Skript/Router und Switches: Unterschied zwischen den Versionen

Aus Foxwiki
Keine Bearbeitungszusammenfassung
Markierung: Manuelle Zurücksetzung
K Dirkwagner verschob die Seite Router und Switches/Skript nach Skript/Router und Switches
 
(3 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 55: Zeile 55:


<noinclude>
<noinclude>
[[Kategorie:Seminare]]
 
[[Kategorie:Buch]]
[[Kategorie:Skript]]
</noinclude>
</noinclude>

Aktuelle Version vom 31. März 2024, 12:35 Uhr

OSI-Referenzmodell

OSI-Referenzmodell - Referenzmodell für Netzwerkprotokolle

Beschreibung

Open Systems Interconnection model (OSI)
Ziele
  • Kommunikation über unterschiedlichste technische Systeme
  • Weiterentwicklung begünstigen
Entwicklung


Deutsche Bezeichnungen

7 Application Anwendung
6 Presentation‎ Darstellung
5 Session‎ Sitzung
4 Transport Transport
3 Network‎ Vermittlung
2 Data Link‎ Sicherung
1 Physical‎ Bitübertragung

Zuordnung zu DoD-Schichten

OSI Name DoD
7 Application 4
6 Presentation‎ 4
5 Session‎ 4
4 Transport 3
3 Network‎ 2
2 Data Link‎ 1
1 Physical‎ 1

Schichten-Modell

Sieben aufeinander aufbauende Schichten

Layers mit festgelegten (diskreten) Aufgaben und klare Schnittstellen

  • Definierte Netzwerkprotokolle
  • Protokolle der gleichen Schicht sind austauschbar

Funktionen

Abstraktionsgrad nimmt von Schicht 1 bis 7 zu

Layer Deutsch Beschreibung
7 Application Anwendung Funktionen für Anwendungen, Dateneingabe und -ausgabe
6 Presentation‎ Darstellung Umwandlung der systemabhängigen Daten in ein unabhängiges Format
5 Session‎ Sitzung Steuerung der Verbindungen und des Datenaustauschs
4 Transport Transport Zuordnung der Datenpakete zu einer Anwendung
3 Network‎ Vermittlung Routing der Datenpakete zum nächsten Knoten
2 Data Link‎ Sicherung Segmentierung der Pakete in Frames und Hinzufügen von Prüfsummen
1 Physical‎ Bitübertragung Bit zum Medium passendes Signal umwandeln, physikalische Übertragung

Dienste

In einem Computernetz werden den verschiedenen Clients Dienste unterschiedlichster Art durch andere Hosts bereitgestellt

  • Dabei gestaltet sich die dafür erforderliche Kommunikation komplizierter, als sie zu Beginn erscheinen mag, da eine Vielzahl von Aufgaben bewältigt und Anforderungen bezüglich Zuverlässigkeit, Sicherheit, Effizienz usw. erfüllt werden müssen
  • Die zu lösenden Probleme reichen von Fragen der elektronischen Übertragung der Signale über eine geregelte Reihenfolge in der Kommunikation bis hin zu abstrakteren Aufgaben, die sich innerhalb der kommunizierenden Anwendungen ergeben

Vielzahl von Aufgaben

Aufgrund dieser Vielzahl von Aufgaben wurde das OSI-Modell eingeführt

  • bei dem die Kommunikationsabläufe in sieben Ebenen (auch Schichten genannt) aufgeteilt werden
  • Dabei werden auf jeder einzelnen Schicht die Anforderungen separat umgesetzt

Instanzen

Kommunikation im OSI-Modell am Beispiel der Schichten 3 bis 5

Instanzen müssen auf Sender- und Empfängerseite nach festgelegten Regeln arbeiten

  • Verarbeitung von Daten ermöglichen
  • Die Festlegung dieser Regeln wird in einem Protokoll beschrieben und bildet eine logische, horizontale Verbindung zwischen zwei Instanzen derselben Schicht

Jede Instanz stellt Dienste zur Verfügung, die eine direkt darüberliegende Instanz nutzen kann

  • Zur Erbringung der Dienstleistung bedient sich eine Instanz selbst der Dienste der unmittelbar darunterliegenden Instanz
  • Der reale Datenfluss erfolgt daher vertikal
  • Die Instanzen einer Schicht sind genau dann austauschbar, wenn sie sowohl beim Sender als auch beim Empfänger ausgetauscht werden können

Design und Funktionen

Verständnis von Netzwerkprotokollen

Auf der Basis dieses Modells sind auch Netzwerkprotokolle entwickelt worden, die fast ausschließlich von Anbietern der öffentlichen Kommunikationstechnik verwendet wurden

  • Im privaten und kommerziellen Bereich wird hauptsächlich die TCP/IP-Protokoll-Familie eingesetzt
  • Das TCP/IP-Referenzmodell ist sehr speziell auf den Zusammenschluss von Netzen (internetworking) zugeschnitten

Die nach dem OSI-Referenzmodell entwickelten Netzprotokolle haben mit der TCP/IP-Protokollfamilie gemeinsam, dass es sich um hierarchische Modelle handelt

  • Es gibt aber wesentliche konzeptionelle Unterschiede
  • OSI legt die Dienste genau fest, die jede Schicht für die nächsthöhere zu erbringen hat
  • TCP/IP hat kein derartig strenges Schichtenkonzept wie OSI
  • Weder sind die Funktionen der Schichten genau festgelegt, noch die Dienste
  • Es ist erlaubt, dass eine untere Schicht unter Umgehung dazwischenliegender Schichten direkt von einer höheren Schicht benutzt wird

Analogie

Versand einer Nachricht an einen Geschäftspartner
  • Auf der Seite des Empfängers wird dieser Vorgang in umgekehrter Reihenfolge durchlaufen, bis der Geschäftspartner die Nachricht auf ein Diktiergerät gesprochen vorfindet
  • Diese Analogie zeigt nicht auf, welche Möglichkeiten der Fehlerüberprüfung und -behebung das OSI-Modell vorsieht, da diese beim Briefversand nicht bestehen
Akteur OSI-Schicht
Firmenmitarbeiter /
Geschäftspartner
Anwendung
  • Der Mitarbeiter ist mit dem Anwendungsprozess, der die Kommunikation anstößt, gleichzusetzen
  • Er spricht die Nachricht auf ein Diktiergerät
Assistent Darstellung
  • Sein Assistent bringt die Nachricht auf Papier
  • Der Assistent wirkt somit als Darstellungsschicht
Sekretär Sitzung
  • Danach gibt er die Nachricht an den Sekretär, der den Versand der Nachricht verwaltungstechnisch abwickelt und damit die Sitzungsschicht repräsentiert
Hauspostmitarbeiter Transport
  • Der Hauspostmitarbeiter (gleich Transportschicht) bringt den Brief auf den Weg
Briefpost Vermittlung
  • Dazu klärt er mit der Vermittlungsschicht (gleich Briefpost), welche Übertragungswege bestehen, und wählt den geeigneten aus
Verteilstelle Sicherung
  • Der Postmitarbeiter bringt die nötigen Vermerke auf den Briefumschlag an und gibt ihn weiter an die Verteilstelle, die der Sicherungsschicht entspricht
Transportmittel Bitübertragung
  • Von dort gelangt der Brief zusammen mit anderen in ein Transportmittel wie LKW oder Flugzeug und nach eventuell mehreren Zwischenschritten zur Verteilstelle, die für den Empfänger zuständig ist

Standardisierung

Das Referenzmodell wird bei der ISO weiterentwickelt

  • Der aktuelle Stand ist in der Norm ISO/IEC 7498-1:1994 nachzulesen
  • Das technische Komitee „Information Processing Systems“ hatte sich das Ziel gesetzt, informationsverarbeitende Systeme verschiedener Hersteller zur Zusammenarbeit zu befähigen
  • Daher kommt die Bezeichnung „Open Systems Interconnection“

An der Arbeit im Rahmen der ISO nahm auch der Ausschuss Offene Kommunikationssysteme des DIN teil, der dann den ISO-Standard auch als deutsche Industrienorm in der englischen Originalfassung des Textes übernahm

  • Auch ITU-T übernahm ihn: In einer Serie von Standards X.200, X.207, … sind nicht nur das Referenzmodell, sondern auch die Services und Protokolle der einzelnen Schichten spezifiziert

Weitere Bezeichnungen für das Modell sind ISO/OSI-Modell, OSI-Referenzmodell, OSI-Schichtenmodell oder 7-Schichten-Modell

Standardisierungsdokumente
  • ISO 7498-1 (DIN ISO 7498)
  • ITU-T X.200
  • X.207

Übersicht

OSI Name DoD Einordnung Protokolle Einheiten Komponente Einordnung
7 Application Application Anwendung DHCP, DNS, FTP, HTTP LDAP, SMTP Daten Gateway, Proxy, Content-Switch Ende zu Ende
(Multihop)
6 Presentation‎
5 Session‎
4 Transport Transport Transport TCP, UDP, SCTP, SPX Segment, Datagramm
3 Network‎ Internet ICMP, IGMP, IP, IPsec, IPX Datagramm Router, Layer-3-Switch
2 Data Link‎ Network Ethernet, WLAN, MAC, Token_Ring, ARCNET Frame Bridge, Switch, WLAN Access Point Direktverbindung
Punkt zu Punkt
1 Physical‎ 1000BASE-T, Token Ring Bit, Symbole Netzwerkkabel, Repeater, Hub

Anhang

Siehe auch

Links

Weblinks
  1. https://de.wikipedia.org/wiki/OSI-Modell

</noinclude>

IT-Grundschutz

IT-Grundschutz - Vorgehensweise zum Aufbau eines Informationssicherheits-Managementsystem (ISMS)

Beschreibung

Identifizieren und Umsetzen von Sicherheitsmaßnahmen

Bestandteile
Standards Vorgehen zur Gewährleistung von Informationssicherheit, Organisatorischer Rahmen
Kompendium mit dem die in den Standards formulierten allgemeinen Empfehlungen zum Management von Informationssicherheit konkretisiert und umgesetzt werden können
Sicherheitsniveau
  • Mittel
  • Im Allgemeinen ausreichend und angemessen
  • Erweiterbar für erhöhten Schutzbedarf


Anforderungen

Bereich Beschreibung
Technisch Geräte, Netzwerke, Strukturen, ...
Infrastrukturell Räume, Gebäude, Gelände, Strom, Wasser, Zuwege, Netzanbindung, Brandschutz, ...
Organisatorisch Ablauforganisation, Aufbauorganisation
Personell Rollen, Zuständigkeiten, Schnittstellen, Informationsaustausch, ...

Zertifizierung

ISO/IEC 27001-Zertifikat auf Basis von IT-Grundschutz

Nachweis eines

Bedeutung von Informationen

Wichtigkeit und Bedeutung von Informationen

Für Unternehmen und Behörden ist es unerlässlich, dass Informationen

  • korrekt vorliegen
  • vertraulich behandelt werden
Entsprechend wichtig ist, dass

Technischen Systeme, mit denen Informationen gespeichert, verarbeitet oder übertragen werden

  • reibungslos funktionieren
  • wirksam gegen vielfältige Gefährdungen geschützt sind

IT-Grundschutz des BSI

Grundlage
  • Herausforderungen professionell gerecht werden
  • Bemühungen für Informationssicherheit strukturieren
IT-Grundschutz ermöglicht
  • Systematische Schwachstellensuche
  • Prüfen der Angemessenheit von Schutzmaßnahmen
  • Sicherheitskonzepte entwickeln und fortschreiben
    • passend zu den Geschäftsprozessen, Fachaufgaben und Organisationsstrukturen einer Institution
  • Allgemein anerkannten Standards zu genügen
  • Best Practice

Wege zur Informationssicherheit

Es gibt viele Wege zur Informationssicherheit

  • Mit dem IT-Grundschutz haben Sie die Möglichkeit, dieses Ziel effizient zu erreichen, unterwegs Umwege zu vermeiden und mögliche Gefährdungen im Blick zu behalten
  • Grundschutz will nicht nur eine Landkarte, sondern ein Wegweiser für Informationssicherheit sein

Herausforderungen

Herausforderung Beschreibung
Komplexität Komplexität der Gefährdungslage
  • Gefährdungen können unterschiedlichste Ursachen haben und auf mannigfaltigen Wegen die Ziele der Informationssicherheit verletzen. Angriffe von Hackern, Fahrlässigkeiten oder technische Mängel sind ebenso im Blick zu behalten wie Naturkatastrophen und andere Formen höherer Gewalt
Ganzheitlichkeit Ganzheitlichkeit der Sicherheitskonzepte
  • Informationssicherheit erfordert Maßnahmen auf mehreren Ebenen: Betroffen sind nicht nur die -Systeme, sondern auch die Organisation, das Personal, die räumliche Infrastruktur, die Arbeitsplätze und die betrieblichen Abläufe
Zusammenwirken Zusammenwirken der Sicherheitsmaßnahmen
  • Damit die eingesetzten Sicherheitsmaßnahmen die komplexe Gefährdungslage hinreichend in den Griff bekommen können, müssen die organisatorischen, technischen und infrastrukturellen Schutzvorkehrungen zu der jeweiligen Institution passen, an der tatsächlich bestehenden Gefährdungslage ausgerichtet sein, sinnvoll zusammenwirken und von der Leitung und den Beschäftigten unterstützt und beherrscht werden
Angemessenheit Angemessenheit der Sicherheitsmaßnahmen
  • Es ist auch auf die Wirtschaftlichkeit und Angemessenheit der Sicherheitsmaßnahmen zu achten
  • Den bestehenden Gefährdungen muss zwar wirkungsvoll begegnet werden, die eingesetzten Maßnahmen sollten aber an dem tatsächlich bestehenden Schutzbedarf ausgerichtet sein und dürfen eine Institution nicht überfordern
  • Unangemessen kostspielige Maßnahmen sind zu vermeiden, ebenso solche Vorkehrungen, durch die wichtige Abläufe einer Institution über Gebühr behindert werden
Externe Anforderungen Erfüllung externer Anforderungen
  • Es wird heutzutage für viele Unternehmen und Behörden immer wichtiger, nachweisen zu können, dass sie in ausreichendem Maße für Informationssicherheit gesorgt haben
  • Dieser Nachweis fällt leichter, wenn eine Institution ihre Vorkehrungen für Informationssicherheit an allgemein anerkannten Standards ausrichtet
Nachhaltigkeit Nachhaltigkeit der Sicherheitsmaßnahmen
  • Und nicht zuletzt gilt: Sicherheit ist kein einmal erreichter und fortan andauernder Zustand
  • Unternehmen und Behörden ändern sich und damit auch die in ihnen schützenswerten Informationen, Prozesse und Güter
  • Neuartige Schwachstellen und Bedrohungen machen es in gleicher Weise erforderlich, die vorhandenen Sicherheitskonzepte zu überprüfen und weiterzuentwickeln


Konzept

Verzicht auf initiale Risikoanalysen

Pauschale Gefährdungen

  • Auf die differenzierte Einteilung nach Schadenshöhe und Eintrittswahrscheinlichkeit wird zunächst verzichtet

Schutzbedarf

Drei Schutzbedarfskategorien

Schutzbedarf des Untersuchungsgegenstandes festlegen

Kategorie Schaden
Normal überschaubar
Hoch beträchtlich
Sehr Hoch existenzgefährdend

Anforderungen

Sicherheitsmaßnahmen

Passende Sicherheitsmaßnahmen auswählen

IT-Grundschutz-Kompendium
  • personell
  • technisch
  • organisatorisch
  • infrastrukturell

Kochrezepte

Basierend auf dem IT-Grundschutz-Kompendium

BSI-Standard 200-2 bietet „Kochrezepte“ für ein Normales Schutzniveau

Eintrittswahrscheinlichkeit und Schadenshöhe

Dabei werden neben Eintrittswahrscheinlichkeiten und potenzieller Schadenshöhe auch die Kosten der Umsetzung berücksichtigt

IT-Grundschutz-Kompendium

Durch die Verwendung des IT-Grundschutz-Kompendiums entfällt eine aufwendige Sicherheitsanalyse

  • das Expertenwissen erfordert
  • da anfangs mit pauschalisierten Gefährdungen gearbeitet wird
  • Es ist möglich, auch als relativer Laie die zu ergreifenden Maßnahmen zu identifizieren und in Zusammenarbeit mit Fachleuten umzusetzen
Erfolgreiche Umsetzung

Als Bestätigung für das erfolgreiche Umsetzen des Grundschutzes zusammen mit dem Etablieren eines Informationssicherheitsmanagementsystems (ISMS) wird vom BSI ein Zertifikat ISO/IEC 27001 auf Basis von IT-Grundschutz vergeben

  • Basis dieses Verfahrens sind die neuen BSI-Sicherheitsstandards
  • Dieses Verfahren trägt einer Entwicklung Rechnung, die bereits seit einiger Zeit vorherrscht
  • Unternehmen, die sich nach dem ISO/IEC 27001-Standard zertifizieren lassen, sind zur Risikoanalyse verpflichtet
  • Um es sich komfortabler zu gestalten, wird meist auf die Schutzbedarfsfeststellung gemäß IT-Grundschutz-Katalogen ausgewichen
  • Der Vorteil ist sowohl das Erreichen der Zertifizierung nach ISO/IEC 27001, als auch eine Konformität zu den strengen Richtlinien des BSI
  • Darüber hinaus bietet das BSI einige Hilfsmittel wie Musterrichtlinien an
Datenschutz

Es liegt auch ein Baustein für den Datenschutz vor, der von dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit in Zusammenarbeit mit den Datenschutzbehörden der Länder erarbeitet und in die IT-Grundschutz-Kataloge integriert wurde

  • Dieser Baustein findet jedoch als nationale Ausprägung im Zertifizierungsverfahren für eine internationale Norm keine Berücksichtigung


Verinice

Verinice - Werkzeug für das Management von Informationssicherheit

Beschreibung

verinice unterstützt beim Aufbau und Betrieb eines Managementsystems für Informationssicherheit (ISMS)
  • verinice unterstützt bei der Arbeit als CISO oder IT-Sicherheitsbeauftragte
Relevante Standards
  • bereits integriert
  • oder einfach importierbar
Daten werden in einem Objektmodell gespeichert
  • auf die Anforderungen der Informationssicherheit zugeschnitten
  • dynamisch erweiterbar
Nachhaltiger IS-Prozess
  • ISO 27001
  • BSI IT Grundschutz
  • IDW PS 330
  • weitere Standards
ISMS Tool
  • Windows, Linux und macOS
  • anpassbar, erweiterbar, skalierbar
Verbreitung
  • seit 2007
  • branchenübergreifend
  • öffentlichen und privatwirtschaftlichen Sektor
  • Deutschland und Europa
  • auch in Kritischen Infrastrukturen
Kontinuierliche Weiterentwicklung und Optimierung

verinice setzt zudem auf eine rege Communityunterstützung

Support

Technischer Support erfolgt durch das verinice.TEAM und die SerNet GmbH

  • Fachliche Unterstützung leistet ein breit gefächertes Netzwerk qualifizierter und lizenzierter verinice.PARTNER


Lizensmodelle


Ethernet

Ethernet - Technik für kabelgebundene Datennetze

Beschreibung

Ethernet im TCP/IP-Protokollstapel
Anwendung HTTP IMAP SMTP DNS
Transport TCP UDP
Internet IP (IPv4, IPv6)
Netzzugang Ethernet TokenBus TokenRing WLAN

Beschreibt, wie Netzwerkgeräte Datenpakete so formatieren und übertragen können, dass andere Geräte im gleichen lokalen oder Standort-Netzwerksegment sie erkennen, empfangen und verarbeiten können.

