Reko Testat Nr. 1

• Schicht 5-7: Anwendung:
  • sind für Verbindung der Anwendungen, die Darstellung und den synchronisierten Datenaustausch zuständig
• Schicht 4: Transportschicht:
  • teilt die Daten in Pakete ein
• Schicht 3: Vermittlungsschicht
  • ist für die Weiterleitung bzw. Adressierung von Paketen zuständig
• Schicht 1+2: Bitübertragungsschicht
  • sind für das verschicken der Daten zuständig

Verbindung zur Anwendung, z.B. Webbrowser, Mail etc.

• HTTP - Hypertext Transfer Protocol
  • Laden von Webseiten
• FTP - File Transfer Protocol
  • Übertragung von Daten
• SMTP - Simple Mail Transfer Protocol
  • Abholen von Emails

• Transmission Control Protocol TCP
  • Verbindungsorientiert (Zwei Endpunkte, Datenübertragung beidseitig)
  • Zuverlässig (Datenverluste werden automatisch erkannt und beim Absender nachgefordert)
  • Paketvermittlung
    • Aufteilung von langen Datennachrichten in kurze Pakete. Pakete können auf unterschiedlichen Übertragungswege zum Ziel kommen. Damit werden Status auf der Datenleitung weitgehend vermieden
  • Beispiele: WWW, Mail
• User Datagramm Protocol UDP
  • Nicht zuverlässig (Daten können unbemerkt unterwegs verloren gehen)
  • Verbindungslos (keine Garantie dass Paket auch ankommt, in der richtigen Reihenfolge ankommt etc.)
  • Anwendung muss sich selbst um sichere Verbindung kümmern, ist aber schnell und hat eine geringe Netzwerkbelastung
  • Beispiel: DNS, CHAT (ICQ)

Internet Protocol IP

• Weiterleitung von Paketen oder Daten
• Bereitstellung einer netzwerkübergreifenden Adresse
  • IPv4-Adressen (32 Bit - vier Zahlen durch Punkt getrennt, [0...255], Bsp: 192.168.0.1 ---> MAX. 4 Milliarden Adressen
  • IPv6-Adressen (128 Bit- Sechs zahlen durch Doppelpunkt getrennt, [0...65535] aber Hexdezimal geschrieben: z.B: 2001:0db8:85a3:08d3:1319:8a2e:0370:7344. --> Max. 3,4*10^38 (Sextillionen) Adressen
  • MAC-Adresse ist die Hardware-Adresse eines Netzwerkadapters. Ist eindeutig und hat überlicherweise 48 Bit. z.B. 00-80-41-ae-fd-7e
  • Routing (Weiterleitung) von Paketen und Daten

• IP-Adresse des Rechners
• Subnetzmaske
• Standardgateway (IP-Adresse des Routers)

Das IP-Protokoll ist in der Schicht 3 tätig (Vermittlungsschicht)

• Adressierung
  • Definition eines Adressystems
• Netzwerkmanagement:
  • Steuerung und Überwachung
  • Fehlerbehandlung
• Dienstmerkmale
  • Dringlichkeit, Zuverlässigkeit
  • Schutzwürdigkeit, Zeitverhalten
• Fragmentierung
  • Anpassen der Blockgrößen (Pakete können zerlegt/fragmentiert werden). Grund sind Begrenzugen der Warteschlange an Knoten (Routern)
• Subnetze (Routing)
  • Information und Strekcenführung
  • Route führt über mehrere Vermittlungsstellen
  • Subnetz = Teilnetz des Internets, Mehrere IP-Adressen mit demselben Präfix

