätzlichen Geräts
durch den Provider wurde das Problem gelöst. Ein sogenannter
Alle Rufe (Signalisierung und Medienstrom) werden auf der VoIP- Session Border Controller (SBC), der mit der VoIP-Plattform ver-
Plattform terminiert. Das gilt auch für Connect-Verbindungen. bunden ist, übernimmt jetzt die Verschlüsselung der VoIP-Ver-
Damit wird die Verantwortung für die Einhaltung der gesetzli- bindungen auf dem Trunk. Die Verschlüsselung stellt eine signi-
chen Vorgaben auf den Provider verlagert, der unter Umständen fikante Aufwertung des VoIP-Angebots des DFN-Vereins dar.
auf richterliche Anordnung hin den Zugriff auf Verbindungsda-
ten und Gespräche ermöglichen muss. Solche Session Border Controller werden im Rahmen der multi-
medialen Echtzeitkommunikation auch in einigen Einrichtungen
Anschluss von VoIP-TK-Anlagen verschiedener eingesetzt, die eine VoIP-TK-Anlage betreiben. Sie können eine
Reihe von Aufgaben übernehmen, u.a. Zugangskontrolle, Verschlei-
Hersteller
erung der Topologie, Schutz vor DoS-Angriffen (Denial of Ser-
Der Anschluss von VoIP-TK-Anlagen an die VoIP-Plattform ist sehr vice), NAT-Traversal, Umgang mit Firewalls, Protokollumwand-
einfach. Mittlerweile gibt es viele Hersteller, deren VoIP-TK-An- lungen und – wie hier beschrieben – Verschlüsselungen.
lagen sich problemlos an die VoIP-Plattform anschließen lassen
und somit den Einrichtungen eine Vielzahl von Wahlmöglich-14 | DFN Mitteilungen Ausgabe 81 | November 2011 | WISSENSCHAFTSNETZ
Verschlüsselungsprotokolle TLS ist unterhalb der Anwendungsschicht (hier: SIP) und oberhalb
der Transport-Schicht (hier: TCP) angesiedelt. Wird SIP durch TLS
Zur Verschlüsselung von VoIP-Verbindungen werden die Proto- verschlüsselt, spricht man von SIPS (analog zu HTTPS). TLS bie-
kolle TLS (Transport Layer Security) und SRTP (Secure Real-Time tet die Sicherung von TCP-Verbindungen in Hinblick auf Authen-
Protocol) eingesetzt. Die Signalisierung, d.h. der Rufaufbau, die tizität, Integrität und Vertraulichkeit, d.h. die Nachricht kann si-
Rufsteuerung und der Rufabbau wird über TLS verschlüsselt. Für cher einem Sender zugeordnet, nicht verändert und nur von dem
die Verschlüsselung des Medienstroms der Sprachdaten wird SRTP vorgesehenen Empfänger gelesen werden. TLS beschreibt dafür
eingesetzt. Es ist zwingend notwendig, sowohl die Sprachdaten symmetrische Verschlüsselungsverfahren wie DES (Data Encryp-
als auch die Signalisierung zu verschlüsseln. Wird nur die Signa- tion Standard), Triple DES oder AES (Advanced Encryption Stan-
lisierung verschlüsselt, so kann das eigentliche Telefonat abge- dard). Im DFN wird AES eingesetzt, das ein sehr hohes Maß an
hört werden. Wird auf TLS verzichtet und nur der Medienstrom Sicherheit bietet.
über SRTP verschlüsselt, so können Daten der Gesprächsteilneh-
mer aus dem Signalisierungsprotokoll herausgelesen und mani- Das TLS-Protokoll wird auf zwei Schichten realisiert. Das Record
puliert werden. Ebenfalls sind dann die SRTP-Schlüssel im Klar- Protocol, das direkt auf TCP aufsetzt, ist für das Sichern der Ver-
text zu sehen und könnten zur Entschlüsselung der Sprachda- bindung zuständig. Dabei greift es auf Informationen aus den
ten verwendet werden (s. Verschlüsselung des Medienstroms darüber liegenden Protokollen (z. B. auf den im Handshake Pro-
über SRTP). tocol ausgehandelten Session Key) zu und verschlüsselt die Da-
ten. Zusätzlich sichert das Record Protocol die Authentizität
Verschlüsselung der Signalisierung über TLS und Integrität der Nachrichten mit Hilfe einer Hash-Funktion.
Über dem Record Protokoll liegen das Handshake Protocol, das
Das TLS-Protokoll ist ein Verschlüsselungsprotokoll zur sicheren Change Cipher Protocol, das Alert Protocol und das Application
Datenübertragung. Es wurde vom SSL-Protokoll (Secure Socket Data Protocol.
Layer) in der Version 3 abgespalten und weiterentwickelt. Die
Unterschiede von SSL und TLS sind zwar gering, dennoch sind Im Handshake Protocol erfolgt die Identifikation und Authenti-
TLS und SSL nicht kompatibel. fizierung der Kommunikationspartner über X.509v3-Zertifikate.