  • Ursprünglich für lokale Netzwerke gedacht (daher auch LAN-Technik).
  • Ermöglicht Datenaustausch in Form von Datenframes zwischen den in einem lokalen Netz (LAN) angeschlossenen Geräten.
Technik für kabelgebundene Datennetze
Bereich Beschreibung
Software Protokolle, Rahmenformate, …
Hardware Kabel, Verteiler, Netzwerkkarten, …
Übertragungsraten

Spezifiziert

  • 1, 10 Megabit/s
  • 100 Megabit/s (Fast Ethernet)
  • 1000 Megabit/s (Gigabit-Ethernet)
  • 2,5, 5, 10, 25, 40, 50, 100, 200 und 400 Gigabit/s spezifiziert,

In Entwicklung

  • 800 Gigabit/s und 1,6 Terabit/s
Ausdehnung

In seiner ursprünglichen Form erstreckt sich das LAN dabei nur über ein Gebäude; Ethernet-Standard-Varianten über Glasfaser haben eine Link-Reichweite von bis zu 80 km, proprietäre auch mehr.

Die Ethernet-Protokolle umfassen Festlegungen für Kabeltypen und Stecker sowie für Übertragungsformen (Signale auf der Bitübertragungsschicht, Paketformate).

  • Im OSI-Modell ist mit Ethernet sowohl die physische Schicht (OSI Layer 1) als auch die Data-Link-Schicht (OSI Layer 2) festgelegt.
Ethernet entspricht weitestgehend der IEEE-Norm 802.3
  • Es wurde ab den 1990ern zur meistverwendeten LAN-Technik und
  • hat andere LAN-Standards wie Token Ring verdrängt
  • oder zu Nischenprodukten für Spezialgebiete gemacht
    • ARCNET in Industrie- und Fertigungsnetzen
    • FDDI in hoch verfügbaren Netzwerken,
Basis für höhere Protokolle auf OSI-Layser 3

Für Anwendungen, in denen hohe Anforderungen an die Zuverlässigkeit der Kommunikation gestellt werden, kommt Echtzeit-Ethernet zum Einsatz.[1]

Ethernet ist heute der verbreitetste Standard für lokale Netze (LANs)

Viele Hersteller unterstützen diese Art von Netzwerken mit Hard- und Software

MAC-Adresse
  • Jede Ethernet-Schnittstelle, also die Netzwerkkarte oder der fest eingebaute Anschluss, ist mit einer weltweit einmaligen Identifikationsnummer ausgestattet
  • der MAC-Adresse (für Media Access Control, einer der beiden Bestandteile der OSI-Netzzugangsschicht).
  • Es handelt sich um eine 48 Bit lange Zahl, die in sechs hexadezimalen Blöcken zwischen 0 und 255 (00 bis FF hex) geschrieben wird, zum Beispiel 00-A0-C9-E8-5F-64.

siehe MAC-Adresse

Frames

Die Datenpakete – auf der Netzzugangsschicht Frames genannt – werden mit den MAC-Adressen der sendenden und der empfangenden Station versehen und in der Regel an alle Stationen im Segment versandt.

  • Jede Station überprüft daraufhin, ob die Daten für sie bestimmt sind.
  • Im Übrigen kann man Ethernet-Schnittstellen auch in den »Promiscuous Mode« schalten, in dem sie ohne Unterschied alle Daten entgegennehmen.
  • Auf diese Weise kann der gesamte Datenverkehr in einem Netzsegment überwacht werden.

Die MAC-Adresse wird normalerweise nicht über das jeweilige Teilnetz hinaus weiterverbreitet.

Ausnahmen
Das im weiteren Verlauf des Kapitels beschriebene IPX/SPX-Protokoll verwendet die MAC-Adresse auch für die Adressierung auf der Netzwerkschicht, und die IP-Weiterentwicklung IPv6 benutzt die MAC-Adresse als Teil der 128 Bit langen IP-Adresse.

Nach außen ergäbe ihre Verwendung auch keinen Sinn, da das nächste Teilnetz auf einer Route womöglich noch nicht einmal zum Ethernet-Standard gehört.

Namensherkunft
  • Kompositum aus ether (englisch für Äther), das Medium zur Ausbreitung von Funkwellen, und net (englisch für Netz).
  • Begriff entstand um 1973 am Xerox Forschungszentrum.
Verwendung
  • Kommunikation von Computer, Drucker, Scanner, ...
  • Anbinden zentraler Speichersystemen, Überwachungssystemen, ...
  • Daten- und Nachrichtenverkehr
Die am meisten verwendete Netzwerktechnik (Basis für einen Großteil der Netzwerkkarten)

Data-Link-Layer

Ethernet basiert auf der Idee, dass die Teilnehmer eines LANs Nachrichten durch Hochfrequenz übertragen, allerdings nur innerhalb eines gemeinsamen Leitungsnetzes.

  • Jede Netzwerkschnittstelle hat einen global eindeutigen 48-Bit-Schlüssel, der als MAC-Adresse bezeichnet wird.
  • Tatsächlich werden MAC-Adressen teilweise mehrfach ausgegeben, aber die Hersteller versuchen durch geografische Trennungen lokale Kollisionen zu vermeiden.
  • Da MAC-Adressen modifizierbar sind, muss man darauf achten, keine doppelten Adressen im selben Netz zu verwenden, da es sonst zu Fehlern kommt.
  • Ethernet überträgt die Daten auf dem Übertragungsmedium im sogenannten Basisbandverfahren und in digitalem Zeitmultiplex.

Umwandlung in einen Datenstrom

Nachdem der Datenstrom als Folge von Bytes bereitgestellt wurde, werden nun abhängig vom physischen Medium und der Übertragungsrate ein oder mehrere Bit in einen Leitungscode kodiert, um einerseits die physischen Eigenschaften des Mediums zu berücksichtigen und andererseits dem Empfänger eine Taktrückgewinnung zu ermöglichen.

  • So wird, je nach Code, die erlaubte Frequenz-Bandbreite nach unten (Gleichspannungsfreiheit) und oben limitiert.

In übertragungsfreien Zeiten, also zwischen zwei Frames, kommt es definitionsgemäß zu Ruhepausen („Inter-Frame-Spacing“) mit einer gewissen Mindestlänge.

  • Bei physischem Halbduplex-Modus schaltet sich in dieser Zeit der Sender ab, um anderen Stationen auf dem geteilten Medium Zugriff zu ermöglichen.
  • Bei moderneren Medientypen mit physischem Vollduplex-Modus wird eine Trägerschwingung aufrechterhalten, die dem Empfänger ein schnelleres Aufsynchronisieren auf den Datenstrom ermöglicht.
  • Außerdem können in der sendefreien Zeit Out-of-Band-Informationen zwischen den Stationen ausgetauscht werden.

Bei manchen physischen Vollduplex-Medientypen wie beispielsweise 10BASE-T deaktiviert sich die Sendestation trotz exklusiven Zugriffs auf das Medium zwischen den Frames.

  • Hier wird die sendefreie Zeit zur Out-of-Band-Signalisierung (Link-Pulse, Fast-Link-Pulse) der Link-Parameter genutzt.



Switches

Switch - Kabelkonzentrator auf OSI-Layer 2

Beschreibung

Kommunikation zwischen Netzwerkgeräten
5-Port-Switch
Switch mit 50 Ethernet-Ports

Switches verwalten den Datenfluss über ein Netzwerk, indem sie ein empfangenes Netzwerkpaket nur an das eine oder die mehrere Geräte senden, für die das Paket bestimmt ist

  • Jedes mit einem Switch verbundene Netzwerkgerät kann anhand seiner Netzwerkadresse identifiziert werden, sodass der Switch den Verkehrsfluss lenken und so die Sicherheit und Effizienz des Netzwerks maximieren kann
Ein Netzwerk mit zentralem Switch bildet eine Stern-Topologie.
Switch (vom Englischen für „Schalter“, „Umschalter“ oder „Weiche“, auch Netzwerkweiche oder Verteiler genannt) bezeichnet ein Kopplungselement in Rechnernetzen, das Netzwerksegmente miteinander verbindet
  • Es sorgt innerhalb eines Segments (Broadcast-Domain) dafür, dass die Datenpakete, sogenannte „Frames“, an ihr Ziel kommen
  • Im Unterschied zu einem auf den ersten Blick ähnlichen Repeater-Hub werden Frames aber nicht einfach an alle anderen Ports weitergeleitet, sondern nur an den, an dem das Zielgerät angeschlossen ist – ein Switch trifft eine Weiterleitungsentscheidung anhand der selbsttätig gelernten Hardware-Adressen der angeschlossenen Geräte
Der Begriff Switch bezieht sich allgemein auf eine Multiport-Bridge – ein aktives Netzwerkgerät, das Frames anhand von Informationen aus dem Data Link Layer (Layer 2) des OSI-Modells weiterleitet
  • Manchmal werden auch die präziseren Bezeichnungen Bridging Hub oder Switching Hub verwendet, im IEEE 802.3-Standard heißt die Funktion MAC Bridge. (Packet „Switching“ ist aus der leitungsvermittelnden Technik entlehnt, tatsächlich wird nichts „geschaltet“.
  • Der erste EtherSwitch wurde im Jahr 1990 von Kalpana eingeführt
Dass dem Switch vergleichbare Gerät auf Netzwerkschicht 1 (Layer 1) wird als (Repeater-)Hub bezeichnet
  • Switches, die zusätzlich Daten auf der Netzwerkschicht (Layer 3 und höher) verarbeiten, werden oft als Layer-3-Switches oder Multilayer-Switches bezeichnet und können die Funktion eines Routers erfüllen
  • Neben Ethernet-Switches gibt es Fibre-Channel-Switches, auch SAS-Expander werden immer häufiger als Switches bezeichnet
  • Fibre Channel (FC) definiert ein nicht routingfähiges Standardprotokoll aus dem Bereich der Speichernetzwerke, das als Variante von SCSI für die Hochgeschwindigkeitsübertragung großer Datenmengen konzipiert wurde
  • SAS (Serial Attached SCSI) ist der direkte Nachfolger der älteren parallelen SCSI-Schnittstelle


Port Konfiguration

Port Konfiguration

Jumbo

Maximum Transmission Unit (MTU) von Jumbo-Frames

Option Beschreibung
Port Zu konfigurierende Ports
Typ Medientyp des Ports
Beschreibung Beschreibung für den Anschluss
Status Anschluss de-/aktivieren
Speed Geschwindigkeitsmodus des Anschlusses
  • Auto bedeutet, dass die Geschwindigkeit automatisch durch Auto-Negotiation bestimmt wird
  • Das an den Anschluss angeschlossene Gerät sollte die gleiche Geschwindigkeit und den gleichen Duplexmodus wie der Anschluss haben
Duplex Duplex-Modus des Anschlusses
  • Auto bedeutet, dass der Duplex-Modus automatisch durch Auto-Negotiation bestimmt wird
  • Das an den Anschluss angeschlossene Gerät sollte die gleiche Geschwindigkeit und den gleichen Duplexmodus wie der Anschluss haben
Flow Control Gerät kann bei Überlastung einen PAUSE-Frame senden
  • Gegenstelle informieren, dass sie für eine bestimmte Zeit keine Daten mehr senden soll
  • Paketverlust durch Überlastung vermeiden
LAG Link Aggregation Group des Anschlusses


Port Isolation

Port beschränken

Pakete nur an bestimmte Anschlüsse senden

Konfiguration
  1. Klicken auf Bearbeiten
  2. Ports auswählen, die isoliert werden sollen
  3. Weiterleitungsports auswählen
  4. Klicken auf Anwenden
Ports und Weiterleitungsliste einsehen
Option Beschreibung
Port Zeigt den Port an
LAG Link Aggregation Group des Anschlusses
Forwarding Port List Weiterleitungsliste des Ports


Loopback Detection

Schleifen erkennen
  • die an einem Port auftreten
Bei Erkennung einer Schleife
  • Warnung auf der Verwaltungsschnittstelle
  • Sperrung des entsprechenden Ports entsprechend der Konfiguration
Option Beschreibung
Loopback Detection Globale Aktivierung der Loopback-Erkennungsfunktion
Detection Interval Intervall zwischen Loopback-Erkennungspaketen
Auto-recovery Time Globale Auto-Wiederherstellungszeit
  • Blockierte Ports werden danach in den normalen Status versetzt
Web-Aktualisierungsstatus Web-Oberfläche aktualisieren
Web Refresh Interval Aktualisierungsintervall Web-Oberfläche in Sekunden


Port Config

Parameter der Loopback-Erkennung für Ports
Option Beschreibung
Port Anschluss, der konfiguriert werden soll
Status Status der Loopback-Erkennung
Operation Mode Aktion bei Erkennung einer Schleife
  • Alert
Anzeige des Schleifenstatus
  • Port Based
Warnung und Sperrung des entsprechenden Ports
  • VLAN Based
Warnung und Sperrung des entsprechenden VLAN
Recovery Mode Wiederherstellungsmodus für den Anschluss
  • Auto
Nach Wiederherstellungszeit in Normalzustand versetzen
  • Manual
Anschluss per Schaltfläche Recovery freigeben
Loop Status Schleife erkannt?
Block Status Anschluss blockiert?
Block VLAN VLAN blockiert?
LAG Link Aggregation Group des Anschlusses


Loopback Detection

Port Konfiguration

Jumbo

Maximum Transmission Unit (MTU) von Jumbo-Frames

Option Beschreibung
Port Zu konfigurierende Ports
Typ Medientyp des Ports
Beschreibung Beschreibung für den Anschluss
Status Anschluss de-/aktivieren
Speed Geschwindigkeitsmodus des Anschlusses
  • Auto bedeutet, dass die Geschwindigkeit automatisch durch Auto-Negotiation bestimmt wird
  • Das an den Anschluss angeschlossene Gerät sollte die gleiche Geschwindigkeit und den gleichen Duplexmodus wie der Anschluss haben
Duplex Duplex-Modus des Anschlusses
  • Auto bedeutet, dass der Duplex-Modus automatisch durch Auto-Negotiation bestimmt wird
  • Das an den Anschluss angeschlossene Gerät sollte die gleiche Geschwindigkeit und den gleichen Duplexmodus wie der Anschluss haben
Flow Control Gerät kann bei Überlastung einen PAUSE-Frame senden
  • Gegenstelle informieren, dass sie für eine bestimmte Zeit keine Daten mehr senden soll
  • Paketverlust durch Überlastung vermeiden
LAG Link Aggregation Group des Anschlusses


Port Isolation

Port beschränken

Pakete nur an bestimmte Anschlüsse senden

Konfiguration
  1. Klicken auf Bearbeiten
  2. Ports auswählen, die isoliert werden sollen
  3. Weiterleitungsports auswählen
  4. Klicken auf Anwenden
Ports und Weiterleitungsliste einsehen
Option Beschreibung
Port Zeigt den Port an
LAG Link Aggregation Group des Anschlusses
Forwarding Port List Weiterleitungsliste des Ports