• Version (Versionnummer des IP-Protokolls
• IHL (Internet Heading Length): Länge des IP-Headers in Vielfachen von 32-Bit-Worten
• Type of Service (TOS, Dienstmerkmale): Optional nutzbar für Prioritäten, Zuverlässigkeit
• Total length: Gesamtlänge des Pakets in Byte (max 64 kbyte)
• Identification: Information zur Fragmentierung von Datenblöcken, Identifizierung der IP-Pakete (IP-Pakete mit zusammengehörigen Fragmenten, gleicher Wert)
• D-Bit: (Do not Fragment) Weitere Fragmentierung der Nutzdaten unzulässig
• M-Bit (More Fragments): IP-Pakete mit weiteren Fragmenten folgen
• Fragment Offset: Beginn des Fragments relativ zum Anfang des Pakets
• Time to live (TTL, Paketlebenszeit): Vom Absender festgelegter Wert, Dekremntieren um 1 an jedem Knoten, bei TTL = 0 wird das Paket verworfen
• Protocol: Protokoll für Schicht 4, z.B. 1 für ICMP, 6 für TCP, 17 für UDP
• Header checksum: Prüfsumme zur Fehlersicherung des Headers
• Source Adress: IP-Adresse des Quellrechners
• Destination adress: IP-Adress des Zielrechners (32 BIT)

• Eine IP-Adresse besteht aus einem Netzanteil und einem Hostanteil. Der Netzanteil identifiziert ein Teilnetz, der Hostanteil identifiziert ein Gerät (Host) innerhalb eines Teilnetzes.
•  
• IPv4-Adresse 32 Bit-Zahl:
  • Besteht aus 4 Teilen [0...255], welche durch einen Punkt getrennt sind z.B. 192.168.0.1
  • Eindeutig im Internet Weltweit
  • Max. 4 Milliarden Adressen möglich
  • Adresse ist aus
    • Kennung für Adresseklasse + [NET-ID] + Host-ID aufgebaut
  • Unterschiedliche Klassen:
    • Klasse A (Kennung 0). Adressbereich 1.0.0.0 - 126.255.255.255 
    • Klasse B (Kennung 10): Adressbereich 128.0.0.0 - 191.255.255.255
    • Klasse C (Kennung 110): Adressbereich 192.0.0.0 - 223.255.255.255
    • Klasse D (Kennung 1110): (Multicast-Adresse): Adressbereich: 224.0.0.0. - 239.255.255.255
    • Klasse E (Kennung 11110) (für künftige Nutzung reserviert) Adressbereich 240.0.0.0 - 247.255.255.255

NAT (Network Adress Translation)

• Wechselseitige Übersetzung interner und externer IP-Adressen . Die Netzwerkadressübersetzung kommt typischerweise auf Routern zum Einsatz.
• Vorteile:
  • Lösung für begrenzte IPv4 Adressen
  • Weite Verbreitung
• Nachteile:
  • Verletzt Ende zu Ende Prinzip
  • Veränderung von IP-Paketen
  • Maskierung der Absender-Adresse

ICMP (Internet Control Message Protocol):

• Beschreibt Paketformate für Meldungen rund um das Netzwerkmanagement
• Der Typ des ICMP-Pakets steht als 8-Bit-Zahl am Anfang des ICMP-Headers, z.B. 3 = Destination Unreachable

DHCP (Dynamic Host Configuration Protocol)

•  Ermöglicht die Zuweisung der Netzwerkkonfiguration an Clients durch einen Server.
• DHCP ermöglicht es, Computer ohne manuelle Konfiguration der Netzwerkschnittstelle in ein bestehendes Netzwerk einzubinden. Nötige Informationen wie IP-Adresse, Netzmaske, Gateway, Name Server (DNS) und ggf. weitere Einstellungen werden automatisch vergeben, sofern das Betriebssystem des jeweiligen Computers dies unterstützt.
• Zuweisung für definierten Zeitraum (Verlängerung auf Anforderung des Clients)
  

DNS (Domain Name System)

