komplette Ausgabe - Comment

Postgebühr bar bezahlt – Bei Unzustellbarkeit bitte retournieren an:
Zentraler Informatikdienst der Uni Wien, 1010 Wien, Universitätsstraße 7
der Universität Wien Mitteilungen des Zentralen Informatikdienstes der Universität Wien Mitteilungen des Zent
/2 02/2 02/2 02/2
Mitteilungen des Zentralen Informatikdienstes der Universität Wien Mitteilungen des Zentralen Informatikdiens
vienna
university
computer
center
Oktober 2002
FIREWALLS
OUT
DIE KUNST
DES
HITCHHIKER’S GUIDE
TO
OF
UNI
PUBLIC NETWORK SERVICES
RUNDSCHREIBENS
SECURITY II
Impressum / Offenlegung gemäß § 25 Mediengesetz:
Herausgeber & Medieninhaber: Zentraler Informatikdienst der Universität Wien
Redaktion & Gestaltung:
Vera Potuzak
Elisabeth Zoppoth
Adresse:
Zentraler Informatikdienst der Universität Wien
Universitätsstraße 7, A-1010 Wien
Tel.:
4277-14001
Fax:
4277-9140
eMail: [email protected]
online: http://www.univie.ac.at/comment/
Druck:
Riegelnik, Wien
Grundlegende Richtung:
Mitteilungen des Zentralen Informatikdienstes
Gedruckt auf chlorfrei gebleichtem Papier – Auflage 5 500 Stk.
Aktuelles
Editorial
Inhalt
Liebe Leserin, lieber Leser!
Aktuelles
Auf diesen Comment mußten Sie lange warten: Weil
zum ursprünglich geplanten Redaktionsschluß wenig
Berichtenswertes vorlag und die Comment -Redaktion
ohnehin mit anderen Projekten vollauf beschäftigt war,
haben wir die gewohnte Juni-Nummer diesmal auf den
Herbst verschoben. Die vorliegende Jubiläums-Ausgabe
(dies ist der 25. Comment seit dem „Neustart“ 1994! ) ist
dafür derart umfangreich ausgefallen, daß wir sogar auf
einen Fixstarter verzichten mußten: Der traditionelle
Office-Workshop von Eva & Michel Birnbacher wird erst
wieder im nächsten Comment erscheinen.
Den Schwerpunkt dieser Ausgabe bildet – wieder einmal – das Thema Computersicherheit, diesmal mit dem
Hauptaugenmerk auf Firewalls. Nachdem es sich hierbei
um einen höchst komplexen Bereich handelt, haben wir
uns darauf beschränkt, zunächst eine allgemeine – und
hoffentlich auch für Laien verständliche – Einführung zu
bieten (siehe Seite 14) und anschließend zwei Programme vorzustellen, mit denen man einen WindowsPC auf relativ komfortable Weise absichern kann: die
Norton Personal Firewall 2002 (siehe Seite 18) und die
Tiny Personal Firewall (siehe Seite 22). Linux-Benutzer
können sich in diesem Comment darüber informieren,
wie sie ihre Systemsicherheit mit wenig Aufwand verbessern können: Im Artikel Hitchhiker’s Guide to Security (Teil II ) werden die wichtigsten Maßnahmen besprochen, um einen Linux-Rechner gegen Angriffe aus
dem Netzwerk zu schützen (siehe Seite 26).
Abgesehen davon können wir auch diesmal wieder von
einigen neuen Dienstleistungen des ZID berichten: Die
Public Network Services bieten die Möglichkeit, mit
mobilen Computern in öffentlichen Bereichen der Universität eine Internet-Verbindung herzustellen (siehe
Seite 6); mit uniADSL steht nun ein zusätzliches Angebot
für den Internet-Zugang von daheim zur Verfügung
(siehe Seite 30); der FTP-Server der Uni Wien wurde auf
neue Beine gestellt (siehe Seite 33); und nicht zuletzt
kann das Out of Office-Programm des ZID, das bisher
nur Mailbox-Benutzern zur Verfügung stand, jetzt auch
von Unet-Benutzern verwendet werden (siehe Seite 36).
Die Kunst des Rundschreibens:
Tips für erfolgreiche eMail-Aussendungen
3
Schrödinger I unter den Top 500
4
Personalnachrichten
5
Neue PC-Räume
6
Überall Internet: Public Network Services
7
Neue Kurse & Vorträge
8
Ein Hausherr ist gestorben:
Das überraschende Ende von Ebone
9
UNIVIS, die Zehnte
PCs & Workstations
12 Tips für das Backup großer Laufwerke
13 Adobe Photoshop 7
13 Neue Standardsoftware
14 Firewalls: Schutz vor Gefahren aus dem Internet
18 Maximale Sicherheit für Windows:
Norton Personal Firewall 2002
22 Tiny Personal Firewall: Kleine Firewall, ganz groß
26 Hitchhiker’s Guide to Security (Teil II) – Grundlegende
Sicherheitsmaßnahmen für Linux-Rechner
Netzwerk- & Infodienste
30 Internetzugang von daheim: uniADSL
32 Google-Suche für Institute
33 Warum in die Ferne schweifen –
Ein neuer FTP-Server für die Uni Wien
36 Out of Uni: Autoresponder, auch für Unet
37 Und ewig lockt die Suchmaschine
40 Latin 9, Unicode & der Euro im WWW
Anhang
41 Kurse bis Dezember 2002
48 Informationsveranstaltungen
49 Handbücher
50 Personal- & Telefonverzeichnis
51 Öffnungszeiten
Das eine oder andere „Aha-Erlebnis“ wünscht Ihnen
die Comment -Redaktion
52 Ansprechpartner
52 Wählleitungszugänge
Comment 02 / 2
Der eher „zeitlose“ Teil dieser Ausgabe bietet beispielsweise Tips für erfolgreiche eMail-Aussendungen (siehe
Seite 2), Hintergrundinformationen über die Arbeitsweise
von Suchmaschinen (siehe Seite 37) und Ratschläge, wie
Euro-Symbole in Webseiten integriert werden können
(siehe Seite 40).
2
1
2
Aktuelles
DIE KUNST
DES RUNDSCHREIBENS
Tips für erfolgreiche eMail-Aussendungen
Informationsverteilung über eMail
Electronic Mail ist eine sehr wirksame Methode, Informationen an einen größeren Personenkreis zu verteilen. Die
„Erfolgsquote“ bei eMail-Aussendungen ist viel höher als
etwa bei Ankündigungen auf Webseiten oder in Newsgruppen, weil die Empfänger direkt angesprochen werden
und nicht aktiv nach den Informationen suchen müssen.
Gerade deswegen sind Massenmailsendungen anfällig für
Mißbrauch und sollten sparsam und nach sorgfältiger Überlegung eingesetzt werden:
●
●
eMail gilt generell als ein informelleres Medium als etwa
die Briefpost. Private Nachrichten werden oft schnell
und ohne besondere Sorgfalt geschrieben. Massenmailsendungen sind jedoch mit Publikationen vergleichbar,
sodaß Wert auf Rechtschreibung, korrekte Sprache und
klare Formulierungen gelegt werden sollte.
Wenn Sie auf diese Weise eMail an eine größere Gruppe
versenden, schreiben Sie bitte die Adressen nicht in das To:Feld (auch keinen Gruppennamen, dieser wird von Outlook
Express zu einer vollständigen Liste expandiert). Für die
Empfänger ist es ausgesprochen lästig, mehrere Seiten mit
Adressen überblättern zu müssen, bevor der Inhalt der
Nachricht sichtbar wird. Auch erfährt dadurch jeder Adressat
die eMail-Adressen aller anderen, was nicht unbedingt erwünscht ist.
Der geeignete Ort für die Adressen ist das Bcc:-Feld (Blind
carbon copy ), das von Outlook Express in der StandardEinstellung gar nicht angezeigt wird, sondern erst über das
Menü Neue Email – Anzeigen – Alle Kopfzeilen aufgerufen werden muß.
Für das To:-Feld gibt es mehrere Möglichkeiten:
●
Sie lassen es leer. Outlook Express ergänzt es dann automatisch zu <Undisclosed.Recipients:;>. Nach dem
Internet Message Format -Standard (RFC 2822, http://
ftp.univie.ac.at/netinfo/rfc/rfc2822.txt) wird
eine Gruppe von Empfängern folgendermaßen definiert:
Nach dem Gruppennamen folgt ein Doppelpunkt, dann
die Liste der eMail-Adressen der einzelnen Empfänger,
beendet durch einen Strichpunkt. In diesem Fall steht
nichts zwischen Doppelpunkt und Strichpunkt, also ist
Undisclosed.Recipients hier eine Gruppe ohne Mitglieder.
Methoden des Mailversands
●
Sie schreiben Ihre eigene eMail-Adresse ins To:-Feld.
Im folgenden werden verschiedene Möglichkeiten vorgestellt, einen größeren Empfängerkreis über Electronic Mail
zu erreichen.
●
Sofern Ihr Mail-Klient es erlaubt, können Sie auch eine
Gruppe ohne Mitglieder definieren und der EmpfängerAdresse dadurch einen sinnvollen Namen geben, z.B.
●
Comment 02 / 2
Eine eMail-Nachricht nimmt die Aufmerksamkeit des
Empfängers für eine gewisse Zeit in Anspruch – selbst
wenn es nur die kurze Zeit ist, die zum Löschen erforderlich ist. Jede unerwünschte Nachricht wird daher als
Ärgernis empfunden. Die Reaktion „Wieso bekomme ich
das, das interessiert mich nicht ! “ ist viel häufiger als
„Wieso habe ich das nicht erfahren, das hätte ich auch
gern bekommen ! “ Die Zielgruppe sollte daher sorgfältig
ausgewählt werden und auf jenen Personenkreis beschränkt sein, für den die Informationen relevant sind.
Empfängern, für Massensendungen ist sie jedoch unpraktisch: Die händische Wartung der Adreßliste wird mühsam,
und für die Empfänger gibt es keine Möglichkeit, sich selbst
aus der Liste auszutragen. Ein weiterer Nachteil ist die Abhängigkeit von der Konfiguration des verwendeten Mailprogramms, die üblicherweise nur auf einem einzigen Arbeitsplatzrechner gespeichert ist, sodaß man nur von diesem
Rechner aus eMail an die Gruppe schicken oder die Adreßliste verwalten kann.
Bitte beachten Sie, daß der Versand von Massenmail
gesetzlich geregelt ist. Besonders bei Aussendungen, die
über die Uni-interne Kommunikation hinausgehen, sollten Sie an den Zusatz zu §101 des Telekommunikationsgesetzes denken: Die Zusendung einer elektronischen
Post als Massensendung oder zu Werbezwecken bedarf
der vorherigen – jederzeit widerruflichen – Zustimmung
des Empfängers.
Angehoerige der Arbeitsgruppe Dr. Broeselmaier:;
Eigene Adreßverwaltung
Fast alle eMail-Programme bieten die Möglichkeit, Gruppen
von Empfängern zu definieren (in Outlook Express beispielsweise muß man dazu im Menü Adressen unter dem
Menüpunkt Neu die Option Neue Gruppe wählen). Diese
Methode ist durchaus adäquat für eine kleinere Anzahl von
(beachten Sie bitte, daß in den Header-Zeilen einer
eMail-Nachricht keine Sonderzeichen – vor allem keine
Umlaute – enthalten sein dürfen!). Auf diese Weise generiert auch der Mass-Mailer der Uni Wien die To:Felder. Mit Outlook Express ist das leider nicht möglich:
Hier werden solche Gruppennamen als „unbekannte
Adressen“ zurückgewiesen.
Aktuelles
Service-Mailadressen
Neben personenbezogenen eMail-Adressen der Form
VORNAME.NACHNAME @UNIVIE.AC.AT gibt es an der Universität Wien auch Service-Mailadressen für Funktionen oder
Einrichtungen – z.B. SEKRETARIAT.INSTITUT @UNIVIE.AC.AT
oder WEBMASTER.INSTITUT @UNIVIE.AC.AT (nähere Informationen dazu sind unter http://www.univie.ac.at/
ZID/servicemail.html zu finden). Service-Mailadressen
können als eMail-Verteiler dienen, indem die einlangenden
eMail-Nachrichten mittels Nachsendeauftrag (Forward, siehe
http://mailbox.univie.ac.at/forward.html) an die
Mailadressen mehrerer Personen weitergeleitet werden.
Auch diese Methode ist eher für kleinere Empfängergruppen
geeignet. Gegenüber selbstverwalteten Adreßlisten hat sie
jedoch zwei Vorteile:
●
Nachrichten an diese Adresse können von jedem Rechner im Internet abgeschickt werden. Das Bearbeiten der
Empfängerliste ist mittels Webmaske möglich und daher
ebenfalls ortsunabhängig.
●
Die Service-Mailadresse hat von vornherein einen
sprechenden Namen, der ohne weiteres in das To:-Feld
eingetragen werden kann. Tricks mit Bcc: sind nicht
erforderlich: Die tatsächlichen Empfänger scheinen nicht
im Header der Nachricht auf.
Mailinglisten (LISTSERV)
Die Einrichtung einer Mailingliste empfiehlt sich immer
dann, wenn Nachrichten an eine größere Empfängergruppe
verteilt werden sollen oder wenn mehr Funktionen benötigt
werden als eine simple Liste von Adressen. Es gibt verschiedene Software-Produkte, um Mailinglisten einzurichten und
zu verwalten – z.B. Majordomo. An der Universität Wien
wird dafür LISTSERV eingesetzt. Dieses Programm bietet
eine Vielzahl von Funktionen: Offene, geschlossene und
moderierte Listen; private und öffentliche Listen (letztere
werden im Catalist veröffentlicht, siehe http://www.
lsoft.com/catalist.html); ein Archiv aller Nachrichten,
die über die jeweilige Liste versendet wurden, und vieles
andere mehr.
Der größte Nachteil von LISTSERV ist die umständliche Handhabung und die ziemlich archaisch anmutende Benutzerschnittstelle: Jede Anweisung an das Programm wird als Be-
3
fehl (z.B. HELP zum Abrufen des Hilfetextes oder SUBSCRIBE
bzw. SIGNOFF zum Abonnieren bzw. Abbestellen einer Mailingliste) per eMail an [email protected] geschickt,
und die Antwort kommt per eMail zurück.
LISTSERV wurde vor genau sieben Jahren im Comment vorgestellt (siehe Comment 95/3, Seite 31 bzw. http://www.
univie.ac.at/comment/95-3/953_31b.html). In diesen
sieben Jahren gab es allerdings keine wesentlichen Neuerungen – die meisten Informationen in diesem Artikel sind
noch immer aktuell. Nur der Ansprechpartner hat sich geändert: Wenn Sie an der Einrichtung einer Mailingliste interessiert sind, wenden Sie sich bitte an LISTSERV-ADMIN.ZID@
UNIVIE.AC.AT.
Massenmailsendungen
Das vor kurzem in Betrieb genommene, webbasierte System
der Universität Wien für Massenmailsendungen (http://
www.univie.ac.at/mass_mailer/) wurde bereits in der
letzten Ausgabe des Comment detailliert vorgestellt (siehe
Comment 02/1, Seite 24 bzw. http://www.univie.ac.at/
comment/02-1/021_24.html). Hier werden nur die wichtigsten Eigenschaften zusammengefaßt:
●
Der Mass-Mailer beruht auf Datenbankabfragen. Die
Daten stammen von der Universitätsverwaltung und
werden täglich aktualisiert.
●
Der Mass-Mailer ist im wesentlichen auf Mailadressen
der Universität Wien beschränkt (Unet- bzw. MailboxBenutzer). Einzelne externe Adressen können händisch
über eine Webmaske hinzugefügt werden.
●
Der Mass-Mailer ist besonders geeignet für Aussendungen an einen bestimmten Personenkreis, der einem
Kriterium genügt, das sich als Datenbankabfrage formulieren läßt, z.B. Alle Angehörigen des Instituts für Hohe
Wissenschaft oder Alle Studierenden der Pugilistik.
●
Die Empfänger können in der Regel mit Hilfe einer Webmaske angeben, ob sie Aussendungen von einem bestimmten Absender erhalten wollen oder nicht (Opt-Inund Opt-Out-Listen).
●
Der Mass-Mailer wird laufend weiterentwickelt und um
neue Funktionen erweitert. Beispielsweise werden seit
Schrödinger I, der neue Linux-Cluster der Universität Wien, ist nun als einziges österreichisches Rechnersystem in der Liste
der 500 schnellsten Supercomputer der Welt zu finden. Diese Liste (siehe http://www.top500.org/) wird zweimal jährlich
aktualisiert; die Reihung erfolgt anhand der Rechenleistung, die beim sogenannten Linpack-Test erzielt werden kann. Wie
bereits im Comment 02/1 erwähnt, erreichte Schrödinger I im Februar 2002 dabei 204,5 GFlops, was in der damals gültigen
Liste (Stand November 2001) dem 147. Platz entsprochen hätte. In der aktuellen Liste (Stand Juni 2002) wurde Schrödinger I
an die 264. Stelle gereiht. Informationen zu Schrödinger I finden Sie unter http://www.univie.ac.at/comment/02-1/
021_2.html, unter http://www.univie.ac.at/nic/ und unter http://www.init.at/.
Comment 02 / 2
Schrödinger I unter den Top 500
4
Aktuelles
einiger Zeit alle versendeten Nachrichten in einem
Archiv gesammelt, das über eine Webmaske eingesehen
werden kann.
Attachments mehrere Minuten oder gar Stunden, wodurch spürbare Kosten anfallen können.
●
Attachments
Während eMail früher auf reine Textnachrichten beschränkt
war, werden heute Dateien aller Art – Grafiken, Videos, Diashows, Musikdateien und viele andere – als Datei-Anhang
(Attachment ) verschickt. Besonders bei Sendungen mit
vielen Empfängern ist bei Attachments jedoch große Zurückhaltung angebracht:
●
Attachments sind üblicherweise um ein Vielfaches
größer als reine Textnachrichten. Es ist nicht nur eine
Verschwendung von Ressourcen und eine Belastung für
die Mailserver, wenn eine große Datei in hunderten
Exemplaren verteilt wird – auch manche Empfänger
werden keine Freude damit haben: Über eine langsame
Modem-Verbindung dauert das Herunterladen eines
Personalnachrichten
Comment 02 / 2
Die personellen Veränderungen am ZID betreffen diesmal nur wenige Bereiche. Im Telefonie-Referat wurde
im Mai 2002 Markus Hof als zusätzlicher Telefontechniker angestellt; Erwin Halpern wechselte hingegen
im Juni 2002 vom Telefonie-Team in das Service- und
Beratungszentrum. In der Telefonvermittlung im Institutsgebäude Kinderspitalgasse 15 trat Leopoldine Lenhard mit Ende März 2002 ihren Ruhestand an, wodurch
auch die Auflassung dieser dezentralen Telefonvermittlung – wie angekündigt – wirksam wurde. In der Telefonzentrale im Universitäts-Hauptgebäude verstärkt seit
Juni 2002 Gabriele Feigl unser Team.
Wie jedes Jahr haben wir auch heuer mehreren Fachhochschul-Studenten die Möglichkeit geboten, ihr Berufspraktikum am ZID zu absolvieren. Auf diese Weise
können wir immer wieder exzellenten Nachwuchs für
den ZID rekrutieren: Manche dieser Studenten sind erfreulicherweise bereit, auch nach Abschluß ihres Studiums weiterhin am ZID zu tätig zu sein. Im heurigen
Sommer haben vier Studenten, Markus Heimhilcher,
Roman Leißer, Michael Perzi und Daniel Schirmer,
in diversen Referaten unserer Netzwerk-Abteilung zu
arbeiten begonnen. Einer der Studenten des Vorjahres,
Hong Wei Zhang, hat den ZID nach Abschluß seiner
Diplomarbeit im April 2002 wieder verlassen.
Auch Wolfgang Hienert, unser EDV-Betreuer für die
Studien- und Prüfungsabteilung, hat im September 2002
den ZID verlassen. Allen scheidenden und allen neuen
Mitarbeiterinnen und Mitarbeitern wünschen wir viel
Erfolg bei ihren jeweiligen Tätigkeiten!
Peter Rastl
Besonders bei einem großen und unbekannten Empfängerkreis kann man nicht voraussetzen, daß alle über
geeignete Programme verfügen, um die Attachments zu
öffnen. Innerhalb einer Arbeitsgruppe, in der alle dieselbe Software einsetzen, ist z.B. der Versand von WordDateien überhaupt kein Problem. Es ist jedoch nicht
empfehlenswert, einem Unbekannten eine Word-Datei
zu schicken: Bei weitem nicht alle Benutzer verwenden
dieses Programm, und viele Word-Dokumente können
nur mit bestimmten Word-Versionen geöffnet werden.
Aus diesen Gründen ist auch das Versenden von Attachments
über das Massenmail-System der Universität Wien prinzipiell
nicht möglich. Die empfohlene Vorgangsweise, um Dateien
beliebiger Größe und beliebigen Formats an einen größeren
Personenkreis zu verteilen, wurde im Comment 01/2 (Seite 5;
http://www.univie.ac.at/comment/01-2/012_5.html)
beschrieben: Die Dateien werden auf einer Webseite publiziert, und per eMail wird nur der Link auf diese Seite versandt.
Nun können die Empfänger selbst entscheiden, ob sie die Dateien herunterladen wollen oder nicht. Auch kann bei dieser
Methode die Webseite nachträglich noch geändert werden.
Zustellung fehlgeschlagen
Bei Aussendungen an eine größere Zahl von Empfängern
kommt es fast immer vor, daß einige Nachrichten nicht zugestellt werden können. Die häufigsten Ursachen dafür sind:
●
Die eMail-Adresse eines Empfängers ist falsch – sei es
durch Schreibfehler oder weil sie nicht mehr gültig ist.
●
Die Adresse ist zwar richtig, der Empfänger leitet seine
eMail aber an eine andere Adresse weiter, an die nicht
zugestellt werden kann.
●
Netzwerk- und Serverprobleme führen oft zu Verzögerungen bei der Zustellung. Nur wenn solche Probleme
mehrere Tage lang andauern, können deswegen eMailNachrichten überhaupt nicht zugestellt werden.
In allen Fällen (auch bei Transient Failures, die meist nur
eine zeitweise Unerreichbarkeit eines Servers zu bedeuten
haben), erhält der Absender eine entsprechende Benachrichtigung. Manchmal können diese sogenannten Bounces
so zahlreich werden, daß sie eine nicht zu unterschätzende
Belästigung darstellen. Vor allem erzeugen sie eine gewisse
Unsicherheit: Für Laien sind die Fehlermeldungen des
Mailer Daemon nicht immer leicht verständlich, sodaß oft
nicht zu erkennen ist, was eigentlich schiefgegangen ist.
Handlungsbedarf – d.h. Aktualisierung der Adreßliste – besteht nur bei falschen Adressen; gegen Server- und Netzwerkausfälle und falsche Forward-Adressen von Empfängern können Absender wenig tun. Am ehesten kommen
Aktuelles
falsche Adressen bei selbstverwalteten Adreßlisten vor (Outlook-Adreßbuch, externe Adressen beim Mass-Mailer, Forwards von Service-Mailadressen). Bei LISTSERV-Mailinglisten
sind sie viel seltener: Einerseits werden nur gültige Adressen
in eine Liste aufgenommen; andererseits führt LISTSERV
Buch über fehlgeschlagene Zustellversuche. Verliert eine
Adresse ihre Gültigkeit, so wird der Inhaber der Liste verständigt und die ungültige Adresse nach einiger Zeit automatisch von der Liste entfernt.
Der Mass-Mailer bezieht seine Adreßdaten (ausgenommen
externe Adressen) direkt aus der Datenbank, die diese
Adressen am Unet- oder Mailbox-Rechner generiert. Falsche
Adressen sind somit von vornherein ausgeschlossen. Es
bleiben nur falsche Forwards, deren Anzahl allerdings
beträchtlich sein kann. Der Mass-Mailer ist so konfiguriert,
daß alle Bounces gelöscht werden. Nur von falsch konfigurierten Mailservern kommen hin und wieder Bounces durch,
die getrost ignoriert werden können. 1)
Spam und Viren
Das an sich hocheffiziente Kommunikationsmittel eMail leidet vor allem an zwei Krankheiten, die seine Effizienz mitunter stark beeinträchtigen und allen Betreibern von Mailservern viel Mühe machen: Spam und Viren. Bei eMail-Aussendungen an viele Empfänger sollte man darauf achten, nicht
unwissentlich zur Verbreitung dieser Seuchen beizutragen.
Spammer benötigen als „Opfer“ eine gültige eMail-Adresse,
daher sind hauptsächlich Service-Mailadressen und (weniger häufig) LISTSERV-Listen davon betroffen. Ein Spammer
hat hingegen keinen Zugriff auf den paßwortgeschützten
Mass-Mailer 2) oder auf Ihr lokales Adreßbuch. Das OutlookAdreßbuch ist jedoch der ideale Nährboden für Viren. Je
mehr Adressen es enthält, desto sorgfältiger sollten Sie Ihren
Rechner vor Viren schützen: Keine Dateien unbekannter
Herkunft öffnen oder automatisch öffnen lassen, die Software laufend aktualisieren und ständig einen aktuellen
Virenscanner laufen lassen (siehe Artikel Grippeschutz für
Ihren Computer im Comment 01/1, Seite 26 bzw. http://
2) Es wurden gelegentlich Vermutungen geäußert, daß ein Zusammenhang zwischen dem Mass-Mailer und vermehrtem Spam-Aufkommen an der Universität bestehe. Diese Vermutungen sind vollkommen unbegründet: Bedauerlicherweise nimmt die Spam-Flut
auf der ganzen Welt zu, nicht nur an der Uni Wien.
3) Es ist durchaus möglich, daß das tatsächlich passiert – es wurde
schon Spam an diverse im Online-Comment publizierten MusterAdressen geschickt. In diesem Fall hat der Spammer Pech gehabt:
Die Adresse [email protected] gibt es natürlich nicht.
Neue PC-Räume
Anläßlich der Übersiedlung des Instituts für Soziologie in
das Gebäude am Rooseveltplatz 2 wurde dort ein PCRaum errichtet und mit insgesamt 15 neuen PCs ausgestattet. Das Institut für Politikwissenschaft, das die freigewordenen Räume im NIG übernahm, ließ den dort vorhandenen PC-Raum vergrößern – jetzt finden dort 19 Geräte
Platz. Ein neuer Raum mit 10 PCs wird zu Beginn des Wintersemesters am Institut für Pharmakologie (Währinger
Straße 13a, Tiefparterre) den Betrieb aufnehmen.
Herbert Stappler
www.univie.ac.at/comment/01-1/011_26.html). Auch
der Umstieg auf ein weniger virenanfälliges Mailprogramm
ist zu erwägen.
Spammer beziehen ihre Adressen aus allen möglichen
Quellen. Eine der Hauptquellen sind Webseiten: Von speziellen Programmen (sogenannten Robots) wird das WWW
systematisch nach eMail-Adressen durchsucht. Wenn auf
irgendeiner Webseite z.B. die Mailadresse LANGE.LISTE@
UNIVIE.AC.AT publiziert ist, kann es vorkommen, daß
[email protected] bald über Methoden zur Vergrößerung oder Verkleinerung verschiedener Körperteile
informiert und mit Vorschlägen beglückt wird, wie man in
kürzester Zeit unwahrscheinlich reich werden kann. 3) Falls
die Nachrichten an diese Adresse nun mittels Forward an
600 weitere eMail-Adressen weitergeleitet werden, hat der
Spammer einen Glücksgriff getan: Mit einer einzigen SpamMail hat er gleich 600 Adressaten erreicht. Wenn eine Verteiler-Adresse mit Spam „infiziert“ ist, gibt es mehrere Möglichkeiten der Abhilfe:
●
Ein Filter, der nur jene Nachrichten durchläßt, die bestimmten Kriterien genügen. Bei Adressen, die legitimerweise nur von wenigen Personen verwendet werden,
sind solche Filter leichter zu implementieren als bei
Adressen, die im Prinzip für die ganze Welt – ausgenommen Spammer – offen sein sollen. Für eine solche
Filterung der Nachrichten kann z.B. Procmail verwendet
werden. Die sehr kryptische Procmail-Syntax erfordert
allerdings einige Fachkenntnis.
●
Die eMail-Adresse umbenennen: Bis sich die neue
Adresse (z.B. [email protected]) zu den Spammern herumspricht, kann sie einige Zeit ungestört verwendet werden.
●
Umsteigen auf Mass-Mailer oder LISTSERV-Mailinglisten:
Bei Verteilern mit sehr vielen Forwards ist das die
empfohlene Methode. Theoretisch können auch Mailinglisten (vor allem offene Listen) Opfer von Spammern
werden, in der Praxis kommt das jedoch sehr selten vor:
Die erforderliche Anmeldung per eMail eignet sich nicht
gut für automatisierte Verarbeitung, wie sie von Spambots durchgeführt wird.
Peter Marksteiner ■
Comment 02 / 2
1) Jede eMail-Nachricht hat zwei Absender-Adressen: Eine steht im
From:-Feld und die andere im Envelope, dem „elektronischen
Briefumschlag“, der jene Informationen enthält, die für die korrekte Zustellung erforderlich sind. In den meisten Fällen sind die
beiden Absender identisch; das ist jedoch keinesfalls erforderlich.
Korrekterweise müssen Bounces an den Absender geschickt werden, der im Envelope steht. Solche Bounces werden vom MassMailer gelöscht. Nur wenn falsch konfigurierte Mailserver Bounces
an die From:- oder an die Reply-to:-Adresse schicken, werden
diese auch zugestellt.
5
6
Aktuelles
ÜBERALL INTERNET: PUBLIC NETWORK SERVICES
Bei der Errichtung neuer Netzwerke an der Uni Wien wurde
seitens des ZID immer schon darauf geachtet, auch Hörsäle
und andere öffentliche Bereiche mit Netzwerkanschlüssen
auszustatten. Bisher war es allerdings in der Regel für Benutzer technisch schwierig und administrativ aufwendig,
diese auch tatsächlich zu verwenden. Zudem kam es mehrmals vor, daß Netzwerkanschlüsse in öffentlichen Bereichen für Hackversuche und ähnliches mißbraucht wurden
und die Identität des Verursachers im nachhinein nicht mehr
feststellbar war. Aus diesen Gründen hat der ZID ein neues
Konzept für die Verwaltung solcher Anschlüsse entwickelt,
das einerseits eine möglichst einfache Benutzung und andererseits einen möglichst sicheren Betrieb gewährleisten soll.
WDMZ:
Geschützte Zone für Funknetze
Auch an der Uni Wien werden in letzter Zeit immer häufiger sogenannte WLANs (Wireless Local Area Networks) für
die Datenübertragung eingesetzt. Diese Funknetzwerke
sind zwar oft praktisch, stellen aber leider ein erhebliches
Sicherheitsrisiko dar. Daher sollte man WLANs unbedingt
getrennt vom „normalen“ Instituts-Datennetz betreiben,
um im Falle einer Attacke den Schaden möglichst gering
zu halten.
Comment 02 / 2
Im Rahmen der Public Network Services hat der ZID nun
sogenannte WDMZs (Wireless Demilitarized Zones) eingerichtet. Eine WDMZ ist ein separater Netzwerkbereich, der
es ermöglicht, die an der Universität existierenden Funknetze zusammenzufassen und durch eine einheitliche Zugangskontrolle abzusichern. Für Institute, die WLANs verwenden, bietet diese Konstruktion zwei Vorteile:
●
Durch den Einsatz der Authentifizierungs-Infrastruktur
des ZID (mittels Mailbox- oder Unet-UserID) entfallen
Aufbau und Wartung eines eigenen Systems zur Benutzerverwaltung.
●
Da aus der WMDZ kein direkter Zugriff auf Rechner
des Instituts möglich ist, wird verhindert, daß Sicherheitsprobleme im WLAN das Instituts-Netzwerk in Mitleidenschaft ziehen.
Allerdings bietet eine WDMZ keinen Schutz gegen ein direktes Abhören des Datenverkehrs im Funknetz. Es ist
daher empfehlenswert, die im WLAN übermittelten Daten
mittels WEP (Wired Equivalent Privacy ) zu verschlüsseln
sowie sichere Übertragungsprotokolle (SSH, HTTPS, ...)
zu verwenden.
Instituten, die ihr Funknetz in eine WDMZ „umsiedeln“
möchten, ist der ZID gerne behilflich, ein entsprechendes
Konzept zu erstellen. Bitte kontaktieren Sie uns dazu
unter der eMail-Adresse [email protected].
Im Rahmen der neuen Public Network Services des ZID
können nun alle Universitätsmitarbeiter und Studierenden
auch außerhalb der Diensträume bzw. PC-Räume mit ihrem
Notebook schnell und einfach auf das Internet zugreifen:
●
Das Hörsaal-Netz ist bereits in vielen Hörsälen der Uni
Wien verfügbar und kann von allen Mailbox-Benutzern
im Rahmen von Vorlesungen, aber auch bei Veranstaltungen und Präsentationen verwendet werden.
