Lade Inhalt...

Netzwerke und deren Sicherheit

Diplomarbeit 2001 68 Seiten

Informatik - IT-Security

Leseprobe

Inhaltverzeichnis

1 Arten von Netzwerken
1.1 Aufgaben, Ziele und Funktionen von Netzwerken
1.2 Grundlagen
1.3 OSI Referenzmodell
1.4 LAN / WAN
1.4.1 LAN
1.4.2 WAN
1.4.3 Internetworking
1.5 Die gängigsten Protokolle
1.5.1 Übersicht
1.5.2 TCP/IP
1.6 Internet / Intranet
1.6.1 Internet
1.6.2 Intranet
1.7 Netzwerk- und Systemmanagement

2 Sicherheit in Netzwerken
2.1 Sicherheitsprobleme und -lösungen
2.1.1 Probleme
2.1.2 Lösungsmöglichkeiten
2.2 Firewall
2.2.1 Schema einer Firewall
2.2.2 Konstruktionsprinzipien
2.2.3 Planung
2.3 Verschlüsselungsverfahren
2.3.1 Transaktionssicherheit im Internet
2.3.2 S-HTTP
2.3.3 SSL
2.3.4 SET

3 Schwachstellenanalyse und Schutzmöglichkeiten
3.1 Risikoanalyse
3.2 Computerkriminalität
3.3 Hacker und Viren, die ersten 35 Jahre
3.4 Internet-Sicherheit: Schwachstellen
3.4.1 Risiko durch Authentikation
3.4.2 Risiko durch Kommunikationsprotokolle
3.4.3 Gefahren durch Internetapplikationen
3.4.4 Risiko durch Informationsdienste
3.4.5 Viren in Programmen und Datennetzen
3.5 Schutzmöglichkeiten
3.5.1 Firewalls
3.5.2 Kryptographie
3.5.3 Überwachungswerkzeuge

4 Zusammenfassung

Abbildungsverzeichnis

Abbildung 1: Das OSI-Referenzmodell

Abbildung 2: Bus-Topologie

Abbildung 3: Stern-Topologie

Abbildung 4: Ring-Topologie

Abbildung 5: CSMA/CD-Verfahren

Abbildung 6: Dimensionen des Netz-Managements

Abbildung 7: Eine universelle Schnittstelle

Abbildung 8: Der General Manager

Abbildung 9: Das Management-Netzwerk

Abbildung 10: Die Plattform-Strategie

Abbildung 11: Schema einer Firewall

Abbildung 12: Paketfilter

Abbildung 13: Circuit Relay

Abbildung 14: Application Gateway

Abbildung 15: Symmetrisches Verschlüsselungsverfahren

Abbildung 16: Asymmetrisches Verschlüsselungsverfahren

Abbildung 17: Netzwerkeinbrüche bei Firmen

Abbildung 18: HTML-Script

Abbildung 19: HTML-Dokument als Ergebnis von „Abbildung 18: HTML-Script“

1 Arten von Netzwerken

Um komplexe Vernetzungen zu verstehen muss man zunächst die grundlegenden Netzarten kennenlernen: Netze sind die physische Grundlage für den Transport von Informationen in Form von Daten.

Dabei muss man zwischen Client und Server unterscheiden: Ein Client ist meist ein einfacher, weniger gut ausgestatteter Arbeitsplatzrechner, der die vom Server angebotenen Dienstleistungen nutzt. Ein Server hingegen bietet dem Client verschiedene Funktionen an und ermöglicht die Netzadministration. Während es sich früher vor allem um Terminalnetze, also um Netze mit Rechnern, die an einen Hauptterminal angeschlossen sind, gehandelt hat, existieren heute hauptsächlich Rechnernetze.

1.1 Aufgaben, Ziele und Funktionen von Netzwerken

Rechnernetze stellen folgende Hauptfunktionen zur Verfügung:

