Netzwerke und Betriebssysteme
Werbung
Netzwerke und Betriebssysteme Zusammenfassung André Maurer [email protected] www.andre.maurer.name Wirtschaftsinformatik FH 2.5 Fachhochschule Solothurn, Olten TEIL I Netzwerke Netzwerke Inhaltsverzeichnis andre.maurer.name Inhaltsverzeichnis 1 Daten Kommunikation .................................................................... 1 2 OSI (Open System Interconnection) ............................................... 1 2.1 3 4 Kommunikation im OSI-Modell 2 2.1.1 „Primitive Dienste“ (Dienstoperationen) 2 2.1.2 Verbindungsloser Dienst 3 2.1.3 Headers und Trailers 3 2.1.4 Topologien (Beispiel Standard X.21) 3 2.2 OSI Layer 1 - Physical 3 2.3 OSI Layer 2 - Data Link 4 2.4 OSI Layer 3 - Network 5 2.4.1 Routing Algorithmen 7 2.4.2 Netzwerkadressierung 7 2.5 OSI Layer 4 - Transport 8 2.6 OSI Layer 5 - Session 9 2.7 OSI Layer 6 - Presentation 9 2.8 OSI Layer 7 - Application 9 Netzwerkarchitektur ....................................................................... 9 3.1 Storage Area Network – SAN 9 3.2 Local Area Network – LAN 10 3.3 Metropolitan Area Network – MAN 10 3.4 Wide Area Network – WAN 10 3.5 Übersicht 11 3.6 Backbone 11 3.7 Intranet 11 3.8 VPN (Virtual Private Network) 11 Netzwerkkomponenten ................................................................. 12 4.1 Router 12 4.2 Transceiver 12 4.3 Repeater 12 4.4 HUB 12 4.4.1 Stackable HUBs 13 4.4.2 HUBs cascadieren 13 Netzwerke Inhaltsverzeichnis andre.maurer.name 4.5 SWITCH 13 4.6 Bridge 13 4.7 Bridge 13 4.8 Firewall 14 4.9 Node/Netzknoten 14 4.10 NAT (Network Address Translator) 14 4.11 Server 14 4.12 ISP (Internet Service Provider) 15 4.13 Begriffe zu Netzwerkkomponenten 15 4.13.1 Managed / Unmanaged 15 4.13.2 Full / Halfduplex 15 4.13.3 Mediakonverter 15 4.14 Diagnose- und Messwerkzeuge 15 4.14.1 Networksniffer 15 4.14.2 Statisticsbox 15 4.14.3 Serial line Analyzer 15 4.14.4 Breakout Box 15 4.14.5 Durchgangsprüfer 16 4.15 Symbole 16 5 Netzwerkprotokolle ...................................................................... 16 6 TCP/IP Adressierung .................................................................... 17 6.1 IP Adressen 17 6.2 IP Netzwerkklassen 17 6.3 IP Adressen Notation 18 6.4 Netzwerkadresse 18 6.5 Broadcast Adresse 18 6.6 TCP/IP Adressierung 18 6.6.1 Probleme mit TCP/IP 19 6.6.2 Subnetting/Supernetting 20 6.6.3 Subnetzmasken 20 6.7 TCP/IP Protokolle 21 6.7.1 Protokolle und OSI-Modell bei TCP/IP 21 6.7.2 ICPM (Internet Control Message Protocol) 21 6.7.3 IGMP (Internet Group Multicasting Protocol) 21 6.7.4 ARP (Address Resolution Protocol) 21 6.7.5 RIP (Routing Internet Protocol) 22 Netzwerke Inhaltsverzeichnis 6.7.6 OSPF (Open Shortest Path First) 22 6.8 TCP/IP Routing 22 6.9 TCP/IP auf Layer4 (Transport) 22 6.9.1 7 andre.maurer.name Zwei Armeen Problem 22 6.10 TCP/IP T-SAPs (Transport Service Access Points) 23 6.11 TCP/IP Applikationen 23 6.11.1 DNS (Domain Name System) 23 6.11.2 Telnet 23 6.11.3 FTP (File Transfer Protocol) 23 6.11.4 NFS (Networking Filesystem SUN) 24 6.11.5 Berkeley R-Befehle 24 6.11.6 MAIL 24 Sicherheit ..................................................................................... 25 7.1 Sicherheitsaspekte 25 7.2 Sicherheitsvorgehen 25 7.2.1 security planning 26 7.2.2 risk assessment 26 7.2.3 cost-benefit analysis 26 7.2.4 security policies 26 7.2.5 implementation 26 7.2.6 audit & incident response 26 7.3 Risiken im Netzwerkbereich 27 7.4 Sicherungsansätze 27 7.4.1 7.5 Probleme mit IP-Adressen und IP-Port Filterung End-End Verschlüsselung 28 28 7.5.1 SSL (Secure Socket Layer) 28 7.5.2 symmetrische Verschlüsselung (private key) 28 7.5.3 asymmetrische Verschlüsselung (public key) 28 7.5.4 digitale Signatur 28 8 Literaturverzeichnis ...................................................................... 29 9 Abbildungs- und Tabellenverzeichnis............................................ 29 Netzwerke 1 andre.maurer.name Daten Kommunikation Daten Allgemeine Zahlenwerte; geben alleine keinen Sinn Bsp.: -15 Informationen Zusammenhängende Daten, welche einen Sinn ergeben Bsp.: -15° Celsius Wissen Wenn die Informationen verstanden werden Bsp.: -15° Celsius ist sehr kalt Erkenntnisse Wissen, was mit den Informationen angefangen werden kann Bsp.: bei -15°C muss ich mich warm anziehen Kommunikation wechselseitiger Austausch von Gedanken, Meinungen, Wissen, Erfahrungen und Gefühlen durch Informationsträger wie Presse, Funk, Film, Diskussion. 2 OSI (Open System Interconnection) Das OSI-Schichtenmodell ist ein allgemeines Modell für die standardisierte Kommunikation zwischen Rechensystemen. Es beschreibt die Kommunikationsarchitektur „offener“ Systeme. Das OSI-Modell ist ein Standard um Standards zu definieren. ISO (International Standardization Organization) erkannte 1977 den Bedarf an Standards. Das OSI Referenzmodell stellt eine abstrakte Beschreibung der Kommunikationsabläufe zwischen Systemen dar. Es beschreibt das äussere Verhalten der Systeme. Das Modell zeigt WAS standardisiert werden muss, nicht jedoch WIE Æ es gibt pro Layer wiederum verschiedene Standards. 7 Application 6 Presentation 5 Session 4 Transport 3 Network Network 2 Data Link Data Link 1 Physical Physical Medium Application 7 Presentation 6 Session 5 Transport 4 Network Network 3 Data Link Data Link 2 Physical Physical 1 Medium Abbildung 1: OSI-Modell zf_netzwerke.doc Seite 1 Netzwerke andre.maurer.name 7. Application: Client und Server müssen sich verstehen 6. Presentation: Einigung über Alphabet, das verwendet wird. 5. Session: An- und Abmelden 4. Transport: Verpackung (Vergleich: Brief, Postsysteme) 3. Netzwerk: Standard um mehrere Systeme (Netzwerke) zu verbinden und Daten über Netzwerke zu übertragen. 2. Data Link: Standard wie Daten, welche über Kabel kommen, interpretiert werden. z.B. Bit, Byte, Pakete 1. Physisch: Standard z.B. für Kabel Kommunikation zwischen zwei Systemen ist nur möglich, wenn alle Schichten miteinander kommunizieren. Dienstleistung wird nach oben Kommuniziert Æ Jede Schicht liefert Leistungen an die obere Schicht. 