●
Die Datentankstellen bieten Unet- und Mailbox-Benutzern einen Internetzugang in öffentlichen Bereichen
wie z.B. Bibliothek oder Mensa.
Diese Services sollen es Universitätsangehörigen ermöglichen, die Netzwerkdienste der Uni Wien zum Zweck der
Forschung und Lehre mit mobilen – auch privaten – Rechnern zu nutzen. Sie sind jedoch nicht als kostenloser Breitband-Internetzugang gedacht, über den man bequem MP3Dateien oder Filme herunterladen kann. Eine mißbräuchliche Verwendung führt zur Sperre der UserID !
Die Benutzer der Public Network Services sind durch eine
Firewall gegen Angriffe aus dem Internet weitgehend geschützt. Allerdings besteht die Gefahr, daß bereits auf einem
Notebook befindliche Viren oder Trojaner die NetzwerkAnbindung dazu verwenden, sich im Uni-Datennetz zu verbreiten. Daher sollte jeder Benutzer darauf achten, seinen
Rechner von solchem „Ungeziefer“ freizuhalten.
So funktioniert’s :
Die für die Public Network Services freigeschalteten Netzwerkanschlüsse sind durch einen farbigen Punkt und durch
einen Aufkleber mit den wichtigsten Informationen gekennzeichnet (eine Liste aller derzeit verfügbaren Anschlüsse
und ihrer jeweiligen Markierung finden Sie unter http://
data.univie.ac.at/pns/services.html). Es handelt
sich dabei um TwistedPair-Anschlüsse, die – abhängig von
der Bandbreite des Gebäudenetzes – eine Datenübertragungsrate von 10 Mbit/s bzw. 100 Mbit/s ermöglichen. Ein
entsprechendes Netzwerkkabel ist in der Regel vom Benutzer mitzubringen. Nachdem der Rechner an das Netzwerk angeschlossen und gestartet wurde, wird ihm automatisch über DHCP eine IP-Adresse zugewiesen (siehe
http://data.univie.ac.at/pns/help.html). Nun muß
man sich nur noch unter http://data.univie.ac.at/pns
mit UserID und Paßwort authentifizieren und kann anschließend maximal 5 Stunden lang die Netzwerkservices
der Uni Wien sowie alle anderen Internet-Dienste nutzen.
Temporäre UserIDs
Mailbox-Benutzer können unter https://data.univie.
ac.at/mailbox/subuser.html temporäre Zugangsberechtigungen für Gäste vergeben, die ebenfalls die Public Net-
Aktuelles
work Services verwenden möchten. Damit soll verhindert
werden, daß Mailbox-UserIDs weitergegeben werden müssen. Die UserID und das Paßwort für den Gast werden automatisch generiert und sind maximal eine Woche lang gültig.
(Vorsicht: Im Falle eines Mißbrauchs haftet der Mailbox-Benutzer, der die temporäre UserID angelegt hat!)
Logout
Ein an die Public Network Services angeschlossener Rechner wird automatisch aus dem Netzwerk abgemeldet, sobald die Verbindung unterbrochen oder der Zeitrahmen von
fünf Stunden überschritten wird. Um Mißbrauch zuverlässig
7
zu verhindern, kann man sich aber auch unter http://
data.univie.ac.at/pns manuell abmelden.
Public Network Services für Institute
Die meisten größeren Hörsäle der Uni Wien sind bereits an
das Hörsaal-Netz angeschlossen. Institute, die Anschlüsse in
ihrem Bereich für die Public Network Services freischalten
lassen möchten, sollten unter der Mailadresse NETZWERK.
[email protected] mit dem ZID Kontakt aufnehmen: Sofern keine technischen Hinderungsgründe bestehen, kann
eine solche Umstellung rasch realisiert werden.
Ulrich Kiermayr ■
NEUE KURSE & VORTRÄGE
Wie bereits im Sommersemester 2002 besteht für alle neuen
Benutzer der PC-Räume an der Uni Wien auch diesmal wieder die Möglichkeit, sich im Vortrag Einführung in die
Verwendung der PC-Räume über die Funktionsweise der
öffentlichen PCs zu informieren. Der Vortrag wird zu Semesterbeginn einmal pro Woche vormittags abgehalten (Dauer:
ca. 1,5 Stunden). Die genauen Termine finden Sie im Anhang
dieses Comment (siehe Seite 47).
●
Schulungen zum Thema „Publizieren im WWW“ sind hingegen schon seit vielen Jahren fixer Bestandteil unseres Kursangebots: Aufbauend auf die kostenlosen Vorträge Einführung in das Erstellen von Webpages – Teil 1 & 2 bietet der
Workshop Erstellen von Webpages (HTML ) die Möglichkeit,
die in den beiden Vorträgen erworbenen HTML-Kenntnisse
praktisch anzuwenden. Benutzer, die ihre Webseiten lieber
mit einem HTML-Editor erstellen möchten, können im Kurs
MS-Frontpage die Anwendung dieses Programms erlernen.
Im Sommersemester 2002 wurde mit dem Kurs Webdesign
– Konzeption und Gestaltung erstmals eine Schulung
angeboten, die sich mit der Präsentation und Strukturierung
von größeren Informationsmengen beschäftigt. Wegen der
großen Nachfrage und des positiven Echos wird dieser Kurs
auch im kommenden Studienjahr wieder abgehalten. Neu
ab dem Wintersemester 2002 ist der Kurs Adobe Photoshop für Webgrafiken. Dieser baut auf dem Kurs Photoshop – Einführung auf und vermittelt die wichtigsten Techniken zur Bearbeitung von Bildern, die im WWW veröffentlicht werden sollen.
Die Lehrveranstaltungen erstrecken sich über das gesamte
Wintersemester und sind in drei Phasen gegliedert: Den Anfang machen die beiden kostenlosen Vorträge Einführung
in die Programmierung – Teil 1 & 2, die den Teilnehmer
in die elementaren Grundlagen der Programmierung (unabhängig von der Programmiersprache) einweihen. Darauf
aufbauend folgen die Vorträge Einführung in VBA bzw.
Einführung in Perl, in denen die jeweilige Programmiersprache näher vorgestellt wird. Auch diese Vorträge sind
kostenlos zugänglich. Durch ihren Besuch wird man jedoch
leider noch lange nicht zum Programmierer – dafür ist viel
Übung erforderlich. Einen komfortablen Einstieg in die für
Anfänger manchmal recht abschreckende Welt der Programmier-Praxis bieten die Kurse Workshop aus VBA
bzw. Workshop aus Perl: Hier kann man versuchen,
unter fachmännischer Betreuung einfache Aufgaben selbständig zu lösen.
Zum Abschluß sei noch auf eine Informationsveranstaltung
hingewiesen, die für Betreiber von Mailservern, aber auch
für interessierte Internet-Benutzer sicher einen besonderen
Leckerbissen darstellt: Im Vortrag Hinter den Kulissen
von eMail werden unter anderem die Transportmechanismen für eMail-Nachrichten, die Arbeitsweise von Mailservern sowie Strategien zur Bekämpfung von Spam, Viren etc.
vorgestellt.
Das komplette Kurs- und Vortragsangebot des ZID finden
Sie im Anhang dieses Comment bzw. unter http://data.
univie.ac.at/kurs/bin/kursang.pl.
Herbert Stappler ■
Comment 02 / 2
Wegen der starken Nachfrage hat sich der ZID entschlossen,
nach mehr als zehn Jahren Pause wieder Lehrveranstaltungen zum Thema Programmieren anzubieten. Die Zielgruppe
sind erfahrene – aber nicht professionelle – EDV-Anwender,
die ihre Fähigkeiten erweitern möchten (Naturwissenschaftler mit numerisch intensiven Berechnungen, Informatiker sowie Benutzer, die den Beruf eines Programmierers
erlernen möchten, werden mit diesen Schulungen nicht
glücklich werden). Angeboten werden zwei Programmiersprachen:
●
Visual Basic for Applications (VBA) wird für die Makroprogrammierung der diversen Office-Produkte verwendet. Damit kann man etwa seine Access-Datenbanken wesentlich flexibler und komfortabler gestalten.
Perl ist eine weitverbreitete und sehr leistungsfähige
Programmiersprache. In diesem Kurs liegt der Schwerpunkt auf der Erstellung von dynamisch generierten
HTML-Seiten (CGI).
8
Aktuelles
Ein Hausherr ist gestorben:
DAS ÜBERRASCHENDE ENDE VON
Comment 02 / 2
Daß selbst Popularität und Größe nicht vor dem Untergang
schützen, ist eine alte Volksweisheit („Es sind auch schon
Hausherren gestorben“ ). Dennoch kam Ende Mai 2002 die
Insolvenz von KPNQwest, einem der größten europäischen
Internet-Provider, für die meisten völlig unerwartet. KPNQwest hatte erst wenige Wochen zuvor Ebone, das führende europäische Backbone-Netzwerk, von GTS erworben
und damit in den gemeinsamen Tod gerissen. Der ZID der
Universität Wien hat als Betreiber von ACOnet, dem österreichischen Wissenschaftsnetz, seit jeher seine internationalen Internet-Verbindungen über Ebone abgewickelt und
war von dieser überraschenden Entwicklung massiv betroffen. Es ist daher wohl angebracht, hier einen kurzen Bericht
über die dramatischen Ereignisse und ihre Vorgeschichte zu
geben.
Ebone wurde im Jahr 1991 als Kooperation mehrerer europäischer Wissenschaftsnetze – darunter auch ACOnet – mit
dem Ziel gegründet, die europäischen Internet-Verbindungen effizienter zu betreiben. Der österreichische EboneKnoten, der Ende 1993 an der Uni Wien errichtet wurde,
hatte beträchtlichen Einfluß auf die weitere Entwicklung des
Internet in unserer Region (siehe Es begann an der Uni
Wien: 10 Jahre Internet in Österreich im Comment 00/2,
Seite 2 bzw. http://www.univie.ac.at/comment/00-2/
002_2.html). Mit dem Wachstum des Internet wuchs auch
Ebone und wurde zum führenden Internet-Backbone in Europa: Aus der Kooperation im akademischen Bereich wurde
eine erfolgreiche Aktiengesellschaft (Ebone Inc.) mit Sitz in
Kopenhagen, die im Eigentum eines von ihren Kunden gegründeten Vereins (Ebone Holding Association) stand. Ich
hatte selbst einigen Anteil an dieser Entwicklung, da ich seit
den Anfängen dem Ebone-Vorstand angehörte und 1997
zum Vorstandsvorsitzenden gewählt wurde. Um ausreichendes Investitionskapital für den erforderlichen Ausbau des
Ebone-Backbones aufzubringen und gegenüber anderen
Telekom-Unternehmen konkurrenzfähig zu bleiben, suchte
Ebone die Partnerschaft mit Hermes Europe Railtel, einem
Unternehmen, das über ein leistungsfähiges europäisches
Kabelnetz verfügte. Hermes erwarb zunächst einen Mehrheitsanteil an der Ebone Inc. und kaufte im Mai 1999 schließlich auch die verbleibenden Anteile der Ebone Holding
Association, welche danach ihre Auflösung beschloß und ihr
Vermögen auf die Mitglieder verteilte. Die amerikanische
GTS (Global TeleSystems Group Inc.) wurde zum alleinigen
Eigentümer der Hermes Europe Railtel und führte, zum Teil
mit dem ursprünglichen Technikerteam, den Betrieb von
Ebone in professioneller Weise weiter.
EUnet International wurde bereits 1982 gegründet und hat
mit seinen nationalen EUnet-Partnern Anfang der neunziger
Jahre als erster kommerzieller Internet-Provider einen wesentlichen Beitrag zur Verbreitung des Internet in Europa
EBONE
geleistet. Im Jahre 1998 wurde EUnet mitsamt seinen 14 Landesgesellschaften von der amerikanischen Qwest Communications übernommen, die daraufhin in einer Partnerschaft
mit KPN (der niederländischen Telekom) diese Services in
ein gemeinsames Tochterunternehmen namens KPNQwest
einbrachte. KPNQwest errang – nicht zuletzt durch diverse
Übernahmen – als Internet-Provider im Unternehmensbereich einen beträchtlichen Marktanteil in Europa und bekundete im Oktober 2001 seine Absicht, auch Ebone zu erwerben. Diese Übernahme wurde am 18. März 2002 vollzogen und die Integration von Ebone in das Backbone-Netz
von KPNQwest in Angriff genommen. Da überraschte wie
ein Blitz aus heiterem Himmel am 23. Mai 2002 eine Pressemeldung die Öffentlichkeit: Der Aufsichtsrat von KPNQwest
sei wegen unerwartet hoher Verluste zurückgetreten und
das Unternehmen habe Gläubigerschutz nach dem niederländischen Konkursrecht beantragt. KPNQwest fand allerdings weder bei seinen beiden Konzernmüttern noch bei
den Banken Unterstützung, mußte Insolvenz anmelden und
kündigte an, mit Ende Mai 2002 in der Brüsseler Netzwerkzentrale das IP-Netzwerk abzuschalten.
Nicht nur für ACOnet war plötzlich die internationale Internet-Anbindung in Frage gestellt, auch viele große europäische Unternehmen, darunter selbst die Gläubigerbanken
von KPNQwest, mußten nun um ihren Internet-Anschluß
fürchten. Aus diesem Grund blieb das Netzwerk nach Ende
Mai 2002 vorerst doch noch in Betrieb und bot den Kunden
von KPNQwest eine kurze Chance, nach Alternativen zu
suchen. Am 6. Juni 2002 erreichte uns eine Nachricht aus der
Ebone-Netzwerkzentrale: Die 40 Mitarbeiter seien soeben
von der Firmenleitung aufgefordert worden, das EboneNetzwerk abzuschalten und das Gebäude zu verlassen. In
ihrer Verantwortung gegenüber den Ebone-Kunden hätten
sie dies jedoch abgelehnt und seien bereit, vorerst auch ohne
Bezahlung weiterzuarbeiten, um Ebone möglichst lange in
Betrieb zu halten, bis vielleicht doch noch ein neuer Geldgeber gefunden werden könne. Trotz mancher Hoffnungen,
Rettungsversuche, ultimativer Drohungen und wirkungslos
verstrichener Fristen wurde Ebone jedoch am 2. Juli 2002 um
11:00 Uhr endgültig eingestellt.
Die ACOnet-Benutzer merkten glücklicherweise von alledem nichts: Durch entsprechende Maßnahmen konnten wir
unsere weltweiten Internet-Verbindungen ständig in Betrieb
halten. Während wir für den Notfall eine Backup-Verbindung über das Géant-Netzwerk zur Verfügung hatten, beauftragten wir nach einer kurzen Angebotseinholung am
5. Juni 2002 den amerikanischen Netzbetreiber Sprint International mit der Herstellung einer STM4-Internetverbindung
(620 Mbit/s) zur Universität Wien. Im Zusammenwirken mit
der Telekom Austria, die in der Rekordzeit von weniger als
einer Woche eine Datenleitung von Wien nach Frankfurt
Aktuelles
durchschaltete, errichtete Sprint die neue Internet-Anbindung für ACOnet. Am 18. Juni 2002 waren die letzten Tests
erfolgreich abgeschlossen und die neue Verbindung übernahm die Aufgaben, die zuvor Ebone ein Jahrzehnt lang
wahrgenommen hatte. Die Krise war vorüber, wir konnten
wieder aufatmen.
UNIVIS,
Postskriptum: Am 15. Juli 2002 wurde die Presse informiert,
daß die Firma Interoute, ein junges Telekommunikationsunternehmen im Besitz der Sandoz Stiftung, die Überreste
von Ebone aus der Konkursmasse der KPNQwest erworben
hat. Wächst hier vielleicht ein neuer Hausherr heran?
Peter Rastl ■
DIE
Studierendenverwaltung:
Auch Kleinvieh macht Mist
●
Wenn man an mehreren österreichischen Universitäten
gleichzeitig ein ordentliches Studium betreibt, muß der
Studienbeitrag nur einmal bezahlt werden – mit der
Überweisung des vollen Betrages ist man berechtigt, an
allen österreichischen Universitäten die Studien fortzusetzen. Man kann sich also entscheiden, den Erlagschein
welcher Universität man zur Einzahlung verwendet.
Wird der Studienbeitrag von Studierenden, die an der
Uni Wien ein Studium betreiben, an einer anderen Universität eingezahlt, so wird dies der Universität Wien
vom BRZ (Bundesrechenzentrum GmbH ) im Wege der
Datenübermittlung bekanntgegeben. Die bisher von der
Uni Wien geübte Praxis, auch bei Bezahlung an einer
anderen Universität alle an der Uni Wien betriebenen
ordentlichen Studien fortzusetzen, wurde jedoch mittlerweile vom BM:BWK unter Hinweis auf die Gesetzeslage
untersagt. Um den Studierenden dennoch das Ausfüllen
eines Formulars und den Weg in die Studienabteilung zu
ersparen, wurde die Möglichkeit geschaffen, die Meldung der Fortsetzung in solchen Fällen über das Internet durchzuführen (unter http://www.univie.ac.at/
zulassung/).
●
Neu beim elektronischen Zahlungsverkehr ist, daß die
Software vieler Banken mittlerweile den KundendatenPrüfcode unterstützt, der ebenfalls bei der Abfrage des
Beitragskontos im Internet (http://www.univie.ac.
at/zulassung/) ersichtlich ist. Dieser Prüfcode wird als
13. Stelle zusätzlich zum zwölfstelligen Kundendatencode eingegeben – oft in einem eigenen Feld der Eingabemaske – und erlaubt eine Überprüfung des Kundendatencodes direkt bei der Eingabe. Fehlgeschlagene
oder falsche Zuordnungen des eingezahlten Betrages
aufgrund eines Tippfehlers beim Code werden so weitgehend vermieden – vorausgesetzt, man läßt sich nicht
davon irritieren, daß manche Banken den Kundendatencode mit Prüfcode als „Identifikationsnummer“ bezeichnen und explizit darauf hinweisen, daß dieser Mechanismus zum Bezahlen von Strafmandaten gedacht ist.
●
Einige Änderungen wird auch die (traditionsgemäß Monate nach Beginn der Zulassungsfrist in Kraft tretende)
Novellierung der Universitäts-Studienevidenzverordnung (UniStEVO) 1997 mit sich bringen. So ist in Zukunft die Verwaltung der Studierenden anhand der Sozialversicherungsnummern vorgesehen; für Studierende
ohne Sozialversicherungsnummer muß eine Verwaltung
mit Ersatznummern eingerichtet werden. Die Erfassung
der Sozialversicherungsnummer ist bei Studienabschlüssen ab dem 1. 9. 2002 obligat, bei Studienanfängern ab
dem Wintersemester 2002 (letztere können ihre Sozialversicherungsnummer bereits bei der Internet-Voranmeldung angeben). Neu ist auch, daß die bisher in der
UniStEVO geregelte Amtswegige Mitbelegung nicht mehr
gesetzlich verankert ist. Diese erfolgt, wenn jemand ein
Studium betreibt, das an mehreren Universitäten gemeinsam eingerichtet ist oder (im Falle von Lehramtsstudien) aus zwei Fächern besteht, die an verschiedenen
Unis eingerichtet sind. Die Zulassungen zu bzw. Fort-
Comment 02 / 2
Wie bereits berichtet, wurde in den letzten beiden Semestern weit weniger als die Hälfte der versandten Erlagscheine auch tatsächlich verwendet. Daß diese alten
Erlagscheine (die nicht nur mit der Matrikelnummer,
sondern auch mit dem jeweiligen Semester codiert sind)
ein gewisses Gefahrenpotenzial darstellen, ist mittlerweile zur Gewißheit geworden: Immer wieder werden
Erlagscheine aus Vorsemestern zur Einzahlung benutzt,
was zwar zu einer rückforderbaren Überzahlung im entsprechenden Vorsemester führt, nicht aber zu einer Fortsetzung der Studien im laufenden Semester. Im Normalfall werden diese Fälle erst durch Intervention der
Studierenden bekannt und ohne weitere bürokratische
ZEHNTE
Hürden umgebucht (eine automatische Umbuchung ist
seitens des BRZ derzeit nicht vorgesehen). Um die mit
der Umbuchung verbundenen Umstände und den Zeitverlust zu vermeiden, sollte jedoch nach Möglichkeit der
richtige Erlagschein – bzw. im elektronischen Zahlungsverkehr der richtige Kundendatencode – zur Einzahlung
verwendet werden. Die für das jeweilige Semester gültige Codierung ist auch über die Kontoabfrage im Internet (siehe http://www.univie.ac.at/zulassung/) in
Erfahrung zu bringen.
Mit dem Wintersemester 2002 (Beginn der Zulassungsfrist:
1. Juli 2002) ist die i3v-Studierendenverwaltung bereits vier
Semester in Betrieb; zugleich ist es das dritte Semester, in
dem Studienbeiträge zu entrichten sind. Obwohl sich an der
Gesetzeslage nichts Wesentliches geändert hat, gibt es doch
kleinere Modifikationen bei der Abwicklung:
●
9
10
Aktuelles
setzungen von solchen Studien erfolgten bisher an der
zulassenden Universität und wurde von Amts wegen an
die anderen beteiligten Unis weitergeleitet. Der Wegfall
dieses Datenaustausches bedeutet für die betroffenen
Studierenden einen erheblichen Mehraufwand; daher
wird die Uni Wien versuchen, den Datenaustausch auch
ohne gesetzliche Regelung weiter zu betreiben.
●
Ab dem Wintersemester 2002 wird auch die Zulassung
von „Ausländern“ zum Teil über Internet abgewickelt (in
diesem Zusammenhang gelten nur jene Studienwerber
als „Inländer“, die sowohl über die österreichische Staatsbürgerschaft als auch über eine österreichische Reifeprüfung verfügen). Die Internet-Voranmeldung wurde
daher vollständig überarbeitet und unterstützt jetzt mehrere Sprachen; vorerst werden die Seiten in Deutsch und
Englisch angeboten. Das Zulassungsverfahren von „Ausländern“ ist sehr kompliziert und bedarf praktisch in jedem Fall einer individuellen Betreuung. Nach der Anmeldung über Internet erhalten die Interessenten einen mit
den erfaßten Daten vorausgefüllten Antrag auf Zulassung
zum Studium, gemeinsam mit Informationen, welche Unterlagen mit dem unterschriebenen Antrag vorzulegen
sind (dies ist vom Heimatland, der Art der Reifeprüfung,
den beabsichtigten Studien und etlichen anderen Faktoren abhängig). Mit dem Antrag und den erforderlichen
Unterlagen muß sich der Studienwerber dann in der Studienabteilung einfinden. Sind alle Voraussetzungen erfüllt, wird ein mit i3v erstellter Zulassungsbescheid erlassen und dem Studienwerber ausgefolgt. Dabei wird
auch die Höhe des Studienbeitrags ermittelt und ein entsprechender Erlagschein übergeben. Um das One stop Prinzip auch bei Ausländern zu realisieren, brauchen
diese nach dem Bezahlen des Studienbeitrags nicht mehr
in die Studienabteilung zu kommen: Nach dem Einlangen des korrekten Betrags auf dem Studienbeitragskonto
wird das Zulassungsverfahren abgeschlossen, und die
Studienunterlagen werden per Post zugeschickt.
Umfassende Informationen zum Thema Studium finden Sie
unter http://www.univie.ac.at/studentpoint/.
für die Erstellung des gedruckten Vorlesungsverzeichnisses
zu verkürzen und damit die Aktualität der Druckausgabe zu
verbessern. Bereits aufgehoben wurde die Eingabesperre in
i3v, mit der im ersten Betriebssemester der i3v-Lehrverwaltung auf Wunsch der Dekanate verhindert wurde, daß Institute nach „Redaktionsschluß“ noch Änderungen an den
Lehrveranstaltungsdaten vornehmen. Die Eingabesperre
war offenbar als Anreiz zum rechtzeitigen Erfassen der Daten gedacht, erwies sich jedoch bald als kontraproduktiv: In
vielen Fällen werden wesentliche Fakten wie z.B. Orte oder
Termine von Lehrveranstaltungen erst sehr spät – mitunter
erst zu Beginn des Semesters – bekannt. Diese konnten
dann aber nicht mehr von den Instituten selbst, sondern nur
vom jeweiligen Dekanat in i3v aufgenommen werden, was
neben dem organisatorischen Mehraufwand auch zu einer
deutlichen Mehrbelastung durch die Eingabetätigkeit führte.
Mittlerweile wird der Zugriff auf die Lehrveranstaltungsdaten ohne zeitliche Einschränkungen ausschließlich über
den „Zustand“ der Lehrveranstaltung (Institutsbearbeitung,
Dekanatsbearbeitung, ...) geregelt. Die Einhaltung des Terminplans liegt somit im alleinigen Verantwortungsbereich
der Fakultäten. Bestimmte Daten wie Ort, Zeit oder Anmerkungen können praktisch zu jedem Zeitpunkt von den Instituten geändert werden. Zu einem festgelegten Termin
werden die Daten dann von der Redaktion des Vorlesungsverzeichnisses aus i3v übernommen und für die gedruckte
Ausgabe aufbereitet (Layout, Anzeigen, Vorspanntext usw.).
Änderungen, die nach diesem Zeitpunkt in i3v durchgeführt
werden, erscheinen zwar nicht mehr in der gedruckten Ausgabe, werden aber regelmäßig in das Online-Vorlesungsverzeichnis im WWW (http://data.univie.ac.at/
vlvz?extended=Y) übernommen, das somit immer aktuell
ist. Das Online-Vorlesungsverzeichnis wurde zusätzlich dadurch aufgewertet, daß die sogenannten Kapiteltexte, die
oft sehr wesentliche Informationen für die Studierenden enthalten, ebenfalls in i3v gepflegt und in das Online-Vorlesungsverzeichnis übernommen werden. Die Pflege der
Kapiteltexte in i3v erfolgt in den meisten Fällen noch durch
die Redaktion des Vorlesungsverzeichnisses, mitunter aber
auch schon durch die verantwortlichen Studienkommissionen, was die Aktualität der Informationen weiter verbessert.
Comment 02 / 2
Lehrverwaltung: In der Zielgeraden
Die Umstellung der Lehrverwaltung der Uni Wien, die im
Wintersemester 2001 an der Medizinischen Fakultät und den
beiden Theologischen Fakultäten ihren Anfang nahm, wird
im Sommersemester 2003 abgeschlossen sein: Auch die Fakultät für Human- und Sozialwissenschaften wird dann i3v
für die Lehrverwaltung einsetzen (die Erfassung der Lehrveranstaltungen mit i3v beginnt dort im Herbst 2002). Die
Arbeiten in diesem Bereich sind damit keinesfalls beendet,
sondern werden sich dann verstärkt auf die Verbesserung
der verwendeten Programme konzentrieren – vor allem in
Hinblick auf eine einfachere und effizientere Bedienung.
Nach der flächendeckenden Einführung von i3v kann aber
auch darangegangen werden, die relativ lange Vorlaufzeit
Prüfungsverwaltung:
Der Teufel steckt im Detail
Auch die i3v-Prüfungsverwaltung startete im Wintersemester
2001 zunächst an der Medizinischen Fakultät, und zwar im
Rahmen des Pilotprojektes [mcw]150. Das Pilotprojekt basiert auf dem neuen Studienplan für das Studium Humanmedizin, der mit dem Wintersemester 2002 in Kraft tritt. Daher
wird die i3v-Prüfungsverwaltung auf alle mit Wintersemester
2002 beginnenden Studierenden der Humanmedizin ausgeweitet; zusätzlich sollen auch die Studierenden der Zahnmedizin und des Doktoratsstudiums in die i3v-Prüfungsverwaltung übernommen werden. Die an der Medizinischen Fakultät eingesetzte Prüfungsverwaltung beruht auf modellier-
Aktuelles
ten Studienplänen, die in i3v abgebildet werden, und unterstützt neben der Verwaltung der Prüfungen und Prüfungsergebnisse auch die Anmeldung zu Prüfungen und Lehrveranstaltungen mit immanentem Prüfungscharakter. Bei der
Anmeldung, die entweder durch entsprechend befugte Universitätsmitarbeiterinnen oder durch die Studierenden selbst
(über Internet) erfolgt, wird auch überprüft, ob die in der
Prüfungsordnung definierten Voraussetzungen zum Ablegen
der Prüfung erfüllt sind.
i3v unterstützt neben der auf modellierten Studienplänen
aufbauenden Prüfungsverwaltung zusätzlich auch eine
reine Prüfungsergebnisverwaltung, wie sie in Form des sogenannten „PV-Client“ an der Uni Wien (mit Ausnahme der
Rechtswissenschaftlichen und der Medizinischen Fakultät)
bereits seit einigen Jahren im Einsatz ist. Die zentralen Komponenten dieses Systems liefen jedoch bisher auf der VMGroßrechenanlage des ZID, die Ende 2002 abgeschaltet
wird. Daher mußte auch das bisherige Prüfungsverwaltungssystem dringendst abgelöst werden. In Anbetracht des
Zeitdrucks war es notwendig, den Umstieg möglichst reibungslos zu gestalten und den Einschulungsaufwand für das
in einem Schritt universitätsweit einzusetzende neue System
möglichst gering zu halten. Daher wurden in der ersten
Phase nur die zentralen Komponenten durch entsprechende
i3v-Komponenten ersetzt; die an den Instituten eingesetzten
Komponenten bleiben vorerst in Betrieb und werden erst
später schrittweise durch i3v ersetzt.
Als Termin für die Umstellung der zentralen Komponenten
wurde Juli 2002 festgelegt. Dieser Zeitpunkt erscheint zwar
auf den ersten Blick sehr ungünstig, war jedoch der einzig
mögliche Termin: Einerseits mußte die Umstellung gemeinsam mit der Umstellung der Personalverwaltung erfolgen
(siehe unten), andererseits war es notwendig, daß sowohl
die Umstellung als auch die daraus resultierenden Arbeiten
rechtzeitig vor Beginn des Semesters abgeschlossen waren.
Am 9. Juli 2002 wurden die letzten Zeugnisse aus dem Altsystem gedruckt; danach erfolgte die Übernahme aller Prüfungsdaten aus dem Altsystem in i3v und die Inbetriebnahme der entsprechenden i3v-Komponenten. Nach einigen
kleineren Pannen konnten am 15. Juli die ersten Zeugnisse
aus i3v gedruckt werden; am 29. Juli 2002 wurde der reguläre Betrieb wieder aufgenommen.
Da allerdings im Altsystem (und daher auch in i3v) alle Ergebnisse eines bestimmten Prüfungstermins in einem sogenannten „Datenpaket“ gemeinsam übermittelt werden und
ein Datenpaket entweder zur Gänze geladen oder abgewiesen wird, hatte die Fehlerrate von 10 % zur Folge, daß mehr
als 20 % der Datenpakete abgewiesen wurden. Größere Datenpakete enthalten mit höherer Wahrscheinlichkeit einen
fehlerhaften Datensatz; daher umfaßten die abgewiesenen
20 % der Datenpakete mehr als 55 % der Prüfungsergebnisse.
Eine weitere Eigenheit des PV-Client ist, daß Prüfungstermine immer zur Gänze erfaßt werden müssen und eine spätere Korrektur der Daten im PV-Client nicht möglich ist. Enthält ein Prüfungstermin mit 200 Kandidatinnen einen einzigen fehlerhaften Satz, wird der gesamte Prüfungstermin
beim Laden abgewiesen und muß im PV-Client zur Gänze
neu erfaßt werden. Nachdem diese Mehrarbeit den Instituten nicht zuzumuten war, mußten die Programme angepaßt
werden. Dies erfolgte unter einem gewissen Zeitdruck, da
die Studierenden ihre Zeugnisse zum Teil dringend benötigten. Die Ladeprogramme wurden deshalb dahingehend
geändert, daß nun nach dem ersten Laden die fehlerhaften
Datensätze aus den abgewiesenen Paketen entfernt und die
Datenpakete anschließend erneut geladen werden. Zwar ist
auch die verbleibende Fehlerrate von 10 % nicht erfreulich;
da aber ein Großteil der Fehler auf wenige Ursachen zurückzuführen ist (z.B. Wechsel der Studienkennzahl infolge
Wechsel des Studienplans, Fächertausch bei kombinationspflichtigen Studien und Lehramtsstudien), wird auch hier an
Lösungen gearbeitet. Bei automatisierten Datenkorrekturen
sind allerdings auch rechtliche Aspekte zu berücksichtigen –
immerhin würden die Angaben der Studierenden im Nachhinein „richtiggestellt“.
Personalverwaltung: Alles neu
Gemeinsam mit der Prüfungsverwaltung wurde auch ein
weit größeres und komplexeres Anwendungspaket auf i3v
umgestellt: Seit Juli 2002 ist fast die gesamte Personalverwaltung der Uni Wien im i3v-Produktionsbetrieb. Wie berichtet, wurden die entsprechenden i3v-Komponenten in
enger Zusammenarbeit mit der Universität entwickelt. Das
Teilprojekt Personalverwaltung wird in einer der nächsten
Ausgaben des Comment näher vorgestellt.
i3v-Betreuung
Informationen zu i3v sind unter dem URL http://www.
univie.ac.at/AUV/support.html zu finden (dort gibt es
auch Verweise zur i3v-Produktdokumentation, die aber aus
lizenzrechtlichen Gründen nur mittels Mailbox-UserID
zugänglich ist).
