In Sammlung (en) In der gespeicherten
  1. Ingenieurwissenschaft
  2. Informatik
  3. Rechnernetze

Grundlagen der Kommunikationstechnik

Werbung 
)DFKKRFKVFKXOH
'HJJHQGRUI
Skript
zur
Vorlesung
Grundlagen
der
Kommunikationstechnik
SS 2001
(Teil 3 von 3)
LB Horst Kunhardt
Fachhochschule Deggendorf
Horst Kunhardt, FH-Deggendorf
Kommunikationstechnik
5.
Internetworking...................................................................................................................91
5.1.
Physische Netzverbindung mit Routern......................................................................91
5.2.
Internetworking-Protokoll TCP/IP..............................................................................92
5.3. IP-Adressen .................................................................................................................93
5.4.
Bindung von Protokolladressen ARP .........................................................................96
8. Domain Name System (DNS).............................................................................................98
7. Netzwerkmanagement (SNMP) ..........................................................................................99
8. Netzsicherheit....................................................................................................................100
8.1.
Integritätsmechanismen ............................................................................................100
8.2.
Zugriffskontrolle und Passwörter..............................................................................101
8.3. Verschlüsselung und Datensicherheit .......................................................................101
8.4.
Verschlüsselung mit öffentlichen Schlüsseln ...........................................................101
8.5. Authentifikation mit digitalen Unterschriften...........................................................103
8.6. Filterung von Paketen ...............................................................................................103
8.7. Das Firewall-Konzept ...............................................................................................104
Seite
2
Horst Kunhardt, FH-Deggendorf
Kommunikationstechnik
5. Internetworking
Bisher wurde der Aufbau von lokalen Netzwerken (LANs) und WANs beschrieben. Das sog.
Internetworking bezeichnet die Verbindung mehrerer physikalischer Netzwerke zu einem
einheitlichen Kommunikationssystem. LAN-Technologien sind für die schnelle
Kommunikation auf kurze Entfernungen optimiert. WAN-Technolgien sind konzipiert, um
große Entfernungen zurücklegen zu können. Um diese unterschiedlichen Netz-Technologien
kombinieren zu können, wurde das flexible Konzept des Internetworking entwickelt.
Das Internet kann somit als Netzwerk beschrieben werden, das wiederum aus vielen
unterschiedlichen Einzelnetzwerken aufgebaut ist.
5.1. Physische Netzverbindung mit Routern
Für den Zusammenschluß von heterogenen Netzwerken werden sog. Router (siehe Kap. 4.6)
verwendet. Ein Router kann im einfachsten Fall als dedizierter Computer für den
Zusammenschluß von zwei Netzwerken mit u.U. unterschiedlicher Technologie,
unterschiedlichen Medien oder Rahmenschemata angesehen werden.
Somit kann das Internet als ein über viele Router verbundenes Netzwerk aus unterschiedlichen
Teilnetzwerken bezeichnet werden.
Seite
91
Horst Kunhardt, FH-Deggendorf
Kommunikationstechnik
Das Internet ist also ein virtuelles Netzwerk, bei dem die zugrundeliegende physische Struktur
über Router aufgebaut ist.
5.2. Internetworking-Protokoll TCP/IP
TCP/IP (Transmission Control Protocol/Internet Protocol) ist eine Protokollfamilie, die für das
Internetworking im Rahmen des ARPA-Projekts entwickelt wurde. Das TCP/IP-Protokoll ist
auf jeder Rechnerplattform verfügbar und somit für die Vernetzung von heterogenen
Netzwerken einsetzbar.
TCP/IP definiert den Begriff „Hostrechner“ oder „Host“ als beliebiges Computersystem, das an
ein Internet angeschlossen ist.
Seite
92
Horst Kunhardt, FH-Deggendorf
Kommunikationstechnik
Zentraler Bestandteil jeder TCP/IP-Protokollsoftware ist der TCP/IP-Kernel, der die
Kommunikation zwischen dem Netzwerktreiber der Netzwerkkarte und den auf höheren
ISO/OSI-Schichten liegenden Applikationen steuert.
