1 Netzwerke
Werbung
Was sind dpunkt.ebooks? Die dpunkt.ebooks sind Publikationen im PDF-Format, die es Ihnen erlauben, Inhalte am Bildschirm zu lesen, gezielt nach Informationen darin zu suchen und Seiten daraus auszudrucken. Sie benötigen zum Ansehen den Acrobat Reader (oder ein anderes adäquates Programm). dpunkt.ebooks koennen Bücher (oder Teile daraus) sein, die es auch in gedruckter Form gibt (bzw. gab und die inzwischen vergriffen sind). (Einen entsprechenden Hinweis auf eine gedruckte Ausgabe finden Sie auf der entsprechenden E-Book-Seite.) Es können aber auch Originalpublikationen sein, die es ausschließlich in E-Book-Form gibt. Diese werden mit der gleichen Sorgfalt und in der gleichen Qualität veröffentlicht, die Sie bereits von gedruckten dpunkt.büchern her kennen. Was darf ich mit dem dpunkt.ebook tun? Die Datei ist nicht kopiergeschützt, kann also für den eigenen Bedarf beliebig kopiert werden. Es ist jedoch nicht gestattet, die Datei weiterzugeben oder für andere zugänglich in Netzwerke zu stellen. Sie erwerben also eine Ein-Personen-Nutzungslizenz. Wenn Sie mehrere Exemplare des gleichen E-Books kaufen, erwerben Sie damit die Lizenz für die entsprechende Anzahl von Nutzern. Um Missbrauch zu reduzieren, haben wir die PDF-Datei mit einer PIN und einem Wasserzeichen (Ihrer E-Mail-Adresse und Ihrer Transaktionsnummer) versehen. Bitte beachten Sie, dass die Inhalte der Datei in jedem Fall dem Copyright des Verlages unterliegen. Wie kann ich dpunkt.ebooks kaufen und bezahlen? Legen Sie die E-Books in den Warenkorb. (Aus technischen Gruenden, können im Warenkorb nur gedruckte Bücher ODER E-Books enthalten sein.) Downloads und E-Books können sie bei dpunkt per Paypal bezahlen. Wenn Sie noch kein Paypal-Konto haben, können Sie dieses in Minutenschnelle einrichten (den entsprechenden Link erhalten Sie während des Bezahlvorgangs) und so über Ihre Kreditkarte oder per Überweisung bezahlen. Wie erhalte ich das dpunkt.ebook? Sobald der Bestell- und Bezahlvorgang abgeschlossen ist, erhalten Sie an die von Ihnen angegebene E-Mail-Adresse eine Bestätigung von Paypal sowie eine E-Mail vom dpunkt.verlag mit dem folgenden Inhalt: • Downloadlinks für die gekauften Dokumente • PINs für die gekauften Dokumente • eine PDF-Rechnung für die Bestellung Die Downloadlinks sind zwei Wochen lang gültig. Die Dokumente selbst sind durch eine PIN geschützt und mit Ihrer E-Mail-Adresse und Ihrer Transaktionsnummer als Wasserzeichen versehen. Wenn es Probleme gibt? Bitte wenden Sie sich bei Problemen an den dpunkt.verlag: [email protected] TCP/IP – Grundlagen und Praxis Gerhard Lienemann arbeitete seit 1991 für etwa 12 Jahre als Netzwerkadministrator in einem produzierenden Betrieb bevor er dann ins technische Management wechselte. Seit dem war er zunächst zuständig für operative Kommunikationssicherheit und übernahm dann zusätzlich die Betreuung eines europäischen Netzwerkteams. In dieser Funktion ist er bis heute tätig. Dirk Larisch hat nach dem Studium der Informatik eine Anstellung bei einem der größten deutschen Buchverlage angetreten. Seit mittlerweile über 23 Jahren ist er im EDV-Bereich zweier Krankenhäuser und bei der größten deutschen Krankenkasse tätig bzw. tätig gewesen. Neben seiner Tätigkeit als IT-Leiter führt er auch Systemverwaltertätigkeiten für die eingesetzten, heterogenen Netzwerke und Systeme durch. Die aus seiner täglichen Arbeit rekrutierenden Erfahrungen und die angeeigneten Kenntnisse hat er in einer Vielzahl von Fachartikeln und Büchern niedergeschrieben, wobei bis zum heutigen Tag im In- und Ausland über 70 Bücher veröffentlicht worden sind. Gerhard Lienemann · Dirk Larisch TCP/IP – Grundlagen und Praxis Protokolle, Routing, Dienste, Sicherheit Heise Gerhard Lienemann Dirk Larisch [email protected] Lektorat: Dr. Michael Barabas Copy-Editing: Alexander Reischert, Köln Herstellung: Birgit Bäuerlein Umschlaggestaltung: Helmut Kraus, www.exclam.de Druck und Bindung: Media-Print Informationstechnologie, Paderborn Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar. ISBN 978-3-936931-72-3 1. Auflage 2011 Copyright © 2011 Heise Zeitschriften Verlag GmbH & Co KG, Hamburg Die Vorauflagen sind erschienen unter: Gerhard Lienemann: TCP/IP – Grundlagen, Protokolle und Routing, ISBN 978-3-936931-07-5, Heise Zeitschriften Verlag, 3., aktualisierte und erweiterte Auflage, 2003 Gerhard Lienemann: TCP/IP – Praxis, Dienste, Sicherheit, Troubleshooting, ISBN 978-3-936931-05-1, Heise Zeitschriften Verlag, 3., aktualisierte Auflage, 2003 Die vorliegende Publikation ist urheberrechtlich geschützt. Alle Rechte vorbehalten. Die Verwendung der Texte und Abbildungen, auch auszugsweise, ist ohne die schriftliche Zustimmung des Verlags urheberrechtswidrig und daher strafbar. Dies gilt insbesondere für die Vervielfältigung, Übersetzung oder die Verwendung in elektronischen Systemen. Es wird darauf hingewiesen, dass die im Buch verwendeten Soft- und Hardware-Bezeichnungen sowie Markennamen und Produktbezeichnungen der jeweiligen Firmen im Allgemeinen warenzeichen-, marken- oder patentrechtlichem Schutz unterliegen. Alle Angaben und Programme in diesem Buch wurden mit größter Sorgfalt kontrolliert. Weder Autor noch Verlag können jedoch für Schäden haftbar gemacht werden, die in Zusammenhang mit der Verwendung dieses Buches stehen. 543210 v Vorwort Die TCP/IP-Protokollfamilie stellt heute den wesentlichen Kern jeglicher Kommunikation in weltweit umspannenden Netzwerken, aber auch in lokalen Netzwerken dar. Bereits in den Anfängen des ARPANET, der »Mutter aller Netzwerke«, das Ende der 60er Jahre aus nur vier Rechnern bestand (jeweils ein Rechner in der University of Utah, im Stanford Research Institute, in der University of Santa Barbara und in der University of Los Angeles), wurden die Grundsteine des TCP/IP gelegt. Ab 1978 begann die konsequente Einführung der TCP/IP-Protokollfamilie innerhalb des ARPANET, die schließlich 1983 abgeschlossen war. Ein Jahr zuvor wurde, damals aus primär wissenschaftlich orientierten Netzwerken, das Internet »ins Leben gerufen«, das von Anfang an auf TCP/IP-Protokollen basierte. TCP/IP und das Internet – nichts gehört scheinbar so eng zusammen, wie es diese beiden Schlagworte der Computerindustrie auszudrücken versuchen. Das Internet profitiert von TCP/IP und wiederum TCP/IP von der sich exponentiell vergrößernden Internetgemeinde. Seit den 80er Jahren des vorigen Jahrhunderts hat sich TCP/IP zu dem Standardprotokoll schlechthin entwickelt. So muss sich heutzutage jeder Systemverantwortliche mit TCP/IP und seinen vielfältigen Merkmalen und Funktionen auseinandersetzen. Und genau dabei soll das vorliegende Buch helfen. So werden im Verlauf dieses Buches Netzwerkprotokolle und -verfahren wie IP (Internet Protocol), TCP (Transmission Control Protocol), DNS (Domain Name System), SMTP (Simple Mail Transfer Protocol) oder auch HTTP (HyperText Transfer Protocol) erläutert und deren Bedeutung für den praktischen Einsatz ausführlich dargestellt. Das vorliegende Buch ist ein Versuch, die Materie des mittlerweile weltbekannten Protokolls in leicht verständlicher Form und – vor allen Dingen – an der Praxis orientiert zu vermitteln. Insbesondere richtet sich das Buch an den unbedarften Anwender, der bis dato mit der Materie TCP/IP noch nicht konfrontiert worden ist, sich jedoch gerne damit auseinandersetzen möchte. Des Weiteren soll das Buch aber auch demjenigen als Hilfe dienen, der zwar erste Berührungspunkte mit dieser Thematik hatte, dem jedoch die Zusammenhänge fehlen. Ob es uns gelungen ist, Sie mit diesem Buch in die Welt des TCP/IP zu »entführen«, obliegt Ihrer Beurteilung. vi Vorwort Bleibt uns nur noch, Ihnen viel Spaß beim Studium zu wünschen, verbunden mit der Hoffnung, dass es Ihnen den Inhalt vermittelt, den Sie sich erhoffen. Dirk Larisch und Gerhard Lienemann im Oktober 2010 vii Inhaltsverzeichnis 1 Netzwerke 1.1 Netzwerkstandards . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 1.1.1 1.1.2 1.1.3 1.2 OSI als Grundlage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 IEEE-Normen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Sonstige Standards . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Netzwerkvarianten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 1.2.1 1.2.2 1.2.3 1.2.4 1.2.5 1.2.6 1.2.7 1.2.8 1.3 1 Ethernet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Token Ring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Fiber Distributed Data Interface (FDDI) . . . . . . . . . . . . . . . . . . 16 Integrated Services Digital Network (ISDN) . . . . . . . . . . . . . . . 18 Digital Subscriber Line (xDSL) . . . . . . . . . . . . . . . . . . . . . . . . 20 Asynchronous Transfer Mode (ATM) . . . . . . . . . . . . . . . . . . . 20 Wireless LAN (WLAN) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 Bluetooth . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 Netzwerkkomponenten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 1.3.1 1.3.2 1.3.3 1.3.4 1.3.5 Repeater . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Brücke . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Switch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Gateway . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Router . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 28 32 37 38 2 TCP/IP – Grundlagen 2.1 Wesen eines Protokolls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 2.1.1 2.1.2 39 Versuch einer Erklärung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 Verbindungsorientierte und verbindungslose Protokolle . . . . . . 42 viii 2.2 Inhaltsverzeichnis Low-Layer-Protokolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 2.2.1 2.2.2 2.2.3 2.2.4 2.2.5 2.3 43 44 45 47 48 Protokolle der Netzwerkschicht (Layer 3) . . . . . . . . . . . . . . . . . . . . . . . 49 2.3.1 2.3.2 2.3.3 2.3.4 2.3.5 2.4 Protokolle der Datensicherungsschicht (Layer 2) . . . . . . . . . . . Media Access Control (MAC) . . . . . . . . . . . . . . . . . . . . . . . . . Logical Link Control (LLC) . . . . . . . . . . . . . . . . . . . . . . . . . . . Service Access Point (SAP) . . . . . . . . . . . . . . . . . . . . . . . . . . . . Subnetwork Access Protocol (SNAP) . . . . . . . . . . . . . . . . . . . . Internet Protocol (IP) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Internet Control Message Protocol (ICMP) . . . . . . . . . . . . . . . Address Resolution Protocol (ARP) . . . . . . . . . . . . . . . . . . . . . Reverse Address Resolution Protocol (RARP) . . . . . . . . . . . . . Routing-Protokolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 59 64 66 66 Protokolle der Transportschicht (Layer 4) . . . . . . . . . . . . . . . . . . . . . . . 67 2.4.1 2.4.2 Transmission Control Protocol (TCP) . . . . . . . . . . . . . . . . . . . 69 User Datagram Protocol (UDP) . . . . . . . . . . . . . . . . . . . . . . . . 76 2.5 Protokolle der Anwendungsschicht (Layer 5–7) . . . . . . . . . . . . . . . . . . . 77 2.6 Sonstige Protokolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 2.6.1 2.6.2 2.6.3 2.6.4 2.6.5 2.6.6 2.6.7 X.25 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Frame Relay . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Serial Line Internet Protocol (SLIP) . . . . . . . . . . . . . . . . . . . . . Point-to-Point Protocol (PPP) . . . . . . . . . . . . . . . . . . . . . . . . . . Point-to-Point Tunneling Protocol (PPTP) . . . . . . . . . . . . . . . . PPP over Ethernet (PPPoE) . . . . . . . . . . . . . . . . . . . . . . . . . . . . Layer 2 Tunneling Protocol (L2TP) . . . . . . . . . . . . . . . . . . . . . 79 80 82 82 82 82 82 3 Adressierung im IP-Netzwerk 3.1 Adresskonzept . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 3.1.1 3.1.2 3.1.3 3.2 83 Adressierungsverfahren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 Adressregistrierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 Adressaufbau und Adressklassen . . . . . . . . . . . . . . . . . . . . . . . 85 Subnetzadressierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 3.2.1 3.2.2 3.2.3 3.2.4 3.2.5 Prinzip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Typen der Subnetzmaske . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Design der Subnetzmaske . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwendung privater IP-Adressen . . . . . . . . . . . . . . . . . . . . . . Internetdomain und Subnetz . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 89 90 92 94 Inhaltsverzeichnis 3.3 ix Dynamische Adressvergabe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 3.3.1 3.3.2 3.3.3 Bootstrap Protocol (BootP) . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 Dynamic Host Configuration Protocol (DHCP) . . . . . . . . . . . . 97 DHCP im Windows-Netzwerk . . . . . . . . . . . . . . . . . . . . . . . . 106 4 Routing 4.1 Grundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114 4.1.1 4.1.2 4.1.3 4.1.4 4.1.5 4.1.6 4.1.7 4.2 Aufgaben und Funktion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Anforderungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Funktionsweise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Router-Architektur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Routing-Verfahren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Routing-Algorithmus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Einsatzkriterien für Router . . . . . . . . . . . . . . . . . . . . . . . . . . . 114 114 116 118 120 121 124 Routing-Protokolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126 4.2.1 4.2.2 4.2.3 4.2.4 4.2.5 4.2.6 4.2.7 4.2.8 4.3 113 Routing Information Protocol (RIP) . . . . . . . . . . . . . . . . . . . . RIP-Version 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Open Shortest Path First (OSPF) . . . . . . . . . . . . . . . . . . . . . . HELLO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Interior Gateway Routing Protocol (IGRP) . . . . . . . . . . . . . . Enhanced IGRP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Intermediate System – Intermediate System (IS-IS) . . . . . . . . . Border Gateway Protocol (BGP) . . . . . . . . . . . . . . . . . . . . . . . 