Broadcast: Unterschied zwischen den Versionen

Aus Foxwiki
Subpages:
K Textersetzung - „Kategorie:OSI “ durch „Kategorie:OSI/“
Zeile 112: Zeile 112:
| Router und Firewalls || können so konfiguriert werden, dass sie bösartige oder überdurchschnittlich viele Broadcasts erkennen und blockieren
| Router und Firewalls || können so konfiguriert werden, dass sie bösartige oder überdurchschnittlich viele Broadcasts erkennen und blockieren
|}
|}
== Sicherheit ===
; In den ersten Ethernetimplementierungen wurde die gesamte Kommunikation über einen gemeinsamen Bus, der in Form eines [[Koaxialkabel]]s realisiert war, abgewickelt.
* An diesen wurden alle Arbeitsstationen abhängig vom Kabeltyp entweder per T-Stück oder „Invasivstecker“ (auch Vampirklemme, Vampirabzweige oder Vampire Tap genannt) angeschlossen.
* Jede Information, die von einem Computer gesendet wurde, wurde auch von allen empfangen.
* Die über Ethernet verbundenen Geräte müssen ständig Informationen ausfiltern, die nicht für sie bestimmt sind.
; Diese Tatsache kann genutzt werden, um Broadcast- (Rundruf-Nachrichten) an alle angeschlossenen Systeme zu senden
* Bei TCP/IP beispielsweise verwendet das [[Address Resolution Protocol|ARP]] einen derartigen Mechanismus für die Auflösung der Schicht-2-Adressen.
* Diese Tatsache ist auch ein Sicherheitsproblem von Ethernet, da ein Teilnehmer mit bösen Absichten den gesamten Datenverkehr auf der Leitung mitprotokollieren kann.
* Eine mögliche Abhilfe ist der Einsatz von [[Kryptografie]] (Kryptografie) auf höheren Protokollebenen.
* Die Vertraulichkeit der Verkehrsbeziehungen (wer tauscht mit wem in welchem Umfang wann Daten aus?) ist aber so nicht zu schützen.
; Der Einsatz von [[Hub (Netzwerktechnik)|(Repeater) Hubs]] zur Bildung von Multi-Segment-Ethernet-Netzen ändert hier nichts, weil alle Datenpakete in alle Segmente repliziert werden.
; In moderneren Ethernetnetzen wurden zur Aufteilung der Kollisions-Domänen zunächst [[Bridge (Netzwerk)|Bridges]], heute [[Switch (Netzwerktechnik)|Switches]] eingesetzt.
* Durch diese wird ein Ethernet in Segmente zerlegt, in denen jeweils nur eine Untermenge an Endgeräten zu finden ist.
* Werden ausschließlich Switches verwendet, so kann netzweit im [[Full-duplex Ethernet|Full-Duplex-Modus]] kommuniziert werden, das ermöglicht das gleichzeitige Senden und Empfangen für jedes Endgerät. Über Switches werden Datenpakete in der Regel direkt vom Sender zum Empfänger befördert – unbeteiligten Teilnehmern wird das Paket nicht zugestellt.
* Broadcast- (deutsch: Rundruf-) und Multicast-Nachrichten hingegen werden an alle angeschlossenen Systeme gesendet.
; Das erschwert das Ausspionieren und Mithören, der Sicherheitsmangel wird durch die Einrichtung einer „geswitchten“ Umgebung allerdings nur verringert und nicht behoben.
* Zusätzlich zu den Broadcast-Meldungen werden auch die jeweils ersten Pakete nach einer Sendepause – dann, wenn der Switch die Ziel-MAC-Adresse (noch) nicht kennt – an alle angeschlossenen Systeme gesendet.
* Dieser Zustand kann auch böswillig durch [[MAC-Flooding]] herbeigeführt werden.
* Pakete können auch böswillig durch [[MAC-Spoofing]] umgeleitet werden.
; Die Sicherheit des Betriebs im Sinne der störungsfreien Verfügbarkeit von Daten und Diensten beruht auf dem Wohlverhalten aller angeschlossenen Systeme.
* Beabsichtigter oder versehentlicher Missbrauch muss in einer Ethernetumgebung durch Analyse des Datenverkehrs aufgedeckt werden ([[LAN-Analyse]]).
* Switches stellen vielfach statistische Angaben und Meldungen bereit, die Störungen frühzeitig erkennbar werden lassen bzw. Anlass geben zu einer detaillierteren Analyse.