Transport Layer Security (TLS) in Kurzform
TLS ist ein Protokoll zur verschlüsselten Datenübertragung im Internet. Bei VoIP wird die Signalisierung
über TLS verschlüsselt.
TLS besteht aus zwei Protokollschichten:
1. Record Protocol
2. TLS Handshake Protocol/ Change Cipher Spec Protocol/ Alert Protocol/ Application Data Protocol
Das Record Protocol sorgt für
• Verschlüsselung der Verbindung mithilfe symmetrischer Algorithmen (z. B. DES, Triple DES oder AES).
Der Schlüssel dazu wird im Handshake Protocol ausgehandelt.
• Sicherung der Integrität und Authentizität der Nachrichten durch Verwendung von Hash-Funktionen.
Das Handshake Protocol baut auf dem Record Protocol auf und besteht aus vier Phasen.
1. Beim „hallo“ handeln Client und Server folgende Parameter aus: Protokollversion, Zufallsinformation für das
spätere premaster-secret, Session-ID, Cypher-Suite (Algorithmen für Schlüsselaustausch, Verschlüsselung und
Au thentifizierung)
2. Server identifiziert sich gegenüber dem Client und sendet sein X.509v3-Zertifikat
3. Client sendet sein X.509v3-Zertifikat an Server und prüft Server-Zertifikat. Mit dem öffentlichem Schlüssel
des Servers (aus Zertifikat) verschlüsselt Client das von ihm erzeugte --> pre-master-secret
4. pre-master-secret --> Master-secret --> session-key zur einmaligen symmetrischen Ver-/Entschlüsselung
Folgende Protokolle bauen ebenfalls auf dem Record Protocol auf:
Change Cipher Spec Protocol Darüber wird der Wechsel der Cipher Suite mitgeteilt.
Alert Protocol Darüber werden diverse Warnungen und Fehler mitgeteilt.
Application Data Protocol Fragmentierung, Komprimierung und ggf. Verschlüsselung der Anwendungsdaten.
Abb.2WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 81 | 15
Dabei ist eine einseitige Authentifizierung (Server authentifiziert wendig. Aus dem Master Key werden auf beiden Seiten Session
sich gegenüber Client) oder eine beidseitige Authentifizierung Keys abgeleitet, die dann für die Verschlüsselung der Nutzdaten
von Client und Server möglich. Im DFN wird mit der beidseiti- (Payload) und die Sicherung der Authentizität und Integrität der
gen Authentifizierung die sicherere Variante durchgeführt. Da- Pakete benutzt werden.
zu werden in den VoIP-TK-Anlagen Zertifikate der DFN-PKI einge-
setzt. Ebenfalls werden im Handshake Protocol die sogenannte Vorgehen beim Einsatz der VoIP-Verschlüsselung
Cipher Suite mit den kryptografischen Algorithmen und der Ses-
sion Key ausgehandelt, mit dem das Record Protocol die Verbin- In den letzten Monaten wurde die Verschlüsselung ausgiebig ge-
dung verschlüsselt. testet. Zum Ende dieses Jahres steht die VoIP-Verschlüsselung
im Regelbetrieb zur Verfügung. VoIP-TK-Anlagen von Einrichtun-
Zertifikate gen, die verschlüsselt telefonieren möchten, werden über einen
Trunk an den Session Border Controller angeschlossen. Dies gilt
Im DFN authentifizieren sich die VoIP-TK-Anlage einer Einrich- auch für VoIP-TK-Anlagen von Einrichtungen, die sich neu für eine
tung und der Session Border Controller der T-Systems gegenei- Nutzung des VoIP-Dienstes entscheiden, unabhängig davon, ob
nander (beidseitige Authentifizierung). Für die VoIP-TK-Anlage die Verbindungen verschlüsselt werden sollen oder nicht. VoIP-
sollte dazu in der Einrichtung ein Zertifikat der DFN-PKI instal- TK-Anlagen von Einrichtungen, die bereits an der VoIP-Plattform
liert werden. Dieses Zertifikat kann gegenüber dem SBC einge- angeschlossen sind, aber keine Verschlüsselung wünschen, blei-
setzt werden, aber auch gegenüber den VoIP-Telefonen der Ein- ben vorerst an der VoIP-Plattform und werden sukzessive an den
richtung. Das Zertifikat ist bei der eigenen CA (Zertifizierungs- SBC geschaltet.
stelle) unter dem Zertifikatprofil „VoIP-Server“ zu beantragen.