Die meisten der heute verwendeten Netzwerkprotokolle (TCP/IP, IPX/SPX) enthalten alle oder
einen Teil der im ISO/OSI-7-Schichten-Modell definierten grundlegenden Funktionen.
Auf das TCP/IP-Protokoll setzen Applikationen wie z.B. ftp für den Filetransfer, telnet und
rlogin für Remote Control bzw. Remote Login oder E-Mail und Webbrowserdienste auf.
Die folgende Abbildung zeigt einen sog. Protokoll-Graphen, mit den über TCP/IP verfügbaren
Applikationen:
Im Folgenden wird IP und DNS genauer beschrieben.
5.3. IP-Adressen
Damit das aus vielen unterschiedlichen Netzwerken bestehende Internet als ein einheitliches
System erscheint, müssen alle Hostrechner ein einheitliches Adreß-Schema verwenden. Um ein
einheitliches Adreß-Schema für alle Hosts sicherzustellen, definiert TCP/IP ein Adreß-Schema,
das von den zugrundeliegenden Hardwareadressen unabhängig ist. Vergleichbar mit den
Hardwareadressen in einem physikalischen Netzwerk werden also für das virtuelle Internet
Protokolladressen als Zieladressen verwendet.
Seite
93
Horst Kunhardt, FH-Deggendorf
Kommunikationstechnik
Die Adressierung des TCP/IP-Protokollstapels wird durch den IP-Standard festgelegt. Jeder
Host trägt eine 32 Bit1 lange Adresse, die sog. IP-Adresse (Internet Protocol Address). Jedes
im Internet versendete Paket enthält die IP-Adresse des Senders (Quelle) und des Empfängers
(Zielhost). Um also in einem TCP/IP-Internet Daten zu übertragen, muß der sendende
Computer die IP-Adresse des Empfängers kennen. Anwendungen in höheren Schichten
verwenden dabei Rechnernamen, die von niedrigeren Schichten wiederum als IP-Adresse
identifiziert werden.
Jede 32 Bit lange IP-Adresse gliedert sich in zwei Teile:
•
•
Netz-ID: identifiziert das physische Netz, an das der Computer angeschlossen ist
Host-Id: identifiziert einen bestimmten Computer im betreffenden Netzwerk
D.h., jedes an das Internet angeschlossene Netzwerk muß einen weltweit eindeutigen Wert in
Form der Netz-Id besitzen. Die Zuweisung der Netz-Ids wird global koordiniert (Internic,
ARIN, Denic). Die Host-Ids können vom lokalen Netzwerkadministrator vergeben werden.
Sind zwei Computer an unterschiedliche physikalische Netzwerke angeschlossen, haben ihre
Adressen eine andere Netz-Id. Sind zwei Computer an das gleiche physikalische Netzwerk
angeschlossen, haben ihre Adressen eine unterschiedliche Host-Id.
1
32
Ein Adreßraum von 32-Bit entspricht etwa 4,3 Milliarden (2 ) verschiedenen Adressen
Seite
94
Horst Kunhardt, FH-Deggendorf
Kommunikationstechnik
Ein Internet kann eine Mischung aus vielen kleinen Netzwerken oder wenigen großen
Netzwerken sein. Eine lange Netz-Id erlaubt die Bildung vieler Netzwerke aber mit wenigen
Hosts. Eine lange Host-Ids erlaubt zwar die Abbildung vieler Hosts, dafür schränkt die dadurch
kürzere Netz-Id die Menge von Netzwerken ein. Die Designer des Adressraums bei TCP/IP
entschieden sich deshalb für einen Kompromiß, d.h. der IP-Adreßraum wurde in sog. Klassen
unterteilt.