2.1 Kommunikation im OSI-Modell OSI (Open Systems Interconnection) bedeutet auf Deutsch „Vernetzung offener Systeme. Beispiel der Dienste für die OSI-Schichten: OSI-Schicht Anwendung, Dienste, 7: Anwendungsschicht eMail, Browser, Web-Anwendung 6: Darstellungsschicht ftp, telnet, HTTP 5: Kommunikationssteuerungsschicht RPC 4: Transportschicht TCP, UDP 3: Vermittlungsschicht IP, IPv6 2: Sicherungsschicht Ethernet, ALOHA, slotted ALOHA 1: Bitübertragungsschicht ISDN, ATM, FDDI, ADSL 2.1.1 „Primitive Dienste“ (Dienstoperationen) System A Request (Aufforderung Æ A fordert von B einen Dienst an) System B Indication (Ankündigung Æ B muss über ein Ereignis informiert werden) System B Response (Reaktion Æ B möchte auf das Ereignis antworten) System A Confirmation (Bestätigung Æ Antwort von B auf die frühere Anfrage) zf_netzwerke.doc Seite 2 Netzwerke 2.1.2 andre.maurer.name Verbindungsloser Dienst System A Request (Aufforderung) System B Indication (Ankündigung) 2.1.3 Headers und Trailers Jede Schicht im OSI-Modell hängt einen Header und Trailer an. Die Trailer-Länge ist in der Regel 0 Header beinhalten Steuerungsinformationen (zu welcher Schicht ein Dienst gehört, welche Grösse die Daten haben, zu welcher Zeit es abgesendet wurde, Reihenfolge der Datenpakete, Sicherung…). 2.1.4       Topologien (Beispiel Standard X.21) Bus Topologie (Grundstruktur für Broadcastmedien) Punkt-Punkt Topologie Stern Topologie Vermaschte Topologie ª Vollständig vermascht (alle Punkte sind verbunden) ª Teilweise vermascht (einige Punkte sind verbunden) Ring Topologie Doppelring Topologie 2.2 OSI Layer 1 - Physical Physikalische Ebene. Layer 1 sendet Bits von Medium zu Medium, ohne sich um die Inhalte der Daten zu kümmern. Hier sind folgende Gegebenheiten geregelt:  Kabelspezifikationen (Anzahl Adern, Impedanz etc.)  Spannung / Ströme  Stecker (Formen, Pin Belegungen)  Distanzen  Jedes physische Übertragungsmedium hat eine begrenzte maximale Datenrate. ª Theorie H. Nyquist: MaximaleDatenrate(bps ) = 2 H log 2 V H = Bandbreite des Kanals in HZ V = Anzahl diskreter Zustände auf dem Kanal (z.B. 0,1 Æ 2) ª  s n Theorie Shannon: MaximaleDatenrate(bps ) = 2 H log 2 ( I + ) s/n = Signal-to-noise ration = Signal-Rauschabstand in dB Übertragungsmedien ª magnetisch, Tapes, Disks etc. ª Kabel (Telefonkabel, Koaxial Kabel, Fiber optische Kabel [Monomode Æ Durchmesser = Wellenlänge des Lichts; Multimode Æ günstiger und uneffizienter]) ª Drahtlos (Funk, Laserstrecke, Satelliten) zf_netzwerke.doc Seite 3 Netzwerke 2.3 andre.maurer.name OSI Layer 2 - Data Link Aufgaben der Sicherungsschicht:  Fehlerkontrolle  Flow Control (Kontrolle des Datenflusses) / Reliability (Zuverlässigkeit)  MAC (Media Access Control) Typische Kommunikation:  A sendet B Daten  B sendet A Acknowledge (Quittung), wenn B Daten erhalten hat.  B sendet A NotAcknowledge, wenn B keine Daten erhalten hat.  A sendet nächstes Paket Daten an B, wenn Acknowledge erhalten.  Wenn keine Acknowledge oder eine NotAcknowledge zurückgekommen ist sendet A nochmals dieselben Daten. Nachteile: Æ Lange Wartezeiten auf Acknowledge Æ Lange Wartezeiten auf NotAcknowledge Æ reduzierter Durchsatz Lösung (Slide Window Protocol):  A muss nicht auf Acknowledge oder NOTAcknowledge von B warten, bis A nächstes Datenpaket sendet  Eine Liste der Reihenfolge der Datenpakete wird mitgesendet Vorgehensweisen:  Synchron    es kann nur zu bestimmten Zeiten gesendet werden Æ halbduplex (A hat gewisse Zeit zum senden, danach hat B gewisse Zeit zum senden Asynchron es kann jederzeit gesendet werden Æ fullduplex Besetztprüfung Wird auch Media Sense genannt. Zuerst hören ob Leitung frei ist, dann senden Keine Besetztprüfung Es wird einfach gesendet Protokolle:  ALOHA Protokoll (1970)  slotted ALOHA Protokoll (1972)  Ethernet (IEEE) ª 1024 Byte Frames ª 512 Byte Frames ª 256 Byte Frames ª 128 Byte Frames zf_netzwerke.doc 18% Kanalauslastung 37% Kanalauslastung (synchronisiert) 85 75 60 27 – – – – 95% 88% 80% 50% Kanalauslastung Kanalauslastung Kanalauslastung Kanalauslastung Seite 4 Netzwerke andre.maurer.name Aufbau des Ethernet-Protokolles: Anz. Bytes Name Beschrieb 7 Preamble (Einleitung) werden zur Synchronisation benötigt. Sender und Empfänger kontrollieren Leitung bevor Daten gesendet werden. Leitungen werden auf Kollisionen kontrolliert. Æ Problem bei kleinen Daten braucht Header / Trayler prozentual viel Platz. 1 Start of frame delimiter Kennzeichnung „Beginn der Daten“ 2 oder 6 Destination Address MAC-Adresse (Hardware Adresse der Netzwerkkarten) jede Karte hat eine eindeutige Adresse. 2 oder 6 Source Address 2 Length of data field Angabe der Datenmenge 0 – 1500 Data Daten 0-46 Pad Bei Datenlänge < 34 Bytes 4 Checksum  2.4 Die     Ethernet Topologien ª Token Bus Æ Analogie: Stafettenlauf (nur wer den Stab besitzt darf laufen) Æ logischer Ring ª Token Ring Æ der Token wandert in einem physischen Ring OSI Layer 3 - Network Netzwerkschicht bietet der Transportschicht Dienste an. Unterste Schicht mit End-zu-End Übertragung Die Dienste sind unabhängig von der Subnetztechnologie Die Transportschicht wird von der Anzahl, dem Typ und der Topologie der Subnetze abgeschirmt. Die Netzwerkadressen, die der Transportschicht zur Verfügung gestellt werden, sollten ein einheitliches System verwenden (unabhängig ob LAN oder WAN) zf_netzwerke.doc Seite 5 Netzwerke andre.maurer.name Die Netzwerkschicht entscheidet ob die Dienste verbindungslos oder verbindungsorientiert zur Verfügung gestellt werden: verbindungsorientiert verbindungslos Analogie/Beschrieb Wenn einmal eine Verbindung vom Start zum Ziel steht, gehen die Datenkpakete immer denselben Weg entlang. Keine Bestätigung vom Empfänger (z.B. Zeitung, Radio). Die Pakete suchen sich den Weg immer wieder von neuem Initial-Setup wird benötigt Nicht möglich Zieladresse nur bei Setup notwendig bei jedem Paket notwendig Paket-Reihenfolge garantiert nicht garantiert Fehlerkontrolle durch Network Layer durch Transport Layer Flow-Kontrolle durch Network Layer nicht durch Network Layer Ist Verhandlungsoption möglich? Ja Nein Werden Verbindungsidentifikationen verwendet? Ja Nein In der Netzwerkschicht werden diese beiden