== Dokumentation ==
== Dokumentation ==

Version vom 30. März 2023, 21:17 Uhr

Broadcast - Rundsendung an alle Empfänger

Beschreibung

Broadcast
Ein Broadcast-Paket erreicht alle Teilnehmer eines lokalen Netzes
  • ohne dass sie explizit als Empfänger angegeben sind.
Daraus folgt, dass Broadcasts sich auf das eigene Netzsegment beschränken sollten, und nicht von Routern weitergeleitet werden.
  • Soll eine Information an eine Gruppe von ausgewählten Teilnehmern gesendet werden, verwendet man stattdessen ein Multicast-Verfahren.
Jeder Empfänger eines Broadcasts entscheidet selbst, ob er im Falle seiner Zuständigkeit die erhaltene Nachricht entweder verarbeitet oder andernfalls stillschweigend verwirft.
Broadcasts gibt es auf verschiedenen Schichten des OSI-Referenzmodells.
  • Allen gemein ist, dass Broadcasts von einer höheren Schicht an die unteren Schichten entsprechend angepasst werden müssen.
  • So wird etwa ein IPv4-Broadcast als Ethernet-Broadcast an die MAC-Adresse FF:FF:FF:FF:FF:FF gesendet.
  • Ist das unterliegende Netz nicht broadcastfähig, zum Beispiel weil es – wie unter anderem das Internet – aus einer Menge von Punkt-zu-Punkt-Verbindungen besteht, kann die Nachricht stattdessen mittels eines Flooding-Algorithmus gesendet werden.

Anwendungen

Adressierung unbekannter Empfänger
  • Ein Broadcast wird in einem Computernetz unter anderem verwendet, wenn die IP-Adresse des Empfängers der Nachricht noch unbekannt ist.
  • Diese Technik kommt gemäß OSI-Modell in der Vermittlungsschicht zum Einsatz.
  • Beispiele hierfür sind ARP, DHCP und Wake On LAN.
  • Netzwerkfähige Computerspiele verwenden Broadcasts, um eine Liste aller offenen Spiele im lokalen Netz zu finden, an denen der Nutzer teilnehmen kann.
  • Das Kommunikationsprotokoll SMB sucht per Broadcast Datei- und Druckerfreigaben im lokalen Netz.