Informationen zum Projekt UNIVIS finden Sie im WWW
unter http://www.univie.ac.at/univis/. Für Anfragen
zum Projekt ist das UNIVIS-Team unter der eMail-Adresse
[email protected] erreichbar.
Martin Polaschek ■
Comment 02 / 2
Die von vornherein eingeplante Reservezeit von zwei
Wochen erwies sich bald als durchaus notwendig. Vor allem
ein Problem sorgte für Verzögerungen: Beim Laden der Prüfungsdaten von den Transaktionsservern der Fakultäten zur
Weiterverarbeitung in i3v werden verschiedene Konsistenzüberprüfungen vorgenommen. Eines der grundlegenden
Ziele von UNIVIS ist die Verbesserung der Datenqualität;
daher werden nur jene Daten übernommen, die nicht im
Widerspruch zu vorhandenen Daten stehen. Nachdem jede
Prüfung für ein bestimmtes Studium abgelegt wird, wird
folglich unter anderem überprüft, ob der betreffende Studierende zum Zeitpunkt der Prüfung überhaupt zum angegebenen Studium zugelassen war. Allein dieser Überprüfung fallen beim Import ca. 10 % der Ergebnisse zum Opfer.
11
12
PCs & Workstations
TIPS
FÜR DAS
BACKUP
Irgendwann passiert es jedem Administrator eines größeren
Servers: Eine Platte ist defekt, oder das RAID gibt auf. Für
professionelle Server-Betreiber kein Problem – sie haben
die Daten ihres Systems regelmäßig auf Band gesichert, z.B.
über das Backup-Service des ZID (http://www-backup.
univie.ac.at/ ). Nach erfolgter Reparatur wird daher der
Backup-Klient aufgerufen, um die Daten vom BackupServer zurückzuholen. Doch dann vergehen die Stunden,
und noch immer sind nicht mehr als 10 % übertragen...
GROSSER
wie schnell oder langsam ein Restore vor sich geht. Hier
können Sie durch ein geeignetes Datenmanagement ganz
wesentlich eingreifen. Auf jedem PC mit größerer Festplatte
genügen zwei Maßnahmen, um die Performance erheblich
zu verbessern:
●
Vermeiden Sie das En bloc-Sichern zu großer Datenbereiche. Wir empfehlen aus mehrjähriger Erfahrung,
die Größe von etwa 30 bis 40 GB nicht zu überschreiten.
Selbst ein 30 GB-Dateisystem enthält bereits sehr viele
einzelne Dateien, und die Ein-/Ausgabebelastung über
die Wurzel des Dateisystems (der oberste Punkt, beispielsweise C:\ unter Windows oder / unter Unix) wird
rasch zum limitierenden Faktor. Der Verbrauch von
Arbeitsspeicher beim Backup wie auch beim Restore
nimmt mit der Größe der Dateisysteme stark zu.
●
Legen Sie mehrere Bereiche (Partitionen oder Festplatten) für wichtige und weniger wichtige Daten an.
Durch diese einfache Einteilung auf Ihrem Server können Sie wesentlich zur raschen Wiederaufnahme der
wichtigen Dienste beitragen. Ist z.B. ein RAID mit einer
Kapazität von 200 GB ausgefallen, müssen Sie im Falle
eines einzigen logischen Datenbereichs warten, bis die
letzten Daten zurückgespeichert sind, um das Dateisystem wieder voll in Betrieb nehmen zu können. Wenn
Sie diesen Datenbereich aber beispielsweise in fünf Teile
teilen, können Sie zuerst die wichtigsten, dann die weniger wichtigen Daten zurücksichern und somit das Service pro Partition bzw. Platte wiederaufnehmen.
Warum dauert das so lang?
Im Rahmen eines Backup-Vorgangs werden die Daten eines
Rechners zuerst auf einen großen Plattenbereich des BackupServers gespeichert, in der Backup-Datenbank registriert und
anschließend auf Bänder überspielt. Dadurch gelangen häufig Daten von verschiedenen Systemen auf ein Medium. Beim
ersten Sicherungsvorgang des Rechners werden alle Dateien
weitestgehend zusammenhängend gesichert; deshalb nimmt
auch das Zurückspeichern der Daten (Restore) für ein neues
System kaum mehr Zeit in Anspruch als der erste Sicherungslauf. Das folgende tägliche Backup berücksichtigt dann aber
üblicherweise nur mehr die neuen und die geänderten Daten
(„inkrementelles Backup“), sodaß die aktuellen Versionen
der Dateien eines Rechners nach und nach auf eine große
Anzahl von Bändern verteilt werden. Die unvermeidbare
Folge ist, daß das Zurückholen eines Dateisystems mit der
Zeit immer länger dauert: Obwohl der Bandroboter des Backup-Servers im Schnitt nur 1,5 Minuten benötigt, um ein einzelnes Band für das Auslesen von Daten zu laden und zu
positionieren, kann bei einer größeren Datenmenge allein
schon die Vorbereitungszeit mehrere Stunden betragen.
Comment 02 / 2
Ein weiterer Faktor – der aufgrund der immer schnelleren
Netzwerkinfrastruktur jedoch an Bedeutung verliert – ist die
verfügbare Bandbreite. Wenn die Verbindungsgeschwindigkeit zum Backup-Server gering ist, trägt die Transferzeit der
Daten über das Internet wesentlich zur Verzögerung bei
(zur Abschätzung läßt sich die Dauer des ersten Sicherungsvorgangs heranziehen, bei dem der gesamte Festplatteninhalt zum Backup-Server übertragen wurde). Vermeiden Sie
in diesem Sinne beim Backup auch jeden Netzwerkzugriff
auf Datenbereiche in anderen Rechnern!
Auch die Leistungsfähigkeit Ihres Rechners spielt eine wesentliche Rolle, da Komprimierung und Dekomprimierung
von Daten lokal viel Rechenleistung und Arbeitsspeicher
verbrauchen. Eine eher langsame CPU stört zwar bei inkrementellen Backups kaum, beim Restore einer ganzen Festplatte fällt die Rechenzeit aber sehr wohl ins Gewicht.
Gegenmaßnahmen
Schlußendlich entscheiden auch die Art Ihres Rechners, Ihr
Betriebssystem und die Datenanordnung auf Ihrem Gerät,
LAUFWERKE
Noch sicherer, noch schneller
Bei sehr wichtigen, hoch verfügbaren Servern wird man sich
vermutlich nicht mit einem einzigen Backup zufriedengeben, sondern zusätzlich hin und wieder die Daten auch an
anderer Stelle sichern – z.B. täglich in den Backup-Server
und wöchentlich auf eine lokale Bandstation. Im Ernstfall
kann man dann den betroffenen Datenbereich zunächst anhand des lokalen Backups restaurieren, um anschließend
den aktuellen Stand durch ein Restore vom Backup-Server
vollständig wiederherzustellen.
Neben der höheren Sicherheit hat diese Vorgangsweise den
Vorteil, daß die Anzahl der vom Backup-Server zurückzuspeichernden Objekte stark reduziert wird und somit die
Wartezeit entsprechend kürzer ist. Wenn Sie diese Methode
verwenden, sollten Sie jedoch darauf achten, daß Sie bei
Ihrem lokalen Backup keine Aktualisierungsliste mitführen:
Beim Eintragen der Archivierungsinformationen durch die
Backup-Software werden die gesicherten Dateien automatisch modifiziert, was in Folge die beiden Backup-Klienten
gegeneinander ausspielt und fast zwangsläufig zu Verwirrungen und unerwünschten Ergebnissen führt.
Aron Vrtala ■
PCs & Workstations
ADOBE PHOTOSHOP 7
Adobe bietet in der Version 7 von Photoshop zwar nur wenige, jedoch
durchaus nützliche neue Funktionen:
●
Mit dem neuen Datei-Browser hat nun endlich auch Photoshop eine
brauchbare Bildvorschau (siehe Abbildung unten). Die Umbenennung
von Bildern kann mittels Stapelverarbeitung mit verschiedensten Optionen erfolgen, wobei die Meta-Information (Auflösung, Erstellungsdatum usw.) erhalten bleibt.
Neue
Standardsoftware
Neue Produkte
●
●
●
●
●
●
Die Ebenen-Palette läßt sich jetzt zu sogenannten Sets gruppieren, sodaß beispielsweise alle Textebenen zusammengefaßt und dennoch
einzeln bearbeitet werden können.
●
●
●
●
●
●
●
Auch die Definition eines persönlichen Arbeitsbereiches ist nun möglich: Die gewünschten Paletten (z.B. nur Typographie) und Werkzeugeinstellungen können in beliebiger Anordnung gespeichert werden;
beim nächsten Programmstart werden sie dann in dieser Form wieder
aufgerufen.
●
●
●
In der Werkzeug-Palette ist der „Reparatur-Pinsel“ hinzugekommen,
mit dessen Hilfe sich Staub, Kratzer und Falten (besonders bei Fotos)
problemlos entfernen lassen – unter automatischer Berücksichtigung
von Struktur, Schattierung und Beleuchtung des Hintergrundes.
●
Nicht zuletzt kann man jetzt auch die Farbkorrektur von Bildern vollautomatisch durchführen.
Barbara Schwindl ■
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
(Stand: 31. 8. 2002)
Mathematica 4.2 für Win., Mac und
diverse Unix (bisher 4.1.2)
MS-Visio Prof. 2002 SR1 für Win.
(bisher ohne SR1)
MS-Visio Standard 2002 SR1 für Win.
(bisher ohne SR1)
Alle Informationen zur Standardsoftware finden Sie im WWW unter
http://www.univie.ac.at/zid-swd/
Peter Wienerroither
Comment 02 / 2
●
(Stand: 31. 8. 2002)
Adobe FrameMaker 7.0 für Win. und
Mac
Adobe GoLive 6.0 für Win. und Mac
Adobe InDesign 2.0 für Win. und Mac
Adobe LiveMotion 2.0 für Win. und Mac
Adobe Photoshop 7.0 für Win. und Mac
Adobe Premiere 6.5 für Win. und Mac
Apple MacOS 10.2
Borland C++ Builder Prof. 6.0 für Win.
Borland JBuilder Prof. 6.0
für Win., Mac, Linux, Solaris
FileMaker Pro 5.5 für Win. und Mac
Macromedia Dreamweaver MX
für Win. und Mac
Macromedia Fireworks MX
für Win. und Mac
Macromedia Flash MX für Win. und Mac
MS-Visual Studio .NET 2002 Enterprise
Architect für Win.
MS-Visual Studio .NET 2002 Enterprise
Developer für Win.
MS-Visual Studio .NET 2002 Professional
für Win.
MS-Vizact 2000 für Win.
Novell NetWare 6
ScanSoft OmniForm Premium 5.0
für Win.
SigmaPlot 8.0 für Win.
SPSS 11 für Win. und SPSS 10 für Mac
Symantec Norton Antivirus 8.0 für Mac
Symantec Norton Ghost Corporate
Edition 7.5 für Win.
Symantec Norton Utilities 7.0 für Mac
TUSTEP 2002 für Win.
VMware 3.0 für Win. und Linux
Updates
Adobe Photoshop 7: Der neue Datei-Browser mit Bildvorschau
13
14
PCs & Workstations
FIREWALLS :
Schutz vor Gefahren aus dem Internet
Durch den Einsatz von Firewalls kann man die Sicherheit
von Rechnersystemen, die an Datennetze angeschlossen
sind, heute generell stark erhöhen. Sowohl ihr Name als
auch ihr Konzept erinnern dabei an eine Brandmauer: Eine
Firewall bildet eine Barriere gegen Hacker und sich selbst
verbreitende Viren und Trojaner aus dem Internet.
Was ist eine Firewall?
Comment 02 / 2
Eine Firewall kontrolliert die Internetverbindungen des zu
schützenden Netzwerkbereichs (dies kann ein einzelner PC,
eine Gruppe von Rechnern oder ein großes Netzwerk sein),
indem sie alle Netzwerkdatenströme anhand von Zugriffsregeln filtert, mit denen definiert wird, welcher Datenverkehr erwünscht bzw. unerwünscht ist. Diese Schutzfunktion
gegen potentiell gefährliche Netzwerkaktivitäten wirkt in
zwei Richtungen:
●
Durch die Zugriffskontrolle von außen (das ist die nicht
vertrauenswürdige Seite) nach innen werden Hacker
und bösartige Programme daran gehindert, in geschützte
Rechner oder Netzwerke einzudringen.
●
Die Zugriffskontrolle von innen nach außen erscheint
zwar zunächst als unnötige Selbstbeschränkung, ist aber
eine ausgezeichnete Methode, um beispielsweise Trojanern den Weg ins Netz zu versperren. Indem Sie festlegen, welche Netzwerkaktivitäten der Rechner durchführen darf, verringern Sie das Risiko, daß im Falle einer
„feindlichen Übernahme“ des PCs andere Rechner oder
ganze Netzwerke in Mitleidenschaft gezogen werden
können.
Firewalls treten in verschiedenen Erscheinungsformen auf:
Zur Abschirmung großer Netzwerkbereiche sind oft teure
Geräte erforderlich, deren Hard- und Software speziell für
diesen Zweck entwickelt wurde und die dadurch auch starkem Netzwerkverkehr gewachsen sind. Zum Schutz einer
kleineren Anzahl von Rechnern genügt meistens ein nur
dieser Aufgabe gewidmeter PC mit zwei Netzwerkkarten
und entsprechender Software. Einen einzelnen Arbeitsplatzrechner kann man absichern, indem man ein Firewall-Programm (eine sogenannte Personal Firewall, siehe Kasten auf
Seite 15) am PC installiert und betreibt.
Wogegen schützt eine Firewall nicht?
Nicht alle Bedrohungen lassen sich durch eine Firewall abwenden: Auch wenn die Internetverbindungen eines Rechners auf die absolut notwendigen Zugriffe beschränkt werden und die Angriffsfläche somit stark reduziert ist, kann
man sich dennoch über essentielle Services wie eMail und
WWW diverses „Ungeziefer“ (z.B. Mail-Würmer oder Computerviren) auf den PC holen. Dagegen ist eine Firewall
machtlos – schließlich wurde die entsprechende Netzwerkverbindung explizit zugelassen, um eMail lesen oder surfen
zu können. Hier hilft nur die richtige Konfiguration der Anwendungsprogramme und vor allem das Abschalten aller
überflüssigen Automatismen.
Firewalls aus Benutzersicht
Eine Firewall, die den Datenverkehr nicht einschränkt, ist
nutzlos. Man sollte sich daher bewußt sein, daß gewisse Behinderungen bei der Kommunikation mit anderen Rechnersystemen unvermeidbar sind, wenn die Firewall ihre Aufgabe erfüllen soll. Als Benutzer kann man auf mehrere Arten
mit Firewalls in Kontakt kommen:
●
Ihr Rechner befindet sich in einem Netzwerkbereich, der
durch eine Firewall abgeschirmt ist. Welche Datenverbindungen zugelassen sind und welche nicht, bestimmt
der Firewall-Administrator auf Basis eines Sicherheitskonzepts. Falls die Firewall unüberwindbare Probleme
beim Datenaustausch mit Kollegen verursacht, sollten
Sie dies mit dem Administrator der Firewall besprechen.
●
Sie sichern Ihren eigenen Rechner mit Hilfe einer Personal Firewall ab. Dies ist nicht nur dann sinnvoll, wenn er
ansonsten vollkommen ungeschützt wäre – gerade auch
als Ergänzung zu einer übergeordneten Firewall machen
Personal Firewalls Hackern und Trojanern das Leben
sehr schwer: Ein solcher „Tiefenschutz“ kann einerseits
die Filter der vorgeschalteten Firewall weiter verfeinern,
andererseits wirkt er auch gegenüber Rechnern, die sich
ebenfalls in der Schutzzone der „großen“ Firewall befinden und Sicherheitsprobleme verursachen können.
Auch wenn es Ihnen vielleicht nicht auf Anhieb gelingt,
Ihre Personal Firewall optimal zu konfigurieren, können
Sie rasch ein akzeptables Grundniveau für Ihre Systemsicherheit erreichen. Beachten Sie dazu auch den Kasten
Personal Firewalls auf Seite 15.
●
Sie sind als Administrator für die Sicherheit eines bestimmten Netzwerkbereichs zuständig. In diesem Fall
haben Sie nicht nur eine technisch interessante Aufgabe,
sondern auch eine große Verantwortung übernommen.
Wenn Sie eine Firewall zur Absicherung Ihres Netzwerks
einsetzen wollen, sollten Sie Ihr Vorgehen unbedingt mit
dem Zentralen Informatikdienst koordinieren.
Indem Sie Ihren Rechner (oder Ihr Netzwerk) durch eine
Firewall absichern, verbessern Sie die Sicherheitssituation
PCs & Workstations
nicht nur für sich selbst, sondern letztlich auch für alle anderen Netzwerkteilnehmer. Um eine Firewall konfigurieren
und betreiben zu können, benötigt man allerdings Kenntnisse über die Struktur und Funktionsweise von Netzwerken
und Rechnersystemen – ein kundiger und sorgfältiger Administrator ist für den Betrieb einer Firewall mindestens genauso wichtig wie leistungsfähige Hard- und Software.
Personal Firewalls
Für das Betriebssystem Windows gibt es eine große
Auswahl an Personal Firewalls. Zwei davon stellen wir
in diesem Comment vor: Die Norton Personal Firewall
2002 (siehe Seite 18) und die Tiny Personal Firewall
(siehe Seite 22).
Künftige Firewall-Betreiber sollten sich davon jedoch nicht
abschrecken lassen: Nur wenige Menschen können alle Fragen, die im Zusammenhang mit Firewalls auftreten, souverän beantworten; der Einstieg in diese Materie ist jedoch mit
ein wenig Lernbereitschaft, Überlegung und Sorgfalt durchaus zu schaffen. Wenn Sie anschließend regelmäßig Informationen zum Thema Computersicherheit sowie die LogDateien der Firewall lesen und mit anderen Firewall-Administratoren Ihre Erfahrungen austauschen, wird sich Ihr Wissensstand schnell vertiefen. Der Zentrale Informatikdienst
steht Ihnen beim Start – aber auch später – gerne beratend
zur Seite.
Grundprinzipien
●
Die Norton Personal Firewall 2002 besticht durch
gefälliges Design und eine gute Online-Dokumentation. Sie bietet neben dem üblichen Funktionsumfang einer Firewall auch ein gewisses Maß an
Selbstkonfiguration (was zwar nützlich, aber auch
sehr problematisch sein kann) sowie die Möglichkeit, unverschlüsselt abgehende Daten auf heikle
Inhalte – z.B. Ihre Kontonummer – zu überprüfen.
Ihre Nachteile: Die Norton Personal Firewall ist
relativ unübersichtlich und funktioniert nicht auf
Windows Server-Systemen.
●
Die Tiny Personal Firewall kann hingegen auf allen
Windows-Systemen – auch Servern – eingesetzt
werden. Sie ist sehr klein (unter 2 MB Speicherplatz) und entsprechend puristisch gestaltet, jedoch
erstaunlich vielseitig und zuverlässig. Alle Zugriffsregeln und Log-Meldungen werden sehr klar und
übersichtlich dargestellt. Die Tiny Personal Firewall
läßt sich mittels Administrator-Paßwort absichern
und kann auf Wunsch auch per Fernwartung konfiguriert werden. Durch die Reduktion auf das Wesentliche ist für ihren Betrieb allerdings etwas mehr
Hintergrundwissen erforderlich, und auf Freunde
bunter Fenster wirkt ihr schlichtes Design möglicherweise abschreckend.
●
Eine weitere Windows-Firewall ist die ZoneAlarm
Firewall von Zone Labs, die in mehreren Abstufungen zur Verfügung steht. Davon ist nur die Variante ZoneAlarm Pro sinnvoll einsetzbar.
●
Die bei Windows NT, 2000 und XP in das Betriebssystem integrierten Firewall-Funktionen sind nicht
zu empfehlen.
Selbst die teuerste Hard- und Software kann eine mangelhafte Administration nicht kompensieren. Firewalls erfordern ein gewisses Sicherheitskonzept, eine sorgfältige Konfiguration und regelmäßige Überwachung. Eine gut konzipierte und gewartete Firewall erspart letztlich mehr Zeit, als
sie kostet. Die Grundregeln eines erfolgreichen FirewallEinsatzes sind:
●
Handeln Sie nach dem Prinzip der kleinsten benötigten
Privilegien und lassen Sie nur diejenigen Internetzugriffe
zu, die wirklich gebraucht werden – weniger ist oftmals
mehr!
●
Halten Sie die Konfiguration der Firewall möglichst einfach und überschaubar: Unnötig komplizierte Konstruktionen, die auf einer Mischung von Verboten, Geboten
und deren Ausnahmen basieren, sind schwer zu überblicken, wartungsintensiv und fehleranfällig. Starten Sie
deshalb mit einer Konfiguration, die zunächst alle Zugriffe verbietet, und definieren Sie anschließend wohlüberlegte Ausnahmen. Das macht zwar am Anfang etwas
mehr Mühe, bewirkt aber durch die weitreichenden Zugriffsverbote und die einfachere Verwaltung des Regelwerks einen viel besseren Schutz.
●
Vermeiden Sie „überautomatisierte“ Mechanismen. Eine
Firewall, die nach Bedarf selbständig Zugriffsregeln definiert und jeden Zugriff sofort erlaubt, hat ihren Zweck
verfehlt. Auch eine Firewall, die Attacken erkennen
kann und daraufhin alle Netzwerkaktivitäten des Rechners stoppt, kommt dem Angreifer entgegen: Ihr System
ist vom Netz.
Möglicherweise sollten Sie auch eine Neuordnung der
Funktionen Ihrer PCs ins Auge fassen: Wenn jedes Sy-
Unter Linux sind zwei Firewalls verfügbar: IP-Chains
und IP-Tables. Letztere ist moderner, leistungsfähiger
und einfacher zu konfigurieren (siehe Artikel Hitchhikers’s Guide to Security, Seite 26).
stem gleichzeitig Klient und Server für andere Rechner
ist, wird eine Firewall-Konfiguration sehr mühsam.
●
Rechner, die als Server dienen, sollten sowohl in ungeschützten als auch in geschützten Netzwerken durch Personal Firewalls abgesichert werden. Wenn das Netzwerk
über eine vorgeschaltete Firewall verfügt, sollten die Ser-
Comment 02 / 2
●
15
16
PCs & Workstations
Übersicht über die wichtigsten Protokolle und Ports
Comment 02 / 2
Die Tabelle erhebt keinen Anspruch auf Vollständigkeit!
Weitere Informationen finden Sie unter http://www.univie.ac.at/ZID/security.html (Vorlesung Security im Internet ).
Beschreibung
Name des Protokolls bzw. Service
Vorwiegend
für (System)
Basisprotokoll
Port
bzw. Typ
Interaktives Arbeiten
Telnet
Alle
TCP
23
Dateien kopieren
FTP
Alle
TCP
20, 21
Interaktives Arbeiten / Dateien kopieren,
mit Verschlüsselung
SSH
Alle
TCP
22
eMail (Simple Mail Transfer Protocol )
SMTP
Alle
TCP
25
WWW
HTTP
Alle
TCP
80
Weitere WWW-Ports
HTTP
Alle
TCP
8080, 8008
Sicheres HTTP, mit Verschlüsselung
HTTPS
Alle
TCP
443
eMail-Download von Mailservern
POP3
Alle
TCP
110
eMail-Download von Mailservern
IMAP4
Alle
TCP
143
Online-Verzeichnisdienst
LDAP
Alle
TCP
389
Namensauflösung von numerischen IP-Adressen
DNS
Alle
UDP, TCP
53
Zeitstempeldienst (Aktualisierung der Uhr)
Time Service
Alle
UDP
37
Genauer Zeitstempeldienst
(stellt den Lauf der Uhr sehr exakt ein)
NTP
Alle
UDP
123
Ausführung von Programmprozeduren auf Servern
RPC
Alle
UDP
111
Dynamische Internetnummern-Konfiguration
DHCP
Alle
UDP
67, 68 1)
Backup-Service an der Uni Wien
DSM
Alle
TCP
1500
Windows-Shares
NetBIOS/IP
Windows
UDP, TCP
137 – 139
Windows-Ereignisanzeige
NetBIOS/IP
Windows
TCP
139
Netzwerkdateisystem (braucht RPC)
NFS
Unix
UDP
2049 2)
Netzwerkdateisystem V3, falls TCP-Verkehr erwünscht
(zusätzliche Regel)
NFS V3
Unix
TCP
2049
Primitiver Dateitransfer (ohne Autorisierung)
TFTP
Unix
UDP
69
X Windows (Interaktives Arbeiten mit Unix)
X11
Alle
TCP
6000 – 6063
X Windows-Ankündigungsdienst
(Interaktives Arbeiten mit Unix)
XDMCP
Alle
UDP
177
Ausführung von Befehlen (Remote),
Autorisierung über Datei am Ziel
rexec
Unix
TCP
512
Interaktives Arbeiten (Remote),
Autorisierung über Datei am Ziel
rlogin
Unix
TCP
513
Interaktive Befehlszeile (Remote)
rshell
Unix
TCP
514
Remote Printing
lpd
Unix
TCP
515
Loggen von Ereignissen von anderen Rechnern
syslog
Unix
UDP
514
Erreichbarkeitstest, Anforderung
Ping
Alle
ICMP
Typ 8
Erreichbarkeitstest, Antwort
Ping
Alle
ICMP
Typ 0
Zielport nicht erreichbar
Destination
Unreachable
Alle
ICMP
Typ 3
Bandbreitensteuerung
Source Quench
Alle
ICMP
Typ 4
1) Zur einfacheren Konfiguration: Für alle Internet-Adressen freischalten.
2) Manche Implementationen benötigen weitere Ports.
PCs & Workstations
ver zusätzlich in einem Sicherheitsperimeter (demilitarized zone) positioniert werden, sodaß sie sich in einem
eigenen, speziell geschützten Netzwerkbereich befinden.
Das wehrt Angriffe aus dem Internet, aber auch aus dem
eigenen Netzwerk sehr effektiv ab.
●
Analysieren Sie regelmäßig die Log-Dateien der Firewall,
in denen alle unerlaubten Zugriffe verzeichnet sind. Dadurch erfahren Sie einerseits, ob sich jemand an Ihrem
System zu schaffen macht – sei es von innen oder von
außen. Andererseits finden Sie in den Log-Dateien aber
auch Informationen über alle gescheiterten Zugriffsversuche von Rechnern, denen der Zugriff eigentlich erlaubt sein sollte, und können dadurch Konfigurationsmängel leichter beheben. Nicht zuletzt sind Log-Einträge
hilfreich, um Regeln für Dienste abzuleiten, deren Funktionsweise nicht bekannt ist.
●
Beachten Sie die Verkettung von Sicherheiten, und bedenken Sie, daß jede Kette nur so stark ist wie ihr
schwächstes Glied: Vor Attacken, die von einem mangelhaft abgesicherten Rechner im selben Netz ausgehen,
kann Sie eine Personal Firewall nur schützen, wenn Sie
diesem Rechner möglichst wenig Zugriffsrechte einräumen.
Grundwissen
Um sinnvolle Zugriffsregeln definieren zu können, sollte
man zumindest die folgenden elementaren Fakten kennen:
Basisprotokolle (TCP, UDP, ICMP)
Das im Internet verwendete Übertragungsprotokoll TCP/IP
ist eigentlich eine Familie von Protokollen, die ineinander
verschachtelt sind: Auf der untersten Ebene wird IP eingesetzt, das Internet Protocol. Auf diesem Protokoll werden
die für eine Firewall-Konfiguration wichtigen Basisprotokolle TCP (Transmission Control Protocol ), UDP (User
Datagram Protocol ) und ICMP (Internet Control Message
Protocol ) transportiert, auf denen wiederum die Protokolle
für die diversen Internetanwendungen aufsetzen (HTTP,
SSH, TELNET, FTP, SMTP usw.). Nicht jede Internetanwendung kann mit jedem Basisprokoll funktionieren: TCP sorgt
für einen geregelten Datenstrom, wie er beispielsweise für
das WWW nötig ist; UDP eignet sich hingegen für andere
Anwendungen (DNS, NFS, DFS usw.).
der IP-Adresse bzw. dem entsprechenden Hostnamen in
einem URL angibt, trennt man sie durch einen Doppelpunkt
von der Adresse (z.B. http://131.130.1.78:80 oder
https://data.univie.ac.at:443).
Für die Standarddienste eines Rechners gibt es eine Liste
vordefinierter Portnummern (well known port numbers). So
wartet ein Webserver üblicherweise am Port 80 darauf, von
einem Webbrowser angesprochen zu werden; ein Mailserver hingegen verwendet stets Port 25. Will Ihr PC z.B.
einen Webserver kontaktieren, so öffnet er eine Verbindung
zu dessen well known port. Er verwendet dabei meist ein
sogenanntes „unprivilegiertes“ Port auf Ihrem Rechner –
eine beliebige, gerade unbenutzte Portnummer zwischen
1025 und 65535. In vielen Firewalls wird dies durch den Begriff Any ausgedrückt. Eine Liste der gängigsten Anwendungsprogramme, ihrer Basisprotokolle und der benötigten
(Server-)Ports finden Sie im Kasten auf Seite 16.
Vorgangsweise
Bei der Konfiguration einer Firewall muß man im wesentlichen definieren, ob eine Netzwerkverbindung von einem
Rechner zum Port eines anderen Rechners unter Verwendung eines bestimmten Basisprotokolls zulässig ist oder
nicht. Das ist insofern nicht immer einfach, als kaum jemand
alle Dienste und deren Funktionen kennt – wer weiß schon
genau, wofür der Microsoft-DS -Dienst oder der linuxconf Service gedacht sind? Davon sollte man sich jedoch nicht
irritieren lassen. Für Personal Firewalls unter Windows und
Linux empfehlen wir, unbekannte Dienste zunächst zu
blockieren: Falls sie für einen sinnvollen Rechnerbetrieb
notwendig sein sollten, macht sich das normalerweise sehr
rasch bemerkbar. Informationen über gescheiterte Zugriffsversuche findet man in der Log-Datei der Firewall (vorausgesetzt, diese ist entsprechend konfiguriert).
Details
Weitere Informationen über den Betrieb von Firewalls,
über Internet-Protokolle und deren Funktion sowie Portnummern-Listen finden Sie in den Unterlagen zur Vorlesung Security im Internet, die unter dem URL http://
www.univie.ac.at/ZID/security.html (Menüpunkt
Vorträge) abrufbar sind.
Aron Vrtala ■
Comment 02 / 2
Beispiel: Ihr Rechner habe die Internet-Adresse 131.
130.17.20, der Rechner Ihres Zimmerkollegen habe die
Internet-Adresse 131.130.17.21. Wenn Sie nun einen
Teil Ihrer Festplatte und Ihren Drucker gemeinsam mit
Ihrem Kollegen verwenden wollen, müssen Sie diesem
den Zugriff auf ein Windows-Share Ihres Rechners erlauben. Dazu schalten Sie auf dem lokalen Rechner
131.130.17.20 für den Gastrechner (= remote system)
131.130.17.21 die TCP- und UDP-Ports 137, 138 und
139 frei. Die Zugriffe kommen in diesem Fall von allen
UDP-Ports (0 bis 65535) sowie von allen unprivilegierten TCP-Ports (1025 bis 65535) des Gastrechners.
IP-Adressen und Ports
Jeder Rechner im Internet besitzt eine IP-Adresse (z.B.
131.130.1.11). Damit sich die verschiedenen Datenverbindungen des Rechners nicht gegenseitig in die Quere kommen, werden diesen Verbindungen sogenannte Ports zugewiesen, die von 0 bis 65535 durchnumeriert sind. Sie entsprechen den Türnummern in einem großen Mietshaus,
während die IP-Adresse mit der Anschrift des Hauses vergleichbar ist. Wenn man die Portnummer gemeinsam mit
17
18
PCs & Workstations
Maximale Sicherheit für Windows :
NORTON PERSONAL FIREWALL 2002
Hinweis: Allgemeine Informationen über die Funktionsweise und den Betrieb von Firewalls finden Sie im Artikel
Firewalls: Schutz vor Gefahren aus dem Internet auf Seite 14.
Die Norton Personal Firewall 2002 von Symantec ist eine
auch für Anfänger relativ einfach zu bedienende FirewallSoftware für Windows-Arbeitsplatzrechner. Ihre Konfiguration erscheint zwar auf den ersten Blick etwas umständlich,
dafür zeichnet sich die Software aber durch vielfältige integrierte Funktionen und eine gute Hilfe-Funktion aus. Für
den Einsatz auf Windows NT-Servern und Windows 2000Servern ist die Norton Personal Firewall jedoch nicht geeignet – wenn Sie ein solches System schützen wollen, empfehlen wir die ab Seite 22 vorgestellte Tiny Personal Firewall.