Loopback Detection

Schleifen erkennen
  • die an einem Port auftreten
Bei Erkennung einer Schleife
  • Warnung auf der Verwaltungsschnittstelle
  • Sperrung des entsprechenden Ports entsprechend der Konfiguration
Option Beschreibung
Loopback Detection Globale Aktivierung der Loopback-Erkennungsfunktion
Detection Interval Intervall zwischen Loopback-Erkennungspaketen
Auto-recovery Time Globale Auto-Wiederherstellungszeit
  • Blockierte Ports werden danach in den normalen Status versetzt
Web-Aktualisierungsstatus Web-Oberfläche aktualisieren
Web Refresh Interval Aktualisierungsintervall Web-Oberfläche in Sekunden


Port Config

Parameter der Loopback-Erkennung für Ports
Option Beschreibung
Port Anschluss, der konfiguriert werden soll
Status Status der Loopback-Erkennung
Operation Mode Aktion bei Erkennung einer Schleife
  • Alert
Anzeige des Schleifenstatus
  • Port Based
Warnung und Sperrung des entsprechenden Ports
  • VLAN Based
Warnung und Sperrung des entsprechenden VLAN
Recovery Mode Wiederherstellungsmodus für den Anschluss
  • Auto
Nach Wiederherstellungszeit in Normalzustand versetzen
  • Manual
Anschluss per Schaltfläche Recovery freigeben
Loop Status Schleife erkannt?
Block Status Anschluss blockiert?
Block VLAN VLAN blockiert?
LAG Link Aggregation Group des Anschlusses


Spanning Tree Protocol

Spanning Tree Protocol - Schleifenunterdrückung bei redundanten Verbindungen zwischen Bridges oder Switches

Beschreibung

Unterdrückung kreisender Frames

STP (Spanning Tree Protocol)
Familie Inter-Switch-Kommunikation
Einsatzgebiet Management von logischen Ethernet-Verbindungen
Protokollstapel Netzzugang STP
Ethernet
Unterdrückung von kreisenden Ethernet-Frames

Identifiziert Mehrfachwege

  • Redundanten Wegen durch eine logische Blockierung bestimmter Pfade
  • Baumtopologie aufbauen, die keine Schleifen besitzt

Dazu werden auf den Switches mit redundante Verbindungen zu anderen Switches bis auf eine blockiert

  • Bei Ausfall der primären Verbindung können diese aktiviert
  • Erzeugen so ein hohes Maß an Fehlertoleranz
Beispiel einer Spanning Tree Topologie
IEEE 802.1D
Redundante Wege
  • Ausgehend von einem "Root"-Punkt wird nur ein Weg aktiviert
Switch-Infrastrukturen
  • Rechnernetzwerke können mit einer Vielzahl von Switches aufgebaut werden
Eindeutiger Datenpfad
  • Pakete eindeutig weiterleiten
  • Ethernet-Technologie muss sicherstellen, dass
  • zwischen zwei Rechnern jeweils nur ein Datenpfad existiert
Vermeidung von Broadcast-Stürmen
Wird nur erreicht, wenn ein Algorithmus existiert, der die Schleifenfreiheit der Topologie sicherstellt
Der Spanning Tree–Algorithmus (STA) wurde von Radia Perlman entworfen und 1990 als IEEE 802.1D standardisiert
  • Voraussetzung für die Funktionsfähigkeit dieses Konzeptes ist, dass der aufspannende Baum für den Nutzer vollkommen transparent erstellt werden kann.
  • Als einzige Aktion muss der Spanning-Tree-Algorithmus auf den Switches aktiviert sein.
Bridge Protocol Data Unit (BPDU)

Austausch von Konfigurationsnachrichten

  • Multicast-Paket
  • standardmäßig alle zwei Sekunden
  • nicht unerhebliche Netzlast
Redundanz
Einerseits ist Redundanz in einem Netz besonders wichtig, weil damit Netzwerke fehlertolerant werden.
  • Redundante Topologien schützen vor unerwünschten Ausfallzeiten im Netz aufgrund von Fehlern einer einzigen Verbindung, eines Anschlusses oder einer Netzeinheit.
Andererseits wird durch diese Redundanz in der Topologie die Möglichkeit für die fehlerhafte Doppelübertragungen von Informationen eröffnet.
  • Dem entgegenwirkt STP (Spanning Tree Protocol), indem es redundante Wege zwar erlaubt, aber immer nur genau einen Weg aktiv hält.
  • Dies führt zu einer schleifenfreien logischen Topologie, bei der zwischen zwei Rechnern im Netz immer nur ein aktiver Pfad besteht.

Aufspannen des Baumes

Ablauf
Schritt Option
1 Einschalten („Power up“) aller Bridges
2 Alle Bridges stellen ihre Ports auf „Blocked“
3 Jede Bridge nimmt an, sie sei die Root-Bridge, und sendet ihre Bridge ID an eine bestimmte Multicast-Gruppe
4 Die Bridge mit der kleinsten Bridge-ID (besteht aus Bridge Priority & MAC-Adresse) wird zur Root-Bridge
5 Die Root-Bridge sendet sogenannte Konfigurations-BPDUs (Bridge Protocol Data Unit) aus
6 Jede Bridge bestimmt den Port mit den kleinsten Pfadkosten zur Root-Bridge als Root-Port (Bei Ports mit gleichen Kosten gewinnt die kleinere Port-ID)
7 Die Designated Bridge wird festgelegt, dies ist die Bridge mit dem Root-Port

Wahl der Root-Bridge

Bestimmung erfolgt anhand der Bridge ID
  • Kleinste Bridge ID gewinnt
  • Bei gleichen Bridge IDs entscheidet die kleinere MAC-Adresse

Festlegung der Root-Ports

Jede Nicht-Root-Brücke muss einen Root Port ausweisen
  • wird durch den billigsten/schnellsten Weg der in Richtung Root Brücke zeigt ermittelt

Bestimmung der Designated-Ports

Jedes Segment hat einen Designated-Port
  • Die Root Bridge hat nur Designated Ports
  • Wegekosten '0'
Jedem Root-Port liegt ein Designated-Port' gegenüber
  • Auf Segmenten ohne Root-Port entscheiden die geringsten Wegekosten darüber
  • Sind die Wegekosten gleich, entscheidet die kleinste MAC Adresse welcher Switch den Designated-Port erhält
  • Dem Designated-Port liegt auf diesem Segment dann ein Blocked-Port gegenüber

Zuordnung einer Bridge pro LAN

Zuordnung ist entscheidend, um entsehende Schleifen zu verhindern

Wenn nur eine Bridge an ein spezielles LAN angebunden ist, ist die Wahl einfach:

  • Der Port, der zu diesem LAN gehöhrt wird ihm auch global zugeordnet.
  • Haben mehrere Bridges einen direkten Zugang zu einem LAN, wird der Port ausgewählt, welcher die geringsten Kosten bei einer Verknüpfung mit der Root-Bridge verursacht.
  • Hat die dem LAN zugewiesene Bridge mehrere Ports in diesem LAN, so wird der Port mit der geringsten Priorität genutzt.

Pfadkosten

Bandbreite STP-Kosten
10 MBit/s 100
16 MBit/s 62
100 MBit/s 19
200 MBit/s 12
622 MBit/s 6
1 GBit/s 4
10 GBit/s 2
20+ GBit/s 1

Eine 40- und eine 100-GBit-Verbindung haben in Summe die gleichen Wegekosten, wie eine 10-GBit Verbindung

  • hier würde es Sinn machen, die Ports einzeln zu konfigurieren

Topologie-Erkennung

Portzustände

Um die logische Netzwerktopologie kennenzulernen, durchläuft jeder Trunk-Port folgende Zustände

  • Für diesen Zustandsübergang werden in der Standardkonfiguration 50 Sekunden benötigt
Zustand Beschreibung
Disabled
  • Verwirft Frames
  • lernt keine Adressen
  • empfängt und verarbeitet keine BPDUs
Blocking
  • Verwirft Frames
  • lernt keine Adressen
  • empfängt und verarbeitet BPDUs
Listening
  • Verwirft Frames
  • lernt keine Adressen
  • empfängt, verarbeitet und überträgt BPDUs
Learning
  • Verwirft Frames
  • lernt Adressen
  • empfängt, verarbeitet und überträgt BPDUs
Forwarding
  • Leitet Frames weiter
  • lernt Adressen
  • empfängt, verarbeitet und überträgt BPDUs

Timer

Zeitspanne in der ein Port in einem Zustand verweilt

Durch Timer festgelegt

  • Nur die Root-Bridge kann die Einstellungen ändern
  • Drei Timer beeinflussen den Zustandswechsel und damit die Ausführungsgeschwindigkeit des Algorithmus
Timer Beschreibung
Hello timer Legt fest, wie oft das Netzwerkgerät Hallo-Nachrichten an andere Netzwerkgeräte sendet
Maximum age timer Legt fest, wie lange Protokollinformationen, die an einem Port empfangen werden, vom Netzwerkgerät gespeichert werden
Forward Delay Vorwärtsverzögerung ist die Zeit, die im Zuhör- und Lernzustand verbracht wird. Standardmäßig 15 Sekunden, kann jedoch auf einen Wert zwischen 4 und 30 Sekunden einstellen werden

Bridge Protocol Data Unit (BPDU)

Dateneinheit, die Briges/Switches austauschen, um Spanning Tree zu verwalten
Bridge Protocol Data Unit
2 Byte 1 Byte 1 Byte 1 Byte 8 Byte 2 Byte 2 Byte 2 Byte 2 Byte 2 Byte 2 Byte 2 Byte
Protocol ID Version Message Type Flags Root ID Cost of Path Bridge ID Port-ID Message Age Max age Hello timer Forward Delay
Feld Beschreibung
Flags
  • TC (Topology Change)
  • TCA (Topology Change Acknowledgement)

siehe #Topologieänderungen

Root Bridge ID ID der Root Bridge
Root Path Cost Kosten für den kürzesten Weg von der Sendebrücke zur Wurzelbrücke
  • Die Kosten betragen 0, wenn die sendende Brücke die Root-Brücke ist (oder glaubt, dass sie werden soll)
Bridge ID ID der Sendebrücke
Port ID Port-ID
Message Age Zeit, seit die Root-Bridge die Informationen in dieser BPDU generiert hat
Max Age Maximale Lebensdauer für Konfigurations-BPDUs
Hello Time Timeout benutzt von Hello timer
Forward Delay Timeout benutzt von Forward Delay timer
Bridge ID Ist eine "Kennung" (8 Byte) die sich aus einer sogenannten Priority (2 Byte -> 2^16 Bit -> max. 65.536) und der MAC-Adresse (6 Byte) des Switch zusammensetzt

Topologie

STP

Beispiel einer Spanning Tree Topologie

RSTP

Funktionen wie STP
schnellere Konvergenz
  • Bei signalisierten Topologie Änderungen, wird die vorhandene Netzstruktur weiter genutzt, während ein Alternativpfad berechnet wird
  • Erst anschließend wird ein neuer Baum zusammengestellt

MSTP

MSTP
Multiple Spanning Tree Protocol (MSTP)
  • Erweiterung von RSTP
Ermöglicht mit VLANs verschiedene Instanzen des Spannbaums
  • Für ein VLAN oder eine Gruppe von VLANs können unabhängige STP-Instanzen gebildet werden
    • die innerhalb eines LANs jeweils eigene unterschiedliche Spannbäume nutzen

CIST

Common Internal Spanning Tree
  • Umfasst alle LANs, STP- und RSTP-Bridges und MSTP-Regionen in einem Netzwerk
  • Das CIST bestimmt automatisch die MST-Regionen in einem Netzwerk und definiert die Root-Bridge (Switch) und den designierten Port für jede Region
  • Der CIST umfasst den Common Spanning Tree (CST), den Internal Spanning Tree (IST) innerhalb jeder Region und alle multiplen Spanning-Tree-Instanzen (MSTIs) in einer Region


Link Aggregation Control Protocol

Link Aggregation Control Protocol (LACP) - Ethernet-Schnittstellen nach IEEE 802.1AX-2008 zu einem logischen Übertragungskanal zusammenfassen (Link Aggregation)

Beschreibung

Dynamic Link Aggregation

Einordnung ins OSI-Modell
IEEE 802.1AX-2008
  • früher IEEE 802.3ad
Link Aggregation Sublayer
  • Data Link Layer (Sicherungsschicht)
  • zwischen dem MAC Client und MAC Sublayern
Link Aggregation Control Protocol Data Unit (LACPDU)
  • Austausch von Informationen bezüglich der Link-Aggregation
  • zwischen den Mitgliedern einer Link Aggregation Group (LAG)

Link Aggregation Group (LAG)

Vorteile LACP gegenüber statischer Link Aggregation

Automatisches Recovery

  • bei Ausfällen von einzelnen physischen Links
  • Solange zumindest ein physischer Link vorhanden ist, bleibt die LAG Verbindung aufrecht
Datenverkehr wird frame-weise über die physischen Links verteilt
  • Alle Frames, die zu einer bestimmten Datenkommunikation gehören, werden über dieselbe physische Verbindung übertragen
  • Das gewährleistet die Zustellung der einzelnen Frames einer Datenkommunikation in der richtigen Reihenfolge
Ausfall eines physischen Links wird selbst dann erkannt, wenn die Punkt-zu-Punkt Verbindung über einen Media Konverter läuft und damit der Link-Status am Switchport auf Up bleibt
  • LACPDUs bleiben auf dieser Verbindung aus, damit wird dieser Link aus der LAG entfernt
    • Somit gehen darüber keine Pakete verloren
Geräte können sich gegenseitig die LAG Konfiguration bestätigen
  • Bei statischer Link Aggregation werden Konfigurations- oder Verkabelungsfehler oft nicht so schnell erkannt

Voraussetzungen

Links einer Link-Aggregation-Group müssen parallele Punkt-zu-Punkt Verbindungen sein
Identische Datenrate
Parallele Punkt-zu-Punkt Verbindungen
  • Endpunkt immer genau ein Switch oder Server

Bündelungsverfahren

Option  Beschreibung
Roundrobin Alle zur Verfügung stehenden Leitungen abwechselnd der Reihe nach nutzen
DA-Trunking Anhand des Modulo der Destination-MAC-Adresse die elementare Schnittstelle wählen
SA-Trunking Anhand des Modulo der Source-MAC-Adresse die elementare Schnittstelle wählen
SA-DA-Trunking Anhand des Modulo der Source-MAC-Adresse und der Destination-MAC-Adresse die elementare Schnittstelle wählen
Adaptives Trunking Erst bei 100 % Auslastung der ersten elementaren Schnittstelle eine weitere zuschalten
Dynamisches Trunking Link Aggregation Control Protocol (LACP) und bei proprietären Verfahren wie PAgP möglich

Aktives und passives LACP

Port konfigurieren
Konfiguration Beschreibung
Aktiv Bevorzugt LACPDU
  • Spricht das Protokoll
  • Gleichgültig ob die Gegenstelle Passive LACP hat oder nicht
  • a preference to speak regardless
Passiv Bevorzugt keine LACPDU
  • Nur wenn die Gegenstelle Active LACP hat
  • überträgt der Port LACPDUs
  • preference not to speak unless spoken to


Port Mirroring

Port Mirroring - Kopieren des Datenverkehrs einer Quelle (Ports, LAGs oder die CPU) an einen Zielport

Beschreibung

Motivation
  • Verhalten von Endgeräte untersuchen
Möglichkeiten
  • Port Mirroring am Switch
  • Netwerk-Tap

Problematik

Der Einsatz von NetMon 3 und WireShark erfordert, dass man die Pakete auch geliefert bekommt, die man anschauen will
  • Das funktioniert auf einem "shared Medium" wie dem alten BNC-Kabel (10MBit) oder einem Hub recht einfach
  • Aber schon bei 100MBit sind Switches im Einsatz und die entscheiden anhand der MAC-Adresse, was ich sehen kann
Allerdings gibt es bei "verwalteten" Switches oft die Möglichkeit, einen Port zu "Spiegeln" (Mirroring), d.h. alle Daten, die auf einem Port raus- und reingehen, werden auf einem anderen Port als Kopie noch einmal ausgegeben.
  • So kann dann ein an diesem Port angeschlossener Analyseclient diese Daten mitschneiden und analysieren.
Einsatzbereich

Analyse von Endgeräten

  • Ich schaue schon mal gerne einem VoIP-Telefon auf die Finger
  • in welcher Reihenfolge es versucht Namen aufzulösen und Hosts zu erreichen
  • Auch "Smart-TVs" sind durchaus für eine weitere Untersuchung interessant
Verkehrsdatenerfassung
  • Wenn ihr Router/Switch kein SFLOW, NetFlow o.ä. unterstützt, dann ist es durchaus eine Option, die fragliche Leitung zu "spiegeln" und an einem anderen System die Datenpakete auf Quelle und Ziel zu untersuchen, z. B.  mit NTOP o.ä. Fehlersuche
  • Generell ist so ein Mitschnitt immer dann ein Weg zur Fehlersuche, wenn alle anderen "offensichtlichen" Probleme nicht zutreffen
  • Selbst ein Netzwerkmonitor auf einem beteiligten Server sieht immer nur, was über den Netzwerkstack zur Netzwerkkarte geht, aber nicht, was letztlich auf dem Kabel landet
  • Ich kann mich gut an den Fall erinnern, als zwischen zwei Exchange Servern Mails mit 25 Empfänger nicht zugestellt wurden
  • Ursache war ein fehlerhafter Netzwerktreiber, der das Paket nie auf die Leitung gesetzt hat
  • Das war in NETMON auf dem absendenden Server nicht zu sehen
Das Problem der großen Switches ist aber, dass sie ein groß sind und damit eher stationär eingesetzt werden
  • Weiterhin muss das Mirroring über die Managementfunktionen konfiguriert werden, die sich nicht immer auf Anhieb erschließen
  • Zudem sind solche Switches in der Regel etwas teurer

Port-Spiegelung

Port Mirroring wird auf einem Netzwerk-Switch verwendet, um eine Kopie von Netzwerk- [1], die auf einem Switch-[2] (oder einem gesamten VLAN) gesehen werden, an eine Netzwerküberwachung-Verbindung auf einem anderen Switch-Port zu senden.

