Firewall/Grundlagen: Unterschied zwischen den Versionen
Dirkwagner verschob die Seite Firewall/Grundlagen nach Kategorie:Firewall/Grundlagen Markierung: Neue Weiterleitung |
Weiterleitung auf Kategorie:Firewall/Grundlagen entfernt Markierung: Weiterleitung entfernt |
||
Zeile 1: | Zeile 1: | ||
# | === Allgemeine Grundlagen === | ||
=== Funktionsweise eines Fernzugriffs === | |||
==== Zugriff auf ein Netzwerkdienst ==== | |||
Ein Netzwerkdienst ist ein Computerprogramm, das den Zugriff auf Ressourcen wie Dateien und Drucker über ein Netzwerk ermöglicht. | |||
* Beispielsweise sind Internetseiten als Dateien auf einem Computersystem abgelegt. | |||
* Erst ein dort laufender Netzwerkdienst (hier eine [http://de.wikipedia.org/wiki/Webserver Webserver]-Software) ermöglicht es, aus dem Netzwerk heraus auf den Computer zugreifen zu können und so die Internetseiten auf einem entfernten System anzuzeigen. | |||
Damit diese speziellen Computerprogramme vom Netzwerk aus erreichbar sind, binden sie sich an je einen [http://de.wikipedia.org/wiki/Port_%28Protokoll%29 Port] der Netzwerkschnittstelle. | |||
* Man spricht davon, dass sie „einen Port öffnen“, was im Umkehrschluss bedeutet, dass ein offener Port immer zu einem Computerprogramm gehört. | |||
Eine Sicherheitslücke in einem Netzwerkdienst kann die Basis dafür liefern, um über die zulässigen Zugriffsfunktionen hinaus Aktionen auf dem Computer auszuführen. | |||
Hinweis: Ein [http://de.wikipedia.org/wiki/Dienst_%28Informatik%29 Dienst] (unter [http://de.wikipedia.org/wiki/Microsoft_Windows Microsoft Windows] [http://de.wikipedia.org/wiki/Englische_Sprache englisch] [http://de.wikipedia.org/wiki/Windows-Systemdienst Service]<nowiki>; unter </nowiki>[http://de.wikipedia.org/wiki/Unix Unix] [http://de.wikipedia.org/wiki/Englische_Sprache englisch] [http://de.wikipedia.org/wiki/Daemon Daemon]) zeichnet sich dadurch aus, dass er bei jedem Systemstart ausgeführt wird, unabhängig davon, ob sich ein Anwender an dem Computer anmeldet. | |||
* Es gibt Programme mit einer dem Netzwerkdienst entsprechenden Funktionalität, die jedoch erst nach der Benutzeranmeldung gestartet werden. | |||
* Obgleich diese Programme genau genommen keine Dienste sind, werden sie der Einfachheit halber im Folgenden ebenfalls als Netzwerkdienst betitelt. | |||
==== Rückweg vom entfernten Netzwerkdienst ==== | |||
Der Rückweg vom entfernten Netzwerkdienst hin zum anfragenden PC (genauer dem [http://de.wikipedia.org/wiki/Client Client]), der auf den Dienst zugreift, lässt sich mitunter für einen übergreifenden Fernzugriff nutzen. | |||
* Um bei dem obigen Beispiel zu bleiben, startet der Anwender einen Browser, der auf seinem PC Webseiten aus dem Internet darstellen soll. | |||
Enthält der Browser eine entsprechende Sicherheitslücke, so kann der kontaktierte Internetserver nun auf diesen PC zugreifen und dort Aktionen ausführen, die über die normale Anzeige von Internetseiten hinausgehen. | |||
* Im schlimmsten Fall genügt der bloße Aufruf einer entsprechend präparierten Internetseite, um sogar heimlich eine Schadsoftware auf dem PC zu installieren. | |||
* Eine Schadsoftware kann wiederum als Netzwerkdienst auf dem PC arbeiten und so einen ständigen Fernzugriff auf den PC ermöglichen. | |||
==== Netzwerkimplementierung des Betriebssystems ==== | |||
Für die Kommunikation im Netz benötigen die Kommunikationspartner Kenntnis über die grundlegenden Protokolle, die für die Adressierung und den Transport von Daten verwendet werden. | |||
* Mitunter kann eine fehlerhaft [http://de.wikipedia.org/wiki/Implementierung implementierte] Netzwerkanbindung des [http://de.wikipedia.org/wiki/Betriebssystem Betriebssystems] (inklusive fehlerhafter [http://de.wikipedia.org/wiki/Gerätetreiber Treiber-Software]) für einen Netzwerkzugriff genutzt werden, der in dieser Form vom Hersteller nicht vorgesehen war. | |||
Ein Beispiel für die Ausnutzung eines ehemals weitverbreiteten Fehlers in der Implementierung des [http://de.wikipedia.org/wiki/Internet_Protocol IP-Protokolls] stellt [http://de.wikipedia.org/wiki/Ping_of_Death Ping of Death] dar, der das Zielsystem gezielt zum Absturz brachte. Ähnliche Lücken ermöglichen es mitunter auch, Programmcode auf dem Zielsystem einzuschleusen. | |||
=== Schutzfunktion und Grenzen === | |||
Eine Firewall dient dazu, ungewollte Zugriffe auf Netzwerkdienste zu unterbinden. | |||
* Sie orientiert sich dabei an den Adressen der Kommunikationspartner (also „wer darf worauf zugreifen“). | |||
* In der Regel kann eine Firewall nicht die Ausnutzung einer Sicherheitslücke in dem Netzwerkdienst verhindern, wenn der Kommunikationspartner darauf zugreifen darf. | |||
Bei der Ausnutzung des Rückwegs kann eine Firewall nicht vor dem Zugriff auf Sicherheitslücken des Browsers schützen, wenn der Kommunikationspartner auf die gefährdeten Bereiche des Programms zugreifen kann. | |||
* Daher sollten Programme, die für den Netzwerkzugriff bestimmt sind, auf dem aktuellen Stand gehalten werden, um bekannte Sicherheitslücken dort zu schließen. | |||
Einige Firewalls bieten Filter an, die den Fernzugriff auf den genutzten Netzwerkdienst weiter einschränken, indem beispielsweise die Filterung von gefährdeten [http://de.wikipedia.org/wiki/ActiveX ActiveX]-Objekten aus Webseiten vorgenommen wird. | |||
* Der Browser kann dann auf solche in einer Webseite eingebetteten Objekte nicht mehr zugreifen (er zeigt sie nicht an), was gleichzeitig bedeutet, dass er über diese Objekte nicht angegriffen werden kann. | |||
* Alternativ dazu lässt sich dieses Verhalten auch über die Konfiguration des verwendeten Browsers erreichen. | |||
Je nach Firewall-Typ kann eine Firewall im günstigsten Fall auf den Netzwerkzugriff einer heimlich installierten Schadsoftware aufmerksam machen und mitunter sogar deren Netzwerkzugriff unterbinden. | |||
* Ein solcher Erfolg ist allerdings stark von dem Geschick der jeweiligen Schadsoftware abhängig (siehe dazu die Grenzen der [http://de.wikipedia.org/w/index.php?title=Firewall&printable=yes#Grenzen Personal Firewall] und der [http://de.wikipedia.org/w/index.php?title=Firewall&printable=yes#Grenzen_2 externen Firewall]). | |||
