THEMA “Verbesserung des Quality of Service und der Sicherheitsaspekte beim Einsatz von heterogenen Netzwerken“ 1 Vorlesung - FHDW.

Präsentation zum Thema: "THEMA “Verbesserung des Quality of Service und der Sicherheitsaspekte beim Einsatz von heterogenen Netzwerken“ 1 Vorlesung - FHDW."—  Präsentation transkript:

1 THEMA “Verbesserung des Quality of Service und der Sicherheitsaspekte beim Einsatz von heterogenen Netzwerken“ 1 Vorlesung - FHDW © Dr. G. Hellberg August 2000

2 Gliederung Einführung (neue Formen der Kommunikation)
Historische Betrachtungen Begriffsdefinitionen Vorteile / Nachteile / Nutzen von Netzwerken Bereitstellung von Diensten ( , ftp, www) Marktübersicht von NOS Risiken beim Einsatz von Netzwerken (Viren, Datenschutz, Firewall, Rechtliche Aspekte) Aktuelle Entwicklungen Zusammenfassung / Ausblick 2 Vorlesung - FHDW © Dr. G. Hellberg August 2000

3 Einführung Die verschiedenen neuen Technologien und Techniken in der IT-Branche haben zu einer starken Veränderung der Kommunikationsstrukturen geführt. Sowohl die Art und Weise der Kommunikation als auch die Form der Kommunikation wurden weiterentwickelt. Eine schnelle Informationsbeschaffung aktueller Informa-tionen in höchster Qualität wird für Entscheidungsprozesse immer bedeutsamer. Gänzlich neue Berufsfelder ergeben sich daraus. Durch Netzwerke LANs und WANs, wie das Internet, können diese Möglichkeiten / Dienste auf auf globaler Ebene angeboten werden. 3 Vorlesung - FHDW © Dr. G. Hellberg August 2000 Einführung (neue Formen der Kommunikation)

4 Gliederung Einführung (neue Formen der Kommunikation)
Historische Betrachtungen Begriffsdefinitionen Vorteile / Nachteile / Nutzen von Netzwerken Bereitstellung von Diensten ( , ftp, www) Marktübersicht von NOS Risiken beim Einsatz von Netzwerken (Viren, Datenschutz, Firewall, Rechtliche Aspekte) Aktuelle Entwicklungen Zusammenfassung / Ausblick 4 Vorlesung - FHDW © Dr. G. Hellberg August 2000

5 Historie Die Entwicklungen seit den Anfängen 1962 Rand Corporation
bis zu heutig existierenden Netzwerkstrukturen. 1969 ARPA (Advanced Research Projects Agency) Die TCP/IP-Protokolle (1973) wurden 1983 als militärische Standards (MIL STD) übernommen 1986 weniger als 6000 Rechner im „Internet“ 1991 mehr als Rechner im „Internet“ 1995 ca. 60 Mio. Rechner im „Internet“ 2000 ca. 300 Mio. User im „Internet“ weltweit Dieses explosionsartige Wachstum verdeutlicht den enormen Bedarf an Netzwerkdiensten. Internet ist derzeit der weltweit größte Netzverbund, der jedem Teilnehmer eine nahezu grenzenlose Informations- und Kommmunikationsinfrastruktur zur Verfügung stellt. Die Ursprünge dieses Netzverbundes gehen auf ein militärisches Forschungsprojekt zurück, das in den fünfziger Jahren die Forscher beschäftigte. Zu diesem Zweck wurde die Advanced Research Projects Agency, kurz ARPA, gegründet. Die Zielsetzung war damals, eine möglichst dezentrale Kommunikationsarchitektur zu entwickeln als zuverlässigere Alternative zu der bis dahin genutzten leitungsorientierten Datenübertragung. Für diese Kommunikationsarchitektur wurde Ende der 60er Jahre das Kommunikationsprotokoll TCP/IP entwickelt. 1973 war das eigentliche Gründungsdatum von Internet, als nämlich die unterschiedlichen Implementierungen von paketorientierten Übertragungsmechanismen miteinander verbunden wurden. Vier unterschiedliche paketorientierte Netzwerke - das ARPAnet, ein Satelliten-Netzwerk, ein Funk-Netzwerk und das von Xerox-Parc entwickelte Ethernet - wurden über ein Internet mittels TCP/IP miteinander verbunden hatte das ARPAnet eine solche Ausdehnung erreicht, daß es in einen forschungsorientierten Teil (ARPAnet) und einen militärischen Teil aufgeteilt wurde. Einige Jahre später wurden die Hauptübertragungswege von 56 kbit/s auf 1,5 Mbit/s aufgerüstet, und Anfang der 90er Jahre wurde das NSF-Backbone (National Science Foundation) auf 45 Mbit/s hochgerüstet. Seit 1993 werden Testnetze mit Übertragungsgeschwindigkeiten bis 622 Mbit/s und ATM-Technologie erprobt. Das Internet hat Knoten zu allen bekannten öffentlichen, kommerziellen und forschungsorientierten Netzen wie BITNET, EARN, USENET, EUnet, CSNET, DFN, WIN usw. Das Internet hat sich in den letzten Jahren vom reinen Wissenschaftsnetz gewandelt und wird auch kommerziell genutzt. Es wird sich wie kein anderer Netzverbund zu einem Super-Information-Highway entwickeln mit einer Vielzahl von Diensten bis hin zu multimedialen Anwendungen. 5 Vorlesung - FHDW © Dr. G. Hellberg August 2000 Historische Betrachtungen

6 Zielsetzungen der Rand Corporation
Entwicklung eines Systems, welches die folgenden Kriterien erfüllen soll: Hardware- und Betriebsystem-unabhängig dezentrale Verwaltung redundante Übertragungswege übergreifende Dienste ( , ftp, telnet) selbstkonfigurierend paketvermittelnd 6 Vorlesung - FHDW © Dr. G. Hellberg August 2000 Historische Betrachtungen

7 Gliederung Einführung (neue Formen der Kommunikation)
Historische Betrachtungen Begriffsdefinitionen Vorteile / Nachteile / Nutzen von Netzwerken Bereitstellung von Diensten ( , ftp, www) Marktübersicht von NOS Risiken beim Einsatz von Netzwerken (Viren, Datenschutz, Firewall, Rechtliche Aspekte) Aktuelle Entwicklungen Zusammenfassung / Ausblick 7 Vorlesung - FHDW © Dr. G. Hellberg August 2000

8 LAN / MAN LAN Local Area Network,
lokales Netzwerk, welches von der Ausdehnung her auf eine Grundstücksgrenze beschränkt ist. Meist wird in LANs nur eine Architektur verwendet (z.B. Ethernet). MAN Metropolitan Area Network, Netzwerk, welches von der Ausdehnung her auf eine Stadt begrenzt ist. Charakteristisch ist die Verwendung eines Backbones zur Verbindung mehrerer Gebäude (Campus-Netzwerk). Lokales Netz local area network (LAN) Lokale Netze sind Systeme für den Hochleistungs-Informationstransfer, die es einer Anzahl gleichberechtigter Benutzer ermöglichen, auf einem räumlich begrenzten Gebiet unter Anwendung eines schnellen Übertragungsmediums partnerschaftlich orientierten Nachrichtenaustausch hoher Güte durchzuführen. Das Lokale Netz als integrierendes Informationssystem Ein LAN hat eine Ausdehnung von üblicherweise höchstens 10 km, obwohl es auch Netze gibt, die noch deutlich größere Entfernungen überwinden können. Ein LAN ist in den meisten Fällen als Diffusionsnetz mit den oben angegebenen Vorzügen ausgeführt und erreicht Übertragungsraten von ca. 4 bis 100 Mbit/s, wobei spezielle Systeme für mehr als 1 Gbit/s bereits im Feldversuch sind. Die wichtigsten LANs sind heute Ethernet, Token Ring, Token Bus und FDDI. Der partnerschaftlich orientierte Nachrichtenaustausch kann als Abgrenzung zu einem hierarchisch organisierten Austausch verstanden werden und ist ein weiteres Charakteristikum, das die Flexibilität eines LAN verdeutlicht: Auf einem gleichberechtigt partnerschaftlichem Nachrichtenaustauschsystem kann man nämlich bei Bedarf auch eine hierarchische oder semihierarchische Struktur aufbauen. Folgende Anforderungen sind an die Konzeption eines Lokalen Netzes zu stellen: - hohe Bandbreite des Übertragungsmediums für raschen Netzzugang und schnelle Nachrichtenübertragung, - geeignete Topologie zur Erreichung der angesprochenen Ziele, einschließlich einer hohen Ausfallsicherheit und hoher Modularität, - geeignete Vereinbarungen über den Kommunikationsablauf (Netzprotokolle), - geeignete funktionale und prozedurale Hilfsmittel zur optimalen Ausnutzung der durch Übertragungseinrichtungen und Protokolle gegebenen Möglichkeiten von seiten der Benutzer, - offene Systemarchitektur zur Forcierung von Modularität, Ausbaufähigkeit, Flexibilität und Akzeptanz. 8 Vorlesung - FHDW © Dr. G. Hellberg August 2000 Begriffsdefinitionen

9 WAN WAN Wide Area Network,
Ein Netzwerk, welches sich über Landesgrenzen hinweg ausdehnt und öffentliche Leitungen zur Verbindung der verschiedenen Teilnetzwerke verwendet. Es verbindet international oder global meist unter Einsatz der TCP/IP-Technologien. Weitverkehrsnetz wide area network (WAN) WAN (Wide Area Network) ist die klassische Form eines Verbindungsnetzwerkes für getrennte Rechenanlagen. Die Grundstruktur ist ein datenpaketvermittelndes Teilstreckennetz, das bedeutet, daß die Knotenrechner des Netzwerkes untereinander verbunden sind und die Daten in Form von Datenpaketen durch das Netzwerk von der Quelle zum Ziel weitergereicht werden. Eine räumliche Beschränkung für diese Netze liegt bei etwa 1000 km, eine typische Nachrichtenübertragungsgeschwindigkeit ist 9600 bit/s, das Maximum durchschnittlicher Anbieter liegt bei 2,048 Mbit/s. WANs werden in Europa meist von Postverwaltungen betrieben, so daß es insbesondere Probleme beim Übergang zwischen zwei Netzwerken gibt. WAN-Techniken sind z.B. im Datex-P der Deutschen Telekom und in der ITU-Empfehlung X.25 für die Schnittstelle zwischen DEE (DTE) und DÜE (DCE) manifestiert. Schnellere WANs hofft man mit Techniken der schnellen Datenpaketvermittlung FPS (Fast-Packet-Switching) konstruieren zu können. 9 Vorlesung - FHDW © Dr. G. Hellberg August 2000 Begriffsdefinitionen