  • Dies wird üblicherweise für Netzwerkgeräte verwendet, die eine Überwachung des Netzwerkverkehrs erfordern, wie z. B.  ein Intrusion Detection System, Passive Probe oder Real User Monitoring (RUM) Technologie, die zur Unterstützung von Application Performance Management (APM) verwendet wird.
  • Port Mirroring auf einem Cisco Systems Switch wird im Allgemeinen als Switched Port Analyzer (SPAN) oder Remote Switched Port Analyzer (RSPAN) bezeichnet.
  • Andere Hersteller haben andere Bezeichnungen dafür, z. B.  Roving Analysis Port (RAP) auf 3Com-Switches.

Netzwerktechniker oder -administratoren verwenden die Port-Spiegelung, um Daten zu analysieren und debug oder Fehler in einem Netzwerk zu diagnostizieren.

  • Es hilft Administratoren, die Netzwerkleistung genau im Auge zu behalten und alarmiert sie, wenn Probleme auftreten.
  • Es kann verwendet werden, um entweder eingehenden oder ausgehenden Datenverkehr (oder beides) auf einer oder mehreren Schnittstellen zu spiegeln.
  1. https://en.wikipedia.org/wiki/Port_mirroring

Port-Mirroring

Beim Port-Mirroring spiegelt der Switch die Datenströme eines ausgewählten Ports (monitored Port) auf einen Ausgabe-Port (Monitoring-Port)
  • So kann der Datenstrom des ausgewählten Ports mittels einem am Monitoring-Port angeschlossenen Messgerät analysiert werden, wie dargestellt

"Bild :Datenverkehr auslesen mittels Port-Mirroring"

Bild
Datenverkehr auslesen mittels Port-Mirroring
Der verwendete Switch muss hierzu Port-Mirroring unterstützen
  • Die gesendeten und empfangenen Daten des zu überwachenden Ports (monitored Port) werden auf den Monitoring Port übertragen
  • Die Datenrate des Monitoring-Ports begrenzt dabei die zu analysierende Datenmenge.
  • Die Summe der ein- und ausgehenden Daten auf dem monitored Port darf die Datenrate des Monitoring-Ports nicht übersteigen
Port-Mirroring bietet eine einfache Methode, Datenströme auszulesen
  • Der verwendete Switch muss Port Mirroring unterstützen und es muss ein freier Port am Switch zur Verfügung stehen
  • Es können nur Daten erfasst werden, die den Switch durchlaufen
  • Von dem Einbauort des Switches hängt daher ab, welche Datenströme erfasst werden können
  • Die am Monitoring-Port ausgegebenen Pakete können sich von den ursprünglichen Paketen in Bezug auf ihren Aufbau (VLAN-Tag) sowie die zeitliche Zuordnung unterscheiden


Internet Protocol

Internet Protocol (IP) - Netzwerkprotokoll auf OSI-Layer 3

Beschreibung

Internet Protocol (IP) ist ein in Computernetzen weitverbreitetes Netzwerkprotokoll und stellt durch seine Funktion die Grundlage des Internets dar

Anwendung HTTP IMAP SMTP DNS
Transport TCP UDP
Internet IP (IPv4, IPv6)
Netzzugang Ethernet TokenBus TokenRing WLAN

Das Internet Protocol (IP) ist ein in Computernetzen weit verbreitetes Netzwerkprotokoll und stellt durch seine Funktion die Grundlage des Internets dar.

  • Das IP ist die Implementierung der Internetschicht des TCP/IP-Modells bzw. der Vermittlungsschicht (engl. Network Layer) des OSI-Modells.
  • IP ist ein verbindungsloses Protokoll, das heißt bei den Kommunikationspartnern wird kein Zustand etabliert.

Eigenschaften und Funktionen

Das Internet Protocol bildet die erste vom Übertragungsmedium unabhängige Schicht der Internetprotokolle

  • Das bedeutet, dass mittels IP-Adresse und Subnetzmaske (subnet mask) für IPv4, bzw. Präfixlänge bei IPv6, Computer innerhalb eines Netzwerkes in logische Einheiten, sogenannte Subnetze, gruppiert werden können.
  • Auf dieser Basis ist es möglich, Computer in größeren Netzwerken zu adressieren und ihnen IP-Pakete zu senden, da logische Adressierung die Grundlage für Routing (Wegewahl und Weiterleitung von Netzwerkpaketen) ist.

Adressvergabe

Öffentliche IP-Adressen müssen in der Regel weltweit eindeutig zugeordnet werden können, daher ist deren Vergabe durch die Internet Assigned Numbers Authority (IANA) geregelt.

IPv4#Adressknappheit Bei IPv4 ist der zu vergebende Adressraum weitgehend aufgebraucht.

  • Die IANA hat im Februar 2011 die letzten Adressblöcke an die RIRs vergeben.

Versionsgeschichte

Im Mai 1974 veröffentlichten Vint Cerf und Bob Kahn in einer Forschungsarbeit ein Netzwerkprotokoll zur übergreifenden Kommunikation zwischen unterschiedlichen paketvermittelten Netzen.
  • In dem Modell führen Endgeräte () ein „Übertragungskontrollprogramm“ ( – TCP) aus, das die Übermittlung eines kontinuierlichen Datenstroms zwischen Prozessen sicherstellt. Gateways übernehmen die Umformung von Paketen an Netzwerkgrenzen.
Die erste vollständige Protokollspezifikation erschien mit RFC 675 im Dezember 1974. Das monolithische Übertragungskontrollprogramm wurde später in eine Modularchitektur geteilt, die aus dem Internetprotokoll () zur Host-zu-Host-Kommunikation und dem Übertragungskontrollprotokoll ( – TCP) zur Prozess-zu-Prozess-Kommunikation bestand.
  • Das Modell wurde bekannt als TCP/IP-Referenzmodell.
Beide Protokolle wurden mehrfach überarbeitet, ehe sie zum praktischen Einsatz kamen.
  • Neben der finalen Bezeichnung als „Internet Protocol“ wurde in Entwürfen auch „Internetwork Protocol“,verwendet.
  • Bei größeren Änderungen des IP-Headers wurde eine im Header enthaltene Versionsnummer hochgezählt.
  • Bei der Einführung von TCP/IP im ARPANET am 1. Januar 1983 trugen IP-Pakete daher die Versionsnummer 4.
  • Vorherige Versionen waren nicht verbreitet.
Im ersten Protokollentwurf war ein Adressierungsschema variabler Länge vorgesehen, bestehend aus einer mindestens 4 Bit langen Netzadresse, einer 16 Bit langen Hostadresse und einer 24 Bit langen Portnummer. Später wurden IP-Adressen auf 32 Bit festgelegt, bestehend aus 8 Bit Netzadresse und 24 Bit Hostadresse. Die Portnummer wurde zu TCP verschoben und auf 16 Bit gekürzt.
  • Mit RFC 791 wurden Netzklassen eingeführt, um mehr Flexibilität bei der Aufteilung einer IP-Adresse in Netz- und Hostteil zu haben. Subnetting war zu dem Zeitpunkt noch nicht vorgesehen. Jon Postel kümmerte sich um die Vergabe von Netzadressen – eine Rolle, die später als Internet Assigned Numbers Authority bezeichnet wurde.
Mit der sich abzeichnenden Knappheit von IP-Adressen begann Anfang der 1990er Jahre die Entwicklung eines Nachfolgeprotokolls.
  • Zur Unterscheidung wurde das etablierte Internetprotokoll entsprechend der Versionsnummer im IP-Header als IPv4 und das neue Internetprotokoll als IPv6 bezeichnet.
  • Die wichtigste Neuerung ist der erheblich größere Adressraum: gegenüber den 32-Bit-Adressen bei IPv4 (ergibt ca. 4 Milliarden, oder 4,3·109 Adressen) verwendet IPv6 128-Bit-Adressen (ergibt ca. 340 Sextillionen, oder 3,4·1038 Adressen).
IPv5

Die Versionsnummer 5 war durch das experimentelle Internet Stream Protocol belegt, das nicht als Nachfolger, sondern als Ergänzung parallel zum Internetprotokoll gedacht war.

  • Das Internet Stream Protocol wurde später aufgegeben ohne eine nennenswerte Verbreitung erlangt zu haben.
  • Die Versionsnummern 7 bis 9 wurden für verschiedene Vorschläge eines IPv4-Nachfolgers verwendet, die jedoch zugunsten von IPv6 aufgegeben wurden.
Verbreitung von IPv6
Die Verbreitung von IPv6 nimmt langsam zu, liegt jedoch hinter der Verbreitung von IPv4.

Zuverlässigkeit

Designgrundsätze

Die Designgrundsätze der Internetprotokolle nehmen an, dass die Netzinfrastruktur an jedem einzelnen Netzelement oder Übertragungsmedium von Natur aus unzuverlässig ist.

  • Auch setzen diese voraus, dass sich die Infrastruktur in Bezug auf Verfügbarkeit von Verbindungen und Knoten dynamisch verhält.
  • Um jedoch die Netzinfrastruktur aufrechtzuerhalten, wird das Hauptaugenmerk der Datenübertragung vorsätzlich größtenteils auf den Endknoten jeder einzelnen Datenübermittlung gelegt.
  • Router im Übertragungspfad schicken Datenpakete nur zu direkt erreichbaren und bekannten Übergängen, die die für den Bestimmungsort festgelegten Adressen vom Routenplanungspräfix vergleichen.

Demzufolge stellen diese Internetprotokolle nur beste Übergänge zur Verfügung, wodurch diese Dienste als unzuverlässig charakterisiert werden.

  • Das IP ist verbindungslos, jedes einzelne Datenpaket wird unabhängig behandelt.
  • Da jeder einzelne Übermittlungsweg eines Datenpaketes neu definiert wird (dynamisch), ist es möglich, dass die Pakete auf verschiedenen Pfaden zu ihrem Bestimmungsort gesendet werden.

Die Internetprotokoll-Version 4 (IPv4) stellt den benötigten Schutz zur Verfügung, um sicherzustellen, dass der Protokollkopf jedes Datenpaketes fehlerfrei ist.

  • Ein Routenplanungsknoten berechnet eine Prüfsumme für den Paketkopf.
  • Wenn die Prüfsumme ungültig ist, verwirft der Routenplanungsknoten das Paket.
  • Der Routenplanungsknoten muss keinen Endknoten bekannt geben, obwohl das Internetkontrollnachrichtenprotokoll (ICMP) solche Ankündigungen erlaubt.
  • Im Gegensatz dazu verfügt die Internetprotokoll-Version 6 (IPv6) über keine Prüfsumme, was zu einer schnelleren Verarbeitung während der Routenplanung führt.

Alle Fehlerquellen im Übertragungsnetz müssen entdeckt und mithilfe der Übertragung auf Endknoten ersetzt werden.

  • Die oberen Schicht-Protokolle der Internetprotokoll-Familie sind dafür verantwortlich, Zuverlässigkeitsprobleme aufzulösen.
  • Zum Beispiel kann ein Host Daten zurückhalten und eine Richtigstellung durchführen, bevor die Daten an den jeweiligen Empfänger geliefert werden.

Linkkapazität und Leistungsfähigkeit

Selbst wenn der Übermittlungspfad verfügbar und zuverlässig ist, besteht wegen der dynamischen Natur und der Heterogenität des Internets und seiner Bestandteile keine Garantie, dass auch tatsächlich jeder dieser einzelnen Pfade fähig ist, eine Datenübermittlung durchzuführen.

  • Zum Beispiel stellt die erlaubte Übermittlungsgröße der jeweiligen Datenpakete eine technische Einschränkung dar.
  • Jede Anwendung muss versichern, dass richtige Übertragungseigenschaften verwendet werden.

Ein Teil dieser Verantwortung liegt auch in den oberen Schicht-Protokollen.

  • IPv6 verwendet die Fähigkeit, die maximale Übertragungseinheitsgröße einer lokalen Verbindung, sowie den dafür komplett geplanten Pfad zum Bestimmungsort zu untersuchen.
  • Die IPv4-Zwischennetzwerkanschlussschicht hat die Fähigkeit ursprünglich, große Datenpakete automatisch in kleinere Einheiten für die Übertragung zu zerlegen.

Das Transmission Control Protocol (TCP) ist ein Beispiel eines Protokolls, das seine Segment-Größe reguliert, um kleiner als der maximal erlaubte Durchfluss, die Maximum Transmission Unit (MTU), zu sein.


Router

Router - Aktive Netzwerk/Hardware auf OSI-Layer 3

Beschreibung

Verbindung von Netzwerken auf OSI-Layer 3
(Cisco-)Symbol für einen Router
SOHO-Router: Linksys WRT54G
Hochleistungsrouter
IP-Pakete an ihre Ziele weiterleiten
  • Router stellen eine Verbindung zwischen zwei oder mehr IP-Netzwerken oder mehr IP-Netzwerken oder Subnetzwerken her
  • Arbeitet auf der 3. Schicht im OSI-Modell (Vermittlungsschicht)
Einsatz
Anpassung an Netzwerktechniken
Weiterleitungsentscheidung

Anhang

Siehe auch

Links

Weblinks

OPNsense

OPNsense ist eine freie Firewall-Distribution auf Basis von FreeBSD

Beschreibung

Einsatzgebiete

Option Beschreibung
Firewall und NAT
DNS-Server
DHCP-Server
NTP-Server
Proxy-Server
URL-Filter
Reverse-Proxy
Zertifikatsmanagement
VPN-Server
stateful Perimeter-Firewall
Router
Wireless Access Point
DHCP-Server
DNS-Server
VPN-Endpunkte

Eigenschaften

  • Modularisierung
  • Härtung
  • Einfache und zuverlässige Firmware-Upgrades
  • Mehrsprachiger Unterstützung
  • Schneller Übernahme von Upstream-Software-Updates

Lizenz

Freie Software/Open-Source

Klare und stabile Lizenzierung

Kann frei verwendet werden

Auch für kommerzielle Projekte

  • Verwenden
  • Kopieren
  • Verändern
  • Verbreiten


Intrusion Detection System

Intrusion Detection System - System zur Erkennung von Angriffen gegen Computersysteme oder Rechnernetze

Beschreibung

Intrusion Detection System dinen der Erkennung von Angriffen gegen Computersysteme oder Rechnernetze

Motivation

Sicherheit von Netzwerken und Computersystemen erhöhen
Das Internet ist voll von böswilligen Akteuren
  • Machen sich unsichere Netzwerke und Geräte zunutze
  • Auch wenn Unternehmen und Behörden aufgrund der wertvollen Daten, die sie besitzen, die größten Angriffsziele darstellen, müssen Privatanwender dennoch vorsichtig sein.
  • Phishing-Angriffe, in der Regel per E-Mail, sind der häufigste Angriff für Privatanwender.
  • Glücklicherweise sind diese Angriffe in der Regel leicht zu vermeiden, wenn aufmerksame Benutzer nicht blindlings auf jeden Anhang oder Weblink in ihren E-Mails klicken.
  • Allerdings werden bösartige Aktivitäten in Bezug auf Router und Internet-of-Things-Geräte (IoT), die viele Nutzer in ihrem Heimnetzwerk haben, immer häufiger.
  • Software- und Firmware-Updates für Router und IoT-Geräte werden von den Nutzern oft vernachlässigt - entweder aus mangelndem Bewusstsein und/oder wegen fehlender technischer Fähigkeiten, die Updates anzuwenden.
Viele Router bieten Intrusion Detection als zusätzliche Sicherheitsfunktion
  • Router verfügen in der Regel über integrierte Firewall-Funktionen, und der Trend geht immer mehr dahin, auch Intrusion Detection zu integrieren.
  • Die Intrusion Detection kann in Verbindung mit der Standard-Firewall des Routers verwendet werden und bietet eine zusätzliche Sicherheitsebene.
  • Man kann sich die Intrusion Detection als eine Reihe von Indikatoren/Regeln vorstellen, die zur Warnung oder Blockierung bestimmter Arten von Internet- und Netzwerkverkehr verwendet werden können.
  • Dabei kann es sich um verdächtigen, gefährlichen oder anderen unerwünschten Verkehr im Netzwerk handeln (wie Peer-to-Peer- oder Tor-Verkehr).

Detection

  • Intrusion = Eindringen
  • Detection = Bemerken

Wo detektieren?

