TCP Ip

Netzwerke und Sicherheit mit TCP/IP

M
G G
- 1 - Gerhard M. Glaser Stand: 14.08.2008
Stand: 14.08.2008
Gerhard M. Glaser
Netzwerke und Sicherheit
mit TCP/IP
Netzwerke und Sicherheit
mit TCP/IP
Web-Schulung
Stand: 14.08.2008 - 2 - Gerhard M. Glaser
M
G G
Inhalt (1)
Kapitel 1 Grundlagen/ wichtige Standards
OSI-Modell
IEEE-Standards (CSMA/CD, 802.11/ WLAN etc.)
Protokollarten (verbindungsorientiert/ -los)
Layer 2 (Ethernet/ 802.3, VLANs, Bridges/ Switches)
TCP/IP-History
RFCs
Kapitel 2 Internet Protokoll (IP)
Type Of Service (TOS)
Fragmentierung
Grnde fr Fragmentierung
Fragment Offset, Flags etc./ Reassemblierung
Time To Live (TTL)
IP-Protokoll-Nummern
M
G G
Inhalt (2)
Kapitel 3 IP-Adressierung/ -Subnetting
Adress-Aufbau
Multicast-Adressen
Private Adressen
IP-Subnetzmasken/ -Subnetting
Kapitel 4 IP ber serielle Leitungen (SLIP, PPP, PPPoE)
Kapitel 5 IPv6
Kapitel 6 Address Resolution Protocol (ARP)
ARP
Gratuitous ARP
RARP
M
G G
Inhalt (3)
Kapitel 7 IP-Routing
Routing auf Backbone
Routing in vermaschten Netzen
Proxy ARP
Kapitel 8 Internet Control Message Protocol (ICMP)
ICMP-Fehlermeldungen
ICMP-Info-Meldungen
Trace Route Methoden
Kapitel 9 Routing Protokolle
RIP
Split Horizon
Classful Routing
OSPF
Nicht roubare Protokolle
M
G G
Inhalt (4)
Kapitel 10 Transmission Control Protocol (TCP)
Ports, Sockets
Verbindungsaufbau/ -abbau (Three-Way Handshake)
Flow-Control (Sliding-Window-Mechanism)
Congestion Control (SlowStart)
Verbindungsmanagement
Kapitel 11 User Datagram Protocol (UDP)
Eigenschaften
Dienste auf UDP
Unterschiede zu TCP
Kapitel 12 TELNET
Kapitel 13 File Transfer Protocol (FTP)
Active FTP
Passive FTP
M
G G
Inhalt (5)
Kapitel 14 E-Mail-Protokolle
SMTP
SPAM/ Privacy
POP3/ IMAP
Kapitel 15 Name Services
Internet Name Service (IEN 116)
DNS
Kapitel 16 - BootP/ DHCP
DHCP-Ablauf
APIPA
Kapitel 17 Trivial File Transfer Protocol (TFTP)
Kapitel 18 R -Utilities
Kapitel 19 Network File System (NFS)
M
G G
Inhalt (6)
Kapitel 20 Internet
HTTP/ HTTPS
HTTP Status Codes
Proxy- und Socks-Server
Kapitel 21 Voice Over IP
Kapitel 22 Simple Network Management Protocol (SNMP)
Manager, Agent
RMON
Kapitel 23 Trouble Shooting
Tools (eingebaute Tools/ externe Tools)
Probe vs. Analyzer
Eigenschaften von Analysatoren
M
G G
Inhalt (7)
Kapitel 24 Sicherheit
Firewalls, IDS/ IPS, Honeypots etc.
Portscanning/ Methoden
VPN/ Tunneling Protokolle
IPsec
L2TP
SSL
Verschlsselung/ Digitale Signatur
PKI/ Zertifikate (X. 509)
Authentisierung
PAP/ CHAP
RADIUS
NAT/ PAT Funktionsweise und Probleme
Virtueller Server/ Port Forwarding
STUN/ UDP Port Punching
IPsec ber NAT/ PAT-Devices (NAT Traversal)
M
G G
Kapitel 1
Grundlagen/
wichtige Standards
M
G G
Transport Layer Transportschicht
Protokolle
Application Layer
Presentation Layer
Session Layer
Network Layer
Data Link Layer
Physical Layer
Vermittlungsschicht
Sicherungsschicht
Physikalische Schicht
Anwendungsschicht
Darstellungsschicht
Sitzungsschicht
Endsystem (Sender) Endsystem (Empfnger)
Medium
ISO/OSI-Modell - Schichten
M
G G
ISO/OSI-Modell - Schnittstelle
SAP
Schicht N
Schicht N+1
ICI
SDU
H
ICI
SDU
Interface
IDU
PDU
Kommunikation
auf Schicht N
Kommunikation
auf Schicht N+1
SAP Service Access Point ICI Interface Control Information
IDU Interface Data Unit SDU Service Data Unit
PDU Protocol Data Unit H Header
M
G G
802.1 Umfeld, LAN-/MAN-Management
802.1d Transparent-/ SRT-Bridging
802.1p/ Q VLAN-Tagging
802.1x Portbasierender Zugangsschutz
802.2 Logical Link Control (inactive)
802.3 CSMA/CD
*)
( Ethernet )
802.4 Token Bus
802.5 Token Ring (inactiv)
802.6 Distributed Queue Dual Bus (DQDB)
802.7 Broadband LANs
802.8 Multimode Fiber Optic Media
802.9 Integrated Services LAN
802.10 Std. for Interoperable LAN/MAN Security (SILS)
802.11 Wireless LANs
802.12 Demand Priority LAN > 10 MB (VGanyLAN)
802.14 CATV-based Broadband Connectivity Networks
802.15 Wireless Personal Area Network (WPAN) - z.B. Bluetooth
802.16 Worldwide Interoperability for Microwave Access (WiMax)
802.17 Resilent Packet Ring
Link: http://standards.ieee.org/getieee802/portfolio.html
*) Carrier Sense Multiple Access with Collision Detection
Wichtige Standards der Arbeitsgruppe 802
M
G G
IEEE-Standards, MAC und LLC
(im Vergleich zu Ethernet)
MAC Medium Access Control
LLC Logical Link Control
Layer 1
Layer 2
Layer 3
MAC
LLC
802.3 802.5
802.2
(CSMA/CD) (Token Ring)
IP
E
t
h
e
r
n
e
t
M
G G
IEEE-Standards
802.1, 802.2, 802.3, 802.4, 802.5
802.3
(CSMA/CD)
802.4
(Token Bus)
802.5
(Token Ring)
802.2
802.1
M
G G
IEEE 802.3 (CSMA/CD) Standard-Aktivitten - Auswahl
802.3 CSMA/CD (Ethernet): 10Base5
802.3a 10Base2 (Cheapernet)
802.3b 10Broad36
802.3e 1Base5 Starlan
802.3i 10Base-T
802.3j 10Base-F
802.3u 100Base-T (100 Mbit-Ethernet)
802.3x Full Duplex/ Flow Control
802.3z Gigabit Ethernet (7/1998)
802.3 ab 1000BASE-T (6/1999)
802.3 ac VLAN Tag (9/1998)
802.3 ae 10Gb/s Ethernet (6/2002)
802.3 an 10GBase-T (6/2006)
M
G G
IEEE 802.11 (WLAN) Standard-Aktivitten -
Auswahl
802.11a 54 Mbps, 5 GHz
keine ETSI-Zulassung! (9/1999)
802.11b 11 Mbps, 2.4 GHz (9/1999)
802.11d World Mode
(u.a. Roaming zwischen Lndern) (6/2001)
802.11e Quality Of Service
802.11g Higher Data Rate (> 20 Mbps) (6/2003)
802.11i Authentication und Sicherheit
(inkl. WPA) (6/2004)
M
G G
E
t
h
e
r
n
e
t
-
v
s
.

8
0
2
.
3
-
F
r
a
m
e
s
P
r
o
t
o
k
o
l
l
-
I
D

(
3

O
c
t
.
)
1
)
S
F
D

=

S
t
a
r
t

F
r
a
m
e

D
e
l
i
m
i
t
e
r
2
)
L
L
C

(
I
E
E
E

8
0
2
.
2
)
E
t
h
e
r
n
e
t

V
.
2
8
0
2
.
3
/
8
0
2
.
2
8
0
2
.
3

S
N
A
P
F
C
S

(
4

O
c
t
e
t
s
)
F
l
l
z
e
i
c
h
e
n

(
v
a
r
i
a
b
e
l
)
P
r
e
a
m
b
e
l
(
7

O
c
t
e
t
s
)
R
a
h
m
e
n
b
e
g
r
e
n
z
e
r
/
S
F
D
1
)
(
1
O
c
t
e
t
)
Z
i
e
l
a
d
r
e
s
s
e

(
6

O
c
t
e
t
s
=

4
8

B
i
t
)
Q
u
e
l
l
a
d
r
e
s
s
e

(
6

O
c
t
e
t
s
=

4
8

B
i
t
)
T
y
p
e
P
a
k
e
t
l
n
g
e

(
2

O
c
t
e
t
s
)
C
o
d
e
1

O
c
t
e
t
S
S
A
P
1

O
c
t
e
t
A
A
D
S
A
P
1

O
c
t
e
t
A
A
D
a
t
e
n
(
4
6

.
.
.

1
5
0
0

B
y
t
e
)
D
a
t
e
n
(
4
6

.
.
.

1
5
0
0

B
y
t
e
)
D
a
t
e
n
(
4
6

.
.
.

1
5
0
0

B
y
t
e
)
E
t
h
e
r
-
T
y
p
e

(
2

O
c
t
.
)
2
)
M
G G
802.3 Frame - Aufbau
I
G
U
L
Herstellerkennung Gertenummer
1 1 22 24
Darstellung gem IEEE 802.3 Standard:
Anordnung der Bits/ Bytes in bertragungsreihenfolge
(hchstwertigstes Byte und niederwertigstes Bit werden zuerst bertragen)
Herstellerkennungen (Auswahl):
00-00-1D Cabletron 08-00-2B DEC
08-00-02 3Com AA-00-04 DECnet
08-00-09 HP 00-AA-00 Intel
M
G G
I
G
U
L
Herstellerkennung Gertenummer
1 1 22 24
802.3 Frame - Aufbau
Multicast-Adressen
Adressen, die im ersten Byte einen ungeraden Wert haben, sind Multicast-Adressen
z.B. 01-00-5E-XX-XX-XX IANA Ethernet Address Block (z.B. IP-Multicasts vgl. Folie 61)
AB- 00- 00- XX- XX- XX DECnet Broadcast
CF- 00- 00- 00- 00- 00 Ethernet-Loop-Back
FF-FF-FF-FF-FF-FF Ethernet Broadcast
Xxxx1 - XX - XX - XX - XX - XX
M
G G
Wichtige Typfelder
00-00 ... 05-DC IEEE802.3 Length Field (05-DD ... 05-FF nicht vergeben!)
06-00 Xerox NS IDP
08-00 DOD Internet Protocol (IP)
08-06 Address Resolution Protocol (ARP)
0B-AD Banyan Systems
0B-AF Banyon VINES Echo
60-00 DEC unassigned, experimental
60-01 ... 60-08 DEC
80-05 HP Probe protocol
80-35 Reverse Address Resolution Protocol (RARP)
80-38 ... 80-42 DEC
80-7D ... 80-80 Vitalink
80-9B EtherTalk (AppleTalk over Ethernet)
80-F3 AppleTalk Address Resolution Protocol (AARP)
81-37 ... 81-38 Novell, Inc.
86DD IPv6
90-00 Loopback (Configuration Test Protocol)
90-01 ... 90-03 3Com
M
G G
Wichtige DSAPs/ SSAPs
00 Null SAP
02 Individual LLC Sublayer Mgmt Function
03 Group LLC Sublayer Mgmt Function
06 ARPANET Internet Protocol (IP)
42 IEEE 802.1 Bridge Spanning Tree Protocol
80 Xerox Network Systems (XNS)
98 ARPANET Address Resolution Protocol (ARP)
AA Sub-Network Access Protocol (SNAP)
BC Banyan VINES
E0 Novell Netware
F0 IBM NetBIOS
F4/ F5 IBM LAN Management
FE ISO Network Layer Protocol
FF Global SAP
M
G G
VLAN (802.1p/ 802.1Q)
Logische Trennung des Datenstroms auf Layer 2
Verschiedene Typen
Statisch (Port basierend): per Definition in Switch
Dynamisch (MAC basierend): per Tag im Ethernet-Paket
Tag (4 Byte): zwischen Source Address und Type-Field
VID (VLAN ID): 4096 Adressen (farbliche Kennzeichnung)
M
G G
C
A
D
B
Bridge - Arbeitsweise (1)
M
G G
C
A
D
B
A, B, ...
C, D, ...
Bridge - Arbeitsweise (2)
A, B, ...
C, D, ...
M
G G
Bridges - Begriffe
Filtering Rate
Anzahl der Pakete, die sich eine Bridge anschauenkann
Forwarding Rate
Anzahl der Pakete, die eine Bridge weiterreichen kann
Achtung: Hufig Summe fr beide/alle bertragungsrichtungen!
M
G G
Transitsysteme im OSI-Modell
Repeater/ Sternkoppler
Bridges/ Switches
Router
Gateways
M
G G
Transitsysteme im OSI-Modell
(Aufgaben - Zusammenfassung)
Repeater Repeater/ Hub: / Hub: C Regeneriert und verstrkt das elektrische Signal und leitet dieses an alle
Ports weiter (keine Broadcast!)
C Fhrt keine Bitinterpretation durch.
Bridge/ Switch: C Nimmt physikalische Trennung von Netzen vor ( Collision-Domain ).
C Fhrt Fehler- und Lasttrennung auf Basis von MAC-Adressen durch.
C Hat meist Mechanismen zum Filtern implementiert.
C Rudimentre Mechanismen zur Wegefindung sind u.U. vorhanden
( Routing Bridge )
Router: C Entkoppelt die Netze auf logischer Basis aufgrund von Layer 3-Adressen;
z.B. IP-Adressen.
C Arbeitet protokollabhngig!
C Steuert den Verkehr zwischen Netzen ( Wegefindung ).
Gateway: C Nimmt eine Umwandlung von Diensten vor (i.a. oberhalb Schicht 4).
C Security-Mechanismen mglich (z.B. Firewall , Proxy ).
M
G G
Protokollarten
(unabhngig von OSI-Schichten)
Verbindungsorientiert (connection-oriented)
logische Verbindung zwischen Kommunikations-Partnern
Sender kennt Zustand von Empfnger und Paket(en)
vergleichbar:
klassische Telefonverbindung
Gesprch zwischen Menschen
Verbindungslos (connectionless, datagram-service)
keine logische Verbindung
Pakete werden unkontrolliert versendet
vergleichbar:
SMS
Marktschreier (Megafon)
M
G G
TCP/IP-History (berblick)
1969 erste Arbeiten an einem paketvermittelnden Rechnernetz
1972 das ARPANET wird der ffentlichkeit vorgestellt
1973 Ethernet is born
1975 die DCA (Defence Communications Agency) bernimmt die Federfhrung im
ARPANET
1976 Grundsteinlegung zu TCP/IP durch die IFIP (International Federation Of
Information Processing)
1979 DEC, Intel und XEROX (DIX-Group) entwickeln gemeinsam das Ethernet weiter
1980 Ethernet Version 1.0 wird verffentlicht
Bercley UNIX (BSD 4.1) wird entwickelt und enthlt TCP/IP
1983 Das ARPANET wird endgltig von NCP auf TCP/IP umgestellt
Aufteilung des ARPANET in MILNET und ARPANET
1985 Einfhrung von TCP/IP in kommerzielle Anwendungen
1991 mehr als 1000 Hersteller untersttzen TCP/IP
1993 mehr als 10000 Hersteller untersttzen TCP/IP
1994 WWWwird offizielles Projekt von CERN, die W3-ORG wird ins Leben gerufen
1996 das Internet umfasst ca. 15 Mio. Anschlsse
2001 im November wird die 5 Mio. DE-Domain vergeben - pro Minute werden 2
Domains vergeben (90 000/ Monat) - Start .DE am 5.11.1986
M
G G
RFCs, MIL-Specs u.a.
RFC: Request For Comments
Arbeitspapiere, Protokollspezifikationen und
Kommentare der Internet-Community
Verffentlicht durch das Stanford Research Institut: www.rfc-editor.org
aktueller Stand: 5082 RFCs (Ende Oktober 2007)
MIL-STD: Ausfhrliche Beschreibung und Implementierungs-
anweisung wichtiger DoD-Protokolle
IEN: Internet Experimental/ Engineering Notes
Vorlufer der RFCs
M
G G
Standardisierungsprozess / RFCs (1)
Offener Prozess
Entwicklung durch Arbeitsgruppen der
Internet Engineering Task Force (IETF)
Entscheidung durch
Internet Engineering Steering Group (IESG)
Verffentlichung in RFC
Achtung:
Nicht jeder RFC beschreibt einen Standard ( STDxxxx )!
Auflistung aller Standards in STD 1 (z.Z. RFC 3300)
M
G G
Standardisierungsprozess/ RFCs (2)
Standardisierungsstufen (STD)
Internet Draft (i.A. Arbeitsgruppe)
Proposed Standard
Draft Standard
Internet Standard
M
G G
Standardisierungsprozess/ RFCs (3)
Keine Standards:
Experimental
Informational (FYIxxxx)
Best Current Practice (BCPxxxx)
RARE
*)
Technical Reports (RTRxxxx)
Historic
*) RARE = Reseaux Associes pour la Recherche Europeenne
M
G G
Kapitel 2
Internet Protocol
(IP)
M
G G
Darunter liegende Schicht: Data Link Layer (z.B. Ethernet, TR)
(Ethernet-) Typefield: 08-00
802.2 DSAP/SSAP-Definition: 06
Datagram-Service
Kommunikation zwischen Netzen
Datentransport von Quell- zu Zieladresse
Internet Protocol
(IP)
RFC 791 - STD 5 - MIL-Std. 1777
M
G G
IP - Wichtige RFCs
RFC 791 IP-Protokoll (STD 5)
RFC 815 IP over X.25 Networks
RFC 894 IP over Ethernet-Networks
RFC 948 IP over 802.3 Networks
RFC 1051 IP over Arcnet-Networks
RFC 1055 IP over Serial Lines ( SLIP )
RFC 1088 IP over Netbios Networks
RFC 1577 IP over ATM Networks ( Classical IP )
M
G G
Datagram-Service
(ungesichert!)
Definition/ Adressierung hherer Protokolle
Adressfunktion
(Ende zu Ende Adressierung)
Routing zwischen Netzen
(Netzwerke knnen adressiert werden)
Fragmentierung von Datenpaketen
IP - Eigenschaften
M
G G
IP - Header
Total Length Service Type Version IHL
Fragment Offset
Identifikation Flags
Time to Live Protocoll IP Header Checksum
IP Source Addresse
IP Destination Addresse
Options Padding
Protocol
0 1 2 3 5 6 7 8 9 4 0 1 2 3 5 6 7 8 9 4 0 1 2 3 5 6 7 8 9 4 0 1
0 1 2 3
M
G G
Service-Type (Neu-Definition)
RFC 1349
ersetzt RFC 791
TOS (Type Of Service)
4 Bit-Feld (definierte Werte)
0 1 2
Precedence
3 4 5 6 7
T O S
MBZ
MBZ = Must Be Zero Precedence = Vorrangssteuerung
M
G G
IP - TOS
Werte
0000 Default-Wert
0001 Minimize Monetary Cost
0010 Maximize Reliability
0100 Maximize Throughput
1000 Minimize Delay
1111 Maximize Security
M
G G
IP - TOS
TELNET 1000 minimize delay
FTP Control 1000 minimize delay
FTP Data 0100 maximize troughput
SMTP (Command Phase) 1000 minimize delay
SMTP (Data Phase) 0100 maximize troughput
SNMP 0010 maximize reliability
ICMP 0000 aber: request = response
Default Werte bei verschiedenen Diensten
M
G G
IP - Fragmentierung
Warum Fragmentierung
Technische Vorgaben
Hardware-/ Software-Beschrnkungen
Definition des Protokolls
Beschrnkung durch Norm
(z.B. Topologie-bergang)
Manahme zur Fehlerreduktion
Erhhen der Zugangsgerechtigkeit auf Datenkanal
(Begrenzung der Zugriffszeit)
M
G G
IP - Fragmentierung
max. Paketlnge auf verschiendenen Netzen
Medium Bit Byte
Token Ring (16 Mbit/s) 143928 17997
Token Ring (4 Mbit/s) 36008 4501
Ethernet 12144 1518
X.25 (Maximum) 8192 1024
X.25 (Standard) 1024 128
M
G G
Lnge relativ zum Beginn des Datenbereichs im
Orginal-Datagram
Ermglicht Zusammensetzen in richtiger Reihenfolge
Wert 0 bei:
Standard Datagram
(= nicht fragmentiert)
1. Fragment
IP Fragmentierung
Fragment Offset
M
G G
Fragment 1 Fragment 3 Fragment 2 Fragment 4 Fragment 5
X
1
X
2
X
3
X
4
0
IP Fragmentierung
Fragment Offset
M
G G
MF 0 DF
DF (Dont Fragment): 0 = May Fragment
1 = Dont Fragment
MF (More Fragment): 0 = Last Fragment
(letztes Fragment und Standard-Paket)
1 = More Fragment
IP - Fragmentierung
Flags
M
G G
Vernderte Felder im Header
Gesamtlnge
Flags (MF)
Fragment-Offset
IP-Header-Prfsumme
Optionen
IP - Fragmentierung
M
G G
Identische Felder bei Reassemblierung
Zieladresse
Quelladresse
Protokoll-Typ
Identifikation
IP Fragmentierung
Reassemblierung
M
G G
I
P