10 Internet / Intranet Internet
Das Internet ist derzeit der weltweit größte Netzverbund, der jedem Teilnehmer eine nahezu grenzenlose Informations- und Kommmunikationsinfrastruktur zur Verfügung stellt. Intranet Firmenbezogenes Netzwerk, welches TCP/IP-Technologien verwendet, aber nur für eine geschlossene Benutzergruppe zur Verfügung steht. Internet Internet ist derzeit der weltweit größte Netzverbund, der jedem Teilnehmer eine nahezu grenzenlose Informations- und Kommmunikationsinfrastruktur zur Verfügung stellt. Die Ursprünge dieses Netzverbundes gehen auf ein militärisches Forschungsprojekt zurück, das in den fünfziger Jahren die Forscher beschäftigte. Zu diesem Zweck wurde die Advanced Research Projects Agency, kurz ARPA, gegründet. Die Zielsetzung war damals, eine möglichst dezentrale Kommunikationsarchitektur zu entwickeln als zuverlässigere Alternative zu der bis dahin genutzten leitungsorientierten Datenübertragung. Für diese Kommunikationsarchitektur wurde Ende der 60er Jahre das Kommunikationsprotokoll TCP/IP entwickelt. 1973 war das eigentliche Gründungsdatum von Internet, als nämlich die unterschiedlichen Implementierungen von paketorientierten Übertragungsmechanismen miteinander verbunden wurden. Vier unterschiedliche paketorientierte Netzwerke - das ARPAnet, ein Satelliten-Netzwerk, ein Funk-Netzwerk und das von Xerox-Parc entwickelte Ethernet - wurden über ein Internet mittels TCP/IP miteinander verbunden hatte das ARPAnet eine solche Ausdehnung erreicht, daß es in einen forschungsorientierten Teil (ARPAnet) und einen militärischen Teil aufgeteilt wurde. Einige Jahre später wurden die Hauptübertragungswege von 56 kbit/s auf 1,5 Mbit/s aufgerüstet, und Anfang der 90er Jahre wurde das NSF-Backbone (National Science Foundation) auf 45 Mbit/s hochgerüstet. Seit 1993 werden Testnetze mit Übertragungsgeschwindigkeiten bis 622 Mbit/s und ATM-Technologie erprobt. Das Internet hat Knoten zu allen bekannten öffentlichen, kommerziellen und forschungsorientierten Netzen wie BITNET, EARN, USENET, EUnet, CSNET, DFN, WIN usw. Die -Gateways des Internet Das Internet hat sich in den letzten Jahren vom reinen Wissenschaftsnetz gewandelt und wird auch kommerziell genutzt. Es wird sich wie kein anderer Netzverbund zu einem Super-Information-Highway entwickeln mit einer Vielzahl von Diensten bis hin zu multimedialen Anwendungen. 10 Vorlesung - FHDW © Dr. G. Hellberg August 2000 Begriffsdefinitionen

11 Verschiedene Netzwerktypen
Server basierte Netzwerke Client-Server: ein besonders zuverlässiges Gerät (Server, Dienstegeber) stellt seine speziellen Fähigkeiten in Form von Diensten oder Services (Zugriff auf Massenspeicher, Peripheriegeräte) der Allgemeinheit (Client-Stationen, Dienstenehmer) zur Verfügung. Peer-to-Peer Netzwerke Jede Arbeitsstation (PC) kann sowohl Server- als auch Client-Funktionen übernehmen. Sie kann in dem Netz nicht nur als Empfänger, sondern auch als Sender von Daten für die restlichen Teilnehmer fungieren. Client-Server-Architektur Das Client-Server-Computing (CS) steht in engem Zusammenhang mit Downsizing bzw. Rightsizing und stellt mindestens eine Ergänzung, manchmal auch eine Abwendung von den zentralistischen Mainframe-Strukturen dar. CS-Architekturen orientieren sich an dem Prinzip der verteilten Datenhaltung. Im Regelfall werden PCs als Frontend-Geräte (Clients) und Workstations als Backends (Server) eingesetzt. Den Clients kommt dabei die Bedeutung zu, Daten für den Verarbeitungsprozeß auf dem Server einschließlich der Speicherung und Verwaltung zur Verfügung zu stellen. Auch die Steuerung des Datenzugriffs sowie die Sicherungsmaßnahmen obliegen dem Server. Notwendig ist allerdings, daß er über ein multitaskingfähiges Betriebssystem (Unix, OS/2, VMS oder MVS) verfügt. Für Clients kann hingegen MS-DOS als Betriebssystem ausreichend sein. Komponenten einer Client/Server-Konfiguration Das Client-Server-Computing stützt sich demnach nicht auf Hardware-Fragen, weshalb beispielsweise Rechner ganz unterschiedlicher Plattformen die Server-Funktionen übernehmen können. Vielmehr handelt es sich dabei um eine Software-Architektur und das Ziel, Anwendungen so weit in Bausteine zu zergliedern, daß Client und Server selbständig werden und daß mehrfach verwendbare Funktionen (z.B. die Datenbankverwaltung, Verarbeitungs- und Kommunikationsfunktionen) nur einmal in Form des Server realisiert werden müssen. Zu den wesentlichen Vorteilen von CS-Strategien gehören Wirtschaftlichkeitsaspekte mit deutlichen Kostenvorteilen, der flexible Ausbau der Systemlandschaft, die schnellere Realisierung von Benutzeranforderungen, umfangreichere Angebote an Standardanwendungen im Markt, eine größere Herstellerabhängigkeit sowie die grafische Bedieneroberfläche. Marktanalysen gehen weitgehend übereinstimmend davon aus, daß sich das CS-Computing in gewaltigen Wachstumsschüben durchsetzen wird. Offen ist derzeit noch die Frage der Netzwerkbetriebssysteme. Damit Client-Server-Architekturen die in sie gesetzten Hoffnungen erfüllen, müssen die zugrundliegenden Netze modular konstruiert sein, da sonst die Netzwerkbetriebskosten mögliche Einsparungen vertilgen können. Des weiteren müssen die auf den Servern liegenden Betriebssysteme hohen Anforderungen an Sicherheit, Funktionalität, Skalierbarkeit und Modularität genügen. Es gibt grundsätzlich die Alternative zwischen speziellen Netzwerkbetriebssystemen und General-Purpose-Systemen (GP). Die erste Gruppe wird geführt von Novells NetWare, Alternativen wären Banyan Vines und der Advanced Server (mit Windows NT) von Microsoft. Bei den GP-Systemen ist Unix führend, vor allem in seinen Ausführungen UnixWare (Novell) und Solaris (Sun). Auf der Client-Seite ist neben DOS und Windows vor allem DBMs OSI 2 2.X ein wichtiges System. 11 Vorlesung - FHDW © Dr. G. Hellberg August 2000 Begriffsdefinitionen

12 Protokoll Ein Protokoll ist die Summe aller Regeln, die zum Datenaustausch zwischen zwei Kommunikations-partnern eingehalten werden müssen. Protokoll protocol Für den geregelten Informationsaustausch zwischen Rechner und Peripheriegeräten mit Hilfe der Datenfernübertragung sind geeignete Protokolle erforderlich. Ein Datenübertragungsprotokoll legt die Regeln in der Form eines Verzeichnisses fest. Darin sind alle Formate, deren Semantik und Syntax, Parameter und Eigenschaften für eine vollständige, fehlerfreie und effektive Datenübertragung enthalten. Protokolle beinhalten Übereinkünfte über Datenformate, Zeitabläufe und Fehlerbehandlung beim Datenaustausch zwischen Computern. Zu Beginn der Rechnerkommunikation haben sich, bedingt durch die proprietären Lösungen für Netzwerkarchitekturen und wegen der fehlenden allgemeingültigen Konventionen, herstellerspezifische Protokollfamilien gebildet. Die bekanntesten Protokollfamilien sind in SNA zu finden, im DECnet, unter Netbios, Vines, Netware, AppleTalk und LAN-Manager. Neben den herstellerspezifischen Protokollen haben sich im Laufe der 80er Jahre Protokolle mit herstellerübergreifendem Charakter durchsetzen können. Die Dokumente für diese Protokolle wurden allgemein zugänglich und fanden dadurch eine entsprechende Verbreitung. Die bekanntesten Protokolle dieser Gruppe sind die XNS-Protokolle von Rank Xerox und die TCP/IP-Protokolle, initiiert vom amerikanischen Verteidigungsministerium (DoD-Protokolle). Parallel zu dieser Entwicklung wurden von der ISO die OSI-Protokolle als herstellerübergreifende Protokolle definiert. Diese konnten sich allerdings aufgrund der Vielfalt und Mächtigkeit ihrer Funktionalität bisher noch nicht allgemein durchsetzen. Für die Kommunikation zwischen zwei Anwendungsprozessen wird heute allgemein das OSI-Referenzmodell mit seinen 7 Schichten zugrundegelegt. Kommunikationsfähigkeit (Kompatibilität) besteht stets nur unter solchen Endgeräten, für die identische Protokollebenen festgelegt sind und bei denen auf jeder Schicht die Protokolle übereinstimmen. Datenübertragungsrahmen im OSI-Referenzmodell Ein Protokoll ist eine Vereinbarung über den Verbindungsaufbau, die Überwachung der Verbindung und deren Abbau. Bei einer Datenverbindung sind unterschiedliche Protokolle notwendig. Jeder Schicht des Referenzmodells können Protokolle zugeordnet werden. Es gibt die Transportprotokolle für die unteren vier Schichten des Referenzmodells und die höheren Protokolle für die Steuer- und Datenbereitstellung und die Anwendung. Protokolle können bitorientiert oder zeichenorientiert sein. Bitorientierte Kommunikationsprotokolle werden durch nichtzeichenstrukturierte Frames (Daten- und Steuerblöcke) organisiert. Innerhalb der Frames sind die Nutzdaten und Steuerdaten aufgrund ihrer Rahmenposition zweifelsfrei festgelegt. Die Kontrollinformationen sind in Feldern von einem oder mehreren Bits codiert. Diese Protokolle haben weniger Overhead und sind daher effizienter und zuverlässiger als zeichen- oder byteorientierte Protokolle. Darüber hinaus bieten sie Vollduplex-Betrieb. Zu den bitorientierten Protokollen gehören u.a. SDLC, HDLC, LAP B, ADCCP. Zeichenorientierte Protokolle benutzen einen speziellen Characterset des Anwender-Zeichensatzes zur Frame-Begrenzung. Für die zeichenorientierten Übertragungsverfahren wird das internationale Alphabet Nr. 5 verwendet (IA-5-Alphabet); ein 7-Bit-Code mit 128 Zeichen. Ein typischer Vertreter dieser Gruppe ist BSC. 12 Vorlesung - FHDW © Dr. G. Hellberg August 2000 Begriffsdefinitionen