Falls Sie Windows XP verwenden, müssen Sie die systemeigene Firewall abschalten, bevor Sie die Norton Personal Firewall installieren: Klicken Sie auf Start – (Einstellungen –)
Systemsteuerung – Netzwerkverbindungen, dann mit der
rechten Maustaste auf LAN-Verbindung (bzw. bei Modemoder ADSL-Anschluß auf die DFÜ-Verbindung) und wählen
Sie aus dem Kontextmenü die Option Eigenschaften. In der
Registerkarte Erweitert müssen Sie nun das Kontrollkästchen
im Bereich Internetverbindungsfirewall deaktivieren.
Die Norton Personal Firewall bietet drei Hauptthemen, die
konfiguriert werden können: Internetstatus, Persönliche
Firewall und Datenschutz (siehe Abb. 1).
Thema Internetstatus
Dieses Hauptthema gliedert sich in drei Abschnitte: Unter
Aktueller Status können Sie Systemereignisse abfragen
(vgl. Abb. 1). Unter Benachrichtigung (siehe Abb. 2) läßt
sich die Mitteilsamkeit der Firewall-Software konfigurieren,
wobei die Stufe Niedrig für die meisten Benutzer ausreichend ist: Die Meldungen beschränken sich dann auf
wichtige Systemereignisse und eine eventuell erfolgende
automatische Konfiguration der Firewall. Während Sie an
das Internet angeschlossen sind, haben Sie unter dem
Thema Internetstatus auch die Möglichkeit, Ihren Rechner
mittels einer externen Sicherheits-Analyse von Norton
überprüfen zu lassen.
Thema Persönliche Firewall
Unter diesem Thema sind in vier Konfigurationsbereichen
(Persönliche Firewall-Einstellungen, Internetzugriffssteuerung, Internetgruppen und Zugriffsschutz) alle Einstellungsmöglichkeiten zusammengefaßt, mit denen Sie die Netzwerkverbindungen Ihres Systems regeln können.
Uni-Mitarbeiter mit Mailbox-UserID können die Norton Personal Firewall im Rahmen der Standardsoftware vom ZID
beziehen (siehe http://www.univie.ac.at/zid-swd/).
Nachdem Sie das Programmpaket vom Softwaredistributions-Server heruntergeladen und entpackt haben (z.B. mit
WinZip), installieren Sie die Firewall, indem Sie die Datei
cdstart.exe ausführen. Sobald die Installation und der anschließende Neustart abgeschlossen sind, meldet sich der
Security Assistent, um Ihnen beim Konfigurieren der Sicherheitseinstellungen behilflich zu sein; dies können Sie jedoch
zu einem späteren Zeitpunkt genauso bequem durchführen.
Im Konfigurationsbereich Persönliche Firewall-Einstellungen sollten Sie die Sicherheitsstufe unbedingt auf den
Wert Hoch einstellen (siehe Abb. 3). Damit ist jeder Zugriff
aus dem Internet und auf das Internet standardmäßig verboten, bis Sie ihn explizit zulassen. Diese Sicherheitsstufe
Abb. 1: Hauptthemen & Aktueller Status
Abb. 2: Internetstatus – Benachrichtigung
Comment 02 / 2
Persönliche Firewall-Einstellungen
PCs & Workstations
Abb. 3: Persönliche Firewall – Persönliche Firewall-Einstellungen
19
Abb. 4: Persönliche Firewall – Internetzugriffsteuerung – Konfigurieren
bewirkt auch, daß Sie vor der unbeabsichtigten Ausführung
aktiver Internet-Inhalte (z.B. Java, ActiveX) geschützt sind.
Ganz wichtig: Vergessen Sie bitte nicht, das Kontrollkästchen Sicherheit aktivieren mit einem Hakerl zu versehen – andernfalls ist die Firewall nicht eingeschaltet und
Ihr PC nicht geschützt! Diese Funktion muß standardmäßig
aktiviert sein, damit sich die Firewall-Software beim Booten
des PCs selbständig startet. Die Firewall erst nachträglich
einzuschalten ist nicht zielführend, da unerwünschte Programme (z.B. Trojaner) oft bereits während des Boot-Vorgangs aktiv werden und somit ungestört agieren können.
Internetzugriffssteuerung
Der zweite und wichtigste Konfigurationsbereich ist die
Internetzugriffssteuerung, mit der die Zugriffsregeln nach
innen und außen für das gesamte System bzw. für einzelne
Anwendungsprogramme festgelegt werden können. Trojaner und eMail-Würmer lassen sich beispielsweise recht
effektiv behindern, indem man nur ausgewählten Anwendungsprogrammen Internetverbindungen erlaubt.
Methode A:
Automatische Konfiguration für das gesamte System
Jetzt müssen Sie angeben, welche Laufwerke des Rechners
(üblicherweise C:\) auf internetfähige Programme geprüft
werden sollen. Nach einem Klick auf Weiter durchsucht die
Firewall Ihr System und liefert schließlich eine Ergebnisliste
(siehe Abb. 5).
Sehen Sie sich diese Liste genau an – es ist schon vorgekommen, daß ein Trojaner hier aufschien. Klicken Sie daher
nicht auf das Feld Alle, sondern wählen Sie nur diejenigen
Programme aus, die Sie wirklich mit Internetzugriff ausstatten wollen (vermutlich MS-Internet Explorer, MS-Outlook,
Netscape usw.). Die gängigen Internet-Anwendungen sind
der Firewall-Software bekannt und die entsprechenden Voreinstellungen für den Zugriff daher im allgemeinen sinnvoll.
Mit dieser Methode können auch weniger versierte Benutzer
mit geringem Aufwand eine gewisse Grundsicherheit erreichen. Der Nachteil dabei ist allerdings, daß die Firewall
nur für die ihr bekannten Anwendungsprogramme brauchbare Regeln definieren kann. Für die Mehrzahl der Anwendungen werden die Regeln jedoch zu weitreichend formuliert, sodaß ein händischer „Feinschliff“ empfehlenswert ist.
Methode B:
Manuelle Konfiguration einzelner Anwendungen
Um Zugriffsregeln für eine einzelne Anwendung zu definieren, klicken Sie im Fenster Internetzugriffssteuerung auf
die Schaltfläche Hinzufügen unterhalb der Anwendungsliste (vgl. Abb. 4). Sobald Sie das gewünschte Programm
ausgewählt haben, erscheint ein Fenster, in dem sie nochmals bestätigen müssen, daß Sie für diese Anwendung den
Internetzugriff konfigurieren möchten (siehe Abb. 6 auf
Seite 20). Neben einer nur mäßig brauchbaren Risiko-Einschätzung der Anwendung bietet dieses Fenster drei Op-
Comment 02 / 2
Die Norton Personal Firewall bietet die Möglichkeit, alle
internetfähigen Anwendungsprogramme anzeigen zu lassen
und dann automatisch zu konfigurieren. Dazu klicken Sie
im Fenster Internetzugriffssteuerung auf die Schaltfläche
Konfigurieren oberhalb der Anwendungsliste. Im nun aufklappenden Menü wählen Sie die Option Anwendungsprüfung (siehe Abb. 4).
Abb. 5: Persönliche Firewall – Internetzugriffsteuerung –
Ergebnis der Anwendungsprüfung
20
PCs & Workstations
tionen: Sie können den Internetzugriff für diese Anwendung
generell zulassen, generell blockieren oder speziell konfigurieren.
Wenn Sie – wie oben beschrieben – im Konfigurationsbereich Persönliche Firewall-Einstellungen die Sicherheitsstufe auf Hoch gestellt haben (vgl. Abb. 3), ist der Internetzugriff für alle Anwendungen ohnehin standardmäßig verboten. Spezielle Zugriffsregeln sind daher nur dann notwendig, wenn Sie eine Ausnahme von dieser Grundregel definieren und einem bestimmten Programm den Internetzugriff
gestatten wollen. Falls Sie die von der ausgewählten Anwendung benötigten Übertragungsprotokolle nicht wissen,
empfehlen wir, den Internetzugriff generell zuzulassen (dies
entspricht im wesentlichen Methode A). Kennen Sie hingegen das Programm bzw. das entsprechende Protokoll,
sollten Sie die Firewall-Funktion für die Anwendung explizit
konfigurieren, damit nicht mehr Privilegien als unbedingt
notwendig vergeben werden.
Worauf es bei der Konfiguration der Firewall-Funktionen
ankommt, soll nun anhand des Programms ssh (Secure Shell )
gezeigt werden, das eine verschlüsselte interaktive Kommunikation und einen sicheren Datentransfer ermöglicht.
Nachdem Sie dieses Programm generell für das Internet geöffnet haben (vgl. Abb. 6), werden in einem separaten Fenster die derzeit gültigen Regeln angezeigt: Zulassen, Richtung Ankommend /Abgehend, Computer: Alle, Kommunikationstypen: Alle, Protokoll: TCP-UDP (siehe Abb. 7).
Um ssh genauer zu konfigurieren, klicken Sie in diesem
Fenster auf die Schaltfläche Ändern. Nun erscheint das Fenster Regel ändern, das mehrere Registerkarten enthält. Die
erste davon nennt sich Aktion. Dahinter verbergen sich die
Einstellungsmöglichkeiten Zulassen, Blockieren und Überwachen. Da die Firewall grundsätzlich auf Blockieren eingestellt ist, sind zusätzliche blockierende Regeln generell überflüssig – dies reduziert den Denkaufwand auf jene Aktivitäten, die zugelassen werden sollen.
In der Registerkarte Verbindungen wird geregelt, wer die
Verbindung starten darf (siehe Abb. 8). Das sind entweder
●
Sie selbst mittels der gewählten Anwendung
(„abgehende Verbindung“),
●
andere Computer im Netz, die Ihren Rechner als Server
verwenden wollen („ankommende Verbindung“), oder
●
beide, also bidirektionaler Verbindungsaufbau.
Da im Falle von ssh Ihr Windows-PC immer der Klient ist,
der sich eines fremden Servers bedient, müssen Sie hier die
erste Option Verbindungen mit anderen Computern
wählen. Dasselbe gilt beispielsweise auch für eMail (SMTP,
POP3, IMAP4) und für WWW (HTTP, HTTPS).
Aufgrund dieser Einstellung bietet die nächste Registerkarte
Computer nun die Möglichkeit, dem Programm ssh den
Zugriff auf Alle Computer zu erlauben oder diesen auf bestimmte Server zu beschränken (siehe Abb. 9). Die Optionen dieser Karte sind von der Konfiguration der Registerkarte Verbindungen abhängig: Hätten Sie dort z.B. Verbindungen von anderen Computern gewählt, könnten Sie nun
die Internet-Adressen jener Rechner angeben, die auf Ihr
System Zugriff haben sollen.
In der Registerkarte Kommunikationstypen konfigurieren
Sie anschließend die zugriffsberechtigten Protokolle und
Comment 02 / 2
Abb. 6: Persönliche Firewall – Internetzugriffsteuerung – Bestätigung
Abb. 7: Persönliche Firewall – Internetzugriffsteuerung –
Übersicht über Anwendungsregel
Abb. 8: Registerkarte Verbindungen im Fenster Regel ändern
PCs & Workstations
Abb. 9: Registerkarte Computer im Fenster Regel ändern
21
Abb. 10: Registerkarte Kommunikationstypen
im Fenster Regel ändern
Anschlüsse (Ports). Dies ist insofern nicht immer einfach, als
die Anzahl der im Internet verwendeten Übertragungsprotokolle mittlerweile selbst für Experten nahezu unüberschaubar ist (siehe dazu auch den Artikel Firewalls: Schutz vor
Gefahren aus dem Internet auf Seite 14). Für das Programm
ssh müssen Sie das Protokoll TCP zulassen (siehe Abb. 10).
Zusätzlich können Sie in dieser Registerkarte entscheiden,
ob Sie alle oder nur bestimmte TCP-Ports erlauben möchten.
Dem Prinzip der minimalen Privilegien folgend, sollten Sie
hier die Option Nur die unten aufgeführten Kommunikationstypen bzw. Anschlüsse auswählen und auf die
Schaltfläche Hinzufügen klicken.
Sie erhalten nun ein Fenster, in dem Sie die gewünschten
Anschlüsse angeben können (siehe Abb. 11). Im allgemeinen wird Ihnen hier die Option Filtern nach: Bekannten
Anschlüssen aus Liste sehr hilfreich sein. Für ssh müssen Sie
jedoch den benötigten Anschluß explizit angeben: Das Programm verwendet Port 22 auf dem betreffenden Server
(also Remote).
Abb. 11: Auswahlmenü für Anschlüsse (Ports)
Internetgruppen
Um auch eine einfache und schnelle Zugriffskontrolle anhand von Internet-Adressen durchführen zu können, sieht
die Norton Personal Firewall im Thema Persönliche Firewall
zwei sogenannte Internetgruppen vor. Dieser Konfigurationsbereich ermöglicht es, bestimmten Rechnern jeglichen
Zugriff entweder zu erlauben oder zu verbieten: Internet-
Abb. 12: Fenster Regel ändern mit fertig definiertem
Kommunikationstyp für ssh
Adressen von Systemen, die Sie kennen und mit denen Sie
unbegrenzt kommunizieren wollen, können in die Gruppe
Vertraut eingetragen werden. Die Gruppe Eingeschränkt
– die besser Ausgeschlossen heißen sollte – ist für alle
Comment 02 / 2
Das Resultat Ihrer Bemühung wird Ihnen anschließend im
Fenster Regel ändern präsentiert (siehe Abb. 12). Nun müssen Sie noch mit OK bestätigen – fertig ist Ihre erste eigenhändig definierte Firewall-Regel! Wenn Sie anschließend
wieder den Konfigurationsbereich Persönliche Firewall –
Internetzugriffssteuerung aufrufen, sehen Sie, daß die
Anwendung SshClient.Exe eine benutzerdefinierte Konfiguration erhalten hat. Die Festlegung weiterer Regeln verläuft stets nach demselben Schema, das hier vorgestellt
wurde. Eine Übersicht über die wichtigsten Protokolle und
Portnummern finden Sie auf Seite 16.
22
PCs & Workstations
nach angreifbaren Ports und anderen Schwachstellen untersucht werden können. Die beiden genannten Funktionen der
Norton Personal Firewall bewirken, daß solche Port-Scans
unterbunden und potentielle Hacker nach einer gewissen Anzahl von Zugriffsversuchen blockiert werden.
Abb. 13: Persönliche Firewall – Internetgruppen
Rechner bestimmt, denen keinerlei Zugriff auf Ihren PC
gestattet werden soll. Für beide Gruppen können Sie weder
Protokolle noch Ports definieren, sondern nur InternetAdressen, wobei diese jedoch auch für ganze Netzwerkbereiche angegeben werden können (siehe Abb. 13).
Zugriffsschutz
Der vierte Konfigurationsbereich des Themas Persönliche
Firewall ist der Zugriffsschutz. Es handelt sich dabei um
eine Analysefunktion, die alle Zugriffe von außen auf Hackversuche überprüft. Auch wenn die Ergebnisse dieser Analyse nicht immer richtig sind, empfiehlt es sich dennoch, die
Optionen Anschlußprüfungen abfangen und Autoblock
aktivieren einzuschalten: Hacker verwenden oft sogenannte
Scan-Programme, mit deren Hilfe beliebige Rechner im Netz
Die Kehrseite der Medaille ist allerdings, daß diese Funktionen einem Hacker ermöglichen können, wichtige Dienste
Ihres PCs zu torpedieren: Indem der Hacker seine Identität
verschleiert (dafür gibt es im Internet leider viele Möglichkeiten) und sich z.B. als Mailserver der Uni ausgibt, erreicht er,
daß Ihre Firewall bei der beschriebenen Konfiguration nach
einer gewissen Zeit die Kommunikation mit dem Mailserver
verbietet. Deshalb hat Norton auch die Option Ausschlüsse
vorgesehen: Sie ermöglicht die Definition von Internet-Adressen, die niemals durch Autoblock behindert werden sollen.
Thema Datenschutz
Zusätzlich zur Firewall-Funktion kann die Software auch
verhindern, daß persönliche Dateninhalte Ihren PC ohne
vorherige Bestätigung verlassen. Unter dem Thema Datenschutz können Sie kritische Zeichenfolgen (z.B. Ihre Kontonummer oder eMail-Adresse) eingeben. Beachten Sie aber
bitte, daß diese Methode nur bei unverschlüsseltem Datenaustausch funktionieren kann.
Weitere Informationen über Sicherheitsvorkehrungen und
Firewalls finden Sie in den Unterlagen zur Vorlesung Security im Internet, die unter http://www.univie.ac.at/
ZID/security.html (Menüpunkt Vorträge) abrufbar sind.
Viel Erfolg!
Aron Vrtala ■
TINY PERSONAL FIREWALL :
Kleine Firewall, ganz groß
Comment 02 / 2
Hinweis: Allgemeine Informationen über die Funktionsweise und den Betrieb von Firewalls finden Sie im Artikel
Firewalls: Schutz vor Gefahren aus dem Internet auf Seite 14.
Die Tiny Personal Firewall von Tiny Software (http://
www.tinysoftware.com/) ist eine für alle Windows-Systeme geeignete, schlicht gestaltete Firewall, die relativ einfach gesteuert werden kann. Verglichen mit ihrem geringen
Speicherbedarf (weniger als 2 MB) bietet sie einen verblüffenden Leistungsumfang. Man sollte allerdings weder vor
nüchternem Design noch vor Portnummern und Fachausdrücken zurückschrecken, wenn man die Tiny Personal
Firewall verwenden möchte.
Ein großer Vorteil dieser Firewall ist ihre übersichtliche Gestaltung: Im Gegensatz zur Norton Personal Firewall 2002,
die ab Seite 18 vorgestellt wird, kann man hier alle bestehenden Verbindungsregeln mit einem Blick erfassen.
Ebenso lassen sich in der Log-Datei der Tiny Personal Firewall Unregelmäßigkeiten leicht entdecken, sodaß man mit
ein wenig Übung Hackversuche und Fehlkonfigurationen
rasch identifizieren kann.
Die Tiny Personal Firewall steht in der Version für Hochschulen (nur englisch) kostenlos zur Verfügung. Universitätsmitarbeiter mit Mailbox-UserID haben die Möglichkeit,
die Datei tinypf2.exe vom Softwaredistributions-Server
des ZID (http://swd.univie.ac.at/) unter Gratissoftware – Diverses herunterzuladen und anschließend auf
ihrem Windows-Rechner zu installieren. Falls Sie Windows
XP verwenden, müssen Sie vor der Installation die systemeigene Firewall abschalten: Klicken Sie dazu auf Start – (Einstellungen –) Systemsteuerung – Netzwerkverbindungen,
PCs & Workstations
23
dann mit der rechten Maustaste
auf LAN-Verbindung (bzw. bei
Modem- oder ADSL-Anschluß
auf die DFÜ-Verbindung) und
wählen Sie aus dem Kontextmenü die Option Eigenschaften.
In der Registerkarte Erweitert
müssen Sie nun das Kontrollkästchen im Bereich Internetverbindungsfirewall deaktivieren.
Immer wichtig:
Jede Firewall-Software muß
sich unbedingt schon während
des Boot-Vorgangs wie ein
Treiber selbständig aktivieren!
Wird die Firewall erst über die
Autostart -Funktion Ihres Benutzer-Kontos – also dann, wenn Sie sich anmelden – gestartet, ist Ihr Rechner nach dem Booten nicht geschützt:
Trojaner können sich dann in der Reihenfolge der Datenbehandlung vor die Firewall setzen und Ihre Sicherheits-Bemühungen somit elegant aushebeln.
Abb. 1 (oben): Startfenster
der Tiny Personal Firewall
Abb. 2 (links):
Registerkarte Firewall
Abb. 3 (unten):
Registerkarte Miscellaneous
Basiskonfiguration
Im Startfenster der Tiny Personal Firewall (siehe Abb. 1) sind
bereits zwei wesentliche Vorzüge der Software erkennbar:
Einerseits ermöglicht sie eine Fernwartung (Remote Administration) über das Netzwerk, andererseits läßt sich die Firewall durch ein Paßwort schützen, um sicherzustellen, daß
nur der Administrator selbst Änderungen vornehmen kann.
Wenn kein Paßwort gesetzt ist (z.B. bei der Erstkonfiguration), klicken Sie einfach auf Connect, um die Firewall anzusprechen. Dabei können Sie angeben, ob Sie in der Folge
u.a. die Log-Meldungen ansehen (Status window ) oder Einstellungen vornehmen möchten (Admin configuration).
Die Registerkarte Firewall im Hauptfenster Tiny Personal
Firewall (siehe Abb. 2) bietet einen Regler mit drei möglichen Einstellungen:
Don’t Bother Me : Diese Einstellung ist nicht ratsam – sie
läßt jede Netzwerkaktivität zu, die nicht explizit eingeschränkt ist. Damit steht das System faktisch offen.
●
Ask Me First : Das bedeutet, daß ausschließlich solche
Netzwerkverbindungen gestattet sind, die explizit genehmigt wurden. Die Genehmigung kann dabei durch
eine vordefinierte Regel oder (wenn keine Regel vorliegt) vom Benutzer erteilt werden. Da es bei der Konfiguration von Firewalls generell sinnvoll ist, als ersten
Schritt zunächst einmal alle Zugriffe zu verbieten, empfehlen wir diese Option.
●
Cut Me Off entspricht dem Ziehen des Netzwerksteckers.
Die zweite Registerkarte Miscellaneous (siehe Abb. 3) erlaubt das Setzen eines Administrator-Paßworts sowie eines
Paßworts für den Zugriff auf Statistiken und Log-Meldungen
der Firewall. Hier können Sie auch unter Enable Remote
Administration wählen, ob eine Fernwartung möglich sein
soll. Von essentieller Bedeutung ist der Schaltknopf Run As
Service: Aus den eingangs beschriebenen Gründen (siehe
Immer wichtig ) sollte diese Funktion immer aktiviert sein.
Daten-Verkehrsregeln
Aufbauend auf diesen Basiseinstellungen können Sie nun
darangehen, eigene Regeln für die Handhabung von Netzwerkverbindungen zu definieren oder bestehende Regeln
Comment 02 / 2
●
Achten Sie bitte darauf, daß die Option Firewall Enabled
in dieser Registerkarte aktiviert ist – andernfalls kann die
Firewall ihrer Schutzfunktion nicht nachkommen. Hinter der
Schaltfläche Advanced versteckt sich das Dialogfenster Firewall Configuration, mit dessen Hilfe Zugriffsregeln definiert
bzw. geändert werden können (dazu gleich mehr).
24
PCs & Workstations
zu ändern. Dazu klicken
Sie in der Registerkarte
Firewall auf die Schaltfläche Advanced (vgl.
Abb. 2). Nun öffnet sich
das Dialogfenster Firewall Configuration, in
dem alle notwendigen
Einstellungen vorgenommen werden können. In
der standardmäßigen Eingangskonfiguration der
Tiny Personal Firewall
sind für die wichtigsten
Anwendungen sinnvolle
Regeln vordefiniert.
Registerkarte Filter
Rules
Abb. 4: Registerkarte Filter Rules
Comment 02 / 2
Die bestehenden Regeln
werden in der Registerkarte Filter Rules in einer Tabelle sehr übersichtlich dargestellt (siehe Abb. 4): Der ersten Spalte können Sie entnehmen, ob die Regel derzeit angewendet wird. Die Tiny Personal Firewall bietet eine sehr elegante Methode, um kurzfristig eine Regel außer Kraft zu setzen bzw. wieder zu aktivieren: Sie müssen weder Einstellungen notieren noch Regeln löschen, sondern nur ins dazugehörige Kontrollkästchen
klicken. Die zweite Spalte der Tabelle zeigt entweder das
Symbol des Anwendungsprogramms, für das diese Regel gilt,
oder den Begriff ANY, falls die Regel alle Anwendungen (und
damit das gesamte System) betrifft. Die Pfeile in der nächsten
Spalte stellen die Kommunikationsrichtung dar, in der die Regel wirkt – ein Pfeil nach rechts bedeutet Netzwerkverkehr
vom PC ins Internet („abgehender Verkehr“). In den folgenden Spalten finden Sie eine Kurzbeschreibung der Regel
(Rule Description ; diese können Sie bei der Definition der
Regel selbst festlegen), die verwendeten Übertragungsprotokolle (Protocol ; in Frage kommen UDP, TCP, ICMP), die betroffenen Ports am eigenen Rechner (Local ) sowie die Internet-Adressen und Ports jener Rechner, mit denen man kommuniziert (Remote). In der letzten Spalte wird – ergänzend
zum Symbol in Spalte 2 – noch das jeweilige Anwendungsprogramm angeführt (Application).
Rechts unten in dieser Registerkarte finden Sie außerdem das
Kontrollkästchen Ask for action when no rule is found.
Diese Funktion ist nur sinnvoll, wenn Sie prüfen wollen,
warum etwas nicht funktioniert. Im regulären Betrieb sollte
sie unbedingt ausgeschaltet sein, damit die Firewall nicht
von widerrechtlichen Benutzern umgangen werden kann:
Bei einer Anfrage der Firewall müßten diese nur auf Permit
klicken, um die Aktion zu erlauben.
Der Regel-Editor
Wenn Sie in der Registerkarte Filter Rules auf die Schaltfläche Add klicken (bzw. auf Edit, falls Sie eine bestehende
Regel ändern wollen), erscheint der Regel-Editor. In diesem
Fenster können alle Eigenschaften einer Regel festgelegt
werden. Als Beispiel werden hier die beiden üblichen Regeln für das Domain Name Service (kurz: DNS) beschrieben,
die es allen Programmen Ihres Rechners ermöglichen, eine
Namensauflösung von numerischen IP-Adressen durchzuführen (siehe Abb. 5):
●
Im Feld Description können Sie eine Kurzbeschreibung
der Anwendung eintragen (diese wird dann in der Registerkarte Filter Rules als Rule Description angeführt).
●
Das Domain Name Service verwendet das Übertragungsprotokoll UDP. Bei großen Datenmengen wird jedoch
das Übertragungsprotokoll TCP benutzt; daher müssen
Sie für dieses Protokoll eine zweite Regel definieren, die
– abgesehen vom nächsten Punkt – mit der Regel für
UDP identisch ist.
●
Unter Direction ist für UDP Both directions einzustellen (dies ist eine Eigenart von Windows – üblicherweise benötigt DNS die Richtung Out ). Bei der TCPRegel müssen nur abgehende Verbindungen zugelassen
werden (Richtung: Out).
●
Anwendungen können von jedem lokalen Port aus eine
Abfrage aktivieren, daher sollten Sie am Local endpoint
keine Einschränkung vornehmen ( Any port).
●
Sinnvollerweise sollten alle Anwendungen Ihres PCs
DNS-Abfragen durchführen können. Daher ist im Feld
Application der Wert Any einzustellen.
●
Im Datennetz der Uni Wien gibt es zwei DNS-Server:
131.130.1.11 und 131.130.1.12. Daher sollten Sie unter
Remote endpoint die Option Address type von der
Standardeinstellung Any address auf Network /Range
PCs & Workstations
25
Wichtige Zugriffsregeln
●
Ping innerhalb des Uni-Datennetzes (beide Regeln):
❍ Protokoll: ICMP, Richtung: Out, Porttyp: 8
(Echo Request), Lokal: alle Ports,
Remote: 131.130.0.0 Maske 255.255.0.0,
Adreßtyp: Network/Mask
❍ Protokoll: ICMP, Richtung: In, Porttyp: 0
(Echo Reply), sonst wie oben
●
Domain Name Service (DNS):
siehe Text (Der Regel-Editor, Seite 24) bzw. Abb. 5
●
Web-Browsing:
Protokoll: TCP, Richtung: Out, Lokal: alle Ports,
Remote Ports: 80, 8080, 8081 und 443 (wählen Sie
dazu List of Ports an); chello-Benutzer müssen
zusätzlich den Remote Port 3128 (Richtung: Out)
für den Proxy-Server freischalten
●
Secure Shell:
Protokoll: TCP, Richtung: Out, Lokal: alle Ports,
Remote: Port 22
– vorzugsweise einzuschränken auf die ssh-Anwendung (beispielsweise c:\ssh\SshClient.Exe)
●
Telnet wäre analog zu konfigurieren:
Protokoll: TCP, Richtung: Out, Lokal: alle Ports,
Remote: Port 23
– Anwendung: c:\winnt\system32\telnet.exe
●
für das Backup-Service des ZID:
Protokoll: TCP, Richtung: Out, Lokal: alle Ports,
Remote: Port 1500, Remote endpoint: 131.130.1.8
– für das Programm dsm.exe (der Pfad der Datei ist
je nach verwendeter Version unterschiedlich)
●
Für die Autorisierung von Windows-Shares unter
Windows NT, 2000 und XP:
❍ Protokoll: UDP, Richtung: bidirektional, Lokal:
alle Ports, Remote: Port 88 – für das Programm
c:\winnt\system32\lsass.exe (der Dienst
heißt Local System Authorization Services)
❍ Protokoll: TCP, Richtung: Out, Lokal und
Remote: alle Ports – für dasselbe Programm
❍ Protokoll: TCP, Richtung: Out, Lokal: alle Ports,
Remote: Port 389 – für das Programm
c:\winnt\system32\winlogon.exe
(gemeint ist eine Autorisierung über LDAP)
❍ Protokoll: TCP, Richtung: Out, Lokal: alle Ports,
Remote: Port 445 – für alle Anwendungen (dabei
handelt es sich um das Microsoft Data-Service)
❍ Protokolle: TCP und UDP, Richtung: bidirektional, Lokal und Remote: alle Ports – für die Anwendung c:\winnt\system32\services.exe
Abb. 5: Der Regel-Editor (Dialogfenster Filter Rule )
ändern und in den beiden Feldern darunter die beiden
genannten IP-Adressen explizit angeben (vgl. Abb. 5).
●
Ein DNS-Server meldet sich stets nur unter Port 53, daher
wählen Sie für den Remote endpoint den Porttyp Single
port und geben die Nummer 53 ein. Für andere Anwendungen können Sie hier aber auch alle Anschlüsse,
Anschlußbereiche oder eine Menge von Portnummern
auswählen.
Im Bereich Rule Valid beläßt man üblicherweise die
Standardeinstellung Always. Auf Wunsch kann hier aber
auch mit der Option In this interval only ein Zeitrahmen
angegeben werden, in dem die jeweilige Regel gültig
sein soll (z.B. für periodische Wartungsarbeiten).
●
Da die Standardeinstellung der Firewall eingangs so definiert wurde, daß jeder Verkehr zunächst blockiert ist,
müssen Sie darauf achten, daß im Bereich Action die
Option Permit aktiviert ist.
●
Die beiden Optionen rechts unten (Log when this rule
match bzw. Display alert box when this rule match) bewirken – falls sie aktiviert sind – einen Log-Eintrag bzw.
eine Warnmeldung, sobald die Regel angewendet wird.
Alle anderen Regeln (siehe Kasten) sind analog einzustellen
und werden ebenfalls über diesen Editor formuliert.
Registerkarte Microsoft Networking
Wenn Ihnen die im Kasten Wichtige Zugriffsregeln angeführten Einstellungen für Microsoft Windows-Shares zu kompli-
ziert sind, können Sie einen sinnvollen Standard-Regelsatz
über die Registerkarte Microsoft Networking auswählen:
Bestätigen Sie hier einfach die Option For Microsoft Networking Use These Rules Instead of Filter Rules. Falls
Sie Netzlaufwerke und Drucker über das Internet freigeben
wollen, sollten Sie zusätzlich das Kontrollkästchen Allow
Other Users to Access My Shared Folders/Printers aktivieren.
Wir empfehlen Ihnen in diesem Fall, über die Auswahl From
Comment 02 / 2
●
26
PCs & Workstations
Trusted Addresses Only eine Liste von Internet-Adressen aller
Rechner anzulegen, die Sie zugreifen lassen wollen.
Registerkarte Miscellaneous
Die Registerkarte Miscellaneous des Dialogfensters Firewall Configuration enthält verschiedene Einstellungsmöglichkeiten zur Protokollierung sicherheitsrelevanter Ereignisse – beispielsweise die empfehlenswerte Option Log
Packets Addressed to Unopened Ports. Dadurch können Sie unerlaubte Zugriffe rasch erkennen und (z.B. im Fall
eines Problems beim Festlegen einer Regel) in der Log-Datei
leicht die Ursache finden. Darüber hinaus ermöglicht diese
Registerkarte die Definition sogenannter Zugriffsgruppen,
das sind Mengen zusammengehöriger Internet-Adressen.
Registerkarte Application’s MD5
Sobald einer Anwendung eine Zugriffsregel zugeordnet wird,
bildet die Tiny Personal Firewall eine Prüfsumme der aus-
HITCHHIKERS ’S GUIDE
führbaren Programmdatei. Diese Prüfsumme wird (neben
dem Symbol und dem Pfad des jeweiligen Programms) in der
Registerkarte Application’s MD5 angezeigt.