-
F
r
a
g
m
e
n
t
i
e
r
u
n
g
I
D
:
D
a
t
e
n
l
n
g
e
:
O
f
f
s
e
t
M
o
r
e

F
l
a
g
:
1
2
2
1
0
0
6
0 0
I
D
:
D
a
t
e
n
l
n
g
e
:
O
f
f
s
e
t
M
o
r
e

F
l
a
g
:
1
2
2
2
4
0
3
0 1
I
D
:
D
a
t
e
n
l
n
g
e
:
O
f
f
s
e
t
M
o
r
e

F
l
a
g
:
1
2
2
2
4
0 0 1
N
e
t
z

2
M
T
U

=

2
4
0
I
D
:
D
a
t
e
n
l
n
g
e
:
O
f
f
s
e
t
M
o
r
e

F
l
a
g
:
1
2
2
5
8
0 0 0
N
e
t
z

1
M
T
U

=

1
0
0
0
H
i
n
w
e
i
s
:

F
r
a
g
m
e
n
t
-
O
f
f
s
e
t

h
a
t

8
B
y
t
e

a
l
s

E
i
n
h
e
i
t
!
M
G G
IP - Fragmentierung
68
1024
128
512
1024
R
R
R
R
R
R
R
R R
R
R
R
R
R
R
R
R = Border-Router
M
G G
Der Zusammenbau fragmentierter
Datagrame (Reassemblierung)
erfolgt nur beim Empfnger,
nie in einem Router!
MERKE:
M
G G
Bei falscher Routing-Entscheidung
Datagrame wandern ziellos durchs Netz
Datagrame kreisen unendlich
IP Lebenszeit
Problem
Ressourcen werden vergeudet
M
G G
Einfhrung TTL-Feld (Time To Live)
Wert wird in/ von Sender gesetzt
maximal: 255
typisch: 64 (empfohlen)
32 (z.B. MS Windows)
Wert wird in jedem Router reduziert
(typisch: 1)
Bei Wert 0 , wird Paket vernichtet
(= nicht weitergereicht)
IP Lebenszeit
Lsung des Problems
M
G G
01 ICMP Internet Control Messsage Protocol
04, 94 IP in IP capsulation
06 TCP Transmission Control Protocol
08 EGP Exterior Gateway Protocol
09 IGP any private interior gateway protocol
17 UDP User Datagram Protocol
29 ISO-TP4 ISO-Transport-Protocol Class 4
50 ESP Encapsulating Security Payload (IPsec)
51 AH Authentication Header (IPsec)
88 IGRP Interior Gateway Routing Protocol (CISCO)
Ausgewhlte IP-Protokollnummern
M
G G
Optionale Services
Security (16 Security Level)
Loose Source Routing
Strict Source Routing
Record Route
StreamID
Internet Timestamp
No Operation (NOP)
End of Option List
IP - Optionen
M
G G
IP Felder (bersicht)
Version 4 IP Version - z.Z. 4 (bzw. 6)
IHL 4
Internet Header Length: Lnge des IP Headers
(wg. Optionen) - meistens: 5 (Einheit: 32 Bit)
Service Type 8 "Priorisierung" des Datenverkehrs - meistens: 0
Total Length 16 Gesamtlnge des IP Datagrams
Identifikation 16
Kennzeichnung fr richtige Reassemblierung
(nur bei Fragmentierung)
Flags 3 Hinweise fr/ bei Fragmentierung (DF, MF)
Fragment Offset 15
Gibt Reihenfolge bei Fragmentierung/
Reassemblierung an
Time To Live (TTL) 8
Verhindert das endlose Kreisen eines Datagrams
(empfohlener Wert: 64)
Protocol 8 Beschreibt Protokoll der Schicht 4 (z.B. 06 = TCP)
IP Header Checksum 8 Stellt Fehler im IP Header fest
IP Addresse 2 x 32 Beschreibt Absender (Source) und Ziel (Destination)
Options variabel
Fr bertragungsoptionen. Wird durch "Padding" auf
volle 32 Bit-Lnge gebracht (vgl. IHL)
M
G G
Kapitel 3
IP- Adressierung/
IP-Subnetting
M
G G
IP Adressen
Aufbau
198 . 71 . 191 . 1 dezimal
1100 0110 0100 0111 1011 1111 0000 0001 dual
C6 : 47 : BF : 01 hex
M
G G
Class A (Wert 0-127 = 128 Werte)
Class B (Wert 128-191 = 64 Werte)
Class C (Wert 192-223 = 32 Werte)
0 1 2 3 5 6 7 8 9 4 0 1 2 3 5 6 7 8 9 4 0 1 2 3 5 6 7 8 9 4 0 1
0 1 2 3
Rechner-Adresse 0 Netzwerk
0 1 2 3 5 6 7 8 9 4 0 1 2 3 5 6 7 8 9 4 0 1 2 3 5 6 7 8 9 4 0 1
0 1 2 3
Rechner-Adresse 1 0 Netzwerk
0 1 2 3 5 6 7 8 9 4 0 1 2 3 5 6 7 8 9 4 0 1 2 3 5 6 7 8 9 4 0 1
0 1 2 3
Rechner-Adresse 1 1 0 Netzwerk
M
G G
Class D (Wert 224-239 = 16 Werte)
Class E (Wert 240-255 = 16 Werte)
Multicast-Adressen
undefiniertes Format
0 1 2 3 5 6 7 8 9 4 0 1 2 3 5 6 7 8 9 4 0 1 2 3 5 6 7 8 9 4 0 1
0 1 2 3
1 1 1 0
0 1 2 3 5 6 7 8 9 4 0 1 2 3 5 6 7 8 9 4 0 1 2 3 5 6 7 8 9 4 0 1
0 1 2 3
1 1 1 1
Adress-Klassen sind definiert in RFC 1020 bzw. 1166 (Juli 1990) [Internetnumbers]
M
G G
224.0.0.0 Base Address (reserved)
224.0.0.1 All Systems on this subnet
224.0.0.2 All Routers on this subnet
224.0.0.5 OSPF - All Routers
224.0.0.9 RIP-2
224.0.0.10 IGRP-Routers
224.0.0.12 DHCP Relay
224.0.1.8 SUN NIS (YellowPages)
224.0.1.24 microsoft-ds
224.0.2.2 SUN RPC (NFS)
Ausgewhlte IP-Multicast-Adressen
Hinweis: Die unteren 23 Bit werden auf die Ethernet-Multi-Cast-Adressen
01:00:5e:00:00:00 bis 01:00:5e:7F:FF:FF gemappt (vgl. Folie 19)
M
G G
Adressen mit besonderer Bedeutung
127.x.x.x Local Host (127.0.0.1)
255 (im Host-Teil) All-One-Broadcast
255.255.255.255 All Hosts on this net
0 (im Host-Teil) All-Zero-Broadcast (veraltet!)
0 (im Netz-Teil) This Net
M
G G
Private Adressen
(nach RFC 1918)
10.0.0.0 - 10.255.255.255 ein Class A-Netz
172.16.0.0 - 172.31.255.255 16 Class B-Netze
192.168.0.0 - 192.168.255.255 256 Class C-Netze
vgl. auch: Special-Use IPv4 Addresses (RFC 3330)
z.B.:
169.254.0.0 Link Local (falls DHCP nicht funktioniert)
vgl. APIPA Folie 237
M
G G
IP - Adressen / - Subnetz-Masken
IP-Adresse
Subnetz-Maske 255.255.255.000
11111111 11111111 11111111 00000000
198 . 71 . 191 . 1
1100 0110 0100 0111 1011 1111 0000 0001
C6 : 47 : BF : 01
M
G G
IP - Subnetting mit erweiterter Subnetz-Maske
IP = IP-Adresse
SN = Subnetz-Maske
IP 126.xxx.xxx.xxx 0111 1110.xxxx xxxx
SN 255.128.000.000 1111 1111.1000 0000
auch: 126.x.x.x/ 9
1. Octet 2. Octet
M
G G
Subnetting Varianten
RFC 950
(altes/ ursprngliches Verfahren: classful routing)
Unterstes und oberstes Netz knnen nicht genutzt werden
0= eigenes Subnetz
1= Broadcast-Adresse
2
n
-2 Subnetze
RFC 1878
(Modern software will be able to utilize all definable networks- classless routing)
Unterstes und oberstes Netz knnen genutzt werden
2
n
Subnetze
M
G G
IP - Subnetting
Interne Vorgehensweise des Rechners
1
Eigene Adresse
Eigene SN-Maske
Ergebnis A (eigenes Netz)
^
2
Ziel Adresse
Eigene SN-Maske
Ergebnis B (Ziel-Netz)
^
Wenn A = B = Destination in selbem Netz
Wenn A B = Destination in anderem Netz
Anmerkung:
^
= logisches UND
M
G G
Bei Subnetting kann die Default-
Subnetzmaske kann nur in Richtung
mehr Netze modifiziert werden !
Gegenrichtung (weniger Netze) =
Supernetting
MERKE:
M
G G
Kapitel 4
IP ber serielle Leitungen
(SLIP, PPP, PPPoE)
M
G G
Serial Line IP (SLIP)
RFC 1055
keine Fehlererkennung/ -korrektur
nur Punkt-zu-Punkt-Verbindungen
keine Adressinformationen
Adresse des Partners muss bekannt sein
keine Protokollidentifikation ( Type-Field )
Keine Multiprotokollbertragung ber eine Leitung mglich
Daten werden in Framing Characters eingepackt
END: 192 ESC: 219
ESC END: 219 220 ESC ESC: 219 221
Kompression fr TCP/IP-Header in RFC 1144 definiert
M
G G
Point To Point Protocol (PPP)
RFC 1661/ 1662 - STD 51
RFC 2153 (Vendor Extensions)
Verbindungsaufbau auf Layer 2 (HDLC-basierend bzw. asynchron)
Fehlerkorrektur
Adressinformationen
multipointfhig (derzeit nicht genutzt)
Protokoll-Feld
multiprotokollfhig (auf einer Leitung)
feste maximale Paketlnge (1500 Byte)
echte Datenkomprimierung (optional)
Testen der Leitungsqualitt (optional)
M
G G
Paketaufbau (synchron/ asynchron)
0111 1110 1111 1111 0000 0011 16 bit 0111 1110 < 1500 Byte
Flag Address Control
DATA
(Information)
FCS Flag Protocol
16 bit
M
G G
Ausgewhlte Protokoll-Nummern
80-21 IP
80-27 DECnet
80-2B IPX
80-3F Netbios
80-57 IPv6
80-FD Compression Control Protocol
C0-21 Link Control Protocol
C0-23 Password Authentication Protocol
C0-25 Link Quality Report
C2-25 RSA Authentication Protocol
M
G G
PPP over Ethernet
(PPPoE)
RFC 2516
PPP-Pakete werden in Ethernet Pakete eingepackt
(Ethernet-) Typefields: 88-63 (Discovery Stage),
88-64 (Session Stage)
max. MTU: 1492 (PPPoE-Header + PPP-Protocol-ID)
zweistufiges Konzept:
Server-Suche/ Server-Auswahl (Discovery-Stage)
stateless bis zum Aufbau einer PPP-Verbindung
Verbindungsaufbau (Session Stage)
M
G G
PPP over Ethernet (PPPoE)
Paketaufbau (Session Stage)
0 1 2 3 5 6 7 8 9 4 0 1 2 3 5 6 7 8 9 4 0 1 2 3 5 6 7 8 9 4 0 1
0 1 2 3
Session ID
Code
00-00
Version
01
Type
01
Length
Data
PPP Protocol
*)
*) = C0-21 (Link Control Protocol)
M
G G
Kapitel 5
IP Next Generation (IPng)
IP Version 6 (IPv6)
M
G G
IPv6 - Neuer Adressbereich
Adressbereich: 128 Bit (16 Byte)
[vgl.: IPv4: 32 Bit (4 Byte)]
3,4 * 10
38
Adressen
theoretisch:
C 6,66*10
23
(genau: 665.570.793.348.866.943.898.599 Adressen/ m
2)
C 666 Billiarden Adressen/ mm
2
C 6,5*10
28
Adressen pro Mensch
praktisch (worst case):
C ca. 1000 Adressen/ m
2
M
G G
IPv6 - Neue Eigenschaften
Reduzierung des Header-Overheads durch Weglassen nicht
bentigter Felder
Erweiterungs-Header (optional)
Keine Fragmentierung in Routern
minimale Transportgre: 1280 Byte/ Path MTU Discovery-Funktion
Security-Features (Authentifizierung, Verschlsselung)
Priorisierung/ Realtime-Fhigkeiten ( Traffic Class / Flow Label )
Nutzdatenanzeige ( Payloadlength )
Jumbo-Payload - Feld (> 65535 Byte)
automatische Systemkonfiguration ( Neighbor Discovery )
Mobile IP
M
G G
Vernderungen im IPv6-Header (zu IPv4)
IHL
Feld entfllt ersatzlos
Feld bekommt anderen Namen/ Bedeutung
Fragment Offset
Fragmentierung
IP Header Checksum
Protocol
TOS
0 1 2 3 5 6 7 8 9 4 0 1 2 3 5 6 7 8 9 4 0 1 2 3 5 6 7 8 9 4 0 1
0 1 2 3
M
G G
IPv6 Basis Header
(Ausschnitt - ohne Destination Address)
Fragment Offset
IP Source Adresse
IP Destination Adresse
Options Padding
Version Flow-Label
Payload Length
Traffic Class
Next Header Hop Limit
Source Address
0 1 2 3 5 6 7 8 9 4 0 1 2 3 5 6 7 8 9 4 0 1 2 3 5 6 7 8 9 4 0 1
0 1 2 3
M
G G
IPv6 - Erweiterungs-Header
Routing Header (Source Route) - Next Header = 43
Fragmentation Header (nur Host) - Next Header = 44
Authentication Header - Next Header = 51
ESP-Header - Next Header = 50
IPv6 Header
next Header =
TCP
TCP-Header +
Nutzdaten
IP Standard-Datagram
IPv6 Header
next Header =
Routing
Routing H.
next Header =
Fragment
Fragment H.
next Header =
TCP
TCP-Header +
Nutzdaten
(Fragment)
IP Datagrame mit
verschiedenen
Headern
M
G G
IPv6 - Adressschema und Adressarten
Prfix (3 Bit)
ffentlicher Bereich (45 Bit)
lokaler Bereich (80 Bit)
Anycast Address ( Mehrfach- Adresse)
keine Broadcast Adressen
(nur Multicast Adressen)
M
G G
IPv6 Adress-Aufteilung
FP Format Prefix (001)
TLA Top Level Aggregator (Public Transport Topology)
NLA Next Level Aggregator (Provider)
SLA Site Level Aggregator (Subnet)
Local (inkl. Interface [48 Bit])
13 16 Bit 32 Bit 3 64 Bit
M
G G
IPv6 - RFCs
RFC 1881 Address Allocation Management
RFC 1883 Specification (RFC 2460 - DRAFT)
RFC 1884 Addressing (RFC 2373)
RFC 1887 Address Allocation
RFC 1897 Testing Address Allocation (RFC 2471)
RFC 1825 Security Architecture (RFC 4301)
RFC 1826 IP Authentication Header (RFC 4302)
RFC 1827 IP Encapsulation Security Payload (RFC 4303)
RFC 1828 IP Authentication Using Keyed MD5
RFC 1829 The ESP DES-CBC Transform
RFC 4301 - 4309: IPsec (vgl. IPsec)
M
G G
Kapitel 6
Address Resolution Protocol
(ARP)
M
G G
Adress Resolution Protocol
(ARP)
RFC 826 - STD 37
Darunter liegende Schicht: Data Link Layer (z.B. Ethernet, TR)
(Ethernet-) Typefield: 08-06
keine offizielle Definition in 802.2 (DSAP/ SSAP)
Datagram-Service
Adress-Zuordnung Ebene 3 Ebene 2
(IP MAC)
M
G G
ARP Request (schematisch)
Broadcast: Wer kennt die MAC-Adresse von GRN?
M
G G
ARP Standard-Response (schematisch)
Gerichtete Antwort (Unicast):
Hier ist die gesuchte (meine) MAC- Adresse
M
G G
ARP - Ablaufdiagramm
Kommunikation soll
hergestellt werden
Timeout
ARP-Response
erhalten?
J a
J a
Nein
Nein
MAC-
Adresse
bekannt?
ARP Request
Kommunikation findet statt
(IP Pakete werden gesendet)
M
G G
0 1 2 3 5 6 7 8 9 4 0 1 2 3 5 6 7 8 9 4 0 1 2 3 5 6 7 8 9 4 0 1
0 1 2 3
48 Bit Destination-Hardware-Adresse
48 Bit Source Hardware-Adresse
Ethernet Typ Feld
Hardware Typ Protokoll Typ
HW-Lnge SW-Lnge Option Code
48 Bit Source Hardware-Adresse
48 Bit Destination Target Adresse / Desti nation
IP Target Adresse / Destinati on
E
t
h
e
r
n
e
t
-
H
e
a
d
e
r
A
P
R
-
H
e
a
d
e
r
IP Source-Adresse
Hardware Target-/ Destination Adresse
ARP - Datenformat
IP Target-/ Destination Adresse
M
G G
ARP - Hardware Typ
Netztyp Bezeichnung
1 Ethernet (10 Mbit/s)
2 Experimental Ethernet (3Mbit)
3 Amateur Radio
4 Proteon Token Ring
5 Chaos Net
6 IEEE 802 Networks
7 ARCnet
M
G G
ARP - Protokoll Typ
(vgl. Ethernet Type-Field)
Wert (hex) Bezeichnung
0600 XNS
0800 IP
0806 ARP
M
G G
ARP - Felder
Hardware-Lnge
Definiert Lnge der Hardware-Adresse (Ethernet = 6 Byte)
Software-Lnge
Definiert Lnge der Protokoll-Adresse (IP = 4 Byte)
Option Code
1 =ARP Request
2 =ARP Reply
M
G G
ARP - Adressfelder
Hardware-Source-Adresse
MAC Adresse des Senders
Protokoll-(IP)-Source-Adresse
IP-Adresse des Senders
Hardware-Target-/Destination-Adresse
MAC Adresse des Empfngers/ Ziels
Protokoll-(IP)-Target-/Destination-Adresse
IP-Adresse des Empfngers/ Ziels
M
G G
ARP Response von ARP-Server (schematisch)
O Unicast: Hier ist die gesuchte MAC-Adresse
O Unicast: Hier ist die gesuchte (meine) MAC -Adresse
ARP-Server
M
G G
ARP - Befehl
arp -a
ARP-Cache anzeigen
arp -s <IP-Adr.> <HW-Adr.>