13 Aufgaben von Protokollen
Protokolle haben folgende Aufgaben: Reihenfolge Adressierung Fehlererkennung und -korrektur Synchronisation Wir unterscheiden zwischen paketvermittelnden und leitungsvermittelnden Netzwerken. Verbindungsorientierter Dienst connection oriented network service (CONS) Eine verbindungsorientierte Kommunikation besteht dann, wenn Subsysteme eine logische Verbindung (Sitzung) aufgebaut haben und über längere Zeit über die darunterliegenden Schichten Informationen austauschen. Die verbindungsorientierte Betriebsart (Connection Mode) basiert auf sogenannten Virtual Circuits (VC), die zur Abwicklung der Kommunikation aufgebaut werden. Diese Betriebsart wird üblicherweise in Weitverkehrsnetzen angewandt und hat den Vorteil, daß alle Datenpakete in der richtigen Reihenfolge beim Empfänger ankommen, keine Pakete verlorengehen und daß das Netz nicht mit unzustellbaren Daten belastet wird. X.25 ist ein Beispiel für einen verbindungsorientierten Dienst. Verbindungsloser Dienst connectionless network service (CLNS) Ein verbindungsloser Dienst arbeitet auf Datagramm-Basis und ist gekennzeichnet durch den Best Effort Delivery. Bei der verbindungslosen Kommunikation wird nur jeweils ein einziger Informationsblock mit vollständiger Quell- und Zieladresse von einem Subsystem zu einem anderen übermittelt. Der Dienstanbieter übernimmt keinerlei Gewähr, daß die Datagramme beim Empfänger überhaupt ankommen bzw. daß sie in der richtigen Reihenfolge den Empfänger erreichen. In dieser Bertriebsart, die typischerweise in LAN angewandt wird, erfolgt voher keine Prüfung, ob der Leitungsweg zu der gewünschten Station auch verfügbar ist. 13 Vorlesung - FHDW © Dr. G. Hellberg August 2000 Begriffsdefinitionen

14 Merkmale von TCP/IP offener Protokollstandard, frei verfügbar, hardware und betriebssystem-unabhängig unabhängig von physikalischer Netzwerk-Hardware einheitliches Adressierungsschema, selbst bei extrem großen Netzwerken (Internet) ist der Zugriff auf Hosts eineindeutig möglich zum Teil selbstkonfigurierend standardisierte High-Level-Protokolle für konsistente, weit verbreitete Benutzerdienste ( , ftp, telnet). ARPA-Dienste Die ARPA-Dienste unterstützen die wichtigsten Anwendungen auf der Grundlage der TCP/IP-Protokolle. Sie sind in den Schichten 5 bis 7 angesiedelt und gelten sowohl für das TCP-Protokoll als auch für das UDP-Protokoll. Auf das Transmission Control Protocol (TCP) setzen die Anwendungsprotokolle für virtuellen Terminalverkehr (Telnet-Protokoll), für Dateitransfer das FTP-Protokoll (File Transfer Protocol) und für Electronic Mail das SMTP-Protokoll (Simple Mail Transfer Protocol) auf; außerdem X-Windows. Das Datagramm-Protokoll UDP unterstützt das TFTP-Protokoll (Trivial File Transfer Protocol), sowie das SNMP-Protokoll (Simple Network Management Protocol). Telnet-Protokoll telnet Das Telnet-Protokoll gehört zu den ARPA-Diensten und erfüllt als Protokoll die Funktion des virtuellen Terminals. Es ermöglicht den Fernzugriff vom eigenen Computer auf andere im Netzwerk befindliche Computersysteme. Telnet ermöglicht eine bidirektionale Kommunikation, um Datenendgeräte mit entsprechenden Prozessen zu verbinden. Das Zielsystem wird dabei allgemein als Server oder Host bezeichnet, das eigene lokale System als Client. Telnet wird immer dann benutzt, wenn sich auf einem anderen Computersystem eine oder mehrere Applikationen befinden, die lokal nicht zur Verfügung stehen und auf die man vorübergehend zugreifen möchte. 14 Vorlesung - FHDW © Dr. G. Hellberg August 2000 Begriffsdefinitionen

15 Adressierung Adressierung
IP-Adressen (Internet-Adressen), die jeden Host im Netzwerk eindeutig kennzeichnen, sorgen für die Zustellung der Daten an den richtigen Host (4 Byte groß). IP-Adressen sind gegenüber den physikalischen Hardware-Adressen von Netzwerkkarten logische Adressen. IP-Adresse Die Internet-Adresse ist eine 32 Bit lange Adresse, die aus einem Netzwerkteil und einem Benutzerteil besteht. Die ersten Bit(s) definieren die Adreß-Klasse. Der Netzwerkteil kann je nach Klasse zwischen 7 Bit und 21 Bit lang sein und dient der Identifikation des Netzwerkes (netid). Der Benutzerteil sorgt für die Benutzeridentifikation (host-id) und ist zwischen 8 Bit und 24 Bit lang. Es gibt fünf verschiedene Klassen von Internet, von denen im allgemeinen 3 Adreßklassen unterstützt werden. Die Klassen A, B und C unterscheiden sich durch die unterschiedliche Länge der Netz- und Benutzeridentifikations-Felder, die Klasse D ist Multicast-Adressen vorbehalten. -Class-A-Adresse: Für Netzwerke mit mehr als 216 Rechner. Netzwerkskennung (netid): Theoretisch können alle 128 Netzadressen über jeweils Netzknoten verfügen. IP-Adresse der Klasse A -Class-B-Adresse: Für Netzwerke mit 28 bis 216 Rechner. Netzwerkskennung (netid): bis Die Netzwerkadresse der Klasse B ermöglicht die Definition von Netzwerken und Netzknoten. IP-Adresse der Klasse B -Class-C-Adresse: Für Netzwerke mit weniger als 28 Rechner. Netzwerkskennung (netid): bis Eine Adresse der Klasse C erlaubt mögliche Netzwerke mit jeweils 256 Netzknoten. IP-Adresse der Klasse C -Class-D-Adresse: Die Adressen der Klasse D bestehen aus einer Adresse. Die vier Bits höchster Ordnung haben den binären Wert Dieser Wert ist für eine Multicast-Adressierung reserviert. IP-Adresse der Klasse D, Multicast -Class-E-Adresse: Bei den Adressen der Klasse E handelt es sich um reservierte Adressen für zukünftige Anwendungen. Klasse-E-Adressen haben in den vier Bits höchster Ordnung den Wert 1111. Eine Internet-Adresse identifiziert einen Rechner im Netzwerk. Rechner mit mehreren physikalischen Anschlüssen (Gateway) haben mehrere Adressen. Eine Adresse mit der Nummer 0 identifiziert ein Netzwerk. Adressen, in denen jedes Bit auf "1" gesetzt ist, sind reserviert für Broadcast-Nachrichten. Nachteilig wirkt sich bei diesem Schema die Änderung des Standortes eines Rechners aus, da sich von einem Netzwerk zu einem anderen die Internet-Adresse des Rechners ändert. Die Schreibweise der Internetadressen ist im allgemeinen so, daß jedes Byte als Dezimalzahl dargestellt wird und durch einen Punkt vom Nachbar-Byte getrennt ist (z.B ). Jedem an das Internet angebundene Netzwerk wird so eine bestimmte Netzidentifikation zugeordnet. Die zu der jeweiligen Netzidentifikation gehörende Benutzeridentifikationen kann der lokale Netzwerkbetreiber selbst vergeben. ________________ Um Daten zwischen zwei Internet-Hosts zu übertragen, ist es notwendig, diese Daten über das Netzwerk an den richtigen Zielrechner auszuliefern. Innerhalb dieses Zielrechners müssen die Daten dann noch an den richtigen Benutzer oder Prozeß übergeben werden. TCP/IP verwendet drei Mechanismen, um diese Aufgaben zu erledigen: Adressierung Routing Multiplexing Jede dieser Funktionen-die Adressierung zwischen Hosts, das Routing zwischen Netzwerken und das Multiplexing zwischen den Schichten - ist notwendig, um Daten zwischen kooperierenden Anwendungen über das Internet übertragen zu können. 15 Vorlesung - FHDW © Dr. G. Hellberg August 2000 Begriffsdefinitionen

16 Adressierung Eine IP-Adresse besteht aus einem: Netzwerkteil Hostteil
Allerdings ist das Format dieser beiden Teile ist nicht immer gleich. Die Anzahl der zur Identifikation des Netzwerks verwendeten Adreßbits und die Anzahl der Kennzeichnung des Hosts verwendeten Bits hängen vom Längenpräfix der Adresse ab. Die IP-Adresse Das Internet-Protokoll überträgt Daten in Form von Datagrammen zwischen einzelnen Hosts. Jedes Datagramm wird an die Adresse ausgeliefert, die in der Zieladresse des Datagramm-Headers enthalten ist. Bei der Zieladresse handelt es sich um eine Standard 32-Bit-IP-Adresse. Diese Adresse enthält genug Informationen, um ein Netzwerk sowie einen bestimmten Host innerhalb dieses Netzwerks eindeutig zu bestimmen. 16 Vorlesung - FHDW © Dr. G. Hellberg August 2000 Begriffsdefinitionen

17 Die Struktur von IP-Adressen
Adressierung Die Struktur von IP-Adressen Klasse A 10 104 19 8 Netzwerk-Bits 24 Host-Bits 1 Klasse B 172 16 12 1 16 Netzwerk-Bits 16 Host-Bits 1 1 Klasse C 192 168 16 1 Die IP-Adresse Das Internet-Protokoll überträgt Daten in Form von Datagrammen zwischen einzelnen Hosts. Jedes Datagramm wird an die Adresse ausgeliefert, die in der Zieladresse des Datagramm-Headers enthalten ist. Bei der Zieladresse handelt es sich um eine Standard 32-Bit-IP-Adresse. Diese Adresse enthält genug Informationen, um ein Netzwerk sowie einen bestimmten Host innerhalb dieses Netzwerks eindeutig zu bestimmen. 24 Netzwerk-Bits 8 Host-Bits 17 Vorlesung - FHDW © Dr. G. Hellberg August 2000 Begriffsdefinitionen

18 ISO / OSI - Referenzmodell
Benutzer NetWare TCP/IP-Protokolle DOD-Modell 7 Anwendung Programme Betriebs- systeme Betriebs- systeme Anwender- programme und Utilities Prozeß / Anwendung FTP HTTP Telnet 6 Darstellung SMTP NFS Andere 5 Kommunikations- steuerung 4 Transport Logische Verbindung (Adressierung) IPX und SPX TCP / UDP Host-to-Host 3 Vermittlung ICMP Internet IP BOOTP ARP RARP 2 Sicherung physikalischer Transport und Kontrolle Ethernet Arcnet Token Ring Netzwerk- zugang Ethernet Token Ring 1 Bitübertragung FDDI Andere 18 Vorlesung - FHDW © Dr. G. Hellberg August 2000 Begriffsdefinitionen

