OSI-Referenzmodell

OSI-Referenzmodell - Referenzmodell für Netzwerkprotokolle

Beschreibung

Schicht	Name
7	Application‎
6	Presentation‎
5	Session‎
4	Transport
3	Network‎
2	Data Link‎
1	Physical‎

Open Systems Interconnection model (OSI)

Referenzmodell für Netzwerkprotokolle als Schichtenarchitektur

Ziele

Kommunikation über unterschiedlichste technische Systeme
Weiterentwicklung begünstigen

Entwicklung

seit 1977
1983 von der International Telecommunication Union (ITU) veröffentlicht
1984 auch von der International Organization for Standardization (ISO) als Standard veröffentlicht

Deutsche Bezeichnungen

7	Application‎	Anwendung
6	Presentation‎	Darstellung
5	Session‎	Sitzung
4	Transport	Transport
3	Network‎	Vermittlung
2	Data Link‎	Sicherung
1	Physical‎	Bitübertragung

Zuordnung zu DoD-Schichten

DoD	OSI	Name
4	7	Application‎
4	6	Presentation‎
4	5	Session‎
3	4	Transport
2	3	Network‎
1	2	Data Link‎
1	1	Physical‎

Schichten-Modell

Sieben aufeinanderfolgende Schichten

Layers mit festgelegten (diskreten) Aufgaben und klare Schnittstellen

Definierte Netzwerkprotokolle
Protokolle der gleichen Schicht sind austauschbar

Funktionen

Abstraktionsgrad nimmt von Schicht 1 bis 7 zu

Layer		Deutsch	Beschreibung
7	Application‎	Anwendung	Funktionen für Anwendungen, Dateneingabe und -ausgabe
6	Presentation‎	Darstellung	Umwandlung der systemabhängigen Daten in ein unabhängiges Format
5	Session‎	Sitzung	Steuerung der Verbindungen und des Datenaustauschs
4	Transport	Transport	Zuordnung der Datenpakete zu einer Anwendung
3	Network‎	Vermittlung	Routing der Datenpakete zum nächsten Knoten
2	Data Link‎	Sicherung	Segmentierung der Pakete in Frames und Hinzufügen von Prüfsummen
1	Physical‎	Bitübertragung	Bit zum Medium passendes Signal umwandeln, physikalische Übertragung

Dienste

In einem Computernetz werden den verschiedenen Clients Dienste unterschiedlichster Art durch andere Hosts bereitgestellt

Dabei gestaltet sich die dafür erforderliche Kommunikation komplizierter, als sie zu Beginn erscheinen mag, da eine Vielzahl von Aufgaben bewältigt und Anforderungen bezüglich Zuverlässigkeit, Sicherheit, Effizienz usw. erfüllt werden müssen
Die zu lösenden Probleme reichen von Fragen der elektronischen Übertragung der Signale über eine geregelte Reihenfolge in der Kommunikation bis hin zu abstrakteren Aufgaben, die sich innerhalb der kommunizierenden Anwendungen ergeben

Vielzahl von Aufgaben

Aufgrund dieser Vielzahl von Aufgaben wurde das OSI-Modell eingeführt

bei dem die Kommunikationsabläufe in sieben Ebenen (auch Schichten genannt) aufgeteilt werden
Dabei werden auf jeder einzelnen Schicht die Anforderungen separat umgesetzt

Instanzen

Kommunikation im OSI-Modell am Beispiel der Schichten 3 bis 5

Instanzen müssen auf Sender- und Empfängerseite nach festgelegten Regeln arbeiten

Verarbeitung von Daten ermöglichen
Die Festlegung dieser Regeln wird in einem Protokoll beschrieben und bildet eine logische, horizontale Verbindung zwischen zwei Instanzen derselben Schicht

Jede Instanz stellt Dienste zur Verfügung, die eine direkt darüberliegende Instanz nutzen kann

Zur Erbringung der Dienstleistung bedient sich eine Instanz selbst der Dienste der unmittelbar darunterliegenden Instanz
Der reale Datenfluss erfolgt daher vertikal
Die Instanzen einer Schicht sind genau dann austauschbar, wenn sie sowohl beim Sender als auch beim Empfänger ausgetauscht werden können

Design und Funktionen

Verständnis von Netzwerkprotokollen

		Sender	Empfänger
Anwendung		7 Application	7 Application
		6 Presentation‎	6 Presentation‎
		5 Session‎	5 Session‎
Transport		4 Transport	4 Transport
		3 Network‎	3 Network‎
		2 Data Link‎	2 Data Link‎
		1 Physical‎	1 Physical‎
	Media

Auf der Basis dieses Modells sind auch Netzwerkprotokolle entwickelt worden, die fast ausschließlich von Anbietern der öffentlichen Kommunikationstechnik verwendet wurden

Im privaten und kommerziellen Bereich wird hauptsächlich die TCP/IP-Protokoll-Familie eingesetzt
Das TCP/IP-Referenzmodell ist sehr speziell auf den Zusammenschluss von Netzen (internetworking) zugeschnitten

Die nach dem OSI-Referenzmodell entwickelten Netzprotokolle haben mit der TCP/IP-Protokollfamilie gemeinsam, dass es sich um hierarchische Modelle handelt

Es gibt aber wesentliche konzeptionelle Unterschiede
OSI legt die Dienste genau fest, die jede Schicht für die nächsthöhere zu erbringen hat
TCP/IP hat kein derartig strenges Schichtenkonzept wie OSI
Weder sind die Funktionen der Schichten genau festgelegt, noch die Dienste
Es ist erlaubt, dass eine untere Schicht unter Umgehung dazwischenliegender Schichten direkt von einer höheren Schicht benutzt wird

Analogie

Versand einer Nachricht an einen Geschäftspartner

Auf der Seite des Empfängers wird dieser Vorgang in umgekehrter Reihenfolge durchlaufen, bis der Geschäftspartner die Nachricht auf ein Diktiergerät gesprochen vorfindet
Diese Analogie zeigt nicht auf, welche Möglichkeiten der Fehlerüberprüfung und -behebung das OSI-Modell vorsieht, da diese beim Briefversand nicht bestehen

Akteur	OSI-Schicht
Firmenmitarbeiter / Geschäftspartner	Anwendung	Der Mitarbeiter ist mit dem Anwendungsprozess, der die Kommunikation anstößt, gleichzusetzen Er spricht die Nachricht auf ein Diktiergerät
Assistent	Darstellung	Sein Assistent bringt die Nachricht auf Papier Der Assistent wirkt somit als Darstellungsschicht
Sekretär	Sitzung	Danach gibt er die Nachricht an den Sekretär, der den Versand der Nachricht verwaltungstechnisch abwickelt und damit die Sitzungsschicht repräsentiert
Hauspostmitarbeiter	Transport	Der Hauspostmitarbeiter (gleich Transportschicht) bringt den Brief auf den Weg
Briefpost	Vermittlung	Dazu klärt er mit der Vermittlungsschicht (gleich Briefpost), welche Übertragungswege bestehen, und wählt den geeigneten aus
Verteilstelle	Sicherung	Der Postmitarbeiter bringt die nötigen Vermerke auf den Briefumschlag an und gibt ihn weiter an die Verteilstelle, die der Sicherungsschicht entspricht
Transportmittel	Bitübertragung	Von dort gelangt der Brief zusammen mit anderen in ein Transportmittel wie LKW oder Flugzeug und nach eventuell mehreren Zwischenschritten zur Verteilstelle, die für den Empfänger zuständig ist

Beispiel

TCP/IP ist effizienter als OSI-Protokolle

Nachteil bei TCP/IP ist, dass es für viele kleine und kleinste Dienste jeweils ein eigenes Netzprotokoll gibt
OSI hat dagegen für seine Protokolle jeweils einen großen Leistungsumfang festgelegt, der sehr viele Optionen hat
Nicht jede kommerziell erhältliche OSI-Software hat den vollen Leistungsumfang implementiert
Daher wurden OSI-Profile definiert, die jeweils nur einen bestimmten Satz von Optionen beinhalten
OSI-Software unterschiedlicher Hersteller arbeitet zusammen, wenn dieselben Profile implementiert sind

Die Ebenen des verbreiteten Netzwerk-Systems „TCP/IP über Ethernet“ entsprechen nicht exakt dem OSI-Modell und sind daher teilweise OSI-Schichten-übergreifend

Aufbau eines Ethernet-Frames

Maximale IPv4-/TCP-Daten

DoD-Schicht	Protokoll	SFD		Ethernet				IP	TCP	Payload	Ethernet	IFG
4	TCP							TCP-Header	Nutzlast
3	IP									IP-Header	Nutzlast
2	Ethernet			MAC-Empfänger	MAC-Absender	(Tag)	EtherType	Nutzlast (1500 bytes)			FCS
1	Ethernet +IPG	Präambel	SoF	Nutzlast (1518/1522 bytes)								IFS
Oktette	Byte	7	1	6	6	(4)	2	20	20	6–1460	4	12

Netzwerk-Architektur

Übertragungsmedien

Ethernet

Ethernet - Technik für kabelgebundene Datennetze

Beschreibung

Beschreibt, wie Netzwerkgeräte Datenpakete so formatieren und übertragen können, dass andere Geräte im gleichen lokalen oder Standort-Netzwerksegment sie erkennen, empfangen und verarbeiten können.