IP-Adressen werden häufig in der sog. Punkt-Dezimal-Notation (Dotted Decimal Notation)
eingegeben:
Der IP-Standard definiert einige reservierte Adressen. Die Host-Adresse 0 wird zur
Kennzeichnung eines Netzes verwendet. So bezeichnet die Adresse 128.211.0.0 das Netzwerk,
dem die Netz-Id 128.211 der Klasse B zugewiesen wurde. Eine Broadcast-Adresse besteht aus
Seite
95
Horst Kunhardt, FH-Deggendorf
Kommunikationstechnik
der Netz-Id und der Host-Id aus 1 (z.B. 128.211.255.255). Für Testzwecke definiert der IPStandard eine sog. Schleifenadresse (loopback address) mit 127.0.0.1. Während der
Ausführung eines Schleifentests verlässt kein Paket die Netzwerkkarte.
Manchmal ist eine weitere Unterteilung des zugewiesenen Adressraums in Teilnetze (Subnets)
erforderlich, weil der Adressraum, der einem Unternehmen vom InterNic zugewiesen wurde,
für die Abbildung aller Hosts nicht ausreicht. Eine weitere Unterteilung einer bereits
existierenden Netz-Id wird als Teilnetzbildung (Subnetting) bezeichnet. Dazu werden einige
Bits von der Host-Id verwendet, um eine größere Netz-Id zu bilden (Subnet-Mask).
Sog. private IP-Adressen unterliegen nicht der Vergabe des InterNic und können z.B. für ein
Netzwerk vergeben werden, das nicht ans Internet angeschlossen wird. RFC 1597 (Address
Allocation for Private Internets) regelt die Vergabe von IP-Adressen, die nicht von Routern im
Internet weitergeleitet werden dürfen. Diese Adressen bieten auch eine gewisse Schutzfunktion,
da Router diese Adressen verwerfen. Für die Klasse A sind es die Nummern 10.0.0.1 bis
10.255.255.254, für Klasse-B-Netze ist es 172.16.0.0 bis 172.31.0.0 und für Klasse-C-Netze
liegt der frei vergebbare Bereich für IP-Adressen bei 192.168.0.0 bis 192.168.255.0.
Mechanismen in Routern, wie z.B. NAT (Native Address Translation), erlauben die IPAdreßumsetzung von privaten zu öffentlichen IP-Adressen.
Die derzeitige Version des IP-Protokolls (IPv4) bietet leider nur einen begrenzten Adressraum.
Neue Anwendungen, wie z.B. die Audio- und Videobearbeitung und –wiedergabe, setzen eine
Datenübertragung in festen Intervallen voraus und müssen das häufige Wechseln von Routen
vermeiden. Diese Erweiterungen wurden in einem neuen Protokoll IP – The Next Generation
(IPng) bzw. IPv6 spezifiziert. Die wichtigsten Änderungen in IPv6 sind:
•
•
•
Die Adreßgröße erweitert sich von 32 auf 128 Bit
Video- und Audiounterstützung
Erweiterbares Protokoll
5.4. Bindung von Protokolladressen ARP
Die Umsetzung der IP-Adresse eines Computers in seine entsprechende Hardwareadresse
(MAC-Adresse) wird als Adressauflösung (Address Resolution) bezeichnet. Dabei kann ein
Computer die Adresse eines anderen Computers nur auflösen, wenn beide Computer an das
gleiche physische Netzwerk angeschlossen sind. Stellt die Protokollsoftware eines Computers
fest, dass die IP-Adresse nicht im gleichen Netzwerk aufgelöst werden kann, sendet die
Software das Paket an den Router (Default Gateway), der das Paket weiterleitet. Das bedeutet,
jeder Computer kann nur die Adresse bis zur nächsten Teilstrecke auflösen.
Für die Adressauflösung in Netzwerken gibt es unterschiedliche Methoden:
•
•
•
Suche in einer Tabelle
Direkte Berechnung
Austausch von Nachrichten
Seite
96
Horst Kunhardt, FH-Deggendorf
Kommunikationstechnik
Für TCP/IP eigenen sich alle o.a. Methoden und werden in Abhängigkeit von der Hardware
eingesetzt. Ein gebräuchliches Protokoll für den Nachrichtenaustausch in der TCP/IPProtokollfamilie ist das Address Resolution Protocol (ARP). Der ARP-Standard definiert
hierzu zwei Nachrichtenarten:
•
•
Anfrage (IP-Adresse)
Antwort (MAC-Adresse)
In einem Shared-LAN, wie z.B. Ethernet, erhalten alle Computer eine ARP-Anfrage und prüfen
die IP-Adresse. Der Computer mit der angefragten IP-Adresse sendet eine Antwort. Alle
anderen Computer verwerfen die Anfrage, ohne eine Antwort zu senden. ARP-Antworten
werden nicht an alle Hosts gesendet.