Der SBC besitzt ein Zertifikat, das auf einem eigenen Wurzelzer- Die Verschlüsselung wurde bisher nur für VoIP-TK-Anlagen derje-
tifikat aufbaut. Dieses Wurzelzertifikat muss in der VoIP-TK-An- nigen Hersteller getestet, die von mehreren Einrichtungen ein-
lage als vertrauenswürdig akzeptiert werden, damit die beidsei- gesetzt werden. Einrichtungen mit VoIP-TK-Anlagen, für die die
tige Authentifizierung zwischen VoIP-TK-Anlage und SBC erfolg- Verschlüsselung getestet wurde, werden sofort an den SBC an-
reich durchgeführt werden kann. geschlossen. Einrichtungen mit VoIP-TK-Anlagen, für die die Ver-
schlüsselung noch nicht getestet wurde, durchlaufen zunächst
Verschlüsselung des Medienstroms über SRTP einen Test über ein Testequipment. Alle Einrichtungen, die die
VoIP-Verschlüsselung einsetzen möchten, wenden sich bitte an
SRTP (Secure Real-Time Protocol) ist die gesicherte Version des schroeder@dfn.de. M
RTP-Protokolls. Analog dazu wird das Real-Time Control Proto-
col (RTRCP) durch das Secure Real-Time Control Protocol (SRT-
CP) gesichert. Zum Transport werden RTP/RTCP in SRTP/SRTCP
eingebettet. DFN-Einrichtung A DFN-Einrichtung B DFN-Einrichtung C
Trunk alt mit Trunk neu mit Trunk alt ohne
SRTP sichert die Authentizität und Integrität der Nachrichten Verschlüsselung oder ohne Verschlüsselung
Verschlüsselung
mit Hilfe von Hashfunktionen, die Vertraulichkeit der Nutzdaten
(Payload) durch eine Verschlüsselung und zusätzlich den Schutz
vor Replay-Angriffen. Die Verschlüsselung erfolgt Ende-zu-Ende VoIP-TK-Anlage VoIP-TK-Anlage VoIP-TK-Anlage
über das Verschlüsselungsverfahren AES.
SRTP selbst besitzt kein eigenes Schlüsselmanagement, deshalb
muss vor dem SRTP-Datenaustausch zunächst ein Master Key
zwischen beiden Seiten ausgetauscht werden. Der Austausch X-WiN
des Master Keys kann über verschiedene Verfahren erfolgen, z. B.
Mikey (Multimedia Internet Keying), ZRTP (Key Exchange Propo-
sol von J. Zimmermann), DTLS-SRTP (Datagramm TLS-SRTP), SDES
(Security Descriptions for Media Streams). SDES ist hierbei das SBC
empfohlene Verfahren und kommt auch im DFN zum Einsatz.
Dabei erfolgt der Austausch des Master Keys im Rahmen des
SIP- bzw. SDP- (Session Description) Protokolls. Auch aus diesem VoIP-Plattform
Grund ist eine Verschlüsselung der Signalisierung zwingend not-
Abb. 3: Einrichtungen am SBC und VoIP-Plattform.16 | DFN Mitteilungen Ausgabe 81 | November 2011 | WISSENSCHAFTSNETZ
Interview zum Konstant-Tarif
beim DFNFernsprechen in
Bielefeld
Alternativ zum üblichen Tarifmodell „Verbrauch“ bietet der DFN-Verein für den Dienst
DFNFernsprechen seit 2008 auch das Tarifmodell „Konstant“ an. Bei Wahl des Tarif-
modells „Konstant“ wird ein individuelles festes Entgelt für die Dauer eines Jahres
festgelegt, das monatlich oder jährlich bezahlt werden kann. Darin enthalten sind alle
Verbindungs-, Bereitstellungs- und Überlassungsentgelte. Die Höhe des konstanten Be-
trages berechnet der DFN-Verein auf Basis der Rechnungsbeträge der letzten 12 Mona-
te. Kai Hoelzner (DFN) sprach mit Frank Klapper (CIO und IT-Dezernent der Universität
Bielefeld) über das Tarifmodell.
Die Universität Bielefeld gehört zu den ersten Nutzern, die den Die Universität Bielefeld gehört zu den starken Befürwortern
Konstant-Tarif im DFNFernsprechen nutzten. Wie viele Anschlüs- des vom DFN-Verein eingeführten Konstant-Tarifs. Worin sehen
se werden von der Universität unterhalten und was sind die we- Sie den besonderen Nutzen dieses Tarifmodells?
sentlichen Charakteristika der Telefonanlage?