Zuordnung IP-Adr./ MAC-Adresse
arp -s <IP-Adr.> <HW-Adr.> PUB
zugeordnete MAC-Adresse wird als ARP-Response gesendet
(ARP-Server)
arp -d <IP-Adr.>
Eintrag wird gelscht
M
G G
Gratuitous ARP
Host schickt eine Anfrage mit eigener IP-Adresse
(als Target-Adresse) unaufgefordert ins Netz
Feststellung ob eigene IP-Adresse mehrfach vorhanden
ist
Update der ARP-Tabellen in den anderen Rechnern
M
G G
Reverse Address Resolution Protocol
(RARP)
M
G G
Reverse Address Resolution Protocol
(RARP)
RFC 903 - STD 38
Darunter liegende Schicht: Data-Link-Layer (z.B. Ethernet, TR)
(Ethernet-) Type-Field: 80-35
keine 802.2-Definition (DSSAP/ SSAP)
Zuordnung Ebene 2 Ebene 3 (MAC-Adresse IP-Adresse)
Aufbau wie ARP-Paket
Ausnahme: Option Code
3 =RARP Request
4 =RARP Reply
Funktionalitt heute i.a. durch BootP abgedeckt
M
G G
Kapitel 7
IP - Routing
M
G G
Routing auf Backbone
R 1
R 2
A B
Zeitpunkt
Data Link Layer
Sender Empfnger
Network Layer
Sender Empfnger
t
1
t
2
t
3
A
R1
R2
R1
R2
B
A
A
A
B
B
B
A B
M
G G
Beim Einsatz von Routern geht die
Transparenz auf Layer 2 vollstndig
verloren !
MERKE:
M
G G
Router 1
Router 3
Routing in vermaschtem Netz
Netz 126
126.2.2.1
Router 2
126.1.1.1
50.1.1.1
50.1.1.2
1.1.1.2
126.1.1.2
1.1.1.1
Netz 50
Netz 1
1.1.2.1
A
B
M
G G
Routing - Verfahren
statisches Routing
dynamisches Routing
default Routing
IP-Optionen
Source-Route
Loose Source-Route
Strict Source-Route
Record Route
M
G G
Ein IP-Router hat keine Gerte-Adresse, sondern nur
seine Schnittstellen(karten) zu den
angeschlossenen Netzen!
und
Diese muss aus demselben Adressbereich stammen
wie die Adressen der angeschlossenen, zu
routenden Rechner !
MERKE:
M
G G
Proxy ARP
M
G G
Programm/ Prozess auf Router
(kein Protokoll!)
Leitet ARP-Anfragen an Routing-Tabelle weiter
Erspart Routing-Eintrge auf Hosts
Belastet Router
(zustzliche ARP-Bearbeitung)
Proxy ARP
M
G G
Kapitel 8
Internet Control Message Protocol
(ICMP)
M
G G
Internet Control Message Protocol
(ICMP)
RFC 792 - STD 5
Darunter liegende Schicht: Internet Schicht (IP)
IP-Protokoll-Nr.: 01
dient dem Informationsaustausch der Endgerte ber den aktuellen
Status der Ebene 3 (IP)
Unterschiedliche Paket-Varianten
Error-Pakete:
Fehlermeldung, Header und die ersten 64 Bit des den Fehler
verursachenden Paketes.
Info-Meldungen/ Pakete:
Request-/ Response-Verfahren
M
G G
ICMP- Fehlermeldungen
Destination Unreachable
Redirect Message
Source Quench
Time Exceeded
Parameter Problem
M
G G
ICMP - Destination Unreachable-Meldung
(Auswahl)
Net/ Host Unreachable Router
Communication with Destination Network/ Router
Host is Administratively Prohibited
Destination Network/ Host Unreachable for Router
Type of Service
Fragmentation Needed and DF Set Router
Source-Route Failed Router
Protocol/ Port Unreachable Host
M
G G
ICMP- Info-Meldungen
Echo
Information
Timestamp
Address Mask
Trace Route
M
G G
IP / ICMP Trace-Route
Klassische Methode
Absender
Absender
Absender
Absender
Router 1
Router 2
Router n
Empfnger/ Ziel
IP-Paket mit TTL = 1, 2, ..., n
ICMP Error (n-Mal)
M
G G
Trace Route in dynamischen Netzwerken
R8 R10 R5
R6
R11
R9 R12
R4
R3
R7
R2
R1
M
G G
IP/ ICMP Trace-Route
Neue Methode
Absender
IP-Paket Trace Route(OHC wird incrementiert)
ICMP-Message Trace Route(1, 2, ..., n) (RHC wird incrementiert)
Router 1 Ziel Router 2 Router n
OHC = Outbound Hop Count
RHC = Return Hop Count
M
G G
Code
0 1 2 3 5 6 7 8 9 4 0 1 2 3 5 6 7 8 9 4 0 1 2 3 5 6 7 8 9 4 0 1
0 1 2 3
Checksum Type
unused
Internet Header + 64 bits of Original Data Datagram
Code
0 1 2 3 5 6 7 8 9 4 0 1 2 3 5 6 7 8 9 4 0 1 2 3 5 6 7 8 9 4 0 1
0 1 2 3
Checksum Type
Sequence Number
Data . . .
Destination Unreachable Message
Identifier
Code
0 1 2 3 5 6 7 8 9 4 0 1 2 3 5 6 7 8 9 4 0 1 2 3 5 6 7 8 9 4 0 1
0 1 2 3
Checksum Type
Gateway Internet Adress
Internet Header + 64 bits of Original Data Datagram
Redirect Message
Echo or Echo Reply Message
(Ping)
M
G G
ICMP - Messages
Type Numbers (Auswahl)
00 Echo Reply
02 Destination Unreachable
04 Source Quench
05 Redirect
08 Echo Request
11 Time Exceed
12 Parameter Problem
30 Traceroute
37 - 255 reserved
M
G G
Kapitel 9
Routing Protokolle
M
G G
*)
EGP: RFC 877, RFC 904
Arten von Routing Protokollen
EGP
*)
-Bereich
IGP-Bereich
IGP-Bereich
IGP-
Bereich
M
G G
Routing Information Protocol
(RIP)
M
G G
kein MIL-Standard
Darunter liegende Schicht: Transport Schicht (UDP)
UDP-Port: 520
Ursprung: XNS-Protokoll-Familie
Bestandteil des BSD 4.3-UNIX
(routed-Daemon)
Klasse: Distance-Vektor-Protokolle
(Bellman-Ford-Algorithmus)
Routing Information Protocol
(RIP)
RFC 1058 - STD 34
M
G G
RIP - Paketaufbau
0 1 2 3 5 6 7 8 9 4 0 1 2 3 5 6 7 8 9 4 0 1 2 3 5 6 7 8 9 4 0 1
0 1 2 3
unused Command (1)
Adress Family Identifier (2)
IP Adress (4)
Metric (4)
Adress Family Identifier (2)
Version (1)
unused
unused
unused
unused
IP Address (4)
Address Family Identifier (2)
IP Address (4)
M
G G
RIP - Paketaufbau
Bedeutung der Felder
Command Feld: 1 = Request
2 = Response
Address Family Identifier: 2 = IP
IP-Adress: Ziel-Netz bzw. -Rechner
Metric (=Hops): Entfernung bis Ziel
(Lnge: 4 Bit = max. 15 Hops)
Lnge des Paketes: max. 512 Byte
(~ 25 Info-Felder)
M
G G
O Regelmige Routing-Updates (alle 30 sec)
O berprfen, ob
neue Metric < alte Metric
JA: Wert bernehmen - Update des Eintrags beendet
NEIN: Wert beibehalten und
O berprfen, ob Routing-Update von dem Router kam, der den letzten
Eintrag erstellt hat
JA: Wert auf jeden Fall bernehmen (auch wenn grer)
Update des Eintrags beendet
NEIN: Update des Eintrags beendet
RIP
Routing Tabelle/ Routing Updates
M
G G
Split Horizon
Verhindert Rckrouten (reverse route)
OUpdates, die ber eine bestimmte Schnittstelle gesendet werden,
berichten nicht ber Routen, die ber diese Schnittstelle gelernt
wurden
OUpdates, die ber eine bestimmte Schnittstelle gesendet werden
kennzeichnen jedes ber diese Schnittstelle erlernte Netzwerk als
nicht erreichbar
(Split Horizon with poisoned reverse)
spart Ressourcen
verhindert Routing-Schleifen
M
G G
Classful Routing
nach RFC 950
Subnetzmasken werden nicht mit der Ziel-Adresse
verbreitet
OZieladresse befindet sich direkt in dem mit dem Router
verbundenen Netzwerk:
Subnetzmaske der NIC wird verwendet
OZieladresse befindet sich in Remote-Netzwerk :
Default-Subnetzmaske wird verwendet
Unterstes und oberstes Subnetz - alles 0(Hauptnetz-Netzwerknummer)
bzw. alles 1(Broadcast des Hauptnetzes) - knnen nicht genutzt werden
M
G G
= RIP v.1-Feld = neues Feld (RIP-2)
RIP-2 (STD 56)
Paketaufbau
0 1 2 3 5 6 7 8 9 4 0 1 2 3 5 6 7 8 9 4 0 1 2 3 5 6 7 8 9 4 0 1
0 1 2 3
unused Command (1)
Adress Fami ly Identifier (2)
IP Adress (4)
Metric (4)
Version (1)
Route Tag (2)
Subnet Mask (4)
Next Hop (4)
IP Address (4)
M
G G
Open Shortest Path First
(OSPF)
M
G G
Open Shortest Path First (Version 2)
OSPF 2
RFC 2328 - STD 54
Erweiterung von OSPF (RFC 1131)
Familie: Interior Gateway Protokolle (IGP)
Klasse: Link State Protokolle
Virtuelle Topologie (Autonomous System = AS)
alle Router haben identische Datenbank
Dynamisches Routing Protokoll
M
G G
OSPF 2 - Eigenschaften/ Funktionalitten
Routing-Updates nur bei Topologienderungen
Routing-Updates ber IP-Multicasts
Jeder Router berechnet (s)einen Baum (mit sich selbst als Root)
Unterschiedliche Routen je nach Type Of Service
Load-Balancing bei Routen mit gleichen cost
M
G G
OSPF 2
Areas
Bildung von Areas mglich (Topologie wird verborgen)
Reduzierung des Routing-Verkehrs
Routing innerhalb der Area nur durch Topologie der
Area selbst bestimmt
unterschiedliche Topologie-DBs innerhalb eines AS
Authentifizierung ( Trusted Router ) innerhalb eines AS
durch Router-Id
M
G G
Routingtabellen im Internet
(Kennzahlen)
2005: 150.000 175.000
2006: 200.000
2011: 370.000 (geschtzt)
2020: 2. Mio. (mglich/ befrchtet)
Belegter Speicherplatz heute: mind. 10 MB/ Router
IPv6 verschrft die Probleme:
Verdopplung der Eintrge pro Rechner
M
G G
Einschub
Nicht routbare Protokolle
Besitzen keine Adressierungsfunktion auf Layer 3
Adressierung von Netzwerken nicht mglich
Vertreter:
NetBIOS/ NetBEUI (NetBIOS Extended User Interface)
DEC LAT
DLC
M
G G
Kapitel 10
Transmission Control Protocol
(TCP)
M
G G
Transmission Control Protocol
(TCP)
RFC 793 - STD 7 - MIL-Std. 1778
bertrgt Segmente
fehlergesicherte, zuverlssige Transport-Verbindung
(Ende zu Ende Kontrolle)
M
G G
TCP - Eigenschaften
Multiplexing
Ende zu Ende Kontrolle
Verbindungsmanagement (Three-Way-Handshake)
Flusskontrolle (Sliding-Window-Mechanism)
Zeitberwachung
Fehlerbehandlung
M
G G
TCP - Header
U
R
G
F
I
N
A
C
K
P
S
H
R
S
T
S
Y
N
0 1 2 3 5 6 7 8 9 4 0 3 5 6 7 8 9 4 0 1
0 1 2 3
Destination Port Source Port
Acknowledge Number
Data
Offset
Options Padding
Reserved Window Size
Urgent Pointer Checksum
Data
1 2 3 5 6 7 8 9 4 0 1 2
Sequence Number
M
G G
TCP - Multiplexmechanismus (1)
Port
Zuordnung der Pakete zur nchsthheren Ebene
Socket
Eindeutige Adressierung einer TCP-Verbindung
(IP-Adresse + Port-Nr. z.B. 141.6.1.16:23)
Well Known Port/ Socket
(Registrierte) Port-Nr. fr (Standard-)Applikationen
z. B. FTP: 21/ 20
TELNET: 23
SMTP: 25
(vgl. services-Dateien)
M
G G
TCP - Well-Known-Ports (Auswahl)
20 FTP-Data
21 FTP (Steuerleitung)
23 TELNET
25 SMTP (Simple Mail Transfer Protocol)
43 nicname (Who Is)
53 domain (DNS)
66 sql*net (Oracle SQL*NET)
67/68 BOOTP (Server/Client)
70 gopher
80 WWW-HTTP
110 POP3
111 sunrpc (NFS- SUN Remote Procedure Calls)
137/ 138/ 139 netbios (name-/ datagram-/ session service)
161/ 162 SNMP (SNMP/ SNMP-Trap)
443 https
512/ 514 exec/ cmd (rexec/ rsh)
M
G G
TCP - Well-Known-Ports (Auswahl)
Besonderheiten
513/ tcp login (rlogin; nur TCP-Port!)
513/ udp who (rwho/ ruptime; nur UDP-Port!))
ab 1024: High-Ports
1352 Lotus Notes
1416 Novell LU 6.2
1525 orasrv (Oracle)
1527 tlisrv ( )
1529 coauthor ( )
1986-1999 cisco (u.a. licensemanager, snmp-rcp-port)
1989 mshnet (MHSnet system)
2784 www-dev (world wide web - development)
M
G G
TCP - Multiplexmechanismus (2)
21 / 2017 2018 / 21
2512 / 23
2017 / 23
M
G G
TCP - Verbindungsaufbau
(Three-Way-Handshake)
A
(Client)
B
(Server)
Verbindungsaufbauwunsch (SYN = 1)
Sequenz-Nr. = I
Besttigung + Verbindungsaufbauwunsch (ACK = 1, SYN = 1)
ACK-Nr. = I + 1 Sequenz-Nr. = J
Besttigung (ACK = 1)
ACK-Nr. = J + 1 Sequenz-Nr. = I + 1
Datenbertragung
M
G G
gesicherter Abbau (Three-Way-Handshake)
Vor Abbau der Verbindung werden alle Daten bermittelt
( Fin-Wait-Status )
nach Wartezeit wird die Verbindung abgebaut
TCP - Verbindungsabbau
M
G G
TCP Verbindungsabbau
(Three-Way-Handshake)
A B
Verbindungsabbauwunsch (FIN = 1, ACK = 1)
Besttigung (ACK = 1)
Window-Size = 0
Verbindung abgebaut (ACK = 1)
Verbindungsabbauwunsch (FIN = 1, ACK = 1)
M
G G
TCP - Flags (SYN, ACK)
U
R
G
A
C
K
P
S
H
R
S
T
S
Y
N
F
I
N
SYN fr Verbindungsaufbau (synchronisiert) werden soll
ACK besttigt den Empfang von Daten (acknowledge)
M
G G
TCP - Flags (RST, FIN)
U
R
G
A
C
K
P
S
H
R
S
T
S
Y
N
F
I
N
RST bei ungltigen Paketfolgen/ Flags (reset)
FIN fr Verbindungsabbau (final)
Pendant zum SYN-Flag beim Verbindungsaufbau
- 152 -
M
G G
Senden von RST-Flag
(vgl. RFC 793 S. 36f)
RST muss gesendet werden, wenn ein Segment
offensichtlich nicht zu einer existierenden Verbindung
gehrt
Bei nicht existierenden (CLOSED) Verbindungen
Bei Besttigung (ACK) eines (noch) nicht gesendeten Segments
RST darf nicht gesendet werden, wenn nicht klar ist, ob
Segment zu einer existierenden Verbindung gehrt
(kein Paket wird gesendet)
M
G G
TCP - Flags (PSH, URG)
U
R
G
A
C
K
P
S
H
R
S
T
S
Y
N
F
I
N
PSH Daten mssen bei Empfnger sofort an die hhere
Schicht weitergereicht (push)
URG Urgent-Pointer muss bercksichtigt werden
(Urgent-Pointerkennzeichnet das Ende von Vorrangsdaten)
M
G G
Problem:
Segmente werden schneller gesendet, als sie der
Empfnger verarbeiten kann
ankommende Segmente werden verworfen
Sendewiederholungen
schlechte Performance
Sender und Empfnger werden belastet
Lsung:
Sliding-Window-Mechanismus:
Empfnger teilt Sender mit, wie viele Segmente er (noch)
aufnehmen kann
TCP - Flusssteuerung
M
G G
TCP Slow Start/ Congestion Control
Beschreibung
Erhhung der bertragungsgeschwindigkeit whrend
einer Verbindung
Verdopplung der MSS pro RTT
Ab Slow-Start-Threshholds
nur noch Erhhung um 1 MSS
Beginnt neu bei jedem Error
Slow-Start-Threshold wird halbiert
FTP schneller als HTTP
http://www-vs.informatik.uni-ulm.de/teach/ws06/rn1/TCPVerstopfungskontrolle.pdf
MSS = Maximum Seqment Size
(MSS MTU - 40 Bytes)
RTT = Round Trip Time
M
G G
TCP Slow Start/ Congestion Control (Grafik)
0
5
10
15
20
25
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17
RTT (Round Tri p Ti me)
C
o
n
g
e
s
t
i
o
n