19 Kopplungselemente Kopplungselemente sind Einheiten zur Verbindung von physikalischen Netzwerksegmenten. Es können vier verschiedene Haupttypen unterschieden werden.  Gateway = Protokollumsetzung (TCP/IP, IPX/SPX)  Router = verschiedene Architekturen, aber gleiches Protokoll  Bridge = Filter, bildet Kollisionsdomainen aus  Repeater = Signalverstärker (Nutz- und Störsignal) Repeater repeater Ein Repeater ist eine aktive Komponente, die Regenerierungsfunktionen in Ethernet-LANs übernimmt und auf der Bitübertragungsschicht arbeitet. In Lokalen Netzen dient ein Repeater zur Verbindung zweier Ethernet-Segmente, um die physikalische Topologie über die Ausdehnung eines einzelnen Segmentes hinaus zu erweitern. Local Repeater verbinden zwei Kabelsegmente direkt miteinander. Bei lokalen Repeatern darf die maximale Entfernung zwischen den beiden Kabelsegmenten 100 m betragen, was der doppelten maximalen Länge eines Transceiver-Kabels entspricht. Überschreitet der Abstand zwischen zwei Segmenten eine Entfernung von 100 m, treten Remote Repeater anstelle der lokalen Repeater. Der Repeater regeneriert den Signalverlauf sowie Pegel und Takt. Die meisten Repeater verfügen über eine Selbsttestfunktion und erkennen auch fehlerhafte Signale bzw. Kollisionen auf einem LAN-Segment. Bei einer Kollisionserkennung generiert der Repeater ein Jam-Signal. Fehlerbehaftete Signale werden nicht auf das andere Segment weitergeleitet. Dadurch erreicht man eine gewisse Lokalisierung von Fehlern. Ein Repeater ist völlig protokolltransparent und wird zur Überwindung von Längenrestriktionen einzelner Kabelsegmente eingesetzt, wodurch eine Topologie-Erweiterung des Netzes möglich wird. Arbeitet ein Repeater mit Zwischenspeicherung spricht man von einem Buffered Repeater. Ein Buffered Repeater arbeitet auf der Sicherungsschicht. Im Gegensatz zu Standard Repeatern beruht das Arbeitsprinzip darauf, daß ein Buffered Repeater nur vollständige Datenpakete empfängt, zwischenspeichert und auf das angeschlossene Netz überträgt. Dieser Vorgang wird auch Store-and-Foreward-Verfahren genannt. Neben den Repeatern mit Lokal- und Remote-Funktionalität gibt es noch den Multiport-Repeater, der sich dadurch auszeichnet, daß er mehrere Ausgänge unterstützt, sowie den optischen Repeater. Der optische Repeater dient dazu, eventuelle Lichtsignaldämpfungen auszugleichen. Obwohl die Reichweite von Lichtwellenleitern, speziell die der Monomodefaser, außerordentlich hoch ist, muß bei sehr langen Strecken das Signal in gewissen Abständen von einem optischen Repeater verstärkt und auch regeneriert werden. Dazu wird das optische Signal verstärkt, die Flankensteilheit der Impulse wiederhergestellt und anschließend wieder in das nächste Glasfaserkabel eingespeist. Auch im Fast-Ehernet wurden die Repeaterfunktionen spezifiziert und dienen der Verbindung von Fast-Ethernet-Segmenten wi 100Base-Tx, 100Base-T4 und 100Base-Fx. In diesem Standard werden zwei unterschiedliche Repeaterklassen unterschieden: Die Klasse I mit einer maximalen Eigenverzögerungszeit von 168 Bitzeiten und die Klasse II mit einer maximalen Verzögerung von 92 Bitzeiten. Die Repeater der Klasse I werden für die Verbindung von LANs mit unterschiedlichem physikallischem Standard benutzt (z.B. 100Base-Tx nach 100Base-Fx); die Klasse-II-Repeater für LAN-Segmente mit gleichem physikalischem Standard. In LwL-LANs übernimmt der Repeater die gleichen Funktionen, wobei er das Lichtsignal decodiert, in ein elektrisches Signal umformt und es anschließend über eine LED oder Laserdiode in den Lichtwellenleiter einspeist. ========================= Brücke bridge Brücken verbinden gemäß ihrer OSI-Definition Subnetze protokollmäßig auf der Schicht 2 (LLC, IEEE 802.2) oder 2a (MAC-Layer) des OSI-Referenzmodells. Die meisten Brücken, insbesondere im Ethernet-Bereich, realisieren keine LLC-Funktionalität, sondern eine Verbindung auf der MAC-Schicht. Diese Brücken werden daher auch als MAC-Level-Brücke bezeichnet. In Token-Ring-Umgebungen braucht eine Brücke oft etwas mehr Intelligenz und realisiert daher LLC-Funktionalität. Brücken sind in der Lage, die Grenzen eines Netzwerkes hinsichtlich der Stationszahl und der Längenausdehnung zu erweitern. Wird ein Netzwerk durch eine Brückenkopplung in zwei Subnetze strukturiert, so kann jedes Subnetz wieder die volle Stationszahl und Längenausdehnung entsprechend dem definierten Standard (z.B. Ethernet, Token Ring etc.) erhalten. Darüber hinaus leisten Brücken eine einfache Fehlerbegrenzungsfunktionalität. Fehlerhafte Datenpakete der Sicherungsschicht werden nicht transportiert. Außerdem schaffen Brücken eine Begrenzung des lokalen Verkehrs auf das Subnetz seines Entstehens, d.h., wenn ein Paket an eine Station im Subnetz des Absenders geschickt wird, transportiert die Brücke dieses Paket nicht. Diese Filter-Funktion trägt entscheidend zur Lastreduktion in großen Netzen bei, daher spricht man auch von Filter-Brücken. Zentrales Wesensmerkmal von Brücken ist die transparente Netzwerkkopplung bezogen auf höhere Protokolle. Das bedeutet für den Anwendungsfall, daß sämtliche Protokolle, die auf MAC oder LLC aufsetzen, transparent, d.h. uninterpretiert von der Brücke weitergeleitet werden. So wird durch ein einziges Koppelelement die Verbindung der verschiedenen höheren Protokollwelten sichergestellt (z.B. AppleTalk, DECnet, LAT, IPX-Protokoll, TCP-Protokoll, IP-Protokoll, OSI-Protokoll, XNS-Protokoll etc.). Die Kopplung wird ohne spezielle Konfiguration in den Endgeräten der angebundenen Subnetze durchgeführt. Wenn auch die grundsätzliche Funktionalität (Kopplung auf Ebene 2) bei allen Brücken identisch ist, so gibt es von der Filter-Funktionalität her und von den Einsatzmöglichkeiten verschiedene Ausprägungen. Funktional gibt es Brücken mit statischen Adreßtabellen, die vom Administrator vorkonfiguriert werden und sich während des Betriebs nicht ändern. Brücken mit einer solchen einfachen Funktionalität nennt man "Simple Bridge". Baut sich eine Brücke automatisch ihre Adreßtabellen auf und ändert diese auch während des Betriebs, spricht man von einer "Learning Bridge". Hinsichtlich des Einsatzgebietes unterteilt man Brücken in Lokale Brücken, Remote-Brücken und Multiport-Brücken. ==================== Router router (RO) Router verbinden Subnetze auf der Vermittlungsschicht des OSI-Referenzmodells. Einzelprotokoll-Router (Single Protocol Router): Der Einzelprotokoll-Router verbindet LAN-Subnetze auf der Basis eines einzelnen LAN-Protokolls. Die Verbindung kann eine LAN-LAN-Verbindung oder eine LAN-WAN-Verbindung, meistens über X.25, teilweise auch X.21 sein. Das klassische Beispiel für einen Einzelprotokoll-Router ist ein X.25-Vermittlungsknoten, da ja das Routing seinen Ursprung vermutlich mehr im Weitverkehrsbereich als im LAN-Bereich hat. Multiprotokoll-Router sind in der Lage, mehrere Protokolle parallel zu handhaben. Da die Schicht 3 für alle aktuell etablierten Industriestandards unterschiedlich ist, ist die Router-Kopplung hinsichtlich der höheren Schichten protokollabhängig, d.h., ein Router muß alle Protokolle verstehen, die er bearbeiten soll. Über verschiedene Protokoll-Stacks (Implementierung mehrerer Schicht-3-Protokolle), die in einem Gerät implementiert sind, werden verschiedene logische Netzwerke jeweils untereinander verbunden. Router haben mindestens ein existierendes Protokoll oberhalb des LLC-Protokolls (IEEE 802.2) implementiert. Bekannte Protokolle sind z.B. - ARPA, TCP/IP-Protokolle, - OSPF-Protokoll, Open Shortest Path First der TCP/IP-Protokolle, - DNA, Network Services (Digital Networks Architecture), - IPX-Protokoll (Novell NetWare), - IS-IS-Protokoll (ISO Routing, Draft Proposal in ISO JTC1), - XNS-Protokoll, IDP-Protokoll, RIP-Protokoll, EP (Xerox Networks System, Internet Datagram Protocol, Routing Information Protocol, Error Protocol), - ISO 8473, - X.25, ITU-Empfehlung für öffentliche Weitverkehrsverbindungen. Hybride Router (Bridging Router): Der Bridge / Router ist ein erweiterter Multiprotokoll-Router. Alle Datenpakete, die nicht geroutet werden können (weil das entsprechende Protokoll nicht im Router implementiert ist oder überhaupt nicht routbar ist), werden nach Brückenmanier transportiert - oder auch nicht. Damit arbeitet das Gerät wieder im Promiscuous Mode, in dem alle Datenpakete zur Weiterverarbeitung empfangen werden. Erst nach Interpretation der Kontrollinformation wird entschieden, ob das Datenpaket geroutet oder gebrückt wird. Mit der Brückenfunktionalität werden in der Regel gleiche LANs verbunden. Vorteil ist die im Entwicklungszyklus "neu" erreichte Protokollunabhängigkeit: können doch jetzt wieder alle Anwendungen "transparent" über einen Bridge/Router laufen. Um die geforderte Verbindung von Endgeräten in verschiedenen Subnetzen auf Netzwerkebene zu leisten, müssen Router eine Reihe Basiskomponenten realisieren: - Ein Verfahren für die Stationen, sich dem Router gegenüber zu identifizieren und umgekehrt. - Einen Algorithmus für "nichtlokale" Datenpakete, um den nächsten Router auszuwählen, der das Datenpaket empfangen soll (der Algorithmus nennt sich Routing nach der zentralen Funktion eines Routers). - Einen Header für Informationen wie Zieladresse der Endstation, Life Time (Zeitstempel), Fragmentierung und Reassemblierung. Gateway Gateway (GW) Unter einem Gateway versteht man die Hard- und Software, um verschiedene Netze miteinander zu verbinden oder an andere Netze durch Protokollumsetzung anzuschließen. Ein Gateway hat die Aufgabe, Nachrichten von einem Rechnernetz in ein anderes zu übermitteln, wofür vor allem die Übersetzung der Kommunikationsprotokolle notwendig ist; es kann also auch als eine Art Protokollkonverter betrachtet werden. Ein Gateway wird durch einen speziell dafür eingesetzten Rechner realisiert. Dies bezieht sich auch auf die Verknüpfung von nicht-normkonformen Netzen wie ISDN, SNA, DECnet usw. Ein Gateway ist jeweils auf der kleinsten gemeinsamen Schicht der miteinander zu verbindenden Netze angesiedelt; das kann im Extremfall die Schicht 7 des OSI-Referenzmodells sein. Das Gateway "versteht" beide Protokolle vollständig und ist in beiden Welten ein adressierbarer Netzknoten. Die vollständige Umwandlung beinhaltet die Umsetzung der Adressen, der Formate, die Konvertierung der Codierung, die Zwischenpufferung der Datenpakete, die Paketbestätigung sowie die Flußkontrolle und die Geschwindigkeitsanpassung. Ein Gateway realisiert aufgrund der vollständigen Bearbeitung aller Kommunikationsschichten für die verbundenen Protokollwelten oft eine höhere Funktionalität hinsichtlich Terminal-Emulation, Grafikfähigkeit, Programm-zu-Programm-Kommunikation, Filetransfer und Anzahl parallel möglicher Sessions als gemeinsam benutzbare Standardprotokolle. Nachteilig ist die Beschränkung auf zwei verschiedene Protokolle, was bei dem Einsatz von n Protokollen n x (n-1)/2 Gateways erfordert (quadratische Steigerung!) und entsprechenden Betreuungsaufwand und Unübersichtlichtkeit der logischen Netzwerkstruktur erzeugt. 19 Vorlesung - FHDW © Dr. G. Hellberg August 2000 Begriffsdefinitionen