Angriffe aufzeichnen

Angriffe werden in Log-Dateien gesammelt
  • Benutzern oder Administratoren mitgeteilt
hier grenzt sich der Begriff von Intrusion Prevention System („Verhindern“, IPS) ab
  • welches ein System beschreibt, das Angriffe automatisiert und aktiv verhindert

Nachteile

  • Da ein Intrusion-Detection- oder Intrusion-Prevention-System in der Regel eine aktive Komponente ist, besteht die Möglichkeit, dass es als Angriffsziel genutzt wird
  • Intrusion-Detection- bzw. Intrusion-Prevention-Systeme, die sich in-line – d.h. ohne gebundenen IP-Stack und IP-Adressen – in ein Netzwerk einbinden lassen und als transparent arbeitende Layer-2-Netzwerk/Hardware arbeiten, sind von dieser Gefahr nur begrenzt betroffen.
  • Im Gegensatz zu Intrusion-Prevention-Systemen werden Angriffe nur erkannt, aber nicht verhindert.
Intrusion-Prevention-Systeme (IPS)
  • Intrusion-Detection-Systeme (kurz: IDS) bezeichnet
  • die über die reine Generierung von Ereignissen (Events) hinaus Funktionen bereitstellen
    • die einen entdeckten Angriff abwehren können.

Praktischer Einsatz

Herausforderungen

Arbeitsweise

Verfahren zur Einbruchserkennung
Methode Beschreibung
Mustererkennung Vergleich mit bekannten Angriffssignaturen
Heuristik Statistische Analyse

Mustererkennung

  • Die meisten IDS arbeiten mit Filtern und Signaturen, die spezifische Angriffsmuster beschreiben
  • Nachteil: Nur bekannte Angriffe werden erkannt
Der Prozess ist in drei Schritte unterteilt
  1. Wahrnehmung
    • eines IDS wird durch Sensoren ermöglicht, die Logdaten (HIDS) oder Daten des Netzwerkverkehrs (NIDS) sammeln.
  2. Mustererkennung
    • überprüft und verarbeitet das Intrusion Detection System die gesammelten Daten und vergleicht sie mit Signaturen aus der Musterdatenbank.
  3. Intrusion Alert
    • Treffen Ereignisse auf eines der Muster zu, so wird ein „Intrusion Alert“ (Einbruchs-Alarm) ausgelöst.
    Dieser kann vielfältiger Natur sein.
    • Es kann sich dabei lediglich um eine E-Mail oder SMS handeln, die dem Administrator zugestellt wird oder, je nach Funktionsumfang, eine Sperrung oder Isolierung des vermeintlichen Eindringlings erfolgen.

Datei:Ids funk.gif

Bei der Erkennung von Angriffen untersuchen die IDP-Systeme den Datenstrom auf Muster
  • Diese Muster können auf Angriffe auf Netzwerk-Ebene oder auf Anwendungsebene abzielen
„Intrusion Detection and Prevention System“ (auch kurz IDS, IPS oder IDPS)

Der Hauptunterschied zwischen IDS und IPS ist der Schutz

  • während das Intrusion Detection System nur auf die Erkennung von Angriffen und der Alarmierung beschränkt ist, kann ein
  • Intrusion Prevention System bei der Erkennung von Angriffen, die Kommunikation aktiv verhindern
Wenn man ein System als IPS betreiben möchte, muss es zwingend im Kommunikationspfad (beispielsweise auf Routing-Instanzen) integriert sein.
  • Ein IDS dagegen kann auch passiv im Netzwerk integriert sein
  • Dafür eignen sich entweder Mirror-Ports auf Switches oder Tap-Devices

Heuristik

Andere IDS verwenden heuristische Methoden, um auch bisher unbekannte Angriffe zu erkennen.

Ziele

Nicht nur bereits bekannte Angriffe erkennen, sondern auch

  • ähnliche Angriffe
  • Abweichen von einem Normalzustand
In der Praxis haben signaturbasierte Systeme mit Abstand die größte Verbreitung
  • Verhalten besser voraussehbar

Intrusion Prevention

Anstatt nur einen Alarm auszulösen

ist ein Intrusion Prevention System (kurz IPS) in der Lage

  • Datenpakete zu verwerfen
  • die Verbindung zu unterbrechen
  • übertragenen Daten zu ändern

Oft wird hierbei eine Anbindung an ein Firewallsystem genutzt, durch das dann bestimmte durch das IPS definierte Regeln angewandt werden.

IPS/IDS neuerer Bauart arbeiten oft mit einer Kombination aus Stateful inspection, Pattern Matching und Anomalieerkennung.

  • Damit lassen sich Abweichungen von einer festgelegten Protokollspezifikation, wie beispielsweise dem Internet Protocol (RFC 791), erkennen und verhindern.

Ferner werden auch in anderen Bereichen Bestrebungen nach derartigen Systemen deutlich

  • wie beispielsweise der Schutz von Telefonanlagen durch intelligente, signaturbasierte Intrusion Detection

Architekturen

Host-basiert

HIDS = Host-basiertes Intrusion Detection System
Älteste Art von Angriffserkennungssystemen
Host-basierte IDS werden auf zu überwachenden Systemen installiert
Es erhält seine Informationen aus
Es schlägt Alarm, sobald es in den überwachten Daten einen vermeintlichen Angriff erkennt
System Integrity Verifiers
  • Unterart der HIDS
  • Mithilfe von Prüfsummen bestimmen, ob Veränderungen am System vorgenommen wurden
Vorteile
  • Sehr spezifische Aussagen über den Angriff.
  • Kann ein System umfassend überwachen.
Nachteile
  • Kann durch einen DoS-Angriff ausgehebelt werden.
  • Wenn das System außer Gefecht gesetzt wurde, ist auch das IDS lahmgelegt.

Netzwerk-basiert

Netzwerk-basiertes Intrusion Detection System (NIDS)
  • versuchen, alle Pakete im Netzwerk aufzuzeichnen, zu analysieren und verdächtige Aktivitäten zu melden
  • Diese Systeme versuchen außerdem, aus dem Netzwerkverkehr Angriffsmuster zu erkennen.
  • Da heutzutage überwiegend das Internetprotokoll eingesetzt wird, muss auch ein Angriff über dieses Protokoll erfolgen.
  • Mit nur einem Sensor kann ein ganzes Netzsegment überwacht werden.
  • Jedoch kann die Datenmenge eines modernen 1-GBit-LANs die Bandbreite des Sensors übersteigen.
  • Dann müssen Pakete verworfen werden, was keine lückenlose Überwachung mehr garantiert.
Vorteile
  • Ein Sensor kann ein ganzes Netz überwachen.
  • Durch Ausschalten eines Zielsystems ist die Funktion des Sensors nicht gefährdet.
Nachteile
  • Keine lückenlose Überwachung bei Überlastung der Bandbreite des IDS.
  • Keine lückenlose Überwachung in geswitchten Netzwerken (nur durch Mirror-Port auf einem Switch).
  • Keine lückenlose Überwachung bei verschlüsselter Kommunikation (kann zwar möglicherweise die Datenpakete sehen, aber nicht den verschlüsselten Inhalt)

Hybrid

Hybride IDS verbinden beide Prinzipien
  • höhere Abdeckung bei der Erkennung von aufgetretenen Angriffen
Netz- und hostbasierten Sensortypen
  • , die an ein zentrales Managementsystem angeschlossen sind
  • Viele heute eingesetzte IDS beruhen auf einer solchen hybriden Funktionsweise
Komponenten
  • Management
  • Hostbasierte Sensoren (HIDS)
  • Netzbasierte Sensoren (NIDS)

Intrusion Prevention

Funktion

Datenverkehr zu/von IT-Systemen oder Netzen aktiv überwachen
  • Das Ziel ist es, Ereignisse herauszufiltern, die auf Angriffe, Missbrauchsversuche oder Sicherheitsverletzungen hindeuten.
  • Ereignisse sollen dabei zeitnah erkannt und gemeldet werden.
  • Die Verfahren basieren auf Mustererkennung, um ein Abweichen von einem Normalzustand zu signalisieren.
  • Mit heuristischen Methoden sollen auch bisher unbekannte Angriffe erkannt werden.[2]
  • Während IDS Angriffe nur erkennen, sollen IPS diese auch abwehren bzw. verhindern.
  • Allerdings wurde der Begriff ursprünglich durch das Marketing geprägt, was dazu führte, dass teilweise kontroverse Vorstellungen darüber existieren, inwiefern von einem Intrusion-Prevention-System gesprochen werden kann.
  • Die durch die Untersuchung der Daten durch ein IPS-System hervorgerufene Latenzzeit liegt üblicherweise bei unter 100 Mikrosekunden[3].
  • Eine weitere Funktion von einigen OSI-Layer-2-basierten IPS-Systemen ist die Weiterleitungsmöglichkeit von IP-Rahmen selbst bei Stromausfall des IPS-Systems ("Zero Power High Availability").
Folgende Charakteristika werden häufig als Attribute eines Network-based IPS hervorgehoben
  • das IPS wird inline (im Übertragungsweg) eingesetzt und kann im Alarmfall den Datenstrom unterbrechen oder verändern
  • das IPS verfügt über Module, die aktiv die Regeln von Firewallsystemen beeinflussen.
  • Somit kann indirekt der Datenstrom unterbrochen oder verändert werden
Man unterscheidet nach ihrer Funktionsweise verschiedene Arten von IPS
  • Das HIPS (Host-based IPS) wird auf dem Computer ausgeführt, in den ein Eindringen verhindert werden soll.
  • Das NIPS (Network-based IPS) hingegen überwacht den Netzwerkverkehr, um angeschlossene Computer vor Eindringlingen zu schützen.
    • Das CBIPS (Content-based IPS) untersucht hierbei den Inhalt der übertragenen Daten auf potentiell gefährliche Komponenten.
    • Das Protocol Analysis IPS analysiert die Übertragungen auf Protokollebene und sucht dabei nach eventuellen Angriffsmustern.
    • Das RBIPS (Rate-based IPS) überwacht Art und Menge des Datenverkehrs, um netzwerktechnische Gegenmaßnahmen einleiten zu können.

Open-Source-Implementationen

  • Snort
  • Untangle NIPS
  • Lokkit

Honeypot

Ein Honeypot (Köder) ist ein Computer im Netzwerk, der Hacker verleiten soll, genau diesen anzugreifen


Netzarchitektur und -design

NET.1.1 Netzarchitektur und -design - Baustein des IT-Grundschutz/Kompendiums

Beschreibung

Informationssicherheit als integralen Bestandteil der Netzarchitektur und des Netzdesigns etablieren
Institutionen benötigen Datennetze
  • Geschäftsbetrieb, Fachaufgaben, Informationens-/Datenaustausch, Verteilte Anwendungen, ...
Nicht nur herkömmliche Endgeräte
  • Partnernetze, Internet
  • Mobile Endgeräte, IoT-Komponenten (Internet of Things)
Cloud-Dienste
  • Dienste für Unified Communication and Collaboration (UCC)
Viele Endgeräte und Dienste steigen Risiken
Sicheren Netzarchitektur
  • Planung
  • Netz durch sichere Netzarchitektur schützen
  • Lokales Netz (Local Area Network, LAN)
  • Wide Area Network (WAN)
  • Eingeschränkt vertrauenswürdige Netze
Hohes Sicherheitsniveau
  • Zusätzliche sicherheitsrelevante Aspekte berücksichtigen
    • Beispiele: Sichere Trennung verschiedener Mandanten und Gerätegruppen
  • Auf Netzebene und die Kontrolle ihrer Kommunikation durch eine Firewall
  • Ein weiteres wichtiges Sicherheitselement, speziell bei Clients, ist außerdem die Netzzugangskontrolle
Grundsätzliche Anforderungen
  • Netzwerkplanung
  • Netzwerkaufbau
  • Netzwerkbetrieb
  • Architektur und Design
Allgemeine Anforderungen
  • Müssen für alle Netztechniken beachtet und erfüllt werden
z. B. dass Zonen gegenüber Netzsegmenten immer eine physische Trennung erfordern
Fokus
  • Kabelgebundenen Netzen und Datenkommunikation

Modellierung

NET.1.1 ist auf das Gesamtnetz einer Institution inklusive aller Teilnetze anzuwenden

Abgrenzung

Relevante Bausteine
Baustein Bezeichnung Beschreibung
NET.3 Netzkomponenten Betrieb von Netzkomponenten
NET.2 Funknetze Wireless LAN (WLAN)
SYS.1.8 Speicherlösungen Speichernetze (Storage Area Networks, SAN)
NET.4.2 VoIP Voice over IP
Virtual Private Cloud/Hybrid Cloud Cloud-Computing
NET.1.2 Netzmanagement Netzmanagement

Zuständigkeiten

Zuständigkeiten Rollen
Grundsätzlich zuständig Planende
Weitere Zuständigkeiten IT-Betrieb
Informationssicherheitsbeauftragte (ISB)

Bei strategischen Entscheidungen einbeziehen

Stellt sicher, dass die Anforderungen des Sicherheitskonzepts

  • erfüllt und überprüft werden
  • gemäß dem festgelegten Sicherheitskonzept

Gefährdungslage

Bedrohungen und Schwachstellen von besonderer Bedeutung

Schwachstelle Beschreibung
Performance Unzureichend dimensionierte Kommunikationsverbindungen
Netzzugänge Ist das interne Netz mit dem Internet verbunden und der Übergang nicht ausreichend geschützt
Aufbau Wird ein Netz unsachgemäß aufgebaut oder fehlerhaft erweitert, können unsichere Netztopologien entstehen oder Netze unsicher konfiguriert werden.

Performance

Unzureichend dimensionierte Kommunikationsverbindungen
  • Clients nur noch eingeschränkt mit Servern kommunizieren
Mögliche Auslöser
  • Technischer Ausfall
  • Denial-of-Service-(DoS)-Angriff
Folgen
  • Erhöhte Zugriffszeiten auf interne und externe Dienste
    • Eingeschränkte Erreichbarkeit/nutzbar
    • Wichtige Informationen sind nicht verfügbar
  • Unterbrechung von Geschäftsprozessen/Produktionsprozesse

Netzzugänge

Ungenügend abgesichert

Fehlende Firewall
  • Internes Netz mit Internetanschluss ist nicht ausreichend geschützt
    • Firewall nicht aktivier/falsch konfiguriert
Angreifer
  • können auf schützenswerte Informationen der Institution zugreifen (kopieren/manipulieren/verbreiten)

Aufbau

Unsachgemäßer Aufbau

Unsichere Netztopologie
  • Unsachgemäß aufgebaut
  • Fehlerhafte Erweiterung
Risiken

Angreifer können leichter

  • Sicherheitslücken finden
  • ins interne Netzwerk eindringen
  • Informationen stehlen
  • Daten manipulieren
  • Produktionssysteme stören

Auch bleiben Angreifer in einem fehlerhaft aufgebauten Netz, das die Sicherheitssysteme nur eingeschränkt überwachen können, länger unerkannt

Elementare Gefährdungen

Nr. Gefährdungen
G 0.9 Ausfall oder Störung von Kommunikationsnetzen
G 0.11 Ausfall oder Störung von Dienstleistern
G 0.15 Abhören
G 0.18 Fehlplanung oder fehlende Anpassung
G 0.19 Offenlegung schützenswerter Informationen
G 0.22 Manipulation von Informationen
G 0.23 Unbefugtes Eindringen in IT-Systeme
G 0.25 Ausfall von Geräten oder Systemen
G 0.27 Ressourcenmangel
G 0.29 Verstoß gegen Gesetze oder Regelungen
G 0.30 Unberechtigte Nutzung oder Administration von Geräten und Systemen
G 0.40 Verhinderung von Diensten (Denial of Service)
G 0.43 Einspielen von Nachrichten
G 0.46 Integritätsverlust schützenswerter Informationen

Anforderungen

Schutzbedarf Beschreibung
Basis MÜSSEN vorrangig erfüllt werden
Standard SOLLTEN grundsätzlich erfüllt werden
Erhöht Exemplarische Vorschläge

Basis

Basis-Anforderungen MÜSSEN vorrangig erfüllt werden

Anforderung Beschreibung Rolle
A1 Sicherheitsrichtlinie für das Netz IT-Betrieb
A2 Dokumentation des Netzes IT-Betrieb
A3 Anforderungsspezifikation für das Netz
A4 Anforderungsspezifikation für das Netz
A5 Client-Server-Segmentierung
A6 Endgeräte-Segmentierung im internen Netz
A7 Absicherung von schützenswerten Informationen
A8 Grundlegende Absicherung des Internetzugangs
A9 Grundlegende Absicherung der Kommunikation mit nicht vertrauenswürdigen Netzen
A10 DMZ-Segmentierung für Zugriffe aus dem Internet
A11 Absicherung eingehender Kommunikation vom Internet in das interne Netz
A12 Absicherung ausgehender interner Kommunikation zum Internet
A13 Netzplanung
A14 Umsetzung der Netzplanung
A15 Regelmäßiger Soll-Ist-Vergleich