• st einer der wichtigsten Dienste in vielen IP-basierten Netzwerken. Seine Hauptaufgabe ist die Beantwortung von Anfragen zur Namensauflösung.
• Das DNS funktioniert ähnlich wie eine Telefonauskunft. Der Benutzer kennt die Domain (den für Menschen merkbaren Namen eines Rechners im Internet) – zum Beispiel example.org. Diese sendet er als Anfrage in das Internet. Die URL wird dann dort vom DNS in die zugehörige IP-Adresse (die „Anschlussnummer“ im Internet) umgewandelt.
• Nummerische IP-Adressen werden auf alphanummerische Namen abgebildet: z.B. Adresse: 141.37 = DNS-Name: htwg-konstanz.de
• Struktur ist Baumartig, hiearchisch (Domains, Subdomains)
• Volständiger DNS-Name:
  • gateway.htwg-konstanz.de
  • Hostname: Gateway
  • Domain: htwg-konstanz.de
  • Top-Level Domain: .de

ICANN (Internet Corporation for Assigned Names and Numbers)

• Erstellt Regeln für Einrichtung neuer Top-Level-Domains
• Auch politische Frage: Wer darf neue Domain-Namen regestrieren?

IANA (Internet Assigned Numbers Authority) und InterNIC (Internet Network Information Center)

• Bisher oberste Verwaltungsdistanz für Ip-Adressen und DNS
• Mittlerweile weitgehend durch ICANN übernommen
• Praktische Verwaltung der IP-Adressen weiterhin bei IANA
  • Delegiert an fünf Regional Internet Registries
  • Local Internet Registries sind Ansprechpartner für die Internet Provider
  • DeNIC verantworlich für die Registrierung der domain-namen in der tld .de

Aufgaben:

• Datenaustausch zwischen Endteilnehmer/Endstelle inkl. Organisation und Sicherung
• Adressierung der Prozesse auf den Endstellen durch portnummern
• End-to-End-Funktionatlität

Funktion:

• Datagrammdienst
• Virtuelle Verbindung d.h. Auf/Abbau von virtuellen Verbindungen
• End-to-End-Flusskontrolle
• Vergabe von Prioritäten
• Oft auch End-to-End-Fehlersicherung

UDP

• Source Port: Port des Senders
• Destination Port: Port des Empfänger
• UDP length: Länge
• UDP Checksum: Prüfsumme
• Data: Daten

TCP

• Source Port: Port des Senders
• Destination Port: Port des Empfänger
• Sequence Number: Nummer des ersten Bytes zur Sicherung der Reihenfolge
• Acknowledgement Number: Bestätigungsnummer
• Header length: länge des Headers in 32bit Blöcken
• Reserved: Wird nicht verwendet
• Window: Aktuell freie Kapazität des Empfangspuffers, Sender darf nicht mehr Daten ohne Bestätigung schicken
• Checksum: Prüfsumme
• Urgent Pointer: Kennzeichnet zusammen mit der Sequence Number wichtige oder dringende Daten im Segment
• Options: Häufige Option ist MSS (Maximum Segment Size)

HTTP = Port 80 - Protokoll: UDP/TCP

FTP = Port 21 - Protokoll: TCP

DNS = Port 53 - Protokoll: UDP

TFTP = Port 69 - Protokoll: UDP

Es gibt Class A, B und C Netzwerke

Diese spiegeln sich bei den IP-Adressen wieder.

⦁    Das Problem ist das Class A und B Netze zu groß für einen flachen Adressraum sind
⦁    Zu viele Hosts, zu große routing-tabellen
⦁    Könnten gleichgroßes LAN bauen

Lösung:

⦁    Hierarchisch strukturierter adressraum innerhalb eines Netzes
⦁    Von außen : ein Netz, ein Eintrag in globaler routing-tabelle
⦁    Intern: Aufteilen des Adressraums in Subnetze durch Subnetzmaske