127 129 130 143 144 144 145 147 Betrieb und Wartung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147 4.3.1 4.3.2 4.3.3 4.3.4 4.3.5 Router-Initialisierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Out-Of-Band-Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Hardware-Diagnose . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Router-Steuerung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Sicherheitsaspekte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148 149 150 150 151 5 Namensauflösung 5.1 Prinzip der Namensauflösung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153 5.1.1 5.1.2 5.1.3 153 Symbolische Namen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154 Namenshierarchie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155 Funktionsweise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157 x 5.2 Inhaltsverzeichnis Verfahren zur Namensauflösung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157 5.2.1 5.2.2 5.2.3 5.3 Domain Name System . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163 5.3.1 5.3.2 5.3.3 5.3.4 5.3.5 5.3.6 5.3.7 5.3.8 5.3.9 5.3.10 5.3.11 5.4 Host-Datei . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157 WINS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161 Domain Name System . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163 Aufgaben und Funktionen . . . . . . . . . . . . . . . . . . . . . . . . . . . Auflösung von Namen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DNS-Struktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DNS-Anfragen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Umgekehrte Auflösung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Standard Resource Records . . . . . . . . . . . . . . . . . . . . . . . . . . DNS-Message . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Dynamic DNS (DDNS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zusammenspiel von DNS und Active Directory . . . . . . . . . . . Auswahl der Betriebssystemplattform . . . . . . . . . . . . . . . . . . . Fazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164 164 166 167 169 169 171 172 173 176 177 Namensauflösung in der Praxis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177 5.4.1 5.4.2 5.4.3 5.4.4 5.4.5 Vorgaben und Funktionsweise . . . . . . . . . . . . . . . . . . . . . . . . DNS mit Windows-Servern . . . . . . . . . . . . . . . . . . . . . . . . . . DNS-Konfiguration unter Linux . . . . . . . . . . . . . . . . . . . . . . . Client-Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DNS-Datenfluss . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178 181 190 194 198 6 Protokolle und Dienste 6.1 Exkurs: Client-Server-Konzept . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203 6.2 TELNET . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205 6.2.1 6.2.2 6.2.3 6.2.4 6.2.5 6.2.6 6.2.7 6.3 Network Virtual Terminal . . . . . . . . . . . . . . . . . . . . . . . . . . . Negotiated Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zugriffsschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Kommunikation und Protokollierung . . . . . . . . . . . . . . . . . . . TELNET-Anweisungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . TELNET auf einem Windows-Client . . . . . . . . . . . . . . . . . . . Sonderfall: TELNET 3270 (tn3270) . . . . . . . . . . . . . . . . . . . . 203 206 206 209 210 211 214 215 Dateiübertragung mit FTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216 6.3.1 6.3.2 6.3.3 Funktion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216 FTP-Sitzungsprotokoll . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220 FTP-Befehlsübersicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223 Inhaltsverzeichnis 6.3.4 6.3.5 6.3.6 6.4 FTP-Meldungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227 Anonymus FTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227 Trivial File Transfer Protocol (TFTP) . . . . . . . . . . . . . . . . . . . 228 HTTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229 6.4.1 6.4.2 6.4.3 6.4.4 6.4.5 6.4.6 6.4.7 6.4.8 6.4.9 6.5 xi Eigenschaften . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Adressierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . HTTP-Message . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . HTTP-Request . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . HTTP-Response . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Statuscodes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Methoden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . MIME-Datentypen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Einsatz eines Web-Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . 230 230 231 233 234 234 236 237 240 E-Mail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252 6.5.1 6.5.2 6.5.3 6.5.4 Simple Mail Transfer Protocol (SMTP) . . . . . . . . . . . . . . . . . Post Office Protocol 3 (POP3) . . . . . . . . . . . . . . . . . . . . . . . . Internet Message Access Protocol 4 (IMAP4) . . . . . . . . . . . . . E-Mail-Einsatz in der Praxis . . . . . . . . . . . . . . . . . . . . . . . . . . 254 258 260 261 6.6 Voice over IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265 6.7 Chat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266 6.8 Newsgroups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266 6.9 Lightweight Directory Access Protocol (LDAP) . . . . . . . . . . . . . . . . . . 267 6.9.1 6.9.2 Konzeption . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267 Application Programming Interface (API) . . . . . . . . . . . . . . . 268 6.10 NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269 6.10.1 6.10.2 6.10.3 6.10.4 Remote Procedure Calls (Layer 5) . . . . . . . . . . . . . . . . . . . . . External Data Representation (XDR) . . . . . . . . . . . . . . . . . . . Prozeduren und Anweisungen . . . . . . . . . . . . . . . . . . . . . . . . Network Information Services (NIS) – YELLOW PAGES . . . 270 272 273 275 6.11 Kerberos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276 6.12 Simple Network Management Protocol (SNMP) . . . . . . . . . . . . . . . . . 279 6.12.1 SNMP und CMOT – zwei Entwicklungsrichtungen . . . . . . . . 6.12.2 SNMP-Architektur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.12.3 SNMP-Komponenten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.12.4 Structure and Identification of Management Information (SMI) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280 281 282 284 xii Inhaltsverzeichnis 6.12.5 6.12.6 6.12.7 6.12.8 6.12.9 Management Information Base (MIB) . . . . . . . . . . . . . . . . . . SNMP-Anweisungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . SNMP-Message-Format . . . . . . . . . . . . . . . . . . . . . . . . . . . . . SNMP-Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . SNMP-Nachfolger . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286 292 293 294 295 7 TCP/IP und Betriebssysteme 7.1 TCP/IP unter Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 302 7.1.1 7.1.2 301 Windows als Desktop-System . . . . . . . . . . . . . . . . . . . . . . . . . 302 Windows als Server-System . . . . . . . . . . . . . . . . . . . . . . . . . . 306 7.2 TCP/IP beim Apple Macintosh . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309 7.3 TCP/IP unter Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311 7.3.1 7.3.2 7.3.3 7.3.4 7.3.5 Netzwerkverbindung testen und konfigurieren . . . . . . . . . . . . Konfiguration des Name Resolver . . . . . . . . . . . . . . . . . . . . . Loopback Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Routing im Linux-Netzwerk . . . . . . . . . . . . . . . . . . . . . . . . . . Netzwerkdienste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311 313 316 316 319 8 Sicherheit im IP-Netzwerk 8.1 Interne Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322 8.1.1 8.1.2 8.1.3 8.1.4 8.1.5 8.1.6 8.2 323 324 329 331 333 336 Externe Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337 8.2.1 8.2.2 8.3 Hardware-Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . UNIX-Zugriffsrechte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Windows-Zugriffsrechte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Benutzerauthentifizierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . Die R-Kommandos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Remote Execution (rexec) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321 Öffnung isolierter Netzwerke . . . . . . . . . . . . . . . . . . . . . . . . . 337 Das LAN/WAN-Sicherheitsrisiko . . . . . . . . . . . . . . . . . . . . . . 338 Organisatorische Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339 8.3.1 8.3.2 8.3.3 Data Leakage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339 Nutzung potenziell gefährlicher Applikationen . . . . . . . . . . . . 340 Prozessnetzwerke und ihr Schutz . . . . . . . . . . . . . . . . . . . . . . 341 Inhaltsverzeichnis 8.4 Angriffe aus dem Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 341 8.4.1 8.4.2 8.4.3 8.4.4 8.4.5 8.5 Firewall-System . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 366 Content Security System . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 373 Intrusion Detection System und Intrusion Response System . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 373 Authentifizierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verschlüsselung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zertifikate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Signaturen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377 379 385 386 Virtual Private Network (VPN) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 390 8.8.1 8.8.2 8.9 Grundschutzhandbuch für IT-Sicherheit des BSI . . . . . . . . . . 359 Public Key Infrastructure (PKI) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 376 8.7.1 8.7.2 8.7.3 8.7.4 8.8 343 344 347 350 353 Das Drei-Komponenten-System . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 362 8.6.1 8.6.2 8.6.3 8.7 »Hacker« und »Cracker« . . . . . . . . . . . . . . . . . . . . . . . . . . . . Scanning-Methoden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Denial of Service Attack . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DNS-Sicherheitsprobleme . . . . . . . . . . . . . . . . . . . . . . . . . . . . Schwachstellen des Betriebssystems . . . . . . . . . . . . . . . . . . . . Aufbau eines Sicherheitssystems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358 8.5.1 8.6 xiii Grundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 390 Beispielkonfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391 Sicherheitsprotokoll IPsec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 394 8.9.1 8.9.2 8.9.3 8.9.4 8.9.5 8.9.6 IPsec-Merkmale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IP- und IPsec-Paketformat . . . . . . . . . . . . . . . . . . . . . . . . . . . Transport- und Tunnelmodus . . . . . . . . . . . . . . . . . . . . . . . . IPsec-Protokolle AH und ESP . . . . . . . . . . . . . . . . . . . . . . . . . Internet Key Exchange (IKE) . . . . . . . . . . . . . . . . . . . . . . . . . IPsec-RFCs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 395 396 398 399 401 405 9 TCP/IP im Internet 9.1 Was ist das Internet? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407 9.2 Aufbau des Internets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409 9.2.1 9.2.2 407 TCP/IP als Grundlage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409 Dienste im Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409 xiv 9.3 Inhaltsverzeichnis Internet-Sicherheit 9.3.1 9.3.2 9.3.3 9.3.4 9.4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410 Sicherheitslücken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bedrohung durch Viren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Hacking und Cracking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Risikoabschätzung und -schutz . . . . . . . . . . . . . . . . . . . . . . . . 411 414 415 416 Suche im WWW . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 418 9.4.1 9.4.2 Suche nach Dateien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 418 Einsatz von Suchmaschinen . . . . . . . . . . . . . . . . . . . . . . . . . . 419 9.5 Geschwindigkeit und Bandbreite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424 10 Weiterentwicklungen 427 10.1 Gründe für eine Neuentwicklung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 428 10.2 Lösungsansätze . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 430 10.2.1 Lösungen auf Basis von IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . 431 10.2.2 ROAD-Arbeitsgruppe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433 10.3 IPv6-Leistungsmerkmale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435 10.3.1 10.3.2 10.3.3 10.3.4 10.3.5 10.3.6 10.3.7 Erweiterung des Adressraums . . . . . . . . . . . . . . . . . . . . . . . . . Abbildung von Hierarchien . . . . . . . . . . . . . . . . . . . . . . . . . . IP-Header-Struktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Priorisierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Vereinfachte Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . Multicasting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435 436 436 436 436 437 437 10.4 IP-Header der Version 6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 437 10.5 Stand der Einführung von IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 439 10.5.1 Test-Netzwerk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 440 10.5.2 Adressen in der Konvergenzphase . . . . . . . . . . . . . . . . . . . . . . 