A1 Sicherheitsrichtlinie für das Netz

Sicherheitsrichtlinie

Anforderungen und Vorgaben

  • Ausgehend von der allgemeinen Sicherheitsrichtlinie der Institution
  • Netze sicher konzipieren und aufbauen
  • Nachvollziehbar
In der Richtlinie MUSS unter anderem festgelegt werden
  • in welchen Fällen die Zonen zu segmentieren sind und in welchen Fällen Benutzergruppen bzw. Mandanten logisch oder sogar physisch zu trennen sind
  • welche Kommunikationsbeziehungen und welche Netz- und Anwendungsprotokolle jeweils zugelassen werden
  • wie der Datenverkehr für Administration und Überwachung netztechnisch zu trennen ist
  • welche institutionsinterne, standortübergreifende Kommunikation (WAN, Funknetze) erlaubt und welche Verschlüsselung im WAN, LAN oder auf Funkstrecken erforderlich ist sowie
  • welche institutionsübergreifende Kommunikation zugelassen ist
Richtlinie MUSS allen zuständigen Mitarbeitern bekannt sein
  • Sie MUSS zudem grundlegend für ihre Arbeit sein.
  • Wird die Richtlinie verändert oder wird von den Anforderungen abgewichen, MUSS dies dokumentiert und mit dem verantwortlichen ISB abgestimmt werden.
Es MUSS regelmäßig überprüft werden
  • Ob die Richtlinie noch korrekt umgesetzt ist
  • Ergebnisse MÜSSEN sinnvoll dokumentiert werden

A2 Dokumentation des Netzes

Zuständigkeit
Es MUSS eine vollständige Dokumentation des Netzes erstellt werden
  • Sie MUSS einen Netzplan beinhalten
  • Die Dokumentation MUSS nachhaltig gepflegt werden
  • Die initiale Ist-Aufnahme, einschließlich der Netzperformance, sowie alle durchgeführten Änderungen im Netz MÜSSEN in der Dokumentation enthalten sein
  • Die logische Struktur des Netzes MUSS dokumentiert werden, insbesondere, wie die Subnetze zugeordnet und wie das Netz zoniert und segmentiert wird

A3 Anforderungsspezifikation für das Netz

Anforderungsspezifikation MUSS erstellt werden
  • Ausgehend von der Sicherheitsrichtlinie für das Netz
MUSS nachhaltig gepflegt werden
  • Aus den Anforderungen MÜSSEN sich alle wesentlichen Elemente für Netzarchitektur und -design ableiten lassen

A4 Netztrennung in Zonen

Gesamtnetz MUSS mindestens in folgende drei Zonen physisch separiert sein
  • internes Netz
  • demilitarisierte Zone (DMZ)
  • Außenanbindungen (inklusive Internetanbindung sowie Anbindung an andere nicht vertrauenswürdige Netze).
Die Zonenübergänge MÜSSEN durch eine Firewall abgesichert werden
  • Diese Kontrolle MUSS dem Prinzip der lokalen Kommunikation folgen, sodass von Firewalls ausschließlich erlaubte Kommunikation weitergeleitet wird (Whitelisting).
Nicht vertrauenswürdige Netze (z. B. Internet) und vertrauenswürdige Netze (z. B. Intranet) MÜSSEN mindestens durch eine zweistufige Firewall-Struktur, bestehend aus zustandsbehafteten Paketfiltern (Firewall), getrennt werden.
  • Um Internet und externe DMZ netztechnisch zu trennen, MUSS mindestens ein zustandsbehafteter Paketfilter eingesetzt werden.
In der zweistufigen Firewall-Architektur MUSS jeder ein- und ausgehende Datenverkehr durch den äußeren Paketfilter bzw. den internen Paketfilter kontrolliert und gefiltert werden.
Eine P-A-P-Struktur, die aus Paketfilter, Application-Layer-Gateway bzw. Sicherheits-Proxies und Paketfilter besteht, MUSS immer realisiert werden, wenn die Sicherheitsrichtlinie oder die Anforderungsspezifikation dies fordern.

A5 Client-Server-Segmentierung

Clients und Server MÜSSEN in unterschiedlichen Netzsegmenten platziert werden.
  • Die Kommunikation zwischen diesen Netzsegmenten MUSS mindestens durch einen zustandsbehafteten Paketfilter kontrolliert werden.
Es SOLLTE beachtet werden, dass mögliche Ausnahmen, die es erlauben, Clients und Server in einem gemeinsamen Netzsegment zu positionieren, in den entsprechenden anwendungs- und systemspezifischen Bausteinen geregelt werden.
Für Gastzugänge und für Netzbereiche, in denen keine ausreichende interne Kontrolle über die Endgeräte gegeben ist, MÜSSEN dedizierte Netzsegmente eingerichtet werden.

A6 Endgeräte-Segmentierung im internen Netz

Es DÜRFEN NUR Endgeräte in einem Netzsegment positioniert werden, die einem ähnlichen Sicherheitsniveau entsprechen.

A7 Absicherung von schützenswerten Informationen

Schützenswerte Informationen MÜSSEN über nach dem derzeitigen Stand der Technik sichere Protokolle übertragen werden, falls nicht über vertrauenswürdige dedizierte Netzsegmente (z. B. innerhalb des Managementnetzes) kommuniziert wird.

  • Können solche Protokolle nicht genutzt werden, MUSS nach Stand der Technik angemessen verschlüsselt und authentisiert werden (siehe NET.3.3 VPN).

A8 Grundlegende Absicherung des Internetzugangs

Der Internetverkehr MUSS über die Firewall-Struktur geführt werden (siehe A4 Netztrennung in Zonen).

  • Die Datenflüsse MÜSSEN durch die Firewall-Struktur auf die benötigten Protokolle und Kommunikationsbeziehungen eingeschränkt werden.

A9 Grundlegende Absicherung der Kommunikation mit nicht vertrauenswürdigen Netzen

Für jedes Netz MUSS festgelegt werden, inwieweit es als vertrauenswürdig einzustufen ist.

  • Netze, die nicht vertrauenswürdig sind, MÜSSEN wie das Internet behandelt und entsprechend abgesichert werden.

A10 DMZ-Segmentierung für Zugriffe aus dem Internet

Die Firewall-Strukur MUSS für alle Dienste bzw. Anwendungen, die aus dem Internet erreichbar sind, um eine sogenannte externe DMZ ergänzt werden.

  • Es SOLLTE ein Konzept zur DMZ-Segmentierung erstellt werden, das die Sicherheitsrichtlinie und die Anforderungsspezifikation nachvollziehbar umsetzt.
  • Abhängig vom Sicherheitsniveau der IT-Systeme MÜSSEN die DMZ-Segmente weitergehend unterteilt werden.
  • Eine externe DMZ MUSS am äußeren Paketfilter angeschlossen werden.

A11 Absicherung eingehender Kommunikation vom Internet in das interne Netz

Ein IP-basierter Zugriff auf das interne Netz MUSS über einen sicheren Kommunikationskanal erfolgen.

  • Der Zugriff MUSS auf vertrauenswürdige IT-Systeme und Benutzer beschränkt werden (siehe NET.3.3 VPN).
  • Derartige VPN-Gateways SOLLTEN in einer externen DMZ platziert werden.
  • Es SOLLTE beachtet werden, dass hinreichend gehärtete VPN-Gateways direkt aus dem Internet erreichbar sein können.
  • Die über das VPN-Gateway authentisierten Zugriffe ins interne Netz MÜSSEN mindestens die interne Firewall durchlaufen.

IT-Systeme DÜRFEN NICHT via Internet oder externer DMZ auf das interne Netz zugreifen.

  • Es SOLLTE beachtet werden, dass etwaige Ausnahmen zu dieser Anforderung in den entsprechenden anwendungs- und systemspezifischen Bausteinen geregelt werden.

A12 Absicherung ausgehender interner Kommunikation zum Internet

Ausgehende Kommunikation aus dem internen Netz zum Internet MUSS an einem Sicherheits-Proxy entkoppelt werden.

  • Die Entkoppelung MUSS außerhalb des internen Netzes erfolgen.
  • Wird eine P-A-P-Struktur eingesetzt, SOLLTE die ausgehende Kommunikation immer durch die Sicherheits-Proxies der P-A-P-Struktur entkoppelt werden.

A13 Netzplanung

Jede Netzimplementierung MUSS geeignet, vollständig und nachvollziehbar geplant werden.

  • Dabei MÜSSEN die Sicherheitsrichtlinie sowie die Anforderungsspezifikation beachtet werden.
  • Darüber hinaus MÜSSEN in der Planung mindestens die folgenden Punkte bedarfsgerecht berücksichtigt werden:* Anbindung von Internet und, sofern vorhanden, Standortnetz und Extranet,
  • Topologie des Gesamtnetzes und der Netzbereiche, d. h. Zonen und Netzsegmente,
  • Dimensionierung und Redundanz der Netz- und Sicherheitskomponenten, Übertragungsstrecken und Außenanbindungen,
  • zu nutzende Protokolle und deren grundsätzliche Konfiguration und Adressierung, insbesondere IPv4/IPv6-Subnetze von Endgerätegruppen sowie
  • Administration und Überwachung (siehe NET.1.2 Netzmanagement).

Die Netzplanung MUSS regelmäßig überprüft werden.

A14 Umsetzung der Netzplanung

Das geplante Netz MUSS fachgerecht umgesetzt werden.

  • Dies MUSS während der Abnahme geprüft werden.

A15 Regelmäßiger Soll-Ist-Vergleich

Es MUSS regelmäßig geprüft werden, ob das bestehende Netz dem Soll-Zustand entspricht.

  • Dabei MUSS mindestens geprüft werden, inwieweit es die Sicherheitsrichtlinie und Anforderungsspezifikation erfüllt.
  • Es MUSS auch geprüft werden, inwiefern die umgesetzte Netzstruktur dem aktuellen Stand der Netzplanung entspricht.
  • Dafür MÜSSEN zuständige Personen sowie Prüfkriterien bzw. Vorgaben festgelegt werden.

Standard

Standard-Anforderungen
  • SOLLTEN grundsätzlich erfüllt werden

Stand der Technik für Netzarchitektur und -design

  • Gemeinsam mit den Basis-Anforderungen
Anforderungen
Anforderung Beschreibung Rolle
A16 Spezifikation der Netzarchitektur
A17 Spezifikation des Netzdesigns
A18 P-A-P-Struktur für die Internet-Anbindung
A19 Separierung der Infrastrukturdienste
A20 Zuweisung dedizierter Subnetze für IPv4/IPv6-Endgerätegruppen
A21 Separierung des Management-Bereichs
A22 Spezifikation des Segmentierungskonzepts
A23 Trennung von Netzsegmenten
A24 Sichere logische Trennung mittels VLAN
A25 Fein- und Umsetzungsplanung von Netzarchitektur und -design
A26 Spezifikation von Betriebsprozessen für das Netz
A27 Einbindung der Netzarchitektur in die Notfallplanung IT-Betrieb

A16 Spezifikation der Netzarchitektur

SOLLTE eine Architektur für die Zonen entwickelt und nachhaltig gepflegt werden

Auf Basis der Sicherheitsrichtlinie und der Anforderungsspezifikation

  • internem Netz
  • DMZ-Bereich
  • Außenanbindungen
Dabei SOLLTEN je nach spezifischer Situation der Institution alle relevanten Architekturelemente betrachtet werden

mindestens jedoch

  • Netzarchitektur des internen Netzes mit Festlegungen dazu, wie Netzvirtualisierungstechniken, Layer-2- und Layer-3-Kommunikation sowie Redundanzverfahren einzusetzen sind,
  • Netzarchitektur für Außenanbindungen, inklusive Firewall-Architekturen, sowie DMZ- und Extranet-Design und Vorgaben an die Standortkopplung,
  • Festlegung, an welchen Stellen des Netzes welche Sicherheitskomponenten wie Firewalls oder IDS/IPS zu platzieren sind und welche Sicherheitsfunktionen diese realisieren müssen,
  • Vorgaben für die Netzanbindung der verschiedenen IT-Systeme,
  • Netzarchitektur in Virtualisierungs-Hosts, wobei insbesondere Network Virtualization Overlay (NVO) und die Architektur in Vertikal integrierten Systemen (ViS) zu berücksichtigen sind,
  • Festlegungen der grundsätzlichen Architektur-Elemente für eine Private Cloud sowie Absicherung der Anbindungen zu Virtual Private Clouds, Hybrid Clouds und Public Clouds sowie
  • Architektur zur sicheren Administration und Überwachung der IT-Infrastruktur.

A17 Spezifikation des Netzdesigns

Basierend auf der Netzarchitektur SOLLTE das Netzdesign für die Zonen inklusive internem Netz, DMZ-Bereich und Außenanbindungen entwickelt und nachhaltig gepflegt werden.

Dafür SOLLTEN die relevanten Architekturelemente detailliert betrachtet werden, mindestens jedoch:

  • zulässige Formen von Netzkomponenten inklusive virtualisierter Netzkomponenten,
  • Festlegungen darüber, wie WAN- und Funkverbindungen abzusichern sind,
  • Anbindung von Endgeräten an Switching-Komponenten, Verbindungen zwischen Netzelementen sowie Verwendung von Kommunikationsprotokollen,
  • Redundanzmechanismen für alle Netzelemente,
  • Adresskonzept für IPv4 und IPv6 sowie zugehörige Routing- und Switching-Konzepte,
  • virtualisierte Netze in Virtualisierungs-Hosts inklusive NVO,
  • Aufbau, Anbindung und Absicherung von Private Clouds sowie sichere Anbindung von Virtual Private Clouds, Hybrid Clouds und Public Clouds sowie
  • Festlegungen zum Netzdesign für die sichere Administration und Überwachung der IT-Infrastruktur.

A18 P-A-P-Struktur für die Internet-Anbindung

Das Netz der Institution SOLLTE über eine Firewall mit P-A-P-Struktur an das Internet angeschlossen werden

  • siehe A4 Netztrennung in Zonen
Zwischen den beiden Firewall-Stufen MUSS ein proxy-basiertes Application-Layer-Gateway (ALG) realisiert werden
  • Das ALG MUSS über ein eigenes Transfernetz (dual-homed) sowohl zum äußeren Paketfilter als auch zum internen Paketfilter angebunden werden.
  • Das Transfernetz DARF NICHT mit anderen Aufgaben als denjenigen für das ALG belegt sein.
Falls kein ALG eingesetzt wird, dann MÜSSEN entsprechende Sicherheits-Proxies realisiert werden
  • Die Sicherheits-Proxies MÜSSEN über ein eigenes Transfernetz (dual-homed) angebunden werden.
  • Das Transfernetz DARF NICHT mit anderen Aufgaben als denjenigen für die Sicherheits-Proxies belegt sein.
  • Es MUSS geprüft werden, ob über die Sicherheits-Proxies gegenseitige Angriffe möglich sind.
  • Ist dies der Fall, MUSS das Transfernetz geeignet segmentiert werden.
Jeglicher Datenverkehr MUSS über das ALG oder entsprechende Sicherheits-Proxies entkoppelt werden
  • Ein Transfernetz, das beide Firewall-Stufen direkt miteinander verbindet, DARF NICHT konfiguriert werden.
  • Die interne Firewall MUSS zudem die Angriffsfläche des ALGs oder der Sicherheits-Proxies gegenüber Innentätern oder IT-Systemen im internen Netz reduzieren.
Authentisierte und vertrauenswürdige Netzzugriffe vom VPN-Gateway ins interne Netz SOLLTEN NICHT das ALG oder die Sicherheits-Proxies der P-A-P-Struktur durchlaufen

A19 Separierung der Infrastrukturdienste

Server, die grundlegende Dienste für die IT-Infrastruktur bereitstellen, SOLLTEN in einem dedizierten Netzsegment positioniert werden.
  • Die Kommunikation mit ihnen SOLLTE durch einen zustandsbehafteten Paketfilter (Firewall) kontrolliert werden.

A20 Zuweisung dedizierter Subnetze für IPv4/IPv6-Endgerätegruppen

Unterschiedliche IPv4-/IPv6- Endgeräte SOLLTEN je nach verwendetem Protokoll (IPv4-/IPv6- oder IPv4/IPv6-DualStack) dedizierten Subnetzen zugeordnet werden.

A21 Separierung des Management-Bereichs

Um die Infrastruktur zu managen, SOLLTE durchgängig ein Out-of-Band-Management genutzt werden.
  • Dabei SOLLTEN alle Endgeräte, die für das Management der IT-Infrastruktur benötigt werden, in dedizierten Netzsegmenten positioniert werden.
  • Die Kommunikation mit diesen Endgeräten SOLLTE durch einen zustandsbehafteten Paketfilter kontrolliert werden.
  • Die Kommunikation von und zu diesen Management-Netzsegmenten SOLLTE auf die notwendigen Management-Protokolle mit definierten Kommunikations-Endpunkten beschränkt werden.
Der Management-Bereich SOLLTE mindestens die folgenden Netzsegmente umfassen.
  • Diese SOLLTEN abhängig von der Sicherheitsrichtlinie und der Anforderungsspezifikation weiter unterteilt werden in* Netzsegment(e) für IT-Systeme, die für die Authentisierung und Autorisierung der administrativen Kommunikation zuständig sind,
  • Netzsegment(e) für die Administration der IT-Systeme,
  • Netzsegment(e) für die Überwachung und das Monitoring,
  • Netzsegment(e), die die zentrale Protokollierung inklusive Syslog-Server und SIEM-Server enthalten,
  • Netzsegment(e) für IT-Systeme, die für grundlegende Dienste des Management-Bereichs benötigt werden sowie
  • Netzsegment(e) für die Management-Interfaces der zu administrierenden IT-Systeme.
Die verschiedenen Management-Interfaces der IT-Systeme MÜSSEN nach ihrem Einsatzzweck und ihrer Netzplatzierung über einen zustandsbehafteten Paketfilter getrennt werden.
  • Dabei SOLLTEN die IT-Systeme (Management-Interfaces) zusätzlich bei folgender Zugehörigkeit über dedizierte Firewalls getrennt werden:* IT-Systeme, die aus dem Internet erreichbar sind,
  • IT-Systeme im internen Netz sowie
  • Sicherheitskomponenten, die sich zwischen den aus dem Internet erreichbaren IT-Systemen und dem internen Netz befinden.
Es MUSS sichergestellt werden, dass die Segmentierung nicht durch die Management-Kommunikation unterlaufen werden kann.
  • Eine Überbrückung von Netzsegmenten MUSS ausgeschlossen werden.