Die Ausnutzung von Fehlern in der Netzwerkimplementierung des Betriebssystems kann eine Firewall im günstigsten Fall abwehren. | |||
Die aufgezeigten Grenzen einer Firewall im Vergleich zum Nutzen lassen sich mit dem Sicherheitsgurt eines Autos vergleichen, für den es ebenfalls Szenarien gibt, in denen er den Autofahrer nicht zu schützen vermag. | |||
Es ist sinnvoll, den Gurt anzulegen und gleichzeitig mit dem Wissen um seine Grenzen nicht unvorsichtig zu fahren. | |||
* Eine Ausnahme könnte ein Gurt bilden, der den Autofahrer gleichzeitig gefährdet (hier mit [http://de.wikipedia.org/w/index.php?title=Firewall&printable=yes#Nachteile Bezug zur Personal Firewall]), was unter Umständen dazu führen kann, dass [http://de.wikipedia.org/w/index.php?title=Firewall&printable=yes#Alternative_L.C3.B6sungen_zur_Unterbindung_eines_Fernzugriffs alternative Lösungen] eine höhere Sicherheit bieten. | |||
Erst wenn bekannt ist, gegenüber welchen Szenarien ein bestimmtes Maß an Sicherheit erreicht werden soll, kann man sich Gedanken über die Art und Weise machen, wie dies umgesetzt wird. | |||
* Dabei hilft die Erstellung eines [http://de.wikipedia.org/wiki/Sicherheitskonzept Sicherheitskonzepts]. | |||
* In größeren Organisationen kommt dafür üblicherweise eine eigene [http://de.wikipedia.org/wiki/Sicherheitsrichtlinie Sicherheitsrichtlinie] zum Einsatz. | |||
=== Filtertechnologien === | |||
==== Paketfilter ==== | |||
Die einfache Filterung von Datenpaketen anhand der Netzwerkadressen ist die Grundfunktion aller Firewalls (in einem TCP/IP-Netz ist damit genauer die Filterung des [http://de.wikipedia.org/wiki/Port_%28Protokoll%29 Ports] und der [http://de.wikipedia.org/wiki/IP-Adresse IP-Adresse] des Quell- und Zielsystems gemeint). | |||
==== Stateful Inspection ==== | |||
Diese zustandsgesteuerte Filterung ist eine erweiterte Form der Paketfilterung. | |||
* Damit gelingt es, den Zugriff auf eine etablierte Verbindung genauer zu beschränken und so das interne Netz besser vor ungewollten Zugriffen von außen zu schützen. | |||
==== Proxyfilter ==== | |||
Ein Proxyfilter stellt stellvertretend für den anfragenden Client die Verbindung mit dem Zielsystem her und leitet die Antwort des Zielsystems an den tatsächlichen Client weiter. | |||
Da er die Kommunikation selbst führt, kann er sie nicht nur einsehen, sondern auch beliebig beeinflussen. | |||
* Auf ein bestimmtes Kommunikationsprotokoll spezialisiert, wie z. B. [http://de.wikipedia.org/wiki/Hypertext_Transfer_Protocol HTTP] oder [http://de.wikipedia.org/wiki/File_Transfer_Protocol FTP], kann er so die Daten zusammenhängend analysieren, Anfragen filtern und bei Bedarf beliebige Anpassungen vornehmen, aber auch entscheiden, ob und in welcher Form die Antwort des Ziels an den tatsächlichen Client weitergereicht wird. | |||
Mitunter dient er dazu, bestimmte Antworten zwischenzuspeichern, damit sie bei wiederkehrenden Anfragen schneller abrufbar sind, ohne sie erneut anfordern zu müssen. | |||
* Auf einem einzigen Gerät kommen oft mehrere solcher Filter parallel zum Einsatz, um unterschiedliche Protokolle bedienen zu können. | |||
==== Contentfilter ==== | |||
Dieser Inhaltsfilter ist eine Form des Proxyfilters, der die Nutzdaten einer Verbindung auswertet und zum Beispiel dafür gedacht ist, [http://de.wikipedia.org/wiki/ActiveX ActiveX] und/oder [http://de.wikipedia.org/wiki/JavaScript JavaScript] aus angeforderten Webseiten herauszufiltern oder allgemein bekannte [http://de.wikipedia.org/wiki/Schadprogramm Schadsoftware] beim [http://de.wikipedia.org/wiki/Herunterladen Herunterladen] zu blockieren. | |||
* Auch das Sperren von unerwünschten Webseiten anhand von Schlüsselwörtern und Ähnliches fallen darunter. | |||
=== Sichtbarkeit für Anwender === | |||
Um Netzwerkpakete filtern zu können, muss sich die Firewall zwischen den Kommunikationspartnern befinden. | |||
* Dabei kann sie den Kommunikationspartnern gegenüber auf unterschiedliche Weise in Erscheinung treten, wobei die ersten vier Erscheinungsformen nur auf einer externen Firewall vorkommen können: | |||
==== Sichtbar ==== | |||
Die Firewall stellt sich als Vermittlungsstelle für beide Seiten sichtbar zwischen das Quell- und Zielsystem. | |||
* Hier bittet der [http://de.wikipedia.org/wiki/Client Client] die [http://de.wikipedia.org/wiki/Proxy_%28Rechnernetz%29 Proxy]-Firewall stellvertretend für ihn, die Kommunikation mit dem Zielsystem zu übernehmen. | |||
So wird beispielsweise der Internetbrowser derart konfiguriert, dass er sämtliche Internetanfragen nicht direkt zur Zieladresse schickt, sondern als Anforderung formuliert zum Proxy sendet. | |||
* Der Proxy nimmt nun die Verbindung zum Zielsystem auf. | |||
* Erst nach erfolgter Analyse gibt der Proxy die Antwort des Zielsystems an den anfragenden Client weiter. | |||
==== Einer Seite gegenüber transparent ==== | |||
Eine der beiden Seiten adressiert hier direkt das Ziel und nicht die Firewall. | |||
* Durch eine entsprechend konfigurierte Infrastruktur des Netzes wird die betreffende Anfrage dort automatisch über die ([http://de.wikipedia.org/wiki/Network_Address_Translation NAT]- oder Proxy-)Firewall geleitet, ohne dass der Absender dies bemerkt oder gar beeinflussen kann. | |||
Die Verbindung zur anderen Seite wird nun über die Adresse der Firewall hergestellt. | |||
* Mögliche Angriffe von dort sind auch hier an die Firewall gerichtet und treffen nicht direkt den Client. | |||
* Denn für diese Seite stellt die Firewall den zu adressierenden Kommunikationspartner dar, der stellvertretend für den tatsächlichen Kommunikationspartner angesprochen wird. | |||
* Diese Form ist die am häufigsten verbreitete Art bei Firewall-Geräten für den Heimbereich. | |||
==== Beiden Seiten gegenüber transparent ==== | |||
Hierbei legt sich die Firewall transparent (nahezu unsichtbar) zwischen beide Netzwerke und ermöglicht so eine durchgehende Verbindung der Kommunikationspartner, sodass sich die Systeme vor und hinter der Firewall direkt sehen können. | |||