441 10.6 NAT, CIDR und RSIP als Alternativen . . . . . . . . . . . . . . . . . . . . . . . . 442 10.6.1 Network Address Translation (NAT) . . . . . . . . . . . . . . . . . . . 442 10.6.2 Classless Inter Domain Routing (CIDR) . . . . . . . . . . . . . . . . . 443 10.6.3 RSIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 444 10.7 Fazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 444 Inhaltsverzeichnis 11 Troubleshooting in IP-Netzwerken xv 447 11.1 Analysemöglichkeiten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 448 11.1.1 11.1.2 11.1.3 11.1.4 Der Netzwerk-Trace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Netzwerkstatistik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Remote Network Monitoring (RMON) . . . . . . . . . . . . . . . . . Analyse in Switched LANs . . . . . . . . . . . . . . . . . . . . . . . . . . . 448 450 451 454 11.2 Verbindungstest mit PING . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 455 11.2.1 Selbsttest . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 455 11.2.2 Test anderer Endgeräte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456 11.2.3 Praktische Vorgehensweise im Fehlerfall . . . . . . . . . . . . . . . . 458 11.3 Informationen per NETSTAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 459 11.4 ROUTE zur Wegewahl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 462 11.5 Wegeermittlung per TRACEROUTE . . . . . . . . . . . . . . . . . . . . . . . . . . 463 11.6 Knotenadressen per ARP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 464 11.7 Aktuelle Konfiguration mit IFCONFIG . . . . . . . . . . . . . . . . . . . . . . . . 464 11.8 NSLOOKUP zur Nameserver-Suche . . . . . . . . . . . . . . . . . . . . . . . . . . 466 A Anhang 469 A.1 Geschichtliches . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 469 A.1.1 A.1.2 A.1.3 ARPANET – Die Anfänge . . . . . . . . . . . . . . . . . . . . . . . . . . . 470 Entwicklung zum Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . 473 Request For Comment (RFC) . . . . . . . . . . . . . . . . . . . . . . . . . 476 A.2 Literatur und Quellenverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 478 Stichwortverzeichnis 481 xvi Inhaltsverzeichnis 1 1 Netzwerke Als zu Beginn der 80er Jahre des vorigen Jahrhunderts der Siegeszug der Personalcomputer begann, dachte man noch nicht an ihre Vernetzung. Stellten sie doch zu der Zeit vielmehr ein individuelles Hilfsmittel für bestimmte, ausgewählte Mitarbeiter dar; einen deutlichen Prestigegewinn konnte jeder verbuchen, dessen Schreibtisch ein PC »zierte«. Die nächste Investition führte zur Anschaffung eines Druckers; als jedoch der Gerätepark in den Büros immer mächtiger wurde, erkannte man sehr schnell, dass es sicher kostengünstiger wäre, ein Ressourcen-Sharing (Teilen der Geräte) vorzunehmen. Anfangs leisteten noch Drucker-Umschalter gute Dienste, die es ermöglichten, einen Drucker von mehreren Arbeitsplätzen zu nutzen. Doch schnell zeigten sich ähnliche Fragestellungen in Bezug auf den Plotter oder auf einen Scanner. Neben dem gewichtigen Problem der »Hardware-Vervielfältigung« stellte sich auch immer häufiger die Frage nach gemeinsam zu nutzender Software. Leistungsfähige Software-Pakete waren auch schon damals nicht gerade günstig. Aus diesen und ähnlichen Anforderungen wurde die Idee einer klugen Vernetzung von Personalcomputern und damit einer gemeinsamen Nutzung von Soft- und Hardware geboren. Dabei gab es schon vergleichbare Vernetzungen von Datenverarbeitungsanlagen, beispielsweise auf Basis der mittleren Datentechnik wie IBMs /36 oder DECs VAXen. In den folgenden Jahren entstand ein vermehrter Bedarf an der Nutzung gemeinsamer Datenpools sowie der Integration entfernter Rechner in einen einzigen logischen Rechnerverbund. Das Großprojekt »PC-Vernetzung« boomte. Zum Teil wurden bekannte (und bereits vorhandene) Netzwerktechnologien und -protokolle genutzt (z. B. TCP/IP); allerdings kamen auch zahlreiche Neuentwicklungen zum Zuge (z. B. IBM LAN-Server oder Microsoft LAN-Manager). Die Vielfalt an Netzwerken und Netzwerkprotokollen führte allmählich zur notwendigen Herausbildung entsprechender Standards, denn ein Netzwerk besitzt nur dann in ausreichendem Maße kommunikative Eigenschaften, wenn es mit anderen Netzwerken innerhalb des eigenen Unternehmens vereinigt werden oder mit Netzwerken entfernter Lokationen Daten austauschen kann. Schnell entstanden so die ersten lokalen Netzwerke (LAN = Local Area Network), die dann nach 2 1 Netzwerke und nach über entsprechende Anbindungen mehr und mehr zu WAN-Netzwerken (WAN = Wide Area Network) ausgebaut wurden. 1.1 Netzwerkstandards Wie bei jeder Technologie werden auch hier immer bestimmte Vorgaben, Normen oder Standards benötigt, an denen sich die verschiedenen Entwicklungen orientieren. Bei der Behandlung von Netzwerkstandards sind dies insbesondere das ISO/OSI-Referenzmodell sowie die Normierungen und Vorgaben des IEEE Institute of Electrical and Electronic Engineers (Institut der elektrischen und elektronischen Ingenieure). 1.1.1 OSI als Grundlage Zur Vereinheitlichung der Datenübertragung wurde das OSI-Referenzmodell geschaffen, das bestimmte Vorgaben für die Kommunikation offener Systeme darlegt. Das OSI-Modell ermöglicht den Herstellern, ihre Produkte für den Netzwerkeinsatz aufeinander abzustimmen und Schnittstellen offenzulegen. Dies ist die Basis für sämtliche Festlegungen im so genannten ISO- bzw. OSISchichtenmodell, wobei die einzelnen Schnittstellen dieser Norm auf insgesamt sieben Schichten (Layer) verteilt werden. Jede Schicht wiederum erfüllt bei der Kommunikation eine bestimmte Funktion. Das OSI-Schichtenmodell dient heutzutage generell als Grundlage für die Kommunikationstechnologie. Dabei liegt der Sinn und Zweck darin, dass die Teilnehmer der Kommunikation (z. B. Rechner) über genormte Schnittstellen miteinander kommunizieren. Im Einzelnen setzt sich das OSI-Referenzmodell aus den folgenden Schichten zusammen: Schicht 1 – Physical Layer Auf dem Physical Layer (physikalische Schicht) wird die physikalische Einheit der Kommunikationsschnittstelle dargestellt. Diese Schicht (Bit-Übertragungsschicht) definiert somit sämtliche Definitionen und Spezifikationen für das Übertragungsmedium (Strom-, Spannungswerte), das Übertragungsverfahren oder auch Vorgaben für die Pinbelegung, Anschlusswiderstände usw. Schicht 2 – Data Link Layer Der so genannte Data Link Layer (Verbindungsschicht) ermöglicht eine erste Bewertung der eingehenden Daten. Durch Überprüfung auf die korrekte Reihenfolge und die Vollständigkeit der Datenpakete werden beispielsweise Übertragungsfehler direkt erkannt. Dazu werden die zu sendenden Daten in kleinere Einheiten zerlegt und als Blöcke übertragen. Ist ein Fehler aufgetreten, werden einfach die als fehlerhaft erkannten Blöcke erneut übertragen. 