Ursprünglich für lokale Netzwerke gedacht (daher auch LAN-Technik).
Ermöglicht Datenaustausch in Form von Datenframes zwischen den in einem lokalen Netz (LAN) angeschlossenen Geräten.

Technik für kabelgebundene Datennetze

Bereich	Beschreibung
Software	Protokolle, Rahmenformate, …
Hardware	Kabel, Verteiler, Netzwerkkarten, …

Übertragungsraten

Spezifiziert

1, 10 Megabit/s
100 Megabit/s (Fast Ethernet)
1000 Megabit/s (Gigabit-Ethernet)
2,5, 5, 10, 25, 40, 50, 100, 200 und 400 Gigabit/s spezifiziert,

In Entwicklung

800 Gigabit/s und 1,6 Terabit/s

Ausdehnung

In seiner ursprünglichen Form erstreckt sich das LAN dabei nur über ein Gebäude; Ethernet-Standard-Varianten über Glasfaser haben eine Link-Reichweite von bis zu 80 km, proprietäre auch mehr.

Die Ethernet-Protokolle umfassen Festlegungen für Kabeltypen und Stecker sowie für Übertragungsformen (Signale auf der Bitübertragungsschicht, Paketformate).

Im OSI-Modell ist mit Ethernet sowohl die physische Schicht (OSI Layer 1) als auch die Data-Link-Schicht (OSI Layer 2) festgelegt.

Ethernet entspricht weitestgehend der IEEE-Norm 802.3

Es wurde ab den 1990ern zur meistverwendeten LAN-Technik und
hat andere LAN-Standards wie Token Ring verdrängt
oder zu Nischenprodukten für Spezialgebiete gemacht
- ARCNET in Industrie- und Fertigungsnetzen
- FDDI in hoch verfügbaren Netzwerken,

Basis für höhere Protokolle auf OSI-Layser 3

Für Anwendungen, in denen hohe Anforderungen an die Zuverlässigkeit der Kommunikation gestellt werden, kommt Echtzeit-Ethernet zum Einsatz.^[1]

Ethernet ist heute der verbreitetste Standard für lokale Netze (LANs)

Viele Hersteller unterstützen diese Art von Netzwerken mit Hard- und Software

MAC-Adresse

Jede Ethernet-Schnittstelle, also die Netzwerkkarte oder der fest eingebaute Anschluss, ist mit einer weltweit einmaligen Identifikationsnummer ausgestattet
der MAC-Adresse (für Media Access Control, einer der beiden Bestandteile der OSI-Netzzugangsschicht).
Es handelt sich um eine 48 Bit lange Zahl, die in sechs hexadezimalen Blöcken zwischen 0 und 255 (00 bis FF hex) geschrieben wird, zum Beispiel 00-A0-C9-E8-5F-64.

siehe MAC-Adresse

Frames

Die Datenpakete – auf der Netzzugangsschicht Frames genannt – werden mit den MAC-Adressen der sendenden und der empfangenden Station versehen und in der Regel an alle Stationen im Segment versandt.

Jede Station überprüft daraufhin, ob die Daten für sie bestimmt sind.
Im Übrigen kann man Ethernet-Schnittstellen auch in den »Promiscuous Mode« schalten, in dem sie ohne Unterschied alle Daten entgegennehmen.
Auf diese Weise kann der gesamte Datenverkehr in einem Netzsegment überwacht werden.

Die MAC-Adresse wird normalerweise nicht über das jeweilige Teilnetz hinaus weiterverbreitet.

Ausnahmen: Das im weiteren Verlauf des Kapitels beschriebene IPX/SPX-Protokoll verwendet die MAC-Adresse auch für die Adressierung auf der Netzwerkschicht, und die IP-Weiterentwicklung IPv6 benutzt die MAC-Adresse als Teil der 128 Bit langen IP-Adresse.

Nach außen ergäbe ihre Verwendung auch keinen Sinn, da das nächste Teilnetz auf einer Route womöglich noch nicht einmal zum Ethernet-Standard gehört.

Namensherkunft

Kompositum aus ether (englisch für Äther), das Medium zur Ausbreitung von Funkwellen, und net (englisch für Netz).
Begriff entstand um 1973 am Xerox Forschungszentrum.

Verwendung

Kommunikation von Computer, Drucker, Scanner, ...
Anbinden zentraler Speichersystemen, Überwachungssystemen, ...
Daten- und Nachrichtenverkehr

Die am meisten verwendete Netzwerktechnik (Basis für einen Großteil der Netzwerkkarten)

Data-Link-Layer

Ethernet basiert auf der Idee, dass die Teilnehmer eines LANs Nachrichten durch Hochfrequenz übertragen, allerdings nur innerhalb eines gemeinsamen Leitungsnetzes.

Jede Netzwerkschnittstelle hat einen global eindeutigen 48-Bit-Schlüssel, der als MAC-Adresse bezeichnet wird.
Tatsächlich werden MAC-Adressen teilweise mehrfach ausgegeben, aber die Hersteller versuchen durch geografische Trennungen lokale Kollisionen zu vermeiden.
Da MAC-Adressen modifizierbar sind, muss man darauf achten, keine doppelten Adressen im selben Netz zu verwenden, da es sonst zu Fehlern kommt.
Ethernet überträgt die Daten auf dem Übertragungsmedium im sogenannten Basisbandverfahren und in digitalem Zeitmultiplex.

Umwandlung in einen Datenstrom

Nachdem der Datenstrom als Folge von Bytes bereitgestellt wurde, werden nun abhängig vom physischen Medium und der Übertragungsrate ein oder mehrere Bit in einen Leitungscode kodiert, um einerseits die physischen Eigenschaften des Mediums zu berücksichtigen und andererseits dem Empfänger eine Taktrückgewinnung zu ermöglichen.

So wird, je nach Code, die erlaubte Frequenz-Bandbreite nach unten (Gleichspannungsfreiheit) und oben limitiert.

In übertragungsfreien Zeiten, also zwischen zwei Frames, kommt es definitionsgemäß zu Ruhepausen („Inter-Frame-Spacing“) mit einer gewissen Mindestlänge.

Bei physischem Halbduplex-Modus schaltet sich in dieser Zeit der Sender ab, um anderen Stationen auf dem geteilten Medium Zugriff zu ermöglichen.
Bei moderneren Medientypen mit physischem Vollduplex-Modus wird eine Trägerschwingung aufrechterhalten, die dem Empfänger ein schnelleres Aufsynchronisieren auf den Datenstrom ermöglicht.
Außerdem können in der sendefreien Zeit Out-of-Band-Informationen zwischen den Stationen ausgetauscht werden.

Bei manchen physischen Vollduplex-Medientypen wie beispielsweise 10BASE-T deaktiviert sich die Sendestation trotz exklusiven Zugriffs auf das Medium zwischen den Frames.

Hier wird die sendefreie Zeit zur Out-of-Band-Signalisierung (Link-Pulse, Fast-Link-Pulse) der Link-Parameter genutzt.

Switches

Switch - Kabelkonzentrator auf OSI-Layer 2

Beschreibung

Kommunikation zwischen Netzwerkgeräten

Switch mit 50 Ethernet-Ports

Switches verwalten den Datenfluss über ein Netzwerk, indem sie ein empfangenes Netzwerkpaket nur an das eine oder die mehrere Geräte senden, für die das Paket bestimmt ist

Jedes mit einem Switch verbundene Netzwerkgerät kann anhand seiner Netzwerkadresse identifiziert werden, sodass der Switch den Verkehrsfluss lenken und so die Sicherheit und Effizienz des Netzwerks maximieren kann

Ein Netzwerk mit zentralem Switch bildet eine Stern-Topologie.

Switch (vom Englischen für „Schalter“, „Umschalter“ oder „Weiche“, auch Netzwerkweiche oder Verteiler genannt) bezeichnet ein Kopplungselement in Rechnernetzen, das Netzwerksegmente miteinander verbindet

Es sorgt innerhalb eines Segments (Broadcast-Domain) dafür, dass die Datenpakete, sogenannte „Frames“, an ihr Ziel kommen
Im Unterschied zu einem auf den ersten Blick ähnlichen Repeater-Hub werden Frames aber nicht einfach an alle anderen Ports weitergeleitet, sondern nur an den, an dem das Zielgerät angeschlossen ist – ein Switch trifft eine Weiterleitungsentscheidung anhand der selbsttätig gelernten Hardware-Adressen der angeschlossenen Geräte

Der Begriff Switch bezieht sich allgemein auf eine Multiport-Bridge – ein aktives Netzwerkgerät, das Frames anhand von Informationen aus dem Data Link Layer (Layer 2) des OSI-Modells weiterleitet

Manchmal werden auch die präziseren Bezeichnungen Bridging Hub oder Switching Hub verwendet, im IEEE 802.3-Standard heißt die Funktion MAC Bridge. (Packet „Switching“ ist aus der leitungsvermittelnden Technik entlehnt, tatsächlich wird nichts „geschaltet“.
Der erste EtherSwitch wurde im Jahr 1990 von Kalpana eingeführt

Dass dem Switch vergleichbare Gerät auf Netzwerkschicht 1 (Layer 1) wird als (Repeater-)Hub bezeichnet

Switches, die zusätzlich Daten auf der Netzwerkschicht (Layer 3 und höher) verarbeiten, werden oft als Layer-3-Switches oder Multilayer-Switches bezeichnet und können die Funktion eines Routers erfüllen
Neben Ethernet-Switches gibt es Fibre-Channel-Switches, auch SAS-Expander werden immer häufiger als Switches bezeichnet
Fibre Channel (FC) definiert ein nicht routingfähiges Standardprotokoll aus dem Bereich der Speichernetzwerke, das als Variante von SCSI für die Hochgeschwindigkeitsübertragung großer Datenmengen konzipiert wurde
SAS (Serial Attached SCSI) ist der direkte Nachfolger der älteren parallelen SCSI-Schnittstelle

Internet Protocol

Internet Protocol (IP) - Netzwerkprotokoll auf OSI-Layer 3

Beschreibung

Internet Protocol (IP) ist ein in Computernetzen weitverbreitetes Netzwerkprotokoll und stellt durch seine Funktion die Grundlage des Internets dar

Anwendung	HTTP	IMAP	SMTP	DNS	…
Transport	TCP			UDP
Internet	IP (IPv4, IPv6)
Netzzugang	Ethernet	TokenBus	TokenRing	WLAN	…

Das Internet Protocol (IP) ist ein in Computernetzen weit verbreitetes Netzwerkprotokoll und stellt durch seine Funktion die Grundlage des Internets dar.