Der Datenstrom fließt einfach durch die Firewall hindurch. | |||
* Auf der Ebene der [http://de.wikipedia.org/wiki/IP-Adresse IP-Adressierung] sieht die Gegenstelle die Firewall also nicht als Kommunikationspartner, sondern erkennt diese lediglich als Verbindungsglied zwischen den Subnetzen ([http://de.wikipedia.org/wiki/Router Router] ohne NAT). | |||
* Dennoch kann die auf dem Gerät laufende Firewall-Software den Datenstrom unterbrechen (bestimmte Pakete herausfiltern). | |||
==== Unsichtbar ==== | |||
Genau wie bei dem beidseitig transparenten Modus fließt hier der Datenstrom einfach durch die Firewall hindurch. | |||
* Das Gerät, auf dem die Firewall-Software läuft, arbeitet nun aber wie eine [http://de.wikipedia.org/wiki/Bridge_%28Netzwerk%29 Bridge], wodurch sie für die Kommunikationspartner weder auf IP-Ebene, noch aus Sicht der Low-Level-Adressierung sichtbar ist. | |||
==== Lokal ==== | |||
Eine lokal auf dem Computer installierte Firewall-Software überwacht den durch sie hindurch fließenden Datenstrom vor Ort (auf dem Computer, deren Netzwerkpakete sie filtern soll; im folgenden Quellsystem genannt). | |||
* Aus Sicht des Zielsystems liegt diese Firewall also hinter dem Netzwerkadapter des Quellsystems. | |||
Dadurch verändert sich weder die Netzwerkadresse des Quellsystems noch der Kommunikationsweg zum Zielsystem. | |||
* Somit ist auch die Personal Firewall aus Sicht der Adressierung praktisch unsichtbar. | |||
* Das bezieht sich jedoch lediglich auf den Kommunikationsweg und bedeutet nicht, dass sie sich nicht aufspüren lässt (aufgrund des Verhaltens des Quellsystems) oder über die Adresse des Quellsystems nicht direkt angreifbar wäre (im Gegensatz zur externen Bridge-Firewall, die keine Netzwerkadresse besitzt). | |||
=== Regelwerk === | |||
Die Regeln einer Firewall legen fest, was mit einem Netzwerkpaket passieren soll, welches in das Muster eines Filters passt. | |||
* Die Aktionen können je nach Produkt unterschiedlich betitelt sein. | |||
* Entweder ist die Anfrage nicht erlaubt und das Paket wird lokal verworfen (meist DENY oder DROP genannt) oder sie wird aktiv abgelehnt (REJECT), indem sie beispielsweise mit einem [http://de.wikipedia.org/wiki/Internet_Control_Message_Protocol ICMP]-Paket beantwortet wird. | |||
* Eine erlaubte Anfrage nennt man ACCEPT, ALLOW, PASS oder FORWARD, wobei FORWARD je nach Produkt und Konfiguration auch auf eine Umleitung der Anfrage hindeuten kann. | |||
=== Überprüfbarkeit des Quelltextes === | |||
Bei Softwareprodukten ist eine freie Einsicht in deren Quellcode ein Aspekt der Computersicherheit. | |||
* Dabei gilt es unter anderem die Gefahr zu minimieren, dass ein Produkt Funktionalitäten enthalten kann, von denen der Anwender nichts wissen soll. | |||
So gibt es beispielsweise einige Closed-Source-Produkte aus dem Bereich der [http://de.wikipedia.org/wiki/Personal_Firewall Personal Firewalls], die selbst heimlich Daten zum Hersteller schicken, also genau das tun, was einige Anwender mit dem Produkt eigentlich zu verhindern suchen. | |||
* Quelloffene Software lässt sich von der Öffentlichkeit dahingehend überprüfen und darüber hinaus mit rechtlich unbedenklichen Mitteln auf Schwachstellen untersuchen, die auf diese Weise schneller geschlossen werden können. | |||
Dabei sind quelloffene Lizenzmodelle nicht mit kostenloser Software gleichzusetzen; Open Source genauso wie freier Software umfassen auch kommerzielle Produkte (freie Software ist nicht dasselbe wie [http://de.wikipedia.org/wiki/Freeware Freeware]). | |||
=== Router === | |||
{| style="border-spacing:0;margin:auto;width:17.501cm;" | |||
|- | |||
| align=center| [[Image:Grafik51.png|top]] | |||
| align=center| [[Image:Grafik52.png|top]] | |||
| align=center| [[Image:Grafik53.png|top]] | |||
|- | |||
| align=center| (Cisco-)Symbol für einen Router | |||
| align=center| SOHO-Router: Linksys WRT54G | |||
| align=center| Hochleistungsrouter | |||
|- | |||
|} | |||
Router ([http://de.wikipedia.org/wiki/Liste_der_IPA-Zeichen ['ruːtə(r)]] [http://www.m-w.com/cgi-bin/audio.pl?router02.wav=router (anhören)] oder [http://de.wikipedia.org/wiki/Liste_der_IPA-Zeichen ['raʊ̯tə(r)]] [http://www.m-w.com/cgi-bin/audio.pl?router01.wav=router (anhören)]) sind [http://de.wikipedia.org/wiki/Netzwerk/Hardware Netzwerkgeräte], die [http://de.wikipedia.org/wiki/Datenpaket Netzwerkpakete] zwischen mehreren [http://de.wikipedia.org/wiki/Rechnernetz Rechnernetzen] weiterleiten können. | |||
* Sie werden am häufigsten zur [http://de.wikipedia.org/wiki/Internet Internetanbindung], zur sicheren Kopplung mehrerer Standorte ([http://de.wikipedia.org/wiki/Virtual_Private_Network Virtual Private Network]) oder zur direkten Kopplung mehrerer lokaler [http://de.wikipedia.org/wiki/Netzwerksegment Netzwerksegmente], gegebenenfalls mit Anpassung an unterschiedlichen [http://de.wikipedia.org/wiki/Netzwerkprotokoll Netzwerkprotokolle] eingesetzt ([http://de.wikipedia.org/wiki/Ethernet Ethernet], [http://de.wikipedia.org/wiki/Digital_Subscriber_Line DSL], [http://de.wikipedia.org/wiki/PPP_over_Ethernet PPPoE], [http://de.wikipedia.org/wiki/Integrated_Services_Digital_Network ISDN], [http://de.wikipedia.org/wiki/Asynchronous_Transfer_Mode ATM] usw.). | |||
Router treffen ihre Weiterleitungsentscheidung anhand von Informationen aus der [http://de.wikipedia.org/wiki/OSI-Modell Netzwerk-Schicht] 3 (in der Regel ist das die [http://de.wikipedia.org/wiki/IP-Adresse IP-Adresse]) oder höher. | |||
* Viele Router übersetzen dabei auch zwischen [http://de.wikipedia.org/wiki/Private_IP-Adresse privaten] und öffentlichen IP-Adressen ([http://de.wikipedia.org/wiki/Network_Address_Translation Network Address Translation], [http://de.wikipedia.org/wiki/Port_Address_Translation Port Address Translation]) oder bilden [http://de.wikipedia.org/wiki/Firewall Firewall]-Funktionen durch ein Regelwerk ab. | |||
==== Arbeitsweise ==== | |||
{| style="border-spacing:0;margin:auto;width:17.501cm;" | |||
|- | |||
| style="border:none;padding:0cm;" | Router arbeiten auf Schicht 3 (Vermittlungsschicht/Network Layer) des [http://de.wikipedia.org/wiki/OSI-Modell OSI-Referenzmodells]. | |||