IP-Broadcast

Broadcasts in IPv4 werden über eine Gruppenadresse realisiert.
  • Es werden verschiedene Formen von IP-Broadcasts unterschieden:
Limited Broadcast
Als Ziel wird die IP-Adresse 255.255.255.255 angegeben.
  • Dieses Ziel liegt immer im eigenen lokalen Netz und wird direkt in einen Ethernet-Broadcast umgesetzt.
  • Ein limited broadcast wird von einem Router nicht weitergeleitet.
Directed Broadcast
Das Ziel sind die Teilnehmer eines bestimmten Netzes.
  • Die Adresse wird durch die Kombination aus Zielnetz und dem Setzen aller Hostbits auf 1 angegeben.
  • Die Adresse für einen directed broadcast in das Netz 192.168.0.0 mit der Netzmaske 255.255.255.0 lautet somit: 192.168.0.255 (CIDR-Notation: 192.168.0.255/24).
  • Ein directed broadcast wird von einem Router weitergeleitet, falls Quell- und Zielnetz unterschiedlich sind, und wird erst im Zielnetz in einen Ethernet-Broadcast umgesetzt.
  • Falls Quell- und Zielnetz identisch sind, entspricht dies einem limited broadcast.
  • Oft wird dieser Spezialfall auch als local broadcast bezeichnet.
  • Ein directed broadcast kann weiter differenziert betrachtet werden.
  • Der Broadcast kann als subnet-directed broadcast, als all-subnets-directed broadcast oder als net-directed broadcast auftreten.
  • Ein subnet-directed broadcast hat als Ziel ein festgelegtes Subnetz.
  • Ein all-subnets-directed broadcast ist ein Broadcast in allen Subnetzen eines Netzes, und ein net-directed broadcast wird in einem klassifizierten Netz, das nicht in Subnetze aufgeteilt ist, verteilt (zum Beispiel Broadcast an die Adresse 10.255.255.255 wird in einem Klasse A IP-Netz verteilt).
Wegen Sicherheitsproblemen mit DoS-Angriffen wurde das voreingestellte Verhalten von Routern in RFC 2644 für directed broadcasts geändert.
  • Router sollten directed broadcasts nicht weiterleiten.
IPv6 unterstützt keine Broadcasts mehr, es werden stattdessen Multicasts verwendet.

Broadcast-Sturm

Entstehung eines Broadcast-Sturms

Broadcast-Sturm - starker Anstieg des Broadcast/Multicast-Verkehrs in einem Rechnernetz

Broadcast-Stürme können schnell zum Ausfall eines Netzwerks führen
Große Netzwerksegmente

Abgrenzung

Routing-Schleifen
Unzutreffende Annahme

Router leiten keine Layer-3-Broadcasts weiter

  • Es gibt Routing-Protokolle, die Broadcasts zu anderen Netzwerken weiterleiten
Fehleinschätzung

Nur können Router eine Broadcast-Domäne begrenzen und damit Broadcast-Stürme eingrenzen

  • Auch Switches mit VLANs oder Layer-3-Funktionalitäten
Broadcast werden nicht mit Broadcasts beantwortet
  • Allerdings kann ein Broadcast dazu genutzt werden, herauszufinden, wie auf einen empfangenen Broadcast geantwortet werden kann
  • In redundanten Topologien kann ein solcher zweiter Broadcast dasjenige Netzwerkinterface erreichen, welches den initialen Broadcast gesendet hat

Ursachen

Redundante Verkabelung mit zwei oder mehr Uplinks zwischen Switches
  • In einem solchen Fall werden Broadcasts und Multicasts auf alle Ports weitergeleitet, mit Ausnahme des Ports, von dem der Datenverkehr kam
  • Dadurch wird eine Schleife erzeugt, ein Switching Loop, und die Switches leiten die Broadcasts des jeweils anderen Switches weiter
Denial-of-Service-Angriff

Darüber hinaus kann ein Broadcast-Sturm z. B. auch durch Denial-of-Service-Angriffe (wie den Smurf-Angriff oder den Fraggle-Angriff) oder durch eine fehlerhafte Netzwerkkarte ausgelöst werden

Maßnahmen

Option Beschreibung
Schleifen zwischen Switches verwalten
In Metropol-Netzwerken Ethernet Automatic Protection Switching (EAPS)
Filterung von Broadcasts durch Layer-3-Geräte Router
Physikalische Segmentierung einer Broadcast-Domäne durch Router oder Layer-3-Switches
Logische Segmentierung einer Broadcast-Domäne durch VLANs
Router und Firewalls können so konfiguriert werden, dass sie bösartige oder überdurchschnittlich viele Broadcasts erkennen und blockieren