- Datenverbund: Der Datenverbund ist die Grundlage jeder verteilten Datenverarbeitung. Durch logische Koppelung von räumlich getrennten Datenbeständen erreicht man Zusammenarbeit. Den zentralen Punkt bildet der Server, der einerseits die angeschlossenen Teilnehmer mit den gewünschten Informationen versorgt und sich andererseits Informationen von anderen Servern besorgt.
- Funktionsverbund: Im Funktionsverbund gliedert man Geräte oder Systeme zur Realisierung spezieller Funktionen so ein, dass sie allen berechtigten Clients oder Programmen zur Verfügung stehen. Auf diese Art und Weise kann man etwa teures Equipment über einen Server allen Usern zur Verfügung stellen.
- Verfügbarkeitsverbund: Im Falle eines Ausfalls von mehreren Komponenten kann mittels Verfügbarkeitsverbund eine Mindestleistung bereitgestellt werden.
- Leistungsverbund: Der Leistungsverbund ermöglicht die Lösung eines Problems durch gemeinschaftliche Nutzung funktionaler Komponenten, die auf verschiedenen Rechnern implementiert sind.
- Lastverbund: Mithilfe des Lastverbundes kann man stärker belastete Rechner durch Einsatz von Ressourcen von schwächer belasteten Rechnern entlasten und so auch das gesamte System verbessern.

1.2 Grundlagen

Für die Übertragung von Daten in den verschiedenen Formen von Rechnernetzen stehen uns

- Verdrillte Leitungen (Twisted Pair)
- Koaxialkabel
- Lichtwellenleiter und
- Luft

als Übertragungsmedien zur Verfügung.

Ein Twisted Pair besteht aus paarweise verdrillten Kupferleitungen, die eine Übertragungsgeschwindigkeit von 10-100 Mbit/s bei einer Reichweiter von 100 m bieten. Es existieren drei Grundtypen:

- Sternvierer: die normale Telefonleitung, bei der vier Adern um sich selbst verdrillt sind und die normalerweise eine sehr geringe Übertragungskapazität haben
- UTP (Unshielded Twisted Pair): zwei jeweils verdrillte Adernpaare, die gegeneinander ungeschirmt sind
- STP (Shielded Twisted Pair): wie UTP, jedoch pro Adernpaar abgeschirmt
- In der Praxis verwendet man neben dem Sternvierer STP, UTP, S-STP und S-UTP (S steht für Screened).

Koaxialkabel bestehen aus einem Innenleiter und einem durch eine Isolationsschicht getrennten konzentrisch angeordneten Außenleiter.

Man unterschiedet

- Yellow Cabel: 10 mm Durchmesser, für den Einsatz im Ethernet mit 10 Mbit/s, 500 m Reichweite, schwer zu verlegen, aber bei laufendem Betrieb können Stationen ans Netz angeschlossen werden
- Black Cabel: 4,6 mm Durchmesser, für den Einsatz im Ethernet mit 10 Mbit/s, 185 m Reichweite, durch flexiblen Innenleiter leicht zu verlegen
- CATTV (Community Antenna TV): Koaxialkabel wie beim Kabelfernsehen, bei Backbones eingesetzt, Übertragungsgeschwindigkeiten bis 100 Mbit/s

Bei den Lichtwellenleitern sind die hohe verfügbare Bandbreite, die einfache Verlegung, die Abhörsicherheit und die Unempfindlichkeit gegenüber elektromagnetischen Störungen die Vorteile. Das optische Übertragungsmedium besteht prinzipiell aus einer dünnen zylindrischen Faser aus Quarzglas oder Plastik, wobei der Kern der Faser einen größeren Brechungsindex aufweist als der Mantel. Er ist geeignet für Hochleistungsverbindungen größer als 100 Mbit/s und für Entfernung von mehr als 100 km. Der Nachteil ist die kostenintensive Anschlusstechnik, weshalb auch meist ein Hub die Umsetzung vom Lichtwellenleiter auf Twisted Pair durchführt. Glasfasern sind aber dennoch das Übertragungsmedium der Zukunft.

Luft als Übertragungsmedium kann etwa im Bereich der drahtlosen LAN und Satellitenverbindung eingesetzt werden.

Zum Anschluss eines PCs an ein Netz benutzt man entweder ein Modem (für das Telefonnetz) oder eine Adapterkarte (fürs ISDN und LANs).

Wichtige Stecker sind der Western Plug RJ45, der IBM Hermaphrodit und der TAE-Stecker.

Grundsätzlich gibt es zwei Möglichkeiten für die Zusammenarbeit von Rechnern im Netz:

- Peer-to-Peer-Networking: Dabei handelt es sich um die gleichberechtigte Zusammenarbeit, wobei jedes System im Netz anderen Systemen Funktionen und Dienstleistungen anbietet und von anderen Systemen deren angebotene Funktionen und Dienstleistungen nutzen kann. Der Vorteil liegt bei der Einsparung eines Servers, der Nachteil bei der Behinderung der lokalen Arbeit durch Freigabe von eigenen Ressourcen und Erschwerung des Datenschutzes.
- Client/Server-Computing: Bei der ungleichberechtigten Zusammenarbeit gibt es ein oder mehrere Systeme im Netz, die Funktionen bereitstellen (Server) und alle anderen, die diese nutzen können (Clients).