| style="border:none;padding:0cm;" | | |||
| align=center style="border:0.05pt solid #000000;padding:0.049cm;" | 7 | |||
| align=center style="border:none;padding:0.049cm;" | | |||
| align=center style="border:none;padding:0.049cm;" | | |||
| align=center style="border:none;padding:0.049cm;" | | |||
| align=center style="border:none;padding:0.049cm;" | | |||
| align=center style="border:0.05pt solid #000000;padding:0.049cm;" | 7 | |||
|- | |||
| style="border:none;padding:0cm;" | | |||
| align=center style="border:0.05pt solid #000000;padding:0.049cm;" | 6 | |||
| align=center style="border:none;padding:0.049cm;" | | |||
| align=center style="border:none;padding:0.049cm;" | | |||
| align=center style="border:none;padding:0.049cm;" | | |||
| align=center style="border:none;padding:0.049cm;" | | |||
| align=center style="border:0.05pt solid #000000;padding:0.049cm;" | 6 | |||
|- | |||
| style="border:none;padding:0cm;" | | |||
| align=center style="border:0.05pt solid #000000;padding:0.049cm;" | 5 | |||
| align=center style="border:none;padding:0.049cm;" | | |||
| align=center style="border:none;padding:0.049cm;" | | |||
| align=center style="border:none;padding:0.049cm;" | | |||
| align=center style="border:none;padding:0.049cm;" | | |||
| align=center style="border:0.05pt solid #000000;padding:0.049cm;" | 5 | |||
|- | |||
| style="border:none;padding:0cm;" | Ein Router besitzt mehrere Schnittstellen (engl. | |||
* Interfaces), über die [http://de.wikipedia.org/wiki/Rechnernetz Netze] erreichbar sind. | |||
* Diese Schnittstellen können auch virtuell sein. | |||
| style="border:none;padding:0cm;" | | |||
| align=center style="border:0.05pt solid #000000;padding:0.049cm;" | 4 | |||
| align=center style="border:none;padding:0.049cm;" | | |||
| align=center style="border:none;padding:0.049cm;" | | |||
| align=center style="border:none;padding:0.049cm;" | | |||
| align=center style="border:none;padding:0.049cm;" | | |||
| align=center style="border:0.05pt solid #000000;padding:0.049cm;" | 4 | |||
|- | |||
| style="border:none;padding:0cm;" | | |||
| align=center style="border:0.05pt solid #000000;padding:0.049cm;" | 3 | |||
| align=center style="border:none;padding:0.049cm;" | | |||
| colspan="2" align=center style="border:0.05pt solid #000000;padding:0.049cm;" | 3 | |||
| align=center style="border:none;padding:0.049cm;" | | |||
| align=center style="border:0.05pt solid #000000;padding:0.049cm;" | 3 | |||
|- | |||
| style="border:none;padding:0cm;" | | |||
| align=center style="border:0.05pt solid #000000;padding:0.049cm;" | 2 | |||
| align=center style="border:none;padding:0.049cm;" | | |||
| align=center style="border:0.05pt solid #000000;padding:0.049cm;" | 2 | |||
| align=center style="border:0.05pt solid #000000;padding:0.049cm;" | 2 | |||
| align=center style="border:none;padding:0.049cm;" | | |||
| align=center style="border:0.05pt solid #000000;padding:0.049cm;" | 2 | |||
|- | |||
| style="border:none;padding:0cm;" | | |||
| align=center style="border:0.05pt solid #000000;padding:0.049cm;" | 1 | |||
| align=center style="border-top:none;border-bottom:2.25pt solid #000000;border-left:none;border-right:none;padding-top:0cm;padding-bottom:0.049cm;padding-left:0cm;padding-right:0cm;" | | |||
| align=center style="border:0.05pt solid #000000;padding:0.049cm;" | 1 | |||
| align=center style="border:0.05pt solid #000000;padding:0.049cm;" | 1 | |||
| align=center style="border-top:none;border-bottom:2.25pt solid #000000;border-left:none;border-right:none;padding-top:0cm;padding-bottom:0.049cm;padding-left:0cm;padding-right:0cm;" | | |||
| align=center style="border:0.05pt solid #000000;padding:0.049cm;" | 1 | |||
|- | |||
|} | |||
Beim Eintreffen von [http://de.wikipedia.org/wiki/Datenpaket Datenpaketen] muss ein Router anhand der OSI-Schicht-3-Zieladresse (z. B. | |||
* IP-Adresse) den besten Weg zum Ziel und damit die passende Schnittstelle bestimmen, über welche die Daten weiterzuleiten sind. | |||
Dazu bedient er sich einer lokal vorhandenen [http://de.wikipedia.org/wiki/Routingtabelle Routingtabelle], die angibt, über welchen Anschluss des Routers (bzw. | |||
* welche Zwischenstation) welches Netz erreichbar ist. | |||
* Router können Wege auf drei verschiedene Arten lernen und mit diesem Wissen dann die Routingtabelleneinträge erzeugen:* direkt verbundene Netze: Sie werden automatisch in eine Routingtabelle übernommen, wenn ein Interface mit einer IP-Adresse konfiguriert wird. | |||
* statische Routen: Diese Wege werden durch einen Administrator eingetragen. | |||
* Sie dienen zum einen der Sicherheit, sind andererseits aber nur verwaltbar, wenn ihre Zahl begrenzt ist, d.h. | |||
* die Skalierbarkeit ist für diese Methode ein limitierender Faktor. | |||
* dynamische Routen: In diesem Fall lernen Router erreichbare Netze durch ein Routingprotokoll, das Informationen über das Netzwerk und seine Teilnehmer sammelt und an die Mitglieder verteilt. | |||
Die Routingtabelle ist in ihrer Funktion einem Adressbuch vergleichbar, in dem nachgeschlagen wird, ob eine Ziel-IP-Adresse bekannt ist, d. h. | |||
* ein Weg zu diesem Netz existiert. | |||
* Da ein Router nicht für alle IP-Adressen darauf eine Antwort weiß, muss es eine Standardvorgabe geben. | |||
Da Routingtabellen bei den meisten Systemen nach der Genauigkeit sortiert werden, also zuerst spezifische Einträge und später weniger spezifische, kommt die Default-Route, als unspezifische, am Ende und wird für alle Ziele benutzt, die über keinen besser passenden, spezifischeren Eintrag in der Routingtabelle verfügen. | |||
Einige Router beherrschen auch ein sogenanntes Policy Based Routing<nowiki>; dabei wird die Routingentscheidung nicht nur auf Basis der Zieladresse (Layer-3) getroffen, sondern es werden zusätzlich andere Angaben berücksichtigt, beispielsweise die Quelladresse, Qualitätsanforderungen oder Parameter aus höheren Schichten wie </nowiki>[http://de.wikipedia.org/wiki/Transmission_Control_Protocol TCP] oder [http://de.wikipedia.org/wiki/User_Datagram_Protocol UDP]. | |||