Das IP ist die Implementierung der Internetschicht des TCP/IP-Modells bzw. der Vermittlungsschicht (engl. Network Layer) des OSI-Modells.
IP ist ein verbindungsloses Protokoll, das heißt bei den Kommunikationspartnern wird kein Zustand etabliert.

Eigenschaften und Funktionen

Das Internet Protocol bildet die erste vom Übertragungsmedium unabhängige Schicht der Internetprotokolle

Das bedeutet, dass mittels IP-Adresse und Subnetzmaske (subnet mask) für IPv4, bzw. Präfixlänge bei IPv6, Computer innerhalb eines Netzwerkes in logische Einheiten, sogenannte Subnetze, gruppiert werden können.
Auf dieser Basis ist es möglich, Computer in größeren Netzwerken zu adressieren und ihnen IP-Pakete zu senden, da logische Adressierung die Grundlage für Routing (Wegewahl und Weiterleitung von Netzwerkpaketen) ist.

Adressvergabe

Öffentliche IP-Adressen müssen in der Regel weltweit eindeutig zugeordnet werden können, daher ist deren Vergabe durch die Internet Assigned Numbers Authority (IANA) geregelt.

Diese delegiert große Adressblöcke an die Regional Internet Registries (RIRs), welche dann Subnetze davon an Local Internet Registries (LIRs) vergeben.
Zu den LIRs gehören beispielsweise Internetprovider, die aus ihrem Adressbereich kleinere Subnetze oder einzelne Adressen an Kunden vergeben.

IPv4#Adressknappheit Bei IPv4 ist der zu vergebende Adressraum weitgehend aufgebraucht.

Die IANA hat im Februar 2011 die letzten Adressblöcke an die RIRs vergeben.

Versionsgeschichte

Im Mai 1974 veröffentlichten Vint Cerf und Bob Kahn in einer Forschungsarbeit ein Netzwerkprotokoll zur übergreifenden Kommunikation zwischen unterschiedlichen paketvermittelten Netzen.

In dem Modell führen Endgeräte () ein „Übertragungskontrollprogramm“ ( – TCP) aus, das die Übermittlung eines kontinuierlichen Datenstroms zwischen Prozessen sicherstellt. Gateways übernehmen die Umformung von Paketen an Netzwerkgrenzen.

Die erste vollständige Protokollspezifikation erschien mit RFC 675 im Dezember 1974. Das monolithische Übertragungskontrollprogramm wurde später in eine Modularchitektur geteilt, die aus dem Internetprotokoll () zur Host-zu-Host-Kommunikation und dem Übertragungskontrollprotokoll ( – TCP) zur Prozess-zu-Prozess-Kommunikation bestand.

Das Modell wurde bekannt als TCP/IP-Referenzmodell.

Beide Protokolle wurden mehrfach überarbeitet, ehe sie zum praktischen Einsatz kamen.

Neben der finalen Bezeichnung als „Internet Protocol“ wurde in Entwürfen auch „Internetwork Protocol“,verwendet.
Bei größeren Änderungen des IP-Headers wurde eine im Header enthaltene Versionsnummer hochgezählt.
Bei der Einführung von TCP/IP im ARPANET am 1. Januar 1983 trugen IP-Pakete daher die Versionsnummer 4.
Vorherige Versionen waren nicht verbreitet.

Im ersten Protokollentwurf war ein Adressierungsschema variabler Länge vorgesehen, bestehend aus einer mindestens 4 Bit langen Netzadresse, einer 16 Bit langen Hostadresse und einer 24 Bit langen Portnummer. Später wurden IP-Adressen auf 32 Bit festgelegt, bestehend aus 8 Bit Netzadresse und 24 Bit Hostadresse. Die Portnummer wurde zu TCP verschoben und auf 16 Bit gekürzt.

Mit RFC 791 wurden Netzklassen eingeführt, um mehr Flexibilität bei der Aufteilung einer IP-Adresse in Netz- und Hostteil zu haben. Subnetting war zu dem Zeitpunkt noch nicht vorgesehen. Jon Postel kümmerte sich um die Vergabe von Netzadressen – eine Rolle, die später als Internet Assigned Numbers Authority bezeichnet wurde.

Mit der sich abzeichnenden Knappheit von IP-Adressen begann Anfang der 1990er Jahre die Entwicklung eines Nachfolgeprotokolls.

Zur Unterscheidung wurde das etablierte Internetprotokoll entsprechend der Versionsnummer im IP-Header als IPv4 und das neue Internetprotokoll als IPv6 bezeichnet.
Die wichtigste Neuerung ist der erheblich größere Adressraum: gegenüber den 32-Bit-Adressen bei IPv4 (ergibt ca. 4 Milliarden, oder 4,3·10⁹ Adressen) verwendet IPv6 128-Bit-Adressen (ergibt ca. 340 Sextillionen, oder 3,4·10³⁸ Adressen).

IPv5

Die Versionsnummer 5 war durch das experimentelle Internet Stream Protocol belegt, das nicht als Nachfolger, sondern als Ergänzung parallel zum Internetprotokoll gedacht war.

Das Internet Stream Protocol wurde später aufgegeben ohne eine nennenswerte Verbreitung erlangt zu haben.
Die Versionsnummern 7 bis 9 wurden für verschiedene Vorschläge eines IPv4-Nachfolgers verwendet, die jedoch zugunsten von IPv6 aufgegeben wurden.

Verbreitung von IPv6
Die Verbreitung von IPv6 nimmt langsam zu, liegt jedoch hinter der Verbreitung von IPv4.

Gängige Betriebssysteme und Standardsoftware unterstützen beide Protokolle. Übergangsmechanismen ermöglichen den gleichzeitigen Betrieb von IPv4 und IPv6 auf derselben Infrastruktur.
Seit dem World IPv6 Day und World IPv6 Launch Day 2011 und 2012 bieten namhafte Websites und Internetprovider IPv6 an.

Zuverlässigkeit

Designgrundsätze

Die Designgrundsätze der Internetprotokolle nehmen an, dass die Netzinfrastruktur an jedem einzelnen Netzelement oder Übertragungsmedium von Natur aus unzuverlässig ist.

Auch setzen diese voraus, dass sich die Infrastruktur in Bezug auf Verfügbarkeit von Verbindungen und Knoten dynamisch verhält.
Um jedoch die Netzinfrastruktur aufrechtzuerhalten, wird das Hauptaugenmerk der Datenübertragung vorsätzlich größtenteils auf den Endknoten jeder einzelnen Datenübermittlung gelegt.
Router im Übertragungspfad schicken Datenpakete nur zu direkt erreichbaren und bekannten Übergängen, die die für den Bestimmungsort festgelegten Adressen vom Routenplanungspräfix vergleichen.

Demzufolge stellen diese Internetprotokolle nur beste Übergänge zur Verfügung, wodurch diese Dienste als unzuverlässig charakterisiert werden.

Das IP ist verbindungslos, jedes einzelne Datenpaket wird unabhängig behandelt.
Da jeder einzelne Übermittlungsweg eines Datenpaketes neu definiert wird (dynamisch), ist es möglich, dass die Pakete auf verschiedenen Pfaden zu ihrem Bestimmungsort gesendet werden.

Die Internetprotokoll-Version 4 (IPv4) stellt den benötigten Schutz zur Verfügung, um sicherzustellen, dass der Protokollkopf jedes Datenpaketes fehlerfrei ist.

Ein Routenplanungsknoten berechnet eine Prüfsumme für den Paketkopf.
Wenn die Prüfsumme ungültig ist, verwirft der Routenplanungsknoten das Paket.
Der Routenplanungsknoten muss keinen Endknoten bekannt geben, obwohl das Internetkontrollnachrichtenprotokoll (ICMP) solche Ankündigungen erlaubt.
Im Gegensatz dazu verfügt die Internetprotokoll-Version 6 (IPv6) über keine Prüfsumme, was zu einer schnelleren Verarbeitung während der Routenplanung führt.

Alle Fehlerquellen im Übertragungsnetz müssen entdeckt und mithilfe der Übertragung auf Endknoten ersetzt werden.