20 Repeater im OSI-Modell
Sender / Empfänger Sender / Empfänger 7 Anwendung 7 Anwendung 6 Darstellung 6 Darstellung 5 Kommunikations- steuerung 5 Kommunikations- steuerung 4 Transport 4 Transport 3 Vermittlung Repeater 3 Vermittlung 2 Sicherung Signalverstärker (Nutz- und Störsignal) 2 Sicherung 1 Bitübertragung Bitübertragung Bitübertragung 1 Bitübertragung Segment A LAN A Segment B LAN A 20 Vorlesung - FHDW © Dr. G. Hellberg August 2000

21 Logical Link Control MAC MAC
Bridge im OSI-Modell Sender / Empfänger Sender / Empfänger 7 Anwendung 7 Anwendung 6 Darstellung 6 Darstellung 5 Kommunikations- steuerung 5 Kommunikations- steuerung 4 Transport Bridge 4 Transport 3 Vermittlung Filter, bildet Kollisionsdomainen aus 3 Vermittlung 2 Sicherung Logical Link Control MAC MAC 2 Sicherung 1 Bitübertragung Bitübertragung Bitübertragung 1 Bitübertragung Segment A LAN A Segment B LAN A 21 Vorlesung - FHDW © Dr. G. Hellberg August 2000

22 Segment B LAN A oder LAN B
Router im OSI-Modell Sender / Empfänger Sender / Empfänger 2 Sicherung 3 Vermittlung 4 Transport 5 Kommunikations- steuerung 6 Darstellung 7 Anwendung 1 Bitübertragung 7 Anwendung 6 Darstellung 5 Kommunikations- steuerung Router verschiedene Architekturen, aber gleiches Protokoll 4 Transport Vermittlung 3 Vermittlung Sicherung Sicherung 2 Sicherung Bitübertragung Bitübertragung 1 Bitübertragung Segment A LAN A Segment B LAN A oder LAN B 22 Vorlesung - FHDW © Dr. G. Hellberg August 2000

23 Segment B LAN A oder LAN B
Gateway im OSI-Modell Application Gateway Bitübertragung 1 Bitübertragung 2 Sicherung 3 Vermittlung 4 Transport 5 Kommunikations- steuerung 6 Darstellung 7 Anwendung Sicherung Vermittlung Transport Kommunikations- steuerung Darstellung Anwendung Sender / Empfänger Protokollumsetzung Segment A LAN A Segment B LAN A oder LAN B 23 Vorlesung - FHDW © Dr. G. Hellberg August 2000

24 Router und Routing Router und Routing-Protokolle, dienen der dynamischen Suche nach geeigneten Wegen im Internet. Sie sind grundlegend für den Betrieb von TCP/IP. Routing-Information setzt zwei Routen fest: von der Quell- zur Zielmaschine und zurück. Der Rückweg ist gewöhnlich die Umkehr des Hinwegs. Andernfalls spricht man von asymmetrischen Routing, welches meist aus sicherheitstechnischer Sicht bedenklich ist. „Roo‘ting“ bezeichnet das Verhalten von Fußballfans, von Schweinen bei der Trüffelsuche unter den Eichen des Vaucluse und von den vermehrungswilligen Baumschullehren im Umgang mit Stecklingen. „ Roo‘ting“ ist, was eine abgeschrägte Tischkante erzeugt oder eine Infrantrieabteilung in den ungeordneten Rückzug treibt. Beide Aussprachen sind korrekt für den Begriff Routing, welcher den Vorgang der Suche, Auswahl und Nutzung von Routern zwischen zwei oder mehreren Zielen, kurz der Wegwahl, in Datennetzen bezeichnet. Open Systems Networking: TCP/IP and OSI DAVID M. PISCITELLO UND A. LYMAN CHAPIN Routing Unter Routing versteht man eine Wegwahlfunktion zur Vermittlung von Nachrichten zwischen mehreren Lokalen Netzen (LAN). Das Routing-Problem kann folgendermaßen charakterisiert werden: Wie läßt sich die von einem Knoten zu einem zweiten Knoten zu transportierende Nachrichtenmenge unter Verwendung der Ressourcen des Netzes optimal transportieren? Routing-Verfahren lassen sich grob klassifizieren in: - Zentralisierte und verteilte Verfahren, bei denen entweder eine Zentralstation die notwendigen Wegwahlinformationen hat und die Wegwahlentscheidung trifft oder bei der verteilten Technik die einzelnen Knoten (IMP) ihre Entscheidung selbst treffen. - Bei den statischen Verfahren (siehe Routing, statisches) wird die optimale Wegwahl einmalig berechnet, und es wird immer der gleiche Weg über die IMPs benutzt. Das wirkt sich bei Änderung der Randbedingungen nachteilig aus. - Dagegen stehen die dynamischen Verfahren (siehe Routing, dynamisches), die die Wegwahl aufgrund aktueller Zustandsparameter des Netzwerkes treffen. Dies stellt bei großen Netzwerken ein Problem dar, da sich der Netzwerkzustand ständig ändert. - Bei den lokalen und globalen Verfahren wird einerseits der Netzwerkzustand in der unmittelbaren Umgebung, andererseits der gesamte Netzwerkzustand berücksichtigt. - Bei den deterministischen und stochastischen Verfahren wird die Leitwegbestimmung über deterministische Entscheidungsregeln bzw. über stochastische getroffen. Router verbinden Subnetze auf der Vermittlungsschicht des OSI-Referenzmodells. Da die Schicht 3 für alle aktuell etablierten Industriestandards unterschiedlich ist, ist die Router-Kopplung hinsichtlich der höheren Schichten protokollabhängig, d.h., ein Router muß alle Protokolle verstehen, die er bearbeiten soll. Durch die Kopplung auf Vermittlungsschicht können unterschiedliche Schicht-2-Protokolle sehr gut ausgetauscht werden. Aufgrund der implementierten Routing-Protokolle stellt eine Router-Kopplung im Vergleich zur Brückenkopplung komplexere und unter Umständen effizientere Möglichkeiten zur Verfügung, redundante Netzwerkstrukturen hinsichtlich dynamischer Wegwahl und alternativer Routen auszunutzen. Im Gegensatz zu Brücken interpretiert ein Router nur die Datenpakete, die direkt an ihn adressiert sind, defaultmäßig erfolgt kein Pakettransport. Nur wenn das Zielnetz bekannt ist, wird ein Paket entsprechend weitergeleitet. Broadcasts werden nicht weitergeleitet, sondern bei routfähigen Protokollen vom Router bearbeitet. Aufgrund der komplexeren Wegwahl-Funktionalität und der Unterbindung von Default-Transport eignen sich Router insbesondere zur LAN-Interconnection über Weitverkehrsnetze. 24 Vorlesung - FHDW © Dr. G. Hellberg August 2000 Begriffsdefinitionen

25 Routing und Subnetze C D B A E Begriffsdefinitionen
C D B A E Erläuterung der Subnetzbildung Internet 25 Vorlesung - FHDW © Dr. G. Hellberg August 2000 Begriffsdefinitionen

26 Gliederung Einführung (neue Formen der Kommunikation)
Historische Betrachtungen Begriffsdefinitionen Vorteile / Nachteile / Nutzen von Netzwerken Bereitstellung von Diensten ( , ftp, www) Marktübersicht von NOS Risiken beim Einsatz von Netzwerken (Viren, Datenschutz, Firewall, Rechtliche Aspekte) Aktuelle Entwicklungen Zusammenfassung / Ausblick 26 Vorlesung - FHDW © Dr. G. Hellberg August 2000

27 Motivation für den Einsatz von Netzwerken
Ausgangssituation: Ressourcen-Sharing (z.B. gemeinsame Benutzung von Druckern) Großrechner (Mainframes) mit „dummen Terminals“; anderes Extrem: 1981 IBM PC XT als „Insellösung“; Kombination beider Vorteile => Netzwerke Bedürfnis nach flexibleren Kommunikationsstrukturen Netzwerk network Ein Netzwerk besteht im allgemeinen aus einer Gruppe von Computersystemen und Terminals, die über Kommunikationsleitungen miteinander verbunden sind und die Informationen und Ressourcen gemeinsam nutzen. Ein Netzwerk, auch als Computer-Netzwerk bezeichnet, umfaßt technische Einrichtungen (Leitwege, Vermittlungsstellen und Anschlußstellen) und entsprechende Übertragungs- und Vermittlungsverfahren. Die Terminals oder Netzwerkknoten liegen im Lokalen Netzwerk (LAN) auf engem geographischen Raum oder in Großnetzwerken weit verstreut. Sie sind über Kabel, Wähl- oder Standleitungen verbunden. Das Netzwerk ist ein Mehrbenutzer- und Mehrfunktionssystem. Netzwerke können unterschiedlich aufgebaut sein, je nach Aufbauschema bezeichnet man die Netwerkstruktur als Bustopologie, Sterntopologie, Ringtopologie usw. Vorteile von Netzen sind u.a.: flexibler Austausch von Daten und Programmen, die wirtschaftliche Ausnutzung teurer Peripheriegeräte sowie die effektive Informationsbeschaffung und -verteilung. Von einem öffentlichen Netzwerk spricht man, wenn die Datenübertragung über öffentliche Leitungen, z.B. über Wählleitungen und/oder Datenpaketvermittlung, erfolgt und Telekommunikationsdienste angeboten werden. 27 Vorlesung - FHDW © Dr. G. Hellberg August 2000 Vor- / Nachteile / Nutzen von Netzwerken