• Das Internet Protocol (IP) ist ein routingfähiges Protokoll und sorgt dafür, dass Datenpakete über Netzgrenzen hinweg einen Weg zu anderen Hosts finden. Es kann die Daten über jede Art von physikalischer Verbindung oder Übertragungssystem vermitteln. Der hohen Flexibilität steht ein hohes Maß an Komplexität bei der Wegfindung vom Sender zum Empfänger gegenüber. Der Vorgang der Wegfindung wird Routing genannt.
• Das Routing ist ein Vorgang, der den Weg zur nächsten Station eines Datenpakets bestimmt. Im Vordergrund steht die Wahl der Route aus den verfügbaren Routen, die in einer Routing-Tabelle gespeichert sind

Die Aufteilung eines zusammenhängenden Adressraums von IP-Adressen in mehrere kleinere Adressräume nennt man Subnetting.
Ein Subnet, Subnetz bzw. Teilnetz ist ein physikalisches Segment eines Netzwerks, in dem IP-Adressen mit der gleichen Netzwerkadresse benutzt werden. Diese Teilnetze können über Routern miteinander verbunden werden und bilden dann ein großes zusammenhängendes Netzwerk.

Wird ein Datenpaket in das Netzwerk gesendet, prüft das IP-Protokoll, ob das Datenpaket für das eigene Netzwerk bestimmt ist. Dabei wird die eigene IP-Adresse und die Subnetzmaske mit der IP-Adresse und Subnetzmaske des Ziels verglichen und so die Netzwerk-ID ermittelt. Befindet sich das Ziel im eigenen Netzwerk, wird das Datenpaket direkt an die Zieladresse geleitet. Sind die beiden Netzwerk-IDs unterschiedlich, wird das Datenpaket an den Router geschickt. Der Router hat für beide Netzwerke eine IP-Adresse, besitzt somit eine Schnittstelle zu beiden Netzwerken und prüft anhand der Routingtabelle, ob es möglich ist, das Datenpaket an das andere Netzwerk weiter zu leiten. Ist es möglich, schickt der Router die Daten in das andere Netzwerk.

Longest prefix match
• wähle das passende Adressmuster mit den meisten
1se in der Subnetzmaske
• das ist die spezifischste Route
• Paket geht an Router 1

HUB
⦁    Knotenpunkt
⦁    Mehrere Anschlüsse , meist auf Basis von kupferkabeln
⦁    Üblicherweise alle Anschlüsse gleiche Bandbreite
⦁    Eintreffender Datenverkehr wird an alle angeschlossenen Systeme gleichmäßig verteilt, keine Selektion von Datenpaketen
⦁    Topologie : Stern
⦁    OSI-Netzwerkschicht 1 oder 2 

Switch
⦁    Knotenpunkt
⦁    Mehrere Anschlüsse
⦁    Eingehender Datenverkehr wird selektiv an die angeschlossenen Geräte verteilt, Switch lernt, welches gerät angeschlossen ist
⦁    Teilweise Management Plattform
⦁    Unterschiedliche Anschlüsse möglich : Kupfer, Glas
⦁    OSI-Netzwerkschicht 2 oder 3
⦁    Topologie : Stern

 Router
⦁    Mind. zwei Netzwerkanschlüsse in zwei unterschiedliche Netzen
⦁    Übertragung von Datenpaketen von Netzwerk A nach Netzwerk B
⦁    Router lernt routen zu den unterschiedlichen Netzwerken
⦁    OSI-Netzwerkschicht : 3
⦁    Topologie : Stern oder Bus

Gateway
⦁    Mind. zwei Netzwerkanschlüsse in Netzwerke mit unterschiedlichen Protokollen, z.B. Ethernet auf ISDN, Mail-to-SMS
⦁    Übersetzung von unterschiedlichen Protokollen
⦁    OSI-Netzwerkschicht : mehrere
⦁    Topologie : Bus

 Kabel
⦁    Kupferkabel
⦁    Kat.5 – Kat.7a
⦁    Unterscheidung nach Signalfrequenzen, 100Mhz bis 1000MHz, Kabellänge, mögliche Bandbreite
⦁    Duplex
⦁    Lichtwellenleiter LWL
⦁    Unterschiedliche Steckgesichter
⦁    LED oder Laserlicht
⦁    Einzelne oder unterschiedliche Wellenlängen
⦁    Simplex, Duplex, Halbduplex