Das Format einer ARP-Nachricht zeigt die folgende Abbildung:
Auf jedem Host wird die ARP-Cache-Table geführt, die die IP-Adressen und die
dazugehörigen MAC-Adressen enthält, zu denen schon einmal Kontakt bestand. Einträge in
dieser Tabelle werden nach 20 Minuten automatisch gelöscht. Alle Netzwerkbetriebssysteme
mit TCP/IP, wie z.B. Windows NT oder Windows 2000, stellen das Kommando arp zur
Verfügung, um die Adressbildung einzusehen bzw. zu beeinflussen. (z.B. arp –a).
Seite
97
Horst Kunhardt, FH-Deggendorf
Kommunikationstechnik
8. Domain Name System (DNS)
Das DNS (Domain Name System) stellt einen Standard dar, nach dem Rechnernamen oder
Internetnamen (Domain2 Names) (z.B. www.fh-deggendorf.de) in die entsprechenden IPAdressen umgesetzt werden. DNS ist ein Teil der Protokollfamilie TCP/IP.
Wenn eine Netzwerkapplikation einen DNS-Namen in eine IP-Adresse auflösen will, sendet sie
eine sog. DNS-Suchanfrage an einen DNS-Server. Die DNS-Server enthalten eine verteilte
Datenbank mit Tabellen aus DNS-Name/IP-Adresse, die zur Übersetzung des Namens
verwendet werden. Dabei übernimmt jeder Server die Namensauflösung (Name Resolution) für
eine bestimmte Zone. Die zur Durchführung der Übersetzung verwendete Software wird als
Name Resolver bezeichnet.
Alle DNS-Server sind untereinander verknüpft und bilden ein einheitliches System, bestehend
aus Root-Servern und Servern, die für die Namen der unteren Ebenen der Namenshierarchie
zuständig sind.
Jeder DNS-Server kennt die Adresse seines Root-Servers. So ergibt sich ein hierarchisches
Namenssystem, das im Internet eindeutig ist. Aufgrund dauernder Namensanfragen wäre DNS
ein sehr ineffizientes System, wenn nicht Optimierungsmethoden, wie z.B. Replikation
2
Um eine Domäne zu beantragen, muß sich eine Organisation oder ein Unternehmen bei der zuständigen InternetBehörde registrieren lassen. Diese Dienste bieten auch manche Provider an.
Seite
98
Horst Kunhardt, FH-Deggendorf
Kommunikationstechnik
(Kopien von wichtigen Root-Servern) und Caching (Zwischenspeichern von bereits
aufgelösten Namen).
Der für die Bindung zwischen einem Domänennamen und der dazugehörigen IP-Adresse
benutzte Satztyp in der DNS-Datenbank wird als Typ A (Addresstype) bezeichnet.
Darüberhinaus gibt es noch den Typ MX (Mail eXchanger), der für die Namensauflösung eines
in einer E-Mailadresse vorkommenden Domänennamens zuständig ist. Der Typ CNAME
entspricht einer symbolischen Verknüpfung mit einem Dateisystem.
7. Netzwerkmanagement (SNMP)
Protokolle, wie z.B. TCP/IP, können einen möglichen Paketverlust verbergen. Sporadisch
auftretende Fehler in der Netzwerkhardware und –software sind daher nur schwer zu erkennen.
Mittels Netzwerkmanagementsoftware können aktive Netzwerkkomponenten überwacht und
gesteuert werden. So lassen sich z.B. Statusmeldungen von Hosts, Routern, Hubs oder
statistische Daten des Netzwerkes abfragen.