Die Vorteile von PC-Netzen sind die gemeinschaftliche Nutzung der Peripherie[1], die Erhöhung der Funktionenvielfalt durch gemeinsam nutzbare Programme, Dienste und Schnittstellen im Server, der Austausch von Daten zwischen den Arbeitsplätzen, der Einsatz netzwerkfähiger Programme, mehr Sicherheit und höhere Zuverlässigkeit und eine hohe Gesamtzuverlässigkeit.

Die Leistungsfähigkeit eines PC-Netzes hängt ab von:

- der grundsätzlichen Leistungsfähigkeit der Server
- der grundsätzlichen Leistungsfähigkeit des Netzbetriebssystems
- dem Grad der Netzfähigkeit der Anwendungssoftware und
- den konstruktiven Merkmalen der Software-Plattform

Es gibt drei wichtige Gründe für die Koppelung von PCs und Mainframes:

- zusätzliche Funktionen für den PC: Server als Disk-, File-, Print-, Gateway-Server
- Datenintegrität und Datensicherheit im Unternehmen, sowie Verbesserung der Effektivität der Arbeit des Einzelnen
- verteilte Datenverarbeitung

Es existieren vier grundsätzliche Kopplungsalternativen: die individuelle Kopplung über Standardschnittstellen, mit speziellen Interface-Boards oder Protokollkonvertern oder die kollektive Kopplung mittels Lokaler Netze, wobei letzteres die meisten Möglichkeiten bietet.

1.3 OSI Referenzmodell

Der Bauplan für ein Datenkommunikationsnetz besteht aus zwei Teilen: Einem für die Übertragungstechnik und einem für die richtige Interpretation der ausgetauschten Informationen.

Der Kompatibilitätsaspekt ist einer der wichtigsten bei der Kommunikation. Das Internet funktioniert deshalb so großartig, weil viele Regeln weltweit eingehalten werden, etwa die TCP/IP-Protokollfamilie. Denn nur solche Standards sichern die Kompatibilität.

Einer der wichtigsten Standards ist das OSI-Referenzmodell[2] der Internationalen Standardisierungsorganisation (ISO). Es beschreibt die Netzarchitektur und die damit zusammenhängenden Protokolle. Das OSI-Referenzmodell definiert sieben verschiedene Schichten bei der Kommunikation und grenzt Aufgaben- und Funktionsbereiche untereinander ab. Es beschreibt die Architektur von Netzen allgemein und ist unabhängig von der Art der Endgeräte, von den Anwendungen oder der technischen Vernetzung.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Das OSI-Referenzmodell

Um diese obere Abbildung leichter zu erklären und zu verstehen bedient man sich besser eines Modells, in diesem Fall eines Tortenmodells, das aus mehreren Schichten Puderzucker, Creme und Biskuit, dem Tortenboden und dem Serviertablett besteht.

Die Servierplatte repräsentiert das Übertragungsmedium, ohne dem die gesamte Torte nicht existieren kann.

Der Puderzucker ist die Anwendungsschicht (Application Layer) und entspricht den anwendungsnahen Grunddiensten, wie z. B. File Transfer, E-Mail, Remote Job Entry usw. Auf dieser Ebene findet die Dateneingabe und -ausgabe statt.

Die nächste Schicht ist eine Cremeschicht, die diese anwendungsnahen Grunddienste unterstützt. Dabei werden alle lokalen Formate und Darstellungen in für das Netz allgemeingültige überführt und umgekehrt. Diese Schicht heißt deshalb auch Darstellungsschicht (Presentation Layer).

Die dritte der anwendungsorientierten Schichten ist die Kommunikationssteuerungsschicht (Session Layer), diesmal eine Biskuitschicht. Diese Schicht organisiert den Dialog zwischen den Endsystemen. Sie enthält Steuerungsmechanismen für den Datenaustausch, den Sessions der Kommunikation.

Die nächste Schicht, wieder eine Cremeschicht, gehört bereits zu den transportorientierten Schichten. Diese Transportschicht (Transport Layer) stellt die Verbindung zwischen den anwendungs- und transportorientierten Schichten dar und bildet den Identifikationsadressraum.