Die oberen Schicht-Protokolle der Internetprotokoll-Familie sind dafür verantwortlich, Zuverlässigkeitsprobleme aufzulösen.
Zum Beispiel kann ein Host Daten zurückhalten und eine Richtigstellung durchführen, bevor die Daten an den jeweiligen Empfänger geliefert werden.

Linkkapazität und Leistungsfähigkeit

Selbst wenn der Übermittlungspfad verfügbar und zuverlässig ist, besteht wegen der dynamischen Natur und der Heterogenität des Internets und seiner Bestandteile keine Garantie, dass auch tatsächlich jeder dieser einzelnen Pfade fähig ist, eine Datenübermittlung durchzuführen.

Zum Beispiel stellt die erlaubte Übermittlungsgröße der jeweiligen Datenpakete eine technische Einschränkung dar.
Jede Anwendung muss versichern, dass richtige Übertragungseigenschaften verwendet werden.

Ein Teil dieser Verantwortung liegt auch in den oberen Schicht-Protokollen.

IPv6 verwendet die Fähigkeit, die maximale Übertragungseinheitsgröße einer lokalen Verbindung, sowie den dafür komplett geplanten Pfad zum Bestimmungsort zu untersuchen.
Die IPv4-Zwischennetzwerkanschlussschicht hat die Fähigkeit ursprünglich, große Datenpakete automatisch in kleinere Einheiten für die Übertragung zu zerlegen.

Das Transmission Control Protocol (TCP) ist ein Beispiel eines Protokolls, das seine Segment-Größe reguliert, um kleiner als der maximal erlaubte Durchfluss, die Maximum Transmission Unit (MTU), zu sein.

Das User Datagram Protocol (UDP) und das Internet Control Message Protocol (ICMP) ignorieren jedoch die MTU-Größe, wodurch das IP gezwungen wird, übergroße Datenpakete zu splitten.

Router

Router - Aktive Netzwerk/Hardware auf OSI-Layer 3

Beschreibung

Verbindung von Netzwerken auf OSI-Layer 3

IP-Pakete an ihre Ziele weiterleiten
Router stellen eine Verbindung zwischen zwei oder mehr IP-Netzwerken oder mehr IP-Netzwerken oder Subnetzwerken her
Arbeitet auf der 3. Schicht im OSI-Modell (Vermittlungsschicht)

Einsatz

Kopplung von Netzwerksegmenten
Internetanbindung
Sicheren Kopplung mehrerer Standorte (Virtual Private Network)

Anpassung an Netzwerktechniken

Weiterleitungsentscheidung

Router treffen ihre Weiterleitungsentscheidung anhand von Informationen aus der Netzwerk-Schicht 3 (für das IP-Protokoll ist das der Netzwerkanteil in der IP-Adresse).
Viele Router übersetzen zudem zwischen privaten und öffentlichen IP-Adressen (Network Address Translation (NAT) bzw. Port Address Translation (PAT)) oder bilden Firewall-Funktionen durch ein Regelwerk ab.
Die für die Kopplung von Heimnetzwerken ans Internet ausgelegten Router nennt man auch Internetrouter

Router-Arten

DSL-Router

Ein Router, der einen PPPoE-Client zur Einwahl in das Internet via xDSL eines ISPs beinhaltet und gegenwärtig Network Address Translation (NAT) in IPv4-Netzen zur Umsetzung einer öffentlichen IPv4-Adresse auf die verschiedenen privaten IPv4-Adressen des LANs beherrscht, wird als DSL-Router bezeichnet.

Häufig sind diese DSL-Router als Multifunktionsgeräte mit einem Switch, einem WLAN Access Point, nicht selten mit einer kleinen TK-Anlage, einem VoIP-Gateway oder einem DSL-Modem (xDSL jeglicher Bauart) ausgestattet.

Firewall-Funktionalität in DSL-Routern

Fast alle DSL-Router sind heute NAT-fähig, mithin in der Lage Netzadressen zu übersetzen.

Weil ein Verbindungsaufbau aus dem Internet auf das Netz hinter dem NAT-Router nicht ohne weiteres möglich ist, wird diese Funktionalität von manchen Herstellern bereits als NAT-Firewall bezeichnet, obwohl nicht das Schutzniveau eines Paketfilters erreicht wird.^[2] Die Sperre lässt sich durch die Konfiguration eines Port Forwarding umgehen, was für manche Virtual Private Network- oder Peer-to-Peer-Verbindungen notwendig ist.
Zusätzlich verfügen die meisten DSL-Router für die Privatnutzung über einen rudimentären Paketfilter, teilweise auch stateful.
Diese Paketfilter kommen bei IPv6 zum Einsatz.
Wegen des Wegfalls von NAT wird Port Forwarding wieder zu einer einfachen Freigabe des Ports.
Als Betriebssystem kommt auf vielen Routern dieser (Konsumer-)Klasse Linux und als Firewall meist iptables zum Einsatz.
Einen Content-Filter enthalten solche Produkte zumeist nicht.
Eine wohl sichere Alternative sind freie Firewall-Distributionen auf Basis wohl sichererer Betriebssysteme, zum Beispiel OPNsense.

WLAN-Router

Die Kombination aus Wireless Access Point, Switch und Router wird häufig als WLAN-Router bezeichnet.

Das Routing findet zwischen mindestens zwei Netzen, meist dem Wireless Local Area Network (WLAN) und Wide Area Network (WAN) oder zwischen Local Area Network (LAN) und Wide Area Network (WAN) statt.

Die Kombination aus Wireless Access Point, Switch und Router wird häufig als WLAN-Router bezeichnet.

Das ist solange korrekt, wie es Ports für den Anschluss mindestens eines zweiten Netzes, meist einen WAN-Port, gibt.
Das Routing findet zwischen den mindestens zwei Netzen, meist dem WLAN und WAN statt (und falls vorhanden zwischen LAN und WAN).
Fehlt dieser WAN-Port, handelt es sich lediglich um Marketing-Begriffe, da reine Access Points auf OSI-Ebene 2 arbeiten und somit Bridges und keine Router sind.
Häufig sind WLAN-Router keine vollwertigen Router, da sie oft die gleichen Einschränkungen wie DSL-Router (PPPoE, NAT) haben.
Bei IPv6 entfällt bei diesen Geräten NAT.
Falls noch zusätzlich Tunnelprotokolle wie 6to4 verwendet werden, müssen sie auch beherrscht werden.

Sicherheit

Sofern möglich, sollte die derzeit sicherste WPA2-Kryptografiesstufe gewählt werden.

Wenn diese vom Router nicht unterstützt wird, kann auf die nächstsicherste WPA+WPA2-Kryptografie zurückgegriffen werden.

Da die voreingestellten Standard-Passwörter mithilfe der BruteForce Mehtode recht leicht zu knacken sind, sollte man eigene Router- und WLAN-Passwörter wählen.

Den voreingestellten Netzwerknamen sollte man ebenfalls ändern, da anhand dessen das Router-Modell leichter zu identifizieren ist und mögliche Sicherheitslücken ausgenutzt werden können.

Falls ein Router über eine integrierte Firewall verfügt und diese noch nicht aktiv ist, sollte man diese aktivieren.

Da Hacker häufig gezielt nach offenen Ports suchen, um über diese Malware einzuschleusen, sollten nicht benötigte offene Ports geschlossen werden.
Diese Ports können zum Beispiel durch einen Port-Scanner gefunden werden.

Schutzmaßnahmen bei DSL- und WLAN-Routern

Bei entdeckten Programmierfehlern kann ein Router-Hersteller ein neues Software-Update bereitstellen, um nachzubessern bzw. Sicherheitslücken zu schließen.

Wird der Router dann nicht auf den neuesten Stand gebracht, gefährdet man die eigene Netzwerksicherheit zusätzlich.
Daher ist es auch zum Schutz der persönlichen Daten unerlässlich, dass in regelmäßigen Abständen ein Software-Update durchgeführt wird.

Weitere Maßnahmen, um Router zu schützen:

nur aktuelle WLAN-Kryptografieen (WPA3 oder WPA2) verwenden
vom Hersteller vorgegebene Passwörter ändern, nur sichere Passwörter wählen
die SSID umbenennen
Deaktivieren von WPS und der Fernadministration
Deaktivieren von UPnP-Funktionen, die beliebiger Software das Öffnen von Netzwerkports ermöglicht
Absichern von Diensten, die per Portweiterleitung aus dem Internet erreicht werden können
eine leistungsfähige (dedizierte) stateful-Firewall wie pfSense oder OPNsense (letztere mit ASLR und LibreSSL) mit einem reinen DSL-Modem^[3]^[4]

Backbone-Router

Der Backbone Router ist ein Hochgeschwindigkeitsrouter.

Er ist mit einem Datendurchsatz von mehreren Terabit pro Sekunde auf das Weiterleiten von Paketen optimiert.
Sie werden meistens in Rechenzentren oder großen Unternehmen verwendet.
Die benötigte Rechenleistung wird zu einem beträchtlichen Teil durch spezielle Netzwerkinterfaces dezentral erbracht.
Die einzelnen Ports oder Interfaces können unabhängig voneinander Daten empfangen und senden.
Meist sind solche Geräte für den Dauerbetrieb ausgelegt (Verfügbarkeit von annähernd 100%) und besitzen redundante Hardware (Netzteile), um Ausfälle zu vermeiden.