Gerade heterogene Netzwerke (Ethernet, ATM, FDDI) erfordern ein herstellerübergreifendes
Netzwerkmanagementsystem. Aufgrund der weiten Verbreitung des TCP/IP-Protokolls hat sich
SNMP (Simple Network Management Protocol) aus Quasi-Standard durchgesetzt. SNMP
wurde 1988 von der Internet Engineering Task Force (IETF), einer Gruppe aus dem Internet
Activities Board (IAB) entwickelt. Dabei handelt sich um ein asynchrones Request/ResponseProtokoll.
Ziele der Entwicklung von SNMP waren eine einfache Konzeption und eine wachstumsfähige
Architektur.
SNMP besteht aus 3 Teilen:
•
•
•
NMS3 (Network Management Station)
Managed Nodes mit den sog. Agenten (Software z.B. in einem Switch)
SNMP-Protokoll
Als Transportprotokoll wird UDP (User Datagram Protocol ) verwendet.
Die NMS ist ein Rechner im Netzwerk mit Software, die Informationen bei den Agents abfragt,
auswertet und anzeigt. Grundlage des Informationsaustausches ist die SMI (Structure and
Identification of Management Information) und die daraus abgeleitete MIB4 (Management
Information Base) mit der Beschreibung der einzelnen Objekte.
3
4
Kommerzielle System sind z.B. HP OpenView oder Tivoli Unicenter TNG
SNMP definiert keine MIB, sondern nur das Format und die Kodierung von Nachrichten
Seite
99
Horst Kunhardt, FH-Deggendorf
Kommunikationstechnik
8. Netzsicherheit
Zur Zeit gibt es keine absolute Definition, wie ein sicheres Netzwerk auszusehen hat. Die
Ausarbeitung von Sicherheitsregelungen für Netzwerke kann sehr komplex werden, weil das
Unternehmen, dem das Netz gehört, vorab definieren muß, welche Daten in welchem Umfang
geschützt werden müssen.
Folgende Sicherheitsaspekte müssen betrachtet werden:
•
•
•
Integrität der Daten: Integrität bezieht sich auf den Schutz vor Änderungen, d.h. sind
die beim Empfänger ankommenden Daten mit denen identisch, die vom Sender
übertragen wurden?
Verfügbarkeit der Daten: Verfügbarkeit bezieht sich auf den Schutz vor
Dienstunterbrechung, d.h. sind die Daten zur legitimen Verwednung ständig verfügbar?
Vertraulichkeit der Daten und Datenschutz: Sind die Daten vor Ausspionieren, bzw.
vor unberechtigtem Zugriff geschützt?
Zur Regelung dieser Sicherheitsaspekte gibt es die folgenden Lösungswege.
8.1. Integritätsmechanismen
Bei der Beschreibung der Datenübertragung auf der Bitebene wurden bereits Techniken zur
Sicherstellung der Integrität der Daten vor versehentlicher Beschädigung, wie z.B. Prüfsummen
und zyklische Redundanzprüfung (CRC), beschrieben. Mit Prüfsummen oder CRC lässt sich
aber die Integrität der Daten nicht absolut gewährleisten, da auch ein Angreifer, der die Daten
absichtlich geändert hat, eine gültige Prüfsumme erzeugen kann.
Für die Gewährleistung der Integrität von Nachrichten und dem Schutz vor absichtlicher
Veränderung werden folgende Methoden eingesetzt:
•
Kodierung der Daten mit einem MAC-Code (Message Authentification Code)
o kryptographisches Hashing, d.h. ein Geheimschlüssel wird verwendet, der nur
dem Sender und Empfänger bekannt ist.
Diese Verfahren basieren auf dem Prinzip, dass eine veränderte geschützte Nachricht fehlerhaft
ist, oder nicht dekodiert werden kann. D.h., der Empfänger weiß, wenn er die Nachricht richtig
entschlüsseln kann, dass sie auch authentisch ist.