W
i
n
d
o
w
s

S
i
z
e
(
i
n

S
e
g
m
e
n
t
e
n
)
timeout
ssthres
ssthres
M
G G
TCP Slow Start/ Congestion Control (Ablauf)
Sender Empfnger
t t
M
G G
Transport-Probleme:
Segmente werden
zerstrt (gehen verloren)
verflscht (defekte Pakete)
durcheinander gebracht (falsche Reihenfolge)
verzgert
dupliziert
TCP - Verbindungsmanagement
M
G G
Sendewiederholung, falls Segment:
beschdigt ist
(wird vom Empfnger vernichtet)
bereits unterwegsverloren
TCP arbeitet mit dem sog. PAR - Mechanismus
(Positive Acknowledgement with Retransmission)
ACK n+1
alle Daten bis zur Sequenznummer nwerden besttigt
(als nchstes wird das Segment n+1 erwartet)
TCP Sendewiederholung ( Retransmit )
M
G G
Segment wird wiederholt, wenn der Retransmission Timer
vor Eintreffen der Empfangsbesttigung abluft
Problem
Anfangswert zu niedrig:
zu viele Sendewiederholungen (Duplikate!)
Anfangswert zu hoch:
verlorenes Segment wird zu spt wiederholt
TCP - Retransmission Timer
= TCP-Spezifikationen schreiben einen dynamischen
Retransmission Timer vor (RFC 2988)
M
G G
TCP - Retransmission Timer
Basis Algorithmus (Begriffe) - nach RFC 2988 (Nov. 2000)
Retransmission Timeout (RTO)
Round-Trip Time (RTT)
Smoothed Round-Trip Time (SRTT) [= gemittelte RTT]
Round-Trip Time Variation (RTTVAR) [= Abweichung]
Anfangswert des RTO zwischen 2,5 sec und 3 sec
danach:
RTO < SRTT + 4*RTTVAR
M
G G
Empfnger kann Original und Duplikat nicht voneinander
unterscheiden
Empfnger nimmt an, dass Besttigung verloren gegangen
ist und besttigt erneut
Sender ignoriert, wenn Segmente mehrmals besttigt werden
Duplikate nach dem Verbindungsabbau werden ignoriert
TCP - Duplikatbehandlung
M
G G
Wichtige TCP - Timer
Retransmission Timer
nach Ablauf werden Daten neu geschickt
Give Up Timer
max. Zeit, die der Sender bis zur Besttigung seiner Pakete wartet
Reconnection Timer
min. Zeit zwischen Abbau und Aufbau einer Verbindung
Retransmit-Syn Timer
min. Zeit zwischen erfolglosem Verbindungsaufbau und erneutem
Connection Request
Window Timer
max. Zeit zur Umstellung der Window-Size
M
G G
TCP Felder (bersicht)
-
Bezeichnung Lnge in Bit Aufgabe/ Beschreibung
Source Port 16 Nr. des Absenderports
Destination Port 16 Nr. des Zielports (in Richtung Server: Applikation)
Sequence Number 32 Byte-Zhler - weist auf das 1. Byte im Paket
Acknowledge Number 32 weist auf das nchste Byte, das empfangen werden kann
Data Offset 4 Definiert den Beginn der Daten (Einheit: 32 Bit)
Reserved 6 (noch) nicht definiert - muss den Wert "0" haben
Flags 6 steuern die Verbindung
Window Size 16 Anzahl der Byte, die der Empfnger entgegen nehmen kann
Checksum 16 sichert Header und Daten
Urgent Pointer 16 zeigt das Ende der "urgent" Daten an
Options variabel wird durch "Padding" auf 32 Bit-Lnge gebracht
M
G G
Kapitel 11
User Datagram Protocol
(UDP)
M
G G
UDP - Header
Checksum Length
0 1 2 3 5 6 7 8 9 4 0 1 2 3 5 6 7 8 9 4 0 1 2 3 5 6 7 8 9 4 0 1
0 1 2 3
Destination Port Source Port
Data
M
G G
User Datagram Protocol
(UDP)
RFC 768 - STD 6
Kein MIL-Standard
Datagram Service
(keine Verbindungen)
M
G G
Transport Protokoll ohne Ende zu Ende Kontrolle
Kein Verbindungsmanagement
(keine aktiven Verbindungen!)
Keine Flusskontrolle
Kein Mulitplexmechanismus
Keine Zeitberwachung
Keine Fehlerbehandlung
UDP - Eigenschaften
M
G G
Dienste auf UDP
Dienst UDP-Portnummer
IEN 116 42
DNS (Ressolve) 53
RIP 520
BootP 67, 68
TFTP 69
sunrpc (NFS) 111
SNMP/ SNMP-TRAP 161, 162
M
G G
Vergleich der Layer-4-Protokolle TCP und UDP
Eigenschaft TCP UDP
Ende zu Ende Kontrolle ja nein
Zeitberwachung der Verbindung ja nein
Flow-Control (ber das Netz) ja nein
Reihenfolgerichtige bertragung ja nein
Erkennung von Duplikaten ja nein
Fehlererkennung ja einstellbar
Fehlerbehebung ja nein
Adressierung der hheren Schichten ja ja
Three-Way-Handshake ja nein
Gre des Headers 20 - 60 Byte 8 Byte
Geschwindigkeit langsam schnell
Belastung der Systemressourcen normal gering
M
G G
Kapitel 12
Teletype Network
(TELNET)
M
G G
TELNET
RFC 854 - STD 8 - MIL-Standard 1782
Darunter liegende Schicht: Transport Schicht (TCP)
TCP/UDP Port-Nr.: 23
Remote Login-Dienst
M
G G
Vielzahl von Terminal-Typen
Verschiedene Rechner- und Terminal-Hersteller
Unterschiedliche bertragungseigenschaften
TELNET - Problematik
M
G G
TELNET Arbeitsweise
(Lsung des Problems)
Drei Funktionsgruppen:
Network Virtual Terminal (NVT)
TELNET-Kommandos
Optionen
Kein eigener Protokoll-Header
Steuerzeichen werden im Datenstrom verpackt
Interpret As Command (IAC) (= Hex FF)
wird den Kommandodaten unmittelbar vorangestellt
M
G G
TELNET - Network Virtual Terminal (NVT)
Fiktive Ein-/Ausgabe-Einheit mit bekannten Eigenschaften
Drucker zur Anzeige von Ausgabedaten
Tastatur zur Dateneingabe
7 Bit ASCII in 8 Bit Wort (default)
Unbegrenzte Zeilen- und Seitenlnge
Steuerfunktionen
Drucker fr Steuerzeichen
M
G G
TELNET - Network Virtual Terminal (Modell)
I/O-Steuerung
Telnet Client
TCP
IP
Netz-Zugang
Anwendung
Telnet Server
TCP
IP
Netz-Zugang
M
G G
TELNET - Lokale Kommandos
Lokale Kommandos werden nicht ber das Netz bertragen
Erase Character: Lscht letztes eingegebenes Zeichen
Erase Line: Lscht letzte Eingabezeile
M
G G
TELNET - Remote-Kommandos (Auswahl)
Remote-Kommandos werden durch vorgestelltes <IAC>
bertragen
Interrupt Process: Bewirkt den Abbruch des laufenden
(dez. 244) TELNET-Prozesses. Erzwingt Abbau
der bestehenden Verbindung
Abort Output: Datenausgabe wird abgebrochen.
(dez. 245) Prozess bleibt bestehen
Are You There: berprft Prozess-Prozess-
(dez. 246) Kommunikation. Bewirkt Signal
Break: (dez. 243) Darstellung der Break-Taste
Go Ahead: Signal zum Richtungswechsel bei
(dez. 249) Halbduplex-bertragung
M
G G
TELNET - Aushandeln von Optionen
Regeln:
Aufforderung zum Einschalten kann zurckgewiesen werden
Aufforderung zum Ausschalten von Optionen muss
akzeptiert werden
Es drfen nie Optionen ausgehandelt werden, die sich
bereits in der gewnschten Stellung befinden
Optionen werden erst nach Besttigung gltig
Optionen treten unmittelbar nach der Besttigung in Kraft
M
G G
TELNET - Aushandeln von Optionen
Befehle
WILL Der Sender zeigt an, dass er eine Option einschalten mchte
Antwort: DO oder DONT
WONT Der Sender zeigt an, dass er eine Option ausschalten mchte
Antwort: DONT
DO Der Sender zeigt an, dass der Empfnger eine Option einschalten
soll
Antwort: WILL oder WONT
DONT Der Sender zeigt an, dass der Empfnger eine Option ausschalten
soll
Antwort: WONT
M
G G
TELNET - Optionen
Extended ASCII (dez. 17) (RFC 698)
Binary Transmit (dez. 0) (RFC 856)
(local) Echo (dez. 1) (RFC 857)
Suppress GA (dez. 3) (RFC 858)
Terminal Speed (dez. 32) (RFC 1079)
Terminal Type, X.3 PAD (dez. 24) (RFC 1091)
Extended Options List (dez. 255) (RFC 861)
M
G G
TELNET - Terminal-Typen
(aus Assigned Numbers- Auswahl)
DEC-DECWRITER-I
DEC-DECWRITER-II
DEC-GIGI
DEC-GT40
DEC-GT40A
DEC-GT42
DEC-LA120
DEC-LA30
DEC-LA36
DEC-LA38
DEC-VT05
DEC-VT100
DEC-VT101
DEC-VT102
DEC-VT125
DEC-VT131
DEC-VT132
DEC-VT200
DEC-VT220
DEC-VT240
DEC-VT241
DEC-VT300
DEC-VT320
DEC-VT340
IBM-1050
IBM-2741
IBM-3101
IBM-3101-10
IBM-3151
IBM-3179-2
IBM-3180-2
IBM-3196-A1
IBM-3275-2
IBM-3276-2, -3, -4
IBM-3277-2
IBM-3278-2, -3, -4, -5
IBM-3278-2E, -3E, -4E, -5E
IBM-3279-2, -3
IBM-3279-2E, -3E
IBM-3477-FC, -FG
IBM-5081
IBM-5151
IBM-5154
IBM-5251-11
IBM-5291-1
IBM-5292-2
IBM-5555-B01, -C01
IBM-6153
IBM-6154
IBM-6155
IBM-AED
PERKIN-ELMER-550
PERKIN-ELMER-1100
PERKIN-ELMER-1200
TELEVIDEO-910
TELEVIDEO-912
TELEVIDEO-920
TELEVIDEO-920B
TELEVIDEO-920C
TELEVIDEO-925
TELEVIDEO-955
TELEVIDEO-950
TELEVIDEO-970
TELEVIDEO-975
TEKTRONIX-4006
TEKTRONIX-4010
TEKTRONIX-4012
TEKTRONIX-4013
TEKTRONIX-4014
TEKTRONIX-4023
TEKTRONIX-4024
TEKTRONIX-4025
TEKTRONIX-4027
TEKTRONIX-4105
TEKTRONIX-4107
TEKTRONIX-4110
TEKTRONIX-4112
TEKTRONIX-4113
TEKTRONIX-4114
TEKTRONIX-4115
TEKTRONIX-4125
TEKTRONIX-4404
Insgesamt: 326
(Stand: 1.5. 2001)
M
G G
Kapitel 13
File Transfer Protocol
(FTP)
M
G G
File Transfer Protocol
(FTP)
RFC 959 - STD 9 - MIL-Standard 1780
(ggf.) Port-Nr.: 20
File-Transfer-Dienst
M
G G
FTP - Problematik
unterschiedliche Architekturen:
Prozessoren, Betriebssysteme, ...
unterschiedliche Datenformate:
Bitanordnung, ASCII, EBCDIC, ...
unterschiedliche Dateistrukturen:
zeilenorientiert, record-orientiert, seitenorientiert, ...
unterschiedliche bertragungsweisen:
stream, asynchron, blockmode, ...
M
G G
Konsens zwischen Systemen erfolgt
durch Reduzieren individueller Eigenschaften auf
Optionen
nicht durch Transformation auf ein Meta-Format
(kein Network Virtual File)
FTP Arbeitsweise
(Lsung des Problems)
M
G G
FTP-Session
(Prinzipdarstellung)
O Aufbau einer Steuerleitung/ -verbindung
(Port-Nr.: 21) durch Client
O Austausch von Befehlen und Parametern
1 Aufbau einer Datenleitung/ -verbindung
(typisch: Port-Nr.: 20) durch Server
2 Datenbertragung
3 Abbau der Datenverbindung
O Abbau der Steuerleitung
M
G G
Benutzeroberflche
Client-PI
Dateisystem Dateisystem
Client-DTP
PI = Protocol Interpreter
DTP =Data Transfer Process
Port 21
Port 20
Server-PI
Server-DTP
Das FTP - Modell
M
G G
Active FTP
(Standard-FTP)
20
Data
21
Cmd
(1024)
Cmd
(1025)
Data
FTP-Server
FTP Client
M
G G
Passive FTP
(Firewall FTP)
20
Data
21
Cmd
(1024)
Cmd
(1025)
Data
FTP-Server
FTP Client
(2020)
Hinweis: Beim passiven FTP spielt Port 20 keine Rolle!
M
G G
FTP - Transfer Parameter
TYPE (representation type)
- A ASCII
- E EBCDIC
- I image
- L <byte size> local byte-size
STRU (structure)
- F file, no record structure
- R record structure
- P page structure
M
G G
Wichtige FTP - Befehle
dir, ls Inhaltsverzeichnis anzeigen
cd Inhaltsverzeichnis wechseln
pwd Name des aktuellen Inhaltsverz. anzeigen
bin/ ascii
bertragungsmodus binr/ ascii
hash bertragung grafisch darstellen (mit #####)
get/ put (mget/ mput)
eine Datei bzw. ein komplettes Verzeichnis
holen/ senden
M
G G
Kapitel 14
E-Mail Protokolle:
SMTP
POP3
M
G G
Simple Mail Transfer Protocol
(SMTP)
RFC 2821- STD 10 - MIL-Standard 1781
E-Mail-Dienst
M
G G
SMTP Bestandteile
Envelope
Kommunikation zwischen Client und Server
Beginnt mit Steuerkommandos: HELO/ EHLO
nicht sichtbar
Header
Bestandteil der E-Mail (vgl. Body)
Enthlt Eintrge des Clients bzw. der Server
Eintrge nicht authentisch
M
G G
SMTP bertragung
MAIL FROM:<Name_A@Rechner_1.Domain_I>
250 OK
RCPT TO: <Name_A@Rechner_2.Domain_II>
250 OK
RCPT TO: <Name_B@Rechner_2.Domain_II>
550 No such user here
DATA
354 Start mail input; end with <CRLF>.<CRLF>
Blah, blah, blah, blah
Rhabarber, Rhabarber, Rhabarber, Rhabarber
<CRLF>.<CRLF>
250 OK
Initiieren der Transaktion
berprfen des Empfngers
Empfnger existiert
Empfnger existiert nicht!
Beginn der Datenbertragung
Ende der Datenbertragung
Transaktion beendet
S E
M
G G
SMTP Envelope
(Beispiel)
S: 220 test.de SMTP server ready
C: HELO xyz.de. beliebig!
S: 250 xyz.de., pleased to meet you
C: MAIL From:adam@xyz.de beliebig!
S: 250 <adam@xyz.de> Sender ok
C: RCPT To:eva@test.de muss existieren
S: 250 <eva@test.de> Recipient ok
C: RCPT TO:tom@test.de muss existieren
S: 250 <tom@test.de> Recipient ok
C: DATA
S: 354 Enter mail
C: Hallo Eva, hallo Tom!
C: Beispiel fr den Mail-Versand mit SMTP.
C: Adam
C: .
S: 250 Mail accepted
C: QUIT
S: 221 test.de delivering mail
M
G G
SMTP - Kommandos (Auswahl)
MAIL: leitet die Transaktion ein mit der Identifikation des
Absenders
RCPT: receipient - identifiziert den/ die Empfnger
VRFY: verify - sucht zu einem vorgegebenen Namen den
zugehrigen Pfad
EXPN: expand - interpretiert einen Namen als Mailing-Liste und
lst diesen auf
SEND: kommuniziert direkt mit dem Terminal des Empfngers
SOML: send or mail - kommuniziert mit dem Terminal bzw. der
Mailbox, wenn das Terminal nicht erreichbar ist
SAML: send and mail - kommuniziert mit Terminal und Mail-Box
M
G G
SMTP-Antwort-Codes (bersicht)
211 System-Status oder System-Hilfe
214 Hilfe - Informationen zumAusfhren eines Kommandos
220 Server bereit
221 Server beendet Verbindung
250 Kommando ausgefhrt
251 Keine lokale Mailbox; Weiterleitung an "forward-path