Typen wie folgt umgesetzt:  Verbindungslos: datagrams DG (Analogie zum Telegramm)  Verbindungsorientiert: virtual circuits VC (Analogie zur physischen Schaltung) VC subnet Datagram subnet Kreislauf Erforderlich Nicht möglich Adressierung Jedes Datenpaket hat eine kurze VC Nummer Jedes Datenpaket enthält die genaue Adresse Statusinformationen Jedes gesendete VC benötigt subnetTabellenplatz Das Subnet behält keine Informationen Routingalgorithmus Entscheidung der Route wird beim Aufsetzen der Verbindung 1 mal getroffen. Danach wird immer dieselbe, stehende Verbindung verwendet. Bei jedem einzelnen Datagram wird die Entscheidung der Route neu gefällt zf_netzwerke.doc Seite 6 Netzwerke andre.maurer.name Auswirkungen bei Knotenausfall Alle VCs, die durchgekommen sind, sind beendet. Keine, ausser für das Paket, das während dem Crash unterwegs war. Staukontrolle Einfach wenn im voraus Schwer genug Buffers zugewiesen wurden. Komplexität Im Network Layer Im Transport Layer geeignet für Verbindungsorientierte Dienste Verbindungsorientierte und Verbindungslose (z.B. TCP/IP) Dienste Tabelle 1: VC Subnet vs. Datagram Subnet Anforderungen an den Routingalgorithmus  korrekt  einfach  robust  stabil  gerecht  optimal Æ gerecht und optimal widersprechen sich. Gerecht bedeutet, dass alle Teilnehmer ähnlich viel Zugriff auf das Gesamtnetz erhalten und ihren Bedarf decken können. Optimalität bedeutet jedoch, dass alle Netzwerkressourcen optimal ausgelastet werden (dabei kann nicht immer auf alle Rücksicht genommen werden). 2.4.1   Routing Algorithmen Adaptive ª Wegentscheidungen werden den Topologien und dem Verkehr angepasst (dynamisch) Æ optimiert ª Global (oder „centralized“) Æ Informationen vom gesamten Subnetz ª Local (oder „isolated“) Æ nur lokale Infos wie z.B. Nachbarn werden benutzt ª Distributed Æ Mischung zwischen Global und Local Non-Adaptive ª Die Route (Weg) wird im Voraus (Offline) berechnet und beim Hochfahren des Netzes an alle Router gesendet (statisches Routing) 2.4.2 Netzwerkadressierung Jedes Endsystem muss eindeutig Identifiziert / Bezeichnet werden. Für das Routing ist der Layer 3 für eine solche Adresse zuständig.  Netzwerkadresse von nic-Organisation zugeteilt  Systemadresse von Besitzer des Netzwerkes selbst unterteilt (Subnetze) zf_netzwerke.doc Seite 7 Netzwerke 2.5 andre.maurer.name OSI Layer 4 - Transport Aufgaben der Transportschicht:  Transparenter Datentransport zwischen Endsystemen (Netzwerken) ª Datenintegrität (für Verbindungslose und Verbindungsorientierte Dienste) ª Adressierung (beim Endsystem müssen Daten an die richtige (Hardware)-Komponente weitergeleitet werden.  Optimierung der Netzwerkdienste (Wenn Layer 3 schlecht arbeitet muss dies der Layer 4 ausbessern)  zusätzliche Verfügbarkeit bereitstellen Beispiele:  TCP ª Stellt einen verbindungsorientierten Transportdienst auf der Basis von IP zur Verfügung.  UDP ª Stellt einen verbindungslosen Transportdienst auf der Basis von IP zur Verfügung. Starker Zusammenhang zwischen Netzwerkschicht und Datentransportschicht: Netzwerkschicht verbindungsorientiert verbindungslos Layer 3 Datenschicht Layer 4 verbindungsorientiert     verbindungslos  Adressierung des Dienstes auf Zielsystem Sicherung der Datenintegrität keine Mechanismen zur Sicherung der Reihenfolge Analogie: TVA mit Durchwahl unsinnige Kombination         Adressierung des Dienstes auf Zielsystem Sicherung der Datenintegrität Sicherung der Reihenfolge. Beispiel TCP Adressierung des Dienstes auf Zielsystem Sicherung Datenintegrität Keine Massnahmen UND keine Garantie, dass Reihenfolge stimmt. Beispiel UDP Tabelle 2: Zusammenhang zwischen Netzwerk- und Datentransportschicht zf_netzwerke.doc Seite 8 Netzwerke   2.6 andre.maurer.name Der Layer 3 ist für die Adressierung verantwortlich, damit die Daten an das richtige Endsystem gelangen. Der Layer 4 ist für die Adressierung verantwortlich, damit die Daten im Endsystem an die gewünschte Stelle (Prozess/Komponente) zugestellt werden. OSI Layer 5 - Session Aufgaben der Session-Schicht:  Organisation zwischen Applikationsprozessen auf den Endsystemen  Ermöglichung von Synchronisation zweier Prozesse Dieser Schicht wird wenig Beachtung geschenkt. 2.7 OSI Layer 6 - Presentation Aufgaben der Darstellungs-Schicht:  Datencodierung: Isolierte Applikationen mit verschiedenen Datencodierungen (z.B. ASCII, Big Endian-Little Endian)  Lokalisierung: Applikationen / Benutzer können Datendarstellung wählen (Zeitzone, Sprache der Fehlermeldungen, Währungszeichen etc.)  Datenver-/entschlüsselung 2.8 OSI Layer 7 - Application Aufgaben der Anwendungsschicht:  stellt Dienste für den Benutzer zur Verfügung  regelt die Semantik der Applikationen  OSI-Referenzmodell berücksichtigt lediglich Interprozesskommunikation  Ist stark von Benutzer und Entwickler abhängig Applikationspeispiele sind: eMail (x.400, SMTP, UUCP,…); LanManager; NFS; Telnet; FTP; FTAM; HTTP 3 Netzwerkarchitektur 3.1 Storage Area Network – SAN      Verbindet nur einzelne wenige Rechner Bis ca. 100 Meter Distanz Sehr schnell > 1 Gbit/sec Sehr hoch verfügbar > 99.99% Kurze Delays, geringe Varianz zf_netzwerke.doc Seite 9 Netzwerke 3.2        3.3       3.4          andre.maurer.name Local Area Network – LAN Lokales Netzwerk Austausch von Informationen über ein Stockwerk, Gebäude… es werden praktisch ausschliesslich Endgeräte angeschlossen Nutzen von gemeinsamen Ressouren (Drucker, Modem…) Übertragungstechnik: Paket (Rahmen) Übertragungsraten: 10, 16, 100 Mbps – 1 Gbps Beispiele: Ethernet, Token Ring Metropolitan Area Network – MAN Oft als Backbone-Netzwerk eingesetzt Es verbindet oft LAN’s einer Region Es werden kaum Endgeräte angeschlossen Erstreckt sich über ein Gelände / Gebiet einer Gemeinde, Region oder Industriegebiet. Übertragungsraten 1 - 155 Mbps Beispiele: CATV (Community Antena Television), FDDI (Fiber Distributed Data Interface), ATM (Asynchronus Transfer Modus) Wide Area Network – WAN Unbegrenzte Ausdehnung (weltweit) Primär handelt es sich um Punkt-Punkt Verbindungen (teilweise vermascht) Vereinzelt sind Endgeräte angeschlossen Verbindung von LAN’s und MAN’s Übertragungstechnik: Leitungsvermittlung1, Paketvermittlung2, Frame Relay3, Cell Relay4 (ATM) Übertragungsraten: 9.6 Kbps, 64 Kbps, 128 Kbps, 2.048 Mbps Technologien X.255-Netze, ISDN, Frame Relay WAN’s sind auf Kontinente begrenzt Eine Zusammenschluss von WAN’s nennt man GAN (Global Area Network), welche jedoch Kontinente verbinden. 