Seite
100
Horst Kunhardt, FH-Deggendorf
Kommunikationstechnik
8.2. Zugriffskontrolle und Passwörter
Bei den meisten Computersystemen wird der Zugriff auf Netzwerkressourcen durch Passwörter
geschützt. In vielen Netzwerken werden Passwörter ungeschützt übertragen und können
abgefangen werden (shared LAN).
Die Identifikation autorisierter Benutzer und der Ausschluß aller anderen ist die
Grundvoraussetzung für jedes Sicherungssystem.
Zur Benutzeridentifizierung gibt es drei Verfahren:
•
•
•
Ein dem Benutzer bekanntes Geheimnis (Passwort, PIN)
Ein Gegenstand im Besitz des Benutzers (Schlüssel, Karte, Ausweis)
Ein benutzerindividuelles Merkmal (Finderabdruck, Stimme, Muster der Retina), sog.
biometrische Daten
Zur zuverlässigen Autorisierung ist der Einsatz von mindestens zwei dieser Methoden
notwendig.
8.3. Verschlüsselung und Datensicherheit
Um sicherzustellen, dass der Inhalt einer Nachricht auch bei einem möglichen Abfangen der
Nachricht vertraulich bleibt, muß die Nachricht verschlüsselt (encrypted) werden. Die Bits
einer Nachricht werden dabei durch einen Chiffrieralgorithmus so umgestellt, dass sie sich nur
vom rechtmäßigen Empfänger, der im Besitz des Schlüssels, bzw. des Dechiffrieralgorithmus
befindet, wieder in eine lesbare Form bringen lassen.
Dieses Verfahren wird symmetrische Verschlüsselung5 genannt, weil Sender und Empfänger
im Besitz je einer Kopie des Chiffrierschlüssels sein müssen.
8.4. Verschlüsselung mit öffentlichen Schlüsseln
Bei der sog. asymmetrischen Verschlüsselung erhält jeder Anwender des Systems zwei
Schlüssel. Der private Schlüssel liegt allein beim Besitzer. Der öffentliche Schlüssel, der mit
dem Namen des Benutzers in einem öffentlichen Server hinterlegt wird, dient einem
Empfänger zum Entschlüsseln der Nachricht.
Als Chiffrierfunktion wird eine mathematische Funktion6 verwendet, die eine mit dem
öffentlichen Schlüssel chiffrierte Nachricht nur in Verbindung mit dem privaten Schlüssel
dechiffrieren kann. Umgekehrt kann eine mit dem privaten Schlüssel chiffrierte Nachricht nur
mit dem öffentlichen Schlüssel dechiffriert werden. Die Preisgabe des öffentlichen Schlüssels
stellt dabei kein Sicherheitsrisiko dar, weil die beim Ver- und Entschlüsseln benutzten
Funktionen ein sog. Einweg-Merkmal aufweisen.
5
6
Eine gute Einführung zum Thema Verschlüsselung bietet: Singh Simon, “Geheime Botschaften”, Hanser, 1999
Zerlegung in Primfaktoren
Seite
101
Horst Kunhardt, FH-Deggendorf
Kommunikationstechnik
Die folgende Abbildung zeigt die Methode am Beispiel des Teletrust-Systems der Telekom:
Seite
102
Horst Kunhardt, FH-Deggendorf
Kommunikationstechnik
8.5. Authentifikation mit digitalen Unterschriften
Um den Sender einer Nachricht auszuweisen, wird die Technik der digitalen Signatur
eingesetzt. Um eine Nachricht auf diese Weise zu unterschreiben, chiffriert der Sender die
Nachricht mit einem Schlüssel, der nur ihm bekannt ist. Der Empfänger benutzt die
Umkehrfunktion, um die Nachricht zu dechiffrieren. Der Empfänger kann erkennen, wer die
Nachricht gesendet hat, weil nur der Sender die zur Durchführung der Verschlüsselung nötige
Chiffre hat. Um sicherzustellen, dass eine verschlüsselte Nachricht nicht kopiert und später
erneut versendet wird, kann in die Originalnachricht Zeit und Datum mit einkopiert werden.
