Bei Netzbetreibern im Bereich Tekekommunikation ist eigentlich ein rund um sie Uhr besetztes Netzmanagenentcrnter üblich. Da werden solche Ausfälle sofort bemerkt und Gegenmaßnahmen eingeleitet. Bei der Telekom gab es schon Fälle, bei denen wurde in die Vermittlungsstelle eingebrochen und zwei Minuten später kamen Meldungen über ausfallende Leitungen. Aus der Erfahrung heraus wurde die Polizei verständigt und die fahren sofort verstärkt die Gegend an. So konnte ein Einbruch in einen Supermarkt verhindert werden. Das war das eigentliche Ziel gewesen, aber die Gegend war tagelang abgeschniiten, bis alles wieder lief.Der Schaden auf der Strecke Emmerich-Oberhausen konnte um 15:15 beseitigt werden, der Verkehr kann wieder normal durchgeführt werden.
geschrieben von: ehemaliger Nutzer
Datum: 07.01.21 12:55
Danke, das ist nun eine klare Ausage, die das Problem nachvollziehbar erläutert. Wobei man schon über eine zweite Leitung oder Backup nachdenken sollte. Es gibt ja nicht nur einen Grenzübergang. Und gleich vorweg, ein Backup ohne dauernde Überwachung bringt nichts. Kunden von mir ließen über die Backupleitung gerne einen gewissen Grundverkehr laufen. So konnte das kostengünstig überwacht werden. Die gaben also einen Teil als Erstweg über das Backup geschickt.Hier noch die Details:
Bei MobiRail (Netzbetreiber GSM-R in den Niederlanden) gab es eine eine MST-Transmissionleitungsstörung in Deutschland. (Vandalismus)
Da sowohl Sprache als auch Signalisierung (Zugnummereingabe) mit den Niederlanden über diese innerdeutsche Leitung verkehren, konnten mit deutschen SIM-Karten versehenen GSM-R-Geräte in den Niederlanden nicht verwendet werden.
Die deutsche Zentrale teilt dem ausländischen Netzbetreiber mit, dass die Karte mit der ID mit der Rufnummer betrieben wird. Die Rufnummer wird nämlich im HLR der Karte zugewiesen. Gerufen wird im Netz die Karte. Die Rufnummer wird umgewandelt.Der Zug meldet sich mit seiner Funktionalen Rufnummer im GSM-R ein.
Diese besteht aus „2“ als Vorwahl, der Zugnummer (5- oder ggf 6-Stellig) und einer Kennziffer (zb 01 für führendes Fahrzeug).
Der entsprechende Nummernblock wird dann als Zugnummer verwendet.
Und im Roaming wählt sich eine deutsche Karte dann wohl über einen deutschen Knoten ein.
geschrieben von: ehemaliger Nutzer
Datum: 07.01.21 13:18
Die öffentlichen Mobilfunknetze sind da anders aufgebaut. Da läuft das über VPN-Tunnel und Internet bzw. Cross-Connector und dazwischen liegen redundante Verbindungen. Das ist aber bei den kleinen GSM-R-Netzen auch eine Kostenfrage.Carsten Frank schrieb:Mich wundert schon, daß das gesamte NL-Roaming eines deutschen Anbieters über ein einziges grenzüberschreitendes Kabel laufen soll. Sind die Mobilfunknetze wirklich in diesem Ausmaß zentralisiert?habe noch was interessantes zur Netzwerksarchitektur im internationalen GSM-R-Roaming gefunden wo genau solch ein Fehler auch beschrieben wird
[gsmr-conference.com]
Dort wird dargestellt wie Verbindungen im Roaming aufgebaut werden.
Außerdem wie die einzelnen nationalen Netze verknüpft sind.
Das soll eigentlich fehlertolerant sein, im Fehlerfall über die Nachbarländer. Es wird genau Fehler NL - D dargestellt, dann sollten sich die Netze „eigentlich“ zb über NL - B - D Verbinden können
Carsten Frank schrieb:Die deutsche Zentrale teilt dem ausländischen Netzbetreiber mit, dass die Karte mit der ID mit der Rufnummer betrieben wird. Die Rufnummer wird nämlich im HLR der Karte zugewiesen. Gerufen wird im Netz die Karte. Die Rufnummer wird umgewandelt.Der Zug meldet sich mit seiner Funktionalen Rufnummer im GSM-R ein.
Diese besteht aus „2“ als Vorwahl, der Zugnummer (5- oder ggf 6-Stellig) und einer Kennziffer (zb 01 für führendes Fahrzeug).
Der entsprechende Nummernblock wird dann als Zugnummer verwendet.