Die Hochgeschwindigkeitsrouter (auch Carrier-Class-Router) im Internet (oder bei großen Unternehmen) sind heute hochgradig auf das Weiterleiten von Paketen optimierte Geräte, die viele Terabit Datendurchsatz pro Sekunde in Hardware routen können.

Die benötigte Rechenleistung wird zu einem beträchtlichen Teil durch spezielle Netzwerkinterfaces dezentral erbracht, ein zentraler Prozessor (falls überhaupt vorhanden) wird nicht oder nur sehr wenig belastet.
Die einzelnen Ports oder Interfaces können unabhängig voneinander Daten empfangen und senden.
Sie sind entweder über einen internen Hochgeschwindigkeitsbus (Backplane) oder kreuzweise miteinander verbunden (Matrix).
Meist sind solche Geräte für den Dauerbetrieb ausgelegt (Verfügbarkeit von 99,999 % oder höher) und besitzen redundante Hardware (Netzteile), um Ausfälle zu vermeiden. Üblich ist es auch, alle Teilkomponenten im laufenden Betrieb austauschen oder erweitern zu können (hot plug).
In den frühen Tagen der Rechnervernetzung war es dagegen üblich, handelsübliche Workstations als Router zu benutzen, bei denen das Routing per Software implementiert war.

Border-Router

Internet Service Provider nutzen Border Router, die vorwiegend das Routing-Protokoll BGP für die Kopplung mit Netzen anderer Provider verwenden.

Mit diesem Routing-Protokoll lässt sich der Austausch von Routen optimal steuern.

Ein Border-Router oder Edge-Router kommt meistens bei Internetdienstanbietern (Internet Service Provider) zum Einsatz.

Er muss die Netze des Teilnehmers, der ihn betreibt, mit anderen Peers (Partner-Routern) verbinden.
Auf diesen Routern läuft überwiegend das Routing-Protokoll BGP.

Zur Kommunikation zwischen den Peers kommt meist das Protokoll EBGP (External Border Gateway Protocol) zum Einsatz.

Dieses ermöglicht dem Router den Datentransfer in ein benachbartes autonomes System.

Um den eigenen Netzwerkverkehr zu priorisieren, setzen die Betreiber oft Type of Service Routing und Methoden zur Überwachung der Quality of Service (QoS) ein.

High-End-Switches

Bei manchen Herstellern (beispielsweise bei Hewlett-Packard) finden sich die Hochgeschwindigkeitsrouter (auch Carrier-Class-Router, Backbone-Router oder Hardware-Router) nicht unter einer eigenen Rubrik Router.

Router werden dort gemeinsam mit den besser ausgestatteten Switches (Layer-3-Switch und höher, Enterprise Class) vermarktet.
Das ist insoweit logisch, als Switches ab dem gehobenen Mittelklasse-Bereich praktisch immer die Routingfunktionalität beherrschen.
Technisch sind das Systeme, die, ebenso wie die als Router bezeichneten Geräte, hochgradig auf das Weiterleiten von Paketen (Router: anhand der OSI-Schicht-3-Adresse wie die IP-Adresse, Switch: anhand der OSI-Schicht-2-Adresse, der MAC-Adresse) optimiert sind und viele Gigabit Datendurchsatz pro Sekunde bieten.
Sie werden per Managementinterface konfiguriert und können wahlweise als Router, Switch und natürlich im Mischbetrieb arbeiten.
In diesem Bereich verschwimmen auch finanziell die Grenzen zwischen beiden Geräteklassen mehr und mehr.

Software-Router

Anstatt spezieller Routing-Hardware können gewöhnliche PCs und Server als Router eingesetzt werden.

Die Funktionalität wird vom Betriebssystem übernommen und sämtliche Rechenoperation von der CPU ausgeführt.
Der entscheidende Nachteil von Software-Routern auf PC-Basis ist der hohe Stromverbrauch.

Software-Router

Anstatt spezieller Routing-Hardware können gewöhnliche PCs, Laptops, Nettops, Unix-Workstations und -Server als Router eingesetzt werden.

Die Funktionalität wird vom Betriebssystem übernommen und sämtliche Rechenoperation von der CPU ausgeführt.
Alle POSIX-konformen Betriebssysteme beherrschen Routing von Haus aus und selbst MS-DOS konnte mit der Software KA9Q von Phil Karn mit Routing-Funktionalität erweitert werden.

Windows bietet in allen NT-basierten Workstation- und Server-Varianten (NT 3.1 bis Windows 10 / Server 2019) ebenfalls Routing-Dienste.

Die Serverversion von Apples Mac OS X enthält Router-Funktionalität.

Das freie Betriebssystem OpenBSD (eine UNIX-Variante) bietet neben den eingebauten, grundlegenden Routingfunktionen mehrere erweiterte Routingdienste, wie OpenBGPD und OpenOSPFD, die in kommerziellen Produkten zu finden sind.

Der Linux-Kernel enthält umfassende Routing-Funktionalität und bietet sehr viele Konfigurationsmöglichkeiten, kommerzielle Produkte sind nichts anderes als Linux mit proprietären Eigenentwicklungen.
Es gibt ganze Linux-Distributionen, die sich speziell für den Einsatz als Router eignen, beispielsweise Smoothwall, IPFire, IPCop oder Fli4l.
Einen Spezialfall stellt OpenWrt dar, diese erlaubt es dem Benutzer eine Firmware zu erstellen, die auf einem embedded Gerät läuft und sich über SSH und HTTP konfigurieren lässt.

Der entscheidende Nachteil von Software-Routern auf PC-Basis ist der hohe Stromverbrauch.

Gerade im SoHo-Bereich liegen die Stromkosten innerhalb eines Jahres höher als der Preis für ein eingebettetes Gerät.

Software- oder Hardware-Router

Generell leisten Software-Router überwiegend im nicht professionellen Umfeld wertvolle und umfangreiche Dienste.

Allgemein gibt es für Software-Router zwei unterschiedliche Implementierungsarten, zum einen dedizierte Router, dabei wird ein PC, eine Workstation oder ein Server so gut wie ausschließlich als Router eingesetzt (häufig als DHCP-, DNS-Server oder Firewall); zum anderen nicht dedizierte Router, hier übernimmt ein Server zusätzlich zu seinen bestehenden Aufgaben noch das Routing.
Beide Systeme sind für den performance-unkritischen Bereich gut geeignet und können mit professionellen Lösungen, vor allem was die Kosten angeht, konkurrieren, in der Leistungsfähigkeit sind sie meist unterlegen.

Das liegt unter anderem daran, dass solche Systeme bislang häufig noch auf einem klassischen PCI-Bus mit 32-Bit Busbreite und 33-MHz-Taktung (PCI/32/33) beruhten. Über einen solchen Bus lassen sich theoretisch 1 GBit/s (1000 MBit/s, entspricht etwa 133 MByte/s) im Halb-Duplex-Modus (HDX) leiten; da die Netzwerkpakete den PCI-Bus in diesem Fall zweimal passieren, (Karte–PCI–Arbeitsspeicher–CPU–Arbeitsspeicher–PCI–Karte) reduziert sich der maximal routbare Datenstrom eines darauf basierenden Software-Routers auf etwa 0,5 GBit/s.

Ethernet wird heute fast immer geswitcht und im Voll-Duplex-Modus FDX betrieben, damit kann beispielsweise Gigabit-Ethernet, obwohl es Namen wie 1 GBit/s Ethernet, 1GbE oder 1000BASE-T anders vermuten lassen, bereits 2 GBit/s (je 1GbE in jede Richtung) übertragen.
Daraus folgt, dass ein System auf PCI/32/33-Basis die netzwerkseitig theoretisch mögliche maximale Übertragungsrate von 2 GBit/s keinesfalls erreichen kann.
Systeme mit einem PCI/64/66-Bus können busseitig etwa 4 GBit/s leisten, gerade ausreichend für die Spitzenlast zweier 1GbE-Schnittstellen im FDX-Modus.
Noch höherwertige klassische (legacy) Server-Systeme verfügen über schnellere Schnittstellen (PCI-X 266 oder besser), sowie über mehrere unabhängige PCI-Busse.
Sie können ohne Probleme höhere Durchsatzraten erzielen, aber haben typischerweise einen hohen Energieverbrauch.
Weshalb besonders im dedizierten Routerbetrieb, die Kosten-Nutzen-Frage steht.
Hardware-Router mit spezialisierten CPUs und anwendungsspezifisch arbeitenden Chipsätzen (anwendungsspezifische integrierte Schaltung kurz ASIC) schaffen das weitaus energieeffizienter.

Erst durch die Einführung von PCI Express (mit 2 GBit/s bei Version 1.x und 4 GBit/s pro Lane bei Version 2.x im FDX-Modus – und mehr) steht auch bei Standard-PCs eine ausreichende Peripherie-Transferleistung für mehrere 1GbE-Verbindungen (auch 10GbE) zur Verfügung, so dass sich energieeffiziente, durchsatzstarke Software-Router aus preiswerter Standardhardware bauen lassen.