252 berprfung der Empfngeradresse nicht mglich; Die Nachricht wird dennoch versendet
354 Starte Empfang der Mail; Beenden mit " CRLF" . " CRLF
421 Service nicht verfgbar; Verbindung wird beendet
450 Aktion nicht ausgefhrt - Mailbox nicht verfgbar
451 Aktion abgebrochen - Fehler beimAusfhren
452 Aktion abgebrochen - Nicht gengend System-Speicher
500 Syntax-Fehler - Kommando unbekannt
501 Syntax-Fehler - Parameter oder Argument falsch
502 Kommando unbekannt / nicht implementiert
503 Falsche Reihenfolge der Kommandos
504 Parameter unbekannt / nicht implementiert
550 Aktion nicht ausgefhrt - Mailbox nicht erreichbar (nicht gefunden, kein Zugriff)
551 Mailbox nicht lokal; "forward-path" versuchen
552 Aktion abgebrochen - Fehler bei der Speicherzuweisung
553 Aktion nicht ausgefhrt - Mailbox-Name nicht erlaubt (Syntax inkorrekt)
554 Transaktion fehlgeschlagen (beimVerbindungsaufbau: Kein SMTP-Service verfgbar)
M
G G
822-Message-Format (nach Original RFC) bzw.
The format of ARPA Internet text messages )
7-Bit ASCII (nicht nderbar!)
Bestandteile:
Header
Body
SMTP - Message-Format
RFC 2822 - STD 11
M
G G
From:
To:
Date:
Subject:
(Leerzeile)
Nachricht (beliebig lang)
Message Header
Message Body
SMTP - Message-Format
(Header/ Body)
M
G G
SMTP Header
(Beispiel)
Received: by xyz. de. i d AABBCC; Mon, 19 Nov 2001 12: 34: 56 +0100
Received: f r omadam1 ( 47110815@[ 192. 168. 80. 201] ) by f wd00. xyz. de
wi t h smt p i d 166Cyz1KXYRsC; Tue, 20 Nov 2001 16: 38: 45 +0100
From: adam@xyz. de ( Adam)
To: eva@t est . de ( Eva)
Subject: Bei spi el - Mai l
Date: Mon, 19 Nov 2001 12: 34: 56 +0100
Reply-To: adam@xyz. de
Message-ID: 1234567890. Adam@xyz. de
Disposition-Notification-To: adam@xyz. de
MIME-Version: 1. 0
Content-Type: t ext / pl ai n; char set ="i so- 8859- 1"
X-Mailer: Wi nzi gwei ch Ausschau, Bui l d 1. 2. 3. 4. 5
M
G G
SMTP Header interpretieren
SPAM erkennen (1)
Received-Zeilen immer von unten nach oben lesen
oberster Server ist der eigene
Eintrge knnen gefaked sein (von unten beginned)
Im Zweifelsfall IP-Adresse auswerten
authentisch nur aus Envelope ( HELO )
Received-Zeilen direkt hintereinander
ohne Zwischen- oder Leerzeilen
Sender der unteren Zeile = Empfnger der oberen Zeile
Vorsicht wegen:
Alias
Dial-Up
M
G G
SPAM erkennen (2)
Verdchtig:
Standort/ Domain des Servers entspricht nicht der Zeitzone
Zeichenwirrwahr als Server-Name
IP-Adresse und Server-Namen stimmen nicht berein
(berprfung z.B. mittels: nslookup)
M
G G
(Header okay)
Recei ved: f r omi nbound2. psi . net eu. net ( EHLO i nbound2. psi . net eu. net ) ( [ 154. 15. 201. 165] )
by mst or e. psi . net eu. net ( MOS 3. 8. 2- GA Fast Pat h queued)
wi t h ESMTP i d CJ K65564 ( AUTH vi a LOGI NBEFORESMTP) ;
Fr i , 05 Oct 2007 06: 02: 55 +0200 ( CEST)
Recei ved: f r ommai l f i l t er 1. psi . net eu. net ( EHLO mai l f i l t er 1. psi . net eu. net ) ( [ 154. 15. 200. 26] )
by i nbound2. psi . net eu. net ( MOS 3. 8. 2- GA Fast Pat h queued)
wi t h ESMTP i d HLW03613;
Fr i , 05 Oct 2007 06: 02: 55 +0200 ( CEST)
Recei ved: f r omf mmai l gat e05. web. de ( [ 217. 72. 192. 243] )
by mai l f i l t er 1. psi . net eu. net wi t h esmt p ( Exi m4. 65)
( envelope-from <hatschi@web.de>)
i d 1I deOt - 0001CC- 3G
f or ht schi @cyber space. de; Fr i , 05 Oct 2007 06: 02: 55 +0200
Recei ved: f r omweb. de
by f mmai l gat e05. web. de ( Post f i x) wi t h SMTP i d E54F42ED0872
f or <ht schi @cyber space. de>; Fr i , 5 Oct 2007 06: 02: 54 +0200 ( CEST)
Recei ved: f r om[ 87. 178. 27. 130] by freemailng0801.web.de wi t h HTTP; Fr i , 05 Oct 2007
06: 02: 54 +0200
Dat e: Fr i , 05 Oct 2007 06: 02: 54 +0200
Message- I d: <1866780544@web.de>
Fr om: Hans Tschi <hatschi@web.de>
To: ht schi @cyber space. de
M
G G
(definitiver SPAM Header)
Ret ur n- Pat h: <ksr @bpt desi gn. com>
Recei ved: f r omi nbound1. psi . net eu. net []( AUTH vi a LOGI NBEFORESMTP) ;
Sat , 03 Nov 2007 03: 51: 25 +0100 ( CET)
Recei ved: f r ommai l f i l t er 1. psi . net eu. net ( EHLO mai l f i l t er 1. psi . net eu. net )
( [ 154. 15. 200. 26] )
[]
Recei ved: f r om[ 77.66.146.66] ( hel o=comp)
by mai l f i l t er 1. psi . net eu. net wi t h esmt p ( Exi m4. 65)
(envelope-from <ksr@bptdesign.com>)
i d 1I o96Y- 00019d- V5
f or ht schi @cyber space. de; Sat , 03 Nov 2007 03: 51: 24 +0100
Recei ved: f r om[ 77.66.146.66] by smt p. secur eser ver . net ;
Sat , 3 Nov 2007 05: 50: 04 +0300
From: Vol ksbanken Rai f f ei senbanken<16092007shr t @volksbank.de>
To: <ht schi @cyber space. de>
Subj ect : Vol ksbanken Rai f f ei senbanken AG: 02/ 11/ 2007
Dat e: Sat , 3 Nov 2007 05: 50: 04 +0300
MI ME- Ver si on: 1. 0
X- Mi meOLE: Pr oduced By Mi cr osof t Mi meOLE V6. 00. 2800. 1106
Message- I D: <01c81ddd$619ac510$4292424d@ksr >
[] = Auslassungen vgl. Header okay
nslookup fr 77.66.146.66:
Non-existent domain
(IP in Holland)
Securserver.net gehrt zu
godaddy.com (AZ, USA)
M
G G
E-Mail - Aufflligkeiten
Absender-Adresse stimmt nicht mit Mailserver berein
(u.U. nur in IP-Adresse des Envelopes erkennbar)
Kein Absender
Zeitsprnge in bertragung
Header-Feld User-Agent zeigt nicht auf ein bekanntes E-Mail Programm
(korrekt: User - Agent : Thunder bi r d 2. 0. 0. 6 ( Wi ndows/ 20070728) )
Eine oder mehrere Zeilen komplett in Grobuchstaben
Verweis, dass Mail nach Senate Bill 1618 kein Spam sei
(der Verweis ist irrelevant und gerade ein Indiz fr Spam)
Mail besteht nur aus (Remote) Bildern
Eintrag in Adresse (vor @) findet sich in Subject-Feld ( Betreff ) wieder
M
G G
Einschub
E-Mail Privacy: Webbugs (+ Cookies)
Beschreibung:
- Mini-Bilder (1 Pixel), die von einem externen Server abgerufen werden
- In allen HTML-Mails mglich
(Achtung: HTML muss nicht erkennbar sein)
Einsatzbereich:
- berprfung der Existenz einer E-Mail
- Zuordnung von
E-Mail-Adresse IP-Adresse (Webbug)
E-Mail-Adresse Gert (Cookie)
Schutz:
- Offline Lesen von E-Mails
- Blocken externer IP-Adressen durch E-Mail-Client
- Verbieten von Cookies
M
G G
Sicherheitsmechanismen bei E-Mail
SMTP after POP
E-Mail-Server berschreibt FROM Feld
(z.B. T-Online)
SSL bzw. TLS
Digitale Unterschrift/ Nutzung von Zertifikaten
M
G G
SMTP/ SPAM: Quellen/ URLs
http://www.th-h.de/faq/headerfaq.php
hat-h.de: E-Mail-Header lesen und verstehen
http://www.tecchannel.de/kommunikation/e-mail/401772/index.html
Tec Channel: So funktioniert E-Mail
http://www.gurusheaven.de/security/email_know_how.htm
eMail Know-How - Tipps & Tricks zur Sicherheit
http://www.stopspam.org/email/headers.html
Reading E-Mail-Headers
http://www.bsi.de/literat/studien/antispam/antispam.pdf
BSI: Anti-Spam Strategien
M
G G
Post Office Protocol - Version 3
(POP3)
RFC 1939 - STD 53
TCP/UDP-Port-Nr.: 110
ermglicht dem Client das Abholen von E-Mail von
einem Mail-Server
User-Authentisierung erfolgt ber Username/
Password
untersttzt keine Vernderung der Mail auf dem
Server (abgeholte Mail wird i.a. gelscht)
(Gegensatz: IMAP4 [Internet Message Access Protocol] - RFC 2060)
M
G G
POP Envelope
(Beispiel)
S: +OK POP3 server ready
C: user glaser
S: +OK
C: pass tschitschi
S: +OK
C: LIST
S: +OK 2 messages (320 octets)
S: 1 120
S: 2 200
S: .
C: RETR 1
S: +OK 120 octets
S: <Server sendet Nachricht 1>
S: .
C: DELE 1
S: +OK message 1 deleted
C: RETR 2
S: +OK 200 octets
S: <Server sendet Nachricht 2>
S: .
C: DELE 2
S: +OK message 2 deleted
C: RETR 3
S: -ERR no such message
C: QUIT
S: +OK
M
G G
Multipurpose Internet Mail Extensions (MIME)
RFC 2045 - 2049
Spezifiziert die bertragung von 8-Bit (Nicht-ASCII)
Zeichen (Umwandlung in 7 Bit Zeichen)
Zustzliches Header-Field: MIME-Version
Definiert
fnf Top-Level Media-Types
(text, image, audio, video, application, multipart)
viele Sub-Types
(text/plain, text/ richtext, )
Secure MIME (S/MIME) spezifiziert in RFC 3850/ 3851
Nutzung auch im Web-Umfeld
M
G G
Kapitel 15
Name-Services
M
G G
Name-Services - Aufgabe
dienen der Zuordnung Rechnername zu IP-Adresse
im einfachsten Fall durch eine lokale Datei realisiert
(z.B. C:\windows\system32\drivers\etc\hosts, /etc/hosts)
u.U. recht komplex aufgebaut
(z.B. DNS)
knnen vielfltige Informationen weiterreichen
M
G G
Internet Name Server
IEN 116
M
G G
Internet Name Server
IEN 116
(August 1979)
kein MIL-Standard
UDP/TCP Port-Nr.: 42
Zuordnen von Hostnamen zu IP-Adressen
M
G G
IEN 116-Internet-Name-Service
Eigenschaften
Name-Server sind unabhngig voneinander
kein hierarchisches System (flache Topologie)
Wildcards optional
M
G G
IEN 116-Internet-Name-Service - Beispiel
Server 1.1.1.1
Test 2.1.1.1
Privat 3.1.1.1
DG 1.1.0.10
1.1.0.1
Server 1.1.1.1
Test 5.1.1.1
Privat 4.1.1.1
Bro 10.1.1.1
DG 1.1.0.20
1.1.0.2
Test 1.1.1.1
Test_2 3.1.1.1
Bro 5.1.1.1
Privat 5.1.1.1
DG 1.1.0.30
1.1.0.3
PNS 1.1.0.1
SNS 1.1.0.2
PNS 1.1.0.2
SNS 1.1.0.3
PNS 1.1.0.3
SNS 1.1.0.2
M
G G
Domain Name System/ Service
(DNS)
M
G G
DNS
kein MIL-Standard
Darunter liegende Schicht: Transport Schicht
(UDP und TCP)
Zuordnen von Hostnamen zu IP-Adressen
RFC 1033 - Administrators Operations Guide
RFC 1034 - Concepts and Facilities
RFC 1035 - Implementation and Specification
STD 13
M
G G
DNS - Funktionsweise
verteilten Datenhaltung
hierarchischen Modell
unterschiedliche DNS-Servertypen
zustzliche (optionale) Mglichkeiten
M
G G
DNS - Funktionsweise
(hierarchisches Modell)
COM ORG EDU
MIL
NET
IBM
/
MIT UCLA
= Top-Level-Domains
DE
Kunz-
Shne
...
GMG
Abt-1 Abt-2
GMG
Abt-1 Abt-2
M
G G
Top Level Domains (TLD)
gTLD (Generic TLD):
z.B.: com, org, net
ccTLD (Country Code TLD)
z.B.: de, ch, uk, us,
to (Tonga),
tv (Tuvalu),
by (Belorussland)
sTLD (Sponsored TLD)
z.B.: jobs, info, mobi, post, mail, travel, xxx, tel (Dez. 2008)
M
G G
DNS-Aufbau
<Rechnername>.<Subdomain>.<Domain>.<TLD>
Hinweis:
Im DNS kann kein Protokoll abgelesen werden!
Protokoll nur in der URL:
Protokoll:// Rechnername.Subdomain.Domain.TLD
z.B.
http://test.abt-1.gmg.com
M
G G
DNS - Servertypen
Primary Name Server (Master)
Enthlt Datenbank mit autorisierten Daten
Ort der Datenpflege
Secondary Name Server (Slave)
Enthlt Datenbank mit autorisierten Daten
Holt sich regelmig Updates von Master
Caching Server
Merkt (cacht) sich nur Daten (nicht autorisiert)
verwirft gecachteDaten nach vorgegebener Zeit
(TTL-Feld mit 32 Bit Lnge)
M
G G
DNS - Funktionalitten und Funktionsweisen
Auflsen von Namen (in IP-Adressen)
Auflsen von IP-Adressen (in Namen - optional)
bermitteln weiterer Informationen
M
G G
DNS - Funktionalitten und Funktionsweisen
Beantworten von Anfragen:
Standard:
Name
Error (Name nicht bekannt)
Verweis auf anderen Server
Optional (Anfrage wird ggf. weitergeleitet rekursive Antwort):
Name
Error
M
G G
DNS - Query-Types (Auswahl)
A Address (Rechneradresse)
NS Name-Server
CNAME Canonical Name (Zuordnung von Nicknames)
HINFO Rechner- (Host-) Information (CPU, Betriebssystem)
SOA Start Of Authority (Update von PNS-Daten)
SERIAL nderungen in Datensatz ( Versionspflege )
REFRESH Zeit zwischen Updatepolls
RETRY Zeitdauer bis zum Wiederholen eines
fehlgeschlagenen REFRESH
EXPIRE Zeit bis zum Lschen eines Eintrages
(nach fehlgeschlagenem REFRESH)
MX Mail Exchange Server
WKS Well Known Services (TCP/ UDP-Dienste <256)
M
G G
DNS - Einschrnkungen
Namen (Labels): max. 63 Byte
Rechnernamen: max. 255 Byte
TTL: positive Werte einer vorzeichen-
behafteten 32 bit Integer Zahl
UDP Nachricht: max. 512 Byte
M
G G
MERKE:
Ein DNS-Server muss sich nicht in der
Domain befinden, fr die er
Informationen bereithlt!
M
G G
Kapitel 16
BootP
DHCP
M
G G
BootP
(UDP Bootstrap Protocol)
M
G G
BOOTP
RFC 951, RFC 1542
kein MIL-Standard
UDP/TCP Port: 67 (Client Server)
68 (Server Client)
Zuordnung Ebene 2 Ebene 3
(MAC-Adresse IP-Adresse)
bertragen von Boot-Informationen
(Vendor Specific Extensions vgl. RFC 2132)
M
G G
BOOTP - Funktionsweise
BOOTP-Request per IP-Broadcast (255.255.255.255)
oder gerichtet
BOOTP-Request nicht beantwortet erneute Anfrage
Backoff-Strategie zur Verhinderung von flooding
(vgl. CSMA/CD)
Antwortprioritt durch secs -Feld
Booten ber Router (Gateways)
(nur ber BOOTP-Relay-Agent - optional)
M
G G
B
O
O
T
P