Die Antwort auf diese Frage hat mehrere Dimensionen. Zum ei-
Derzeit versorgen wir Universität und Fachhochschule mit über nen hat sich gezeigt, dass sich das individuelle Telefonie-Verhal-
6.000 Telefonanschlüssen. Die Telekommunikations-Infrastruk- ten nach Einführung des Konstant-Tarifs kaum geändert hat. Zum
tur der Universität besteht aus einem Anlagenverbund von drei anderen hat sich die Gebührensituation im Bereich der Telefo-
Siemens-Anlagen. Dazu kommen ein System zur Gebührenab- nie in den letzten Jahren grundlegend geändert. Deregulierung
rechnung und eine FAX-/VoiceBox-Lösung (Anrufbeantworter). und Liberalisierung des Telekommunikationsmarktes sowie die
Außerdem sind vier abgesetzte Anlagen der Fachhochschule Verfügbarkeit neuer technischer Verfahren wie der Nutzung von
Bielefeld und eine Anlage des Studentenwerks an diesen Ver- Internet-Technologie für Telefondienste haben zu einem deutli-
bund angeschlossen. Im Frühjahr 2009 wurde der Anlagenver- chen Preisverfall geführt. Zusätzlich hat die Universität ihre Be-
bund zur Versorgung eines neuen Gebäudes um eine Voice over schaffungsstrategie an die geänderten Randbedingungen ange-
IP (VoIP) Lösung von Cisco ergänzt. Um die bis 2013 anstehende passt. So bezieht die Universität seit 1998 ihre Fernsprechdienste
komplette Migration auf Voice over IP zu unterstützen, wurde über den DFN-Verein. Diese Entwicklung hat dazu geführt, dass
die Cisco-Anlage bereits 2009 als Kopfstelle zum öffentlichen die jährlichen Telefongebühren für den Bielefelder Anlagenver-
Netz eingerichtet. bund ganz erheblich reduziert werden konnten, ohne dass dabeiWISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 81 | 17
weniger telefoniert würde. Dies ermöglicht uns, auf eine inter- hat sich die Universität entschlossen, die Nutzung der Telefone
ne Gebührenabrechnung zu verzichten. Dadurch entfallen noch auf den dienstlichen Bereich zu beschränken und die Mitarbeiter
einmal Verwaltungskosten in erheblichem Umfang. gebeten, Privatgespräche nur in unvermeidlichen Ausnahmefäl-
len vom Dienstapparat zu führen. Die verständnisvolle Reakti-
Bei 6000 Telefonanschlüssen eine minutengenaue Abrechnung on der Kollegen und Mitarbeiter zeigte uns, dass wir mit unse-
durchzuführen, klingt nach erheblichem personellen Aufwand. rer Einschätzung richtig lagen.
Richtig, der Aufwand für die Abrechnung der Telefongebühren
war in Bielefeld enorm. Pro Jahr wurden mehrere zehntausend Ist die ausschließlich dienstliche Nutzung der Telefone eine rei-
Rechnungsseiten erzeugt. Hinzu kamen jährlich mehr als 2.000 ne Vertrauensfrage oder gibt es Kontrollmechanismen?
Änderungen von Telefonnummern und Nutzerzuordnungen im
Abrechnungssystem. Allein für die Abrechnung privater Telefo- Natürlich führen wir stichprobenartige Controlling-Maßnahmen
nate über Hochschulapparate musste zuletzt ein Mehrfaches durch. Dabei muss aber gesagt werden, dass wir an der Univer-
der abgerechneten Kosten als interner Aufwand eingesetzt wer- sität daran gewöhnt sind, dass das den Mitarbeitern entgegen-
den. Schaut man sich die Entwicklung der Telefongebühren in gebrachte Vertrauen nicht enttäuscht wird. Zudem ist ein mög-
den vergangenen zehn Jahren an, dann wird klar, dass es bei mo- licher Schaden durch widerrechtliche Nutzung doch relativ ge-
natlichen Telefonkosten von unter 10.000 € im Bereich der Uni- ring. Gebührenrisiken bestehen im DFNFernsprechen de facto
versität Bielefeld nur noch wenig Sinn hatte, diese über sechs- nur noch beim nationalen Mobilfunk und bei den Sonderdiens-
tausend Einzelrechnungen im Detail zu verrechnen. Darüber hi- ten. Bei allen anderen Gesprächen können signifikante Gebüh-
naus gab es immer wieder auch technische Schwächen bei der ren nur bei extrem langen Gesprächen anfallen. Insbesondere
Gebührenerfassung der Telefongespräche. die Tatsache, dass nationale Ferngespräche im DFNFernsprechen
als Ortsgespräche abgerechnet werden können, führte nach 2009
noch einmal zu einer erheblichen Absenkung der Gebühren.
Worin bestehen diese technischen Probleme?
Ein Problem der klassischen Telefongebührenabrechnungen ist Telefonie ist stets auch ein Datenschutz-Thema, bei dem z. B.
vielerorts die Tatsache, dass die zur Abrechnung benutzten Ge- der Betriebsrat eingeschaltet werden muss. Telefonrechnun-
bührenmodelle erheblich von dem tatsächlichen Kostenmodel- gen ermöglichen schließlich nicht nur die Abrechnung von Ge-
len abweichen. Abrechnungen basieren traditionell auf einem sprächen, sondern machen auch transparent, ob ein Mitarbeiter
Gebührenimpuls, welcher in Zeiten der analogen Telefonie, also während der Arbeitszeit stundenlange Privatgespräche führt.
vor der Einführung von ISDN, während eines Gesprächs den Ver- Wie hat sich die Universität Bielefeld in diesem sensiblen Be-
brauch von einer Gebühreneinheit anzeigte. Ein ähnlicher Gebüh- reich positioniert?
renimpuls wird auch heute noch zum Beispiel von der Telekom
geliefert, allerdings ist seine Qualität nicht mehr definiert und Technisch durch das Anonymisieren der letzten Ziffern der an-
er ist nicht mehr geeignet, Aussagen über die tatsächlichen Ge- gerufenen Telefonnummern in den vom DFN-Verein bereitge-
sprächskosten aus ihm abzuleiten. Die Abrechnung mit dem DFN stellten Einzelverbindungsnachweisen.
dagegen basiert auf Minutenpreisen. Diese Veränderung macht
eine grundlegende Überarbeitung und regelmäßige Anpassung
des Gebührenabrechnungssystems erforderlich. Das Zusammenspiel mit Mobiltelefonie hat in Bielefeld eine spe-
zielle Ausprägung. Was ist das Besondere daran?