1 Verbindungsorientiertes Vermittlungsverfahren Bsp. Telefon, feste Verbindung während ganzem Gespräch. 2 Daten werden in Pakete verpackt und jeweils auf effizientestem Wege weitergeleitet. 3 Paketvermittlung, Variante des X25 Protokolles, Verzicht auf Fehlererkennung Æ schnell; Verbindungsorientiert. 4 Paketvermittlung in Echtzeit; max. 58 Byte; Verkehr in konstanten Raten; flexibel; Verbindungsorientiert. 5 Standard für Paketvermittlung; OSI Layer 4; Datenpakete sind max. 128 Byte lang zf_netzwerke.doc Seite 10 Netzwerke 3.5 andre.maurer.name Übersicht Name SAN LAN MAN WAN Distanz 100 m 5 km 500 km unbegrenzt Übertragungsraten 1 Gbps 10,16,1001000 Mbps 100 Mbps 9.6, 64, 128 Kbps; 2.048, 155.520 Mbps Verfügbarkeit hoch mittel gering sehr hoch Tabelle 3: Übersicht über Netzwerkarten 3.6       3.7    3.8    Backbone Backbone bedeutet Rückgrat. Ein Backbone ist Teil eines Netzwerkes Ein Backbone verbindet lokale Netzwerke (LAN’s) Ein Backbone hat sehr hohe Übertragungsraten. Oftmals wird ein MAN als Backbone bezeichnet (Verbindung zweier LANs) Im Zusammenhang mit dem Internet gibt es ein bzw. mehrere Backbones im WAN-Bereich Intranet Intranet steht im Zusammenhang mit HTTP es handelt sich um Websites mit Inhalten die nur Firmenintern zugänglich sind ursprünglich wurde der Begriff Intranet gebraucht, um darauf hinzuweisen, dass es sich um eine Netzwerkstruktur (Internet) handelt, welche auf eine Firma beschränkt ist. VPN (Virtual Private Network) VPN ist die Bezeichnung für ein Intranet, das teilweise allgemeine oder firmenfremde Subnetze mitverwendet. Ein VPN kann zwischen LAN’s (die am Internet angeschlossen sind) gebildet werden. Hohe Sicherheitsmassnahmen sind ein Merkmahl für VPN zf_netzwerke.doc Seite 11 Netzwerke andre.maurer.name 4 Netzwerkkomponenten 4.1 Router Router überprüfen Datenpakete auf die Zieladresse und schicken sie auf dem besten Weg weiter zum nächsten Router auf dem Weg zum Bestimmungsort. Router sind nichts anderes als kleine Computer, deren spezielles Programm über den optimalen Weg für Informationen entscheidet. Ein Router (Übersetzt: "Wegbereiter") verbindet verschiedene Netzwerke (LANs, MANs und WANs) und Protokolle miteinander, z.B. ein Firmennetzwerk mit dem Netzwerk eines Providers um den Zugang zum Internet herzustellen. Bekannt ist der ISDN-Router, der Nachrichten für internes Netzwerk nicht nach aussen gibt, aber trotzdem über eine ISDN-Leitung mit dem Internet verbunden ist (für KMU-Netzwerke). Ein Router ist auf Layer 3 angesiedelt. 4.2 Transceiver Ist die Verbindungsstelle von Endsystemen zum Koaxialkabel (werden heute oft durch RJ45 ersetzt). Heute ist der Transceiver meistens in der Netzwerkkarte integriert. 4.3 Repeater Repeater sind Verstärker und können optional Kollisionen und / oder elektrische Fehler in Ethernetwerksegmenten voneinander isolieren. Ein Repeater dupliziert die von einem Port kommenden Pakete auf alle anderen Ports. Dabei müssen auch Kollisionen6 kopiert werden. Im Gegensatz zu Bridges und Routern müssen die Informationen in den Paketen nicht analysiert werden. Ein Repeater arbeitet auf Layer 1. 4.4 HUB Hub (Nabe, Zentrum) ist eine technische Einrichtung, an die mehrere Rechner eines Netzwerks angeschlossen werden, um eine sternförmige, strukturierte Topologie zu realisieren. Ein HUB bildet einen LAN-Knoten, der mit Anschlüssen für Datenstationen und weiteren Hubs ausgestattet ist. Hubs dienen der Verteilung von Datenströmen in und zwischen LANs. 6 wenn 2 Rechner an einem gemeinsamen Ethernet zur gleichen Zeit senden zf_netzwerke.doc Seite 12 Netzwerke andre.maurer.name Ein HUB ist ein virtuelles (elektronisch simuliertes) Ethernet. Die Endsysteme werden mit Twisted pair (RJ45) Kabel mit dem HUB verbunden. Der HUB verstärkt und verteilt die Daten. 4.4.1 Stackable HUBs Über spezielle Anschlüsse können HUBs miteinander verbunden werden. 4.4.2 HUBs cascadieren Wenn mehrere HUBs über ein twisted pair Kabel verbunden werden spricht man von “HUBs cascadieren” Æ (maximal 4 HUBs können zusammengehängt werden). Die Leistung ist wesentlich schlechter als bei stackable HUBs 4.5 SWITCH Praktisch wie ein HUB jedoch wird der Datenverkehr nicht an alle angeschlossenen Systeme weitergeleitet, sondern nur zwischen Source und Destination Æ dadurch können z.B. bei einem 12-Port Switch bis zu sechs parallele Datentransfers mit voller Geschwindigkeit durchgeführt werden. Ein Switch kann verschiedene Netzwerkarten (Koaxial- und RJ45-Netzwerke) verbinden. Ein Switch ist etwa gleich wie ein HUB arbeitet jedoch mit Adressierung. Ein Switch arbeitet auf Layer 2. 4.6 Bridge Eine Bridge isoliert den Netzwerkverkehr auf verschiedenen LAN Segmenten. Nur Broadcasts und Daten, die MAC Adressen des einen oder anderen Segmentes enthalten werden durchgeschleust. Bridges sind veraltet und werden nicht mehr oft eingesetzt. Eine Bridge verbindet nur Netzwerke derselben Art und arbeitet auf Layer 2 des OSI-Modell. Varianten von Bridges:  local Bridge: Ethernet – Ethernet  remote Bridge: “Ethernet-Bridge-Modem-Kabel-Modem-Bridge-ethernet” oder “Ethernet-Bridge-Radio-Bridge-Ethernet” 4.7 Bridge Ein PC (Host) vermittelt zwischen verschiedenen Netzen (z.B. Mac- / PC-Netze). Er wandelt das Protokoll so um, dass sie das andere System versteht. zf_netzwerke.doc Seite 13 Netzwerke 4.8 andre.maurer.name Firewall Eine Firewall ist vorgeschaltener Rechner in einem lokalen Rechnernetz, über den die Zugriffe auf das Internet laufen. Firewalls können von Firmen oder Organisationen benutzt werden, um den angeschlossenen Rechnern den Zugriff auf das Internet zu erlauben, das Netz aber komplett vor Zugriffen aus dem Internet abzuschirmen. Generell wird eine Firewall zwischen zwei oder mehrere Netzwerke geschaltet. Im einfachsten Fall ist auf der einen Seite der Firewall das Internet, auf der anderen das lokale Netzwerk. Die beiden Netze dürfen, damit die Firewall wirksam sein kann, keine andere Verbindung (Modem, ISDN usw.) miteinander haben als durch die Firewall. Nur so ist es möglich, die Kommunikation zwischen den beiden Netzen beträchtlich einzuschränken. Es    gibt 3 Firewallarchitekturen: Firewall-Router Router mit Paketfilter (nach IP, Ports…) Paketfilternde Firewall setzt auf Netzwerkebene an Proxy-Firewall Applikationen sind Vermittler zwischen Netzen. Es gibt keine Verbindung auf Netzwekebene. Die Verbindung wird über die Applikation (Proxy-Server) aufgebaut. Die Firewall ist auf den Layer 3-7 des OSI-Modelles angesiedelt. 