Peer-to-Peer:

⦁    Einfache Topologie
⦁    Max. Bandbreite zwischen Knoten möglich
⦁    Erweiterung Möglich
⦁    Störungssicher, leichte Fehlersuche
⦁    Hohe Kosten, da viele Kabel notwendig

Bus:

⦁    Geräte an zentraler Leitung angeschlossen
⦁    Erweiterung Möglich
⦁    Geringe Kosten, da wenig Kabel verlegt werden
⦁    Niedrige Bandbreite, da nur zwei Geräte im Bus miteinander kommunizieren Können
⦁    Störungssuche kompliziert, da Störung von jedem Gerät kommen kann

Ring:

⦁    Geräte im geschlossenen Ring miteinander verbunden
⦁    Erweiterung möglich durch ausweiten des Rings
⦁    Geringe Kosten, da wenig Kabel
⦁    Störungssuche kompliziert, da Störung auf jeder Leitung vorhanden sein kann
⦁    Niedrige Bandbreite da immer nur zwei Geräte im Netz kommunizieren. Können

Baum

⦁    Geräte einzeln vernetzt, aber hierarchische Weiterleitung von Daten
⦁    Hohe Bandbreite
⦁    Erweiterung möglich
⦁    Störungssuche einfach, da nur einzelne Verbindungen gestört
⦁    Geringe kosten da wenig Kabel verlegt

Stern:

⦁    Zentrale Komponente wie Hub oder Switch nötig
⦁    Hohe Bandbreite
⦁    Erweiterung einfach möglich
⦁    Störungssicher, einfache Fehlersuche (Problempunkt Ausfall der zentralen Komponente)
⦁    Hohe Kosten da viele Kabel notwendig
⦁    Die heutzutage gebräuchlichste Topologie

Eine Firewall ist ein Sicherungssystem, das ein Rechnernetz oder einen einzelnen Computer vor unerwünschten Netzwerkzugriffen schützt (auch unerwünschte Zugang von außen).

• Persönliche Firewall (z.B. Windows Firewall):
  • Lokale Software, kontrolliert den ein bzw. ausgehenden Datenverkehr
  • Vorteile:
    • Zugriff von außen kann eingeschränkt werden
    • Gewünschte Zugriffe können zugelassen werden
  • Nachteile:
    • Wirkung abhängig von der eingesetzten Software
    • Manipulierbar durch Schadsoftware
    • Keine Zentrale Verwaltung der Regeln
    • Nur Portgestützt (keine Intepretation)
• Externe Firewall:
  • beschränkte Verbindung zwischen zwei netzen, damit Schutz von allen Rechnern im lokalen Netzwerk
  • Spezialisiert und Sicherheitsoptimiert
  • Physische Trennung zum schützenden Computersystem
  • Vorteile:
    • Lokale Rechner sind von außen nicht sichtbar
    • Zentrale Verwaltung der Regeln
  • Nachteile:
    • Keinen Schutz der Kommunikation im lokalen Netz
    • Unterschiedliche Klassen
    • Kein erkennen von Eindringlingen

Paketfilter:

⦁    Filterung auf Basis der Datenpakete (Schicht 3+4)
⦁    Beschränkung von Protokollen oder einzelnen Datenströmen
⦁    Kein Schutz vor spoofing (gefälschtem Datenverkehr)

Zustandbasierte Paketfilter

⦁    Filterung auf Basis von Datenverbindungen (bis schicht7)
⦁    Kein Schutz bei Datenverkehr über fremde Protokoll(Port 80)
⦁    Erkennen des Anfangs und Ende einer Komm.