1.1 Netzwerkstandards 3 Schicht 3 – Network Layer Der Network Layer (Netzwerkschicht) übernimmt bei einer Übertragung die eigentliche Verwaltung der beteiligten Kommunikationspartner, wobei insbesondere die ankommenden bzw. abgehenden Datenpakete verwaltet werden. In dieser Vermittlungsschicht erfolgt unter anderem eine eindeutige Zuordnung über die Vergabe der Netzwerkadressen, indem der Verbindung weitere Steuer- und Statusinformationen hinzugefügt werden. In einem Netzwerk eingesetzte Router arbeiten immer auf der Schicht 3 des OSI-Referenzmodells. Schicht 4 – Transport Layer Auf dem Transport Layer (Transportschicht) werden die Verbindungen zwischen den Systemschichten 1 bis 3 und den Anwendungsschichten 5 bis 7 hergestellt. Dies geschieht, indem die Informationen zur Adressierung und zum Ansprechen der Datenendgeräte (z. B. Arbeitsstationen, Terminals) hinzugefügt werden. Aus dem Grund enthält diese Schicht auch die meiste Logik sämtlicher Schichten. Im Transport Layer wird die benötigte Verbindung aufgebaut und die Datenpakete werden entsprechend der Adressierung weitergeleitet. Somit ist diese Schicht unter anderem auch für Multiplexing und Demultiplexing der Daten verantwortlich. Schicht 5 – Session Layer Der Session Layer (Sitzungsschicht) ist die Steuerungsschicht der Kommunikation, wo der Verbindungsaufbau festgelegt wird. Tritt bei einer Übertragung ein Fehler auf oder kommt es zu einer Unterbrechung, wird dies von dieser Schicht abgefangen und entsprechend ausgewertet. Schicht 6 – Presentation Layer Die Anwendungsschicht (Presentation Layer) stellt die Möglichkeiten für die Einund Ausgabe der Daten bereit. Auf dieser Ebene werden beispielsweise die Dateneingabe und -ausgabe überwacht, Übertragungskonventionen festgelegt oder auch Bildschirmdarstellungen angepasst. Schicht 7 – Application Layer Schicht 7 ist die oberste Schicht des OSI-Referenzmodells (Application Layer), auf der die Anwendungen zum Einsatz kommen. Dies ist somit die Schnittstelle zwischen dem System (z. B. Rechner) und einem Anwendungsprogramm. 1.1.2 IEEE-Normen Neben dem ISO-Schichtenmodell existieren weitere Vorgaben oder Normen für den Netzwerbereich. Eine wichtige Institution ist dabei das IEEE, was als Abkür- 4 1 Netzwerke zung steht für Institute of Electrical and Electronic Engineers (Institut der elektrischen und elektronischen Ingenieure). Das IEEE (gesprochen Ai Trippel I) ist ein amerikanisches Normungsgremium und beschäftigt sich generell mit Standards und Normen für die Kommunikation auf den beiden untersten Ebenen des OSI-Schichtenmodells (Physical Layer, Data Link Layer). Die einzelnen Definitionen in Bezug auf die Datenübertragung werden allesamt unter dem Titel des »Komitee 802« zusammengefasst. Eine der ersten Definitionen des Komitees war die Verabschiedung des Ethernet-Zugriffsverfahrens CSMA/CD (Carrier Sense Multiple Access with Collision Detection). Im Dezember 1980 trat eine spezielle Projektgruppe (802.5) zusammen, um das Zugriffsverfahren für den Token-Ring-Bereich zu standardisieren. Ein Jahr später konstituierte sich dann die Token-Bus-Projektgruppe (802.4). Die zahlreichen IEEE-Arbeitsgruppen sind verschiedenen Themen gewidmet und beschäftigen sich vor allem mit Netzwerktopologien, -protokollen oder -architekturen beschäftigen. Die wichtigsten sind im Nachfolgenden aufgeführt: IEEE 802.1 Der IEEE-Standard mit der Bezeichnung 802.1 beschreibt den Austausch der Daten unterschiedlicher Netzwerke. Dazu gehören Angaben zur Netzwerkarchitektur und zum Einsatz von Bridges (Brücken). Zusätzlich erfolgen hier auch Angaben über das Management auf der ersten Schicht (Physical Layer). IEEE 802.1 wird in der Fachliteratur auch mit dem Namen Higher Level Interface Standard (HLI) bezeichnet. IEEE 802.1Q Innerhalb des Arbeitskreises HLI (Higher Level Interface) beschäftigt sich die Arbeitsgruppe 802.1Q mit der Definition des Standards für den Einsatz virtueller LANs (VLANs). IEEE 802.2 Im Arbeitskreis 802.2 wird eine Definition für das Protokoll festgelegt, mit dem die Daten auf der zweiten Ebene des OSI-Modells (Data Link) behandelt werden. Dabei wird unterschieden zwischen dem verbindungslosen und dem verbindungsorientierten Dienst. Die Einordnung dieses Standards im OSI-Referenzmodell erfolgt auf Schicht 2. IEEE 802.3 Dies ist eine Definition, die im Bereich der Netzwerke eine der wichtigsten Vorgaben darstellt, denn mit 802.3 wird neben der Topologie, dem Übertragungsmedium und der Übertragungsgeschwindigkeit auch ein ganz spezielles Zugriffsverfahren beschrieben bzw. vorgegeben: CSMA/CD, was als Abkürzung für Carrier Sense 1.1 Netzwerkstandards 5 Multiple Access, Collision Detection steht. Darüber hinaus werden weitere Definitionen festgelegt, die sich allesamt mit dem Einsatz des Übertragungsmediums befassen (z. B. 10Base-2, 10Base-5, 10Base-T, 100Base-T, Fast Ethernet, Gigabit Ethernet usw.). IEEE 802.3ab Diese Arbeitsgruppe spezifiziert die notwendigen Vorgaben, um den Einsatz von Gigabit Ethernet auf UTP-Kabeln (Twisted Pair) der Kategorie 5 zu ermöglichen. IEEE 802.3ac Diese Arbeitsgruppe befasst sich mit MAC-Spezifikationen (Media Access Control) und Vorgaben für das Management des Ethernet-Basisstandards, inklusive bestimmter Vorgaben für den Einsatz virtueller LANs (VLANs). IEEE 802.3an Im Jahr 2006 wurde der Standard 802.3an verabschiedet, der eine Übertragung von 10 Gbit auf herkömmlichen Kupferkabeln des Typs Twisted Pair vorsieht. Beim Einsatz von Cat6-Kabeln können Daten über eine Distanz von 100 Metern übertragen werden, mit Cat5e-Kabeln immerhin noch über eine Distanz von 22 Metern. IEEE 802.3z Diese Arbeitsgruppe legt Standards für Gigabit Ethernet fest, insbesondere für den Einsatz von Gigabit Ethernet auf Kupferkabeln der Kategorie 5 (wobei diese Problematik im Arbeitskreis 802.3ab separat behandelt wird). IEEE 802.4 Während sich 802.3 mit Ethernet beschäftigt, wird in der Definition 802.4 der Token-Bus-Standard proklamiert und entsprechende Festlegungen getroffen. IEEE 802.5 Als Ergänzung zu 802.4 legt dieser Arbeitskreis Definition für den Token Ring fest. Dazu zählt die Definition der Topologie, des Source-Routing, des Übertragungsmediums und auch der Übertragungsgeschwindigkeit. IEEE 802.6 Dieser Standard beschreibt ganz allgemein den Einsatz von MANs, also so genannten Metropolitan Area Networks. Zusätzlich beschäftigt sich diese Gruppe auch mit dem Bereich der DQDB-Protokolle (Distributed Queue Dual Bus). 