4.9 Node/Netzknoten Jeder individuelle Computer oder andere Geräte auf dem Netzwerk. 4.10   NAT (Network Address Translator) Der NAT modifiziert bei abgehenden Verbindungen die Netzwerkadresse und bei ankommenden Verbindungen ist er in der Lage die Netzwerkadresse wieder umzusetzen. Bei Linux nennt man NAT IP-Masquerading. Wozu wird ein NAT benötigt:  Security Mechanismus: damit die intern verwendeten Adressen von aussen nicht sichtbar sind.  Wenn der Adressraum eng wird  Wenn ein ganzes LAN vom Internet her nur eine IP-Adresse, möglicherweise noch dynamisch vergeben, zur Verfügung hat. 4.11 Server Ein Netzwerkknoten, der den angeschlossenen Rechnern Anwendungen erlaubt (z.B. Dateizugriff, Druckspooling oder Fernzugriff). zf_netzwerke.doc Seite 14 Netzwerke 4.12 andre.maurer.name ISP (Internet Service Provider) Der ISP (Internet Service Provider) ist das technische Bindeglied zwischen dem Firmennetzwerk und dem Internet. Er verrechnet monatliche Grundgebühren für den Zugang zum Web, sowie Kosten für das Datenvolumen welches im Web versendet oder empfangen wird. 4.13 Begriffe zu Netzwerkkomponenten 4.13.1 Managed / Unmanaged   Verwendung bei: HUB, Switch, Bridge Komponenten, die von einem zentralen Netzwerkmanagementsystem (Applikation) überwacht und gesteuert werden sind “managed”. 4.13.2 Full / Halfduplex     Verwendung bei: Twisted pair, Netwerkkarten, HUB, Switch Ein Anschluss ist full duplex, wenn gleichzeitig gesendet und empfangen werden kann. Dies heisst auch, dass es beim Ethernet nicht zu Kollisionen kommen kann. Bedeutung: doppelter Durchsatz. Ein fullduplex Hub ist in der Lage gleichzeitig Daten auf einem Anschluss zu senden und auf demselben Anschluss zu empfangen 4.13.3 Mediakonverter   Verwendung bei: verschiedene Medien Ein Mediakonverter verbindet Medien miteinander. Er ist wie ein Repeater oder eine Bridge anzusehen. 4.14 Diagnose- und Messwerkzeuge 4.14.1 Networksniffer Abhören und decodieren des Netzwerkverkehrs in einem LAN. In allen 7 Schichten können die Daten dargestellt werden. Ein Networksniffer kommt als Hardund Software vor. 4.14.2 Statisticsbox Beobachtet und misst den Netzwerkverkehr verschiedenster Kriterien. Sammelt statistisch relevante Informationen und sendet diese regelmässig an eine Auswertungsapplikation. 4.14.3 Serial line Analyzer Wird eingesetzt um Probleme bei seriellen Verbindungen diagnostizieren zu können (Ähnlich wie Networksniffer). 4.14.4 Breakout Box Zeigt Signalzustände der verschiedenen Leitungen an (mittels LEDs) zf_netzwerke.doc Seite 15 Netzwerke andre.maurer.name 4.14.5 Durchgangsprüfer Wird oft beim Verkabeln benutzt um Kabel auf Durchgang und Position, sowie Kurzschlüsse zu prüfen. 4.15 Symbole  Wolke      Blitz Linie Box Ring Stecker 5 Netzwerk im allgemeinen (z.B. x.25, ISDN, Internet, Telefonie) Punkt-Punkt-Verbindung Broadcast Network Beliebige Netzwerkkomponenten Ringarchtiektur Multiplexer – Demultiplexer Netzwerkprotokolle Name Bedeutung SS7 IPX         Signalling System Number 7 Verwendung: Telefonie (Analog, ISDN, Mobil) zur Signalisierung von Kommunikationsknoten Packetorientierter Datendienst konzeptionell wie Telephonie für Computer unterstützt PVC Verbindungszeit und übertragene Datenmenge wird tarifiert Wird für Novellumgebung verwendet SNA  DECNet  Wird in IBM Midrange- und Mainframe Umgebungen verwendet Wird in Compaq (Digital) Umgebungen verwendet Apple Talk  Wird in Apple Netzwerken verwendet NetBEUI  Wird in IBM’OS/2-, MS-LanManager Umgebung verwendet TCP/IP    Wichtigste Familie von Netzwerkprotkollen Heute in 4 Versionen vorhanden Serial Line IP für Punkt-Punkt Verbindungen PPP   Frame Relay    Point-to-Point Protokoll wie SLIP aber ausgelegt für mehrere Protokolle (nicht nur IP) X.25-artiges Netzwerkprotokoll Anschlussgeschwindigkeit >= CIR (Comitted Interface Rate) Synchrones, serielles Protokoll für Punkt-Punkt Verbindungen X.25 SLIP SDLC/HDLC Tabelle 4: Protokollarten für Netzwerke zf_netzwerke.doc Seite 16 Netzwerke andre.maurer.name 6 TCP/IP Adressierung 6.1 IP Adressen   IP Adressen sind 32 Bit lang Die IP Adresse enthält verschiedene Angaben ª Netzwerkklasse ª Netzwerkadresse (identifiziert das Netzwerk) ª Hostadresse (identifiziert das Endgerät/den Host) 6.2 Bits IP Netzwerkklassen 0 1 8 16 24 Klasse A 0 7 bits 24 bits B 1 C 1 1 0 D 1 1 1 0 28 bits E 1 1 1 1 0 Reserviert 0 14 bits 16 bits 21 bits KlassenIdentifikation NetzwerkIdentfikiation 8 bits HostIdentifikation Multicast7 Abbildung 2: IP Netzwerkklassen Host-Adressbereiche: A-Klasse Loopback B-Klasse von 1.0.0.0 bis 126.255.255.255 8 127.x.y.z von 128.0.0.0 bis 191.255.255.255 von 192.0.0.0 bis 223.255.255.255 D-Klasse von 224.0.0.0 Multicast bis 239.255.255.255 Reserved von 240.0.0.0 bis 255.255.255.255 C-Klasse Abbildung 3: Host-Adressbereiche der verschiedenen IP Netzwerkklassen 7 Multicast: Nachricht wird an eine Gruppe gesendet (im Gegensatz zu Broadcast, wo die Nachricht an alle gesendet wird) 8 Loopback: Adressen sind für Schleifen (für Test) reserviert (meistens 127.0.0.1) zf_netzwerke.doc Seite 17 Netzwerke andre.maurer.name Es gibt Adressbereiche, die im Internet Networks):  A-Klasse: 10.0.0.0  B-Klasse: 172.16.0.0  C-Klasse: 192.168.0.0 - 6.3 nicht weitergeleitet werden („Private“ 10.255.255.255 172.240.255.255 192.168.255.255 IP Adressen Notation Die IP Adressen werden in der „Dotted Decimal“-Notation geschrieben. Bsp: 1000 0000 0000 1010 0000 0010 0001 1110 Æ 128.10.2.30 6.4 Netzwerkadresse Das gesamte Netzwerk kann adressiert (angesprochen) werden, indem alle Bits der Hostadresse 0 sind (z.B. 194.120.37.0 [C-Klasse]) 6.5 Broadcast Adresse Alle Hosts innerhalb eines Netzwerkes können mit einem „Broadcast“ gleichzeitig angesprochen (adressierte) werden. Dies wird erreicht, indem die Netzwerkadresse auf das gewünschte Netzwerk zeigt und alle Bits der Hostadresse auf 1 gesetzt werden (z.B. 131.20.255.255 [B-Klasse]). 