Sicherheit =

In den ersten Ethernetimplementierungen wurde die gesamte Kommunikation über einen gemeinsamen Bus, der in Form eines Koaxialkabels realisiert war, abgewickelt.
  • An diesen wurden alle Arbeitsstationen abhängig vom Kabeltyp entweder per T-Stück oder „Invasivstecker“ (auch Vampirklemme, Vampirabzweige oder Vampire Tap genannt) angeschlossen.
  • Jede Information, die von einem Computer gesendet wurde, wurde auch von allen empfangen.
  • Die über Ethernet verbundenen Geräte müssen ständig Informationen ausfiltern, die nicht für sie bestimmt sind.
Diese Tatsache kann genutzt werden, um Broadcast- (Rundruf-Nachrichten) an alle angeschlossenen Systeme zu senden
  • Bei TCP/IP beispielsweise verwendet das ARP einen derartigen Mechanismus für die Auflösung der Schicht-2-Adressen.
  • Diese Tatsache ist auch ein Sicherheitsproblem von Ethernet, da ein Teilnehmer mit bösen Absichten den gesamten Datenverkehr auf der Leitung mitprotokollieren kann.
  • Eine mögliche Abhilfe ist der Einsatz von Kryptografie (Kryptografie) auf höheren Protokollebenen.
  • Die Vertraulichkeit der Verkehrsbeziehungen (wer tauscht mit wem in welchem Umfang wann Daten aus?) ist aber so nicht zu schützen.
Der Einsatz von (Repeater) Hubs zur Bildung von Multi-Segment-Ethernet-Netzen ändert hier nichts, weil alle Datenpakete in alle Segmente repliziert werden.
In moderneren Ethernetnetzen wurden zur Aufteilung der Kollisions-Domänen zunächst Bridges, heute Switches eingesetzt.
  • Durch diese wird ein Ethernet in Segmente zerlegt, in denen jeweils nur eine Untermenge an Endgeräten zu finden ist.
  • Werden ausschließlich Switches verwendet, so kann netzweit im Full-Duplex-Modus kommuniziert werden, das ermöglicht das gleichzeitige Senden und Empfangen für jedes Endgerät. Über Switches werden Datenpakete in der Regel direkt vom Sender zum Empfänger befördert – unbeteiligten Teilnehmern wird das Paket nicht zugestellt.
  • Broadcast- (deutsch: Rundruf-) und Multicast-Nachrichten hingegen werden an alle angeschlossenen Systeme gesendet.
Das erschwert das Ausspionieren und Mithören, der Sicherheitsmangel wird durch die Einrichtung einer „geswitchten“ Umgebung allerdings nur verringert und nicht behoben.
  • Zusätzlich zu den Broadcast-Meldungen werden auch die jeweils ersten Pakete nach einer Sendepause – dann, wenn der Switch die Ziel-MAC-Adresse (noch) nicht kennt – an alle angeschlossenen Systeme gesendet.
  • Dieser Zustand kann auch böswillig durch MAC-Flooding herbeigeführt werden.
  • Pakete können auch böswillig durch MAC-Spoofing umgeleitet werden.
Die Sicherheit des Betriebs im Sinne der störungsfreien Verfügbarkeit von Daten und Diensten beruht auf dem Wohlverhalten aller angeschlossenen Systeme.
  • Beabsichtigter oder versehentlicher Missbrauch muss in einer Ethernetumgebung durch Analyse des Datenverkehrs aufgedeckt werden (LAN-Analyse).
  • Switches stellen vielfach statistische Angaben und Meldungen bereit, die Störungen frühzeitig erkennbar werden lassen bzw. Anlass geben zu einer detaillierteren Analyse.

Dokumentation

RFC

  1. RFC 826 – Ethernet Address Resolution Protocol (englisch)
  2. RFC 1812 – Requirements for IP Version 4 Routers (englisch)
  3. RFC 2644 – Changing the Default for Directed Broadcasts in Routers (englisch)

Man-Pages

Info-Pages

Links

Projekt

Weblinks

  1. https://de.wikipedia.org/wiki/Broadcast

Testfragen

Testfrage 1

Antwort1

Testfrage 2

Antwort2

Testfrage 3

Antwort3

Testfrage 4

Antwort4

Testfrage 5

Antwort5