28 Nachteile von Einzelplatzlösungen
Pflege und Wartung von Programmen und Daten müssen auf mehreren Rechnern durchgeführt werden Datenbestände können nicht gemeinsam von mehreren Anwendern genutzt werden gleichzeitiges Ändern von Daten in einer Datei ist nicht möglich teure Peripheriegeräte müssen für jeden Rechner angeschafft werden, obwohl sie nicht optimal ausgelastet werden. 28 Vorlesung - FHDW © Dr. G. Hellberg August 2000 Vor- / Nachteile / Nutzen von Netzwerken

29 Vorteile von Netzwerken
Handhabung (Updates einfacher, Arbeiten mit denselben Programmversionen, automatische Backups usw.) Sicherheit Standardisierung (Formulare, Programmversionen, Daten usw.) geringere Kosten (Lizenzgebühren für Software, Ressourcen-Sharing wie z.B. Drucker) Gemeinsamer Zugriff auf Informationen (Konsistenz, Integrität und damit auch Geschwindigkeit) 29 Vorlesung - FHDW © Dr. G. Hellberg August 2000 Vor- / Nachteile / Nutzen von Netzwerken

30 Nachteile von Netzwerken
Befall des Systems durch Viren (auch gesamtes Netz) eventuell höherer Administrationsaufwand höhere Anschaffungskosten Schwierigkeiten der Kopplung von verschiedenen Systemen Zugriff auf sensitive Daten durch unbefugte Benutzer Manipulation bzw. Zerstörung von Daten durch unbefugte Benutzer 30 Vorlesung - FHDW © Dr. G. Hellberg August 2000 Vor- / Nachteile / Nutzen von Netzwerken

31 Stellung des Netzwerkes
Zugriff aller Benutzer auf gemeinsame Programme und Daten zentrale Auftragsabwicklung zentrale, konsistente Daten und Arbeitsabläufe Sicherheit physikalisch (intelligente Plattenverwaltung) zentrale, regelmäßig und automatisch erfolgende Datensicherung z.B. mittels Streamer logische und programmtechnische Sicherheit durch die Verwendung von Benutzergruppen und Paßwörtern Anbindung an andere Betriebssysteme und Software Optimale Ausnutzung von Ressourcen (z.B. Drucker) 31 Vorlesung - FHDW © Dr. G. Hellberg August 2000 Vor- / Nachteile / Nutzen von Netzwerken

32 Gliederung Einführung (neue Formen der Kommunikation)
Historische Betrachtungen Begriffsdefinitionen Vorteile / Nachteile / Nutzen von Netzwerken Bereitstellung von Diensten ( , ftp, www) Marktübersicht von NOS Risiken beim Einsatz von Netzwerken (Viren, Datenschutz, Firewall, Rechtliche Aspekte) Aktuelle Entwicklungen Zusammenfassung / Ausblick 32 Vorlesung - FHDW © Dr. G. Hellberg August 2000

33 Dienste im Internet Bereitstellung von Diensten
Elektronische Post ( , SMTP) Übertragung von Dateien (ftp) Terminal-Zugang (telnet) und ferne Ausführung von Kommandos Usernet-News World Wide Web (Web-Server) Dienste für Echtzeit-Konferenzsysteme (Video) Name-Service (DNS) Dienste zur Netzverwaltung (SNMP) Netzweit verteilte Dateisysteme (File-Server) Druckdienste (Print-Server) Datenbankdienste Einrichten von Internet FIREWALLS Kapitel 2 Seite 29 33 Vorlesung - FHDW © Dr. G. Hellberg August 2000 Bereitstellung von Diensten

34 Gliederung Einführung (neue Formen der Kommunikation)
Historische Betrachtungen Begriffsdefinitionen Vorteile / Nachteile / Nutzen von Netzwerken Bereitstellung von Diensten ( , ftp, www) Marktübersicht von NOS Risiken beim Einsatz von Netzwerken (Viren, Datenschutz, Firewall, Rechtliche Aspekte) Aktuelle Entwicklungen Zusammenfassung / Ausblick 34 Vorlesung - FHDW © Dr. G. Hellberg August 2000

35 Marktübersicht von NOS
Die Merkmale der folgenden drei NOS (networking operating systems) werden beispielhaft in Kurzform dargestellt: Windows NT 4.0 Server Novell Netware 5.x Unix (Linux Suse 6.x) 35 Vorlesung - FHDW © Dr. G. Hellberg August 2000 Marktübersicht von NOS

36 Windows NT 4.0 Server Merkmale von Windows NT 4.0 Server: Multiuser
Multitasking Multithreading Multiprozessorfähig Domainen-Konzept Digital-Cluster GUI Haupteinsatzgebiet im Bereich der Applikationsserver 36 Vorlesung - FHDW © Dr. G. Hellberg August 2000 Marktübersicht von NOS

37 Novell Netware 5.x Merkmale von Novell-Netware 5.x: Multiuser
Multitasking Multithreading Multiprozessorfähig NDS (Novell Directory Services) Cluster GUI (console-one) Applikationen wie z.B. Oracle, Groupwise, etc. 37 Vorlesung - FHDW © Dr. G. Hellberg August 2000 Marktübersicht von NOS

38 Unix (Linux Suse 6.x) Marktübersicht von NOS
Merkmale von Unix (Linux Suse 6.x): Multiuser Multitasking Multithreading Multiprozessorfähig Cluster GUI (X-Windows, KDE) TCP/IP direkt implementiert 30 Jahre auf diversen Plattformen verfügbar System von Programmierern für Programmierer als Server- und als Client-Betriebsystem einsetzbar für Firewall-Systeme gut geeignet (Quellcode) 38 Vorlesung - FHDW © Dr. G. Hellberg August 2000 Marktübersicht von NOS

39 Gliederung Einführung (neue Formen der Kommunikation)
Historische Betrachtungen Begriffsdefinitionen Vorteile / Nachteile / Nutzen von Netzwerken Bereitstellung von Diensten ( , ftp, www) Marktübersicht von NOS Risiken beim Einsatz von Netzwerken (Viren, Datenschutz, Firewall, Rechtliche Aspekte) Aktuelle Entwicklungen Zusammenfassung / Ausblick 39 Vorlesung - FHDW © Dr. G. Hellberg August 2000

40 Risiken beim Einsatz von Netzwerken
Die folgenden Aspekte werden berücksichtigt: Datensicherheit Datenschutz Viren Darstellung verschiedener Sicherheitskonzepte Einige kurze Bemerkungen zu den rechtlichen Aspekten der Datenverarbeitung ergänzen die Ausführungen. 40 Vorlesung - FHDW © Dr. G. Hellberg August 2000 Risiken beim Einsatz von Netzwerken

41 Ausgangssituation zu Firewalls
Was ist eine Firewall, und welche Vorteile bringt sie? Bietet die Möglichkeit der Beschränkung der Kommunikation zwischen dem Internet und dem internen Netz. Einrichtung am effektivsten Punkt, dem Anschlußpunkt des internen Netzwerkes an das Internet. Die Wahrscheinlichkeit, daß Angreifer von außen in Ihre internen Systeme und Netze eindringen läßt sich verringern. Interne Benutzer werden davon abhalten, Systeme zu gefährden, indem sie sicherheitsrelevante Informationen wie unverschlüsselte Paßwörter oder vertrauliche Daten nach außen geben. Das vorliegende Buch dient als Anleitung zum Aufbau eines eigenen Firewalls. Es erklärt Ihnen in einzelnen Schritten, wie Sie einen Firewall entwerfen und an Ihrem Standort einrichten. Es beschreibt, wie Sie Internet-Dienste wie z.B. elektronische Post, FTP oder das World wide Web so konfigurieren, daß sie mit einem Firewall einsetzbar sind. Firewalls sind jedoch ein ziemlich komplexes Gebiet, so daß sich nicht alles durch einfache Anleitungen erklären läßt. Zu viele Faktoren hängen von den speziellen Eigenschaften Ihrer Umgebung ab, welche Hardware, welches Betriebssystem und welches Netz Sie verwenden. Relevant ist zudem, welchen Spielraum Sie Ihren Benutzern lassen und wo Sie ihn einschränken möchten. Wir haben uns darum bemüht, Ihnen so viele Regeln, Beispiele und Bezugsquellen an die Hand zu geben, daß Sie offene Fragen gegebenenfalls selbst klären können. Was ist ein Firewall, und welche Vorteile bringt er Ihnen? Ein Firewall bietet die Möglichkeit, die Kommunikation zwischen dem Internet und Ihrem internen Netz einzuschränken. Sie richten ihn in der Regel dort ein, wo er die größten Effekte erzielen kann, und zwar an dem Punkt, wo Ihr Netz ans Internet angeschlossen ist. Mit einem Firewall läßt sich die Wahrscheinlichkeit erheblich verringern, daß Angreifer von außen in Ihre internen Systeme und Netze eindringen. Zudem kann der Firewall interne Benutzer davon abhalten, Ihre Systeme zu gefährden, indem sie sicherheitsrelevante Informationen wie unverschlüsselte Paßwörter oder vertrauliche Daten nach außen geben. Die heute zu beobachtenden Angriffe auf ans Internet angeschlossene Systeme sind gravierender und technisch komplexer als früher. Um diese Angriffe abzuwehren, benötigen wir jede erdenkliche Hilfe. Firewalls bilden eine äußerst wirksame Methode, um einen Standort vor Angriffen zu schützen. Deshalb halten wir es für unbedingt notwendig, Firewalls in die Planung der Gesamtsicherheit eines Standorts einzubeziehen. 41 Vorlesung - FHDW © Dr. G. Hellberg August 2000 Risiken beim Einsatz von Netzwerken