-
D
a
t
e
n
f
o
r
m
a
t
B
o
o
t

F
i
l
e

N
a
m
e

(
m
a
x
1
2
8

B
y
t
e
)
V
e
n
d
o
r
S
p
e
c
i
f
i
c
A
r
e
a

(
m
a
x
6
4

B
y
t
e
)
C
l
i
e
n
t

H
a
r
d
w
a
r
e

A
d
r
e
s
s
(
m
a
x
1
6

B
y
t
e
)
S
e
r
v
e
r

H
o
s
t

N
a
m
e

(
m
a
x
6
4

B
y
t
e
)
S
e
r
v
e
r

I
P

A
d
d
r
e
s
s
G
a
t
e
w
a
y

I
P

A
d
d
r
e
s
s
C
l
i
e
n
t

I
P

A
d
d
r
e
s
s
T
r
a
n
s
a
c
t
i
o
n
I
D
0
1
2
3
5
6
7
8
9
4
0
1
2
3
5
6
7
8
9
4
0
1
2
3
5
6
7
8
9
4
0
1
0
1
2
3
H
o
p
s
O
p
e
r
a
t
i
o
n
s
e
c
s
H
a
r
d
w
a
r
e

T
y
p
e
H
a
r
d
w
a
r
e

L
e
n
g
t
h
U
n
u
s
e
d
Y
o
u
r
I
P

A
d
d
r
e
s
s
M
G G
BOOTP - Vendor Specific Extensions (Auswahl)
Time-of-Day aktuelle Zeit
Subnet-Mask IP-Subnetz-Maske
Router IP-Adresse Router
Time-Server IP-Adresse Time-Server
IEN116-Server IP-Adresse IEN 116 Name-Server
Domain Server IP-Adresse Domain-Name-Server
LPR-Server IP-Adresse BSD-Print-Server
Hostname Name Client (local station)
Boot Size Gre Boot-File (in 512 Byte Blocks)
Extensions Path TFTP-File - wird als VSE interpretiert
End (255h) Ende der VSE
M
G G
DHCP
(Dynamic Host Configuration
Protocol)
M
G G
DHCP
RFC 2131
nutzt BOOTP/ Erweiterung von BOOTP
Erweiterung/nderung des BOOTP-Paket
Vendor Specific Extensions Options (RFC 2132)
Minimumlnge des VSE-Feldes/ Options: 312 Byte
definiertes Magic Cookie (99.130.83.99)
Zuweisen von IP-Adressen auf Zeit bzw. unendlich
(Leased Time: 1 sec - 136 J ahre 32 Bit)
manuelle Vergabe von IP-Adressen mglich
abwrtskompatibel zu BOOTP
(muss BOOTP-Clients bedienen knnen)
M
G G
DHCP-Messages
DHCPDISCOVER Broadcast von Client, zur Suche verfgbarer
Server
DHCPOFFER Server teilt Client Konfigurationsparameter mit
DHCPREQUEST Client fordert angebotene Parameter von Server
an bzw. besttigt Parameter/ verlngert Lease
DHCPACK Server besttigt Client die Richtigkeit der Adresse
DHCPNACK Server teilt Client mit, dass Adresse nicht
verwendet werden kann
DHCPDECLINE Client teilt Server mit, dass Adresse schon
genutzt wird
DHCPRELEASE Client teilt Server mit, dass Adresse nicht weiter
bentigt wird
M
G G
DHCP - Automatische Adressvergabe
DISCOVER:
Client sucht DHCP-Server;
ggf. Vorschlge fr IP-Adresse und Leased-Time
OFFER:
DHCP-Server antworten mit IP-Adresse(n)
REQUEST:
Client whlt Angebot und antwortet allen Servern;
Server Identifier Option muss gesetzt sein
ACK:
Ausgesuchter Server reserviert vorgeschlagene Adresse
und schickt Konfigurations-Parameter (falls nicht: NACK)
ggf. Test der Adresse durch ICMP-Echo Request
Alle anderen Server:
Angebot wurde abgelehnt, vorgeschlagene IP-Adresse wieder frei
M
G G
Automatic Private IP Addressing
(APIPA)
Client findet keinen DHCP-Server (ab Windows 98)
Whlt Adresse aus 169.254.0.0/ 16 (vgl. RFC 3330)
berprft ob Adresse bereits vergeben (Gratuitous ARP)
berprft alle 5 Min. ob DHCP-Server vorhanden
Wichtig: Kann nur im eigenen Netz kommunizieren
Abschaltbar
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
Tcpip\Parameters\Interfaces
Interface auswhlen
DWORD IPAutoconfigurationEnabled = 0
Weitere Infos: http://support.microsoft.com/kb/q220874/
M
G G
Kapitel 17
Trivial File Transfer Protocol
(TFTP)
M
G G
Trivial File Transfer Protocol
(TFTP)
RFC 1350 - STD 33
kein MIL-Standard
einfacher File-Transfer-Dienst ohne Login-Prozedur
(Poor Mans File Transfer)
Einsatzgebiet: Netz-Boot-Vorgnge
M
G G
TFTP - Funktionsweise
TFTP verfgt ber fnf Funktionen:
Read Request (RRQ):
fordert File von Remote-Rechner an
Write Request (WRQ):
sendet File zu Remote-Rechner
Data (DATA):
kennzeichnet den eigentlichen Datenstrom
Acknowledgement (ACK):
besttigt empfangene Pakete
Error (ERROR):
zeigt bertragungsfehler an
M
G G
TFTP - bertragungsmechanismus
Verbindungsaufbau mit RRQ bzw. WRQ
Festes Paket-Format (512 Byte)
Pakete < 512 Byte: Ende der bertragung
Paketweise Besttigung
ERROR: bertragungsabbruch - kein Retransmit!
M
G G
TFTP - bertragungsmechanismus
RRQ (Read Request)
ACK
DATA (512 Byte)
ACK
DATA (512 Byte)
ACK
DATA (<512 Byte)
ACK
Initiieren der Transaktion
Besttigung
Daten
Besttigung
Daten
Besttigung
Ende der Datenbertragung
(letztes Paket)
Besttigung
(Ende der Transaktion)
C S
M
G G
Kapitel 18
Die R -Utilities
rlogin, rcp, rsh/rexec
M
G G
Die R Utilities
- rlogin, rcp, rsh/ rexec -
TCP/UDP Ports:
512 (rsh), 513 (rlogin), 514 (rexec)
Funktion:
Login
copy (rcp)
Ausfhren von Programmen (shell-scripts)
auf Remote-Rechnern
keine aktive Identifizierung und Authetifizierung
M
G G
R-Utilities - Zugriffsmechanismen
Dateien zur Freigabe von Zugriffsberechtigungen
.rhosts - im Home-Verzeichnis des Anwenders
hosts.equiv - unter /etc
Freigabe bezogen auf Rechner- und Usernamen
Anwender root muss immer Password eingeben
M
G G
R-Utilities - Autorisierungsdateien (Eintrge)
+
von jeder Maschine/ alle Benutzer von allen Maschinen
<hostname>
von der Maschine <hostname> mit eigener Kennung
<hostname><username>
angegebener <username> von <hostname> unter eigener
Kennung/ allen Kennungen
M
G G
R-Utilities - Ablaufdiagramm fr Zugriff
> rlogin HOST
Existiert USER in Password-Datei von HOST
NEIN
kein Zugriff mglich
Existiert ein entsprechender Eintrag in .rhosts?
JA
kein Password ntig
Password ntig
user=root
userroot
Existiert ein entsprechender Eintrag in hosts.equiv?
JA
kein Password ntig
Password ntig
NEIN
M
G G
Kapitel 19
Network File System
(NFS)
M
G G
Network File System
(NFS)
RFC 3010
kein MIL-Standard
Darunter liegende Schichten:
Darstellungsschicht: XDR (RFC 1014/ RFC 1832)
( External Data Representation )
Sitzungsschicht: SUN-RPC (RFC 1057)
Transport Schicht: UDP (Port-Nr.: 111)
einzige TCP/IP-Applikation mit separaten Schichten 5, 6 und 7
Zugriff auf Netzwerklaufwerk mit 80% der lokalen Performance
stateless Verbindung
explizite Freigabe auf dem Server (/etc/exports)
M
G G
NFS im OSI-Modell
IP
UDP
RPC
XDR
NFS
Netzzugang (802.x)
M
G G
Einschub: Remote Procedure Calls
Programm
1
Programm 2
Programm
1
Programm 2
RPC
RPC
Host Grn
Host Rot
Host
M
G G
N
F
S

-
M
o
u
n
t
C
l
i
e
n
t
/
s
y
s
t
e
m
u
s
e
r
n
e
t
w
o
r
k
c
o
m
m
a
n
d
s
d
a
t
a
h
e
l
p
s
B
e
f
e
h
l
:
m
o
u
n
t

-
t

n
f
s
-
o

r
o
,
s
o
f
t
s
e
r
v
e
r
:
/
h
e
l
p
s
/
u
s
e
r
/
h
e
l
p
s
S
e
r
v
e
r
/
n
e
t
w
o
r
k
s
y
s
t
e
m
a
p
p
l
i
k
a
t
i
o
n
u
s
e
r
h
e
l
p
s
s
y
s
t
e
m
M
G G
Kapitel 20
Internet
M
G G
World Wide Web
History
1989: Ursprung in einem Projekt des CERN, Genf
war gedacht als einfaches System zur Kommunikation
zwischen Physikern (Nutzung von Hypertextdokumenten)
1990: zeilenorientierte Oberflche (Line-Mode-Browser)
1993: Browser mit grafischer Benutzeroberflche
1994: die W3-Organisation (www.w3.org) wird ins Leben gerufen;
Aufgabe: Weiterentwicklung und Standardisierung
M
G G
Hypertext Transfer Protocol
(HTTP)
RFC 1945 HTTP 1.0 (1996)
RFC 2616 HTTP 1.1 (1997)
TCP/ UDP-Port: 80
Request-/ Response-Verfahren zur Abfrage von Dokumenten
O Verbindungsaufbau
O Anforderung (Request)
URI, protocol version, request modifier, client information
O Antwort (Response)
message protocol version, success-/ error-code, server information, data
O Verbindungsabbau
M
G G
HTTPS
(Secure HTTP)
Nutzt SSL fr verschlsseltes HTTP (Port-Nr.: 443)
Verschlsselung erfolgt ber Zertifikate
HTTP
IP
TCP
SSL
HTTPS
M
G G
1xx: Informational
Request received, continuing process
2xx: Success
The action was successfully received, understood, and
accepted
3xx: Redirection
Further action must be taken in order to complete the request
4xx: Client Error
The request contains bad syntax or cannot be fulfilled
5xx: Server Error
The server failed to fulfill an apparently valid request
HTTP Status Codes (berblick)
M
G G
100 Continue
101 Switching Protocols
200 OK
201 Created
202 Accepted
203 Non-Authoritative Information
204 No Content
205 Reset Content
206 Partial Content
300 Multiple Choices
301 Moved Permanently
302 Found
303 See Other
304 Not Modified
305 Use Proxy
307 Temporary Redirect
HTTP Status Codes - nach RFC 2616 - (1)
M
G G
400 Bad Request
401 Unauthorized
402 Payment Required
403 Forbidden
404 Not Found
405 Method Not Allowed
406 Not Acceptable
407 Proxy Authentication Required
408 Request Time-out
409 Conflict
410 Gone
411 Length Required
412 Precondition Failed
413 Request Entity Too Large
414 Request-URI Too Large
415 Unsupported Media Type
416 Requested range not satisfiable
417 Expectation Failed
M
G G
500 Internal Server Error
501 Not Implemented
502 Bad Gateway
503 Service Unavailable
504 Gateway Time-out
505 HTTP Version not supported
M
G G
Proxy-Server
Funktionsbeschreibung (1)
Zwischengeschaltetes Etwas (Appliance),
arbeitet als Client und als Server
Anfragen werden bearbeitet, ggf. bersetzt und
weitergereicht
Steuert Zugriffe ( Firewall )
Reicht Anfragen fr nicht untersttzte Protokolle weiter
M
G G
Proxy-Server
Funktionsbeschreibung (2)
Weitere Funktionalitten:
Cache
Autorisierung
Accounting
Content-Filterung
Kann kaskadiert werden
M
G G
Proxy-Server
Kaskadierung
Intranet
Public Internet
Abt.-Proxy
Firmen
-
Proxy
M
G G
Socks-Server
(vs. Proxy-Server)
Einheitlicher Port fr alle Dienste ( Tunnel )
Port-Nr.: 1080
(Proxy nutzt Port des Dienstes - z.B. Port-Nr. 80 bei HTTP)
Dienst/ Anwendung muss socksifiziert sein
(Dienst/ Anwendung untersttzt normalerweise Proxy-
Funktion - transparenter Proxy mglich)
Socks muss Anwendung nicht untersttzen
(Proxy muss Anwendung untersttzen)
Anwender ist fr Socks freigeschaltet - oder nicht
(Proxy kann separat fr jeden Dienst freigeschaltet werden)
M
G G
Kapitel 21
VoIP
(Voice over IP)
M
G G
VoIP Gerte
PC mit
Sound-Karte
Headset
Telefonie-Software
IP-Telefon mit
Ethernet-Karte
VoIP-Server
VoIP-Gateway
M
G G
VoIP Technik/ Funktionsweise
Analoges Signal: wird digitalisiert und komprimiert
Digitales Signal: wird in IP-Datenpakete verpackt
IP-Pakete: werden bertragen via (W)LAN/ MAN/ WAN
- ggf. Priorisierung
VoIP-Server: Aufgaben der Telefonanlage
(Vermittlung, Leistungsmerkmale etc.)
VoIP-Gateway: Schnittstelle zum klassischen Telefon-Netz
(oft in VoIP-Server integriert)
M
G G
VoIP - Protokolle (1)
SIP (Session Initiation Protocol)
RFC 3261 Proposed Standard
TCP/UDP Port-Nr.: 5060, 5061 (SIP-TLS)
steuert Verbindungsauf-/ abbau zwischen zwei oder mehr Partnern
(Signaling Protocol)
HTTP-hnlich
einfach (wenig komplex)
M
G G
SDP (Session Description Protocol)
RFC 4566 Proposed Standard
TCP/UDP Port-Nr.:
1297 (SDP Proxy)
3242 (SDP-ID)
3935 (SDP-Portmapper)
verwaltet Kommunikationssitzung ( Streaming Media )
verhandelt die zwischen den Endpunkten Codecs,
Transportprotokolle usw.
M
G G
RTP (Realtime Transport Protocol)
RFC 3550 STD0064
RFC 3551
UDP/TCP-Port-Nr.:
5004 (RTP Media Data)
5005 (RTP Control Protocol)
Ende-zu-Ende-Transport
keine Ende-zu-Ende-Kontrolle
M
G G
H.323
ITU-T-Standard seit 1996
(International Telecommunication Union)
Ursprung in Festnetz-Technologie
( robustes Protokoll)
Unterprotokolle:
H.225.0 Setup
Q.931 Signalisierung
H.245 Telefonie
H.450 weitere Dienste/ Leistungmerkmale
(z.B. Parken, Rckruf, Rufweiterleitung, Namensbermittlung)
untersttzt Videokonferenz, Datenkonferenz, Synchronisation Audio/ Video
Zentrale Komponente Gatekeeper
M
G G
VoIP Probleme - heute (1)
Laufzeit/ Echo problematisch (vor allem: WLANS)
QoS (Priorisierung) dringend notwendig
Sprachqualitt schlecht/ von Bandbreite abhngig
Verschlsselung nur bedingt mglich
(z.B. nicht bei Gesprchen ins Festnetz)
DOS-Atacken wie bei allen Netzwerkanwendungen
Leistungs-/
Komfortmerkmale fehlen (z.B. Anklopfen, Rckruf bei besetzt)
Implementierung komplex (Layer 7!)
Interoperabilitt wegen verschiedener Standards geringer
(vgl. SIP, H.323)
M
G G
VoIP Probleme - heute (2)
Permanente Erreichbarkeit nicht gewhrleistet (always on, feste IP)
Notspeisung fehlt (Problem: Stromausfall)
Rufnummer-Zuordnung problematisch/ nicht abschlieend geklrt
Notruf-Nummern nicht direkt anwhlbar (z.B. 110, 112)
Standort-Erkennung problematisch (vgl. Notruf-Nummern)
M
G G
VoIP Quellen
http://www.voip-information.de/ umfassende Seite zum Thema VoIP und Umfeld
http://www.teltarif.de/i/voip.html allgemeine Beschreibung
http://www.elektronik-kompendium.de/sites/net/0503131.htm allgemeine Beschreibung
http://www.markenprofi.de/was-ratgeber/feld-1/nr-117/ allgemeine Beschreibung
http://www.zdnet.de/i/wp/VoIP_whitepaper_DE_SonicWALL.PDF Sicherheits-, Implementierungsprobleme
http://www.stemmer.de/service/workshops/mws2002/download/voip_vs_dect.pdf WLAN VoIP vs. DECT (besonders Seiten 31, 32)
M
G G
Kapitel 22
Simple Network Management
Protocol
(SNMP)
M
G G
Simple Network Management Protocol
(SNMP)
kein MIL-Standard
UDP/TCP Ports: 161
162 (fr Traps)
dient zur Vereinheitlichung und bertragung
erfasster Daten (Variablen)
erlaubt herstellerspezifische Ergnzungen
RFC 1157 - STD 15
RFC 3411 - 3418 - STD 62
M
G G
SNMP Aufbau
SNMP SNMP
Management Station
(SNMP Manager)
SNMP Agent
Netzwerkgert Rechner, Router etc.)
SNMP/ RMON Probe
M
G G
SNMP - Aufbau
Manager: berwacht, konfiguriert (polling: Regel)
Agent: Sammelt/ ndert Daten (traps: Ausnahme)
RMON: Remote Monitoring
Verlagerung der Intelligenz von Manager auf Probe
Manager: zum Netz (Managed Objects)
Agent: zur Management-Station
M
G G
SNMP Aufbau
(MIB)
M
G G
SNMP - Funktionsweise
definierte Variablen ( Managed Objects )
werden hierarchisch in der Management Information Base (MIB)
abgelegt
Agent sammelt Informationen auf berwachten Gerten
Werden aktiv durch Management-Server abgefragt (ggf. auch gesetzt)
get <Variable> holt spezifizierte Variable
get-next holt nchste Variable im Datenmodell
get-bulk holt mehrere Variablen gleichzeitig
set <Variable> setzt eine Variable
Sonderfall Traps:
bei besonderen Vorkommnissen werden Daten an Server gesendet
event <Variable>
M
G G
SNMP
wichtige RFCs (allgemeine Definitionen)
RFC 1157 SNMP (STD0015)
RFC 1643 Definitions of Managed Objects for the Ethernet-like
Interface Types (STD0050)
RFC 3411 Architecture for Describing SNMP Management
Frameworks
RFC 3412 Message Processing and Dispatching for SNMP
RFC 3413 SNMP Applications
RFC 3414 User-based Security Model for SNMP
RFC 3415 View-based Acces Control Model for SNMP
RFC 3418 Management Information Base (MIB) for SNMP
RFC 2576 Coexistence between SNMP v1, SNMP v2 and SNMP v3
M
G G
SNMP - wichtige MIBs (1)
Interface Table
(vgl. RFC 1213)
Variable 1.3.6.1.2.1.2.2.1.x
enthlt Informationen ber die Interfaces
Anzahl
Typ (z.B. X.25, Ethernet, 802.3, 802.5, FDDI, PPP, ISDN etc.)
MTU
Geschwindigkeit
Physical Address
Status (administrativ/ operational)
M
G G
Address Translation Table
(vgl. RFC 1213)
Variable 1.3.6.1.2.1.3.1.1.1 - 3
enthlt Informationen ber den ARP-Table
Art des Eintrags (z.B. statisch/ dynamisch)
Physical Address
Net Address (z.B. IP-Adresse)
M
G G
IP - MIB
(vgl. RFC 1213)
Variable 1.3.6.1.2.1.4.x
enthlt Informationen ber das IP-Protokoll
Routing (ja/ nein)
Default TTL
Subnet-Maske
Broadcast-Adresse
Routing Tabelle
Routing Maske
Next Hop
Errors etc.
M
G G
bersicht
icmp
tcp
udp
transmission (ca. 580 Variablen!)
snmp
ospf
privat
bay networks/ wellfleet
cisco
3com
fore
novell
qms
(Auswahl)
M
G G
Kapitel 23
Trouble-Shooting
M
G G
Trouble-Shooting
Wichtige Quelle:
RFC 2151 (Juni 1997):
A Primer On Internet and TCP/IP Tools and Utilities
M
G G
Fehlerursachen
T
r
a
n
s
c
e
i
v
e
r
,