Immerhin hat es die bisherige Abrechnung in gewissem Rahmen Wir nutzen den Rahmenvertrag des DFN-Vereins mit T-Mobile,
ermöglicht, zwischen privater und beruflicher Nutzung des Te- innerhalb dessen wir Mobiltelefone im Anlagenverbund der Uni-
lefons zu differenzieren. Wie ist dieses Problem beim Konstant- versität gebührenfrei nutzen können. Der Rahmenvertrag gibt
Tarif gelöst? umfassende Möglichkeiten etwa zur Weiterleitung von Telefo-
naten. Wenn ich mein Uni-Telefon auf mein Handy umleite, ent-
Da heutzutage fast jeder ein Handy, ein Smartphone oder ähnli- stehen keine Gebühren und wenn ich einen Kollegen vom Handy
ches besitzt und darüber hinaus viel über E-Mail kommuniziert aus im Büro anrufe, ist dies ebenfalls kostenlos möglich.
wird, besteht praktisch überhaupt kein realer Bedarf mehr, Pri-
vatgespräche mit dem Diensttelefon zu führen. Aus diesem Grund18 | DFN Mitteilungen Ausgabe 81 | November 2011 | WISSENSCHAFTSNETZ
Entwicklung der monatlichen Telefongebühren an der Universität Bielefeld: Seit 2009 im Konstant-Tarif
30.000
25.000
20.000
15.000
10.000
5.000
0
Jan. 99
Jul. 99
Jan. 00
Jul. 00
Jan. 01
Jul. 01
Jan. 02
Jul. 02
Jan. 03
Jul. 03
Jan. 04
Jul. 04
Jan. 05
Jul. 05
Jan. 06
Jul. 06
Jan. 07
Jul. 07
Jan. 08
Jul. 08
Jan. 09
Jul. 09
Jan. 10
Jul. 10
Telekommunikation berührt sowohl die RZs wie die Verwaltun- Telefonanlagen an Hochschulen oft über Jahrzehnte gewach-
gen – wie sieht die Zuordnung des Managements in Bielefeld sen sind. Da findet man dann neben modernen VoIP-Anlagen
aus und warum? eben auch noch hunderte analoger Endgeräte aus den frühen
90er Jahren oder frühe digitale Endgeräte vom Anfang des letz-
In Zeiten von zunehmender Konvergenz von Netzen und Tech- ten Jahrzehnts. Sie finden also in größeren Telefonanlagen häu-
nologien ist das Thema Telefonie immer dichter an die Rechen- fig verschiedene technische Epochen, die über Schnittstellen in
zentren herangerückt. Telefonie ist definitiv ein IT-Thema. Ent- ein System integriert werden müssen. Insgesamt geht die Ent-
sprechend geht die Verantwortlichkeit für den Telefoniebereich wicklung dabei hin zu einer Virtualisierung der Anlage. Das Te-
vom Facility-Management der Hochschule auf das Rechenzen- lefon der Zukunft sieht vielleicht immer noch so aus wie ein Te-
trum über. lefon, technisch gesehen werden wir es aber mit Schnittstellen
eines Rechners zu tun haben. Trotzdem bleibt die Telefonie ei-
ne ziemlich beharrliche Technologie, die vergleichsweise lang-
Welche Potenziale technischer Innovation und Dienst-Konver- samer altert als Computer. Das Management von Telefonanla-
genzen sehen Sie bezüglich der Telefonie für die Zukunft? gen wird sicherlich noch eine ganze Weile beides bedeuten: Ar-
chäologie und technische Innovation. Eben deswegen ist es so
Das Telefon hat sich ja von einem Apparat, der solitär irgendwo begrüßenswert, dass wenigstens das Rechnungswesen bei der
an einem Telefonmast angeschraubt werden kann, schon längst Telefonie auf eine so einfache Formel wie den Konstant-Tarif
in eine Schnittstelle verwandelt, die tief in die IT-Infrastrukturen des DFN-Vereins gebracht werden konnte.