Da bislang alle Werte theoretischer Art sind und in der Praxis nicht nur Daten durch den Bus geleitet werden, sondern Routing-Entscheidungen getroffen werden müssen, wird ein Software-Router möglicherweise weiter an Leistung einbüßen.
Vorsichtigerweise sollte in der Praxis nur von der Hälfte des theoretisch möglichen Datendurchsatzes ausgegangen werden.
Bei solchen Datenraten ist mit einem Software-Router zumindest das Kosten-Leistung-Verhältnis gut und ausreichend.

Hardware-Router aus dem High-End-Bereich sind, da sie über spezielle Hochleistungsbusse oder „cross bars“ verfügen können, in der Leistung deutlich überlegen – was sich auch im Preis widerspiegelt.

Zusätzlich sind diese Systeme für den ausfallsicheren Dauerbetrieb ausgelegt (Verfügbarkeit von 99,999 % und höher).
Einfache PCs können da nicht mithalten, hochwertige Server und Workstations verfügen ebenfalls über redundante Komponenten und eine für viele Anwendungsfälle ausreichend hohe Ausfallsicherheit.

Manche so genannte Hardware-Router bestehen tatsächlich aus PC-Komponenten.

Lediglich das Gehäuse oder die zum Teil mechanisch veränderten PCI-Steckplätze und das „kryptische“ Betriebssystem erwecken den Anschein, es handle sich um Spezialsysteme.
Zwar arbeiten diese Systeme meist sehr robust und zuverlässig, dennoch wird das Routing per Software durchgeführt.

Routing-Cluster

Um beispielsweise 1GbE- oder 10GbE-Netze performant routen zu können, wird nicht unbedingt ein hochpreisiger Hardware-Router benötigt.

Geringe Einbußen bei der Übertragungs-Geschwindigkeit vorausgesetzt, lassen sich Routing-Cluster einsetzen.
Dieser kann aus je einem Software-Router (etwa als Workstation mit zwei PCI Express 10GbE-LAN-Karten) pro Ethernet-Strang aufgebaut sein.
Die Software-Router werden über einen professionellen Switch mit genügend vielen Ports und entsprechend hoher Durchsatzrate (einige Hundert GBit/s) miteinander verbunden.
Im Unterschied zu Netzen mit zentralem Backbone entspricht die maximale Datendurchsatzrate des gesamten Routing-Clusters der maximalen Durchsatzrate des zentralen Switches (einige Hundert GBit/s).
Optional können die Cluster redundant (per High-Availability-Unix oder HA-Linux) ausgelegt sein.
Solche Cluster-Systeme benötigen zwar relativ viel Platz und erreichen nicht die Leistung und Zuverlässigkeit von Hochgeschwindigkeitsroutern, dafür sind sie höchst modular, gut skalierbar, vergleichsweise performant und dennoch kostengünstig.
Sie werden eingesetzt, wo Kosten höher als Leistung bewertet werden, beispielsweise in Schulen oder Universitäten.

Firewall

Firewall - Paketfilter

Beschreibung

Eine Firewall (von englisch firewall [ˈfaɪəwɔːl] „die Brandmauer“) ist ein Sicherungssystem, das ein Netzwerk oder einen einzelnen Computer vor unerwünschten Netzwerkzugriffen schützt und ist weiter gefasst auch ein Teilaspekt eines Sicherheitskonzepts

Jedes Firewall-Sicherungssystem basiert auf einer Softwarekomponente

Die Firewall-Software dient dazu, den Netzwerkzugriff zu beschränken, basierend auf Absender- oder Zieladresse und genutzten Diensten
Sie überwacht den durch die Firewall laufenden Datenverkehr und entscheidet anhand festgelegter Regeln, ob bestimmte Netzwerkpakete durchgelassen werden oder nicht
Auf diese Weise versucht sie, unerlaubte Netzwerkzugriffe zu unterbinden

Datei:Grafik2.png

Abhängig davon, wo die Firewall-Software installiert ist, wird unterschieden zwischen einer Personal Firewall (auch Desktop Firewall) und einer externen Firewall (auch Netzwerk- oder Hardware-Firewall genannt)

In Abgrenzung zur Personal Firewall arbeitet die Software einer externen Firewall nicht auf dem zu schützenden System selbst, sondern auf einem separaten Gerät, welches Netzwerke oder Netzsegmente miteinander verbindet und dank der Firewall-Software gleichzeitig den Zugriff zwischen den Netzen beschränkt

In diesem Fall kann ‚Firewall’ auch als Bezeichnung für das komplette System stehen (ein Gerät mit der beschriebenen Funktion)

Die Funktion einer Firewall besteht nicht darin, Angriffe zu erkennen

Sie soll ausschließlich Regeln für die Netzwerkkommunikation umsetzen
Für das Aufspüren von Angriffen sind sogenannte IDS-Module zuständig, welche durchaus auf einer Firewall aufsetzen können
Sie gehören jedoch nicht zum Firewall-Modul

Die externe Firewall befindet sich zwischen verschiedenen Rechnernetzen

In diesem Beispiel beschränkt sie den Netzwerkzugriff des Internets (externes Netz; WAN) auf das private (in sich geschlossene) Netz (internes Netz; LAN)
Sie tut dies, indem sie beispielsweise (Antwort-)Pakete durchlässt, die aus dem internen Netz heraus angefordert wurden und alle anderen Netzwerkpakete blockiert

Datei:Grafik3.png

Die Software der Personal Firewall läuft auf dem zu schützenden Computersystem und beschränkt dort den Zugriff auf Netzwerkdienste des Computers

Abhängig vom Produkt kann sie zudem versuchen, innerhalb ihrer Grenzen den unerlaubten Zugriff von Anwendungen auf das Netz zu unterbinden

Eine Firewall ist eine Software, die unbefugten Zugriff auf ein Netzwerk verhindern soll

eine Netzwerksicherheitsvorrichtung
die eingehenden und ausgehenden Netzwerkverkehr überwacht
fungiert als Barriere zwischen geschützten & kontrollierten Bereichen und externen Netzwerken, wie dem Internet
entscheidet auf der Grundlage von Regeln, ob ein bestimmter Datenverkehr blockiert oder zugelassen wird
kann auf dedizierter Hardware oder als Softwarekomponente implementiert sein
bietet Schutz für einzelne Rechner, Server oder ganze IT-Umgebungen
kann eingesetzt werden, um das interne Netz zu strukturieren und verschiedene Sicherheitszonen zu schaffen
kann den Netzwerksverkehr und die Firewall-Aktivitäten protokollieren (Beweissicherung & Verbesserung der Regelsätze)
bietet die Möglichkeit, interne Strukturen eines Netzwerks zu verbergen (NAT)

Historie

Benennung wird Steven M. Bellovin von AT&T zugeschrieben
Der Begriff Firewall für das Filtern unerwünschten Netzwerkverkehrs wurde erstmals um 1987 verwendet
Name ist eine Metapher, die Firewalls mit Trennwänden vergleicht, um zu verhindern, daß ein Feuer auf ein anderes Gebäude übergreifen kann
Bilden seit über 25 Jahren die erste Verteidigungslinie beim Schutz von Netzwerken

Was ist eine Firewall?

Auf Software basierendes Sicherungssystem
Ein Paketfilter
Schützt vor unerwünschten Netzwerkzugriffen
Beschränkt Netzwerkzugriff
Überwacht Datenverkehr
Entscheidet anhand festgelegter Regeln, ob Netzwerkpakete durchgelassen werden

Firewall-Typen

Personal Firewall

Auf einem Anwender-Computer installierte Firewall-Software

Auch Desktop Firewall genannt
Unterbindet ungewollte Zugriffe auf Netzwerkdienste des Computers
Kann Anwendungen davon abzuhalten, ohne das Einverständnis des Anwenders mit der Außenwelt zu kommunizieren
prädestiniert für den privaten Gebrauch - kostengünstig und können auch von unerfahrenen Benutzern konfiguriert werden

Externe Firewall

Kombination aus Hardware- & Software-Komponenten

Auch Netzwerk- oder Hardware-Firewall genannt
Kombination aus Hardware- & Software-Komponenten
eigenständiges Gerät, das verschiedene Netze miteinander verbindet
wesentlich komplexer als Personal-Firewalls
geringere Manipulationsgefahr, da die Software nicht auf dem zu schützenden System läuft
liegt zwischen dem LAN (dem lokalen Netzwerk) und dem WAN (das Internet)
beschränkt die Verbindung zwischen zwei Netzen
unterbindet unerlaubte Zugriffe von außen auf das interne System

Firewall-Technologien

Firewall/Technologien

Demilitarized Zone (DMZ)

Demilitarisierte_Zone

VLAN

Virtual Local Area Network (VLAN) - unterteilt ein physikalisches Netzwerk in mehrere logische Netzwerke

Beschreibung

Logisches Teilnetz

Netzsegment
- Switches
- eines gesamten physischen Netzes

Es kann sich über mehrere Switches hinweg ausdehnen

Ein VLAN trennt physische Netze in Teilnetze auf, indem es dafür sorgt, dass VLAN-fähige Switches Frames (Datenpakete) nicht in ein anderes VLAN weiterleiten (obwohl die Teilnetze an gemeinsamen Switches angeschlossen sein können).
Sind in eigene Subnetze eingeteilt.
So bildet jedes VLAN eine eigene Broadcast-Domain.
Kommunikation zwischen VLANs ist nur über einen Router möglich, der die VLANs verbindet.
Konfigurierbare Switches mit VLAN-Unterstützung.