Die nächste Schicht hat wieder mehr mit der Hardware zu tun, d.h. es handelt sich wieder um eine Biskuitschicht: Die Vermittlungsschicht (Network Layer) sucht nach einem Versandweg für die Daten, überprüft ihn und sucht eventuell nach einem Ersatzweg. Unabhängig von Medium und Topologie wird so die zeitlich und logisch getrennte Kommunikation gesteuert.

Die letzte Cremeschicht ist die Verbindungssicherungsschicht (Link Layer). Sie enthält Prozeduren zur Fehlererkennung und Fehlerbehebung und Datenflusskontrolle während der Übertragung.

Der Tortenboden letztendlich ist die Bitübertragungsschicht (Physical Layer), die für den physikalischen Transport der Informationen oder Daten verantwortlich ist. Sie ist die elektronische, mechanische und funktionale Schnittstelle zum Übertragungsmedium.

Jede Schicht des OSI-Modells hat einen genau eingegrenzten Aufgabenbereich und stellt der jeweils über ihr liegenden Schicht ihre Dienste zur Verfügung und benutzt die Fähigkeiten der unter ihr liegenden Schicht.

Um jetzt daraus ein Netz zu erstellen, muss man die Torte in Stücke teilen, wobei jeder Rechner ein Tortenstück erhält. Je nach Größe wird die Servierplatte ausgedehnt, damit die sich auf der Platte befindlichen Rechner über sie verbunden sind und kommunizieren können.

1.4 LAN / WAN

1.4.1 LAN

Die Basis für Datenkommunikation sind meist die LANs (Local Area Network), die lokalen Netzwerke. Wie der Name schon sagt, sind solche Netzwerke lokal begrenzt, d.h. die angeschlossenen Geräte sind etwa in einem begrenzten Bereich wie z.B. einem Gebäude verteilt. Zur Verbindung der Rechner benötigt man spezielle Kabel und spezielle Übertragungsstandards ermöglichen die Kommunikation zwischen verschiedenen Rechnern. LANs können auch durch Brücken (Bridges) oder Gateways miteinander verbunden werden.

Grundsätzlich muss man zwischen drei Grundtypen von Netzwerktopologien unterscheiden:

- Busstruktur
- Sternstruktur
- Ringstruktur

Die folgenden Abbildungen sollen dies grafisch darstellen:

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: Bus-Topologie

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 3: Stern-Topologie

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 4: Ring-Topologie

Die Netzwerktopologie ist die Anordnung der Rechner und der Kabel und bestimmt die einzusetzende Hardware und die Zugriffsmethoden. Das wiederum bestimmt die Übertragungs- und Zugriffsgeschwindigkeit im Netz.

Bei Bussystemen sind alle Netzwerkknoten mit einer Hauptkommunikationsleitung (Bus) verbunden. Bussysteme haben kurze Leitungen, sind einfach zu installieren und auch einfach zu erweitern. Von Nachteil ist, dass die Netzausdehnung begrenzt ist, dass die Zugriffsmethoden aufwendig sind und dass bei einem eventuellen Kabelbruch das gesamte Netz ausfällt.

Bei Sternsystemen ist jedes Gerät mit einem zentralen Rechner in einer sternförmigen Struktur verbunden. Auch hier handelt es sich um eine einfache Vernetzung, eine einfache Erweiterungsmöglichkeit und zusätzlich bietet diese Topologie eine hohe Ausfallsicherheit. Fällt nämlich in einem Sternsystem ein Knoten aus, werden die restlichen Knoten nicht beeinflusst. Die Schwachstelle stellt jedoch der Hub dar, durch dessen Ausfall ein Zusammenbruch des gesamten Netzes entstehen kann. Weiters sind die Verkabelungskosten bei solchen Systemen sehr hoch, weil jeder Knoten einzeln an den Hub gekoppelt ist.

Bei Ringsystemen sind die Stationen sozusagen in Reihe geschaltet, wobei der erste mit dem letzten verbunden wird. Diese Ringbildung bietet eine große Netzausdehnung und eine verteilte Steuerung, aber bewirkt auch einen hohen Verkabelungsaufwand, eine aufwendige Fehlersuche und einen gesamten Netzausfall bei Störungen.