A22 Spezifikation des Segmentierungskonzepts

Auf Basis der Spezifikationen von Netzarchitektur und Netzdesign SOLLTE ein umfassendes Segmentierungskonzept für das interne Netz erstellt werden.
  • Dieses Segmentierungskonzept SOLLTE eventuell vorhandene virtualisierte Netze in Virtualisierungs-Hosts beinhalten.
  • Das Segmentierunskonzept SOLLTE geplant, umgesetzt, betrieben und nachhaltig gepflegt werden.
  • Das Konzept SOLLTE mindestens die folgenden Punkte umfassen, soweit diese in der Zielumgebung vorgesehen sind:* Initial anzulegende Netzsegmente und Vorgaben dazu, wie neue Netzsegmente zu schaffen sind und wie Endgeräte in den Netzsegmenten zu positionieren sind,
  • Festlegung für die Segmentierung von Entwicklungs- und Testsystemen (Staging),
  • Netzzugangskontrolle für Netzsegmente mit Clients,
  • Anbindung von Netzbereichen, die über Funktechniken oder Standleitung an die Netzsegmente angebunden sind,
  • Anbindung der Virtualisierungs-Hosts und von virtuellen Maschinen auf den Hosts an die Netzsegmente,
  • Rechenzentrumsautomatisierung sowie
  • Festlegungen dazu, wie Endgeräte einzubinden sind, die mehrere Netzsegmente versorgen, z. B. Load Balancer, und Speicher- sowie Datensicherungslösungen.
Abhängig von der Sicherheitsrichtlinie und der Anforderungsspezifikation SOLLTE für jedes Netzsegment konzipiert werden, wie es netztechnisch realisiert werden soll.
  • Darüber hinaus SOLLTE festgelegt werden, welche Sicherheitsfunktionen die Koppelelemente zwischen den Netzsegmenten bereitstellen müssen (z. B. Firewall als zustandsbehafteter Paketfilter oder IDS/IPS).

A23 Trennung von Netzsegmenten

IT-Systeme mit unterschiedlichem Schutzbedarf SOLLTEN in verschiedenen Netzsegmenten platziert werden.
  • Ist dies nicht möglich, SOLLTE sich der Schutzbedarf nach dem höchsten vorkommenden Schutzbedarf im Netzsegment richten.
  • Darüber hinaus SOLLTEN die Netzsegmente abhängig von ihrer Größe und den Anforderungen des Segmentierungskonzepts weiter unterteilt werden.
  • Es MUSS sichergestellt werden, dass keine Überbrückung von Netzsegmenten oder gar Zonen möglich ist.
Gehören die virtuellen LANs (VLANs) an einem Switch unterschiedlichen Institutionen an, SOLLTE die Trennung physisch erfolgen.
  • Alternativ SOLLTEN Daten verschlüsselt werden, um die übertragenen Informationen vor unbefugtem Zugriff zu schützen.

A24 Sichere logische Trennung mittels VLAN

Falls VLANs eingesetzt werden, dann DARF dadurch KEINE Verbindung geschaffen werden zwischen dem internen Netz und einer Zone vor dem ALG oder den Sicherheits-Proxies.
Generell MUSS sichergestellt werden, dass VLANs nicht überwunden werden können.

A25 Fein- und Umsetzungsplanung von Netzarchitektur und -design

Eine Fein- und Umsetzungsplanung für die Netzarchitektur und das Netzdesign SOLLTE
  • durchgeführt
  • dokumentiert
  • geprüft
  • nachhaltig gepflegt

werden

A26 Spezifikation von Betriebsprozessen für das Netz

Betriebsprozesse SOLLTEN bedarfsgerecht erzeugt oder angepasst und dokumentiert werden.
  • Dabei SOLLTE insbesondere berücksichtigt werden, wie sich die Zonierung sowie das Segmentierungskonzept auf den IT-Betrieb auswirken.

A27 Einbindung der Netzarchitektur in die Notfallplanung [IT-Betrieb]

Es SOLLTE initial und in regelmäßigen Abständen nachvollziehbar analysiert werden, wie sich die Netzarchitektur und die abgeleiteten Konzepte auf die Notfallplanung auswirken.

Erhöht

Exemplarische Vorschläge für erhöhten Schutzbedarf
  • Über das den Stand der Technik entsprechende Schutzniveau hinausgehend
SOLLTEN bei ERHÖHTEM SCHUTZBEDARF in Betracht gezogen werden
  • Festlegung im Rahmen einer Risikoanalyse
Anforderung Beschreibung Rolle
A28 Hochverfügbare Netz- und Sicherheitskomponenten
A29 Hochverfügbare Realisierung von Netzanbindungen
A30 Schutz vor Distributed-Denial-of-Service
A31 Physische Trennung von Netzsegmenten
A32 Physische Trennung von Management-Netzsegmenten
A33 Mikrosegmentierung des Netzes
A34 Einsatz kryptografischer Verfahren auf Netzebene
A35 Einsatz von netzbasiertem DLP
A36 Trennung mittels VLAN bei sehr hohem Schutzbedarf

A28 Hochverfügbare Netz- und Sicherheitskomponenten

Zentrale Bereiche des internen Netzes sowie die Sicherheitskomponenten SOLLTEN hochverfügbar ausgelegt sein
  • Dazu SOLLTEN die Komponenten redundant ausgelegt und auch intern hochverfügbar realisiert werden.

A29 Hochverfügbare Realisierung von Netzanbindungen

Netzanbindungen SOLLTEN vollständig redundant gestaltet werden
  • wie z. B. Internet-Anbindung und WAN-Verbindungen,
Je nach Verfügbarkeitsanforderung SOLLTEN
  • redundante Anbindungen an einen oder verschiedene Anbieter bedarfsabhängig mit unterschiedlicher Technik und Performance bedarfsgerecht umgesetzt werden
  • Auch SOLLTE Wegeredundanz innerhalb und außerhalb der eigenen Zuständigkeit bedarfsgerecht umgesetzt werden
  • Dabei SOLLTEN mögliche Single Points of Failures (SPoF) und störende Umgebungsbedingungen berücksichtigt werden

A30 Schutz vor Distributed-Denial-of-Service

Um DDoS-Angriffe abzuwehren, SOLLTE per Bandbreitenmanagement die verfügbare Bandbreite gezielt zwischen verschiedenen Kommunikationspartnern und Protokollen aufgeteilt werden.
Um DDoS-Angriffe mit sehr hohen Datenraten abwehren zu können, SOLLTEN Mitigation-Dienste über größere Internet Service Provider (ISPs) eingekauft werden.
  • Deren Nutzung SOLLTE in Verträgen geregelt werden.

A31 Physische Trennung von Netzsegmenten

Abhängig von Sicherheitsrichtlinie und Anforderungsspezifikation SOLLTEN Netzsegmente physisch durch separate Switches getrennt werden.

A32 Physische Trennung von Management-Netzsegmenten

Abhängig von Sicherheitsrichtlinie und Anforderungsspezifikation SOLLTEN Netzsegmente des Management-Bereichs physisch voneinander getrennt werden.

A33 Mikrosegmentierung des Netzes

Das Netz SOLLTE in kleine Netzsegmente mit sehr ähnlichem Anforderungsprofil und selbem Schutzbedarf unterteilt werden.
  • Insbesondere SOLLTE dies für die DMZ-Segmente berücksichtigt werden.

A34 Einsatz kryptografischer Verfahren auf Netzebene

Netzsegmente SOLLTEN im internen Netz, im Extranet und im DMZ-Bereich mittels kryptografischer Techniken bereits auf Netzebene realisiert werden.
  • Dafür SOLLTEN VPN-Techniken oder IEEE 802.1AE eingesetzt werden.

Wenn innerhalb von internem Netz, Extranet oder DMZ über Verbindungsstrecken kommuniziert wird, die für einen erhöhten Schutzbedarf nicht ausreichend sicher sind, SOLLTE die Kommunikation angemessen auf Netzebene verschlüsselt werden.

A35 Einsatz von netzbasiertem DLP

Auf Netzebene SOLLTEN Systeme zur Data Lost Prevention (DLP) eingesetzt werden

A36 Trennung mittels VLAN bei sehr hohem Schutzbedarf

Bei sehr hohem Schutzbedarf SOLLTEN KEINE VLANs eingesetzt werden.


DMZ

Demilitarisierte Zone (DMZ)

Beschreibung

Aufbau mit einstufigem Firewall-Konzept
Aufbau mit zweistufigem Firewall-Konzept
  • Perimeter-Netzwerk
  • Computernetz mit sicherheitstechnisch kontrollierten Zugriffsmöglichkeiten
In eine DMZ aufgestellte Systeme werden durch eine oder mehrere Firewalls gegen andere Netze (z. B. Internet, LAN) abgeschirmt
  • Durch diese Trennung kann der Zugriff auf öffentlich erreichbare Dienste (Bastion Hosts mit z. B. E-Mail, WWW) gestattet und gleichzeitig das interne Netz (LAN) vor unberechtigten Zugriffen von außen geschützt werden.
Der Sinn besteht darin
  • auf möglichst sicherer Basis Dienste des Rechnerverbundes sowohl dem WAN (Internet)
  • als auch dem LAN (Intranet) zur Verfügung zu stellen
Ihre Schutzwirkung entfaltet eine DMZ durch die Isolation eines Systems gegenüber zwei oder mehr Netzen


Sicherheitsaspekte

BSI empfiehlt
In diesem Fall trennt eine Firewall das Internet von der DMZ und eine weitere Firewall die DMZ vom internen Netz.
  • Dadurch kompromittiert eine einzelne Schwachstelle nicht gleich das interne Netz.
  • Im Idealfall sind die beiden Firewalls von verschiedenen Herstellern, da ansonsten eine bekannte Schwachstelle ausreichen würde, um beide Firewalls zu überwinden.
Die Filterfunktionen können durchaus von einem einzelnen Gerät übernommen werden
  • in diesem Fall benötigt das filternde System mindestens drei Netzanschlüsse
  • je einen für die beiden zu verbindenden Netzsegmente (z. B. WAN und LAN) und einen dritten für die DMZ (siehe auch Dual homed host).
Auch wenn die Firewall das interne Netz vor Angriffen eines kompromittierten Servers aus der DMZ schützt, sind die anderen Server in der DMZ direkt angreifbar, solange nicht noch weitere Schutzmaßnahmen getroffen werden
  • Dies könnte z. B. eine Segmentierung in VLANs sein oder Software Firewalls auf den einzelnen Servern, die alle Pakete aus dem DMZ-Netz verwerfen.
Ein Verbindungsaufbau sollte grundsätzlich immer aus dem internen Netz in die DMZ erfolgen, niemals aus der DMZ in das interne Netz.
  • Eine übliche Ausnahme hiervon ist der Zugriff aus der DMZ auf Datenbankserver im internen Netzwerk.
  • Als letzte Instanz über diesen Grundsatz wacht in der Regel der Firewall-Administrator vor der Regel-Freischaltung.
  • Dadurch reduziert sich das Gefährdungspotential eines kompromittierten Servers in der DMZ weitestgehend auf Angriffe:
  • auf die innere Firewall direkt
  • auf andere Server in derselben DMZ
  • über Sicherheitslücken in Administrations-Werkzeugen wie Telnet[4] oder SSH[5] und auf Verbindungen, die regulär in die DMZ aufgebaut wurden.
Eine Demilitarized Zone (DMZ, auch ent- oder demilitarisierte Zone) bezeichnet ein Computernetz mit sicherheitstechnisch kontrollierten Zugriffsmöglichkeiten auf die daran angeschlossenen Server.
  • Die in der DMZ aufgestellten Systeme werden durch eine oder mehrere Firewalls gegen andere Netze (z. B. Internet, LAN) abgeschirmt.
  • Durch diese Trennung kann der Zugriff auf öffentlich erreichbare Dienste (Bastion Hosts mit z. B. E-Mail, WWW o. ä.) gestattet und gleichzeitig das interne Netz (LAN) vor unberechtigten Zugriffen von außen geschützt werden.
Aufbau mit einstufigem Firewall-Konzept
Aufbau mit einstufigem Firewall-Konzept
Der Sinn besteht darin, auf möglichst sicherer Basis Dienste des Rechnerverbundes sowohl dem WAN (Internet) als auch dem LAN (Intranet) zur Verfügung zu stellen.
Ihre Schutzwirkung entfaltet eine DMZ durch die Isolation eines Systems gegenüber zwei oder mehr Netzen.

Aufbau mit zweistufigem Firewall-Konzept

Weitere Szenarien

Exposed Host als „Pseudo-DMZ“

Einige Router für den Heimgebrauch bezeichnen die Konfiguration eines Exposed Host fälschlicherweise als „DMZ“.
  • Dabei kann man die IP-Adresse eines Rechners im internen Netz angeben, an den alle Pakete aus dem Internet weitergeleitet werden, die nicht über die NAT-Tabelle einem anderen Empfänger zugeordnet werden können.
  • Damit ist der Host (auch für potenzielle Angreifer) aus dem Internet erreichbar.
  • Eine Portweiterleitung der tatsächlich benutzten Ports ist dem – falls möglich – vorzuziehen.

Es hängt von der konkreten Konfiguration der Firewall ab, ob zunächst die Portweiterleitungen auf andere Rechner berücksichtigt werden und erst danach der Exposed Host, oder ob der Exposed Host die Portweiterleitungen auf andere Rechner unwirksam macht.

Dirty DMZ

Als dirty DMZ oder dirty net bezeichnet man üblicherweise das Netzsegment zwischen dem Perimeterrouter und der Firewall des (internen) LAN.
  • Diese Zone hat von außen nur die eingeschränkte Sicherheit des Perimeterrouters.
  • Diese Version der DMZ behindert den Datentransfer weniger stark, da die eingehenden Daten nur einfach (Perimeterrouter) gefiltert werden müssen.

Protected DMZ

Mit protected DMZ bezeichnet man eine DMZ, die an einem eigenen LAN-Interface der Firewall hängt.
  • Diese DMZ hat die individuelle Sicherheit der Firewall.
  • Viele Firewalls haben mehrere LAN-Interfaces, um mehrere DMZs einzurichten.


VLAN

Virtual Local Area Network (VLAN) - unterteilt ein physikalisches Netzwerk in mehrere logische Netzwerke

Beschreibung

Logisches Teilnetz
Es kann sich über mehrere Switches hinweg ausdehnen
  • Ein VLAN trennt physische Netze in Teilnetze auf, indem es dafür sorgt, dass VLAN-fähige Switches Frames (Datenpakete) nicht in ein anderes VLAN weiterleiten (obwohl die Teilnetze an gemeinsamen Switches angeschlossen sein können).
  • Sind in eigene Subnetze eingeteilt.
  • So bildet jedes VLAN eine eigene Broadcast-Domain.
  • Kommunikation zwischen VLANs ist nur über einen Router möglich, der die VLANs verbindet.
  • Konfigurierbare Switches mit VLAN-Unterstützung.