Motivation

Lokale Netze werden mit aktiven Komponenten aufgebaut, OSI-Ebene 2

In der Regel sind diese Komponenten Switches
Durch die heute gängigen Switch-Implementierungen
welche die Anschlüsse üblicherweise im Vollduplex-Modus betreiben
kollisionsfrei arbeiten
können auch sehr große, aber dennoch performante LANs mit einigen hundert oder tausend Stationen aufgebaut werden.

Gründe für die Unterteilung solcher Netze kann grundsätzlich aus mehreren Gründen wünschenswert sein

Flexibilität

bei der Zuordnung von Endgeräten zu Netzsegmenten, unabhängig vom Standort der Basisstation.

Performance-Aspekte

So kann etwa ein bestimmter Datenverkehr wie VoIP in einem VLAN erfolgen, das bei der Übertragung priorisiert wird.
Häufig möchte man jedoch einfach nur Broadcast-Domänen verkleinern, damit sich Broadcasts nicht über das gesamte Netz ausbreiten

Sicherheitsaspekte

VLANs können Netze gegen Ausspionieren und Abhören besser absichern als Switch-basierte Netze.
Switch-basierten Netzen wurde früher ein Sicherheitsvorteil zugesprochen; dieser ist heute de facto nicht mehr gegeben, da für sie eine Vielzahl von Angriffsmöglichkeiten existieren wie zum Beispiel MAC-Flooding oder MAC-Spoofing.
VLANs hingegen sind robuster, da zur Verbindung der VLANs Router zum Einsatz kommen, die gegen Layer-2-Attacken systembedingt unempfindlich sind.
Zusätzlich bietet Routing die Möglichkeit, Firewalls auf Layer-3-Basis einzusetzen, wodurch sich eine größere Auswahl an Firewallsystemen erschließt (denn Layer-2-basierte Firewalls sind vergleichsweise selten).
Vorsicht ist aber besonders bei dynamischen VLANs bzw. bei Systemen geboten, die im automatischen Lernmodus (siehe Switch-Typen) arbeiten.
Diese lassen sich analog zu Switches ebenfalls kompromittieren und können so den vorgesehenen Sicherheitsgewinn von VLAN-Implementierungen unwirksam machen.

Die beiden letztgenannten Aspekte könnten auch durch eine entsprechende Verkabelung und den Einsatz mehrerer Switches und Router erreicht werden.

Durch den Einsatz von VLANs lässt sich dies jedoch unabhängig von der meist vorhandenen und nur mit großem Aufwand erweiterbaren physischen Verkabelung verwirklichen, was neben einer erhöhten Flexibilität auch wirtschaftlich sinnvoll sein kann: VLAN-fähige Geräte sind zwar durchaus teurer, ersetzen unter Umständen aber mehrere Einzelgeräte.
Einrichtung in logischen Gruppen innerhalb des physikalischen Netzes möglich
Höhere Flexibilität durch einfache Änderung von Gruppenzugehörigkeit
Einfachere Konfiguration der Software für die Gruppen
Erhöhte Sicherheit durch Gruppierung(Subnetz-Bildung)
Kleinere Broadcastdomänen
Priorisierung des Datenverkehrs möglich
Bessere Lastverteilung möglich

VLAN-Typen

Ältere VLAN-fähige Switches beherrschen nur portbasierte VLANs, die statisch konfiguriert werden mussten.

Erst später entwickelten sich dynamische VLANs und proprietäre tagged VLANs.
Schließlich entstanden aus den proprietären tagged VLANs die heute dominierenden standardisierten tagged VLANs nach IEEE 802.1Q.

Statische VLANs

Hier wird einem Port eines Switches fest eine VLAN-Konfiguration zugeordnet.

Er gehört dann zu einem Port-basierten VLAN, zu einem untagged VLAN oder er ist ein Port, der zu mehreren VLANs gehört.
Die Konfiguration eines Ports ist bei statischen VLANs fest durch den Administrator vorgegeben.
Sie hängt nicht vom Inhalt der Pakete ab und steht im Gegensatz zu den dynamischen VLANs unveränderlich fest.
Damit ist eine Kommunikation des Endgerätes an einem Port nur noch mit den zugeordneten VLANs möglich.
Gehört ein Port zu mehreren VLANs, ist er ein VLAN-Trunk und dient dann meist zur Ausdehnung der VLANs über mehrere Switches hinweg.

Durch die Möglichkeit, einen Port mehreren VLANs zuzuordnen, können zum Beispiel auch Router und Server über einen einzelnen Anschluss an mehrere VLANs angebunden werden, ohne dass für jedes Teilnetz eine physische Netzschnittstelle vorhanden sein muss.

Somit kann ein einzelnes Gerät – auch ohne Router – seine Dienste in mehreren VLANs anbieten, ohne dass die Stationen der verschiedenen VLANs miteinander kommunizieren können.

Diese VLAN-Trunks dürfen nicht mit den Trunks im Sinne von Link Aggregation verwechselt werden, bei denen mehrere physische Übertragungswege zur Durchsatzsteigerung gebündelt werden.

Portbasierte VLANs

Urform der VLANs

Hier wird mit managebaren Switches ein physisches Netz portweise in mehrere logische Netze segmentiert, indem ein Port einem VLAN fix zugeordnet wird
Im Frame vorhandene Tags werden vom Switch entfernt
Man spricht hier daher von einem untagged Port
Portbasierte VLANs lassen sich auch über mehrere Switches hinweg ausdehnen
Dazu wird heutzutage ein Trunk-Port (ein als tagged konfigurierter Port) verwendet
Um die so segmentierten Netze bei Bedarf zu verbinden, kommt z. B. ein Router zum Einsatz
Ferner gehören sie zu den statischen VLAN-Konfigurationen und bilden sozusagen einen Gegenpol zu den dynamischen VLANs
Ein Port kann sowohl als tagged als auch als untagged konfiguriert sein
Das ist z. B. dann der Fall, wenn über einen Port mehrere Geräte (z. B. VoIP-Telefon und Desktop-PC) verbunden werden

Einen physischen Switch in mehrere logische Switches unterteilen
Einzelne Ports werden einem VLAN zugeordnet
Jedes Endgerät an einem Port, gehört zu einem VLAN

Switch A
Switch-Port	VLAN ID	angeschlossenes Gerät
1	1	PCA1
2	1	PCA2
3	-	-
4	1	Verbindung zu Switch-B Port 4
5	2	PCA5
6	2	PCA6
7	-	-
8	2	Verbindung zu Switch-B Port 8

Mithilfe mehrerer Switches kann man mehr Rechner in einem VLAN einbinden
Allerdings benötigt man für jedes VLAN eine eigene Verbindung

Switch B
Switch-Port	VLAN ID	angeschlossenes Gerät
1	1	PCB1
2	1	PCB2
3	-	-
4	1	Verbindung zu Switch-A Port 4
5	2	PCB5
6	2	PCB6
7	-	-
8	2	Verbindung zu Switch-B Port 8

Dynamische VLANs

Bei der dynamischen Implementierung eines VLANs wird die Zugehörigkeit eines Frames zu einem VLAN anhand bestimmter Inhalte des Frames getroffen.

Da sich alle Inhalte von Frames praktisch beliebig manipulieren lassen, sollte in sicherheitsrelevanten Einsatzbereichen auf den Einsatz von dynamischen VLANs verzichtet werden. Dynamische VLANs stehen im Gegensatz zu den statischen VLANs.
Die Zugehörigkeit kann beispielsweise auf der Basis der MAC- oder IP-Adressen geschehen, auf Basis der Protokoll-Typen (z. B. 0x809B Apple EtherTalk, 0x8137: Novell IPX, 0x0800: IPv4 oder 0x88AD: XiMeta LPX) oder auch auf Anwendungsebene nach den TCP-/UDP-Portnummern (Portnummer 53: DNS, 80: HTTP, 3128: Squid Proxy).
In der Wirkung entspricht dies einer automatisierten Zuordnung eines Switchports zu einem VLAN.

Die Zugehörigkeit kann sich auch aus dem Paket-Typ ableiten und so zum Beispiel ein IPX/SPX-Netz von einem TCP/IP-Netz trennen.

Diese Technik ist heutzutage nicht mehr weit verbreitet, da TCP/IP in vielen Netzen alle anderen Protokolle abgelöst hat.

Durch Dynamische VLANs kann zum Beispiel auch erreicht werden, dass ein mobiles Endgerät immer einem bestimmten VLAN angehört – unabhängig von der Netzdose, an die es angeschlossen wird.

Eine andere Möglichkeit besteht darin, einen bestimmten Teil des Datenverkehrs wie zum Beispiel VoIP aus Performance- oder Sicherheitsgründen (veraltet) in ein spezielles VLAN zu leiten.

Tagged-basiert

Zuordnung der Endgeräte erfolgt nach bestimmten Kriterien bspw. nach MAC-Adresse

Mehrere VLANs können über einen einzelnen Switch-Port genutzt werden.

Eine Markierung (Tag) im Frame des Pakets sorgt für die Zuweisung.
Das Tag wird nach der MAC-Addresse des Absenders gesetzt und ist exakt vier Byte lang.
Frames müssen getagged werden, damit der empfangene Switch bzw. der Router sie dem entsprechenden VLAN zuordnen kann.