Um den geregelten Zugriff auf ein jederzeit allgemein benutzbares Übertragungsmedium zu ermöglichen benötigt man ein Steuerungsverfahren. Bei LANs stehen besonders zwei Verfahren zur Verfügung:

- Token Passing: Eine physikalische bzw. logische Sendeberechtigung wird erst nach Abschluss der eigenen Sendung weitergegeben.
- CSMA/CD[3]: Um Kollisionen zu vermeiden wird der Kanal vor der Sendung zuerst abgehört, d.h. eine Station darf erst dann senden, wenn das Medium nicht schon durch andere Stationen belegt ist.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 5: CSMA/CD-Verfahren

Bei LANs muss man zwischen verschiedenen Systemen an sich unterscheiden:

- Ethernet
- Token Ring
- FDDI

Das Ethernet ist das Ursystem schlechthin, es wird schon seit 1980 verwendet, lange bevor es die ersten Token Ring Produkte gab. Dadurch ist es auch der am weitesten verbreitetste LAN Standard. Das Ethernet ist relativ kostengünstig und bietet eine hohe Betriebssicherheit. Von der Netzwerktopologie her handelt es sich um ein Bussystem mit einem CSMA/CD Zugangsprotokoll. Die Übertragungsgeschwindigkeit (über Koaxialkabel) beträgt 10 Mbit/s. Die maximale Netzwerklänge beträgt 2500 m. Es können bis zu 1024 Stationen angeschlossen werden.

Das Token Ring ist ein IBM-Produkt aus dem Jahre 1985. Es handelt sich natürlich um ein Ringsystem, die Zugangsregelung erfolgt mittels des Token Passing Verfahrens. Als Übertragungsmedium kann man entweder verdrillte Kupferkabel (1 – 4 Mbit/s) oder Koaxialkabel (4 – 40 Mbit/s) verwenden.

Das FDDI[4] benutzt einen Glasfaserring mit einer Maximallänge von 100 – 200 km mit bis zu 500 – 1.000 Stationen. Es wird mit seinen 100 Mbit/s vorwiegend für Backbones eingesetzt. Das FDDI ist ein Doppelring, wobei in den beiden Ringen gegenläufig zueinander übertragen wird. Es unterstützt sowohl synchrone als auch asynchrone Datenübertragung und bietet eine hohe Fehlertoleranz und Ausfallsicherheit, aber trotzdem hat sich dieses System nicht durchsetzen können.

Bezüglich der Verkabelungsstrategien kann man zwei strategische Klassen unterscheiden:

- Vollverkabelung: wird durch die Gebäudeauslegung und das Besiedlungspotential bestimmt
- Bedarfsverkabelung: wird durch die Belegungsdichte zum Installationszeitpunkt bestimmt und kann danach bedarfsorientiert verändert werden

Innerhalb dieser Gesamtstrategie kann man wiederum vier Bereiche unterscheiden:

- Primärbereich, Geländeverkabelung (zwischen Gebäuden eines Geländes): hohe Übertragungskapazität, Störungs- und Abhörsicherheit
- Sekundärbereich, Gebäudeverkabelung (zwischen Etagen oder Bereichen eines Gebäudes): hohe Übertragungskapazität
- Tertiärbereich, Etagenverkabelung (zwischen Büros einer Etage): hohes Maß an Flexibilität
- Endgeräteanschluss

Da jeder LAN-Systemtyp seine Grenzen hat, versuchte man die Leistung des aus einer Vielzahl von Teilnetzen bestehenden Gesamtnetzes zu verbessern. Eine Möglichkeit bilden hier Brücken (Bridges), die für kleine Problemlösungen ideal sind, jedoch nicht besonders intelligent sind. Um unterschiedliche Netze zu koppeln bedient man sich am besten eines Routers.

Um aber diese beiden Funktionen zu vereinen verwendet man aber einen Hub, ein Vermittlungssystem zwischen Segmenten und Endgeräten unterschiedlicher Natur. Da der Hub meist auch ein Konzentrationspunkt für die Verkabelung ist, nennt man ihn auch „Wiring Hub“. Dabei unterscheidet man zwischen den folgenden Arten:

- Unternehmensweiter Hub (enterprise): ist mit dem Backbone Netz verbunden und bildet die Infrastruktur für die unternehmensweite Vernetzung
- Abteilungsweiter Hub (departemental): ist an die unternehmensweiten Hubs angeschlossen, führen die Verkabelungsinfrastruktur und verbinden große Workgroups mit dem Backbone
- Arbeitsgruppenweiter Hub (workgroup): verbinden PCs und andere Geräte mit den größeren Hubs

Das LAN-Switching ist eine weitere Evolutionsstufe der LANs. Diese leiten LAN-Pakete mit voller Geschwindigkeit unmittelbar von einem Sender- zum passenden Empfängerport weiter.