* So können dann zum Beispiel Pakete, die HTTP (Web) transportieren, einen anderen Weg nehmen als Pakete mit SMTP-Inhalten (Mail). | |||
Router können nur für Routing geeignete [http://de.wikipedia.org/wiki/Datenpaket Datenpakete], also von routingfähigen Protokollen, wie [http://de.wikipedia.org/wiki/Internet_Protocol IP] ([http://de.wikipedia.org/wiki/IPv4 IPv4] oder [http://de.wikipedia.org/wiki/IPv6 IPv6]) oder [http://de.wikipedia.org/wiki/IPX/SPX IPX/SPX], verarbeiten. | |||
* Andere Protokolle, wie das ursprünglich von [http://de.wikipedia.org/wiki/MS-DOS MS-DOS] und [http://de.wikipedia.org/wiki/MS-Windows MS-Windows] benutzte [http://de.wikipedia.org/wiki/NetBIOS NetBIOS] und [http://de.wikipedia.org/wiki/NetBEUI NetBEUI], die nur für kleine Netze gedacht waren und von ihrem Design her nicht routingfähig sind, werden von einem Router nicht weitergeleitet. | |||
* Pakete aus diesen Protokollfamilien werden in aller Regel durch Systeme, die auf [http://de.wikipedia.org/wiki/OSI-Referenzmodell#Schicht_2_.E2.80.93_Sicherungsschicht Schicht 2] arbeiten, also [http://de.wikipedia.org/wiki/Bridge_%28Netzwerk%29 Bridges] oder [http://de.wikipedia.org/wiki/Switch_%28Computertechnik%29 Switches], verarbeitet. | |||
Viele professionelle Router können bei Bedarf auch diese Bridge-Funktionen wahrnehmen und werden dann [http://de.wikipedia.org/wiki/Layer-3-Switch Layer-3-Switch] genannt. | |||
* Als [http://de.wikipedia.org/wiki/OSI-Referenzmodell#Schicht_3_.E2.80.93_Vermittlungsschicht Schicht-3]-System enden am Router alle Schicht-2-Funktionen, darunter auch die [http://de.wikipedia.org/wiki/Broadcastdomäne Broadcastdomäne]. | |||
* Das ist insbesondere in großen [http://de.wikipedia.org/wiki/Local_Area_Network lokalen Netzen] wichtig, um das Broadcast-Aufkommen für die einzelnen Stationen gering zu halten. | |||
* Sollen allerdings Broadcast-basierte Dienste über den Router hinweg funktionieren, dann werden spezielle Router benötigt, die diese Broadcasts empfangen, auswerten und gezielt einem anderen System zur Verarbeitung zuführen können. | |||
Außerdem sind Ein- und Mehrprotokoll-Router (auch Multiprotokoll-Router) zu unterscheiden. | |||
* Einprotokoll-Router sind nur für ein Netzwerkprotokoll z. B. | |||
* IPv4 geeignet und können daher nur in [http://de.wikipedia.org/wiki/Homogen homogenen] Umgebungen eingesetzt werden. | |||
* Multiprotokoll-Router beherrschen den gleichzeitigen Umgang mit mehreren Protokollfamilien wie DECnet, IPX/SPX, SNA, IP und anderen. | |||
* Heute dominieren IP-Router das Feld, da praktisch alle anderen Netzwerkprotokolle nur noch eine untergeordnete Bedeutung haben, und, falls sie doch zum Einsatz kommen, oft auch gekapselt werden können ([http://de.wikipedia.org/wiki/NetBIOS_over_TCP/IP NetBIOS over TCP/IP], IP-encapsulated IPX). | |||
Früher hatten Mehrprotokoll-Router in größeren Umgebungen eine wesentliche Bedeutung, damals verwendeten viele Hersteller unterschiedliche Protokollfamilien, daher kam es unbedingt darauf an, dass vom Router mehrere Protokoll-Stacks unterstützt wurden. | |||
* Multiprotokoll-Router findet man heute fast ausschließlich in [http://de.wikipedia.org/wiki/Weitverkehrsnetz Weitverkehrs-] oder ATM-Netzen. | |||
Wichtig ist auch die Unterscheidung zwischen den gerouteten Protokollen (z. B. [http://de.wikipedia.org/wiki/Internet_Protocol IP] oder [http://de.wikipedia.org/wiki/Internetwork_Packet_Exchange IPX]) und Routing-Protokollen. | |||
* Routing-Protokolle dienen der Verwaltung des Routing-Vorgangs und der Kommunikation zwischen den Routern, die z. B. | |||
* so ihre Routing-Tabellen austauschen (z. B. [http://de.wikipedia.org/wiki/Border_Gateway_Protocol BGP], [http://de.wikipedia.org/wiki/Routing_Information_Protocol RIP] oder [http://de.wikipedia.org/wiki/OSPF OSPF]). | |||
* Geroutete Protokolle hingegen sind die Protokolle, die den Datenpaketen, die der Router transportiert, zugrunde liegen (z. B. | |||
* IP oder IPX). | |||
==== Typen (Bauformen) ==== | |||
===== Backbone-Router, Hardware-Router ===== | |||
Die Hochgeschwindigkeitsrouter (auch Carrier-Class-Router) im Internet (oder bei großen Unternehmen) sind heute hochgradig auf das Weiterleiten von Paketen optimierte Geräte, die viele Gigabit Datendurchsatz pro Sekunde in Hardware routen können. | |||
[[Image:Grafik54.png|right]]Die benötigte Rechenleistung wird zu einem beträchtlichen Teil durch spezielle Netzwerkinterfaces dezentral erbracht, ein zentraler Prozessor (falls überhaupt vorhanden) wird nicht oder nur sehr wenig belastet. | |||
Die einzelnen [http://de.wikipedia.org/wiki/Port_%28Schnittstelle%29 Ports] oder Interfaces können unabhängig voneinander Daten empfangen und senden. | |||
* Sie sind entweder über einen internen Hochgeschwindigkeitsbus ([http://de.wikipedia.org/wiki/Backplane Backplane]) oder kreuzweise miteinander verbunden ([http://de.wikipedia.org/wiki/Koppelfeld Matrix]). | |||
In der Regel sind solche Geräte für den Dauerbetrieb ausgelegt (Verfügbarkeit von 99,999 % oder höher) und besitzen redundante Hardware (Netzteile usw.), um Ausfälle zu vermeiden. | |||
Auch ist es üblich, alle Teilkomponenten im laufenden Betrieb austauschen oder erweitern zu können (hot plug). | |||
* In den frühen Tagen der Rechnervernetzung war es dagegen üblich, handelsübliche [http://de.wikipedia.org/wiki/Workstation Workstations] als Router zu benutzen, bei denen das Routing per Software implementiert war. | |||
===== Border-Router ===== | |||
Ein Border-Router oder Edge-Router kommt meistens bei [http://de.wikipedia.org/wiki/Internetdienstanbieter Internetdienstanbietern] ([http://de.wikipedia.org/wiki/Internet_Service_Provider Internet Service Provider]) zum Einsatz. | |||
* Er muss die Netze des Teilnehmers, der ihn betreibt, mit anderen [http://de.wikipedia.org/wiki/Peer_%28Informatik%29 Peers] (Partner-Routern) verbinden. | |||
Auf diesen Routern läuft überwiegend das [http://de.wikipedia.org/wiki/Routing-Protokoll Routing-Protokoll] [http://de.wikipedia.org/wiki/Border_Gateway_Protocol BGP]. | |||