einer Einrichtung eingebettet ist. Ob sie etwa mit einem Head-
set ein Telefongespräch führen, Skypen oder an einer Videokon-
ferenz teilnehmen, das verschwimmt für den Nutzer heute im- Wir danken Ihnen für dieses Gespräch. M
mer mehr. Dabei darf man aber nicht vergessen, dass größereWISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 81 | 19
X-WiN 2011
Der DFN-Verein unternimmt vielfältige Anstrengungen, die hohe Leistungsfähigkeit
und Zuverlässigkeit des Wissenschaftsnetzes X-WiN aufrecht zu erhalten und die
Netzinfrastrukturen den jeweiligen Spitzentechnologien anzupassen. 2006 in Betrieb
gegangen, löste das X-WiN sein Vorgängernetz G-WiN mit einer völlig neuen Topolo-
gie ab. Es besteht aus seinen zwei tragenden Komponenten, der optischen Plattform
und der IP-Plattform. Die optische Plattform besteht aus einem nunmehr 10.500 km
langen Glasfasernetz, das 59 Kernnetzstandorte miteinander verbindet. Zwischen
DWDM-Systemen, die an den Kernnetz-Standorten installiert sind, werden über die
Faserinfrastruktur zahlreiche Verbindungen geschaltet, die wiederum für die Verma-
schung der IP-Router (IP-Plattform) als auch für Virtuelle Private Netze (VPN) verwen-
det werden.
Text: Hans-Martin Adler (DFN-Verein), Petra Eitner (DFN-Verein), Dr. Stefan Piger (DFN-Verein)
Foto: © f1-online20 | DFN Mitteilungen Ausgabe 81 | November 2011 | WISSENSCHAFTSNETZ
In den vergangenen Jahren wurden um- sern zur doppelten Faseranbindungen al- auch das Equipment des X-WiN betrafen.
fangreiche Maßnahmen zur Verbesserung ler Kernnetzstandorte recherchiert. So mussten durch den Umbau des Rechen-
der Verfügbarkeit der DFNInternet-Dienste zentrums der TU Ilmenau im Februar 2010
durch deren doppelten Anschluss an das Umbauarbeiten an Kernnetz- die Datenschränke des Kernnetzknotens
X-WiN (siehe DFN-Mitteilungen Nr. 75) so- verschoben werden. Dies wurde durch den
standorten des X-WiN
wie zur Verbesserung der Betriebsumge- Umstand erschwert, dass der Umbau des
bungen (Stromversorgung, Klimaüberwa- Seit dem Aufbau des G-WiN im Jahr 2000 Raumes bei vollem Betrieb des X-WiN Kno-
chung; siehe DFN-Mitteilungen Nr. 75 und sind die überwiegende Anzahl der Kern- tens erfolgen sollte. Die Verschiebung der
76) an den Kernnetzknoten durchgeführt. netzstandorte direkt bei den Anwendern, DFN-Schränke, der DWDM-Technik sowie
An einer Reihe von Standorten konnte zu- in der Regel in deren Rechenzentren, un- der Schränke der Zugangsleitungsbetrei-
dem durch Umzüge und Umbauten die Be- tergebracht. Über entsprechende Verträge ber wurde gleich für eine Konzentration
triebsumgebung für das X-WiN-Equipment mit den Einrichtungen werden Stellplät- der Datenschränke an einem gemeinsamen
erheblich verbessert werden. Daneben gab ze für die X-WiN-Technik, deren Stromver- Standplatz genutzt. Wegen des zu erwar-
es in den vergangenen Jahren Aktivitäten sorgung und Klimatisierung bereitgestellt. tenden hohen Staubaufkommens durch
zur Weiterentwicklung der Faserplattform Weiterhin werden in der Regel Hands-and- die Arbeiten zur Deckensanierung wurden
des X-WiN, mit dem Ziel, auch auf dieser Eyes-Services von den Mitarbeitern der Ein- die Schränke eingehaust. Nachdem diese
Ebene eine höhere Verfügbarkeit der DFN- richtungen erbracht. Mit Übergang zum Umbauzeit ohne Ausfälle überstanden war,
Dienste (DFNInternet, DFNVPN) zu errei- X-WiN im Jahr 2006 wurde die Anzahl der wurde mit einem mobilen Dieselgenera-
chen. So wurden die Trassenverläufe aller Kernnetzstandorte von 27 auf heute 59 tor noch die eintägige Stromabschaltung
Glasfaser-Verbindungen auf Redundanz zu- erweitert. ausfallfrei überstanden.
einander überprüft. Aus den Ergebnissen
wurden notwendige Umschaltmaßnahmen Über diesen langen Zeitraum wurden – we- Im gleichen Monat erfolgte ein weiterer
abgeleitet und durchgeführt. Darüber hi- nig überraschend – vielfältige Veränderun- Umzug innerhalb des Rechenzentrums der
naus wurde laufend nach neuen Glasfa- gen in den Rechenzentren notwendig, die Universität Münster. Hier konnten durch
Abb. 1: Einhausung des X-WiN-Equipments an der TU Ilmenau
Foto: © DFN-VereinWISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 81 | 21
schon in die ersten Bauplanungen mit ein-
bezogen. Für das DFN-Equipment wurde
ein eigener Raum mit separatem Zugang
vorgesehen. Auch hier wurden neue Da-
tenschränke installiert. Der Einsatz eines
zweiten Routers und die Anbindung des
Standortes an drei andere Kernnetzstand-
orte erleichterten den Umzug.