6.6 TCP/IP Adressierung Schwächen der Internet Adressierung:  IP-Adresse bezieht sich auf Verbindungen, nicht auf Systeme Æ Wenn ein Host von einem Netzwerk zu einem anderen Netzwerk wechselt, muss die IP-Adresse geändert werden.  Wenn ein Netzwerk die Grösse der zugewiesenen Netzwerkklasse übersteigt, muss die gesamte Adressierung umgestellt werden.  Hosts, die an mehr als einem Netzwerk angeschlossen sind, haben mehrere IP-Adressen. Der Weg auf dem die Daten zu so einem Host gelangen, ist davon abhängig mit welcher Adresse er angesprochen wird. Alle IP-Adressen, die in einem Netz von Netzen zusammenwirken können, müssen eindeutig sein. Für das Internet hat das NIC (Network Information Center) ursprünglich die Vergabe der IP-Netzbereiche koordiniert. zf_netzwerke.doc Seite 18 Netzwerke 6.6.1 andre.maurer.name Probleme mit TCP/IP Problem: Getrennte Netzwerksegmente müssen unterschiedliche Netzwerkadressen besitzen. Besonders bei kleinen Netzwerken, mit nur sehr wenigen Hosts, führt dies dazu, dass IP-Adressen verschwendet werden. Æ Lösung: Subnetting (Teilnetz) erlaubt es, den Hostteil der IP-Adresse in einen Subnetbereich und einen entsprechen kürzeren Hostteil aufzuteilen. Alte Routingprotkolle (RIP v1) erlauben jedoch keine unterschiedlichen Netzmasken innerhalb eines Netzwerkes. Die Subnetmaske darf nur folgende Zahlen beinhalten: 255, 252, 248, 240,224, 192, 128, 0 Wenn eine Organisation nun mehr Hosts adressieren muss, als in einer Klasse verfügbar sind; jedoch deutlich weniger als in der nächst grösseren NetzwerkKlasse verfügbar sind, würden Adressen/Netzwerkklassen verschwendet. Æ Supernetting ermöglicht es, mehrere direkt aufeinander folgende Netzwerke zusammen zu fassen. z.B. 195.1.1.0 bis 195.1.5.0 In den (Backbone)-Routern braucht es Routingtabellen mit allen Netzwerken der gleichen Klasse Æ dies würde nahezu unbegrenzt mit der Zunahme der angeschlossenen Netze wachsen. Æ CIDR (Classless Inter-Domain Routing) ist eine Methode, die mehrere Netzwerke zu einem einzigen Bereich zusammenlegt. Dabei wird der Adressbereich durch die Anzahl Bits am Anfang der Adresse festgelegt. Diese Lösung wird innerhalb des Internets verwendet um ganze Netzwerke zuzuweisen. zf_netzwerke.doc Seite 19 Netzwerke 6.6.2 andre.maurer.name Subnetting/Supernetting Aufgabe 6 Subnetze bilden aus der IP 192.168.33.0 1. Klasse bestimmen: 19210 = 1100 00002 Æ C Klasse 2. Verfügbarer Host-Teil für Subnetz feststellen: 8 Bits da C-Klasse (24 Bits bei A-Klasse; 16 Bits bei B-Klasse) 3. Wie viele Bits braucht es für die gewünschte Anzahl Subnetze? 1 Bit Æ 21 Æ 2 Subnetze 2 Bit Æ 22 Æ 4 Subnetze 3 Bit Æ 23 Æ 8 Subnetze 4. CIDR-Notation 192.168.33.0/27 27 = 24 Bits + 3 Bits 8 >= 6 Æ OK 24 Bits = Bits Netzwerk- + Klassenidentifikation der Klasse C 3 Bits = Anzahl Bits für Subnetz (Schritt 3) 5. Anzahl mögliche Hosts (IPAdressen) pro Subnet 32 – 27 = 5 Bits Æ 25 = 32 Host/Netzwerke 32 – 2 = 30 verfügbare Hosts 32 Bits: Gesamtlänge der IP 30 Host können vergeben werden: (32 – Broadcast- - Netwerkadresse) 6 Mögliche Netzwerkbereiche 192.168.33.1 – 192.168.33.30 192.168.33.33 – 192.168.33.62 192.168.33.65 – 192.168.33.94 ... (8x) (die IPs, welche fehlen werden jeweils als Netzwerkadresse [untere] und Broadcastadresse [obere] benötigt) Tabelle 5: Vorgehen Subnetting / Supernetting 6.6.3 Subnetzmasken Erlaubte Zahlen Bit-Darstellung Anz. Bit Hosts/Subnetz Bereiche/Subnetz Anz. Subnetze 255 1111 1111 0 1 0,1,2,3,4,5 256 254 1111 1110 1 2 0-1,2-3,4-5,6-7… 128 252 1111 1100 2 4 0-3,4-7,8-11… 64 248 1111 1000 3 8 0-7,8-15,16-23… 32 240 1111 0000 4 16 0-15,16-31,32-47… 16 224 1110 0000 5 32 0-31,32-63,64-95… 8 192 1100 0000 6 64 0-63,64-127,128-191… 4 128 1000 0000 7 128 0-127,128-256 2 0 0000 0000 8 256 0-256 1 Tabelle 6: Subnetzmasken zf_netzwerke.doc Seite 20 Netzwerke andre.maurer.name 6.7 TCP/IP Protokolle 6.7.1 Protokolle und OSI-Modell bei TCP/IP Application Presentation Session Transport Telnet FTP SMTP DNS SNMP DHCP RIP RTP RTCP Transmission Conrol Protocol TCP User Datagram Protocol UDP IGMP Network OSFP ICMP Internet Protocol IP ARP Datalink Physical Ethernet Token Bus Token Ring FDDI Abbildung 4: Protokolle und OSI-Modell bei TCP/IP IP bildet die Basis auf dem Layer 3 (Netzwerk) und stellt einen verbindungslosen Dienst zur Verfügung TCP (ein verbindungsorientierter Dienst) und UDP (ein verbindungsloser Dienst) bauen auf dem IP Protokoll auf. TCP und UDP gehören zum Layer 4 (Transport). Neben den Basisprotkollen werden noch weitere Hilfsprotokolle benötigt 6.7.2 ICPM (Internet Control Message Protocol) Da IP verbindungslos ist, können Kontrollmeldungen und Fehlermeldungen nicht innerhalb des „normalen“ Kommunikationskanals übermittelt werden. Dazu wird ICMP verwendet. 6.7.3 IGMP (Internet Group Multicasting Protocol) IGMP wird verwendet, um die Teilnahme an einer Multicast Gruppe zu vereinbaren. Die beteiligten Netzwerkkomponenten müssen entsprechende Konfigurationsinformationen erhalten. 6.7.4 ARP (Address Resolution Protocol) Das ARP-Protokoll ermittelt die Hardwareadresse (MAC), die zu einer IP-Adresse innerhalb eines Netzwerkes gehört. zf_netzwerke.doc Seite 21 Netzwerke 6.7.5 andre.maurer.name RIP (Routing Internet Protocol) RIP wird verwendet, um die Router in einem Internet über die verschiedenen, erreichbaren Netzwerke untereinander zu informieren. Es gibt 2 Versionen von RIP. Der Hauptunterschied besteht darin, dass Version 2 unterschiedliche Netzmasken unterstützt. RIP basiert auf UDP. RIP ist ein älteres, einfaches Protokoll. Ein moderneres Protokoll als Alternative ist das OSPF. Der optimale (kürzeste) Datenweg zwischen Netzwerken wird berechnet. 