Diese Registerkarte enthält auch das Kontrollkästchen Check
MD5 Signature, das unbedingt aktiviert sein sollte: Die Firewall kontrolliert dann bei jedem Aufruf dieser Anwendung,
ob die aktuelle Prüfsumme mit der gespeicherten übereinstimmt. Eine Abweichung bedeutet, daß das Programm verändert wurde – entweder aufgrund einer Neu- bzw. Zusatzinstallation oder weil es von einem Virus oder Trojaner befallen
ist. Die Firewall blockiert in diesem Fall den Internetzugriff
und liefert eine Warnmeldung.
Weitere Informationen über Sicherheitsvorkehrungen und
Firewalls finden Sie in den Unterlagen zur Vorlesung Security im Internet, die unter http://www.univie.ac.at/
ZID/security.html (Menüpunkt Vorträge) abrufbar sind.
Viel Spaß!
Aron Vrtala ■
TO
SECURITY ( TEIL II )
Grundlegende Sicherheitsmaßnahmen für Linux-Rechner
Comment 02 / 2
Im ersten Teil des Hitchhiker’s Guide to Security (Comment
01/1, Seite 20 bzw. http://www.univie.ac.at/comment/
01-1/011_20.html) wurden grundlegende Sicherheitsmaßnahmen und wichtige Verhaltensregeln für Windows-Benutzer vorgestellt. Diesmal beschäftigen wir uns mit Linux,
dem Betriebssystem, das an der Uni Wien am zweithäufigsten eingesetzt wird: Die folgenden Tips sollen Ihnen helfen, Ihren Linux-Rechner gegen Gefahren aus dem Netzwerk abzusichern. Beachten Sie aber bitte, daß die diversen
Linux-Distributionen in manchen Details stark voneinander
abweichen, sodaß in vielen Bereichen keine allgemeingültige Anleitung möglich ist.
Leider schrecken viele Benutzer davor zurück, sich mit dem
komplexen Thema Computersicherheit auseinanderzusetzen
– obwohl sich mittlerweile herumgesprochen hat, daß mangelhaft geschützte Rechnersysteme gern von Hackern verwendet werden, um direkt am betroffenen Rechner und/oder
(oft mit dessen „geborgter“ Identität) im Internet ihr Unwesen zu treiben. Der Hauptgrund für die mangelnde Begeisterung liegt wohl in den für viele Anwender kaum verständlichen technischen Details, auf die man unweigerlich stößt,
wenn man sich mit dieser Materie beschäftigt.
Dennoch sollte man sich davon nicht beirren lassen: Die
kompliziert anmutende Kleinarbeit ist oft nur für Betreiber
größerer Server relevant. Wie im folgenden gezeigt werden
soll, können aber auch Benutzer mit wenig Systemkenntnis
durch einige einfache Vorkehrungen die Angriffsfläche für
Hacker stark reduzieren.
Alarmstufe Rot:
Vernachlässigte Systeme
Auch Rechner, die von Experten mit Sorgfalt installiert
wurden, benötigen regelmäßige Zuwendung, wenn sie über
längere Zeit problemlos im Netzwerk betrieben werden
sollen: Immer wieder werden in Programmen Fehler (Bugs )
entdeckt, die Hackern neue Hintertüren eröffnen. Daher ist
es unbedingt notwendig, gegebenenfalls die entsprechenden Programmkorrekturen (Patches ) nachzuinstallieren.
Die Linux-Gemeinde reagiert üblicherweise sehr rasch auf
das Bekanntwerden einer Sicherheitslücke, sodaß meistens
nach kurzer Zeit auf der Webseite der jeweiligen LinuxDistribution (RedHat, SuSE, Mandrake, Debian, ...) ein Patch
verfügbar ist, der das Problem behebt.1) Die Linux-Distributoren betreiben auch Mailinglisten, in die man sich eintragen kann, wenn man über Sicherheitsprobleme und Updates informiert werden möchte.
Für die gängigsten Linux-Distributionen besteht außerdem
die Möglichkeit, das System mit Hilfe des Programms
AutoRPM quasi automatisch zu warten. Die Installationsdatei von AutoRPM kann unter http://www.autorpm.org/
heruntergeladen werden; dort finden Sie auch die dazugehörige Dokumentation mit Beispielen für die Konfigura-
1) Leider gilt dies nicht für alle Betriebssysteme – bei manchen
großen Softwareherstellern wartet man mitunter sehr lange auf
Patches, die dann so fehlerhaft sind, daß man sie besser gar nicht
installiert.
PCs & Workstations
tionsdateien. Installieren Sie das Programm nachträglich mit
dem Befehl rpm -Uvh autorpm-.....noarch.rpm
(anstelle der Punkte ist die Versionsnummer von AutoRPM
einzutragen).
Professionelle Systemadministratoren sollten darüber hinaus unter http://www.securityfocus.com/ die SecurityMailingliste „bugtraq“ subskribieren. Die Empfänger dieser
Liste erhalten im Schnitt täglich etwa 30 eMail-Nachrichten
mit Sicherheitsinformationen und -diskussionen zu allen
Betriebssystemen. Diese Menge kann leicht zu Ermüdungserscheinungen führen; daher sollte man darauf achten, den
Überblick zu bewahren: Nicht jedes Problem ist für LinuxBenutzer relevant, und mit Fehlern in Programmen oder
Protokollen, die auf Ihrem Rechner nicht installiert sind,
müssen Sie sich ebenfalls nicht auseinandersetzen. Auf der
oben genannten Webseite stehen außerdem Suchfunktionen zur Verfügung, die das Auffinden von produktspezifischen Problemen erleichtern.
Sicherer surfen
Der Großteil aller im Netz herumirrenden Computerviren
und Trojaner ist auf das Betriebssystem Windows zugeschnitten, sodaß Linux-Benutzer vergleichsweise selten
davon heimgesucht werden. Durch die steigende Beliebtheit von Office-Programmen unter Linux kann man sich
mittlerweile aber auch damit beachtliche Schwierigkeiten
einhandeln. Um bösen Überraschungen vorzubeugen, empfiehlt es sich daher, nicht nur eMail-Attachments, sondern
auch Web-Dienste mit einer gewissen Skepsis zu behandeln. Linux-Anwender haben hier einen kleinen Startvorteil:
Im Gegensatz zu Windows-Benutzern, die beim Surfen
im WWW auch mit ActiveX-Scripts Probleme bekommen
können, müssen sie sich lediglich vor Java-Applets und
JavaScript-Programmen (Scripts ) in acht nehmen.
Java-Applets und Scripts sind in Webseiten eingebundene
Programme, die man – bewußt oder unbewußt – am PC zur
Ausführung bringt. Sie bieten sehr attraktive Möglichkeiten
für die Gestaltung von Webseiten, sind entsprechend beliebt
und in vielen Fällen harmlos. Nachdem man den Programmcode aber üblicherweise nicht zu Gesicht bekommt, hat man
keinerlei Kontrolle darüber, welche Programme dabei am
Rechner ablaufen, sodaß auf diesem Weg auch Viren und
Trojaner in das System eingeschleust werden können.
Dieses Sicherheitsrisiko läßt sich durch eine geeignete
Browser-Konfiguration allerdings drastisch verringern. Der
unter Linux häufig verwendete Webbrowser Mozilla beispielsweise ermöglicht im Menü Edit unter der Option Preferences eine Reihe von sicherheitsrelevanten Einstellungen: Im Dialogfenster Advanced haben Sie die Möglichkeit,
Java generell auszuschalten. Hier gilt es, Sicherheits- und
Komfortbedürfnis gegeneinander abzuwägen (ohne Java
kann der Browser auch nützliche Applets nicht ausführen).
Die ebenfalls in diesem Fenster angebotene Option, Ihre
eMail-Adresse als anonymes FTP-Paßwort zu senden, sollten Sie jedenfalls deaktivieren: Das erspart Ihnen Eintragungen in die Verteilerlisten von Spammern und somit einiges
an unerwünschter Werbe-Mail. Darüber hinaus empfehlen
wir, im Unterfenster Scripts & Windows die Funktionen
Enable JavaScript for: Mail & Newsgroups und Open
unrequested Windows zu deaktivieren (siehe Abb. 1).
Sie sollten auch generell darauf achten, nicht als Benutzer
root (unter Windows: Administrator ) mit dem Browser zu
arbeiten. Dieser Benutzer hat in seinem System alle Privilegien, sodaß ein potentieller unbemerkter „Eindringling“
rasch viel Schaden anrichten oder gar die Kontrolle über
den Rechner erlangen kann: Auch unter Linux machen die
standardisierten Unix-Pfade Hackern das Leben leicht.
Wer braucht Geister und Dämonen?
Viele Linux-Benutzer betreiben ihren PC nicht nur als Workstation, sondern als Server. Das geschieht oft unbewußt –
und ist in diesem Fall besonders gefährlich, weil nicht darauf geachtet wird, welche Dienste des Rechners aus dem
Netzwerk angesprochen werden können. Wenn Sie ein
Linux-System installieren, sollten Sie sich genau überlegen,
ob Sie überhaupt Services im Netz anbieten wollen, und
wenn ja, welcher Dienst für wen zur Verfügung stehen soll.
Dadurch minimieren Sie einerseits die Angriffspunkte für
Hacker, andererseits erleichtert dies die Konfiguration einer
Firewall, mit der Sie dann einen noch besseren Schutz erreichen können.
Beim Versuch, die benötigten Services zu identifizieren,
stoßen oft sogar Unix-Experten auf Dienste, die sie nicht
ohne Recherche zuordnen können. Im Gegensatz zu vielen
Unix-Varianten, wo eine Fehleinschätzung zu echten Problemen führen kann, kommt man unter Linux aber kaum in
die Situation, daß z.B. der Rechner nicht mehr startet, weil
man irrtümlich einen Prozeß unterbunden hat, der vom
System benötigt wird. Daher empfehlen wir für Linux: Wenn
Ihnen der Zweck eines Service nicht bekannt ist, schalten
Comment 02 / 2
Abb. 1: Dialogfenster Scripts & Windows (Mozilla)
27
28
PCs & Workstations
/etc/xinetd.d/chargen
/etc/inetd.conf
#
#
#
#
echo stream tcp nowait root internal
echo dgram udp wait root internal
chargen stream tcp nowait root internal
chargen dgram udp wait root internal
Abb. 2: Beispiel für die Konfiguration des inetd – die Services
echo und chargen werden in der Datei /etc/inetd.conf
deaktiviert (auskommentiert).
Sie es aus. Alle Dienste, die Sie nach einer Woche noch nicht
vermissen, können Sie wahrscheinlich getrost vergessen.
Unter Linux werden die meisten (aber nicht alle! ) Netzwerkservices vom sogenannten inetd (Internet Services Daemon)
bzw. seinem Nachfolger, dem xinetd, gesteuert. Sofern er
nicht deaktiviert ist, reagiert dieser „Internet-Super-Server“
auf Anforderungen aus dem Netzwerk, indem er den gewünschten Dienst startet und somit einen Zugriff von außen
auf das System ermöglicht. Zu den vielen Services, die über
den inetd bzw. xinetd aktiviert werden, gehören beispielsweise telnet, ftp, shell, login, exec, talk, pop-3, imap, tftp,
finger und auth. Wenn Sie diese Dienste nicht benötigen, ist
es ratsam, den inetd bzw. xinetd überhaupt auszuschalten.
Andernfalls sollten Sie die Konfiguration dieses Servers
exakt auf Ihre Bedürfnisse abstimmen: Deaktivieren Sie
alles, was Sie nicht explizit brauchen.
Der etwas ältere inetd wird über die Datei /etc/inetd.
conf konfiguriert, der neuere xinetd verwendet eine Reihe
Comment 02 / 2
von Konfigurationsdateien, die üblicherweise im Verzeichnis /etc/xinetd.d/ abgelegt sind. Sehen Sie sich die
Liste der verfügbaren Dienste genau an. Folgendes werden
Sie unter Linux vermutlich nicht benötigen: echo, discard,
daytime, chargen, time, comsat, uucp und bootps. Kommentieren Sie die entsprechenden Einträge in der Datei
/etc/inetd.conf durch eine Raute (#) am Zeilenanfang
aus (siehe Abb. 2) bzw. stellen Sie beim xinetd in den
zugehörigen Dateien sicher, daß das Service auf den Status
disable = yes gesetzt ist (siehe Abb. 3). Fehlermeldungen, die durch inkorrekte Einträge verursacht werden, finden Sie in der Datei /var/log/messages (siehe Abschnitt
Vertrauen ist gut ).
Da viele Dienste (z.B. FTP oder NFS) oft nicht aus dem
ganzen Internet, sondern nur für bestimmte Rechner erreichbar sein müssen, kann man zusätzlich mit Hilfe der
Dateien /etc/hosts.allow und /etc/hosts.deny genau definieren, wer auf aktive Services Zugriff haben soll.
Die Einträge sind bei beiden Dateien in der Form
# default: off
# description: A chargen server.
# This is the TCP version.
service chargen
{
type
= INTERNAL
id
= chargen-stream
socket_type = stream
protocol
= tcp
user
= root
wait
= no
disable
= yes
}
Abb. 3: Beispiel für die Konfiguration des xinetd – das Service
chargen wird in der Datei /etc/xinetd.d/chargen deaktiviert
(disable = yes).
IP-Adresse 131.130.11.99 hat, vollen Zugriff auf Ihren
Rechner zu gewähren, tragen Sie in diese Datei die Zeile
ALL: 131.130.11.99 ein. Wenn die Freigabe für das
gesamte Institut (also z.B. für die IP-Adressen 131.130.11.2
bis 131.130.11.254) gelten soll, muß die entsprechende Zeile
ALL: 131.130.11.0/255.255.255.0 lauten. Bei dieser relativ groben Vorgangsweise besteht allerdings die Gefahr,
daß schlecht gewartete Institutsrechner Ihr System in Mitleidenschaft ziehen. Aufgrund dessen ist es klüger, nur bestimmte Dienste für gewisse Rechner freizugeben: Mit der
Zeile in.telnetd: 131.130.11.99 erlauben Sie etwa
dem obigen Beispiel-Rechner, mittels Telnet auf Ihren PC
zuzugreifen.
Etwas komplizierter ist es bei den häufig verwendeten Services NFS (Network File System) und NIS (Network Information System, auch Yellow Pages genannt). Beide arbeiten
mit Hilfe von RPCs (Remote Procedure Calls), die den sogenannten Portmapper benötigen, um das jeweilige Service
abzuwickeln. Bedingt durch ihre technische Komplexität
sind NFS, NIS und RPCs besonders anfällig für Sicherheitslöcher und sollten daher soweit wie möglich eingeschränkt
werden. Mit den Zeilen portmap: 127.0.0.0/255.0.0.0
und portmap: 131.130.11.99 in der Datei /etc/hosts.
allow geben Sie den Portmapper für Ihren lokalen Rechner
und unseren Beispiel-Rechner frei (aus Gründen, deren Erläuterung hier zu weit führen würde, ist eine Freischaltung
des Portmappers für den eigenen Rechner generell empfehlenswert bzw. im Falle von NFS sogar unumgänglich). Für
NIS wird zusätzlich noch das Service ypserv benötigt; der
entsprechende Eintrag in /etc/hosts.allow muß dann
z.B. portmap,ypserv: 131.130.11.99 lauten.
Service: IP-Adresse(n)
vorzunehmen.
Damit Sie keinen Dienst übersehen, ist es am einfachsten,
wenn Sie zunächst jeglichen Zugriff verbieten, indem Sie in
die Datei /etc/hosts.deny die Zeile ALL: ALL eintragen. Anschließend definieren Sie in der Datei /etc/hosts.
allow jene Services, die freigegeben werden sollen. Um
beispielsweise einem bestimmten Kollegen, dessen PC die
Fort Knox am PC:
Die Linux-Firewalls
Die oben beschriebene Zugriffssteuerung ist zwar recht wirkungsvoll, reicht aber für manche Services schlicht nicht aus:
Wie bereits erwähnt, können nicht alle Netzwerkdienste
mittels inetd/xinetd angesprochen werden. Einige (beispielsweise ssh) verwenden standardmäßig den Super-Server
PCs & Workstations
nicht zum Starten. Da hilft dann nur noch die logische Fortsetzung dieses Konzepts: eine Firewall-Software. Eine solche
Firewall verhält sich zu den Zugriffslisten /etc/hosts.
allow und /etc/hosts.deny in etwa wie eine Pinzette zu
einer Zange. Sie bietet deutlich bessere Möglichkeiten zur
Feinabstimmung Ihrer Systemsicherheit – nicht nur gegen
Angriffe von außen, sondern auch gegen unerwünschte
Netzwerkverbindungen von innen. Unter Linux stehen zwei
Arten von Firewalls zur Verfügung, die in ihrer Grundfunktion völlig verschieden sind: IP-Chains und IP-Tables.
Die meisten Linux-Systeme installieren beim automatischen
Setup des Betriebssystems IP-Chains. Diese Software ist älter
und bekannter, aber erheblich umständlicher zu konfigurieren, weil sie den Zusammenhang der zu überprüfenden Netzwerkdatenströme nicht erkennen kann – IP-Chains ist ein Filtermechanismus, der die einzelnen Datenströme weder zueinander noch zum Kontext im System in Beziehung bringt.
Die IP-Tables hingegen gehören zu den besten derzeit verfügbaren Firewall-Programmen und erlauben eine Statefull
Inspection. Das bedeutet, daß der Protokollstatus (insbesondere der TCP-Verbindungen) mitverfolgt wird. Wenn Sie IPTables einsetzen wollen, benötigen Sie eine aktuelle LinuxVersion mit einem V2.4 -Kernel – z.B. RedHat 7.3, SuSE 8.0,
Mandrake 8.2. Eine Anleitung zur Konfiguration der IPTables sowie ein Firewall-Startscript zum Download finden
Sie im WWW unter http://www.univie.ac.at/ZID/
security.html (unter Vorträge – Vorlesung – Security im
Internet ). Zu diesem Themengebiet ist auch ein eigener
Comment-Artikel geplant.
Noch ein Tip: Wenn Sie eine Firewall installiert haben und
FTP verwenden, achten Sie bitte darauf, daß beim Systemstart der Befehl /sbin/modprobe ip_conntrack_ftp ausgeführt wird, weil das Service sonst nicht ordnungsgemäß
funktioniert (weder als Klient noch als Server). Weitere
Informationen über Module für Connection Tracking finden
Sie unter http://www.netfilter.org/.
Vertrauen ist gut, ...
Für professionelle Systemadministratoren ist ein regelmäßiges Sichten dieser sogenannten Log-Datei Pflicht, und auch
engagierte Linux-Anwender haben gute Chancen, mit ihrer
Hilfe unerwünschte Vorgänge im System rechtzeitig zu erkennen. Auch wenn die Log-Meldungen nicht immer verständlich sind, kann man mit ein wenig Übung die eher
bedenklichen Informationen rasch von den den zahllosen
harmlosen Meldungen unterscheiden, die durch die regulären Abläufe des Systems bedingt sind. Leider stellt aber der
Umfang der Log-Datei hohe Anforderungen an die Konzentration und Ausdauer des Lesers, sodaß man nach längerem
ruhigen Betrieb leicht in Versuchung gerät, auf seine Vorkehrungen und/oder sein Glück zu vertrauen und die regelmäßige Kontrolle der Log-Datei zu vernachlässigen.
Glücklicherweise gibt jedoch es Programme wie Logwatch
und Logcheck, die die Auswertung der Log-Meldungen erheblich erleichtern. Logwatch ist ein Log-Überwachungssystem, das über http://www.logwatch.org/ bezogen
werden kann bzw. bei manchen Linux-Distributionen (z.B.
RedHat) im Lieferumfang enthalten ist. Logwatch wird über
die Datei logwatch.conf in /etc/log.d gesteuert und
schickt das Ergebnis seiner Bemühungen per eMail an den
Administrator des Systems. Eine Dokumentation dieses Programms finden Sie auf der oben genannten Webseite.
Das Programm Logcheck, das ebenfalls frei verfügbar ist
(http://www.psionic.com/), ermöglicht ein selektives Ausblenden der regulären Statusmeldungen des Systems und damit eine gezielte Suche nach sicherheitsrelevanten Ereignissen. Die Definition der Filterregeln erfolgt mittels Standard
Unix Regular Expressions (regex; siehe http://py-howto.
sourceforge.net/regex/regex.html), einer Ausdrucksweise, die zwar im Prinzip nur eine Variation des guten alten
Sterns („Asterisk“) bei Dateinamen darstellt, auf NichtEingeweihte aber sehr einschüchternd wirken kann. Da das
Programm in der Standardkonfiguration ohnehin recht
brauchbar ist, empfehlen wir, für die Analyse zunächst die
vordefinierten Regeln zu verwenden und erst dann eigene
Regeln festzulegen, wenn man sowohl die regex-Syntax als
auch die Bedeutung der Log-Meldungen durchschaut hat.
Logcheck wird üblicherweise im Verzeichnis /usr/local
installiert und über vier Konfigurationsdateien gesteuert, die
in diesem Fall in /usr/local/etc zu finden sind:
●
Die Datei logcheck.ignore enthält alle Meldungen,
die unbedenklich sind und nicht weitergeleitet werden
müssen (z.B. cron.*STARTUP).
●
In der Datei logcheck.violations werden diejenigen
Meldungen angeführt, die auf mögliche Sicherheitsverletzungen hinweisen (z.B. ROOT LOGIN).
●
Ausnahmen von solchen Warnungen können in der
Datei logcheck.violations.ignore definiert werden
(z.B. kernel.*fh_verify.*permission failure).
●
Die Datei logcheck.hacking beinhaltet Textelemente,
die mit hoher Wahrscheinlichkeit Angriffe darstellen
(z.B. login.*:.*LOGIN FAILURE.* FROM.*root).
Die anhand dieser Regeln aus der Log-Datei gefilterten Einträge werden wie bei Logwatch per eMail an den Administrator geschickt.
Weitere Informationen – z.B. die Unterlagen zur Vorlesung
Security im Internet, in der der gesamte Themenbereich
umfassend behandelt wird – finden Sie unter http://www.
univie.ac.at/ZID/security.html.
Ulrich Kiermayr & Aron Vrtala ■
Comment 02 / 2
... Kontrolle ist besser. Die Funktionszusammenhänge in
einem Rechner sind komplex und selbst für Experten im allgemeinen nicht überschaubar. Daher ist der Administrator
jedes Systems auf dessen Rückmeldungen angewiesen,
wenn er wissen möchte, wie es um die Maschine steht.
Unter Linux wird dieser Rapport vom syslog-Dämon durchgeführt, der sämtliche Statusinformationen des Systems in
der Datei /var/log/messages speichert.
29
30
Netzwerk- & Infodienste
INTERNETZUGANG
VON DAHEIM : UNIADSL
Was ist uniADSL?
Seit März 2002 steht den Mitarbeitern und Studierenden der
Universität Wien ein zusätzliches Angebot für den Internetzugang von daheim zur Verfügung: Unter dem Namen
uniADSL bietet der ZID nun auch einen ADSL-Zugang zum
Datennetz der Universität und zum Internet.
●
Datenübertragungsmaximal 512 Kbit/s
geschwindigkeit:
(Download) bzw.
64 Kbit/s (Upload)
●
Downloadlimit:
2 GB pro Monat
●
Monatliches ADSL-Entgelt:
e 26,08 inkl. USt
●
Herstellungsentgelt (einmalig):
POTS-Anschluß e 43,52 inkl. USt
ISDN-Anschluß e 130,80 inkl. USt 1)
uniADSL wird derzeit mit einem Downloadlimit von 2 GB
pro Monat angeboten (nur Download – Upload wird nicht
mitgerechnet). Eine Statistik des von Ihnen übertragenen
Datenvolumens finden Sie unter https://data.univie.
ac.at/adsl/. Sobald ein uniADSL-Benutzer im laufenden
Monat 1,5 GB Daten übertragen hat, erhält er vom ZID per
eMail eine erste Warnung. Ab 2 GB wird der Zugang zum
Internet, ab 2,5 GB auch der Zugang zum Datennetz der
Universität Wien bis zum Monatsende gesperrt.
Bei ADSL handelt es sich um eine permanente Standverbindung, d.h. man kann rund um die Uhr mit dem Internet verbunden sein. Obwohl der Datenverkehr über die Telefonleitung abgewickelt wird, erlaubt die ADSL-Technologie im
Gegensatz zu „normalen“ Modemverbindungen auch ein
gleichzeitiges Telefonieren bzw. Faxen (dafür sorgt ein sogenannter Splitter, der zwischen Telefondose und Modem
angeschlossen wird). Im Vergleich mit ISDN liegt der Vorteil
vor allem in der deutlich höheren Datenübertragungsgeschwindigkeit. Das monatliche ADSL-Entgelt ist ein Pauschalbetrag, d.h. es werden keine Online-Gebühren verrechnet.
Diese Vorgangsweise wurde gewählt, um ein flüssiges
Arbeiten für universitäre Zwecke zu gewährleisten: „Bandbreitenfresser“ (z.B. der Download von Musikdateien und
Filmen mit Peer to Peer -Programmen wie Morpheus) sollen
hintangehalten werden, weil damit einige wenige Benutzer
die gesamte Netzwerkanbindung von uniADSL soweit auslasten können, daß für die Mehrzahl der Benutzer die Verbindungsgeschwindigkeit massiv darunter leidet. Das Downloadlimit soll also dazu beitragen, allen uniADSL-Benutzern
eine gute Verbindungsgeschwindigkeit zum Datennetz der
Universität Wien und zum Internet zu sichern.
Detaillierte Informationen und alle Neuigkeiten zu uniADSL
finden Sie unter
http://mailbox.univie.ac.at/adsl/ (Uni-Mitarbeiter),
http://www.unet.univie.ac.at/adsl/ (Studierende).
Voraussetzungen 1)
Comment 02 / 2
nach drei Werktagen hergestellt ist. Bitte bedenken Sie, daß
Sie durch den Providerwechsel alle Services Ihres bisherigen
Providers kündigen (auch die eMail-Adresse!).
Um sich für uniADSL anmelden zu können, benötigen Sie in
erster Linie einen Telefonanschluß der Telekom Austria. Der
Anschluß muß im ADSL-Ausbaugebiet liegen (österreichweit); ob dies der Fall ist, können Sie auf den oben genannten uniADSL-Webseiten unter Voraussetzungen überprüfen. Ihr Computer muß über eine USB- oder eine Ethernet-Schnittstelle verfügen, an der das ADSL-Modem anzuschließen ist (für USB werden nur die Betriebssysteme Windows 98, ME, 2000, XP und MacOS ab Version 8.6 unterstützt). Außerdem benötigen Sie noch eine gültige MailboxUserID (Uni-Mitarbeiter) oder Unet-UserID (Studierende).
Providerwechsel
Universitätsangehörige, die bereits einen ADSL-Anschluß
bei einem anderen Provider haben, können auf uniADSL
umsteigen. Die bisherigen Erfahrungen haben gezeigt, daß
ein uniADSL-Anschluß bei Providerwechsel im Durchschnitt
1) gilt ab 1. Oktober 2002
Downloadlimit
Abwicklung
Wenn Sie alle Voraussetzungen erfüllen, können Sie sich
unter https://data.univie.ac.at/adsl/ für uniADSL
an- bzw. ummelden. Über alle Fortschritte Ihrer Bestellung
werden Sie vom ZID per eMail informiert. Sobald Ihr Anschluß von der Telekom Austria hergestellt wurde, können
Sie das ADSL-Modem und den dazugehörigen Splitter am
Service- und Beratungszentrum des ZID abholen (siehe Rat
& Hilfe , Seite 32). Bei einem Providerwechsel muß das vorhandene ADSL-Modem weiterverwendet werden.
Das Herstellungsentgelt und das monatliche ADSL-Entgelt
werden von der Telekom Austria dem Kunden direkt mit der
Telefonrechnung verrechnet. Auch bei Überschreiten des
Downloadlimits werden keine weiteren Entgelte eingehoben.
uniADSL hat keine Bindungsfrist und kann daher zu jedem
Zeitpunkt unter https://data.univie.ac.at/adsl/ gekündigt werden. Bei der Ummeldung auf einen anderen
ADSL-Provider oder bei Ablauf Ihrer Mailbox- oder UnetUserID erfolgt die uniADSL-Abmeldung bei der Telekom
Austria automatisch. Die Abmeldung ist in jedem Fall
kostenlos. Das ADSL-Modem samt Splitter wird nach der
Abmeldung von einem Mitarbeiter der Telekom Austria abgeholt (außer bei Wechsel zu einem anderen Provider mit
Telekom Austria-Leistungsanteil).
Netzwerk- & Infodienste
Der Weg ins Netz
31
aus administrativen Gründen geändert werden muß, wird
dieser rechtzeitig vom ZID darüber informiert.
Installation
Die Installation des Modems und des Splitters muß vom
Benutzer selbst durchgeführt werden, ist aber sehr einfach
und erfordert keinerlei Spezialkenntnisse. Installationsanleitungen sind unter http://www.univie.ac.at/ZID/adsl/
zu finden. Die beim USB-Modem mitgelieferte CD -ROM
enthält Treiber für Windows 98, ME, 2000, XP und MacOS
ab Version 8.6.
Beim Verbindungsaufbau vom ADSL-PC aus muß der Benutzername angegeben werden. Dieser besteht aus Ihrer
Mailbox- bzw. Unet-UserID, gefolgt von einem @ und
adslw1.univie.ac.at (z.B. [email protected].
ac.at oder [email protected]). Das dazugehörige Paßwort ist Ihr Mailbox- bzw. Unet-Paßwort.
Ihre eMail-Adresse bleibt unverändert (beispielsweise
[email protected] oder A0815333@
UNET.UNIVIE.AC.AT).
IP-Adresse & UserID
Jeder uniADSL-Benutzer erhält eine fixe IP-Adresse aus dem
Pool der Uni Wien, die vom RADIUS-Server des Zentralen
Informatikdienstes automatisch zugewiesen wird und daher
in der lokalen Netzwerk-Konfiguration nicht eingetragen
werden muß. Diese fixe Adresse erlaubt z.B. einen Verbindungsaufbau aus dem Datennetz der Uni Wien zum ADSLPC. Darüber hinaus wird es dadurch möglich, mit uniADSL
Services zu nutzen, die nur aus dem Uni-Datennetz zugänglich sind – z.B. Recherchen in den CD-ROM-Datenbanken
der UB-Wien. Falls die IP-Adresse eines uniADSL-Benutzers
Sicherheit
Der ZID betreibt eine Firewall, die alle uniADSL-PCs gegen
Zugriffe aus dem Internet schützen soll. Diese unterscheidet
zwischen dem Datennetz der Uni Wien (z.B. IP-Bereich
131.130.0.0) und dem Internet:
●
Vom ADSL-PC zum Datennetz der Uni Wien und zum
Internet gibt es – abgesehen vom Downloadlimit – keine
So funktioniert eine uniADSL-Verbindung
Die PPTP-Verbindung zur Universität Wien geht vom PC des
uniADSL-Benutzers über Modem und Splitter zu einem DSLAM
und dann durch das ATM-Netzwerk der Telekom Austria zum
nächstgelegenen BRAS. Der BRAS befragt den AAA-Server der
Telekom Austria, an welchen L2TP-Tunnel-Endpunkt die
Daten mit der Endung adslw1.univie.ac.at übergeben
werden sollen, und leitet sie dann an den Tunnel-Endpunkt der
Uni Wien weiter. Dieser sendet den Benutzernamen
(UserID @adslw1.univie.ac.at) und das Paßwort an den
RADIUS-Server des ZID, der die Angaben überprüft und –
sofern sie korrekt sind – IP-Adresse, DNS-Server und Subnetmaske zurückliefert. Diese Daten werden an den ADSL -PC
übermittelt, der daraufhin einen VPN-Tunnel zum Tunnel-Endpunkt der Uni Wien aufbaut. Der Tunnel bleibt bestehen, bis
die Verbindung vom uniADSL-Benutzer getrennt wird; vom
ZID wird sie nur bei Überschreiten des Downloadlimits bzw. in
Notfällen unterbrochen (siehe Abschnitt Sicherheit ).
ATM-Netzwerk
Telekom Austria
T A LK / DA TA
T A LK
BRAS
AAA
Authentication, Authorization, Accounting
ADSL
Asynchronous Digital Subscriber Line
ATM
Asynchronous Transfer Mode
BRAS
Broadband Remote Access Server
DSLAM
Digital Subscriber Line Access Multiplexer
ISDN
Integrated Services Digital Network
L2TP
Layer Two Tunneling Protocol
POTS
Plain Old Telephone System
PPTP
Point-to-Point Tunneling Protocol
RADIUS
Remote Authentication Dial-In User Service
VPN
Virtual Private Network
Datennetz
Uni Wien
Tunnel-Endpunkt
Uni Wien
RS CS T R RD T D CD
ADSL-Modem
Firewall
AAA-Server
Radius-Server
Internet
Comment 02 / 2
DSLAM
Glossar
32
Netzwerk- & Infodienste
Beschränkungen durch die Firewall. Chat-Programme,
FTP usw. sind also voll funktionsfähig.