* Für den Datentransfer zwischen den Peers kommt meist das Protokoll EBGP (External Border Gateway Protocol) zum Einsatz, dieses ermöglicht dem Router den Datentransfer in ein benachbartes [http://de.wikipedia.org/wiki/Autonomes_System autonomes System]. | |||
Um den eigenen [http://de.wikipedia.org/w/index.php?title=Netzwerkverkehr&action=edit&redlink=1 Netzwerkverkehr] zu priorisieren, setzen die Betreiber oft [http://de.wikipedia.org/w/index.php?title=Type_of_Service_Routing&action=edit&redlink=1 Type of Service Routing] und Methoden zur Überwachung des [http://de.wikipedia.org/wiki/Quality_of_Service Quality of Service] (QoS) ein. | |||
===== High-End-Switches ===== | |||
Bei manchen Herstellern (z. B. | |||
* bei [http://de.wikipedia.org/wiki/Hewlett-Packard Hewlett-Packard]) findet man die Hochgeschwindigkeitsrouter (auch Carrier-Class-Router, Backbone-Router oder Hardware-Router) nicht unter einer eigenen Rubrik Router. | |||
* Router werden dort gemeinsam mit den High-End-Switches ([http://de.wikipedia.org/wiki/Layer-3-Switch Layer-3-Switch] und höher, Enterprise Class) vermarktet. | |||
Das ist insoweit logisch, als Switches aus dem High-End-Bereich heute praktisch auch immer die Routingfunktionalität beherrschen. | |||
* Technisch sind das Systeme, die, ebenso wie die als Router bezeichneten Geräte, hochgradig auf das Weiterleiten von Paketen (Router: anhand der OSI-Schicht-3-Adresse z. B. | |||
* IP-Adresse, Switch: anhand der OSI-Schicht-2-Adresse, der MAC-Adresse) optimiert sind und viele Gigabit Datendurchsatz pro Sekunde bieten. | |||
Sie werden per Managementinterface konfiguriert und können wahlweise als Router, Switch und natürlich auch im Mischbetrieb arbeiten. | |||
* In diesem Bereich verschwimmen die Grenzen zwischen beiden Geräteklassen mehr und mehr – auch finanziell. | |||
===== Software-Router ===== | |||
Anstatt spezieller Routing-Hardware kann man auch gewöhnliche PCs/Laptops/Nettops/[http://de.wikipedia.org/wiki/Unix Unix]-[http://de.wikipedia.org/wiki/Workstation Workstations] und -[http://de.wikipedia.org/wiki/Server Server] als Router einsetzen. | |||
* Die Funktionalität wird vom Betriebssystem übernommen und sämtliche Rechenoperation von der [http://de.wikipedia.org/wiki/CPU CPU] ausgeführt. | |||
* Alle [http://de.wikipedia.org/wiki/POSIX POSIX]-konformen Betriebssysteme beherrschen Routing von Haus aus und selbst [http://de.wikipedia.org/wiki/MS-DOS MS-DOS] konnte man z. B. | |||
* mit KA9Q mit Routing-Funktionalität erweitern. [http://de.wikipedia.org/wiki/Microsoft_Windows Microsoft Windows] bietet in allen NT-basierten Workstation- und Server-Varianten (NT, 2000, XP, 2003, Vista, 7) ebenfalls Routing-Dienste. | |||
Auch die Serverversion von Apples Mac OS X enthält Router-Funktionalität. | |||
* Das freie Betriebssystem [http://de.wikipedia.org/wiki/OpenBSD OpenBSD] (eine UNIX-Variante) bietet neben den eingebauten, grundlegenden Routingfunktionen auch mehrere erweiterte Routingdienste, wie unter anderem [http://de.wikipedia.org/wiki/OpenBGPD OpenBGPD] und [http://de.wikipedia.org/wiki/OpenOSPFD OpenOSPFD], die auch in kommerziellen Produkten zu finden sind. | |||
* Der [http://de.wikipedia.org/wiki/Linux_%28Kernel%29 Linux-Kernel] enthält umfassende Routing-Funktionalität und bietet sehr viele Konfigurationsmöglichkeiten, kommerzielle Produkte sind i. d. R. | |||
* nichts anderes als Linux mit proprietären Eigenentwicklungen. | |||
Es gibt auch ganze [http://de.wikipedia.org/wiki/Linux-Distribution Linux-Distributionen], die sich speziell auf den Einsatz als Router eignen, z. B. | |||
* Smoothwall, [http://de.wikipedia.org/wiki/IPCop IPCop] oder [http://de.wikipedia.org/wiki/Fli4l Fli4l]. | |||
* Einen Spezialfall stellt [http://de.wikipedia.org/wiki/OpenWrt OpenWrt] dar, diese erlaubt es dem Benutzer eine Firmware zu erstellen, die auf einem [http://de.wikipedia.org/wiki/Eingebettetes_System embedded Gerät] läuft und sich über SSH und HTTP konfigurieren lässt. | |||
* Der entscheidende Nachteil von Software-Routern auf PC-Basis ist der hohe Stromverbrauch. | |||
* Gerade im [http://de.wikipedia.org/wiki/Small_Office,_Home_Office SoHo]-Bereich liegen die Stromkosten innerhalb eines Jahres höher als der Preis für ein [http://de.wikipedia.org/wiki/Eingebettetes_System embedded Gerät]. | |||
===== DSL-Router ===== | |||
Ein Router, der einen [http://de.wikipedia.org/wiki/PPP_over_Ethernet PPPoE-Client] zur Einwahl in das Internet via [http://de.wikipedia.org/wiki/Digital_Subscriber_Line xDSL] eines [http://de.wikipedia.org/wiki/Internetdienstanbieter ISPs] beinhaltet und gegenwärtig [http://de.wikipedia.org/wiki/Network_Address_Translation NAT] in [http://de.wikipedia.org/wiki/IPv4 IPv4]-Netzen zur Umsetzung einer öffentlichen [http://de.wikipedia.org/wiki/IPv4 IPv4]-Adresse auf die verschiedenen [http://de.wikipedia.org/wiki/Private_IP-Adresse privaten IPv4-Adressen] des [http://de.wikipedia.org/wiki/Local_Area_Network LANs] beherrscht, wird als DSL-Router bezeichnet. | |||
Häufig sind diese DSL-Router als Multifunktionsgeräte mit einem [http://de.wikipedia.org/wiki/Switch_%28Computertechnik%29 Switch], einem [http://de.wikipedia.org/wiki/Wireless_Access_Point WLAN Access Point], nicht selten mit einer kleinen [http://de.wikipedia.org/wiki/Telefonanlage TK-Anlage], einem [http://de.wikipedia.org/wiki/VoIP-Gateway VoIP-Gateway] oder/und einem [http://de.wikipedia.org/wiki/DSL-Modem DSL-Modem] (xDSL jeglicher Bauart) ausgestattet. | |||
===== Firewall-Funktionalität in DSL-Routern ===== | |||
Fast alle [http://de.wikipedia.org/wiki/Digital_Subscriber_Line DSL]-Router sind heute [http://de.wikipedia.org/wiki/Network_Address_Translation NAT]-fähig, d. h. | |||
* in der Lage, Netzadressen zu übersetzen. | |||
* Weil ein Verbindungsaufbau aus dem Internet auf das Netz hinter dem NAT-Router nicht ohne weiteres möglich ist, wird diese Funktionalität von manchen | |||
Herstellern bereits als NAT-[http://de.wikipedia.org/wiki/Firewall Firewall] bezeichnet, obwohl nicht das Schutzniveau eines [http://de.wikipedia.org/wiki/Paketfilter Paketfilters] erreicht wird. | |||