6 1 Netzwerke IEEE 802.7 Mit den Festlegungen innerhalb dieser Arbeitsgruppe (Broadband Technical) werden bzw. wurden Vorgaben für den Einsatz der Breitbandtechnologie festgelegt. IEEE 802.8 802.8 beschäftigt sich ausschließlich mit dem Einsatz von Lichtwellenleitern bzw. Glasfaserkabeln (Fiber Optic) innerhalb eines Netzwerks. IEEE 802.9 Die Inhalte dieses Standards beziehen sich auf die Einbeziehung von Sprachübertragung in die allgemeine Kommunikation. Auf diese Art und Weise sollen in einem solchen ISLAN (Integrated Services LAN) alle Datenendgeräte (Rechner, Drucker, Telefon, Fax usw.) an einer einzigen Schnittstelle betrieben werden können. IEEE 802.9a Die isochrone Technik für die Echtzeitübertragung von Daten im LAN bis an den Arbeitsplatz ist Inhalt dieser Arbeitsgruppe. IEEE 802.10 Der Arbeitskreis mit der Bezeichnung 802.10 beschäftigt sich vornehmlich mit generellen Sicherheitsfragen. Zu diesem Zweck wurde auch eine entsprechende Vorgabe verabschiedet, die den Namen SILS trägt (Standard for Interoperable LAN Security). IEEE 802.11 Die in 802.11 zusammengesetzte Projektgruppe beschäftigt sich mit dem Einsatz drahtloser LANs (WLAN). Die Ergebnisse wurden in verschiedenen Stufen mit 802.11a, 802.11b oder 802.11n bekannt. IEEE 802.12 Ergebnis dieser Arbeitsgruppe ist ein Standard für ein 100-Mbit-Verfahren für den Multimedia-Einsatz, das den Namen Demand Priority (DP) trägt. Es handelt sich dabei um ein Zugriffsverfahren (vergleichbar mit CSMA/CD aus 802.3), bei dem ein Repeater die einzelnen Datenendgeräte nach Übertragungswünschen abfragt (Polling-Verfahren). IEEE 802.14 Der Auftrag der 802.14-Arbeitsgruppe besteht bzw. bestand darin, Standards und Normen für den Bereich von Kommunikationsfunktionen in Kabelnetzen (Kabel- 1.1 Netzwerkstandards 7 fernsehen) auszuarbeiten. Diese Bestrebungen sind in der Literatur auch häufig unter der Abkürzung CATV (Cable Television) zu finden. IEEE 802.15 Die kabellose Anbindung von Rechnern ist Auftrag dieser Arbeitsgruppe. In Erweiterung zur Arbeitsgruppe 802.11, die sich mit drahtlosen LANs (WLANs) beschäftigt, wird in dieser Gruppe die Gesamtheit der kabellosen Anbindungsmöglichkeiten auf Basis des WPAN (Wireless Personal Area Network) betrachtet. Darunter fallen beispielsweise Technologien für den kabellosen Einsatz auf kurzen Distanzen (z. B. Bluetooth). IEEE 802.16 Als Ergänzung zur Arbeitsgruppe 802.15 beschäftigt sich diese Arbeitsgruppe mit der kabellosen Anbindung in der Breitbandtechnik. Bekannt geworden ist diese Technik unter dem Namen WIMAX (Worldwide Interopability for Microwave Access), die als Alternative zum Festnetz-DSL angesehen werden kann. HINWEIS Da der Bereich der Netzwerktechniken ein schnellebiger Markt ist, existieren neben den hier aufgeführten Standards weitere Festlegungen und Arbeitsgruppen (z.B. 802.17, 802.18), die jedoch im Rahmen dieses Buches nicht allesamt Erwähnung finden, da sie teilweise für den praktischen Einsatz (zumindest bisher) keine große Rolle spielen. 1.1.3 Sonstige Standards Die gesamte Entwicklung der TCP/IP-Protokollfamilie wurde von zahlreichen Veröffentlichungen zur Kommunikationsthematik begleitet. Allesamt sind diese bekannt unter dem Namen RFC (Request For Comment), was so viel bedeutet wie: »Bitte/ Anfrage um Kommentar!«. Die wichtigsten Standards innerhalb der TCP/IP-Protokollfamilie haben sich bereits sehr früh herausgebildet und sind bis heute gültig: ■ UDP (User Datagram Protocol) RFC 768 – August 1980 ■ IP (Internet Protocol) RFC 791 – September 1981 ■ TCP (Transmission Control Protocol) RFC 793 – September 1981 ■ SMTP (Simple Mail Transfer Protocol) RFC 821 – August 1982 ■ TELNET RFC 854 – Mai 1983 8 1 Netzwerke ■ RARP (Reverse Address Resolution Protocol) RFC 903 – Juni 1984 ■ FTP (File Transfer Protocol) RFC 959 – Oktober 1985 ■ NetBIOS over TCP/UDP RFC 1001/1002 – März 1987 ■ DNS (Domain Name System) RFC 1034/1035 – November 1987 ■ SNMP (Simple Network Management Protocol) RFC 1157 – Mai 1990 ■ POP3 (Post Office Protocol Version 3) RFC 1725 – November 1994 ■ IMAP (Internet Mail Access Protocol) RFC 1730 – Dezember 1994 Darüber hinaus gibt es für die Einichtung und den Betrieb lokaler Netzwerke mittlerweile eine Vielzahl von Gesetzen und Vorschriften, die sich auf die Verkabelungssysteme oder auch auf die Grenzwerte bestimmter Messverfahren beziehen. Diese werden nachfolgend der Vollständigkeit halber erwähnt (EN = Europäische Norm), ohne dass wir jedoch an dieser Stelle näher darauf eingehen zu können; dies bleibt weiterführender Literatur vorbehalten. ■ EN 50173 Leistungsanforderungen für strukturierte Verkabelungssysteme ■ EN 55022 Grenzwerte und Messverfahren für Funkstörungen von informationstechnischen Einrichtungen ■ EN 50081-1 Fachgrundnorm: Störaussendung ■ EN 50082-1 Fachgrundnorm: Störfestigkeit ■ EN 187000 Fachgrundspezifikation: Lichtwellenleiterkabel ■ EN 188000 Fachgrundspezifikation: Lichtwellenleiter 1.2 Netzwerkvarianten Neben Festlegungen, Standards und Normen entscheiden letztlich der Anwender und natürlich die Industrie über entsprechende Produktpaletten, also welche Formen der Netzwerkvarianten zum Einsatz kommen. Heutzutage kann man festhal- 1.2 Netzwerkvarianten 9 ten, dass bei sämtlichen Neuinstallationen fast durchweg der Netzwerktyp Ethernet zum Einsatz kommt. Was es damit auf sich hat und welche sonstigen Varianten darüber hinaus zur Verfügung stehen (Token Ring, ATM usw.), soll nachfolgend dargestellt werden. Während sich Ethernet und Token Ring als etablierte LAN-Standards im Laufe der letzten Jahrzehnte in den Unternehmen als verlässliche Kommunikationsgebilde durchgesetzt haben und FDDI bzw. ATM als Hochgeschwindigkeitstechnologie mit hohen Übertragungskapazitäten in Backbones eingesetzt wurden, werden Fast Ethernet und Gigabit Ethernet für Hochgeschwindigkeits-LANs mit gewachsenen Anforderungen immer bedeutsamer und sind in zahlreichen Netzwerken bereits vollständig implementiert. Noch vor wenigen Jahren reichten Ethernet-Kapazitäten von 2 bis 10 Mbit/s und Token-Ring-Geschwindigkeiten von 4 bis 16 Mbit/s für den anfallenden Datenverkehr völlig aus. Diese Situation hat sich mittlerweile jedoch deutlich verändert, da die Übertragung multimedialer Objekte wie Bilder, Grafiken, Video- und Audiosequenzen in Netzwerken immer wichtig geworden ist. Netzwerkstrukturen, die unter den Schlagworten Corporate Networking, Voice over IP oder Videoconferencing zusammengefasst werden, tragen dazu bei, höchste Bandbreiten im lokalen Netzwerk zur Verfügung stellen zu müssen, sodass der Bedarf an Hochgeschwindigkeitstechnologien wie dem Fast Ethernet und dem Gigabit Ethernet mit Kapazitäten von 100 bzw. 1000 und 10.000 Mbit/s nur eine Frage der Zeit war. Zwar entwickelte man auch für die Token-Ring-Technik Komponenten mit höherer Leistung (High Speed Token Ring = HSTR), es zeigte sich aber, dass der Markt diese Technik nur dann annahm, wenn ein Unternehmen, das bereits primär Token-Ring-Netzwerke einsetzte, auf eine deutlich höhere LAN-Geschwindigkeit umstellen musste und den Wechsel zu Ethernet nicht vornehmen wollte. HINWEIS Für die TCP/IP-Protokollfamilie sind die Überlegungen zur Auswahl einer Netzwerkvariante zunächst einmal unerheblich, da sich die einzelnen Protokolle sowohl auf Ethernetals auch auf Token-Ring-Netzwerken abbilden lassen. Dadurch leistet TCP/IP einen entscheidenden Beitrag zur Netzwerkintegration in Unternehmen mit unterschiedlichen LANStandards bzw. -Topologien. 