●
Jeder Verbindungsaufbau aus dem Internet zum ADSLPC wird blockiert – ausgenommen Port 22 (SSH) und
Port 81.
●
Ein Verbindungsaufbau aus dem Uni-Datennetz zum
ADSL-PC wird bis zum Überschreiten des Downloadlimits von der Firewall durchgelassen; gesperrt sind nur
Port 25 (SMTP) und Port 1080 (Socks-Proxy).
Auf freigegebene Verzeichnisse eines uniADSL-PCs kann
somit nur aus dem Datennetz der Universität zugegriffen
werden, wobei zu bedenken ist, daß diese Verzeichnisse für
jeden Rechner im Datennetz der Uni Wien offenstehen. Eine
Verzeichnis-Freigabe kann zwar sehr praktisch sein, ist aber
auch mit einem hohen Sicherheitsrisiko verbunden – insbe-
Google-Suche für Institute
Comment 02 / 2
Ein Punkt Suche gehört heutzutage zur Standardausrüstung einer Webpräsenz. Die Qualität solcher Suchfunktionen läßt jedoch selbst bei aufwendig gestalteten kommerziellen Webseiten oft zu wünschen übrig:
Suchanfragen dauern sehr lange, die Benutzerführung
ist wenig intuitiv, die Reihung der Treffer ist willkürlich, und manchmal ist überhaupt kein Zusammenhang zwischen Suchbegriff und Suchergebnis zu erkennen. Eine gute Suchfunktion zu programmieren ist
eben nicht so einfach, wie es auf den ersten Blick
scheinen mag. Aus diesem Grund haben wir darauf
verzichtet, auf dem Webserver der Universität Wien
(http://www.univie.ac.at/) eine eigene Volltextsuche anzubieten, sondern nehmen dafür lieber die
Dienste der bewährten Suchmaschine Google in Anspruch (siehe Google-Suche auf den Uni-Webservern
im Comment 01/2, Seite 2).
Mit einem kleinen Trick läßt sich die Google-Suche
auch auf einen Teilbereich des Webservers einschränken, z.B. auf die Webseiten eines Instituts. Die genaue
Vorgangsweise ist unter http://www.univie.ac.at/
www-suche.html beschrieben. Allen Betreibern von
Subservern wird empfohlen, anstelle eigener Lösungen so weit wie möglich diese Suchfunktion zu verwenden.
Einen Nachteil hat die Google-Suche allerdings: Für
Webseiten, die sich sehr häufig ändern, ist sie nur bedingt geeignet, weil der Index nur sporadisch aktualisiert wird (nach Angaben von Google etwa einmal im
Monat, in der Praxis dauert es manchmal auch länger).
Wir sind bemüht, mit Google zu vereinbaren, daß der
Uni-Webserver häufiger indiziert wird.
Peter Marksteiner
sondere unter den Betriebssystemen Windows 98 und ME,
wo sogar Freigaben, die durch ein Paßwort „geschützt“ sind,
mit einfachsten Mitteln von jedem anderen Benutzer ohne
Paßwort mitverwendet werden können. Wenn Sie ein Verzeichnis auf Ihrem Rechner freigeben wollen, sollten Sie
daher unbedingt einige Sicherheitsaspekte beachten (siehe
Hitchhiker’s Guide to Security (Teil I ) im Comment 01/1,
Seite 20 bzw. unter http://www.univie.ac.at/comment/
01-1/011_20.html).
Doppelt hält besser
Da die Firewall des ZID nur Zugriffe aus dem Internet abwehrt, ist es ratsam, als zusätzlichen Schutzschild eine lokale
Firewall-Software am ADSL-PC zu installieren (beachten Sie
bitte die Artikel zu diesem Thema auf den Seiten 14 – 29). In
den Log-Dateien dieser lokalen Firewall werden alle Netzwerkverbindungen des Rechners protokolliert. Bei der Auswertung der Log-Dateien ist allerdings Vorsicht geboten:
Nicht jeder unbekannte Verbindungsversuch ist automatisch
verdächtig. Fast alle Server der Uni Wien schicken z.B. regelmäßig ICMP Echo Requests, um herauszufinden, wie groß die
zu übertragenden Datenpakete sein sollten, damit ein optimaler Durchsatz erreicht werden kann. Diese sogenannten
„Pings“ sind harmlos – bitte schlagen Sie deshalb nicht beim
ZID Alarm (siehe auch http://www.univie.ac.at/ZID/
faq/pings.html)!
Komplette Port-Scans oder massive Netzwerkattacken sollten jedoch unbedingt gemeldet werden, da der schuldige
Rechner meist von einem Virus befallen ist. Bitte senden Sie
in diesem Fall eine eMail-Nachricht an HELPDESK.ZID@
UNIVIE.AC.AT mit der Log-Datei Ihrer Firewall als Attachment – das erleichtert die Aufgabe ungemein, den infizierten
Rechner im Datennetz auszuforschen. Wenn von einem
ADSL-PC massive Netzwerk-Attacken ausgehen, wird dieser
Anschluß umgehend gesperrt, bis der Benutzer (der natürlich nach Möglichkeit vorher telefonisch kontaktiert wird)
das Problem behoben hat.
Ali Baba und die 40 Räuber
Spätestens jetzt ist der Zeitpunkt gekommen: Verwenden
Sie ein sicheres Paßwort. Aus der obigen Überschrift läßt
sich beispielsweise das einfach zu merkende Paßwort
ABud4oR ableiten. Seien Sie kreativ und ändern Sie noch
heute Ihr unsicheres Paßwort!
Rat & Hilfe
Bei Problemen wenden Sie sich bitte an das Service- und
Beratungszentrum des ZID:
Adresse:
Neues Institutsgebäude (NIG, 1010 Wien,
Universitätsstr. 7), Stiege II, 1. Stock, links
Öffnungszeiten: Montag – Freitag 9.00 – 17.00 Uhr
eMail:
[email protected]
Telefon:
(01) 4277-14060
■
Netzwerk- & Infodienste
WARUM
IN DIE
FERNE
33
SCHWEIFEN ...
Ein neuer FTP-Server für die Uni Wien
Der FTP-Server FTP.UNIVIE.AC.AT zählt zu den ältesten Einrichtungen im Datennetz der Uni Wien: Er wurde bereits
1994 im Comment vorgestellt und bietet seither lokale Kopien (Mirrors) zahlreicher Softwarearchive zum Download
an, damit diese nicht von weit entfernten Servern heruntergeladen werden müssen. In seiner Anfangszeit beherbergte
der FTP-Server vor allem Software für DOS, MacOS, Novell
und OS/2. Später kamen immer mehr Linux-Distributionen
und Open Source-Produkte dazu, und auch Windows-Software gewann zusehends an Bedeutung.
So ist es nicht verwunderlich, daß der Speicherplatzbedarf
am Server, der 1994 bei ca. 10 Gigabyte (für ca. 60 000 Dateien) lag, auf über 300 Gigabyte (für über 650 000 Dateien)
angewachsen ist. Die Anzahl der erledigten Anfragen pro
Tag ist von ca. 2000 auf rund 30 000 gestiegen. Das bedeutet natürlich auch, daß viel mehr Daten übertragen werden:
1994 lieferte der FTP-Server täglich 1 GB an Daten aus,
heute liegt der Durchschnitt bei ca. 70 GB pro Tag (zu
Spitzenzeiten, z.B. beim Erscheinen einer neuen Version
einer Linux-Distribution, kann sich dieser Wert auch verdoppeln).
Es mag anachronistisch erscheinen, in einer Zeit, in der alle
Welt von „High-Speed-Internet“ spricht, einen lokalen FTPServer zu betreuen (der ja sein Dasein darauf gründet, die
früher sehr viel geringere internationale Bandbreite zu schonen). Dennoch ist es auch heute noch angenehm, wenn ein
Softwarepaket, das man herunterladen möchte, quasi „um
die Ecke“ zu finden ist. Abgesehen davon sind viele Server,
die das Original einer Software zum Download anbieten,
beim Erscheinen einer neuen Version oft überlastet. Auch in
diesem Fall ist es sinnvoll, einen lokalen Mirror zu verwenden, anstatt sich mit tausenden anderen um die Ressourcen
des Originalservers zu streiten.
Die Entscheidung fiel zugunsten der billigeren IntelArchitektur, die sich nun in Form eines Compaq-Servers mit
1133 MHz Rechenleistung, 1 GB RAM und einem RAID 5Festplattensubsystem mit über 650 GB Speicherplatz den
zukünftigen Anforderungen stellen muß. Als Betriebssystem
wird FreeBSD eingesetzt.
Bei der Zusammenstellung der am FTP-Server verfügbaren
Software wurde diesmal versucht, einerseits Free- und Shareware-Archive für die meisten gängigen Betriebssysteme aufzunehmen und andererseits eigene Download-Bereiche für
häufig gefragte Applikationen (z.B. Webbrowser und eMailKlienten) zu schaffen. Auch das Angebot an Linux-Distributionen wurde erweitert.
Im Bereich Free- und Shareware wird nun von Tucows
neben den Software-Archiven für Windows, Mac und Linux
auch der PDA-Bereich angeboten (für Personal Digital Assistants mit den Betriebssystemen PalmOS, SymbianOS und
PocketPC). Daneben gibt es natürlich noch immer die bewährten Archive von Simtelnet, WinSite, Info-Mac, Net-Wire,
Leo und andere.
Im neu dazugekommenen Bereich Applikationen wurde
darauf geachtet, Software für alle gängigen Desktop-Betriebssysteme aufzunehmen. Ein Schwerpunkt liegt auf den
frei verfügbaren Webbrowsern auf Basis von Gecko, der
Rendering Engine von Mozilla, die für die Interpretation
bzw. Darstellung von Webseiten zuständig ist. (Das MozillaProjekt wurde im Jahr 1998 ins Leben gerufen, als sich Netscape entschloß, den Quelltext des Netscape Communicators der Open Source-Gemeinde zur Weiterentwicklung
zu überlassen.)
Hier wäre einerseits Mozilla selbst, ein leistungsfähiger
Webbrowser mit Mail-Klient und HTML-Editor für Windows, Linux, MacOS 9, MacOS X und viele weitere Betriebssysteme. Daneben gibt es den aktuellen Webbrowser von
Netscape, der weitgehend Mozilla entspricht und zusätzlich
einige Netscape-spezifische Funktionen eingebaut hat – z.B.
den AOL Instant Messenger.
Zwei weitere Browser, Galeon für Linux und K-Meleon für
Windows, verwenden ebenfalls die Gecko-Engine, bieten
jedoch durch die Konzentration auf das Wesentliche (d.h.
Webbrowser ohne Mail-Klient oder sonstige Zusatzprogramme) einige Vorteile bezüglich Arbeitsgeschwindigkeit
und Schonung der Ressourcen. Einen Überblick über die
wichtigsten Webbrowser und ihre Bezugsquellen finden Sie
in der Tabelle auf Seite 34.
Ein anderes Vorzeigeprojekt des Open Source-Bereichs
kann nun ebenfalls vom FTP-Server der Uni Wien heruntergeladen werden: Das Grafikbearbeitungsprogramm GIMP
(General bzw. GNU Image Manipulation Program) bietet
neben vielen anderen Funktionen das Arbeiten mit Ebenen
und Kanälen, Alphakanäle für Transparenz, mehrstufiges
Undo und Redo, skriptgesteuerte Funktionen, ein leistungs-
Comment 02 / 2
Deshalb hat sich der ZID entschlossen, das FTP-Service weiterhin zu betreiben und die etablierten Softwarearchive
auch in Zukunft zu spiegeln. Allerdings war es notwendig,
das Archiv zu entrümpeln, alte Hierarchien und Mirrors zu
entfernen und dafür neue aufzunehmen. Auch neue Hardware mußte angeschafft werden, da die bisher verwendete
IBM-Technologie zwar sehr gute Dienste leistete, aber für
einen FTP-Server doch immens teuer ist – vor allem, wenn
man berücksichtigt, daß das Datenvolumen noch erhöht
werden soll.
Software -Angebot
Comment 02 / 2
34
Netzwerk- & Infodienste
Browser
Betriebssystem
Download / Beschreibung
Beonex 0.8
Windows 32-Bit, Linux
http://www.beonex.com/communicator/
––––––––––
Weitgehend mit Mozilla identer Webbrowser mit eMail-Klient (POP und
IMAP) und HTML-Editor. Beonex legt besonderes Augenmerk auf Security
und Privacy.
Chimera 0.5
MacOS X
http://chimera.mozdev.org/installation.html
––––––––––
Auf Mozilla basierender Webbrowser, der speziell an die Oberfläche von
MacOS X (Cocoa) angepaßt ist.
Galeon 1.2.5
Linux/Unix (Gnome)
ftp://ftp.univie.ac.at/applications/galeon/
http://galeon.sourceforge.net/download/
––––––––––
Schneller, auf Mozilla basierender Webbrowser, der speziell an die Oberfläche Gnome angepaßt ist und einige nützliche zusätzliche Funktionen
bietet. Galeon benötigt zur Installation die Mozilla-Libraries.
iCab 2.8.1
MacOS 7/8/9, MacOS X
http://www.icab.de/download.html
––––––––––
Ressourcenschonender Webbrowser mit umfangreichen Konfigurationsmöglichkeiten.
Internet Explorer 6.0
Windows 98, ME,
NT (SP6), 2000, XP
http://www.microsoft.com/windows/ie/downloads/ie6/
––––––––––
Webbrowser von Microsoft.
Internet Explorer 5.5
(SP2)
Windows 95
http://www.microsoft.com/windows/ie/downloads/archive/
––––––––––
Webbrowser von Microsoft.
Internet Explorer 5.x
MacOS 8/9, MacOS X
http://www.microsoft.com/mac/download/#IE
––––––––––
Webbrowser von Microsoft.
Kmeleon 0.6
Windows 32-Bit
ftp://ftp.univie.ac.at/applications/kmeleon/
http://kmeleon.sourceforge.net/download.php
––––––––––
Schneller und ressourcenschonender, auf Mozilla basierender Webbrowser.
Kmeleon kann mit Hilfe von Makros weitgehend an die eigenen Anforderungen angepaßt werden.
Links 0.9x
Linux/Unix, MacOS X,
BeOS, OS/2
http://links.sourceforge.net/
––––––––––
Kleiner, flinker Webbrowser für den Textmodus, der auch Frames und
Tabellen darstellen kann.
Lynx 2.8.x
DOS, Windows 32-Bit,
Linux/Unix
http://lynx.isc.org/current/
––––––––––
Kleiner, flinker Webbrowser für den Textmodus.
Mozilla 1.0, 1.1
Windows 32-Bit, Linux/
Unix, BeOS, MacOS 8/9,
MacOS X, OS/2 usw.
ftp://ftp.univie.ac.at/applications/mozilla/
http://www.mozilla.org/
––––––––––
Mächtiger Open Source-Webbrowser mit eMail-Klient (POP und IMAP)
und HTML-Editor.
Netscape 6.2.3, 7.0
Windows 32-Bit, Linux,
MacOS 8/9, MacOS X
ftp://ftp.univie.ac.at/applications/netscape/
http://browsers.netscape.com/browsers/
––––––––––
Weitgehend mit Mozilla identer Webbrowser mit eMail-Klient (POP und
IMAP) und HTML-Editor. Netscape veröffentlicht neue Versionen in längeren Abständen als Mozilla, paßt diese jedoch speziell an die Bedürfnisse von Endbenutzern an.
Opera 5.0 bzw. 6.0x
Windows 32-Bit, Linux,
MacOS 8/9, MacOS X
ftp://ftp.univie.ac.at/applications/opera/
http://www.opera.com/
––––––––––
Ressourcenschonender Webbrowser mit eMail-Klient (nur POP). In der
kostenlosen Variante werden in einem Fenster Werbe-Einblendungen dargestellt.
w3m 0.1.10
Linux/Unix
http://www.w3m.org/
––––––––––
Kleiner, flinker Webbrowser für den Textmodus, der auch Frames und
Tabellen darstellen kann. Ermöglicht das lokale Ausführen von CGI-Scripts
(d.h. auch ohne Webserver).
Netzwerk- & Infodienste
35
Beispiele für Software-Produkte, die über den neuen
FTP-Server der Uni Wien bezogen werden können:
●
Webbrowser Mozilla (links)
●
DemoLinux (unten)
●
Grafikbearbeitungsprogramm GIMP (ganz unten)
fähiges Plugin-System und Funktionen zur Erstellung von bewegten Grafiken. GIMP ist derzeit in Versionen für Windows und Unix (Linux)
verfügbar.
Weitere nützliche Softwareprodukte, die am
neuen FTP-Server der Uni Wien bereitstehen,
sind z.B. der Mail-Klient Pegasus, der werbefinanzierte Webbrowser Opera, der SSH-Klient
Putty und das Office-Paket OpenOffice (bestehend aus Textverarbeitung, Tabellenkalkulation, Vektorgrafik-Software, Präsentations-Software und HTML-Editor).
An Linux-Betriebssystemen sind jetzt neben den bereits bisher vorhandenen Mirrors von RedHat und Mandrake auch
Mirrors von Slackware, Debian und SuSE verfügbar. Zusätzlich wurden auch einige Systeme aufgenommen, die auf
bestimmte Aufgabenbereiche spezialisiert sind: ClosedBSD
bietet die Funktionalität einer Firewall mit NAT (Network
Address Translation) und läßt sich – so wie das Linux-
Router-Projekt (das die Aufgaben eines Routers erfüllt) oder
tomsrtbt (ein „Notfall-Linux“ für Reparatur- und Administrationsaufgaben) – komplett auf einer einzigen Diskette unterbringen. DemoLinux wiederum verfügt über den vollen
Funktionsumfang einer aktuellen Linux-Distribution und
kann direkt von CD-ROM gestartet werden, ohne daß etwas
auf die Festplatte installiert werden muß.
Wünsche, Anregungen,
Beschwerden, ...
... richten Sie bitte per eMail an die Adresse
[email protected]. Im Rahmen
des verfügbaren Speicherplatzes und bei entsprechender Nachfrage sind wir gerne bereit,
unser Angebot zu erweitern.
Lukas Ertl & Andreas Pytlik ■
Comment 02 / 2
An weiteren Neuheiten sind noch zwei Software-Pakete
zu erwähnen, die es beide ermöglichen, Unix-Werkzeuge
auch unter Windows zu verwenden: Beim Projekt UnxUtils wurden die wichtigsten Kommandozeilen-Werkzeuge von Unix (tar, grep,
sed, gzip usw.) direkt auf Windows portiert.
Etwas weiter geht das Cygwin-Projekt, das mit
Hilfe einer speziellen DLL (Dynamic Link
Library ) eine komplette Unix-Umgebung zur
Verfügung stellt. Mit Cygwin ist es sogar möglich, einen X-Server und die entsprechenden
Programme unter Windows zum Laufen zu
bringen.
36
Netzwerk- & Infodienste
Out of Uni :
AUTORESPONDER, AUCH FÜR
Was beim Telefon der Anrufbeantworter ist, ist bei Electronic Mail das Out of Office-Programm (im Fachjargon
Autoresponder genannt): Es teilt all jenen, die Ihnen eine
eMail-Nachricht gesendet haben, mit, daß Sie zur Zeit nicht
erreichbar sind. An der Universität Wien steht ein solches
Out of Office-Programm bereits seit einigen Jahren für
Universitätsmitarbeiter mit Mailbox-UserID zur Verfügung.
Dieses Service wurde vor kurzem komplett überarbeitet und
kann nun auch von allen Studierenden mit Unet-UserID verwendet werden.
So geht’s:
Wie bisher erfolgt die Aktivierung des Dienstes über WWW:
Unter dem URL https://data.univie.ac.at/mailbox/
out-of-office.html bzw. https://data.univie.ac.
at/unet/out-of-office.html gelangen Sie zu einer
Login-Maske, in der Sie Ihre UserID und Ihr Paßwort eingeben müssen. Anschließend erscheint ein Webformular,
wo die Dauer der Abwesenheit und der gewünschte Benachrichtigungstext definiert werden können (siehe Abbildung). Der vorgeschlagene Standardtext enthält die zwei
Variablen $DateEnd$ und $MyName$, die beim Absenden
einer Benachrichtigung automatisch durch den letzten Tag
Ihrer Abwesenheit bzw. durch Ihren Vor- und Nachnamen
ersetzt werden.
UNET
Durch einen Klick auf OK werden Ihre Angaben gespeichert. Damit Sie sich vergewissern können, ob die Verständigungen, die versendet werden sollen, wunschgemäß
aussehen und ankommen, macht das Out of Office -Programm nun einen Probelauf: Ein fiktiver, automatischer Absender schickt Ihnen eine Testnachricht, und kurz darauf erhalten Sie auch die entsprechende Benachrichtigung des
Autoresponders.
Das Out of Office-Programm aktiviert sich selbständig am
angegebenen Tag und stellt seine Tätigkeit ebenfalls automatisch zum vordefinierten Zeitpunkt wieder ein. Alle Einstellungen bleiben aber gespeichert – wenn Sie die oben beschriebenen Variablen $DateEnd$ bzw. $MyName$ belassen haben, kann der Text daher beim nächsten Einsatz
des Autoresponders unverändert wiederverwertet werden.
Out of Office antwortet nicht immer
Das automatische Beantworten von eMail-Nachrichten ist
eine heikle Sache. Allzu oft passiert es, daß zwei Autoresponder sich angeregt miteinander unterhalten (bei
schnellen Rechnern und guter Netzanbindung kann das zu
erheblicher Serverbelastung, zumindest aber zu vollen Mailboxen führen), bis der Kollateralschaden so groß wird, daß
ein Administrator das Problem bemerkt und mit mehr oder
weniger brachialen Maßnahmen den Spuk beendet.
Comment 02 / 2
Das wohltemperierte Out of Office-Programm der Uni Wien
reagiert – leider im Gegensatz zu Produkten wie Outlook
und Mercury – ausgesprochen zurückhaltend:
Out of Office-Webformular für Unet-Benutzer
●
Grundsätzlich antwortet es jedem Absender nur einmal
pro Woche. Damit wird zuverlässig verhindert, daß zwei
Out of Office-Programme einander ad infinitum eMail
zusenden. Auch die Absender der an Sie gerichteten
Nachrichten werden dankbar sein, wenn ihnen die
Wiederholungen erspart bleiben.
●
Out of Office schweigt auch, wenn Ihre Adresse nicht im
To:- oder CC:-Feld einer eMail-Nachricht angeführt ist.
Damit wird sichergestellt, daß keine automatischen Antworten an Mailinglisten oder sonstige Verteiler geschickt
werden. Ein potentielles Problem dabei: Mailbox-Benutzer haben mehrere eMail-Adressen, nämlich USER-ID
@UNIVIE.AC.AT (beispielsweise MUSTERH7@UNIVIE.
AC.AT), VORNAME.NACHNAME @UNIVIE.AC.AT und
eventuell weitere Schreibweisen (z.B. bei Doppelnamen). Alle diese Adressen werden automatisch berücksichtigt. Wenn Sie jedoch eine eMail-Weiterleitung von
anderen Servern aktiviert haben und auch diese weitergeleitete Mail automatisch beantwortet werden soll,
müssen Sie die zusätzlichen Adressen dem Out of Office-
Netzwerk- & Infodienste
Programm bekanntgeben, indem Sie auf die Schaltfläche
Ich habe mehrere eMail-Adressen klicken und den Teil
vor dem @ in das entsprechende Feld eintragen.
legt ist, da (z.B. bei weitergeleiteter Mail) die Adresse im
From:- oder Reply-To:-Feld völlig irreführend sein
kann.
●
Nachrichten, die offensichtlich Massensendungen sind
oder von Automaten erzeugt wurden, werden generell
nicht beantwortet (z.B. Mail von MAILER-DAEMON,
OWNER-LISTENNAME bzw. wenn ein entsprechender
Precedence: – oder (X-)Autosubmitted:-Header vorhanden ist).
●
Die Benachrichtigung geht selbstverständlich an die
Adresse des Senders, die im Return-Path:-Feld festge-
Detaillierte Informationen zum Out of Office-Programm der
Uni Wien erhalten Sie, indem Sie auf die Schaltfläche Hilfe
unterhalb der Login-Maske bzw. unterhalb des Eingabefelds
für den Benachrichtungstext klicken. Technisch interessierte
Benutzer können im WWW unter http://mailbox.
univie.ac.at/Alexander.Talos/vacation/ nachlesen,
wie das Out of Office-Programm auf den Servern des ZID
implementiert wurde.
Alexander Talos ■
UND
EWIG LOCKT DIE
Suchmaschinen sind im Comment ein immer wiederkehrendes Thema. 1) Dieser Artikel ist – im Gegensatz zu den
vorangegangenen – nicht als praktische Suchhilfe konzipiert, sondern soll einen Blick hinter die Kulissen ermöglichen. Konkrete Tips zum Suchen und Finden werden im
Comment 98/2 im Kasten Bessere Fragen – Bessere Antworten anschaulich erörtert (generell empfiehlt es sich immer,
mehrere miteinander verknüpfte Suchbegriffe zu verwenden und die Suche mit Hilfe weiterer Optionen einzugrenzen). Eine Auswahl von Suchmaschinen, die im Comment
noch nicht vorgestellt bzw. seither grundlegend überarbeitet wurden, finden Sie im Kasten Es muß nicht immer
Google sein auf Seite 38.
Wie Suchmaschinen arbeiten:
Bevor eine Suchmaschine ihr Wissen über die im WWW
publizierten Informationen weitergeben kann, muß sie sich
dieses erst aneignen, und das gestaltet sich bei der Anzahl
der verfügbaren Webseiten (geschätzt in Milliardenhöhe)
gar nicht so einfach. Um das Informationsangebot sichten
und aufbereiten zu können, betreibt eine Suchmaschine
Spezialsoftware, sogenannte Robots (auch Crawler, Spider,
Agent u.dgl. genannt).
1) Comment 98/2, Seite 18 (http://www.univie.ac.at/
comment/98-2/982_18.html)
Comment 99/3, Seite 22 (http://www.univie.ac.at/
comment/99-3/993_22.html)
Comment 00/2, Seite 31 (http://www.univie.ac.at/
comment/00-2/002_31.html)
SUCHMASCHINE
Die so gefundenen Informationen werden analysiert, bewertet, strukturiert und in Form eines Index in einer riesigen
Datenbank gespeichert. Erst dann sind die Inhalte einer
Webseite über die Suchmaschine auffindbar. Bei jeder Suchanfrage wird nun dieser Index nach Übereinstimmungen
mit dem gewünschten Begriff durchforstet. Nachdem der
Index großer Suchmaschinen aber hunderte Millionen Seiten umfassen kann, erzielen die meisten Anfragen tausende
Treffer. Ausschlaggebend ist daher weniger die Größe als
vielmehr die Aktualität und die Darstellung des Informationsangebots.
Was bedeutet Ranking?
Die Qualität einer Suchmaschine wird zu einem großen Teil
davon bestimmt, wie gut oder schlecht es ihr gelingt, die
Ergebnisse in eine sinnvolle Reihenfolge zu bringen: Da bei
einer allzu umfangreichen Trefferliste das Interesse des Benutzers rasch erlahmen kann, sollten diejenigen Treffer, die
am besten zur Suchabfrage passen, möglichst weit vorne
aufgelistet sein. Die Suchmaschinen verwenden daher sogenannte Ranking-Algorithmen, um die Relevanz der gefundenen Informationen abzuschätzen und eine entsprechend
sortierte Trefferliste anzeigen zu können.
Diese Aufgabe bereitet jedoch mitunter Schwierigkeiten, da
die Suchanfragen oft nicht eindeutig sind. Welche Ergebnisse erwartet wohl jemand, der lediglich nach Inn sucht,
ohne weitere Spezifikationen anzugeben?
Auch ist es problematisch, die Relevanz eines Textes allein
danach zu bewerten, wie häufig der gesuchte Begriff darin
enthalten ist. So kann z.B. eine Paul Celan-Biographie
durchaus nur ganz selten das entscheidende Wort Celan
benutzen: Oft werden, um Wiederholungen zu vermeiden,
Synonyme eingesetzt – Dichter, Autor, Schriftsteller oder in
den frühen Phasen der Biographie der bürgerliche Name
des Dichters, Antschel. Für eine Suchmaschine ist somit
schwer zu erkennen, daß sich dieser Text vollständig um
Paul Celan dreht.
Comment 02 / 2
Ein Robot beginnt seine Reise durch das WWW meist mit
dem Erfassen stark benutzter Server mit populären Seiten,
wobei er deren Texte indiziert und jedem Verweis auf andere Seiten nachgeht – eine Methode, bei der sich die gesammelten Daten rasch vervielfachen. Dieser Vorgang wird
regelmäßig wiederholt, um der laufenden Veränderung des
Informationsangebots Rechnung zu tragen.
37
38
Netzwerk- & Infodienste
Die wichtigsten Ranking-Kriterien
Natürlich spielt es eine Rolle, wie oft der Suchbegriff im Text
vorkommt. Dabei ist meist die relative Häufigkeit wichtiger
als die absolute Anzahl: Ein nur 50 Worte langer Text, in
dem der Suchbegriff fünfmal aufscheint, wird demnach besser bewertet als ein Text von 500 Worten mit zehn Vorkommen. Deshalb haben auch kurze Seiten meist eine bessere Position in der Trefferliste.
Für das Ranking ist jedoch weniger die Häufigkeit der einzelnen Wörter von Bedeutung als deren Position. Beispielsweise wird Dokumenten, in denen der gesuchte Begriff weit
oben im Text zu finden ist, mehr Relevanz zugesprochen als
solchen, die ihn tief in verschachtelten Tabellen verstecken.
Bei Suchanfragen, die zwei oder mehr Worte enthalten (z.B.
Celan Biographie), ist es wichtig, daß beide Begriffe möglichst nahe zueinander im Text bzw. im Titel stehen.
Für die Relevanzbestimmung werden weiters auch HTMLTags (Formatierungsanweisungen) herangezogen. Beispielsweise gilt eine Seite als besonders relevant, wenn der
Suchbegriff im <title>-Tag oder innerhalb einer Überschrift (z.B. <h1>) vorkommt. Darüber hinaus werden oft
auch noch andere HTML-Tags berücksichtigt, z.B. <strong>
(hervorgehoben), <u> (unterstrichen) oder <i> (kursiv).
Auch das Aufscheinen des Suchbegriffs innerhalb bestimmter <meta>-Tags kann eine höhere Relevanz bewirken.
<meta>-Tags sind Vermerke im Kopfbereich (<head>) einer
HTML-Datei, die vom Browser nicht angezeigt werden und
Comment 02 / 2
Es muß nicht immer Google sein:
●
http://www.altavista.com/
wurde komplett überarbeitet, ist seither fündiger
und etwas weniger kommerziell orientiert,
großer Index
●
http://www.teoma.com/
einfach, benutzerfreundlich, beinhaltet auch viel
Wirtschaftsvokabular
●
http://wissen.fireball.de/
durchsucht deutsche Server von Universitäten und
Forschungseinrichtungen, Dokumente können im
Originalformat heruntergeladen werden
●
http://www.scirus.com/
Äquivalent zu wissen.fireball.de für internationale wissenschaftliche Publikationen
●
http://www.wer-weiss-was.de/
1996 gegründet, Motto: Wer Rat sucht, soll auch Rat
erteilen; 15 Wissensgebiete stehen zur Diskussion,
kommuniziert wird über eMail oder Foren
●
http://www.nettz.de/
treffsichere und anfängerfreundliche Metasuchmaschine
●
http://www.mamma.com/
benutzerfreundliche Metasuchmaschine, läßt dem
Anwender freie Hand bei der Wahl der verwendeten
Suchmaschinen
allgemeine Informationen über die jeweilige Seite enthalten.
Für das Ranking sind lediglich die Meta-Angaben keywords
und description relevant.
●
Mittels keywords können Schlüsselbegriffe definiert
werden, die für die Seite charakteristisch sind: <meta
name=”keywords” content=”paul celan, lyrik,
interpretation, todesfuge, meister, deutschland, sulamith”>
Dieser Tag eignet sich auch gut, um Synonyme für die
Schlüsselwörter anzugeben (wenn im sichtbaren Text
lediglich das Wort Schmuck vorkommt, wird eine Suche
nach Kleinod nichts nützen).
●
Mittels description kann eine kurze Beschreibung der
Seite eingefügt werden: <meta name=”description”
content=”Die beste Interpretation von Celan’s
Todesfuge im WWW!”>
Viele Suchmaschinen zeigen diesen Text an, wenn sie in
ihrer Trefferliste auf die Seite verweisen.
Wichtig für die meisten Suchmaschinen scheint inzwischen
auch der URL einer Seite zu sein. Damit ist nicht nur die Domain des Webservers gemeint, sondern auch der Pfad und
der Dateiname auf dem Server. In unserem Fall wäre eine
Celan-Biographie also am besten als Datei biographie.
html in einem Verzeichnis namens celan aufgehoben.
Der URL sieht dann etwa folgendermaßen aus: http://
www.domain/celan/biographie.html.