Man unterscheidet dabei drei Arten:

- Store-and-Forward Switching: Jedes von einer Bridge empfangene Datenpaket wird als Gesamtpaket zwischengespeichert und dann anhand der Bridgekriterien entweder verworfen oder an den entsprechenden Port weitergeleitet.
- Cut-through-Forward Switching: Sobald die Destinationsadresse gelesen wird, wird das Paket weitergeleitet. Diese Methode reduziert die Verzögerungszeit zwischen dem Sende- und Empfangsport dadurch, dass nicht das gesamte Datenpaket zwischengespeichert wird. Der Nachteil dabei ist, dass Datenpakete verloren gehen können.
- Cellbus Switching: Eine Zelle, ein Datenblock mit einer festen Größe, hat eine definierte Übermittlungszeit. Die Zellen werden in der gleichen Reihenfolge wie sie empfangen wurden über den Switch auch weitergeleitet.

1.4.2 WAN

Das WAN (Wide Area Network) ist ein Weitverkehrsnetzwerk, das sich über mehrere hundert Kilometer erstreckt und nichts anderes als eine Zusammensetzung von mehreren Rechnern oder LANs darstellt. Da bei einem solchen Netz enorme Datenmengen transportiert werden müssen, werden häufig Glasfaserverbindungen eingesetzt, aber auch normale Koaxialkabel oder Telefonleitungen sind mögliche Medien. Zwar werden bei WANs Übertragungsmedien mit hoher Kapazität eingesetzt, aber die Übertragungsgeschwindigkeit für den Einzelnen ist durch die große Anzahl der Benutzer gering.

Die Datenübertragung erfolgt wie bei LANs in Paketen. Diese können unabhängig voneinander sein (Datagramme) oder sie können in einer Virtuellen Verbindung einen zusammenhängenden Strom bilden. Das Netz realisiert Verfahren zur Wegwahl (Routing) zur Vermeidung von Überlastung (Flusskontrolle) und zum Wiederaufsetzen nach Fehlern. Wichtig dabei sind die Übertragungsprozedur HDLC und der internationale Standard X.25.

X.25 ist eine aus der drei Schichten bestehende Schnittstelle zur Anschaltung an nationale und internationale Datennetze. Eine Weiterentwicklung dabei ist das Fast Packet Switching, das auf der Basistechnologie Frame Relay basiert.

Eine spezielle Art von WAN ist das MAN, das Metropolitan Area Network, das meist im Bereich von Großstädten eingesetzt wird. Es setzt ebenfalls hohe Übertragungsgeschwindigkeiten ein, ist aber verzweigter als das WAN. Häufig entsteht es durch die Koppelung mehrerer LANs und einem Anschluss an ein WAN.

1.4.3 Internetworking

Grundsätzlich haben alle möglichen Techniken zur Verbindung irgendwelcher Netze untereinander den Oberbegriff „Internetworking“.

Argumente für eine Verbindung von sogenannten Informationsinseln sind

- technisch gesehen: die globale Bereitstellung von Netzdiensten, Daten, Ressourcen und Kommunikationsmöglichkeiten
- wirtschaftlich gesehen: Einsparungen an Hard- und Software durch Reduzierung von Spezialressourcen
- organisatorisch gesehen: Reduzierung und Zentralisierung von Betreuungspunkten, vereinfachte Wartung, Zwang zur Vereinheitlichung der Datenverarbeitungs-Ausstattung

Bei der Planung muss man zwischen drei Rechnerebenen unterscheiden:

- Arbeitsplatzrechnerebene (1): Endgeräte sind PCs oder Workstations, die untereinander mit Ethernet oder Token Ring-LAN vernetzt sind
- Abteilungsrechnerebene (2): Abteilungsrechner sind einerseits mit PC-LAN der Ebene 1 und andererseits mit der Ebene 2 verbunden
- Großrechnerebene (3): diese Ebene stellt die restlichen Dienste bereit und ist durch Highspeed-LAN miteinander verbunden
Es gibt zwei Alternativen für die Zusammenschaltung von LANs:
- Bedarforientierte (unsystematische) Zusammenschaltung der LANs durch Brücken und Router
- Systematische Zusammenschaltung der LANs durch einen Backbone

Ein Repeater ist ein Koppelgerät zwischen zwei Segmenten des gleichen LAN-Typs. Ein Remote Repeater besteht aus zwei Teilen, die untereinander etwa mit einer Glasfaser verbunden sind, und hat dieselbe Funktion wie ein normaler Repeater, nur eben über weitere Verbindungsstrecken.