* Die Sperre lässt sich durch die Konfiguration eines [http://de.wikipedia.org/wiki/Port_Forwarding Port Forwarding] umgehen, was z. B. | |||
* für manche [http://de.wikipedia.org/wiki/Virtual_Private_Network VPN]- oder [http://de.wikipedia.org/wiki/Peer-to-Peer Peer-to-Peer]-Verbindungen notwendig ist. | |||
* Zusätzlich verfügen die meisten DSL-Router für die Privatnutzung auch über einen rudimentären [http://de.wikipedia.org/wiki/Paketfilter Paketfilter], teilweise auch [http://de.wikipedia.org/wiki/Stateful_Packet_Inspection stateful]. | |||
Diese Paketfilter kommen auch bei [http://de.wikipedia.org/wiki/IPv6 IPv6] zum Einsatz. | |||
* Wegen des Wegfalls von NAT wird Port Forwarding wieder zu einer einfachen Freigabe des Ports. | |||
* Als Betriebssystem kommt auf vielen Routern dieser Klasse [http://de.wikipedia.org/wiki/Linux Linux] und als Firewall meist [http://de.wikipedia.org/wiki/Iptables iptables] zum Einsatz. | |||
* Einen Content-Filter enthalten solche Produkte zumeist nicht. | |||
===== WLAN-Router ===== | |||
Die Kombination aus [http://de.wikipedia.org/wiki/Access_Point Access Point], Switch und Router wird häufig als WLAN-Router bezeichnet. | |||
* Das ist solange korrekt, wie es Ports für den Anschluss mindestens eines zweiten Netzes, meist einen [http://de.wikipedia.org/wiki/Wide_Area_Network WAN]-Port, gibt. | |||
[[Image:Grafik55.png|right]]Das Routing findet dann zwischen den mindestens zwei Netzen, meist dem [http://de.wikipedia.org/wiki/Wireless_Local_Area_Network WLAN] und [http://de.wikipedia.org/wiki/Wide_Area_Network WAN] statt (und falls vorhanden auch zwischen [http://de.wikipedia.org/wiki/Local_Area_Network LAN] und [http://de.wikipedia.org/wiki/Wide_Area_Network WAN]). | |||
* Fehlt dieser WAN-Port, handelt es sich lediglich um Marketing-Begriffe, da reine [http://de.wikipedia.org/wiki/Access_Point Access Points] auf OSI-Ebene 2 arbeiten und somit [http://de.wikipedia.org/wiki/Bridge_%28Netzwerk%29 Bridges] und keine Router sind. | |||
Häufig sind auch WLAN-Router keine vollwertigen Router, sie haben oft die gleichen Einschränkungen wie DSL-Router (PPPoE, NAT – siehe oben). | |||
* Bei IPv6 entfällt bei diesen Geräten in der Regel NAT. | |||
* Lediglich in der Übergangsphase muss der Router noch zusätzlich Tunnelprotokolle z. B. [http://de.wikipedia.org/wiki/6to4 6to4] beherrschen. | |||
===== Router in der Automatisierung ===== | |||
Mit der Durchdringung von Netzwerktechnik in der industriellen [http://de.wikipedia.org/wiki/Automatisierung Automatisierung] werden verstärkt Modem-Router mit externem Zugang über Telefon- und Mobilfunkverbindungen eingesetzt. | |||
* Industriegeräte sind in der Regel Software-Router auf Basis von [http://de.wikipedia.org/wiki/Embedded_Linux embedded Linux], die nicht auf hohen Durchsatz, sondern auf mechanische Robustheit, Befestigung im Schaltschrank und Langlebigkeit optimiert sind. | |||
===== Software- oder Hardware-Router ===== | |||
Generell leisten Software-Router heute wertvolle und umfangreiche Dienste – allerdings überwiegend im nicht professionellen Umfeld. | |||
* Allgemein gibt es für Software-Router zwei unterschiedliche Implementierungsarten, zum einen dedizierte Router, dabei wird ein PC, eine Workstation oder ein Server so gut wie ausschließlich als Router eingesetzt (häufig auch noch als DHCP-, DNS-Server oder Firewall); zum anderen nicht dedizierte Router, hier übernimmt ein Server zusätzlich zu seinen bestehenden Aufgaben noch das Routing. | |||
Beide Systeme sind für den performance-unkritischen Bereich gut geeignet und können mit professionellen Lösungen, vor allem was die Kosten angeht, konkurrieren, in der Leistungsfähigkeit sind sie aber meist unterlegen. | |||
Das liegt unter anderem daran, dass solche Systeme bislang häufig noch auf einem klassischen [http://de.wikipedia.org/wiki/Peripheral_Component_Interconnect PCI]-Bus mit [http://de.wikipedia.org/wiki/32-Bit 32-Bit] Busbreite und 33-MHz-Taktung (PCI/32/33) beruhten. Über einen solchen [http://de.wikipedia.org/wiki/Bus_%28Datenverarbeitung%29 Bus] lassen sich theoretisch ca. 1 GBit/s (1000 MBit/s, entspricht etwa 133 MByte/s) im Halb-Duplex-Modus ([http://de.wikipedia.org/wiki/HDX HDX]) leiten; da die Netzwerkpakete den PCI-Bus allerdings in diesem Fall zweimal passieren, (Karte–PCI–Arbeitsspeicher–CPU–Arbeitsspeicher–PCI–Karte) reduziert sich der maximal routbare Datenstrom eines darauf basierenden Software-Routers auf etwa 0,5 GBit/s. | |||
Ethernet wird heute fast immer geswitcht und im Voll-Duplex-Modus [http://de.wikipedia.org/wiki/FDX FDX] betrieben, damit kann beispielsweise Gigabit-Ethernet, obwohl es Namen wie 1 GBit/s Ethernet, 1GbE oder 1000Base-TX anders vermuten lassen, bereits 2 GBit/s (je 1GbE in jede Richtung) übertragen. | |||
* Daraus folgt, dass ein System auf PCI/32/33-Basis die netzwerkseitig theoretisch mögliche maximale Übertragungsrate von 2 GBit/s keinesfalls erreichen kann. | |||
* Systeme mit einem PCI/64/66-Bus können busseitig etwa 4 GBit/s leisten, gerade ausreichend für die Spitzenlast zweier [http://de.wikipedia.org/wiki/Gigabit-Ethernet 1GbE-Schnittstellen] im FDX-Modus. | |||
Noch höherwertige klassische (legacy) Server-Systeme verfügen über noch schnellere Schnittstellen (PCI-X 266 oder besser), sowie über mehrere unabhängige PCI-Busse und können daher auch ohne Probleme höhere Durchsatzraten erzielen – wobei man sich hier auf Grund des typischerweise hohen Energieverbrauchs solcher Server, besonders im dedizierten Routerbetrieb, die Kosten-Nutzen-Frage stellen muss – Hardware-Router mit spezialisierten CPUs und anwendungsspezifisch arbeitenden Chipsätzen ([http://de.wikipedia.org/wiki/Anwendungsspezifische_integrierte_Schaltung anwendungsspezifische integrierte Schaltung] kurz ASIC) schaffen das weitaus energieeffizienter. | |||