42 Ausgangssituation zu Firewalls
Die Firewall ist jedoch nur ein Teil des Plans zur Realisierung eines Sicherheitskonzeptes. Was wollen Sie schützen? Welche Sicherheitsphilosophie wird eingesetzt? Beim Anschluß an das Internet müssen drei Dinge beachtet werden: Daten (Vertraulichkeit, Integrität, Verfügbarkeit) Ressourcen Image Der Firewall ist jedoch nur ein Teil des Plans. Es ist ebenso wichtig, eine klar definierte Sicherheitspolitik zu verfolgen, starke Rechnersicherheit zu gewährleisten und unter Umständen eigene Geräte zur Authentifizierung und Verschlüsselung einzubeziehen, die mit den einzurichtenden Firewalls kooperieren. Wir werden all diese Themen hier ansprechen, uns aber im wesentlichen auf Firewalls konzentrieren. Davor wollen wir aber kurz darauf eingehen, warum Sie überhaupt einen Firewall benötigen. Was muß man auf Systemen schützen? Mit welchen Angriffen und Angreifern haben wir es heutzutage zu tun? Mit welchen Sicherheitsvorkehrungen läßt sich ein Standort schützen? Was wollen Sie schützen? Ein Firewall ist im Grunde eine Schutzvorrichtung. Was es zu schützend gilt, ist die erste Überlegung beim Aufbau eines Firewalls. Beim Anschluß an das Internet müssen Sie auf drei Dinge achten: Ihre Daten: die Informationen, die Sie auf Ihren Computern speichern Ihre Ressourcen: die Computer selbst. Ihr guter Ruf Ihre Daten Ihre Daten müssen in dreierlei Hinsicht geschützt werden: Vertraulichkeit: Sie wollen sie vor anderen Leuten geheimhalten. Integrität: Andere Leute sollen sie wahrscheinlich nicht verändern. Verfügbarkeit: Sie möchten die Daten sicherlich selbst benutzen. 42 Vorlesung - FHDW © Dr. G. Hellberg August 2000 Risiken beim Einsatz von Netzwerken

43 Ausgangssituation zu Firewalls
Kosten Firewalls gibt es nicht umsonst, es entsteht Aufwand für: Anschaffung und Wartung der Hardware, Entwicklung / Anschaffung und Wartung der Software, Installation und Personalschulung, kontinuierliche Administration und Troubleshooting, Geschäftseinbußen und Widrigkeiten durch blockierte Dienste oder Störungen in der Firewall, Verzicht auf die Dienste oder Annehmlichkeiten einer offenen Anbindung. 43 Vorlesung - FHDW © Dr. G. Hellberg August 2000 Risiken beim Einsatz von Netzwerken

44 Ausgangssituation zu Firewalls
Kosten Sollte auf den Einsatz einer Firewall verzichtet werden, können folgende Kosten auftreten: nötige Maßnahmen zur Bekämpfung eines erfolgreichen Einbruchs und zum Wiederanlauf des Betriebs, inklusive Geschäftseinbußen, juristische und andere Konsequenzen wegen der Duldung oder Unterstützung von Hackern. 44 Vorlesung - FHDW © Dr. G. Hellberg August 2000 Risiken beim Einsatz von Netzwerken

45 Definitionen zu Firewalls
Wir definieren eine Ansammlung von Komponenten zwischen zwei Netzen kollektiv als Firewall, wenn folgende Bedingungen erfüllt sind: Jeglicher Verkehr zwischen innen und außen muß die Firewall passieren. Nur der im Sicherheitskonzept vorgesehene Verkehr wird durchgeschleust. Die Firewall selbst ist immun gegen Angriffe. Cheswick S. 10 Wir definieren eine Ansammlung von Komponenten zwischen zwei Netzen kollektiv als Firewall, wenn folgende Bedingungen erfüllt sind: Jeglicher Verkehr zwischen innen und außen muß den Firewall passieren. Nur der im Sicherheitskonzept vorgesehene Verkehr wird durchgeschleust. Der Firewall selbst ist immun gegen Angriffe. 45 Vorlesung - FHDW © Dr. G. Hellberg August 2000 Risiken beim Einsatz von Netzwerken

46 Sicherheit Definition Firewall-Gateways
Eine Firewall besteht im allgemeinen aus verschiedenen Komponenten Filter - manchmal auch Screens genannt - schleusen nur ganz bestimmte Klassen von Verkehr durch und blockieren den anderen. Ein Gateway besteht aus einer oder mehreren Maschinen, die als Relais für bestimmte, durch Filter blockierte Dienste dienen. Das Gateway-Datennetzsegment wird oft auch demilitarisierte Zone (DMZ) genannt. Ein Gateway in der DMZ wird häufig durch einen internen Gateway ergänzt. „ 46 Vorlesung - FHDW © Dr. G. Hellberg August 2000 Risiken beim Einsatz von Netzwerken

47 Sicherheit Gateway(s) Schema einer Firewall
Innen Außen Filter 47 Vorlesung - FHDW © Dr. G. Hellberg August 2000 Risiken beim Einsatz von Netzwerken

48 Sicherheit Drei Hauptkategorien von Firewalls werden unterschieden:
Paketfilter Vermittler- oder Transportschicht-Gateway (circuit gateway) Anwendungsschicht-Gateway (application gateway) Meist werden mehrere Typen gleichzeitig eingesetzt. Wir werden im folgenden einige Architekturen für Firewalls betrachten. 48 Vorlesung - FHDW © Dr. G. Hellberg August 2000 Risiken beim Einsatz von Netzwerken

49 Sicherheit   Paketfilterung Risiken beim Einsatz von Netzwerken
Paketfilter-Systeme routen Pakete zwischen internen und externen Rechnern, gehen dabei aber selektiv vor. Sie lassen bestimmte Pakettypen passieren oder blockieren sie auf eine Art, die die Sicherheitspolitik eines Standortes widerspiegelt. Der in einem Paketfilter-Firewall verwendete Routertyp wird Überwachungsrouter genannt. Internet Routet oder blockiert Pakete entsprechend der Sicherheitspolitik eines Standorts  Überwachungsrouter  „Roo‘ting“ bezeichnet das Verhalten von Fußballfans, von Schweinen bei der Trüffelsuche unter den Eichen des Vaucluse und von den vermehrungswilligen Baumschullehren im Umgang mit Stecklingen. „ Roo‘ting“ ist, was eine abgeschrägte Tischkante erzeugt oder eine Infrantrieabteilung in den ungeordneten Rückzug treibt. Beide Aussprachen sind korrekt für den Bergriff Routing, welcher den Vorgang der Suche, Auswahl und Nutzung von Routern zwischen zwei oder mehreren Zielen, kurz vor der Wegwahl, in Datennetzen bezeichnet. Open Systems Networking: TCP/IP and OSI DAVID M. PISCITELLO UND A. LYMAN CHAPIN Internes Netz FS 49 Vorlesung - FHDW © Dr. G. Hellberg August 2000 Risiken beim Einsatz von Netzwerken

50 Sicherheit Architektur mit Dual-Homed-Host
Internet Dual- Homed- Host Firewall Internes Netz 50 Vorlesung - FHDW © Dr. G. Hellberg August 2000 Risiken beim Einsatz von Netzwerken

51 Definitionen zu Firewalls
Grenznetz Ein Netz, das zwischen ein geschütztes und ein externes Netz eingefügt wird, um eine weitere Schutzschicht zu schaffen. Ein Grenznetz wird manchmal auch DMZ genannt, das für De-Militarisierte Zone steht (nach einer Zone, die Nord- und Südkorea trennt). Proxy-Server Ein Programm, das stellvertretend für interne Clients mit externen Servern kommuniziert. Proxy-Clients unterhalten sich mit den Proxy-Servern, die bestätigte Client-Anfragen an die eigentlichen Server weiterleiten und die Antworten zurück an die Clients übermitteln. „Roo‘ting“ bezeichnet das Verhalten von Fußballfans, von Schweinen bei der Trüffelsuche unter den Eichen des Vaucluse und von den vermehrungswilligen Baumschullehren im Umgang mit Stecklingen. „ Roo‘ting“ ist, was eine abgeschrägte Tischkante erzeugt oder eine Infrantrieabteilung in den ungeordneten Rückzug treibt. Beide Aussprachen sind korrekt für den Bergriff Routing, welcher den Vorgang der Suche, Auswahl und Nutzung von Routern zwischen zwei oder mehreren Zielen, kurz vor der Wegwahl, in Datennetzen bezeichnet. Open Systems Networking: TCP/IP and OSI DAVID M. PISCITELLO UND A. LYMAN CHAPIN 51 Vorlesung - FHDW © Dr. G. Hellberg August 2000 Risiken beim Einsatz von Netzwerken

52 Sicherheit Proxy-Dienste bei einem Dual-Homed-Host.
Internet Echter Server Externer Host Proxy- Server Dual- Homed Host PC Firewall Internes Netz Proxy-Client Interner Host 52 Vorlesung - FHDW © Dr. G. Hellberg August 2000 Risiken beim Einsatz von Netzwerken

53 Sicherheit Architektur mit überwachtem Teilnetz (und zwei Routern)
Internet Bastion-Host Äußerer Router Grenznetz Firewall Innerer Router Internes Netz 53 Vorlesung - FHDW © Dr. G. Hellberg August 2000 Risiken beim Einsatz von Netzwerken

54 Sicherheit Architektur mit zwei Bastion-Hosts
Internet FTP/www-Host SMTP/DNS-Host Äußerer Router Grenznetz Firewall Innerer Router Internes Netz 54 Vorlesung - FHDW © Dr. G. Hellberg August 2000 Risiken beim Einsatz von Netzwerken

55 Gliederung Einführung (neue Formen der Kommunikation)
Historische Betrachtungen Begriffsdefinitionen Vorteile / Nachteile / Nutzen von Netzwerken Bereitstellung von Diensten ( , ftp, www) Marktübersicht von NOS Risiken beim Einsatz von Netzwerken (Viren, Datenschutz, Firewall, Rechtliche Aspekte) Aktuelle Entwicklungen Zusammenfassung / Ausblick 55 Vorlesung - FHDW © Dr. G. Hellberg August 2000

56 Aktuelle Entwicklungen
Mit den zusammenfassenden Betrachtungen wird ein Ausblick unter Berücksichtigung der aktuellen Entwicklungen gegeben. Neue Technologien LWL, Sateliten, Gigabit-Netz sinkende Kosten für Technologien höherwertige Dienste (Quality of Service) steigende Anzahl von Anwendern neue Einsatzbereiche (Data-Ware-House, Virtuelle Welten) 56 Vorlesung - FHDW © Dr. G. Hellberg August 2000 Aktuelle Entwicklungen

57 Gliederung Einführung (neue Formen der Kommunikation)
Historische Betrachtungen Begriffsdefinitionen Vorteile / Nachteile / Nutzen von Netzwerken Bereitstellung von Diensten ( , ftp, www) Marktübersicht von NOS Risiken beim Einsatz von Netzwerken (Viren, Datenschutz, Firewall, Rechtliche Aspekte) Aktuelle Entwicklungen Zusammenfassung / Ausblick 57 Vorlesung - FHDW © Dr. G. Hellberg August 2000