R
e
p
e
a
t
e
r

e
t
c
.
B
r
i
d
g
e
s
,

S
w
i
t
c
h
e
s
R
o
u
t
e
r
35%
25%
12%
10%
8%
7%
3%
72 %
Layer 1: fehlerhafte Kabel, elektrische Strungen, Kollisionen, Putzfrauen etc.
Layer 2: 802.x-Inkompatibilitten, falsch konfigurierte MAC-Adressen, Broadcaststorms
Layer 3: falsch konfigurierte IP-Adressen, Subnetzmasken und Broadcast-Adressen; falsche
Routing-Tabellen/ Eintrge
Layer 4 - 7: unkorrekt implementierte Protokolle
M
G G
Trouble-Shooting - eingebaute Tools/ Befehle (1)
arp Zeigt/ modifiziert den ARP-Cache
-a Darstellen aller Eintrge
-d Lschen von Eintrgen
-s Setzen von Eintrgen
-s PUB Antwortet auf Anfragen
M
G G
Netstat Zeigt eine (NIC-) Statistik
-a alle Verbindungen
-e Ebene 2 (Ethernet-) Statistik
-p [Protokoll] ber TCP oder UDP
-r Routingtable
-s Statistik (ausfhrlich)
interval [sec] automatischer Update (in sec)
M
G G
route Zeigt/ modifiziert die Routingtabelle und
routingspezifische Eintrge
Syntax: route [command [dest.] [MASK netmask] [GW]]
command PRINT
ADD
DELETE
CHANGE
dest. Zieladresse fr die der Eintrag gelten soll
MASK Subnetzmaske
GW Gateway (Router) fr dest.
M
G G
ping Testet Erreichbarkeit von IP-Rechnern
-t unbegrenzt
-n <count> Anzahl von Pings
-l <size> Paketgre (Vorsicht!)
-f dont fragment
-i <TTL> TTL-Wert setzen/ vorgeben
-v <TOS> TOS-Wert setzen
-j <host-list> Loose Source Routing
-k <host-list> Strict Source Routing
-w<timeout> Wartezeit in ms
-R Trace Route (nicht Windows OS)
M
G G
Tracert Trace Route
*)
-d keine Hostnamen anzeigen (nur IP-Adressen)
-h TTL-Feld
-j Loose Source Routing
-w Time Out (in ms)
Syntax: tracert [-d] [-h max_hops] [-j host-list] [-w ms] Name
*)
nur Windows Betriebssysteme
M
G G
Kapitel 24
Sicherheit
M
G G
Firewalls
IDS/ IPS
Honeypot etc.
M
G G
Firewall + DMZ (2-stufig)
Internet Firewall System
DMZ
DMZ = Demilitarisierte Zone
M
G G
Firewall-Typen
Packet-/ Port-Filter-Firewall (Router)
arbeitet auf IP-Address-/ Port-Ebene
(Layer 3 + 4)
Application Level Firewall
arbeitet auf Anwendungsebene
(Layer 5 - 7)
Stateful [Packet] Inspection Firewall (SPI)/
Stateful Packet Filter Firewall (SPF)
arbeitet zwischen Schicht 3 und 7 (je nach Bedarf)
kennt Zustand der Verbindungen ( dynamische Paket-Filterung)
M
G G
Packet-/ Port-Filter Firewall
Vorteile:
Schnell
Einfach zu implementieren
Kostengnstig
Nachteil
Nur begrenzte Sicherheit
(Address Spoofing, Dienste-Tunneling, Fragmentierungs-Attacke)
Schwierigkeiten bei UDP
Schlechte Statistik-/ Logging-Funktionen
Komplexe Filterregeln
M
G G
Application Level Firewall
Vorteile:
Hohe Sicherheit
Gute Logging-/ Protokollierungs-Mglichkeiten
Content-Filtering
Caching
Authentisierung mglich
Interne Netzstruktur bleibt komplett verborgen
Nachteil
Langsam
Komplex zu implementieren
Teuer
Unflexibel bzgl. neuer Services
M
G G
Stateful (Packet) Inspection (SPI)-/
Stateful Packet Filtering (SPF)- Firewall
Vorteile:
Hohe Sicherheit
Gute Logging-/ Protokollierungs-Mglichkeiten
Gut skalierbar
Geeignet fr UDP-Protokolle
Vergleichsweise schnell (aber langsamer als Packet Filter)
Ggf. Content-Filtering (kein Caching!)
Ggf. Authentisierung mglich
Nachteil
Sorgfltige Konfiguration notwendig
Performante Rechner notwendig
Teuer
M
G G
Filter-Regeln
allow
Lsst Pakete passieren
reject
Weist Pakete mit Fehlermeldung zurck
Firewall ist sichtbar
drop/ deny
Verwirft Pakete ohne Fehlermeldung
Firewall ist unsichtbar (Achtung: ICMP-Pakete)
M
G G
IDS/ IPS
IDS: Intrusion Detection
Analysiert Datenstrom
(Y-Anschluss mglich)
Arbeitet nur passiv
IPS: Intrusion Prevention
Analysiert Datenstrom
(direkt im Datenstrom)
ergreift Gegenmanahmen
(Sperren des Rechners)
Arbeitet dynamisch
(im Vergleich zu einer Firewall)
M
G G
Honeypot, Honeynets, Honewalls
Honeypot:
einzelner Rechner, der Angreifer anlockt
Mit interessantem Namen (z.B. forschungsrechner.basf-ag.de)
Eigene Daemons (z.B. honeyd - http://www.honeyd.org/)
Honeynet:
ganzes Netz (http://www.honeynet.org/)
bestehend aus mehreren Honeypots - ggf.
Honeywall:
prparierte Firewall
Werden i.a. mit IDS bzw. IPS kombiniert
Nutzung von Root-Kits
Dienen der Erkennung neuer Angriffsversuche/ -techniken
Weitere Infos: http://www.heise.de/netze/artikel/77373
M
G G
Honeypots, Honeynets, Honeywalls
- Quellen -
http://www.heise.de/netze/artikel/77373
(Heise: Mit Honeynet Hacker fangen)
http://www.testticker.de/ipro/praxis/security/article20050703006.aspx
(Internet Professionell: Falle fr Hacker)
http://www.tecchannel.de/sicherheit/grundlagen/431426/
(Tecchannel: Grundlagen: was Sie ber Honeypots wissen mssen)
http://project.honeynet.org/
(The Honeynet Project - engl.
inkl. Hoeywall auf CD: http://project.honeynet.org/tools/cdrom/)
M
G G
Portscanning
M
G G
Scan-Verfahren
TCP Connect Scan
TCP SYN-Scan
TCP Stealth-Scan
UDP-Scan
M
G G
TCP Connect Scan
Kompletter Verbindungsaufbau
Antworten
Verbindung erfolgreich
RST geschlossener Port
Keine Anwort Firewall
Vorteil:
Eindeutige Entscheidung mglich
Keine False Positive
Keine Root-Rechte notwendig
Nachteile:
Rechner wird belastet
Entdeckungsgefahr hoch
Gegenmanahmen knnen eingeleitet werden
M
G G
TCP SYN (Half Open) Scan
Es wird nur ein SYN gesendet und auf die Antwort (ACK/ RST)
gewartet
Antworten:
SYN ACK Port ist geffnet
RST Port ist geschlossen
Keine Antwort Portfilter (Firewall) ist vorgeschaltet
(oder Rechner existiert nicht)
Vorteil:
Rechner wird gering belastet
Eindeutige Entscheidung mglich
Entdeckungsgefahr geringer (abhngig von Rechner, FW, IDS)
DoD-Attacken mglich
Nachteil:
Gegenmanahmen knnen eingeleitet werden
Root-Rechte ntig
M
G G
TCP Stealth Scans (1)
Es wird ein ungltiges Paket gesendet
Paket-/ Scan-Typ:
FIN (Verbindungsende)
FIN, URG, PUSH (ggf. ACK, SYN) (Xmas-Scan)
Null (keine Flags)
Antworten:
<drop> Port ist geffnet (Standard-Verhalten)
Achtung: Microsoft, Cisco senden RST
RST Port ist geschlossen
(oder auch nicht Microsoft, Cisco etc.)
Keine Antwort Portfilter (Firewall) ist vorgeschaltet oder
Rechner existiert nicht
M
G G
TCP Stealth Scans (2)
Vorteile:
Rechner kaum belastet
Schwer zu erkennen ( stealthy ) - kein formeller TCP-Zustand
Nachteile:
Ergebnisinvertierung: Antworten nur fr geschlossene Ports
Keine eindeutigen Antworten
False Positivebei Paketverlust/ Drop
Microsoft, Cisco etc. verhalten sich nicht standard-konform:
RST auch bei offenem Port
Root-Rechte ntig
M
G G
UDP-Scan
kein direkter Scan mglich
(keine Verbindungen/ keine Flags)
Senden eines leeren Paketes
Antworten:
OKeine Antwort: Port offen
Firewall
ICMP gesperrt (hufig!)
OICMP Port Unreachable Port geschlossen
Problem: Keine zuverlssigen Aussagen mglich
M
G G
Virtuelle Private Netzwerke/
Virtual Private Networks
(VPN)
M
G G
VPN Typen
Site-To-Site: Verbindung von Standorten
(Network-To-Network)
Client-To-Site: Remote Access
Client-To-Client: Peer To Peer
M
G G
VPN - Einsatzgebiete
Technologie zur Kostenersparnis
Keine Technologie fr erhhte Sicherheit
(Was kommt nach dem Tunnel?)
Technologie zur Netzwerkstrukturierung
(z.B. userbezogene IP-Adressen)
M
G G
VPN Grafische Darstellung
(Beispiel)
Firmennetzwerk
(Intranet)
Public
Internet
VPN-Server
T-Online
FreeNet
etc.
BWW
R3 Systeme
Lotus Notes
Server
Netware
NDS
AAA-Server
(RADIUS, ACE)
M
G G
Tunneling Protokolle
M
G G
Tunneling Protokolle
(Auswahl)
IPsec
PPTP (Microsoft alt )
L2TP (Microsoft neu) bzw.
L2TP/ IPsec (IPsec secured L2TP)
SSL
Provider-Netze:
MPLS (Multiprotokoll Label Switching)
(vgl. RFC 4364)
M
G G
IPsec
RFC 4301 - 4309 (Status: Proposed Standard 12/2005)
Layer 3 Protokoll
IP-Tunneling (ausschlielich!)
Paketverschlsselung (beliebige Algorithmen)
Paketintegritt (Hash-Based Message Authentication Code)
Paketauthentifizierung (Abfallproduktdes HMAC)
Benutzerauthenfizierung
Schutz vor Replay-Angriffen
Schlsselmanagement
IKE (Internet Key Exchange) - UDP-Port-Nr.: 500 RFC 4306)
Primre Aufgabe: Security-Protokoll
M
G G
IPsec - Tunnel- und Transport-Modus
(Verschlsselung)
IP TCP Daten
IP TCP Daten IP ESP
TCP Daten IP ESP IPsec-Transport-Modus
Verschlsselter Bereich
IPsec-Tunnel-Modus
Original-Paket
M
G G
IPsec - Tunnel- und Transport-Modus
(Authentisierung)
IP TCP Daten
IP TCP Daten IP AH
TCP Daten IP AH IPsec-Transport-Modus
Authentifizierter Bereich
Authentifizierter Bereich
IPsec-Tunnel-Modus
Original-Paket
M
G G
Layer Two Tunneling Protocol (L2TP)
RFC 2661 (Status: Proposed Standard 8/1999)
Layer 2 (beinhaltet PPP)
Tunneling aller Layer 3 Protokolle
(z.B. IP, IPX, AppleTalk)
Keine Verschlsselung
( IPsec secured L2TP)
Benutzerauthentifizieung (keine Paketauthentifizierung)
Primre Aufgabe: Tunneling-Protokoll
M
G G
L2TP/ IPsec - IPsec Secured L2TP
RFC 3193 (Status: Proposed Standard 11/2001)
Microsoft Knowledge Base: Q265112
IP TCP Daten
IP TCP Daten PPP L2TP
IP TCP Daten PPP L2TP
UDP
(port 1701)
ESP IP
Original-Paket
L2TP-Tunnel (Layer 2!)
IPsec-Verschlsselung
M
G G
SSL (Secure Socket Layer)
TLS (Transport Layer Security)
Fr verschiedene Dienste nutzbar (Port-Nr.) u.a.:
https (443)
nntp (563)
ldap (636)
ftp (data/ control) (989/ 990)
telnet (992)
pop3 (995)
SSL: entwickelt von Netscape (1994)
TLS: RFC 4346 (Proposed Standard 4/2006)
Basiert auf dem Austausch von Zertifikaten (X.509)
Algorithmen: RSA, RC4 (SSL v1, v2) bzw. D/H (TLS)
SSL-VPN: Die Daten mssen u.U. bis zum Application Layer
gereicht bzw. emuliert werden (SSL-Appliance auf Server)
M
G G
Synonyme
Tunneling
Encapsulation
Enveloping
M
G G
Verschlsselung,
digitale Signatur,
PKI/ Zertifikate
M
G G
Verschlsselung und
verwandte Sicherheitsmechanismen
Symmetrische Verschlsselung
Asymmetrische Verschlsselung
Hybride Verschlsselung
Digitale Signatur
Hash-Verfahren
PKI/ Zertifikate
Authentisierung
M
G G
Symmetrische Verschlsselung (1)
ltestes Verfahren
Caesar-Verschlsselung (z.B. ROT-13)
XOR-Verschlsselung
Enigma
Ein Schlssel zum ver- und entschlsseln
Gebruchliche Schlssellngen:
128 256 Bit
Algorithmen:
Idea
RC4
CAST
Blowfish
DES/ Triple-DES
AES
M
G G
Symmetrische Verschlsselung (2)
Vorteile:
Schnell
Nachteile:
Schlsselbertragung unsicher
Schlsselverwaltung aufwndig
(bei n-Partnern 2
n
-1 Schlssel notwendig)
M
G G
Symmetrische Verschlsselung (Darstellung)
Sender Empfnger
1.
3. 2. 4.
M
G G
Asymmetrische Verschlsselung (1)
Relativ junges Verfahren
1975: Diffie & Hellman: erste Idee
1977: Rivest, Sharmir & Adleman: erstes Verfahren (RSA)
Ein Schlsselpaar zum ver- und entschlsseln
(Prinzip Briefkasten )
Public Key zum Verschlsseln
Private Key/ Secret Key zum Entschlsseln
Algorithmen (typische Schlssellngen)
RSA (1024 4096)
Diffie-Hellmann (D/H) (768 3072)
ECC/ Elliptic Curve Cryptography (160 300)
M
G G
Asymmetrische Verschlsselung (2)
Vorteile:
Keine Probleme beim Schlsselaustausch
Ein Schlssel fr jeden Partner
Nachteile:
Langsam wg. Schlssellnge
(ca. Faktor 1000 im Vergleich zur symmetr. Verschlsselung; bei RSA)
Empfnger muss vor Verschlsselung aktiv werden
(Public Key Generierung)
Absolute, theoretische Sicherheit nicht erreichbar
M
G G
Asymmetrische Verschlsselung (Darstellung)
Sender Empfnger
1.
3. 2. 4.
Public Key (Empfnger) Private Key (Empfnger)
M
G G
Hybride Verschlsselung (1)
Kombiniert Vorteile aus symmetrischer und
asymmetrischer Verschlsselung
berwiegend eingesetztes Verfahren
(z.B. IPsec)
Schlsselwechsel whrend bertragung mglich
(zustzliche Sicherheit)
Mehrere Empfnger mglich
M
G G
Hybride Verschlsselung (2)
Text/ Datei wird mit symmetrischen Schlssel
(Session Key) verschlsselt
(schnell)
Session Key wird zur bermittlung von Sender zu
Empfnger asymmetrisch verschlsselt
(sicher, nicht langsam)
Mehrfachverschlsselung des Session Keys
mglich
(Mehrfachempfnger)
Nachteil:
Empfnger muss vor Verschlsselung aktiv werden
(Public Key Generierung)
M
G G
Hybride Verschlsselung (Darstellung)
Sender Empfnger
Session Key Public Key Private Key Legende:
2.
3.
5.
6.
1.
4.
M
G G
Digitale Signatur
Nutzt Public Key Verfahren
Verwendung der Schlssel spiegelverkehrt zur
asymmetrischen (RSA-) Verschlsselung
Verschlsselung mit Private Key des Senders
Entschlsselung mit dem Public Key des Senders