Motivation

Lokale Netze werden mit aktiven Komponenten aufgebaut, OSI-Ebene 2
  • In der Regel sind diese Komponenten Switches
  • Durch die heute gängigen Switch-Implementierungen
  • welche die Anschlüsse üblicherweise im Vollduplex-Modus betreiben
  • kollisionsfrei arbeiten
  • können auch sehr große, aber dennoch performante LANs mit einigen hundert oder tausend Stationen aufgebaut werden.
Gründe für die Unterteilung solcher Netze kann grundsätzlich aus mehreren Gründen wünschenswert sein
Flexibilität
  • bei der Zuordnung von Endgeräten zu Netzsegmenten, unabhängig vom Standort der Basisstation.
Performance-Aspekte
  • So kann etwa ein bestimmter Datenverkehr wie VoIP in einem VLAN erfolgen, das bei der Übertragung priorisiert wird.
  • Häufig möchte man jedoch einfach nur Broadcast-Domänen verkleinern, damit sich Broadcasts nicht über das gesamte Netz ausbreiten
Sicherheitsaspekte
  • VLANs können Netze gegen Ausspionieren und Abhören besser absichern als Switch-basierte Netze.
  • Switch-basierten Netzen wurde früher ein Sicherheitsvorteil zugesprochen; dieser ist heute de facto nicht mehr gegeben, da für sie eine Vielzahl von Angriffsmöglichkeiten existieren wie zum Beispiel MAC-Flooding oder MAC-Spoofing.
  • VLANs hingegen sind robuster, da zur Verbindung der VLANs Router zum Einsatz kommen, die gegen Layer-2-Attacken systembedingt unempfindlich sind.
  • Zusätzlich bietet Routing die Möglichkeit, Firewalls auf Layer-3-Basis einzusetzen, wodurch sich eine größere Auswahl an Firewallsystemen erschließt (denn Layer-2-basierte Firewalls sind vergleichsweise selten).
  • Vorsicht ist aber besonders bei dynamischen VLANs bzw. bei Systemen geboten, die im automatischen Lernmodus (siehe Switch-Typen) arbeiten.
  • Diese lassen sich analog zu Switches ebenfalls kompromittieren und können so den vorgesehenen Sicherheitsgewinn von VLAN-Implementierungen unwirksam machen.
Die beiden letztgenannten Aspekte könnten auch durch eine entsprechende Verkabelung und den Einsatz mehrerer Switches und Router erreicht werden.
  • Durch den Einsatz von VLANs lässt sich dies jedoch unabhängig von der meist vorhandenen und nur mit großem Aufwand erweiterbaren physischen Verkabelung verwirklichen, was neben einer erhöhten Flexibilität auch wirtschaftlich sinnvoll sein kann: VLAN-fähige Geräte sind zwar durchaus teurer, ersetzen unter Umständen aber mehrere Einzelgeräte.
  • Einrichtung in logischen Gruppen innerhalb des physikalischen Netzes möglich
  • Höhere Flexibilität durch einfache Änderung von Gruppenzugehörigkeit
  • Einfachere Konfiguration der Software für die Gruppen
  • Erhöhte Sicherheit durch Gruppierung(Subnetz-Bildung)
  • Kleinere Broadcastdomänen
  • Priorisierung des Datenverkehrs möglich
  • Bessere Lastverteilung möglich

VLAN-Typen

Ältere VLAN-fähige Switches beherrschen nur portbasierte VLANs, die statisch konfiguriert werden mussten.

  • Erst später entwickelten sich dynamische VLANs und proprietäre tagged VLANs.
  • Schließlich entstanden aus den proprietären tagged VLANs die heute dominierenden standardisierten tagged VLANs nach IEEE 802.1Q.

Statische VLANs

Hier wird einem Port eines Switches fest eine VLAN-Konfiguration zugeordnet.

  • Er gehört dann zu einem Port-basierten VLAN, zu einem untagged VLAN oder er ist ein Port, der zu mehreren VLANs gehört.
  • Die Konfiguration eines Ports ist bei statischen VLANs fest durch den Administrator vorgegeben.
  • Sie hängt nicht vom Inhalt der Pakete ab und steht im Gegensatz zu den dynamischen VLANs unveränderlich fest.
  • Damit ist eine Kommunikation des Endgerätes an einem Port nur noch mit den zugeordneten VLANs möglich.
  • Gehört ein Port zu mehreren VLANs, ist er ein VLAN-Trunk und dient dann meist zur Ausdehnung der VLANs über mehrere Switches hinweg.

Durch die Möglichkeit, einen Port mehreren VLANs zuzuordnen, können zum Beispiel auch Router und Server über einen einzelnen Anschluss an mehrere VLANs angebunden werden, ohne dass für jedes Teilnetz eine physische Netzschnittstelle vorhanden sein muss.

  • Somit kann ein einzelnes Gerät – auch ohne Router – seine Dienste in mehreren VLANs anbieten, ohne dass die Stationen der verschiedenen VLANs miteinander kommunizieren können.

Diese VLAN-Trunks dürfen nicht mit den Trunks im Sinne von Link Aggregation verwechselt werden, bei denen mehrere physische Übertragungswege zur Durchsatzsteigerung gebündelt werden.

Portbasierte VLANs

Urform der VLANs
  • Hier wird mit managebaren Switches ein physisches Netz portweise in mehrere logische Netze segmentiert, indem ein Port einem VLAN fix zugeordnet wird
  • Im Frame vorhandene Tags werden vom Switch entfernt
  • Man spricht hier daher von einem untagged Port
  • Portbasierte VLANs lassen sich auch über mehrere Switches hinweg ausdehnen
  • Dazu wird heutzutage ein Trunk-Port (ein als tagged konfigurierter Port) verwendet
  • Um die so segmentierten Netze bei Bedarf zu verbinden, kommt z. B. ein Router zum Einsatz
  • Ferner gehören sie zu den statischen VLAN-Konfigurationen und bilden sozusagen einen Gegenpol zu den dynamischen VLANs
  • Ein Port kann sowohl als tagged als auch als untagged konfiguriert sein
  • Das ist z. B. dann der Fall, wenn über einen Port mehrere Geräte (z. B. VoIP-Telefon und Desktop-PC) verbunden werden
  • Einen physischen Switch in mehrere logische Switches unterteilen
  • Einzelne Ports werden einem VLAN zugeordnet
  • Jedes Endgerät an einem Port, gehört zu einem VLAN
Switch A
Switch-Port VLAN ID angeschlossenes Gerät
1 1 PCA1
2 1 PCA2
3 - -
4 1 Verbindung zu Switch-B Port 4
5 2 PCA5
6 2 PCA6
7 - -
8 2 Verbindung zu Switch-B Port 8
  • Mithilfe mehrerer Switches kann man mehr Rechner in einem VLAN einbinden
  • Allerdings benötigt man für jedes VLAN eine eigene Verbindung
Switch B
Switch-Port VLAN ID angeschlossenes Gerät
1 1 PCB1
2 1 PCB2
3 - -
4 1 Verbindung zu Switch-A Port 4
5 2 PCB5
6 2 PCB6
7 - -
8 2 Verbindung zu Switch-B Port 8

Dynamische VLANs

Bei der dynamischen Implementierung eines VLANs wird die Zugehörigkeit eines Frames zu einem VLAN anhand bestimmter Inhalte des Frames getroffen.
  • Da sich alle Inhalte von Frames praktisch beliebig manipulieren lassen, sollte in sicherheitsrelevanten Einsatzbereichen auf den Einsatz von dynamischen VLANs verzichtet werden. Dynamische VLANs stehen im Gegensatz zu den statischen VLANs.
  • Die Zugehörigkeit kann beispielsweise auf der Basis der MAC- oder IP-Adressen geschehen, auf Basis der Protokoll-Typen (z. B. 0x809B Apple EtherTalk, 0x8137: Novell IPX, 0x0800: IPv4 oder 0x88AD: XiMeta LPX) oder auch auf Anwendungsebene nach den TCP-/UDP-Portnummern (Portnummer 53: DNS, 80: HTTP, 3128: Squid Proxy).
  • In der Wirkung entspricht dies einer automatisierten Zuordnung eines Switchports zu einem VLAN.
Die Zugehörigkeit kann sich auch aus dem Paket-Typ ableiten und so zum Beispiel ein IPX/SPX-Netz von einem TCP/IP-Netz trennen.
  • Diese Technik ist heutzutage nicht mehr weit verbreitet, da TCP/IP in vielen Netzen alle anderen Protokolle abgelöst hat.
Durch Dynamische VLANs kann zum Beispiel auch erreicht werden, dass ein mobiles Endgerät immer einem bestimmten VLAN angehört – unabhängig von der Netzdose, an die es angeschlossen wird.
  • Eine andere Möglichkeit besteht darin, einen bestimmten Teil des Datenverkehrs wie zum Beispiel VoIP aus Performance- oder Sicherheitsgründen (veraltet) in ein spezielles VLAN zu leiten.

Tagged-basiert

Zuordnung der Endgeräte erfolgt nach bestimmten Kriterien bspw. nach MAC-Adresse
  • Mehrere VLANs können über einen einzelnen Switch-Port genutzt werden.
Ethernet-Frame
Ethernet-Frame mit VLAN-Tag
  • Eine Markierung (Tag) im Frame des Pakets sorgt für die Zuweisung.
  • Das Tag wird nach der MAC-Addresse des Absenders gesetzt und ist exakt vier Byte lang.
  • Frames müssen getagged werden, damit der empfangene Switch bzw. der Router sie dem entsprechenden VLAN zuordnen kann.
Genaue Darstellung des VLAN-Tags
  • Erste Zwei Bytes sind für den TPI (Tag Protocol Identifier), zeigt an, ob überhaupt eine VLAN-ID angegeben wurde
  • Nach TPI folgen drei Bit für die Priorität der Nachricht, dann folgt ein Bit für den CFI (Canonical Format Identifier), welches die Kompatibilät zwischen Ethernet und Token Ring gewährleistet
  • Die letzten zwölf Bit sind für die eigentliche VLAN-ID bestimmt. Dadurch sind prinzipiell 4096 VLANs möglich
Heute fast ausschließlich verwendete Ethernet-Datenblockformat Ethernet-II nach IEEE 802.3 mit 802.1Q VLAN-Tag
Die paketbasierten tagged VLANs stehen im Gegensatz zu den älteren markierungslosen, portbasierten VLANs.
  • Der Ausdruck tagged leitet sich vom englischen Ausdruck material tags ab (Anhänger, mit denen Waren markiert werden).
  • Es handelt sich also bei tagged VLANs um Netze, die Netzpakete verwenden, welche eine zusätzliche VLAN-Markierung tragen.
Ein Tagging in VLANs kommt auch dann zum Einsatz, wenn sich VLANs z. B. über mehrere Switches hinweg erstrecken, etwa über Trunkports.
  • Hier tragen die Frames eine Markierung, welche die Zugehörigkeit zum jeweiligen VLAN anzeigt.
Durch die Tags werden VLAN-spezifische Informationen zum Frame hinzugefügt.
  • Zu dieser Gattung gehören die VLANs nach IEEE 802.1Q, Shortest Path Bridging, Ciscos Inter-Switch Link Protocol (ISL) oder auch 3Coms VLT (Virtual LAN Trunk) Tagging.
  • Damit die VLAN-Technik nach 802.1q auch für ältere Rechner und Systeme in einem Netz transparent bleibt, müssen Switches diese Tags bei Bedarf hinzufügen und auch wieder entfernen können.
VLAN-Tag

Bei portbasierten VLANs (d. h. bei Paketen, die kein Tag besitzen) wird zum Weiterleiten eines Datenpakets über einen Trunk hinweg üblicherweise vor dem Einspeisen in den Trunk ein VLAN-Tag hinzugefügt, welches kennzeichnet, zu welchem VLAN das Paket gehört.

  • Der Switch auf Empfängerseite muss dieses wieder entfernen.
  • Bei tagged VLANs nach IEEE 802.1Q hingegen werden die Pakete entweder vom Endgerät (z. B. Tagging-fähigem Server) oder vom Switch am Einspeiseport mit dem Tag versehen.
  • Daher kann ein Switch ein Paket ohne jegliche Änderung in einen Trunk einspeisen.
  • Empfängt ein Switch auf einem VLT-Port (Trunkport) einen Frame mit VLAN-Tag nach IEEE 802.1Q, kann auch dieser es unverändert weiterleiten.
  • Lediglich der Switch am Empfangsport muss unterscheiden, ob er ein Tagging-fähiges Endgerät beliefert (dann kann der Frame unverändert bleiben) oder ob es sich um ein nicht Tagging-fähiges Endgerät handelt, welches zu dem aktuellen VLAN gehört (dann ist das Tag zu entfernen).
  • Hierzu muss die zugehörige VLAN-ID im Switch hinterlegt sein.
  • Da nach IEEE 802.1Q alle Pakete mit VLAN-Tags markiert sind, müssen einem Trunk entweder alle VLAN-IDs, die er weiterleiten soll, hinterlegt werden, oder er ist zur Weiterleitung aller VLANs konfiguriert.
  • Werden Pakete ohne Tag auf einem Trunk-Port empfangen, können diese je nach Konfiguration entweder einem Default-VLAN zugeordnet werden (der Switch bringt das Tag nachträglich an), oder sie werden verworfen.
Empfängt ein Switch auf einem seiner Ports z. B. von einem älteren Endgerät Pakete ohne VLAN-Tags (auch native Frames genannt), so muss er selbst für das Anbringen des Tags sorgen.
  • Hierzu wird dem betreffenden Port entweder per Default oder per Management eine VLAN-ID zugeordnet
  • Der Switch, der das Paket ausliefert, muss analog verfahren, wenn das Zielsystem nicht mit Tags umgehen kann (das Tag muss entfernt werden)
Automatische Lernen

Das automatische Lernen der zu den VLTs (Trunkports) gehörenden Einstellungen ist heute Standard bei den meisten VLAN-fähigen Switches.

  • Dabei muss ein Switch mit einem Mischbetrieb sowohl von Paketen, die keine Tags kennen und enthalten, als auch von Paketen, die bereits Tags besitzen, umgehen können.
  • Das Erlernen der VLTs erfolgt analog zum Erlernen der MAC-Adressen: Empfängt der Switch ein Paket mit VLAN-ID, so ordnet er den Port zunächst diesem VLAN zu.
  • Empfängt er an einem Port innerhalb kurzer Zeit Pakete mit unterschiedlichen VLAN-IDs, so wird dieser Port als VLT identifiziert und als Trunk genutzt.
  • Einfache Switches (ohne Verwaltungsmöglichkeit) bilden üblicherweise ein zusätzliches natives VLAN für alle Pakete, die keine Tags enthalten.
  • Solche Pakete werden meist belassen, wie sie sind
  • Ein Trunkport wird hier wie ein normaler (Uplink-)Port behandelt
  • Alternativ kann auch ein Default-Tag angefügt werden
Trunk

Der Begriff Trunk wird im Unterschied zu VLT häufig auch mit einer ganz anderen Bedeutung verwendet, siehe auch Bündelung (Datenübertragung)

Sicherheit

Generell sollte man Sicherheit aber nicht mehr zu den Tagged-VLAN-Features zählen

  • Switches lassen sich auf zahlreichen Wegen kompromittieren, müssen folglich immer als unsicher eingestuft werden
  • Man kann aber auch direkt bei der Verkabelung ansetzen
  • Es gibt etwa Messklemmen als Zubehör zu Profi-Netzanalysegeräten, die äußerlich direkt an ein Kabel angeschlossen werden und das geringe elektromagnetische Feld messen
  • So kann völlig unbemerkt der gesamte über dieses Kabel laufende Datenverkehr mitgelesen und aufgezeichnet werden
  • Dagegen hilft nur eine starke Kryptografie (z. B. mit IPsec), die manche LAN-Karten direkt in Hardware implementieren

Vor- und Nachteile

  • Statisch
    • Einfach zu erstellen und zu verwalten
    • Sinnvoll für fest eingeplante VLAN-Segmente
    • Unflexibel für veränderbare Netze
  • Dynamisch
    • Flexibel und besser anpassbar an neue Gegebenheiten
    • Ortsunabhängigkeit ist dadurch gegeben
    • Administratoren können Änderungen im Netzwerk durchführen, ohne Ports umstecken oder den Switch zu konfigurieren
    • Switches, Router und Netzwerkarten müssen das VLAN-Tag verarbeiten können

Zuordnung des Datenverkehrs

Die Zuordnung der Teilnetze zu einem VLAN kann statisch über Port-Zuordnung an den Switches erfolgen, über spezielle Markierungen an den Paketen (Tags) realisiert sein oder dynamisch erfolgen (zum Beispiel durch MAC-Adressen, IP-Adressen bis hin zu TCP- und UDP-Ports und höheren Protokollen).

  • Ebenfalls ist eine Zuordnung eines Ports zu einem VLAN nach Authentifizierung des Anwenders z. B. mittels 802.1X möglich.

Jedes VLAN bildet (wie ein normales, physisch separiertes Netzsegment) eine eigene Broadcast-Domäne.

  • Um den Verkehr zwischen den VLANs transparent zu vermitteln, benötigt man einen Router.
  • Moderne Switches stellen diese Funktion intern zur Verfügung; man spricht dann von einem Layer-3-Switch.

Die Überlegenheit von VLANs im Vergleich zur physischen Zuordnung zu verschiedenen Subnetzen basiert darauf, dass der Wechsel eines Clients von einem VLAN in ein anderes am Kopplungselement (Multilayerswitch, Router) geschehen kann, ohne dass eine physische Verbindung geändert werden muss.

Verbindung von VLAN-Switches

Wenn sich ein VLAN über mehrere Switches erstreckt, ist zu deren Verbindung entweder für jedes VLAN ein eigener Link (Kabel) erforderlich, oder es kommen sogenannte VLAN-Trunks (VLT) zum Einsatz.

  • Das Verfahren entspricht einem asynchronen Multiplexing.
  • Deshalb dient ein VLT dazu, Daten der unterschiedlichen VLANs über eine einzige Verbindung weiterzuleiten.
  • Hierzu können sowohl einzelne Ports als auch gebündelte Ports (siehe Link Aggregation) zum Einsatz kommen.


VLAN-Konfiguration

  1. J. Jasperneite: Echtzeit-Ethernet im Überblick, atp 3/2005, S. 29–34, Vorlage:ISSN.
  2. Telnet-Clients mehrerer Hersteller verwundbar Heise.de, 29. März 2005
  3. Zwei Schwachstellen in PuTTY Heise.de, 21. Februar 2005