Der Umzug der X-WiN-Technik in das um-
gebaute Rechenzentrum der TU Berlin im
Sommer 2011 war die bisher umfangreichs-
te und komplexeste Aufgabe dieser Art.
Am Standort TUB enden sieben Glasfasern
in fünf DWDM-Schränken. Ein Umzug der
DWDM-Schränke wie in Münster war hier
nicht möglich. Jedoch konnten durch den
Abb. 2: Auszug aus den Planungsunterlagen „Umzug TUB“
Abbau von DWDM-Technik an den Berliner
X-WiN-Knoten Adlershof und Humboldt-
Universität Basistechnik sowie eine Strom-
versorgung „gewonnen“ werden, die zum
neue Datenschränke und eine zweite nagement der Carrier aufgenommen Parallelaufbau genutzt wurden. Durch die
Stromversorgung für die DWDM-Technik werden kann. Kaltgangklimatisierung im neuen RZ-Raum
Vorarbeiten geleistet werden, die die Aus- • Ein Parallelaufbau des X-WiN-Routers mussten auch neue Datenschränke für das
fallzeit zu minimieren halfen. Durch die sichert die IP-Konnektivität während X-WiN-Equipment beschafft werden. Für
Installation eines zweiten X-WiN-Routers, der Umbauarbeiten. den Umzug der Faserverbindungen muss-
der mit dem bestehenden Router verbun- • Vorteilhaft ist die doppelte Anbindung ten die Faserverbindungen im Haus unter-
den wurde, konnten in Zusammenarbeit der Anwender, da dadurch ein Ausfall brochen werden und auf neue Verbindun-
mit den Glasfaseranbietern die Anbindun- der Internet-Konnektivität vermieden gen gespleißt werden. Während dieser Zeit
gen des Kernnetzknotens und das zugehö- werden kann. wurden die notwendigen Hardwarekom-
rige DWDM-Equipment nacheinander oh- • Vorteilhaft ist die optische Protection ponenten für jede einzelne Glasfaser aus
ne Unterbrechung der Konnektivität des der VPN-Verbindungen, die dann eben- den bisherigen DWDM-Schränken mon-
Standortes umgeschaltet werden. Die An- falls nicht unterbrochen werden. tiert und in die neuen Schränke eingebaut.
wenderanschlüsse wurden danach in ei- Durch den zweiten X-WiN-Router kam es
ner verkehrsschwachen Zeit auf den neu- Mit diesen Erfahrungen konnten die wei- auch hier bei den Anwenderanschlüssen
en Router umgezogen. Da lediglich ein An- teren Umzüge im Jahr 2011 geplant und zu keiner Unterbrechung. Die Anwender-
wender über keine doppelte Anbindung erfolgreich durchgeführt werden. anschlüsse wurden dann an einem zweiten
verfügte, entstand nur bei diesem ein kur- Termin umgezogen. Hier konnte allerdings
zer Ausfall des DFNInternet-Dienstes. Begonnen wurde mit dem Umzug des durch einen Parallelaufbau der Daten-
Standortes PIK auf dem Potsdamer Tele- endgeräte am Standort die Ausfallzeiten
Mit diesen beiden Standortumzügen konn- grafenberg in ein neues Gebäude. Für den reduziert werden. Auch in diesem Fall hat
ten wichtige Erfahrungen gesammelt wer- Aufbau der Datenschränke konnten die in sich die doppelte Anbindung von DFNIn-
den: Münster freigewordenen Schränke genutzt ternet-Anwendern wieder bewährt.
werden. Da hier keine DWDM-Technik im
• Ein Parallelaufbau der DWDM-Technik Einsatz ist, konnte der Umzug relativ ein- Arbeiten zur Verbesserung
ist in der Regel nicht möglich, da die fach durch Einsatz eines weiteren Routers
der Trassenredundanz auf
notwendigen Geräte speziell für jeden durchgeführt werden.
der Faserplattform
Standort eingerichtet sind.