1.2.1 Ethernet Durch Einsatz eines speziellen Zugriffsverfahrens mit dem Namen CSMA/CD (Carrier Sense Multiple Access with Collision Detection) verdichtete sich bereits in den 70er Jahren des vorigen Jahrhunderts der Ethernet-Standard. Dabei repräsentiert Ethernet einen Standard, der physikalisch auf einer reinen Bus-Topologie beruht. Diesen Bus kann man sich als ein Kabel vorstellen, das an seinen beiden Enden durch jeweils einen Abschlusswiderstand terminiert wird (Terminator) und über so genannte Transceiver dem jeweiligen Endgerät (z. B. Rechner mit EthernetNetzwerkcontroller) einen Netzwerkzugang ermöglicht. 10 1 Netzwerke Auch wenn es für die Hochgeschwindigkeitstechnologien alternative LANZugriffsverfahren bzw. entsprechende Entwicklungen gab (z. B. 100VG-AnyLAN), hat sich heutzutage Ethernet mit dem CSMA/CD-Verfahren als Grundlage und Standard durchgesetzt. Dabei beruht das CSMA/CD-Verfahren auf folgenden Überlegungen: Eine Station (Rechner in einem lokalen Netzwerk) möchte Daten übertragen. Zu diesem Zweck versucht sie, über die eingebaute Netzwerkkarte auf dem Übertragungsmedium zu erkennen, ob eine andere Station Daten überträgt (Carrier Sense). Wenn das Medium besetzt ist (Collision Detection), zieht sich die Station wieder zurück und wiederholt diesen Vorgang in unregelmäßigen Abständen, bis die Leitung frei ist. Dann beginnt sie mit dem Übertragungsvorgang. Alle am Netz befindlichen Rechner überprüfen den Header des ankommenden Datenpakets (Frame), und nur derjenige, dessen eigene Adresse mit der Zieladresse im Frame übereinstimmt, beginnt mit dem Empfangsprozess (siehe Abb. 1–1). A Carrier Sense C B A Multiple Access C B A Collision Detection C B Abb. 1–1 CSMA/CD-Zugriffsverfahren im Ethernet Bei der gleichzeitigen Übertragung mehrerer Stationen ist zu beachten, dass das Prinzip der Kollisionserkennung (Collision Detection) dazu führt, dass die erste sendende Station ihren Sendeprozess unmittelbar abbricht und ein Störsignal (JamSignal) produziert. Ein erneuter Sendeversuch wird innerhalb zufällig generierter Intervalle wiederholt. Zufällig gebildete Intervalle minimieren das Risiko überproportional steigender Kollisionen. Kommt nach weiteren Sendeversuchen mit unterschiedlich langen Wartezeiten und fünf weiteren, gleich großen Zeitintervallen 1.2 Netzwerkvarianten 11 keine störungsfreie Übertragung zustande, wird die nächsthöhere Protokollschicht informiert und muss nun ihrerseits geeignete Sicherungsmechanismen durchführen. Bei der Betrachtung des Ethernet-Standards (Version 2) ist zu berücksichtigen, dass dieser leicht vom 802.3-Standard abweicht. Die Differenzen zeigen sich insbesondere in unterschiedlichen maximalen Signalrundlaufzeiten und im Aufbau der Datenpakete (Frames). So befindet sich im Ethernet-Frame auf Byte-Position 20 ein Zwei-Byte-Typenfeld, aus dem das hier eingesetzte höhere Protokoll hervorgeht. Anschließend beginnt der Datenteil. Im IEEE-802.3-Frame hingegen fehlt das Typenfeld. Stattdessen gibt es ein gleich großes Längenfeld, in dem die Gesamtlänge des Frames eingesetzt wird. Anschließend folgt der LLC-Header (Logical Link Control) mit den Daten. Daraus ergibt sich eine Inkompatibilität von Rechnern, die mit diesen beiden Standards arbeiten und miteinander kommunizieren wollen. In Abbildung 1–2 sind die Unterschiede im Frame-Aufbau dargestellt. a) Ethernet Frame Format 7 1 Präambel 6 Destination Address 6 Source Address 2 4 Type Daten FCS b) IEEE 802.3 Frame Format 7 1 Präambel 6 Destination Address Frame Delimiter Abb. 1–2 6 Source Address 2 DS SSAP Co AP nt ro l Fi eld Frame Delimiter 4 2 LLC Length Type Daten FCS Protocol Id Unterschiede im Aufbau der Datenpakete Fast Ethernet Fast Ethernet beschreibt einen als IEEE 802.3u definierten Standard, der aus dem klassischen Ethernet hervorgegangen ist. Seine Implementierung wird als 100BaseT bezeichnet und stellt eine Bandbreite von 100 Mbit/s zur Verfügung. 100BaseT beruht auf dem IEEE-802.3-Standard und ist somit in der Lage, beide Geschwindigkeiten, also sowohl 10 Mbit/s als auch 100 Mbit/s, im lokalen Netzwerk zu realisieren. Auch das Frame-Format ist für beide Implementierungen identisch. Da 100BaseT das gleiche Zugriffsverfahren wie 10BaseT verwendet (CSMA/ CD), ist eine Reduktion der als Collision Domain bezeichneten Entfernung zwischen zwei Ethernet-Stationen von etwa 2000 m auf 200 m erforderlich. Das Design einzelner Netzwerksegmente ist abhängig von den für dieses Verfahren eingesetzten Medien. 100BaseTX-, 100BaseFX- und 100BaseT4-Medien unterscheiden sich jeweils im Kabeltyp, in der Anzahl einzelner Adern und in den verwendeten Anschlusstypen. 12 1 Netzwerke Gigabit Ethernet Die unmittelbare Weiterentwicklung von Fast Ethernet stellt Gigabit Ethernet dar. Aus Sicht des ISO/OSI-Layers 2 (Data Link Control) in Richtung höhere Protokollschichten ist die Architektur von Gigabit Ethernet mit dem IEEE-802.3-Standard identisch. Allerdings mussten die 1999 neu geschaffenen Standards IEEE 802.3z (Gigabit Ethernet über Glasfaser) und IEEE 802.3ab (Gigabit Ethernet über Kupferkabel 1000BaseT) hinsichtlich der physikalischen Schicht angepasst werden, damit Geschwindigkeiten von bis zu 1000 Mbit/s erreicht werden können. Die leicht modifizierte Gigabit-Ethernet-Architektur geht aus Abbildung 1–3 hervor. Eine medienunabhängige Schnittstelle (GMII = Gigabit Media Independent Interface) innerhalb der physikalischen Schicht sorgt für Transparenz gegenüber den höheren Protokollschichten. Das Medium spielt beim Gigabit Ethernet eine herausragende Rolle. Glasfaserkabel (Medien 1000BaseCX, 1000BaseLX und 1000BaseSX) sind aufgrund ihrer Materialbeschaffenheit und der anwendbaren Codierungsverfahren für solch hohe Geschwindigkeiten besonders gut geeignet. Aber auch die am 1000BaseT orientierten Twisted-Pair-Kabel lassen sich für das Gigabit Ethernet verwenden, vorausgesetzt, es werden alle vier Adernpaare für die Signalübermittlung verwendet (für 10BaseT oder 100BaseT sind zwei der vier Adernpaare ausreichend). Während der Einsatz des Glasfaserkabels Übertragungsstrecken bis zu 5000 m erlaubt, verringert sich die Distanz beim 1000BaseT, also beim Kupferkabel, auf etwa 100 m. Dieses ist daher lediglich zur Überwindung kurzer Entfernungen bzw. innerhalb von Verteilerschränken verwendbar. Media Access Control (MAC) Gigabit Media Independent Interface (GMII) 1000BaseT (Kupfer) 1000BaseX (Glasfaser) 1000BaseCX IEEE 802.3z Abb. 1–3 1000BaseLX IEEE 802.3z 1000BaseSX IEEE 802.3z 1000BaseT IEEE 802.3ab Darstellung der modifizierten Architektur bei Gigabit Ethernet 100VG-AnyLAN Parallel zur Entwicklung von Fast Ethernet wurde die 100VG-AnyLAN-Technologie geschaffen, die alternativ andere LAN-Zugriffsverfahren als das CSMA/CD nutzen kann.