Weiters können auch die URLs und die Beschreibungen von
Links sowie die Beschreibungstexte von Grafiken als zusätzliche Relevanzkriterien herangezogen werden. Einige Suchmaschinen berücksichtigen auch das letzte Änderungsdatum, wobei neuere Seiten besser bewertet werden.
Feinheiten
Alle diese Vorgehensweisen sind für eine perfekte Welt gedacht, in der Autoren ihre Webseiten wahrheitsgetreu und
gewissenhaft beschreiben. Viele Webmaster kümmern sich
jedoch gar nicht darum, im Web gefunden zu werden –
zahllose gute Seiten haben weder einen passenden Titel
noch entsprechende Meta-Tags. Seit sich via WWW Geld
verdienen läßt, haben die Suchmaschinen zudem erhebliche
Probleme mit manchen Betreibern von kommerziellen Seiten und Sexseiten, die sich mittels search engine spamming
(das sind diverse Tricks, die auf bekannten Relevanzkriterien basieren) eine gute Ranking-Position sichern wollen.
Jede Suchmaschine hat daher ihre eigenen, sehr geheimen
Regeln beim Ranking. Zusätzlich gehen Suchmaschinen vermehrt dazu über, auch externe Informationen im RankingAlgorithmus zu berücksichtigen. Eine zentrale Rolle nimmt
dabei die sogenannte link popularity ein, das ist die Anzahl
externer Links, die auf diese Seite verweisen. Ähnlich funktioniert DirectHit – hier zählt, wie oft Suchmaschinenbenutzer auf ein bestimmtes Ergebnis klicken. Weiters wird
immer häufiger nicht nur die Relevanz einer einzelnen
Netzwerk- & Infodienste
HTML-Seite beurteilt, sondern mittels Domain-Indizierung
eine Domain als ganzes zur Bewertung herangezogen.
statisch gespeichert werden, sind sie für Suchmaschinen
auffindbar.
●
Woran Suchmaschinen scheitern:
●
Fehlende Referenzen: Eine Webseite, auf die kein Link
von einer bereits indizierten Seite verweist, kann von
einer Suchmaschine nicht erfaßt werden – es sei denn,
sie wurde direkt angemeldet.
●
Versteckte Bereiche: Paßwortgeschützte Seiten und
Server, die sich hinter einer Firewall verbergen, können
nicht durchsucht werden. Einen anderen Weg, Robots
von bestimmten Seiten fernzuhalten, bietet ein <meta>Tag: Mit <meta name=”robots” content=”noindex”>
oder <meta name=”robots” content=”none”> verbietet man Suchprogrammen, die Inhalte der betreffenden
HTML-Datei in ihre Datenbank aufzunehmen.
Für Betreiber von Webservern wurde darüber hinaus der
sogenannte Robot Exclusion Standard entwickelt (siehe
http://info.webcrawler.com/mak/projects/robots/
robots.html): Dieser basiert darauf, daß im Start-
verzeichnis des Webservers eine Datei mit dem Namen
robots.txt abgelegt werden kann, in der spezifiziert
wird, wie sich Suchprogramme verhalten sollen – wobei
die Beachtung des Standards allerdings vom guten Willen der Suchmaschine abhängig ist.
●
Dynamisch generierte Seiten: Dokumente, die nicht
als fertige Dateien auf WWW-Servern liegen, sondern
dynamisch aus einer Datenbank generiert werden, können meist nicht gefunden werden. Dynamisch bedeutet
in diesem Fall, daß der HTML-Code
von den übergebenen Parametern
abhängig ist (z.B. bei Zeitungen).
Erst wenn dynamisch erstellte Seiten
39
Ungeeignete Dateiformate: Befindet sich in einer Webseite kein Text, weil sie z.B. nur aus HTML-Tags und
Grafiken besteht, kann sie nicht in den Volltextindex aufgenommen werden: Mit optischen Elementen oder akustischen Signalen kann selbst die beste Suchmaschine
nichts anfangen – es wird stets nur der umgebende bzw.
beschreibende Text erfaßt. Manche Suchmaschinen (z.B.
Google) finden auch Dokumente im .doc- und .pdfFormat, die meisten sind damit jedoch überfordert.
Was dabei herauskommt:
Die Suchmaschine liefert eine Ergebnisliste, in der jeder
Treffer mit Überschrift, Kurzbeschreibung und URL präsentiert wird. Die Aussagekraft kann dabei stark schwanken – sie
hängt nicht nur von der Suchmaschine ab, sondern vor allem
von den verwendeten HTML-Tags: Als Überschrift für einen
Treffer wird meist der Titel des Dokuments eingesetzt; für die
Darstellung von Detailinformationen wird die Kurzbeschreibung (bzw. bei deren Fehlen die ersten Zeilen des Textes)
herangezogen. Ein fehlender Titel bedeutet Treffereinträge
ohne Überschrift. Eine fehlende Beschreibung bedeutet
Treffereinträge ohne aussagefähige Detailinformationen.
Last but not least: Aufgrund von Faktoren wie Indexgröße
und -aufbau oder Strategie der Robots führt dieselbe Suchanfrage bei verschiedenen Suchmaschinen zu ganz unterschiedlichen Ergebnissen – dieser Vielfalt sollte man sich
nicht aus Bequemlichkeit berauben.
Vera Potuzak ■
oben:
Trefferliste zum Begriff Inn bei Google
links:
Trefferliste zum Begriff Inn bei AltaVista
Comment 02 / 2
Dieselbe Suchanfrage führt bei verschiedenen Suchmaschinen zu ganz
unterschiedlichen Ergebnissen:
40
Netzwerk- & Infodienste
LATIN 9, UNICODE &
Wahrscheinlich sind Ihnen schon öfters Webseiten mit
Preisangaben wie 99 oder 100 ? untergekommen. In beiden Fällen handelt es sich um mißglückte Euro-Symbole.
Nachfolgend werden einige Methoden beschrieben, EuroPreisangaben so in HTML-Dokumente einzubauen, daß sie
von möglichst vielen Browsern richtig dargestellt werden.
Methode 1: EUR
Die sicherste Methode ist immer noch, anstelle des EuroSymbols die offizielle internationale Abkürzung EUR zu verwenden (siehe dazu die Webseite der EU: http://europa.
eu.int/euro/quest/normal/I-Q3.htm?language_nb=
3&q_a_reference_nb=3).
Methode 2: Der Euro als Grafik
Auch das funktioniert immer. Vergessen Sie aber nicht auf
den passenden Alternativtext, damit der Euro auch von nicht
grafikfähigen Geräten (wie Text-Browsern oder SprachSynthesizern für Sehbehinderte) richtig wiedergegeben wird:
<img src=”euro.gif” alt=”EUR”>. Bei dieser Methode
sind die einzigen Probleme ästhetischer Natur: Das Erscheinungsbild der Webseite ist mitunter nicht perfekt, wenn
Größe und Zeichensatz der Euro-Grafik nicht ganz zum
umliegenden Text passen.
Methode 3: &euro;
Der HTML-Standard definiert eine lange Liste von Character
Entities, also von Sonderzeichen, die in HTML-Dokumenten
als &name; geschrieben werden – z.B. &auml; für ä oder
&ecirc; für ê. Der Euro wurde erst mit HTML Version 4.0
(veröffentlicht am 18. Dezember 1997) als &euro; in die
Liste aufgenommen. Ältere Browser unterstützen mitunter
diesen Standard nicht vollständig und können daher das
Euro-Symbol nicht richtig darstellen.
Comment 02 / 2
Methode 4: Zeichen 164 in ISO-8859-15 (Latin 9)
Im Comment 95/3 wurden im Artikel Was ist eine Codepage ? (siehe http://www.univie.ac.at/comment/95-3/
953_15.html) die verschiedenen ISO-8859-Zeichensätze
vorgestellt, speziell der als ISO Latin 1 oder Western ISO bekannte Zeichensatz ISO-8859-1. Dieser Zeichensatz enthält
verschiedene nationale Sonderzeichen wie deutsche Umlaute, Vokale mit Akzenten und andere. Ein Byte (= 8 Bit)
entspricht einem Zeichen, sodaß insgesamt 2 8 = 256 verschiedene Zeichen zur Verfügung stehen. Diese Zeichen
sind von 0 bis 255 durchnumeriert; Zeichen Nr. 164 ist z.B.
das merkwürdige Symbol , das als Währungssymbol (Generic Currency Symbol ) definiert ist.
Dieser Standard ist nunmehr obsolet: Am 15. März 1999
wurde der neue Standard ISO-8859-15 verabschiedet, der
DER
EURO
IM
WWW
rätselhafterweise unter dem Namen ISO Latin 9 bekannt
ist. Er unterscheidet sich von ISO Latin 1 nur durch acht
Zeichen: Beispielsweise wurden Trema ( ¨) und Cedille ( ¸ )
durch š und ž ersetzt, sodaß nun z.B. ein Name wie Potužak
mit diesem Zeichensatz korrekt geschrieben werden kann.
Nachdem anscheinend niemand das Währungssymbol
braucht, wurde es durch das Euro-Symbol e ersetzt.
Damit ein Euro-Symbol auf diese Weise in ein HTML-Dokument eingebaut und richtig wiedergegeben werden kann,
müssen folgende Voraussetzungen erfüllt sein:
●
Eine Möglichkeit, dieses Zeichen über die Tastatur einzugeben (z.B. mit einer entsprechend belegten EuroTaste oder einer Tastenkombination wie <Alt Gr>-E),
●
die korrekte Definition des Zeichensatzes im HTMLDokument, meistens mittels entsprechendem <meta> Tag im Header (<meta http-equiv=”Content-Type”
content=”text/html; charset=iso-8859-15”>),
●
ein moderner Browser, der den ISO Latin 9 -Zeichensatz
unterstützt.
In der Windows-Welt wird häufig ein eigener Zeichensatz
namens Windows 1252 verwendet, der sich zwar geringfügig, aber doch von ISO Latin 9 unterscheidet. In diesem
Zeichensatz hat das Euro-Symbol die Nummer 128. Generell
wird empfohlen, in Webseiten den ISO- anstelle des Windows-Zeichensatzes zu verwenden, da letzterer von anderen als Windows-Rechnern oft nicht unterstützt wird.
Methode 5: &#8364;
Für viele europäische Sprachen sind die diversen ISO-8859Zeichensätze adäquat, aber bei weitem nicht optimal. Ein
Problem ist vor allem, daß sie einander ausschließen – obwohl z.B. auch in französischen Texten türkische Eigennamen vorkommen können. Für außereuropäische Sprachen
sind die bisherigen Ansätze der Kodierung vollkommen unzureichend, sodaß seit einigen Jahren ein völlig neues System
namens Unicode entwickelt wird. Unicode unterstützt neben
(fast) allen Sprachen der Welt auch mathematische Symbole,
Musiknoten und viele andere Sonderzeichen. Das Grundprinzip von Unicode ist unter http://www.unicode.org/
unicode/standard/WhatIsUnicode.html nachzulesen:
Unicode provides a unique number for every character, no
matter what the platform, no matter what the program, no
matter what the language. Die „eindeutige Nummer“ für das
Euro-Symbol ist 8364, die Schreibweise daher &#8364;.
Bei älteren Browsern ohne Unicode-Unterstützung funktioniert diese Methode nicht. Es ist jedoch zu erwarten, daß
sich Unicode als internationaler Standard (der auch als ISOStandard 10646 definiert wurde) weltweit mehr und mehr
durchsetzt und bald von praktisch allen Softwareprodukten
unterstützt wird.
Peter Marksteiner ■
Anhang
KURSE
BIS
41
DEZEMBER 2002
Kurskalender
Auf den folgenden Seiten finden Sie detaillierte Beschreibungen zu den von Oktober bis Dezember 2002 geplanten
Kursen des Zentralen Informatikdienstes. Wir sind bemüht, keine Änderungen mehr vorzunehmen. Da jedoch Kurse hinzukommen oder entfallen können, beachten Sie bitte auch die aktuellen Informationen im Service- und Beratungszentrum sowie die Kursterminblätter in den Formularspendern vor den PC-Räumen im NIG sowie im Service- und Beratungszentrum. Alle Informationen zu den Kursen finden Sie im WWW unter http://data.univie.ac.at/kurs/
bin/kursang.pl; die aktuellen Kursbelegungen können unter http://data.univie.ac.at/kurs/bin/kursall.pl
abgerufen werden.
Anmeldungen
Teilnahmeberechtigt sind Studierende und Universitätsmitarbeiter. Als solche gelten die Angestellten aller Universitäten,
sie müssen jedoch nachweisen, daß sie an einer Universität beschäftigt sind (Bestätigung). Angehörige universitätsnaher
oder wissenschaftlicher Institutionen haben nach Maßgabe der freien Plätze die Möglichkeit, an den Kursen des ZID teilzunehmen. Die Anmeldung ist daher erst nach dem Ende der Anmeldefrist möglich. Für diese Teilnehmer gilt der Tarif
Externe. Für Kurse mit beschränkter Teilnehmerzahl ist eine Anmeldung im Service- und Beratungszentrum des
ZID erforderlich (NIG, Stg. II, 1. Stock; Öffnungszeiten: Mo – Fr 9.00 – 17.00 Uhr). Kostenpflichtige Kurse sind bei der
Anmeldung bar zu bezahlen; Studierende müssen dabei ihren Studienausweis vorweisen. Für Mitarbeiter der Institute
und Dienststellen der Uni Wien besteht die Möglichkeit, sich mit einem Zahlungs- und Verrechnungsauftrag (ZVA) bargeldlos zu den Kursen anzumelden. Der ZVA ist vollständig ausgefüllt und unterschrieben zur Kursanmeldung mitzubringen. Das Formular ist im Service- und Beratungszentrum des ZID oder unter http://www.univie.ac.at/ZID/
formulare.html erhältlich.
Absagen/Rücktritte
Liegen zwei Wochen vor Kursbeginn zu wenige Anmeldungen vor, kann der Kurs abgesagt werden. Die angemeldeten
Teilnehmer werden nach Möglichkeit rechtzeitig verständigt. Falls ein Kurs abgesagt wird oder sich ein Teilnehmer innerhalb der Anmeldefrist abmeldet, kann die bezahlte Kursgebühr innerhalb eines Jahres (ab Kurstermin) zurückgefordert
werden. Bei Abmeldung eines Teilnehmers nach Anmeldeschluß des betreffenden Kurses sind 10 % der Kursgebühr zu entrichten.
Kursorte
Kursraum A des ZID
NIG (1010 Wien, Universitätsstraße 7), Erdgeschoß, Stiege I
Kursraum B des ZID
NIG (1010 Wien, Universitätsstraße 7), Erdgeschoß, Stiege III
PC-Raum 2 des ZID
NIG (1010 Wien, Universitätsstraße 7), 1. Stock, Stiege I
Hörsaal 3 des Neuen Institutsgebäudes
NIG (1010 Wien, Universitätsstraße 7), Erdgeschoß, Stiege I
Dauer:
Inhalt:
Textverarbeitung
MS-Word für Windows – Einführung
Neueinsteiger im Bereich Textverarbeitung,
die Word verwenden wollen, um ihre Texte
(Briefe, Seminararbeiten, ...) zu erfassen
Voraussetzung: EDV-Grundkenntnisse bzw. Kurs Arbeiten
mit MS-Windows – Einführung
Ort:
Preis:
Zielgruppe:
Teilnehmer:
Termin
09.10.2002
6 Stunden (1 Tag)
Word-Arbeitsoberfläche / Erstes Dokument
/ Formatierungsmöglichkeiten / Seitengestaltung / Drucken
Kursraum B
e 30,– für Studierende
e 60,– für Mitarbeiter
e 90,– für Externe
maximal 16
| Zeit
| Anmeldefrist
| 09.00 – 16.00 h | 24.06.02 – 27.09.02
Comment 02 / 2
WINDOWS-ANWENDER
42
Anhang
MS-Word für Windows – Fortsetzung
Zielgruppe:
PC-Benutzer, die grundlegende Word-Kenntnisse besitzen und zusätzliche Möglichkeiten
erlernen und nützen wollen
Voraussetzung: Kurse Arbeiten mit MS-Windows und MSWord für Windows – Einführung
Dauer:
6 Stunden (1 Tag)
Inhalt:
Tabellen / Seriendruck / Formatvorlagen /
Verknüpfung mit anderen Programmen
Ort:
Kursraum B
e 30,– für Studierende
Preis:
e 60,– für Mitarbeiter
e 90,– für Externe
Teilnehmer:
maximal 16
Termin
| Zeit
| Anmeldefrist
15.10.2002
| 09.00 – 16.00 h | 09.09.02 – 04.10.02
12.11.2002
| 09.00 – 16.00 h | 14.10.02 – 25.10.02
Wissenschaftliches Arbeiten mit
MS-Word für Windows
Zielgruppe:
Word-Benutzer, die wissenschaftliche Arbeiten (z.B. Diplomarbeiten) erstellen wollen
Voraussetzung: Beherrschen der Word-Grundlagen (siehe
Kurse MS-Word für Windows – Einf. & Forts.)
Dauer:
6 Stunden (1 Tag)
Zentraldokument – Filialdokument / VerInhalt:
zeichnisse erstellen / Fußnoten einfügen
und bearbeiten / Kopf- und Fußzeilen einfügen und gestalten / Excel-Tabellen einfügen
Ort:
Kursraum B
e 30,– für Studierende
Preis:
e 60,– für Mitarbeiter
e 90,– für Externe
Teilnehmer:
maximal 10
Termin
| Zeit
| Anmeldefrist
13.11.2002
| 09.00 – 16.00 h | 14.10.02 – 25.10.02
Tabellenkalkulation
MS-Excel – Einführung
| Zeit
| Anmeldefrist
| 09.00 – 16.00 h | 09.09.02 – 04.10.02
| 09.00 – 16.00 h | 21.10.02 – 15.11.02
MS-Excel – Fortsetzung
Zielgruppe:
Erfahrene Excel-Anwender, die an komplexeren Berechnungen bzw. an weiteren
Funktionen interessiert sind
Voraussetzung: EDV-Grundkenntnisse bzw. Kurse Arbeiten
mit MS-Windows – Einführung und MS-Excel
– Einführung
Dauer:
6 Stunden (1 Tag)
Inhalt:
Anpassen der Arbeitsoberfläche / Komplexe Berechnungen / Arbeitsmappen verknüpfen / Mustervorlagen und Formulare
Ort:
Kursraum B
e 30,– für Studierende
Preis:
e 60,– für Mitarbeiter
e 90,– für Externe
Teilnehmer:
maximal 16
Termin
| Zeit
| Anmeldefrist
17.10.2002
| 09.00 – 16.00 h | 09.09.02 – 04.10.02
26.11.2002
| 09.00 – 16.00 h | 21.10.02 – 15.11.02
MS-Excel – Datenanalyse
Zielgruppe:
Excel-erfahrene PC-Benutzer, die Excel-Daten verwalten, analysieren und filtern wollen
Voraussetzung: Beherrschen der Excel-Grundlagen (Kurse
MS-Excel – Einführung und Fortsetzung)
Dauer:
6 Stunden (1 Tag)
Listen verwalten / Tabellenblätter gliedern /
Inhalt:
Pivot-Tabelle / Aufgaben automatisieren
Ort:
Kursraum A
e 30,– für Studierende
Preis:
e 60,– für Mitarbeiter
e 90,– für Externe
Teilnehmer:
maximal 10
Termin
| Zeit
| Anmeldefrist
04.12.2002
| 09.00 – 16.00 h | 04.11.02 – 22.11.02
Zielgruppe:
Comment 02 / 2
Neueinsteiger im Bereich Tabellenkalkulation, die mit Excel Berechnungen erfassen,
modifizieren und grafisch darstellen wollen
Voraussetzung: EDV-Grundkenntnisse bzw. Kurs Arbeiten
mit MS-Windows – Einführung
Dauer:
6 Stunden (1 Tag)
Inhalt:
Excel-Arbeitsoberfläche / Arbeiten mit
Arbeitsmappen und Tabellenblättern / Erstellen einfacher Tabellen / Formatierungsmöglichkeiten / Diagramm erstellen und
bearbeiten / Drucken
Ort:
Kursraum B
e 30,– für Studierende
Preis:
e 60,– für Mitarbeiter
e 90,– für Externe
Teilnehmer:
maximal 16
Termin
16.10.2002
25.11.2002
Datenbanken
MS-Access für Windows – Einführung
Zielgruppe:
Neueinsteiger, die eine Datenbank mit MSAccess für Windows selbständig anlegen
und verwalten wollen
Voraussetzung: EDV-Grundkenntnisse bzw. Kurs Arbeiten
mit MS -Windows – Einführung
Dauer:
12 Stunden (2 Tage)
Inhalt:
Datenbankgrundlagen / Erstellen eines Tabellenentwurfs / Arbeiten mit Tabellen /
Abfragen / Erstellen von Formularen / Berichte / Drucken / Einfache Makros
Anhang
Ort:
1. Termin: Kursraum B
2. Termin: Kursraum A
e 60,– für Studierende
Preis:
e 120,– für Mitarbeiter
e 180,– für Externe
Teilnehmer:
maximal 16
Termin
| Zeit
| Anmeldefrist
03.10. – 04.10.02 | 09.00 – 16.00 h | 24.06.02 – 20.09.02
25.11. – 26.11.02 | 09.00 – 16.00 h | 21.10.02 – 15.11.02
MS-Access für Windows – Fortsetzung
Zielgruppe:
PC-Benutzer, die ihre Access-Kenntnisse
vertiefen wollen
Voraussetzung: Kurse Arbeiten mit MS -Windows und MSAccess für Windows – Einführung
Dauer:
12 Stunden (2 Tage)
Datenbankdesign und -pflege / Tabellen einInhalt:
binden / Abfragen / Automatisieren von Arbeitsabläufen mittels Makroprogrammierung
Ort:
Kursraum A
e 60,– für Studierende
Preis:
e 120,– für Mitarbeiter
e 180,– für Externe
Teilnehmer:
maximal 16
Termin
| Zeit
| Anmeldefrist
16.10. – 17.10.02 | 09.00 – 16.00 h | 09.09.02 – 04.10.02
MS-Access für Windows – Makroprogrammierung
Zielgruppe:
Diverse Applikationen
SPSS – Einführung
Zielgruppe:
PC-Benutzer, die das Statistikprogramm
SPSS unter Windows einsetzen wollen
Voraussetzung: EDV-Grundkenntnisse bzw. Kurs Arbeiten
mit MS -Windows – Einführung
Dauer:
12 Stunden (2 Tage)
Fragebogenerstellung / Dateneditor / DatenInhalt:
transformation / Datenselektion / Ausgewählte statistische Verfahren / Grafiken
Ort:
Kursraum B
e 60,– für Studierende
Preis:
e 120,– für Mitarbeiter
e 180,– für Externe
Teilnehmer:
maximal 12
Termin
| Zeit
| Anmeldefrist
24.10. – 25.10.02 | 09.00 – 16.00 h | 09.09.02 – 04.10.02
12.12. – 13.12.02 | 09.00 – 16.00 h | 11.11.02 – 29.11.02
Adobe Photoshop – Einführung
Zielgruppe:
PC-Benutzer, die mit einem professionellen
Programm Bilder bearbeiten wollen
Voraussetzung: EDV-Grundkenntnisse bzw. Kurs Arbeiten
mit MS -Windows – Einführung
Dauer:
6 Stunden (1 Tag)
Inhalt:
Photoshop-Arbeitsoberfläche / Bildbearbeitung / Ebenen und Filtereffekte / Text erzeugen & bearbeiten / Bilder importieren,
scannen, ins Web exportieren / Drucken
Ort:
Kursraum A
e 30,– für Studierende
Preis:
e 60,– für Mitarbeiter
e 90,– für Externe
Teilnehmer:
maximal 16
Termin
| Zeit
| Anmeldefrist
24.10.2002
| 09.00 – 16.00 h | 09.09.02 – 04.10.02
03.12.2002
| 09.00 – 16.00 h | 04.11.02 – 22.11.02
Adobe Photoshop für Webgrafiken
Zielgruppe:
Benutzer, die mit Adobe Photoshop für die
Publikation im Web gedachte Grafiken bearbeiten und optimieren möchten
Voraussetzung: Kurs Adobe Photoshop – Einführung oder
gleichwertige Kenntnisse
Dauer:
6 Stunden (1 Tag)
Inhalt:
Grundlagen / Photoshop- & ImageReadyVoreinstellungen / Geeignete Dateiformate
fürs Web (GIF, JPG) / Bildoptimierung fürs
Web / Arbeiten mit der Palette Optimieren /
Optimierte Bilder speichern / HTML-Codes
kopieren / Textgestaltung / Textattribute
definieren / Formatierungsmöglichkeiten /
Rollovers erzeugen und gestalten / Ausgabe
des HTML-Codes / Animationen & Slices /
Arbeiten mit Benutzer-Slices / Slice-Typ
definieren / Slices fürs Web optimieren /
Imagemaps
Ort:
Kursraum A
e 30,– für Studierende
Preis:
e 60,– für Mitarbeiter
e 90,– für Externe
Comment 02 / 2
Anwender, die die Makrosprache, Menüs,
Symbolleisten und die Startoptionen von
MS-Access gezielt einsetzen wollen, um
Access -Datenbanken benutzerfreundlicher
bzw. leistungsstärker zu machen
Voraussetzung: Kurs MS-Access für Windows – Fortsetzung
oder gleichwertige Vorkenntnisse
Dauer:
6 Stunden (1 Tag)
Erstellen eines einfachen Makros / Erstellen
Inhalt:
benutzerdefinierter Menüs und Symbolleisten zum Ausführen von Makros / Die
Startoptionen von Access / Das Makro Autoexec / Einbinden von Makros in Formulare /
Erstellen komplexerer Makros / Einsatzmöglichkeiten und Beispiele von Makros
Ort:
Kursraum A
e 30,– für Studierende
Preis:
e 60,– für Mitarbeiter
e 90,– für Externe
Teilnehmer:
maximal 16
Termin
| Zeit
| Anmeldefrist
22.11.2002
| 09.00 – 16.00 h | 21.10.02 – 08.11.02
43
44
Anhang
Teilnehmer:
Termin
16.12.2002
maximal 16
| Zeit
| Anmeldefrist
| 09.00 – 16.00 h | 18.11.02 – 06.12.02
| Zeit
| Anmeldefrist
| 09.00 – 16.00 h | 21.10.02 – 15.11.02
MS-PowerPoint – Einführung
UNIX-ANWENDER
Zielgruppe:
Einführung in die Anwendung von Unix
PC-Benutzer, die Folien bzw. Bildschirmpräsentationen für Vorträge, Seminararbeiten etc. erstellen wollen
Voraussetzung: EDV-Grundkenntnisse bzw. Kurs Arbeiten
mit MS-Windows – Einführung
Dauer:
6 Stunden (1 Tag)
Inhalt:
PowerPoint-Arbeitsoberfläche / Texteingabe und Korrektur / Grafik und Text /
Drucken / Animierter Text
Ort:
Kursraum B
e 30,– für Studierende
Preis:
e 60,– für Mitarbeiter
e 90,– für Externe
Teilnehmer:
maximal 16
Termin
| Zeit
| Anmeldefrist
07.10.2002
| 09.00 – 16.00 h | 24.06.02 – 27.09.02
05.11.2002
| 09.00 – 16.00 h | 07.10.02 – 25.10.02
Zielgruppe:
alle Benutzer, die als Anwender auf UnixSystemen arbeiten möchten
Voraussetzung: EDV-Grundkenntnisse
Dauer:
12 Stunden (3 Halbtage)
Inhalt:
Betriebssystem Unix / Einfache Befehle /
Dateisystem / Editor / Shell / Prozesse
Ort:
Kursraum B
e 30,- für Studierende und Mitarbeiter
Preis:
e 45,- für Externe
Teilnehmer:
maximal 16
Termin
| Zeit
| Anmeldefrist
18.11. – 20.11.02 | 12.00 – 16.00 h | 21.10.02 – 08.11.02
INTERNET
MS-PowerPoint – Fortsetzung
Einführung in das Erstellen von Webpages – Teil 1
Zielgruppe:
Zielgruppe:
PowerPoint-Anwender, die ihre Fähigkeiten
in der Gestaltung von PowerPoint-Folien erweitern wollen
Voraussetzung: Kurse Arbeiten mit MS-Windows – Einführung und MS-PowerPoint – Einführung
Dauer:
6 Stunden (1 Tag)
Inhalt:
Die zielgruppenorientierte Präsentation /
Einfügen von Fremddaten (-objekten) /
Handzettel und Notizzettel / Animationsmöglichkeiten / Veröffentlichen im WWW /
Folien aus einer Gliederung erstellen
Ort:
Kursraum B
e 30,– für Studierende
Preis:
e 60,– für Mitarbeiter
e 90,– für Externe
Teilnehmer:
maximal 16
Termin
| Zeit
| Anmeldefrist
21.11.2002
| 09.00 – 16.00 h | 21.10.02 – 08.11.02
Adobe Acrobat
Zielgruppe:
Comment 02 / 2
Termin
27.11.2002
PC-Benutzer, die PDF-Dokumente erstellen, verwenden und bearbeiten wollen
Voraussetzung: EDV-Grundkenntnisse bzw. Kurs Arbeiten
mit MS-Windows – Einführung
Dauer:
6 Stunden (1 Tag)
Inhalt:
Acrobat Programmpaket und Komponenten
/ Erstellen und Bearbeiten von PDF-Dateien
Ort:
Kursraum A
e 30,– für Studierende
Preis:
e 60,– für Mitarbeiter
e 90,– für Externe
Teilnehmer:
maximal 16
Anwender, die eigene Webpages erstellen
möchten
Voraussetzung: EDV-Grundkenntnisse
Dauer:
ca. 2,5 Stunden
Inhalt:
Grundlagen / Erste Schritte / Die Strukturierte Webpage / Webpage auf Server kopieren
Ort:
Hörsaal 3
Preis:
kostenlos
unbeschränkt; keine Anmeldung erforderlich
Teilnehmer:
Termin
| Zeit
| Anmeldefrist
11.10.2002
| 12.30 – 15.00 h | keine Anmeldung
Einführung in das Erstellen von Webpages – Teil 2
Zielgruppe:
Anwender, die Webpages erstellen wollen
Voraussetzung: EDV-Grundkenntnisse und Einführung in
das Erstellen von Webpages – Teil 1
Dauer:
ca. 2,5 Stunden
Inhalt:
Tabellen / Frames (Aufbau und Aussehen) /
Interaktive Grafiken / Einbinden von JavaApplets
Ort:
Hörsaal 3
Preis:
kostenlos
unbeschränkt; keine Anmeldung erforderlich
Teilnehmer:
Termin
| Zeit
| Anmeldefrist
18.10.2002
| 12.30 – 15.00 h | keine Anmeldung
Einführung in das Erstellen von Webpages – Teil 3
(HTML-Workshop)
Zielgruppe:
PC-Benutzer, die eigene Webpages erstellen und professionell formatieren wollen
Anhang
Voraussetzung: EDV-Grundkenntnisse (Kurs Arbeiten mit
MS -Windows – Einführung), Einführung in
das Erstellen von Webpages – Teil 1 & 2
Dauer:
6 Stunden (1 Tag)
Erstellen von HTML-Seiten mit einem TextInhalt:
editor / Formatieren erfaßter Texte / Strukturieren von HTML-Seiten / Tabellen / Grafik
Ort:
Kursraum A
e 30,– für Studierende
Preis:
e 60,– für Mitarbeiter
e 90,– für Externe
Teilnehmer:
maximal 16
Termin
| Zeit
| Anmeldefrist
28.10.2002
| 09.00 – 16.00 h | 16.09.02 – 18.10.02
MS-Frontpage
Anwender, die Frontpage 2000 zur Erstellung von Webpages einsetzen möchten
Voraussetzung: EDV-Grundkenntnisse bzw. Kurs Arbeiten
mit MS-Windows – Einführung
Dauer:
6 Stunden (1 Tag)
Frontpage Editor & Explorer / Grundlagen
Inhalt:
Webseitengestaltung / Bilder/Grafiken einfügen / Verweise – Hyperlinks / Frame-Seiten /