Und im Roaming wählt sich eine deutsche Karte dann wohl über einen deutschen Knoten ein.
Hallo VT605,Wozu braucht es eigentlich noch SIM-Karten ...?
Hallo Sven,Saxobav schrieb:Für die Schlüssel ist eine Abfrage der Gültigkeit aber in Subset-137 ohnehin nicht vorgesehen.Es sind also für mich Szenarien vorstellbar, wo man beim Aufrüsten und beim normalen Betrieb eines ETCS-Fahrzeuges häufiger Kontakt zum KMC benötigt. Nicht für jede MA, aber eben parametrisierbar häufig (damit am Browser das Schloß grün bleibt...).
ich betrachte das KMC als nationale (hier deutsche) Certificate Authority (CA). Dort werden nicht nur Schlüssel ausgegeben und verwaltet, sondern ist als Teil der Publicity Key Infrastructure (PKI) auch die Gültigkeit der herausgegebenen Schlüssel abfragbar. Das ist zumindest bei normaler TLS/SSL-Verschlüsselung so.
geschrieben von: dt8.de
Datum: 07.01.21 19:27
Na ja, ein Backup gibt es ja eigentlich (die Verbindung über Belgien), es hat nur nicht funktioniert. Und hier wird (davon gehe ich einfach mal aus) untersucht werden, warum das nicht funktioniert hat und nachgebessert werden. So läuft das jedenfalls bei uns in der Firma, da habe ich einschlägige Ausfälle schon öfter untersuchen "dürfen" um Vorschläge zur künftigen Vermeidung zu machen. Nur leider war es (zumindest bei uns) immer so, dass Ausfälle nie eine einzige Ursache hatten, sondern immer etwas dazu kam, womit man nicht gerechnet hatte.Philipp Nagl schrieb:Danke, das ist nun eine klare Ausage, die das Problem nachvollziehbar erläutert. Wobei man schon über eine zweite Leitung oder Backup nachdenken sollte. Es gibt ja nicht nur einen Grenzübergang. Und gleich vorweg, ein Backup ohne dauernde Überwachung bringt nichts. Kunden von mir ließen über die Backupleitung gerne einen gewissen Grundverkehr laufen. So konnte das kostengünstig überwacht werden. Die gaben also einen Teil als Erstweg über das Backup geschickt.Hier noch die Details:
Bei MobiRail (Netzbetreiber GSM-R in den Niederlanden) gab es eine eine MST-Transmissionleitungsstörung in Deutschland. (Vandalismus)
Da sowohl Sprache als auch Signalisierung (Zugnummereingabe) mit den Niederlanden über diese innerdeutsche Leitung verkehren, konnten mit deutschen SIM-Karten versehenen GSM-R-Geräte in den Niederlanden nicht verwendet werden.
Es gibt schon eSIM. Die werden zum Teil in Autos eingebaut und meines Wissen haben einige wenige gehobene Smartphones das auch drin. Die können teilweise trotzdem eine Karte aufnehmen und sind damit Dual-SIM. Technisch gibt es das schon länger, allein die Netzbetreiber wollten das nicht haben.Wozu braucht es eigentlich noch SIM-Karten, geht das nicht auch "digital", sprich elektronisch?
Hallo dt8,Saxobav schrieb:Zitat:mal davon abgesehen, dass bei normaler TLS-Verschlüsselung eine zwingende Gültigkeitsüberprüfung nur bei EV-Zertifikaten vorgeschrieben ist, der Rest Einstellungssache des Browsers ist sowie die Überprüfung der Gültigkeit nicht zwingend bei der CA erfolgen muss sondern im Zertifikat hinterlegt ist, hat man dort die Verbindung zur Zertifikatsüberprüfung als Single point of failiure erkannt und daher OCSP-stapling entwickelt. Vereinfacht dargestellt holt sich dort der Zertifikatsinhaber schon vorab die Bestätigung der Gültigkeit und liefert diese dann zusammen aus. So kann dann derjenige, der das Zertifikat überprüfen muss, auf eine sofortige Verbindung zur CA verzichten. Damit sind Verbindungsfehler/Ausfälle bis zur in der Bestätigung angegebenen Länge überbrückbar. Natürlich muss der Zertifikatsnutzer diese Bestätigung öfter erneuern als dessen Gültigkeit (Stunden bis wenige Tage) läuft.ich betrachte das KMC als nationale (hier deutsche) Certificate Authority (CA). Dort werden nicht nur Schlüssel ausgegeben und verwaltet, sondern ist als Teil der Publicity Key Infrastructure (PKI) auch die Gültigkeit der herausgegebenen Schlüssel abfragbar. Das ist zumindest bei normaler TLS/SSL-Verschlüsselung so.