58 Zusammenfassung / Ausblick
Schwerpunktmäßig wurden in der Vorlesung folgende Punkte behandelt: Nach einigen grundlegenden Begriffsdefinitionen (Kopplungselemente usw.) wurden die Vor- und Nachteile von Netzwerken diskutiert. Danach wurden die einzelnen Dienste / Protokolle anhand des ISO/OSI-Referenzmodells und TCP/IP erläutert und in Beziehung zu aktuellen Betriebssystemen gesetzt. Im Anschluß wurde schwerpunktmäßig auf die Risiken beim Einsatz von Netzwerken und auf den Aufbau von Sicherheitskonzepten eingegangen. 58 Vorlesung - FHDW © Dr. G. Hellberg August 2000 Zusammenfassung / Ausblick

59 Zusammenfassung / Ausblick
Der Einsatz von globalen, heterogenen Netzwerken führt dazu, daß die Netzwerksicherheit immer mehr Relevanz bekommt Die zur Verfügung gestellten Dienste stellen immer höhere Anforderungen an die IT-Technologien und -Verfahren. Dem Anwender soll dieses durch eine möglichst einfache Schnittstelle zur Verfügung gestellt werden. 59 Vorlesung - FHDW © Dr. G. Hellberg August 2000 Zusammenfassung / Ausblick

60 Quellennachweise 60 Vorlesung - FHDW © Dr. G. Hellberg August 2000
Einrichten von Internet Firewalls, D. Brent Chapman and Elizabeth D. Zwicky, O´Reilly International Thompson Verlag, 1. Auflage 1996 Firewalls und Sicherheit im Internet, William R. Cheswick, Steven M. Belovin, Addison-Wesley, 1. Auflage 1996 TCP/IP Netzwerk-Administration, Craig Hunt, O´Reilly Verlag, 2. aktualisierte und erweiterte Auflage 1998 Lexikon Lokale Netze, Klaus Lipinski, Internationl Thomson Publishing, 1998 Computertechnologie und Managementpraxis: Datenbanken und Objekte, Wolf Dietrich Nagel, Addison-Wesley, 1. Auflage 1992 60 Vorlesung - FHDW © Dr. G. Hellberg August 2000

61 Definitionen zu Firewalls
Eine oder mehrere Komponenten, die den Zugriff zwischen einem geschützten Netz und dem Internet oder zwischen beliebigen anderen Netzen beschränken. Host Ein Computersystem, das an ein Netz angeschlossen ist. 61 Vorlesung - FHDW © Dr. G. Hellberg August 2000 Risiken beim Einsatz von Netzwerken

62 Definitionen zu Firewalls
Bastion-Host Ein Computersystem, das besonders geschützt werden muß, da es für Angriffe prädestiniert ist - in der Regel, weil es dem Internet offensteht und eine wichtige Anlaufstelle für Benutzer interner Netze ist. Der Bastion-Host hat seinen Namen von den stark befestigten Vorsprüngen auf den Außenmauern mittelalterlicher Burgen. Dual-Homed-Host Ein für verschiedene Aufgaben ausgelegtes Computersystem mit mindestens zwei Netzschnittstellen. Paket Die elementare Kommunikationseinheit im Internet. „Roo‘ting“ bezeichnet das Verhalten von Fußballfans, von Schweinen bei der Trüffelsuche unter den Eichen des Vaucluse und von den vermehrungswilligen Baumschullehren im Umgang mit Stecklingen. „ Roo‘ting“ ist, was eine abgeschrägte Tischkante erzeugt oder eine Infrantrieabteilung in den ungeordneten Rückzug treibt. Beide Aussprachen sind korrekt für den Bergriff Routing, welcher den Vorgang der Suche, Auswahl und Nutzung von Routern zwischen zwei oder mehreren Zielen, kurz vor der Wegwahl, in Datennetzen bezeichnet. Open Systems Networking: TCP/IP and OSI DAVID M. PISCITELLO UND A. LYMAN CHAPIN 62 Vorlesung - FHDW © Dr. G. Hellberg August 2000 Risiken beim Einsatz von Netzwerken

63 Definitionen zu Firewalls
Paketfilterung Die Aktion, bei der ein Gerät den Datenfluß von und zu einem Netz selektiv steuert. Paketfilter lassen Pakete nur passieren oder halten sie auf, was meist beim Routing zwischen zwei Netzen geschieht (normalerweise zwischen dem Internet und einem internen Netz). Für die Paketfilterung stellen Sie einen Satz von Regeln auf, in dem festgelegt ist, welche Pakettypen zugelassen sind und welche aufgehalten werden, z.B. Pakete von einer bestimmten IP-Adresse oder einem bestimmten Port. Paketfilterung kann auf einem Router, einer Bridge oder einem einzelnen Host stattfinden. Sie wird manchmal auch als Screening bezeichnet. „Roo‘ting“ bezeichnet das Verhalten von Fußballfans, von Schweinen bei der Trüffelsuche unter den Eichen des Vaucluse und von den vermehrungswilligen Baumschullehren im Umgang mit Stecklingen. „ Roo‘ting“ ist, was eine abgeschrägte Tischkante erzeugt oder eine Infrantrieabteilung in den ungeordneten Rückzug treibt. Beide Aussprachen sind korrekt für den Bergriff Routing, welcher den Vorgang der Suche, Auswahl und Nutzung von Routern zwischen zwei oder mehreren Zielen, kurz vor der Wegwahl, in Datennetzen bezeichnet. Open Systems Networking: TCP/IP and OSI DAVID M. PISCITELLO UND A. LYMAN CHAPIN 63 Vorlesung - FHDW © Dr. G. Hellberg August 2000 Risiken beim Einsatz von Netzwerken

64 Definitionen zu Firewalls
Grenznetz Ein Netz, das zwischen ein geschütztes und ein externes Netz eingefügt wird, um eine weitere Schutzschicht zu schaffen. Ein Grenznetz wird manchmal auch DMZ genannt, das für De-Militarisierte Zone steht (nach einer Zone, die Nord- und Südkorea trennt). Proxy-Server Ein Programm, das stellvertretend für interne Clients mit externen Servern kommuniziert. Proxy-Clients unterhalten sich mit den Proxy-Serven, die bestätigte Client-Anfragen an die eigentlichen Server weiterleiten und die Antworten zurück an die Clients übermitteln. „Roo‘ting“ bezeichnet das Verhalten von Fußballfans, von Schweinen bei der Trüffelsuche unter den Eichen des Vaucluse und von den vermehrungswilligen Baumschullehren im Umgang mit Stecklingen. „ Roo‘ting“ ist, was eine abgeschrägte Tischkante erzeugt oder eine Infrantrieabteilung in den ungeordneten Rückzug treibt. Beide Aussprachen sind korrekt für den Bergriff Routing, welcher den Vorgang der Suche, Auswahl und Nutzung von Routern zwischen zwei oder mehreren Zielen, kurz vor der Wegwahl, in Datennetzen bezeichnet. Open Systems Networking: TCP/IP and OSI DAVID M. PISCITELLO UND A. LYMAN CHAPIN 64 Vorlesung - FHDW © Dr. G. Hellberg August 2000 Risiken beim Einsatz von Netzwerken

65 Definitionen zu Firewalls
Proxy-Dienste, sind spezielle Anwendungs- und Serverprogramme, die auf einem Firewall-Host ablaufen: entweder auf einem Dual-Homed-Host mit einer Schnittstelle zum internen und einer zum externen Netz oder auf einem anderen Bastion-Host, der Zugang zum Internet hat und von den internen Rechnern aus angesprochen werden kann. Diese Programme greifen die Benutzeranfragen nach Internet-Diensten wie FTP oder Telnet auf und leiten sie an die eigentlichen Dienst weiter, sofern sie mit einer Sicherheitspolitik des Standorts vereinbar sind. Die Proxies stellen Ersatzverbindungen her und fungieren als Gateways zu den Diensten. Deshalb werden Proxies manchmal auch Application-Level-Gateways genannt. „Roo‘ting“ bezeichnet das Verhalten von Fußballfans, von Schweinen bei der Trüffelsuche unter den Eichen des Vaucluse und von den vermehrungswilligen Baumschullehren im Umgang mit Stecklingen. „ Roo‘ting“ ist, was eine abgeschrägte Tischkante erzeugt oder eine Infrantrieabteilung in den ungeordneten Rückzug treibt. Beide Aussprachen sind korrekt für den Bergriff Routing, welcher den Vorgang der Suche, Auswahl und Nutzung von Routern zwischen zwei oder mehreren Zielen, kurz vor der Wegwahl, in Datennetzen bezeichnet. Open Systems Networking: TCP/IP and OSI DAVID M. PISCITELLO UND A. LYMAN CHAPIN 65 Vorlesung - FHDW © Dr. G. Hellberg August 2000 Risiken beim Einsatz von Netzwerken

66 Sicherheit Architektur mit Dual-Homed-Host Eine Architektur mit Dual-Homed-Host wird um den Dual-Homed-Host herum aufgebaut.Dies ist ein Computer, der über midesten zwei Netzschnittstellen verfügt. Ein solcher Host ist als Router zwischen den Netzen einsetzbar, an die die Schnittstellen angeschlossen sind, da er IP-Pakete von Netz zu Netz routen kann. Für die Firewall Architektur mit Dual-Homed-Host jedoch aktivieren Sie diese Routing-Funktion. IP-Pakete werden somit nicht direkt von einem Netz (dem Internet) in das andere Netz (das interne, geschützte Netz) geroutet. Systeme innerhalb des Firewalls und Systeme außerhalb (im Internet) können jeweils mit einem Dual-Homed-Host, aber nicht direkt miteinander kommunizieren. Der IP-Verkehr zwischen ihnen wird vollständig blockiert. 66 Vorlesung - FHDW © Dr. G. Hellberg August 2000 Risiken beim Einsatz von Netzwerken

67 Anordnung von Firewalls
Sicherheit Anordnung von Firewalls Netz 2 Netz 2 Netz 1 Netz 1 Netz 3 Netz 3 Netz 4 Netz 7 Netz 7 Netz 5 Netz 5 Netz 6 Netz 6 67 Vorlesung - FHDW © Dr. G. Hellberg August 2000 Risiken beim Einsatz von Netzwerken

68 Beispiel für transitives Vertrauen
Sicherheit Beispiel für transitives Vertrauen A Netz 2 Netz 1 Netz 3 Netz 4 B C Netz 7 Netz 5 Netz 6 68 Vorlesung - FHDW © Dr. G. Hellberg August 2000 Risiken beim Einsatz von Netzwerken