Webseiten veröffentlichen / Projektverwaltung und -planung / Gestaltungsprinzipien
Ort:
Kursraum B
e 30,– für Studierende
Preis:
e 60,– für Mitarbeiter
e 90,– für Externe
Teilnehmer:
maximal 16
Termin
| Zeit
| Anmeldefrist
31.10.2002
| 9.00 – 16.00 h | 16.09.02 – 18.10.02
45
Praxis im Umgang mit Hardware haben. Es
soll jenes Wissen vermittelt werden, das für
folgende Aufgaben erforderlich ist:
● einfache Fehlersuche/-behebung
● Aus- und Umbau des Rechners
● Auswahl neuer PCs
Voraussetzung: gute EDV-Grundkenntnisse
Dauer:
6 Stunden (1 Tag)
Inhalt:
Die Komponenten des PCs / Funktion und
Zusammenspiel der Komponenten
Ort:
Kursraum B
e 30,– für Studierende
Preis:
e 60,– für Mitarbeiter
e 90,– für Externe
Teilnehmer:
maximal 10
Termin
| Zeit
| Anmeldefrist
14.11.2002
| 09.00 – 16.00 h | 14.10.02 – 25.10.02
Zielgruppe:
Webdesign – Konzeption und Gestaltung
Zielgruppe:
SYSTEMBETREUUNG
Hardware-Grundlagen
Zielgruppe:
Systemadministratoren, die im Bereich der
Software bereits erfahren sind, aber wenig
Zielgruppe:
Systemadministratoren, die Rechner mit Zugang zum Datennetz betreuen und Hintergrundwissen über Aufbau und Arbeitsweise
von Netzwerken erwerben wollen
Voraussetzung: EDV-Grundkenntnisse
Dauer:
6 Stunden (1 Tag)
Inhalt:
Einführung und Überblick: LANs, WANs,
Internet / Übertragungsmedien / LAN-Topologien / OSI Layer / 802 Standards / Media Access / Ethernet, FastEthernet, Netzwerkkarten / Repeater, Hubs, Bridges und
Switches / TCP/IP, IP-Adressen, DHCP / Betriebssystem -Tools für Fehlersuche /
Namensauflösung mit DNS / Server (NetBIOS) Name Resolution / Grundlagen über
Firewalls
Ort:
Kursraum B
e 30,– für Studierende
Preis:
e 60,– für Mitarbeiter
e 90,– für Externe
Teilnehmer:
maximal 10
Termin
| Zeit
| Anmeldefrist
06.11.2002
| 09.00 – 16.00 h | 07.10.02 – 25.10.02
Windows XP Professional – Systembetreuung
Zielgruppe:
Benutzer, die eine Windows XP Professional Workstation installieren und konfigurieren, Benutzer verwalten und Internetzugang einrichten wollen
Voraussetzung: EDV-Grundkenntnisse (Ordner, Laufwerke,
Oberfläche)
Dauer:
12 Stunden (2 Tage)
Inhalt:
Netzwerkgrundlagen / Hardwaregrundlagen / Installation / Systemverwaltung /
Windows XP-Benutzeroberfläche / Lokale
Benutzerverwaltung und Gruppenricht-
Comment 02 / 2
PC-Benutzer, die ein umfangreiches Informationsangebot gestalten und betreuen wollen
Voraussetzung: Erfahrung im Erstellen von Webpages
Dauer:
12 Stunden (2 Tage)
Die menschliche Wahrnehmung / StrukInhalt:
turierung des Informationsmaterials / Gestaltungsprinzipien / Konsistenz & Lesbarkeit /
Einsatz von Grafiken / HTML-Validierung
Ort:
Kursraum A
e 60,– für Studierende
Preis:
e 120,– für Mitarbeiter
e 180,– für Externe
Teilnehmer:
maximal 12
Termin
| Zeit
| Anmeldefrist
04.11. – 05.11.02 | 9.00 – 16.00 h | 07.10.02 – 25.10.02
Netzwerk-Grundlagen
46
Anhang
linien / Datei und Druckerfreigabe / Datenträgerverwaltung / Systemüberwachung
und -pflege
Ort:
Kursraum B
e 130,– für Studierende und Mitarbeiter
Preis:
e 195,– für Externe
Teilnehmer:
maximal 10
Termin
| Zeit
| Anmeldefrist
27.11. – 28.11.02 | 09.00 – 16.00 h | 21.10.02 – 15.11.02
Windows 2000 Server –
Systemadministration und Installation
Zielgruppe:
Benutzer, die Windows 2000 Server installieren und konfigurieren, Benutzer verwalten und Clients anbinden wollen
Voraussetzung: Systemadministrationskenntnisse, Grundlagen Netzwerke
Dauer:
18 Stunden (3 Tage)
Inhalt:
Überblick Betriebssystem Windows 2000 /
Überblick Hardware / Partitionieren / Dateisysteme / Grundlagen und Installation des
DNS-Dienstes / Active Directory Service /
Berechtigungen und Objektverwaltung
Ort:
Kursraum B
e 220,– für Studierende und Mitarbeiter
Preis:
e 330,– für Externe
Teilnehmer:
maximal 8
Termin
| Zeit
| Anmeldefrist
21.10. – 23.10.02 | 9.00 – 16.00 h | 09.09.02 – 04.10.02
PROGRAMMIERUNG
erwerben wollen
Voraussetzung: Einführung in das Programmieren – Teil 1
Dauer:
ca. 3 Stunden
Zeichenketten / Werte, Operatoren, VariaInhalt:
blen / Bedingungen und Entscheidungen /
Schleifen / Prozeduren / Objektorientierte
Programmierung
Ort:
Hörsaal 3 (NIG)
Preis:
kostenlos
unbeschränkt; keine Anmeldung erforderlich
Teilnehmer:
Termin
| Zeit
| Anmeldefrist
08.11.2002
| 12.30 – 15.30 h | keine Anmeldung
Einführung in das Programmieren mit VBA
Zielgruppe:
Anwender, die die Programmiersprache VBA
(Visual Basic for Applications) erlernen
möchten, um Makros für MS-Office-Programme schreiben zu können
Voraussetzung: Einführung in das Programmieren – Teil 1 &
Teil 2
Dauer:
ca. 3 Stunden
Die VBA-Programmierumgebung / BehandInhalt:
lung syntaktischer Fehler / Vorstellung und
Beschreibung diverser einfacher Programme
/ Testen und Fehlersuche bei der Programmerstellung / Anwendungsbeispiel für die Programmierung von MS-Word / Anwendungsbeispiel für die Programmierung von MSExcel / Fehlerbehandlung
Ort:
Hörsaal 3 (NIG)
kostenlos
Preis:
Teilnehmer:
unbeschränkt; keine Anmeldung erforderlich
Termin
| Zeit
| Anmeldefrist
15.11.2002
| 12.30 – 15.30 h | keine Anmeldung
Einführung in das Programmieren – Teil 1
Comment 02 / 2
Zielgruppe:
Anwender, die grundlegende Kenntnisse
zum Erlernen einer Programmiersprache
erwerben wollen
Voraussetzung: EDV-Grundkenntnisse
Dauer:
ca. 3 Stunden
Inhalt:
Was ist Programmieren? / Überblick Programmiersprachen / Arbeitsschritte beim
Programmieren / Struktogramme bzw. Programmablaufpläne / Vom Programmablaufplan zum Programm
Ort:
Hörsaal 3 (NIG)
Preis:
kostenlos
unbeschränkt; keine Anmeldung erforderlich
Teilnehmer:
Termin
| Zeit
| Anmeldefrist
25.10.2002
| 12.30 – 15.30 h | keine Anmeldung
Einführung in das Programmieren – Teil 2
Zielgruppe:
Anwender, die grundlegende Kenntnisse
zum Erlernen einer Programmiersprache
Einführung in das Programmieren mit Perl
Zielgruppe:
Anwender, die die Programmiersprache Perl
mit Schwerpunkt CGI-Programmierung erlernen möchten
Voraussetzung: Einführung in das Programmieren – Teil 1 &
Teil 2
Dauer:
ca. 3 Stunden
Inhalt:
Die Perl-Programmierumgebung / Der PerlInterpreter und seine Parameter / Behandlung syntaktischer Fehler / Vorstellung und
Beschreibung diverser einfacher Programme
/ Testen und Fehlersuche bei der Programmerstellung / Erstellen einer einfachen servergesteuerten HTML-Datei / Übernahme und
Auswertung von Formulardaten
Ort:
Hörsaal 3 (NIG)
Preis:
kostenlos
unbeschränkt; keine Anmeldung erforderlich
Teilnehmer:
Termin
| Zeit
| Anmeldefrist
22.11.2002
| 12.30 – 15.30 h | keine Anmeldung
Anhang
Programmieren von Office-Makros mit VBA
(Workshop)
Programmieren von CGIs mit Perl
(Workshop)
Zielgruppe:
Zielgruppe:
Anwender, die die Programmiersprache
VBA (Visual Basic for Applications) erlernen möchten, um Makros für MS-OfficeProgramme schreiben zu können
Voraussetzung: Vorträge Einführung in das Programmieren – Teil 1 & 2 und Einführung in das
Programmieren mit VBA
Dauer:
5 x 2 Stunden (donnerstags)
Vertiefung der VBA-Kenntnisse / gemeinsaInhalt:
me und selbständige Entwicklung kleinerer
Programme / Erstellen und Austesten von
Office-Makros / Fehlerbehandlung / Besprechung und Korrektur der gelösten Beispiele
Ablauf:
ständige Betreuung durch Trainer während
des Workshops / Lösen von Aufgaben zwischen den Workshops (dabei kann Beratung durch Trainer per eMail in Anspruch
genommen werden)
Ort:
Kursraum A
e 70,– für Studierende
Preis:
e 140,– für Mitarbeiter
e 210,– für Externe
Teilnehmer:
maximal 16
Termin
| Zeit
| Anmeldefrist
28.11. – 19.12.02 |16.30 – 18.30 h | 04.11.02 – 15.11.02
47
Anwender, die die Programmierung von
CGI-Skripts unter Einsatz der Programmiersprache Perl erlernen möchten
Voraussetzung: Vorträge Einführung in das Programmieren
– Teil 1 & 2 und Einführung in das Programmieren mit Perl
Dauer:
5 x 2 Stunden (dienstags)
Inhalt:
Vertiefung der Perl-Kenntnisse / gemeinsame und selbständige Entwicklung kleinerer Programme / Die CGI-Schnittstelle von
Perl / Wichtige Perl-Packages / Behandlung
von Fehlern / Besprechung und Korrektur
der gelösten Beispiele
Ablauf:
ständige Betreuung durch Trainer während
des Workshops / Lösen von Aufgaben zwischen den Workshops (dabei kann Beratung durch Trainer per eMail in Anspruch
genommen werden)
Ort:
Kursraum A
e 70,– für Studierende
Preis:
e 140,– für Mitarbeiter
e 210,– für Externe
Teilnehmer:
maximal 16
Termin
| Zeit
| Anmeldefrist
26.11. – 17.12.02 |16.30 – 18.30 h | 04.11.02 – 15.11.02
Einführung in die Verwendung der PC-Räume
Dieser Vortrag ist kostenlos zugänglich und behandelt u.a. folgende Themen:
●
●
●
●
●
Welche EDV-Services kann ich als Studierender nutzen ?
Wo kann ich mich dafür anmelden ?
Wie kann ich in den PC-Räumen
– arbeiten (Login/Logout),
– abspeichern (Laufwerk- & Plattenplatzverwaltung),
– drucken ?
Welche Programme und Dienste stehen zur Verfügung ?
Wo finde ich Unterstützung, Beratung und weitere
Informationsquellen ?
Termine im Neuen Institutsgebäude:
Termin im Universitätszentrum Althanstraße:
PC-Raum 2D558 (UZA II, Althanstraße 14, 1090 Wien; Spange D, Ebene 5)
Donnerstag, 24. Oktober 2002, 9.00 Uhr (s.t.) bis ca. 10.30 Uhr
Platzreservierung erforderlich: Mo – Fr 9 – 17 Uhr, Tel.: 4277-14060
oder im Service- & Beratungszentrum (NIG, Stiege II, 1. Stock)
Comment 02 / 2
PC-Raum 2 ( NIG, Universitätsstraße 7, 1010 Wien; Stiege I, 1. Stock )
Montag, 30. September 2002, 9.00 Uhr (s.t.) bis ca. 10.30 Uhr
Freitag,
4. Oktober 2002, 9.00 Uhr (s.t.) bis ca. 10.30 Uhr
Dienstag,
8. Oktober 2002, 9.00 Uhr (s.t.) bis ca. 10.30 Uhr
Mittwoch, 16. Oktober 2002, 9.00 Uhr (s.t.) bis ca. 10.30 Uhr
48
Anhang
INFORMATIONSVERANSTALTUNGEN
Die folgenden Vorträge finden im Hörsaal 3 des Neuen Institutsgebäudes (NIG, 1010 Wien, Universitätsstraße 7,
Stiege I, Erdgeschoß) statt und sind kostenlos zugänglich.
Einführung in das Erstellen von Webpages (HTML), Teil 1 & 2
Termine:
Dauer:
Teil 1: Freitag, 11. Oktober 2002, 12.30 Uhr (s.t.)
Teil 2: Freitag, 18. Oktober 2002, 12.30 Uhr (s.t.)
jeweils ca. 2,5 Stunden
Diese beiden Vorträge richten sich an alle Benutzer, die eigene Webpages erstellen möchten. Es werden nicht nur alle
wichtigen Elemente von HTML besprochen, sondern auch allgemeine Richtlinien für die Erstellung von Webpages gegeben, die Vorgangsweise bei der Veröffentlichung der Seiten erläutert und einige HTML -Editoren vorgestellt.
Einführung in das Programmieren, Teil 1 & 2
Termine:
Dauer:
Teil 1: Freitag, 25. Oktober 2002, 12.30 Uhr (s.t.)
Teil 2: Freitag, 8. November 2002, 12.30 Uhr (s.t.)
jeweils ca. 2,5 Stunden
Diese Vorträge sind für Anwender gedacht, die das Programmieren erlernen wollen. Dabei werden sie mit den dafür
erforderlichen Grundlagen – jedoch nicht auf Basis einer konkreten Programmiersprache – vertraut gemacht. Es werden
die Grundelemente gängiger Programmiersprachen vorgestellt und die Arbeitsschritte beim Programmieren erläutert.
Ferner wird ein Überblick über die gebräuchlichsten Programmiersprachen geboten.
Einführung in das Programmieren mit VBA
Termin:
Dauer:
Freitag, 15. November 2002, 12.30 Uhr (s.t.)
ca. 3 Stunden
Als Fortsetzung zu den beiden Vorträgen Einführung in das Programmieren, Teil 1 & 2 werden die Teilnehmer mit der
Umsetzung von Programmieraufgaben in VBA (Visual Basic for Applications) vertraut gemacht. Visual Basic for Applications bietet dem Anwender die Möglichkeit, Makros zu MS-Office-Produkten (wie Word, Excel oder Access) zu entwickeln, die diese Pakete um neue Funktionalitäten erweitern und besser an die persönlichen Bedürfnisse anpassen.
Einführung in das Programmieren mit Perl
Termin:
Dauer:
Freitag, 22. November 2002, 12.30 Uhr (s.t.)
ca. 3 Stunden
Comment 02 / 2
Ebenfalls aufbauend auf die beiden Vorträge Einführung in das Programmieren, Teil 1 & 2 wird in dieser Veranstaltung
Perl, eine weitverbreitete und sehr leistungsfähige Programmiersprache, vorgestellt. In diesem Vortrag liegt der Schwerpunkt auf der Erstellung von CGI-Skripts, wie sie z.B. für dynamisch generierte HTML -Seiten oder für die Übernahme
und Auswertung von Daten, die in ein Web-Formular eingegeben wurden, benötigt werden.
Hinter den Kulissen von eMail
Termin:
Dauer:
Freitag, 29. November 2002, 12.30 Uhr (s.t.)
ca. 2 Stunden
Diese Veranstaltung bietet für technisch Interessierte Hintergrundinformationen zum Thema Electronic Mail: TransportProtokolle und die Funktionsweise von Mailservern, serverseitiger Virenschutz, warum es keine einfache Lösung des
Spam-Problems gibt und was man trotzdem gegen Spam tun kann.
Anhang
49
HANDBÜCHER
Access 2000 – Automatisierung – Programmierung
e 5,50
●
Access 2000 – Datenbank-Entwickler
e 5,50
●
Access 2000 – Einführung
e 5,50
●
Access 2002 – Automatisierung – Programmierung
e 5,50
●
Access 2002 – Fortgeschrittene Datenbank-Entwickler
e 5,50
●
Access 2002 – Grundlagen für Anwender
e 5,50
●
Access 2002 – Grundlagen für Datenbank-Entwickler
e 5,50
●
Access 97 – Automatisierung – Programmierung
e 5,50
●
Access 97 – Fortsetzung
e 5,50
●
Acrobat
e 4,20
●
Dreamweaver
e 5,50
●
Excel 2000 – Einführung
e 5,50
●
Excel 2000 – Fortgeschrittene
e 5,50
●
Excel 2002 – Automatisierung – Programmierung
e 5,50
●
Excel 2002 – Fortgeschrittene
e 5,50
●
Excel 2002 – Grundlagen
e 5,50
●
Excel 97 – Automatisierung – Programmierung
e 5,50
●
Excel 97 – Einführung
e 5,00
●
Excel 97 – Fortsetzung
e 5,50
●
FrontPage 2002
e 5,00
●
ImageReady 3.0
e 5,50
●
Internet – Einführung
e 5,50
●
Linux – Nutzung mit der grafischen Oberfläche KDE
e 5,50
●
Netzwerke
e 5,00
●
Photoshop – Einführung
e 5,50
●
PowerPoint 2000 – Einführung
e 5,50
●
PowerPoint 2002 – Einführung
e 5,50
●
PowerPoint 2002 – Fortsetzung
e 5,50
●
Publizieren im World Wide Web
e 5,00
●
SPSS für Windows – Einführung
e 4,20
●
UNIX – Einführung
e 4,20
●
Windows 2000 Professional – Einführung
e 5,00
●
Windows 2000 – Sicherheit im Netz
e 5,00
●
Windows ME – Grundlagen für Anwender
e 5,50
●
Windows NT 4.0 – Anwender
e 5,00
●
Windows XP – Grundlagen
e 5,00
●
Word 2000 – Einführung
e 5,50
●
Word 2000 – Fortgeschrittene
e 5,50
●
Word 2002 – Grundlagen
e 5,00
●
Word 2002 – Fortsetzung
e 5,00
Comment 02 / 2
●
Alle hier angeführten Handbücher stammen vom
Regionalen Rechenzentrum für Niedersachsen (RRZN) und sind im
Service- und Beratungszentrum des ZID (NIG, Stg. II, 1. Stock, links; MO – FR 9 – 17 Uhr)
gegen Barzahlung erhältlich.
(Stand: 9. September 2002)
50
Anhang
PERSONAL - & TELEFONVERZEICHNIS
Vermittlung
Fax
Abteilung
Software & Benutzerbetreuung
4277-14001
4277-9140
Direktor des Zentralen Informatikdienstes
Rastl Peter
4277-14011
Zi.B0112
4277-14015
4277-14017
Zi.B0116
Zi.B0116
4277-14016
4277-14018
Zi.B0113
Zi.B0113
Sekretariat
Berschlinghofer Christa
Pulzer Ingrid
Buchhaltung
Deusch Maria
Haumer Claudia
Abteilung
Dezentrale Systeme & Außenstellen
Karlsreiter Peter (Leiter)
Egger Jörg
Marzluf Christian
Osmanovic Richard
Pfeiffer Günter
Römer Alfred
Wienerroither Peter
4277-14131
Zi.D0108
4277-14135
Zi.D0104
4277-14136
Zi.D0110
4277-14132
Zi.D0113
4277-14134 AAKH/2H EG31
4277-14139
Zi.C0028
4277-14138
Zi.D0110
Außenstelle Altes AKH (AAKH),
Spitalgasse 2, 1090 Wien (Fax: 4277-14119):
Hönigsperger Helmuth
4277-14114
Paunzen Ernst
4277-14111
Pechter Karl
4277-14068
Comment 02 / 2
Außenstelle Biochemie,
Dr. Bohr-Gasse 9, 1030 Wien:
Grabner Martin
4277-14141
Haitzinger Robert
4277-14142
2H EG35
2H EG35
2H EG29
6.St.Zi.6108
6.St.Zi.6108
Außenstelle Physik,
Boltzmanngasse 5, 1090 Wien (Fax: 4277-9141):
Kind Mario
4277-14101
2.St.Zi.3227
Vrtala Aron
4277-14102
1.St.Zi.3129
Außenstelle UZA,
Althanstraße 14, 1090 Wien:
Dempf Stefan
4277-14151 UZA I/Zi.2.260
Doppelhofer Johann
4277-14152 UZA I/Zi.2.260
Stappler Herbert (Leiter)
Berndl Christoph
Brabec Erich
Brugger Nikolaus
Ertl Lukas
Halpern Erwin
Hurka Franz
Kaider Thomas
Kaltenbrunner Franz
Köberl Dieter
Kunitzky Walter
Ljesevic Nasret
Marksteiner Peter
Mislik Heinrich
Neuwirth Ernst
Platzer Eveline
Potuzak Vera
Pytlik Andreas
Scherzer Horst
Schreiner Willibald
Schwindl Barbara
Stadlmann Uwe
Stampfer Dieter
Staudigl Ralph
Szabo August
Talos Alexander
Zoppoth Elisabeth
4277-14051
4277-14064
4277-14075
4277-14069
4277-14073
4277-14024
4277-14067
4277-14066
4277-14061
4277-14058
4277-14086
4277-14062
4277-14055
4277-14056
4277-14052
4277-14071
4277-14072
4277-14065
4277-14053
4277-14076
4277-14054
4277-14037
4277-14063
4277-14224
4277-14085
4277-14057
4277-14074
Zi.B0110
Zi.C0102A
Zi.D0109
Zi.D0106
Zi.B0117
Zi.D0115
Zi.D0112
Zi.B0120
Zi.C0102A
Zi.D0111
Zi.C0102
Zi.C0102
Zi.B0117
Zi.B0117
Zi.B0115
Zi.C0102B
Zi.B0111
Zi.B0120
Zi.B0115
Zi.D0112
Zi.B0111
Zi.D0111
Zi.B0104
Zi.D0106
Zi.D0109
Zi.B0117
Zi.B0111
Abteilung
Zentrale Systeme & Datennetze
Steinringer Hermann (Leiter)
Adam Achim
Ankner Markus
Bauer Kurt
Bogad Manfred
Cikan Edwin
Domschitz Eduard
Englisch Holger
Faustin Christian
Geicsnek Karin
Gruber Hildegard
Gruber Manfred
Hartwig Günther
Heimhilcher Markus
Hof Markus
4277-14021
4277-14273
4277-14077
4277-14070
4277-14029
4277-14022
4277-14133
4277-14270
4277-14080
4277-14245
4277-14079
4277-14241
4277-14243
4277-14277
4277-14248
Zi.B0108
AAKH, Hof 1
Zi.B0107
Zi.D0105
Zi.B0105
Zi.B0106
Zi.B0104
AAKH, Hof 1
Zi.B0107
Zi.D0114
Zi.D0105
Zi.D0115
Zi.D0117
AAKH, Hof 1
Zi.D0117
Anhang
Hofstetter Mark
Just Stefan
Kiermayr Ulrich
Kunft Walter
Leißer Roman
Michl Harald
Muharemagic Mirza
Panigl Christian
Papst Andreas
Parcalaboiu Paul
Perzi Michael
Pötzl Heinz
Regius Rene
Rosenwirth Thomas
Schaidl Christian
Schirmer Daniel
Schneider Monika
Szvasztics René
Vidovic Dejan
Vogler Martin
Wandler Alexander
Winkler Gerhard
Wöber Wilfried
Zettl Friedrich
Zoder Roland
4277-14275
4277-14080
4277-14104
4277-14031
4277-14026
4277-14078
4277-14272
4277-14032
4277-14036
4277-14246
4277-14078
4277-14023
4277-14242
4277-14025
4277-14026
4277-14277
4277-14048
4277-14271
4277-14027
4277-14113
4277-14244
4277-14035
4277-14033
4277-14041
4277-14276
AAKH, Hof 1
Zi.B0106
Zi.B0105
Zi.D0107
Zi.B0107
Zi.D0105
AAKH, Hof 1
Zi.D0105
AAKH, Hof 1
Zi.D0114
Zi.D0105
Zi.B0102
Zi.D0117
Zi.B0106
Zi.B0107
AAKH, Hof 1
Zi.B0107
AAKH, Hof 1
Zi.B0102
Zi.C0028
Zi.D0114
AAKH, Hof 1
Zi.D0107
Zi.D0113
AAKH, Hof 1
Telefonvermittlung Hauptgebäude
(Dr. Karl Lueger-Ring 1, 1010 Wien)
Drnek Jeanette
Engel Herbert
Erasmus Karl
4277-14313
4277-14315
4277-14311
Feigl Gabriele
Kammerer Jürgen
Kettner Hedwig
Mayr Karl
Sylla-Widon Margaretha
Waba Theodor
Wolf Maria
51
4277-14319
4277-14316
4277-14317
4277-14314
4277-14318
4277-14312
4277-14317
Abteilung Universitätsverwaltung
(Garnisongasse 7/20, 1090 Wien; Fax: 4277-9142)
Riedel-Taschner Harald (Leiter)
Aschauer Johann
Böck Susanne
Dreiseitel Thomas
Filz Michael
Freunschlag Martin
Fuchs Alexander
Hoys Peter
Kauer Josef
Klünger Gerhard
Lackner Herbert
Linhart Leopold
Lohner Gertraud
Pauer-Faulmann Barbara
Payer Markus
Plattner Dieter
Polaschek Martin
Rast Wolfgang
Url Clemens
Zalcmann Erich
4277-14211
4277-14213
4277-14223
4277-14216
4277-14233
4277-14203
4277-14228
4277-14215
4277-14210
4277-14219
4277-14217
4277-14221
4277-14222
4277-14227
4277-14229
4277-14232
4277-14200
4277-14218 AAKH/2H EG31
4277-14220
4277-14226
ÖFFNUNGSZEITEN
(Achtung: An vorlesungsfreien Tagen keine Tutorenbetreuung!)
Service- und Beratungszentrum des ZID
1010 Wien, Universitätsstraße 7 (NIG),
Stg. II, 1. Stock, links
Mo – Fr
9.00 – 17.00
Sekretariat
1010 Wien, Universitätsstraße 7 (NIG), Stg. II, 1. Stock
Außenstelle Physik
1090 Wien, Boltzmanngasse 5
PC-Raum:
Beratungszeiten:
Mo – Fr
Mo – Fr
9.00 – 17.00
10.00 – 12.00
PC-Räume des Zentralen Informatikdienstes (NIG)
1010 Wien, Universitätsstraße 7, Stg. I, 1. Stock
PC-Räume:
Mo – Fr
Sa
Tutorenbetreuung:
Mo – Fr
7.30 – 19.30
8.00 – 13.00
9.00 – 12.00
13.00 – 19.00
PC-Räume des Zentralen Informatikdienstes
(Altes AKH)
1090 Wien, Spitalgasse 2, Hof 7, 1. Stock
PC-Räume:
Mo – Fr
Tutorenbetreuung:
Mo – Fr
8.00 – 20.00
9.00 – 12.00
13.00 – 19.00
Alle Informationen zu den PC-Räumen an Instituten (Standorte, Öffnungszeiten, ...) finden Sie unter
http://www.univie.ac.at/ZID/PC-Raeume/.
Comment 02 / 2
Mo, Mi, Fr 9.00 – 11.00
Di, Do
13.30 – 15.30
PC-Räume
52
Anhang
ANSPRECHPARTNER
In grundsätzlichen Angelegenheiten wenden Sie sich bitte an den Direktor des Zentralen Informatikdienstes
oder an die Abteilungsleiter (siehe Personal- & Telefonverzeichnis, Seite 50).
Service- und Beratungszentrum
als erste Anlaufstelle bei EDV-Problemen und technischen Schwierigkeiten,
für Vermittlung von externen Technikern zur Unterstützung bei Software-Problemen (kostenpflichtig! )
für Vermittlung zu Ansprechpartnern bei speziellen
Problemen,
für Kursanmeldungen, Verwaltung von Comment -Abos
sowie Verkauf von Handbüchern, Netzwerkkarten und
-kabel :
bei Störungen im Datennetz und im Telefonsystem der
Universität Wien oder an einem Rechnersystem des ZID,
bei Problemen mit uniADSL, mit StudentConnect (chello)
oder mit den Wählleitungszugängen der Uni Wien,
für Vergabe von Benutzungsberechtigungen für die
Rechnersysteme und das Backup-Service,
eMail:
[email protected]
Telefon:
4277-14060
Öffnungszeiten:
Mo – Fr 9.00 – 17.00 Uhr
NIG (1010 Wien, Universitätsstraße 7 ), Stg. II, 1. Stock, links
Bei Problemen im Bereich einer Außenstelle
(Außenstellen AAKH, Biochemie, Physik & UZA)
für Kursraumvergabe:
Pechter Karl
4277-14068
bei Fragen zur Standardsoftware:
Wienerroither Peter
4277-14138
stehen Ihnen die Mitarbeiter der jeweiligen Außenstelle zur
Verfügung (siehe Personal- & Telefonverzeichnis, Seite 50).
bei EDV-Problemen im Bereich der Universitätsverwaltung:
Lackner Herbert
4277-14217
für Bewilligungen von a.o. Dotationsanträgen
für EDV-Anschaffungen und bei Fragen zum
EDV-Reparaturfonds:
Rastl Peter
4277-14011
Karlsreiter Peter
4277-14131
für Netzwerkplanung & Gebäudeverkabelung:
Steinringer Hermann 4277-14021
bei Fragen bezüglich des EMBnet-Knotens:
Grabner Martin
4277-14141
bei Fragen zum Telefonsystem der Uni Wien:
eMail:
[email protected]
für Öffentlichkeitsarbeit:
Potuzak Vera
Comment -Redaktion:
Zoppoth Elisabeth
WWW-Redaktion:
Schwindl Barbara
4277-14072
4277-14074
4277-14054
Comment 02 / 2
WÄHLLEITUNGSZUGÄNGE & EMAIL-ADRESSEN
Unet-Wählleitungszugang
07189 14012 Onlinetarif (Regionalzone Wien)
(01) 40122 Normaltarif
Mailbox-Wählleitungszugang
07189 14013 Onlinetarif (Regionalzone Wien)
(01) 42726 Normaltarif
Uni-interner Wählleitungszugang
von einer Uni-Nebenstelle (Tel. 4277)
von einer AKH-Nebenstelle (Tel. 40400)
vom A1 NetWork -Diensthandy (e 0,0654/min.)
14333
88-14333
90-14333
Die Mitarbeiter des Zentralen Informatikdienstes sind unter eMail-Adressen der Form
VORNAME.NACHNAME @UNIVIE.AC.AT erreichbar ( Ausnahme: Lukas Ertl hat die Adresse [email protected] ).
Umlaute sind mit zwei Buchstaben zu schreiben (ö = oe ).
✁
Bitte beachten Sie auch
die umseitigen Hinweise!
Unleserliche, unvollständig ausgefüllte sowie
unzureichend frankierte
Karten können nicht
bearbeitet werden!
Titel, Vorname, Nachname:
Institution:
Institut:
Abteilung:
Adresse:
PLZ, Ort (Telefonnummer):
❍
Ich möchte den Comment abonnieren.
❍
Meine Daten (Name, Adresse) haben
sich geändert.
❍
Bitte schicken Sie mir den Comment
nicht mehr.
❍
Ich benötige regelmäßig mehrere
Exemplare (Anzahl:
Stk.).
vienna
university
computer
center
Zentraler Informatikdienst
der Universität Wien
Universitätsstraße 7
A-1010 Wien
Tel: 4277-14001
Fax: 4277-9140
COMMENT -ABO
Der Comment erscheint ca. alle 4 Monate und wird Interessenten kostenlos zugesandt. Wir ersuchen um Nachricht, falls
●
Ihr Name und/oder Ihre Adresse nicht korrekt angegeben wurden,
●
Sie in unserer Abonnenten-Datenbank noch nicht erfaßt sind, aber den Comment regelmäßig lesen möchten,
●
Sie diese Zeitschrift nicht mehr beziehen wollen,
●
oder falls Sie mehrere Exemplare benötigen.
●
Wir bitten auch alle Institute, uns zu verständigen, falls wir ehemalige Mitarbeiter mit Zusendungen beglücken.
Bitte verwenden Sie die unten abgedruckte Abo-Karte oder kontaktieren Sie unser Service- und Beratungszentrum (NIG,
Stg. II, 1. Stock; Öffnungszeiten: Mo – Fr 9 – 17 Uhr; Tel.: 4277-14060, eMail: [email protected]). Sie können die
Abo-Bestellung auch über ein WWW-Formular durchführen (http://www.univie.ac.at/comment/abo.html). Danke !
✁
Bitte
als Brief
frankieren!
Der Comment, das Mitteilungsblatt des Zentralen Informatikdienstes, erscheint ca. alle 4 Monate und wird an Interessenten
kostenlos abgegeben.
Bitte kreuzen Sie umseitig das Zutreffende an und geben Sie
Ihre Daten vollständig und in lesbaren Blockbuchstaben an. Bei
Änderungen vermerken Sie bitte auch Ihre bisherigen Daten in
Klammern. Die Felder „Institution“, „Institut“ und „Abteilung“
sind nur dann auszufüllen, wenn die Zeitschrift nicht an Ihre
Privatadresse geschickt werden soll. Senden Sie die Karte per
Post oder Fax (4277-9140) an den ZID oder geben Sie diese im
Service- und Beratungszentrum (Stg. II, 1. Stock) ab.
An den
Zentralen Informatikdienst
Service- und Beratungszentrum
Universitätsstraße 7
A-1010 Wien