Eine Brücke (Bridge) ist ein intelligentes Koppelgerät zwischen zwei gleichen oder unterschiedlichen LANs mit einer grundsätzlichen, eingeschränkten Vermittlungsfähigkeit. Eine Remote Bridge besteht aus zwei Teilen und einer Verbindung dazwischen. Eine Multiport Bridge bewältigt auch mehr als nur zwei LANs.

Ein Router besitzt eine echte Vermittlungsfähigkeit und kann darüber hinaus auch Anpassungen von Datenstämmen an unterschiedliche Netze durchführen. Oft verschmelzen Brigdes und Router bei den Produkten, weshalb man den Begriff Brouter erfunden hat. Ein Gateway hat noch wesentlich mehr Funktionalität und dient dem Übergang zwischen fremden Netzwerkwelten.

1.5 Die gängigsten Protokolle

1.5.1 Übersicht

Im folgenden werden die gängigsten Netzwerkübertragungsprotokolle kurz erklärt:

- NetBEUI[5]: Es wird in allen Microsoft-Netzwerksystemen und IBM-LAN-Server-basierenden Systemen verwendet.
- TCP/IP: siehe Kapitel 1.5.2
- IPX/SPX: IPX[6] ist ein von Xerox entwickeltes Protokoll, das durch Novell verbreitet wurde. Ein IPX-Router kann LANs verbinden, sodass eine Kommunikation zwischen den einzelnen Workstations möglich ist. SPX[7] wird zusätzlich als Kommunikationssystem für Client-Server-Applikationen eingesetzt. IPX/SPX ist dem Protokoll TCP/IP ähnlich.

1.5.2 TCP/IP

Die TCP/IP[8] -Protokollfamilie ist auf verschiedenen Übertragungsmedien, -systemen und -netzen einsetzbar. Sie wurde ursprünglich vom Department of Defense entwickelt, das auch den Grundstein für das Internet legte.

Das Internet Protocol (IP) ermöglicht den Transport von Datenpaketen, den sogenannten Datagrammen, vom Sender über mehrere Netze hinweg zum Empfänger. IP garantiert weder eine Datagramm-Reihenfolge noch eine gesicherte Ablieferung der Datagramme beim Empfänger. Um große Datagramme über Netze zu transportieren besitzt IP aber die Möglichkeit der Fragmentierung.

Sender und Empfänger in TCP/IP-Netzen werden mit 32-Bit-Adressen gekennzeichnet. IP teilt sie in folgende drei verschiedene Klassen ein:

- Klasse A: große Netze (weltweit) 0-126 nnn.hhh.hhh.hhh
- Klasse B: mittlere Netze (landesweit) 128.1-191.254 nnn.nnn.hhh.hhh
- Klasse C: kleine Netze (Unternehmen, privat) 192.1.1-223.254.254 nnn.nnn.hhh.hhh (frei wählbare IP-Adresse)

Dabei bezeichnet „n“ das Netzwerk und „h“ den Host innerhalb des Netzwerkes. Man kann einen Rechner aber nicht nur über diese Adresse, sondern auch über einen Namen ansprechen. Die Umsetzung des Namens auf die eigentliche Zieladresse wird durch das Name Server Protocol geregelt.

Das Transmission Control Protocol (TCP) ist ein verbindungsorientiertes End-to-End-Protokoll. Es ist sowohl für LANs als auch für WANs geeignet. Das TCP arbeitet wie die meisten anderen Protokolle mit drei Phasen, nämlich Verbindungsaufbau, -durchführung und -beendigung. Das TCP kommuniziert mit Benutzern oder Applikationsprozessen der höheren Schichten und mit dem IP. Das IP übernimmt die Fragmentierung und Wiederherstellung von TCP-Segmenten, die für den Transport der Daten durch mehrere Netze und deren Gateways erforderlich sind.

Eine Alternative für TCP ist User Datagramm Protocol (UDP). Dieses Protokoll stellt Applikationen die Datagramm-Dienste des IP direkt zur Verfügung. Die Paketzustellung erfolgt ungesichert und fehlerhaft, besonders wenn UDP für umfangreiche Übertragungen benutzt wird. Aufgrund einer fehlenden Flusskontrolle kann durch Überflutung von Router und Hosts das Datennetz lahmgelegt werden. Außerdem können UDP-Pakete leichter gefälscht werden als TCP-Pakete, weil es weder Quittung- noch Laufnummern gibt. Daher müssen die Applikationen selbst geeignete Sicherheitsvorkehrungen treffen.