• Ein Parallelaufbau der Zugangslei- Besonders hervorzuheben ist der Umzug Mit dem Aufbau des X-WiN wurden die
tungstechnik ist schwierig, da die Pa- in das neue Rechenzentrum der Univer- Trassenverläufe der Glasfaserstrecken
ralleltechnik nicht einfach in das Ma- sität Rostock. Hier wurde der DFN-Verein von den Faserlieferanten zu Dokumen-22 | DFN Mitteilungen Ausgabe 81 | November 2011 | WISSENSCHAFTSNETZ
Topologie X-WiN
KOP KOP
KIE KIE
GRE GRE
X-WiN Kernnetz-Faser DKRZ ROS X-WiN Kernnetz-Faser DKRZ ROS
AWI DES AWI DES
Wellenlänge HAM Wellenlänge HAM
EWE EWE
Cross Border-Faser FFO SLU Cross Border-Faser FFO SLU
BRE TUB BRE TUB
ENS ZEU ENS ZEU
HAN BRA HAN BRA
POT HUB POT HUB
BIE BIE
MAG ZIB ADH MAG ZIB ADH
MUE MUE
DUI GOE DUI GOE
KAS KAS
FZJ LEI DRE FZJ LEI DRE
AAC BIR MAR JEN CHE AAC BIR MAR JEN CHE
GIE GIE
FRA ILM FRA ILM
47 Glasfaserabschnitte 58 Glasfaserabschnitte
ca. 6.000 km Trassenlänge GSI BAY ca. 8.000 km Trassenlänge GSI BAY
WUE ESF WUE ESF
SAA KAI ERL SAA KAI ERL
HEI REG HEI REG
FZK FZK
STB STU STB STU
KEH KEH
Richtung AUG GAR Richtung AUG GAR
Basel Basel
BAS BAS
Abb. 3: Anfangskonfiguration des X-WiN im Jahr 2006. Abb. 4: Konfiguration des X-WiN ab 2008.
tationszwecken eingefordert. Allerdings Tatsächliche Nichtredundanzen mit der dundant und hoch-performant angebun-
erfolgte dies damals in althergebrachter Gefahr von zwei gleichzeitigen Glasfa- den (siehe hierzu DFN-Mitteilungen Nr. 74).
Form auf Papier. Seit Anfang 2008 stehen serunterbrechungen wurden durch Um- Auch eine Einbindung von Standorten in
die Verläufe der Glasfasertrassen in einer schaltmaßnahmen, manchmal sogar durch NRW konnte damals erreicht werden (sie-
erheblich verbesserten Form, nämlich in Neubau einzelner Streckenabschnitte be- he Abbildung 4).
einem mit Google-Earth-kompatiblem For- seitigt.
mat zur Verfügung. Diese Darstellung er- In den beiden Folgejahren wurde der Stand-
möglicht es, die Glasfaserinfrastruktur Entwicklung der Faser- ort „Fraunhofer Gesellschaft München“
einer eingehenden Prüfung im Hinblick (FHM) neu in die Faserplattform eingebun-
plattform
auf Optimierungsmöglichkeiten und Re- den und die Wellenlängenverbindungen
dundanzverletzungen zu unterziehen. Für Bei Inbetriebnahme des X-WiN im Jahr 2006 der Standorte Würzburg (WUE) und Olden-
jede einzelne Faserverbindung wurde un- bestand die Faserplattform aus ca. 6.000 burg (EWE) wurden durch Fasern ersetzt.
tersucht, ob Überschneidungen zu anderen km Glasfaserverbindungen (siehe Abbil- Dabei konnte auch der Standort „Alfred-
Faserverbindungen vorlagen, die Auswir- dung 3). Damals war es nicht möglich, al- Wegener-Institut“ (AWI) in Bremerhaven
kungen auf die Ausfallsicherheit des Netzes le Kernnetzstandorte des Wissenschafts- mit einer weiteren Faseranbindung ver-
haben. Dies kann insbesondere bei Glas- netzes redundant oder auch nur einfach sorgt werden (siehe Abbildung 5). Aktuell
fasern der Fall sein, die eine doppelte An- mit Glasfaser anzubinden. Zu den bereits verbinden nunmehr ca. 10.500 km Glasfa-
bindung eines Standortes realisieren. Die geschilderten Bestrebungen, eine hohe Zu- sern 59 Kernnetzstandorte miteinander.
Überprüfung warf etliche Fragen auf, die verlässigkeit des Netzes zu erreichen, ge-
in enger Zusammenarbeit mit den Glasfa- hört somit besonders in den Anfangszeiten Bereits beauftragt und für die Inbetrieb-
serlieferanten des DFN beantwortet wer- des X-WiN auch die Suche nach Erweite- nahme mit der Verfügbarkeit der nächsten
den konnten. rungsmöglichkeiten und damit Komplet- DWDM-Technik im Jahr 2012 vorgesehen
tierungen des Glasfasernetzes. ist eine Verbindung zwischen den Kern-
So gab es Streckenabschnitte, bei de- netzknoten Bonn (BON) und Saarbrücken
nen die Glasfasern zwar in der gleichen Bereits im Jahr 2008 gelang mit der In- (SAA). Diese Verbindung (siehe Abbildung
Trasse, jedoch in getrennten Schutzroh- tegration des Faserkreuz eine deutliche 6) schafft eine leistungsfähige redundan-
ren und unterschiedlichen Höhenlagen Verbesserung der Konnektivität in Nord- te Anbindung für SAA, zusätzlich wird da-
verlegt wurden. Hier bestand kein Hand- Süd- sowie in West-Ost-Richtung. Wichti- mit eine direkte Verbindung zwischen dem
lungsbedarf. ge Kernnetz-Standorte wurden dabei re- Westen und Süden Deutschlands unter Um-Sie können auch lesen