Stop! Ich habe nichts von der Bahn geschrieben, sondern von TLS/SSL allgemein. Ich wollte nur das SSL-Thema richtigstellen bzw. vertiefen. Sollte hierbei der Eindruck entstanden sein, dass das bei der Bahn so sei, dann muss ich das widerrufen! Da ich nicht bei der Bahn bin, weiß ich nichts darüber.dt8.de schrieb:Saxobav schrieb:Hallo dt8,Saxobav schrieb:Zitat:mal davon abgesehen, dass bei normaler TLS-Verschlüsselung eine zwingende Gültigkeitsüberprüfung nur bei EV-Zertifikaten vorgeschrieben ist, der Rest Einstellungssache des Browsers ist sowie die Überprüfung der Gültigkeit nicht zwingend bei der CA erfolgen muss sondern im Zertifikat hinterlegt ist, hat man dort die Verbindung zur Zertifikatsüberprüfung als Single point of failiure erkannt und daher OCSP-stapling entwickelt. Vereinfacht dargestellt holt sich dort der Zertifikatsinhaber schon vorab die Bestätigung der Gültigkeit und liefert diese dann zusammen aus. So kann dann derjenige, der das Zertifikat überprüfen muss, auf eine sofortige Verbindung zur CA verzichten. Damit sind Verbindungsfehler/Ausfälle bis zur in der Bestätigung angegebenen Länge überbrückbar. Natürlich muss der Zertifikatsnutzer diese Bestätigung öfter erneuern als dessen Gültigkeit (Stunden bis wenige Tage) läuft.ich betrachte das KMC als nationale (hier deutsche) Certificate Authority (CA). Dort werden nicht nur Schlüssel ausgegeben und verwaltet, sondern ist als Teil der Publicity Key Infrastructure (PKI) auch die Gültigkeit der herausgegebenen Schlüssel abfragbar. Das ist zumindest bei normaler TLS/SSL-Verschlüsselung so.
danke für die vertiefende Erläuterung der Handhabung bei der Bahn. Ich habe meine Handhabung bei einer größeren Verbund-Firma, wo nicht alles porentief sauber ist, gelernt. Immerhin ist alles IP-basiert. Und so habe ich den öffentlichen Begriff KMC auch eher als Platzhalter für die gesamte Infrastruktur einer CA gesehen.
BaFin sagt mir, dass wir aus derselben Branche sind ;-)Zwischen zwingender Gültigkeitsüberprüfung und fakultativer Benutzung bei Verfügbarkeit liegen auch noch Welten. Nach meiner Erfahrung funktionieren die Wege zur CRL/OCSP-Überprüfung häufig firmenintern nicht (jenseits von Kleingärtnereien). Wenn mal ein Blitz einschlagen würde und man Zertifikate zwangsweise schnell austauschen müßte (Kompromittierung), ist man Handlungsunfähig. Ersatzweise kann natürlich auch eine unbürokratische Überprüfung ins Haus kommen (bei uns BaFin), wo man das dann unter Aufsicht abarbeitet. Vorbereitend ist es eine Sisyphus-Arbeit, die wenig Anerkennung findet.
geschrieben von: Zugsicherer
Datum: 08.01.21 04:28
Historisch würde ich das nicht nennen, sondern aus ETCS-Sicht nagelneu. Subset-137 gibt es erst in Baseline 3 Release 2, also in der letzten ETCS-Version. Vorher gab es nur Offline Key Management nach Subset-114 oder proprietäre Lösungen. Gut, das Dokument trägt als Erstellungsdatum den 17.12.2015, in der HInsicht ist es nicht mehr ganz frisch ...Zugsicherer schrieb:das könnte dann eine historische Spezifik haben.Für die Schlüssel ist eine Abfrage der Gültigkeit aber in Subset-137 ohnehin nicht vorgesehen.
Wie Du schon scheibst, wäre das dann aber kein ETCS mehr.Über die GSM-Transportschicht hinaus können moderne Triebfahrzeuge natürlich IP-Verbindungen (EDGE) haben, die kryptografisch gesichert werden und damit an die KMC-Infrastruktur andocken.
Schöner Fund!Edit: gerade noch was interessantes zur Netzwerksarchitektur gefunden wo genau solch ein Fehler auch beschrieben wird
[gsmr-conference.com]
This forum is powered by Phorum.
Eugenol template is a free semantic and xhtml valid theme for Phorum edited under GPL by PROMOPIXEL.
Dieses Forum ist ein kostenloser Service der Zeitschrift Drehscheibe und von Drehscheibe Online (www.drehscheibe-online.de)