Erste Zwei Bytes sind für den TPI (Tag Protocol Identifier), zeigt an, ob überhaupt eine VLAN-ID angegeben wurde
Nach TPI folgen drei Bit für die Priorität der Nachricht, dann folgt ein Bit für den CFI (Canonical Format Identifier), welches die Kompatibilät zwischen Ethernet und Token Ring gewährleistet
Die letzten zwölf Bit sind für die eigentliche VLAN-ID bestimmt. Dadurch sind prinzipiell 4096 VLANs möglich

Heute fast ausschließlich verwendete Ethernet-Datenblockformat Ethernet-II nach IEEE 802.3 mit 802.1Q VLAN-Tag

Die paketbasierten tagged VLANs stehen im Gegensatz zu den älteren markierungslosen, portbasierten VLANs.

Der Ausdruck tagged leitet sich vom englischen Ausdruck material tags ab (Anhänger, mit denen Waren markiert werden).
Es handelt sich also bei tagged VLANs um Netze, die Netzpakete verwenden, welche eine zusätzliche VLAN-Markierung tragen.

Ein Tagging in VLANs kommt auch dann zum Einsatz, wenn sich VLANs z. B. über mehrere Switches hinweg erstrecken, etwa über Trunkports.

Hier tragen die Frames eine Markierung, welche die Zugehörigkeit zum jeweiligen VLAN anzeigt.

Durch die Tags werden VLAN-spezifische Informationen zum Frame hinzugefügt.

Zu dieser Gattung gehören die VLANs nach IEEE 802.1Q, Shortest Path Bridging, Ciscos Inter-Switch Link Protocol (ISL) oder auch 3Coms VLT (Virtual LAN Trunk) Tagging.
Damit die VLAN-Technik nach 802.1q auch für ältere Rechner und Systeme in einem Netz transparent bleibt, müssen Switches diese Tags bei Bedarf hinzufügen und auch wieder entfernen können.

VLAN-Tag

Bei portbasierten VLANs (d. h. bei Paketen, die kein Tag besitzen) wird zum Weiterleiten eines Datenpakets über einen Trunk hinweg üblicherweise vor dem Einspeisen in den Trunk ein VLAN-Tag hinzugefügt, welches kennzeichnet, zu welchem VLAN das Paket gehört.

Der Switch auf Empfängerseite muss dieses wieder entfernen.
Bei tagged VLANs nach IEEE 802.1Q hingegen werden die Pakete entweder vom Endgerät (z. B. Tagging-fähigem Server) oder vom Switch am Einspeiseport mit dem Tag versehen.
Daher kann ein Switch ein Paket ohne jegliche Änderung in einen Trunk einspeisen.
Empfängt ein Switch auf einem VLT-Port (Trunkport) einen Frame mit VLAN-Tag nach IEEE 802.1Q, kann auch dieser es unverändert weiterleiten.
Lediglich der Switch am Empfangsport muss unterscheiden, ob er ein Tagging-fähiges Endgerät beliefert (dann kann der Frame unverändert bleiben) oder ob es sich um ein nicht Tagging-fähiges Endgerät handelt, welches zu dem aktuellen VLAN gehört (dann ist das Tag zu entfernen).
Hierzu muss die zugehörige VLAN-ID im Switch hinterlegt sein.
Da nach IEEE 802.1Q alle Pakete mit VLAN-Tags markiert sind, müssen einem Trunk entweder alle VLAN-IDs, die er weiterleiten soll, hinterlegt werden, oder er ist zur Weiterleitung aller VLANs konfiguriert.
Werden Pakete ohne Tag auf einem Trunk-Port empfangen, können diese je nach Konfiguration entweder einem Default-VLAN zugeordnet werden (der Switch bringt das Tag nachträglich an), oder sie werden verworfen.

Empfängt ein Switch auf einem seiner Ports z. B. von einem älteren Endgerät Pakete ohne VLAN-Tags (auch native Frames genannt), so muss er selbst für das Anbringen des Tags sorgen.

Hierzu wird dem betreffenden Port entweder per Default oder per Management eine VLAN-ID zugeordnet
Der Switch, der das Paket ausliefert, muss analog verfahren, wenn das Zielsystem nicht mit Tags umgehen kann (das Tag muss entfernt werden)

Automatische Lernen

Das automatische Lernen der zu den VLTs (Trunkports) gehörenden Einstellungen ist heute Standard bei den meisten VLAN-fähigen Switches.

Dabei muss ein Switch mit einem Mischbetrieb sowohl von Paketen, die keine Tags kennen und enthalten, als auch von Paketen, die bereits Tags besitzen, umgehen können.
Das Erlernen der VLTs erfolgt analog zum Erlernen der MAC-Adressen: Empfängt der Switch ein Paket mit VLAN-ID, so ordnet er den Port zunächst diesem VLAN zu.
Empfängt er an einem Port innerhalb kurzer Zeit Pakete mit unterschiedlichen VLAN-IDs, so wird dieser Port als VLT identifiziert und als Trunk genutzt.
Einfache Switches (ohne Verwaltungsmöglichkeit) bilden üblicherweise ein zusätzliches natives VLAN für alle Pakete, die keine Tags enthalten.
Solche Pakete werden meist belassen, wie sie sind
Ein Trunkport wird hier wie ein normaler (Uplink-)Port behandelt
Alternativ kann auch ein Default-Tag angefügt werden

Trunk

Der Begriff Trunk wird im Unterschied zu VLT häufig auch mit einer ganz anderen Bedeutung verwendet, siehe auch Bündelung (Datenübertragung)

Sicherheit

Generell sollte man Sicherheit aber nicht mehr zu den Tagged-VLAN-Features zählen

Switches lassen sich auf zahlreichen Wegen kompromittieren, müssen folglich immer als unsicher eingestuft werden
Man kann aber auch direkt bei der Verkabelung ansetzen
Es gibt etwa Messklemmen als Zubehör zu Profi-Netzanalysegeräten, die äußerlich direkt an ein Kabel angeschlossen werden und das geringe elektromagnetische Feld messen
So kann völlig unbemerkt der gesamte über dieses Kabel laufende Datenverkehr mitgelesen und aufgezeichnet werden
Dagegen hilft nur eine starke Kryptografie (z. B. mit IPsec), die manche LAN-Karten direkt in Hardware implementieren

Vor- und Nachteile

Statisch
- Einfach zu erstellen und zu verwalten
- Sinnvoll für fest eingeplante VLAN-Segmente
- Unflexibel für veränderbare Netze
Dynamisch
- Flexibel und besser anpassbar an neue Gegebenheiten
- Ortsunabhängigkeit ist dadurch gegeben
- Administratoren können Änderungen im Netzwerk durchführen, ohne Ports umstecken oder den Switch zu konfigurieren
- Switches, Router und Netzwerkarten müssen das VLAN-Tag verarbeiten können

Zuordnung des Datenverkehrs

Die Zuordnung der Teilnetze zu einem VLAN kann statisch über Port-Zuordnung an den Switches erfolgen, über spezielle Markierungen an den Paketen (Tags) realisiert sein oder dynamisch erfolgen (zum Beispiel durch MAC-Adressen, IP-Adressen bis hin zu TCP- und UDP-Ports und höheren Protokollen).

Ebenfalls ist eine Zuordnung eines Ports zu einem VLAN nach Authentifizierung des Anwenders z. B. mittels 802.1X möglich.

Jedes VLAN bildet (wie ein normales, physisch separiertes Netzsegment) eine eigene Broadcast-Domäne.

Um den Verkehr zwischen den VLANs transparent zu vermitteln, benötigt man einen Router.
Moderne Switches stellen diese Funktion intern zur Verfügung; man spricht dann von einem Layer-3-Switch.

Die Überlegenheit von VLANs im Vergleich zur physischen Zuordnung zu verschiedenen Subnetzen basiert darauf, dass der Wechsel eines Clients von einem VLAN in ein anderes am Kopplungselement (Multilayerswitch, Router) geschehen kann, ohne dass eine physische Verbindung geändert werden muss.

Verbindung von VLAN-Switches

Wenn sich ein VLAN über mehrere Switches erstreckt, ist zu deren Verbindung entweder für jedes VLAN ein eigener Link (Kabel) erforderlich, oder es kommen sogenannte VLAN-Trunks (VLT) zum Einsatz.

Das Verfahren entspricht einem asynchronen Multiplexing.
Deshalb dient ein VLT dazu, Daten der unterschiedlichen VLANs über eine einzige Verbindung weiterzuleiten.
Hierzu können sowohl einzelne Ports als auch gebündelte Ports (siehe Link Aggregation) zum Einsatz kommen.

↑ J. Jasperneite: Echtzeit-Ethernet im Überblick, atp 3/2005, S. 29–34, Vorlage:ISSN.
↑
Deutschland sicher im Netz e.V.: Vorlage:Webarchiv, abgerufen am 26.
- August 2015
↑ Vorlage:Cite journal
↑ Vorlage:Cite web

[1] J. Jasperneite: Echtzeit-Ethernet im Überblick, atp 3/2005, S. 29–34, Vorlage:ISSN.

[2] Deutschland sicher im Netz e.V.: Vorlage:Webarchiv, abgerufen am 26.
August 2015

[3] August 2015

[HeiseOpenSource-OPNsense-3] Vorlage:Cite journal

[heise-pfSenseVDSLRouter-4] Vorlage:Cite web

[1]

[2]

[3]

[4]