8.6. Filterung von Paketen
Um zu verhindern, dass jeder am Netzwerk angeschlossene Host auf beliebige Computer oder
Dienste zugreifen kann, wird die sog. Paketfilterung eingesetzt. Diese Technik entspricht der
Funktionsweise von Routern (Store-and-Forward). Die Software verhindert oder erlaubt, dass
Pakete den Router auf einem Pfad von einem Netz zu einem anderen geschützten Netz
passieren.
Neben der Filterung von Ziel- und Quellenadressen kann ein Paketfilter auch Protokolle oder
Dienste, die im Paket kodiert sind, abweisen oder erlauben. So kann z.B. konfiguriert werden,
dass alle Pakete, die Web-Pakete (http) befördern, blockiert werden, während E-Mail-Pakete
(SMTP) weitergeleitet werden.
Seite
103
Horst Kunhardt, FH-Deggendorf
Kommunikationstechnik
8.7. Das Firewall-Konzept
Ein als Schutzwall zur Abschirmung eines Unternehmensnetzwerkes vor unerwünschtem
Internet-Verkehr konfigurierter Paketfilter heißt Filterwall. Durch Errichtung einer Firewall
auf das gesamte Netzwerk nach außen, stellt ein Unternehmen eine sichere Grenze auf, die
Außenseitern den Zugang zu den eigenen Computern verwehrt.
Bei der Konfiguration einer Firewall gibt es zwei Prinzipien:
•
•
Alles ist verboten, was nicht explizit erlaubt ist
Alles ist erlaubt, was nicht explizit verboten ist
Zu den Hauptaufgaben einer Firewall gehört es, unerwünschten Besuchern aus dem Internet
den Zugang zu verwehren und andererseits zu verhindern, dass firmeninterne Daten nach außen
gelangen. Daneben protokollieren Firewalls auch den Verkehrs zwischen dem öffentlichen
Netz und dem abgeschotteten Netzwerk.
Firewalls lassen sich auf unterschiedliche Arten realisieren. Es kann sich dabei z.B. um einen
Router handeln, der Pakete nur nach bestimmten Regeln transportiert. In der Mehrzahl der
existierenden Firewalls sind Paketfilter im Einsatz, da sie relativ einfach zu installieren sind.
Üblicherweise ist jedem Internet-Paket zu entnehmen, an welche Adresse es gelangen soll und
welchen Dienst (IP-Port7) es nutzt. Einen Auszug über die in Windows 2000 implementierten
Ports liefert folgende Abbildung:
7
Pfad: \winnt\system32\drivers\etc\services
Seite
104
Horst Kunhardt, FH-Deggendorf
Kommunikationstechnik
Ein Nachteil von Paketfiltern ist die aufwendige Verwaltung vor allem in komplexen
Netzwerken.
Anstatt das Internet direkt an das private Netzwerk anzuschliessen, kann auch ein
Zwischennetz als halb-öffentliches Netz geschaltet werden, auf das sowohl Mitarbeiter als
auch Internet-Teilnehmer Zugriff haben. Ein Passieren des Netzes ist jedoch aus keiner der
beiden Richtungen möglich. Im abgeschirmten Zwischenetzwerk können Server untergebracht
werden, die vom Internet aus erreichbar sein sollen, z.B. FTP- oder WWW-Server.
Neben den Angriffen von außen ist ein Netzwerk auch Angriffen von innen ausgesetzt. So lehrt
die Erfahrung, dass ein Großteil der Angriffe von Benutzern innerhalb des Netzwerks erfolgt.
Dieses Phänomen wird als „social firewalling“ bezeichnet.
Die Sicherung eines Netzwerkes von außen und von innen ist eine hochkomplexe Aufgabe, die
viel Wissen und das Zusammenwirken unterschiedliche Bereiche erfordert. Neben ausgereiften
technischen Maßnahmen entfällt aber ein großer Teil eines Sicherheitskonzepts auf
organisatorische Maßnahmen.
Seite
105
Herunterladen
Werbung