6.7.6 OSPF (Open Shortest Path First) OSPF hat das ältere RIP-Protkol abgelöst, da es flexibler und komplexer ist. Innerhalb des Internets werden andere Protokolle zwischen den Routern verwendet. 6.8 TCP/IP Routing Bei RIP senden alle Router in Abständen von 30 Sekunden den Inhalt ihrer Routingtabellen als Broadcast. Die Routingtabelle besteht aus Einträgen der direkt angeschlossenen Netzwerke, mit einem Hop-Count = 0. Empfängt ein Router ein RIP-Packet, wird jeder Hop-Count um 1 erhöht. Befindet sich kein entsprechender Eintrag in der Routingtabelle, wird der Eintrag gemacht. Gibt es einen entsprechenden Eintrag mit einem grösseren Hop-Count, wird dieser Eintrag ersetzt. UDP ist ähnlich wie TCP; jedoch ist es verbindungslos. 6.9 TCP/IP auf Layer4 (Transport) Eine Verbindung wird durch folgende Angaben identifiziert:  SrcIP IP-Adresse der Quelle  SrcPort Port der Quelle  DstIP IP-Adresse des Zieles  DstPort Port des Zieles  Protokolle UDP oder TCP 6.9.1 Zwei Armeen Problem Problem: der TCP/IP Verbindungsaufbau, -abbau 1. Seite verlangt close, 2. Seite bestätigt close Æ Die 2. Seite ist nicht sicher, dass ihre Bestätigung auch angekommen ist. zf_netzwerke.doc Seite 22 Netzwerke andre.maurer.name Lösung: Die 2. Seite muss nach der Bestätigung selber noch ein close schicken, welches von der 1. Seite bestätigt werden muss. Erst dann ist die Verbindung abgebaut. 6.10      TCP/IP T-SAPs (Transport Service Access Points) T-SAP ist die Schnittstele zwischen Schichten (Zusammenfassung der oberen Schicht [Layer 4]). Die T-SAPs werden bei TCP und UDP als Ports bezeichnet. Es handelt sich um 16-Bit Werte (0-65535) 0 – 1024 = Privileged, well known ports (WKS) 1024 – 65535 = Normal Ports 6.11 TCP/IP Applikationen 6.11.1 DNS (Domain Name System) Da Menschen mit Namen besser umgehen können als mit IP-Adressen entstanden Zuordnungstabellen. Die Vergabe von Namen und IP-Adressen wird zentralisiert, da ansonsten die Gefahr von Mehrfachvergaben besteht. Das DNS wird durch folgende Merkmale gekennzeichnet:  Hierarchisches Namenssystem  Jedes Element auf jeder Hierarchiestufe kann eigener Autorität zugewiesen werden (subdomains wie olten.fhso.ch)  Struktur: .com; .edu; .gov; .int; .mil; .net; .org; .ch; .de … DNS-Regeln  Max. 64 Chars pro Stufe («A…Z » ; « 0…9 » ; «-») (keine Leerzeichen)  Max. 256 Chars insgesamt  down-top-Reihenfolge (Bsp.: host.subdomain.domain.top-level-domain)  DNS Server verwenden UDP auf Port 53 6.11.2 Telnet     Telnet ermöglicht Terminalverbindungen via Netzwerk. Telnet verwendet TCP, der Server ist auf Port 23 Ein-/Ausgaben werden 1:1 übermittelt Übertragung passiert unverschlüsselt 6.11.3 FTP (File Transfer Protocol)   Kontrollkanal TCP, Port 21 Neuer Datenkanal je Transfer TCP, Port 20 (Passiv Æ Empfangen) zf_netzwerke.doc Seite 23 Netzwerke andre.maurer.name 6.11.4 NFS (Networking Filesystem SUN)     Directorybäume von remote Systemen können transparent in lokalem Directorybaum gemountet werden. Benutzt TCP und UDP verwendet XNS und RPC kann für diskless Workstations eingesetzt werden 6.11.5 Berkeley R-Befehle     rlogin rcp rsh rexec ähnlich remote remote ähnlich wie Telnet. Anmeldung unter selben Namen wie lokal copy: Dateien lassen sich kopieren shell: Befehle auf einem anderen System ausführen wie rsh, jedoch mit Passwortanfrage 6.11.6 MAIL MTA (Mail Transfer Agent) MTA ist eine Anwendung, die Nachrichten empfängt (über Port 25), Nachricht überprüft und danach an den lokalen Empfänger weiterleitet. Am häufigsten eingesetzt wird sendmail. UA (User Agent) Früher konnte man nur lokal oder via NFS (Networking File System) auf Mails/Daten zugreifen. Heute werden dazu remote User Agents verwendet:  POP (Post Office Protocol) ª Version2 läuft über Port 109 ª Version3 läuft über Port 110 ª Der User Agent kann die Mails zum Anzeigen zu sich holen ª gelesene Mails können aus dem Mailfile gelöscht werden  IMAP (Internet Mail Agent Protocol) ª Weiterentwicklung von POP ª IMAP Server läuft über Port 143 ª Zentrale Mailfolders (private und public) werden unterstützt ª Attachements werden erst auf Wunsch (beim Anklicken) angefordert. PVC (permanent virtual circuit) Eine PVC (dt. Permanente virtuelle Verbindung) stellt eine dauerhafte Punkt-zuPunkt- oder Punkt-zu-Mehrpunkt-Verbindung zwischen zwei Endpunkten dar. Es handelt sich dabei um eine Verbindung mit statischer Route, die vorher, in der Regel manuell, konfiguriert wird. Dabei können die Übertragungskapazitäten für die Hin- und Rückleitung getrennt, entsprechend dem Bedarf, festgelegt werden. Fällt ein Netzwerk mit einer PVC-Verbindung aus, so wird diese nach dem Ausfall automatisch wieder aufgebaut. Diese Anwendung wird vor allem für den Mobilfunk angewendet. IPV6 (Internet Protocol Version 6) ist ein neues Protokoll. Vor zf_netzwerke.doc Seite 24 Netzwerke andre.maurer.name allem die Mobilfunkbetreiber drängen dieses Protokoll an, da es weniger IP braucht (bei PVC benötigt jeder Handy-Benutzer eine eigene IP). Format eines Mails  Header  2 Leerzeilen  Body Es werden nur ASCII-Zeichen zugelassen (Sonderzeichen werden codiert). Zeilen sind maximal 78 Zeichen lang. TCP/IP ist bereits 22 Jahre alt Æ Verbesserungsmöglichkeiten. 7 Sicherheit 7.1 Sicherheitsaspekte   confidentiality data integrity     availability consistency conrol audit Æ Vertraulichkeit Æ Datenintegrität: Daten werden nicht verändert (Unversehrtheit) Æ Verfügbarkeit Æ Konsistenz: Daten dürfen nicht widersprüchlich sein Æ Steuerung Æ Nachvollziehbarkeit Aussagen zur Sicherheit werden nicht mit „sicher“ oder „unsicher“ bezeichnet. Es wird vielmehr der Grad des „Vertrauens“ in die Sicherheit ausgedrückt. 7.2 Sicherheitsvorgehen Der geforderte Grad an Vertrauen wird durch formelle Vorgehensweise erreicht. Die Vorgehensweise ist sehr Komplex. Alles baut auf vorhergehenden Punkten auf. Deshalb ist es wichtig die ersten Punkte sehr vorsichtig auszuarbeiten.  security planning welche Bedeutung haben Sicherheitsaspekte für unsere Firma?  risk assessment Wie hoch ist das Risiko?  cost-benefit analysis Wie viel kostet Risiko-Verminderung/ Sicherheitslücke?  