TCP und IP sind eigentlich zwei eigenständige Protokolle mit beschränkten Aufgabenbereichen. Aber mit TCP/IP meint man das komplette Protokollpaket, das auch Telnet, FTP und andere umfasst.

Beim Einsatz von TCP/IP werden die zu sendenden Daten in Paketen von festgesetzter Größe aufgeteilt, die dann einzeln versandt werden. Die Aufgabe von TCP/IP beim Zielrechner ist es, die Pakete wieder richtig zusammenzusetzen, da ja jedes Paket einen anderen Weg nehmen kann und somit auch später gesandte Pakete vor früher gesandten Paketen ankommen können.

TELNET erlaubt die bidirektionelle byte-orientierte Kommunikation im Dialog mit anderen Systemen.

Das File Transfer Protocol (FTP) erlaubt das Sharing von Dateien, das Kopieren von Daten und Programmen zwischen unterschiedlichen Systemen, sowie die indirekte Benutzung von Ressourcen anderer Computer.

Das Simple Mail Transfer Protocol (SMTP) erlaubt das Übertragen von E-Mails zu Hosts, die am selben Netz angeschlossen sind, oder die über ein Gateway erreichbar sind, wenn Sender und Empfänger nicht im selben Netz sind.

1.6 Internet / Intranet

1.6.1 Internet

Das Wort Internet steht eigentlich für International Network. Es ist ein offener Verbund von Computernetzwerken, der die Computer und die darauf ablaufenden Programme in die Lage versetzt, direkt miteinander zu kommunizieren.

Im Jahre 1969 gab die ARPA[9] des US Department of Defense die Entwicklung eines Computernetzes in Auftrag, das einerseits die Kommunikation im Falle eines nuklearen Angriffes gewährleisten und andererseits die Zusammenarbeit verschiedener Forschungsstellen auf digitalem Weg ermöglichen sollte. So entstand das ARPANET als Netz mehrerer amerikanischer Universitäten. Bald wurde das System durch Methoden der Dateiübertragung und zur elektronischen Nachrichtenübermittlung erweitert. Damit das Netz im Falle einer Störung weiter funktioniert gibt es das „Dynamic Rerouting“, bei dem selbständig eine funktionierende Verbindung zwischen zwei Orten hergestellt wird.

Durch das Aufkommen anderer Netzwerke bestand der Bedarf einer Möglichkeit diese miteinander zu verbinden. Unter dem Namen „Internetting Project“ gab die Defense ARPA (DARPA) die Entwicklung eines entsprechenden Übertragungsprotokolls (TCP/IP) in Auftrag.

Das Internet, wie es heutzutage existiert ist eine Menge an Netzwerken und Rechnern, die unter TCP/IP arbeiten und miteinander in Verbindung stehen.

Seit 1989 existiert das sogenannte Domain Name System (DNS), das jeden Adressnamen im Internet in einen Benutzerteil (User-ID) und einen Netzwerkteil (Domain Name) gliedert. Zu jeder Domain gibt es Subdomains, die in der Adresse durch Punkte getrennt werden.

Es gibt eine Reihe von Hauptdomänen (Top Level Domains), die einem organisatorischen oder geographischen Bereich zugeordnet sind. So haben etwa kommerzielle Organisationen ein „.com“ in ihrer Adresse und österreichische Adressen werden mit einem „.at“ bezeichnet. Ständig kommen neue Domänen hinzu, eine der neuesten Errungenschaften ist die „.tv“-Domain für den Medienbereich (The TV Corporation www.tv).

[...]


[1] z.B. Laserdrucker oder sonstige relativ teure Betriebsmittel

[2] Open Systems Interconnection = Verbindung Offener Systeme

[3] Carrier Sense Multiple Access/Collision Detection

[4] Fiber Distributed Data Interface

[5] NetBIOS Extended User Interface

[6] Internetwork Packet Exchange

[7] Sequenced Packet Exchange

[8] Transmission Control Protocol/Internet Protocol

[9] Advanced Research Project Agency

Details

Seiten
68
Jahr
2001
ISBN (eBook)
9783638100892
ISBN (Buch)
9783638636667
Dateigröße
805 KB
Sprache
Deutsch
Katalognummer
v129
Note
1-2
Schlagworte
Netzwerke Sicherheit

Autor

Zurück

Titel: Netzwerke und deren Sicherheit