Quersumme (genau: Hash) ber Text/ Datei
Hash wird verschlsselt
Konsequenz
berprfung des Absenders (Authentizitt)
Modifikationen am Text feststellbar
Text fr jeden lesbar
M
G G
Hash
Quersumme ber Datei/ Text
Eigenschaften
Feste Lnge
MD-5 (Message Digest): 128 Bit
SHA-1 (Secure Hash Algorithm): 160 Bit
SHA-512: 512 Bit
Unumkehrbar
Eindeutig (keine Kollisionen - ideal);
nicht berechenbar (kollisions-resistent - real)
M
G G
PKI (Public Key Infrastructure)
Standard: X.509
Dient der Ausstellung, Beglaubigung und Verteilung von ffentlichen
Schlsseln/ Zertifikaten
Ist hierarchisch aufgebaut
Certification Authority (CA) - oberste Instanz:
Stellt Zertifikate aus
Erstellt Sperrlisten sog. Certificate Revocation List (CRL)
Sub-CAs mglich (Delegation von Aufgaben)
Registration Authority (RA):
Zuordnung: Person Zertifikat
Aufwand abhngig von Klasse/ Verwendungszweck des Zertifikats
Zertifizierung zwischen zwei Bumen mglich:
Cross-Zertifizierung
Gegensatz: Web Of Trust (vgl. PGP)
M
G G
Zertifikate
Dienen der Zuordnung und Beglaubigung des Public Keys
Inhalt (gem X.509):
ffentlicher Schlssel des Zertifikat-Inhabers
Signatur der ausstellenden CA
Gltigkeitsdauer
Extensions
Formate:
PEM (.crt)
DER (.der)
PKCS#12
Text (.txt)
Kostenlose Zertifikate:
http://www.cacert.org
M
G G
Aufbau einer SSL-Verbindung
1. Initialisierung (Client Hello/ Server Hello)
3. berprfen des Server-
zertifikats
(mittels Root-Zertifikat)
4. Entnehmen des Public-Key
5. Generieren und
Verschlsseln des Session-
Key
6. Senden des Session-Key
2. Senden des Server-Zertifikat
7. Empfangen und
Entschlsseln des Session
Key
Verschlsselte Kommunikation
M
G G
Authentisierung
M
G G
Password Authentication
Protocol (PAP)/
Challenge Handshake
Authentication Protocol (CHAP)
M
G G
Vergleich PAP/ CHAP
Eigenschaft PAP CHAP
Definiert in RFC 1334 RFC 1994
Verschlsselte Passwordbertragung X
Client-Authentisierung X
Einsatz mit Token Cards etc. mglich X
berprfung der Authentizitt whrend einer Session X
M
G G
PAP (Ablauf)
Quelle: http://docs.sun.com/source/816-4555/images/PAP-auth-pro.gif
Client Server
M
G G
CHAP (Ablauf)
M
G G
Remote Authentication Dial-In User Service
(RADIUS)
M
G G
(RADIUS)
RFC 2865
UDP/ TCP-Port: 1812 (alt: 1645)
Protokoll (Verfahren) zur Authentisierung von
Rechnern, Netzzugngen (802.1x) und Applikationen
AAA-Server
Authentication, Authorization, Accounting
M
G G
(RADIUS)
Authentisierungs-Informationen in zentraler
Datenbank
(z.B. User-ID, Password, IP-Adresse, Tunnel-Typ etc.)
Mehrere Gerte/ Applikationen greifen auf einen
zentralen Datenbestand zu
Operative Vereinfachung/ Kostenersparnis
Sicherheitsfaktor
Genormte Schnittstelle fr weitere Verfahren
(z. B. RSA SecurID)
M
G G
RADIUS untersttzte Tunnel-Typen
RFC 2868
1 Point-to-Point Tunneling Protocol (PPTP)
2 Layer Two Forwarding (L2F)
3 Layer Two Tunneling Protocol (L2TP)
4 Ascend Tunnel Management Protocol (ATMP)
5 Virtual Tunneling Protocol (VTP)
6 IP Authentication Header in the Tunnel-Mode (AH)
7 IP-in-IP Encapsulation (IP-IP) (s. RFC 2003)
8 Minimal IP-in-IP Encapsulation (MIN-IP-IP)
9 IP Encapsulating Security Payload in the Tunnel-Mode (ESP)
10 Generic Route Encapsulation (GRE)
11 Bay Dial Virtual Services (DVS)
12 IP-in-IP Tunneling (s. RFC 1853)
M
G G
RADIUS untersttzte Protokolle
RFC 2868
1 IPv4 (IP version 4)
2 IPv6 (IP version 6)
3 NSAP NSAP = Network Service Access Point
4 HDLC (8-bit multidrop)
5 BBN 1822
6 802 (includes all 802 media plus Ethernet " canonical format" )
7 E.163 (POTS) POTS = Plain Old Telephone Service
8 E.164 (SMDS, Frame Relay, ATM)
9 F.69 (Telex)
10 X.121 (X.25, Frame Relay)
11 IPX
12 Appletalk
13 Decnet IV
14 Banyan Vines
15 E.164 with NSAP format subaddress
M
G G
NAT/ PAT
Funktionsweise und Probleme
M
G G
Einschub:
Network Address Translation (NAT)
Port [And] Address Translation (PAT)
M
G G
Network Address Translation (NAT)
berbegriff fr alle Verfahren zur Adress-Umsetzung
Spezielle Bedeutung:
1-zu-1-Adressumsetzung
(N-to-N-NAT)
M
G G
Network Address Translation
1-zu-1-Umsetzung
Direkte Zuordnung von Adressen unterschiedlicher Netzwerke
1. ffentliche Adressen private Adressen
(Einsparung ffentlicher Adressen)
2. Private Adressen private Adressen
(z.B. bei Firmenbernahmen)
Beispiel fr 2.)
Fusion zweier Netze (A und B), die beide schon 192.168.x.x. nutzen
Netz B nutzt darber hinaus 10.x.x.x schon komplett
Netz A: 172.16.x.x Netz B: 192.168.x.x
Netz B: 172.16.x.x Netz A: 192.168.x.x
Normales Routing fr 10.x.x.x
M
G G
Port [And] Address Translation (PAT)
Synonyme:
NAT (Achtung: Verwechlungsgefahr)
NPAT (Network and Port Address Translation)
1-to-N-NAT
Masquerading
Kopplung privater Netze mit einer ffentlichen
IP-Adresse an das Internet
Identifikation/ Zuordnung findet im PAT-Router statt
Private IP-Adressen/ Ports erhalten dynamisch Ports zugewiesen
M
G G
PAT
- Funktionsweise -
M
G G
PAT - Eigenschaften
Alle Rechner des privaten Netzes knnen auf das
Internet zugreifen
Probleme bei der Nutzung von FTP
(vgl. aktiver/ passiver FTP)
Zugriff aus dem Internet in das private Netz ist nicht bzw.
nur eingeschrnkt mglich
WICHTIG:
Ein PAT-Router ist nicht automatisch eine Firewall
M
G G
PAT Zugriff aus dem Internet
Ohne manuellen Eingriff am Router nicht mglich
Zustzliche Funktionalitt/ Konfiguration notwendig
Port Forwarding
Virtueller Server
M
G G
PAT Zugriff aus dem Internet
- Funktionsweise -
Einem (eingehenden) Destination-/ Server-Port wird
ein festes Ziel (private IP-Adresse bzw. Socket)
zugewiesen
Pro Destination-Port immer nur ein Ziel mglich
Aber:
Mehrere Server pro Rechner realisierbar
(z.B. FTP- und Web-Server)
M
G G
Probleme im Umfeld von NAT/ PAT
Probleme im Umfeld von NAT/ PAT
bei
UDP/ Firewalls
IPsec
M
G G
UDP-Kommunikation ber Firewall
zwischen zwei PAT-Netzen
Problem:
Adressen werden dynamisch vergeben und knnen nicht
freigeschaltet werden
Kommunikation erfolgt immer mit Destination-Ports
Lsung:
STUN
UDP Hole Punching
M
G G
STUN
(Simple Traversal of UDP
Through NAT)
UDP Port Punching
M
G G
STUN
RFC 3489
Darunter liegende Schichten: Transport Schicht/ Layer 4:
UDP (Binding Request)
TLS (Shared Secret Requests)
Einsatz von STUN-Server:
kennt die ffentlichen/ privaten Adressen beider Partner
Erkennt NAT-Devices
Teilt anfragenden Applikationen ffentliche Adresse mit
STUN-Server Download unter:
http://sourceforge.net/projects/stun/
M
G G
UDP Hole Punching
- prizipielle Funktionsweise -
Server teilt beteiligten Clients die ffentlichen Port-Nr. des
anderen mit
Beide Clients starten Kommunikationsversuch ber diese
Ports
Ports werden in beiden Richtungen genutzt
Firewall/ PAT-Router wird freigeschossen
M
G G
UDP Hole Punching
- ausfhrliche Funktionsweise -
1. Es existiert eine Verbindung zu externem Server (mit ffentlicher IP und Port-Nr.
2. A erhlt ffentliche Port-Nr. (und ffentlicher IP-Adresse) von B und
umgekehrt
(durch Server)
3. A sendet Paket an B mit interner Source und als Destination ffentlicher Port-Nr.
von B
NAT-Device A wird fr alle eingehenden Pakete mit Destination ffentliche Port-
Nr. A und ffentlichem Absender B geffnet
4. Das Paket scheitert an NAT B-Device
5. B sendet Paket an A mit interner Source und Destination ffentlicher Port-Nr.
von A
NAT B-Device wird fr alle eingehenden Pakete mit Destination ffentlicher Port-
Nr. von B geffnet
6. Das Paket passiert NAT A-Device (vgl. 3)
7. Antwortpaket von A passiert nun auch NAT B-Device (vgl. 5)
M
G G
UDP Hole Punching
- Beispiel (Erklrung) -
1. Existierende Verbindungen zu
externem Server S:
A (intern): Source: 4321
Destination: 1234
A (extern): Source: 62000
Destination: 1234
B (intern): Source: 4321
Destination: 1234
B (extern): Source: 31000
Destination: 1234
Grafik-Quelle: http://www.brynosaurus.com/pub/net/p2pnat/
M
G G
UDP Hole Punching
- Beispiel (Erklrung Forts.) -
2. A erhlt ffentliche Port-Nr. (und ffentlicher IP-Adresse) von B
und umgekehrt (durch Server)
3. A sendet Paket an B mit Source 4321 bzw. 62000 und Destination 31000.
NAT-Device A wird fr alle eingehenden Pakete mit Destination 62000
bzw. 4321 geffnet
4. Das Paket scheitert an NAT B-Device (noch nicht gepunched )
5. B sendet Paket an A mit Source 4321 bzw. 31000 und Destination 62000.
NAT B-Device wird fr alle eingehenden Pakete mit Destination 31000
bzw. 4321 geffnet.
6. Das Paket passiert NAT A-Device (vgl. 3).
7. Antwortpaket von A passiert nun auch NAT B (vgl. 5)
M
G G
Grafik-Quelle: http://www.brynosaurus.com/pub/net/p2pnat/
UDP Hole Punching
- Beispiel (Grafik) -
M
G G
IPsec Kommunikation ber
NAT-/ PAT-Devices
M
G G
IPsec Kommunikation ber
NAT-/ PAT-Devices
Problem:
nderungen im Header nicht mglich
(Verschlsselung)
nderungen im Header machen das Paket ungltig
(Authentifizierung)
IKE (UDP-Port-Nr.: 500) funktioniert nicht mit mehreren Rechnern
hinter NAT-Device
Lsung:
Adressumsetzung muss vor IPsec erfolgen
NAT-Traversal (NAT-T)
M
G G
NAT Traversal
NAT-T
(RFC 3947)
Untersucht ob NAT-Gerte auf Verbindungspfad existieren
berprft, ob beide Peers NAT-T untersttzen
Kapselt IP-Pakete in (Standard-)UDP-Pakete
UDP/TCP-Port-Nr.: 4500
Sendet NAT-Keep-Alive Pakete
IP TCP Daten
UDP
(port 4500)
ESP IP
NAT-T-Paket
(vgl. RFC 3948)
M
G G
Anhang
Anhang
M
G G
Kostenlose Tools
Wireshark (ehemals: Ethereal)
Netzwerk-Protokoll-Analyzer fr Windows
Download: http://www.wireshark.org bzw. http://www.ethereal.com/
Nmap
Der Portscanner (UNIX, LINUX, DOS)
Download: http://www.insecure.org/nmap/
Advanced Portscanner bzw. Advanced LAN-Scanner
Windows-Portscanner
Downloads:
http://www.radmin.com/radmin/utility/pscanner.php/ bzw. http://www.radmin.com/radmin/utility/lscan.php
Neotrace
Grafisches Traceroute-Frontend fr Windows
Download: http://www.zdnet.de/downloads/prg/e/0/de0DE0-wc.html
M
G G
Listen zu
Herstelleradressen, Typ-Feldern und DSAP/ SSAP
www.cavebear.com/CaveBear/Ethernet/vendor.html Herstellerkennung
www.cavebear.com/CaveBear/Ethernet/type.html Typ-Felder
www.cavebear.com/CaveBear/Ethernet/multicast.html Multicast-Pakete
(Adresse + Typ)
www.ethermanage.com/ethernet/enet-numbers/ieee-oui-list.html Herstellerkennung
(von IEEE mit Anschrift -
aber nicht ganz so
umfangreich)
www.ethermanage.com/ethernet/enet-numbers/ieee-lsap-list.html DSAP/ SSAP (bei
IEEE registriert)
www.ethermanage.com/ethernet/enet-numbers/cisco-lsap-list.html DSAP/SSAP (von
CISCO installiert)
M
G G
Weitere wichtige Adressen im Internet
IANA (Internet Assigned Numbers Authority): www.iana.org
Assigned Numbers: www.iana.org/numbers.html
TCP/ UDP-Port-Nr.: www.iana.org/assignments/port-numbers
Wichtige Organisationen: www.iana.org/implinks.htm
IPv4 Address Space: www.iana.org/assignments/ipv4-address-space
RFCs (RFC Editor): www.rfc-editor.org/
RFCs (Direktaufruf): ftp.isi.edu/in-notes/rfc<Nr.>.txt
Internet Standards (STD) : ftp.rfc-editor.org/in-notes/std/std1.txt
Official Internet Protocol Standards: www.rfc-editor.org/rfcxx00.html
DE-NIC: www.denic.de/
IPv6: www.computermethods.com/ipng/
802-Standards: standards.ieee.org/catalog/802info.html
Internet-Movie (Warriors of the Net) www.warriorsofthe.net/movie.html
M
G G
Literatur (Netzwerke)
Hein, Mathias: TCP/IP im Einsatz - mitp (Datacom)
ISBN 3-8266-4094-2
Hunt, Craig: TCP/ IP Netzwerk- Administration - O'Reilly,
ISBN 3-8972-1110-6
Doyle, Jeff: Routing TCP/IP - Markt und Technik (Cisco Press - CCIE
#1919)
ISBN 3-8272-533-3
Dittler, Hans Peter: IPv6 - das neue Internet Protokoll - dpunkt-
Verlag;
ISBN 3-932588-18-5
Tanenbaum, Andrew S. - Computer Networks (engl.) - Prentice Hall
ISBN 0-13-066102-3
M
G G
Literatur (Security)
Lipp, Manfred: VPN - Virtuelle Private Netzwerke. Aufbau und Sicherheit
Addison-Wesley - ISBN 978-3827322524
Honeypot Project: Know Your Enemy. Mit CD-ROM: Learning About Security Threats
Addison-Wesley ISBN: 978-0321166463

TCP Ip

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

TCP Ip

Uploaded by

Copyright:

Available Formats

Netzwerke und Sicherheit mit TCP/IP

Netzwerke und Sicherheit mit TCP/IP

You might also like