security policies Welche Massnahmen treffen wir?  implementation Umsetzung  audit & incident response Überwachung zf_netzwerke.doc Seite 25 Netzwerke 7.2.1 andre.maurer.name security planning Beim Planning wird analysiert welche Bedeutung die verschiedenen Sicherheitsaspekte für die Organisation haben. z.B. Bank: Integrität und Audit haben die höchste Priorität gefolgt von Vertraulichkeit. z.B. Armee: Vertraulichkeit hat die höchste Priorität, Verfügbarkeit die geringste. 7.2.2 risk assessment Beim risk assessment werden  die zu schützenden Werte definiert  die jeweiligen Gefahren identifiziert  der Aufwand der Schutzmassnahmen festgelegt diese Nutzwertanalyse führt direkt zur cost-benefit-Analyse 7.2.3 cost-benefit analysis Zu den erkannten Risiken des Riskassessment müssen Gegenmassnahmen definiert und deren Kosten ermittelt werden. Die Kosten der Massnahmen dürfen nicht höher sein als die ermittelten Schadenskosten (Imagekosten sind auch zu berücksichtigen). 7.2.4 Die    security policies security policies werden zur Steuerung benutzt. Sie dienen drei Zwecken: was wird geschützt? wer hat Verantwortlichkeit für welche Massnahmen (was ist zu tun wenn…)? Basis um spätere Konflikte zu interpretieren und lösen Policies werden möglichst allgemein gehalten und verändern sich wenig. Sie nennen noch keine konkreten Gefahren, Systeme oder Personen. 7.2.5 implementation Die beschlossenen Massnahmen müssen umgesetzt werden. 7.2.6 audit & incident response Sind wichtig um das Vertrauen in die Sicherheit zu bestätigen. zf_netzwerke.doc Seite 26 Netzwerke 7.3           7.4 andre.maurer.name Risiken im Netzwerkbereich Netzwerk-Sniffer IP Spoofing Netzverkehr abhören eigene IP verändern (sich als andere Person ausgeben) Connection hijacking eine Verbindung wird gekapert Data Spoofing Daten werden manipuliert SYN flooding und weitere DOS-Attacken Server wird überlastet, mehrere Verbindungen SPAM Massenmail Virusinfection Break-in (Einbruch) Datenklau Leistungsausfall Stromausfall Ping of death überdimensionierte Ping-Pakete bringen den Server zum Absturz. Sicherungsansätze  Erster Sicherungsansatz ª Zugang wird nur Hosts mit bestimmten Namen oder Domänen gewährt. ª Problem: Ö Domänen lassen sich verfälschen Ö Hoher Konfigurationsaufwand ª Lösung: Name und IP-Adresse kann bei zusätzlichen DNS-Servern überprüft werden. was jedoch Zeitaufwendig und keine totale Sicherheit ist.  Zweiter Sicherungsansatz ª Zugang wird mit IP-Adressen gesteuert ª Problem: Ö mit IP-Spoofing lassen sich IP-Adressen fälschen Ö dynamisch zugeteilte IP-Adressen Ö sämtliche Dienste werden für die jeweilige IP freigegeben (Portfilterung wäre zusätzlich notwendig) Ö Konfigurationsaufwand ist hoch  Dritter Sicherungsansatz ª Der Zugang wird auf IP-Adresse und IP-Port gefiltert ª IP-Adressen können als ganze Netzwerke im CIDR-Format angegeben werden. ª Problem: Ö Der Rückkanal einer Verbindung kann einen anderen Port haben Ö Gegenstellen mit dynamischen IP-Adressen können nicht konfiguriert werden. zf_netzwerke.doc Seite 27 Netzwerke 7.4.1 Â Â Â Â Â Â Æ Æ andre.maurer.name Probleme mit IP-Adressen und IP-Port Filterung Konfigurationsaufwand Dynamische IP-Adressen Rück-Kanal ª Für TCP bedingt möglich ª Bei UDP unmöglich IP-Spoofing nicht gelöst Connection hijacking nicht gelöst Vertraulichkeit nicht gewährleistet Verbesserungsmöglichkeit ist die Authentisierung Verbesserungsmöglichkeit ist die Filterung und Auditing von Verbindungsinhalten. 7.5 End-End Verschlüsselung 7.5.1 SSL (Secure Socket Layer)   SSL ist ein defacto Standard9 auf Layer 4 SSL muss beidseitig eingesetzt werden 7.5.2   Ver- und Entschlüsselung werden mit demselben Schlüssel vollzogen (private Key) Der Schlüssel muss an berechtigte Stellen gelangen ohne, dass ihn unberechtigte einsehen können 7.5.3    asymmetrische Verschlüsselung (public key) Das Ver- und Entschlüsselungsverfahren ist unterschiedlich Wenn A eine Mitteilung an B senden will verschlüsselt A die Mitteilung mit public Key von B; Nur B kann die Mitteilung jetzt mit dem eigenen private Key entschlüsseln 7.5.4   symmetrische Verschlüsselung (private key) digitale Signatur A bildet aus der Mitteilung eine Prüfsumme (z.B. modulo 10 der Summe) A verschlüsselt die Prüfziffer mit dem eigenen privaten Schlüssel und fügt das Resultat an das Ende der Mitteilung A verschlüsselt die neue Mitteilung mit dem öffentlichen Schlüssel von B 9 defacto-Stndard = So gut wie Standard, jedoch nicht durch eine grosse Organisation gestützt (aber viele halten sich daran); Gegenteil ist ein dejuree-Standard = Standard der durch grosse, breitabgestützte Organisation definiert wurde und rechtlich abgesegnet ist. zf_netzwerke.doc Seite 28 Netzwerke    8 andre.maurer.name B erhält die verschlüsselte Mitteilung und entschlüsselt diese mit dem eigenen privaten Schlüssel B nimmt die letzte Ziffer und entschlüsselt diese mit dem öffentlichen Schlüssel von A B überprüft die erhaltene Prüfziffer mit der Prüfsumme der entschlüsselten Mitteilung Literaturverzeichnis Unterrichtsmaterial FHSO, 2001/2002, Richard Eiger, Modul Betriebssysteme und Netzwerke, www.ecda.ch/fhso/nos01/, [email protected] „Computer Networks“, Andrew S. Tannenbaum, ISBN 0-13-162959-X Netlexikon: http://netlexikon.akademie.de/ 9 Abbildungs- und Tabellenverzeichnis Abbildung 1: OSI-Modell ........................................................................... 1 Abbildung 2: IP Netzwerkklassen.............................................................. 17 Abbildung 3: Host-Adressbereiche der verschiedenen IP Netzwerkklassen ...... 17 Abbildung 4: Protokolle und OSI-Modell bei TCP/IP ..................................... 21 Tabelle 1: VC Subnet vs. Datagram Subnet.................................................. 7 Tabelle 2: Zusammenhang zwischen Netzwerk- und Datentransportschicht ...... 8 Tabelle 3: Übersicht über Netzwerkarten ................................................... 11 Tabelle 4: Protokollarten für Netzwerke ..................................................... 16 Tabelle 5: Vorgehen Subnetting / Supernetting .......................................... 20 zf_netzwerke.doc Seite 29