Anwendungs-Gateways

⦁    Filterung auf Basis von Dateninhalten, Analyse des Inhalts von Datenpaketen
⦁    Üblicherweise realisiert über Proxys

⦁    Speziell geschützter Bereich für Systeme
⦁    Beschränkter Zugriff auf Dienste innerhalb des DMZ
⦁    Unterschiedliche Schutzklassen für DMZ und Intranet
⦁    Höherer Schutz durch mehrere Firewalls von unterschiedlichen Herstellern

Blacklist:

⦁    Alle Verbindungen sind zunächst möglich
⦁    Zugriff auf schützenswerte Systeme werden eingeschränkt
⦁    Böse Systeme werden zeitnah automatisch gesperrt
⦁    Geringer Administrationsaufwand/geringer Schutz

Whitelist:

⦁    Alle Verbindungen sind zunächst gesperrt
⦁    Zugriff auf Systeme werden einzeln geöffnet
⦁    Hoher Administrationsaufwand/hoher Schutz

Das bietet einer Firewall nicht:

• Instrusion Detection System
  • Analyse von Datenströmen und Erkennen von verdächtigen Datenpaketen und Eindringlingen
• Intrusion-Prevention-System
  • Analyse und Abwehr von Eindringlingen
  • Abwehr von Angriffen, z.B. DoS-Angriffe, Port-Scans
• Auditing
  • Viele Angriffe kommen von innen
  • Regelmäßige Kontrolle von Regeln und der Einhaltung von Richtlinien
• Virus-Schutz

Alternativen:

• Abschalten von Netzwerkverbindungen oder Diensten auf den lokalen Systemen, damit diese nichtmehr Angreifbar sind.
• Einsatz von speziellen Proxys für einzelne Dienste
• Aufstellen von Honeypots
• Antivirusprogramm

⦁    Ein VPN ist ein logisches, privates Netzwerk auf einer öffentlich zugänglichen Infrastruktur
⦁    Nur beteiligte Partner können miteinander kommunizieren
⦁    Datenverbindung ist verschlüsselt

• Schutzziele sind:
  • Authenzität
  • Vertraulichkeit
  • Integrität
• Funktionsweise:
  • Aufbau einer verschlüsselten Datenverbindung über das öfftl. Netzwerk
  • Damit ersteht ein Tunnel, in dem die Daten übertragen werden
  • Über öfftl. Leitung ist nur das verschlüsselte Äußere des Tunnels zu erkennen. Das innere kann nur von Partnern gesehen werden

End-to-Side-VPN:

• Heimarbeitsplatz in Firmennetzwerken
• Mobiler Arbeitsplatz in Firmennetzwerken
• Host zu Router verschlüsselt, danach in Netzwerk nicht mehr

Site-to-Site-VPN:

• Mehrere lokale Netzwerke von Außenstelle zu einem virtuellen Netzwerk zusammenschließen
• Virteuelle private Standleitung
• Verbindung verschlüsselt, innerhalb der Netzwerke nicht

End-to-End-VPN

• Direkte Kommunikation zwischen zwei Endgeräten
• Keine Möglichkeit des Mithörens
• Gesamte Verbindung verschlüsselt

IPSec

• Erweitrung des IP-Protokolls
• Verschlüsselung und Authentifizierung
• Geeignet für Site-to-Site-VPNs
• Weniger geeignet für Remote Access

L2TP

• Außendienstarbeiter wählt sich ins Firmennetz ein
• Weiterentwicklung von PPTP und L2F

SSL-VPN

• Nur Remote Access

Botnets

• Weltweit verteilte Rechner mit Schadprogrammen
• Zeit- oder Hackergesteuert, greifen alle "Zombies" gleichzeitig andere Server oder Netzwerke an (DDOS-Attacke)

Sicherheitslücke Heartbleed-Bug

• Fehler in der Open-SSL-Implementierung
• Fehler vorhanden seit 2011
• Sehr viele Rechner betroffen

Social Engineering

• Angriffe von Innen und menschliche Schwächen
• Z.b. Präpierte USB-Stick von Mitarbeiter (liegt einfach am Parkplatz rum...)