Erst durch die Einführung von [http://de.wikipedia.org/wiki/PCI-Express PCI-Express] (mit 2 GBit/s bei Version 1.x und 4 GBit/s pro Lane bei Version 2.x im [http://de.wikipedia.org/wiki/FDX FDX]-Modus – und mehr) steht auch bei Standard-PCs eine ausreichende Peripherie-Transferleistung für mehrere 1GbE-Verbindungen (auch 10GbE) zur Verfügung, so dass sich energieeffiziente, durchsatzstarke Software-Router auch aus preiswerter Standardhardware bauen lassen. | |||
Da bislang aber alle Werte theoretischer Art sind und in der Praxis nicht nur Daten durch den Bus geleitet werden, sondern auch Routing-Entscheidungen getroffen werden müssen, wird ein Software-Router möglicherweise weiter an Leistung einbüßen. | |||
* Vorsichtigerweise sollte man in der Praxis nur von der Hälfte des theoretisch möglichen Datendurchsatzes ausgehen. | |||
* Wer mit solchen Datenraten leben kann, ist mit einem Software-Router, zumindest was die Kosten und die Leistung angeht, gut bedient. | |||
Hardware-Router aus dem High-End-Bereich sind, da sie über spezielle Hochleistungsbusse oder „cross bars“ verfügen können, in der Leistung deutlich überlegen – was sich allerdings auch im Preis widerspiegelt. | |||
* Zusätzlich sind diese Systeme für den ausfallsicheren Dauerbetrieb ausgelegt ([http://de.wikipedia.org/wiki/Verfügbarkeit Verfügbarkeit] von 99,999 % und höher). | |||
* Einfache PCs können da nicht mithalten, hochwertige Server und Workstations verfügen aber ebenfalls über redundante Komponenten und eine für viele Anwendungsfälle ausreichend hohe Ausfallsicherheit. | |||
Übrigens bestehen manche so genannte Hardware-Router tatsächlich aus PC-Komponenten. | |||
* Lediglich das Gehäuse oder die zum Teil mechanisch veränderten PCI-Steckplätze und das „kryptische“ Betriebssystem erwecken den Anschein, es handle sich um Spezialsysteme. | |||
* Zwar arbeiten auch diese Systeme meist sehr robust und zuverlässig, dennoch wird auch hier das Routing per Software durchgeführt. | |||
====== Routing-Cluster ====== | |||
Um beispielsweise 1GbE- oder 10GbE-Netze performant routen zu können, benötigt man nicht unbedingt einen hochpreisigen Hardware-Router. | |||
* Wer geringe Einbußen bei der Übertragungs-Geschwindigkeit in Kauf nimmt, kann dafür auch einen Routing-Cluster einsetzen. | |||
* Dieser kann aus je einem Software-Router (etwa als Workstation mit zwei 10GbE-LAN-Karten [http://de.wikipedia.org/wiki/PCI-Express PCI-Express]) pro Ethernet-Strang aufgebaut sein. | |||
Die Software-Router werden über einen professionellen [http://de.wikipedia.org/wiki/Switch_%28Computertechnik%29 Switch] mit genügend vielen Ports und entsprechend hoher Durchsatzrate (einige Hundert GBit/s) miteinander verbunden. | |||
* Im Unterschied zu Netzen mit zentralem Backbone entspricht die maximale Datendurchsatzrate des gesamten Routing-Clusters der maximalen Durchsatzrate des zentralen Switches (einige Hundert GBit/s). | |||
Optional können die Cluster auch [http://de.wikipedia.org/wiki/Redundanz_%28Technik%29 redundant] (per High-Availability-Unix oder HA-Linux) ausgelegt sein. | |||
* Solche Cluster-Systeme benötigen zwar relativ viel Platz und erreichen nicht die Leistung und Zuverlässigkeit von Hochgeschwindigkeitsroutern, dafür sind sie aber höchst modular, gut skalierbar, vergleichsweise performant und dennoch kostengünstig; daher findet man sie dort, wo Kosten höher als Performance bewertet werden, beispielsweise in Schulen oder Universitäten. | |||
==== Aussprache ==== | |||
Der Begriff Router leitet sich ab aus dem ins Englische übertragenen französischen Begriff route (Route, Marschroute) ([http://de.wikipedia.org/wiki/Liste_der_IPA-Zeichen [ruːt]] (BE)/[http://de.wikipedia.org/wiki/Liste_der_IPA-Zeichen [raʊ̯t]] oder [http://de.wikipedia.org/wiki/Liste_der_IPA-Zeichen [ruːt]] (AE)). | |||
Im [http://de.wikipedia.org/wiki/Britisches_Englisch britischen Englisch (BE)] hört man in der Regel [http://de.wikipedia.org/wiki/Liste_der_IPA-Zeichen ['ruːtə(r)]], während im [http://de.wikipedia.org/wiki/Amerikanisches_Englisch amerikanischen Englisch (AE)] die Aussprache eher [http://de.wikipedia.org/wiki/Liste_der_IPA-Zeichen ['raʊ̯tə(r)]] lautet. | |||
* Im Deutschen spricht man das Wort Router [http://de.wikipedia.org/wiki/Liste_der_IPA-Zeichen ['ruːter]] lautgetreu aus. | |||
Von „[http://de.wikipedia.org/w/index.php?title=Router&oldid=116709190 http://de.wikipedia.org/w/index.php?title=Router&oldid=116709190]“ | |||
=== Firewall-Arten === | |||
[[Firewall/Grundlagen/Firewall-Arten]] | |||
[[Kategorie:Firewall]] | |||
[[Kategorie:Firewall/Grundlagen]] |
Aktuelle Version vom 21. Januar 2024, 13:23 Uhr
Allgemeine Grundlagen
Funktionsweise eines Fernzugriffs
Zugriff auf ein Netzwerkdienst
Ein Netzwerkdienst ist ein Computerprogramm, das den Zugriff auf Ressourcen wie Dateien und Drucker über ein Netzwerk ermöglicht.
- Beispielsweise sind Internetseiten als Dateien auf einem Computersystem abgelegt.
- Erst ein dort laufender Netzwerkdienst (hier eine Webserver-Software) ermöglicht es, aus dem Netzwerk heraus auf den Computer zugreifen zu können und so die Internetseiten auf einem entfernten System anzuzeigen.
Damit diese speziellen Computerprogramme vom Netzwerk aus erreichbar sind, binden sie sich an je einen Port der Netzwerkschnittstelle.
- Man spricht davon, dass sie „einen Port öffnen“, was im Umkehrschluss bedeutet, dass ein offener Port immer zu einem Computerprogramm gehört.
Eine Sicherheitslücke in einem Netzwerkdienst kann die Basis dafür liefern, um über die zulässigen Zugriffsfunktionen hinaus Aktionen auf dem Computer auszuführen.
Hinweis: Ein Dienst (unter Microsoft Windows englisch Service; unter Unix englisch Daemon) zeichnet sich dadurch aus, dass er bei jedem Systemstart ausgeführt wird, unabhängig davon, ob sich ein Anwender an dem Computer anmeldet.
- Es gibt Programme mit einer dem Netzwerkdienst entsprechenden Funktionalität, die jedoch erst nach der Benutzeranmeldung gestartet werden.
- Obgleich diese Programme genau genommen keine Dienste sind, werden sie der Einfachheit halber im Folgenden ebenfalls als Netzwerkdienst betitelt.
Rückweg vom entfernten Netzwerkdienst
Der Rückweg vom entfernten Netzwerkdienst hin zum anfragenden PC (genauer dem Client), der auf den Dienst zugreift, lässt sich mitunter für einen übergreifenden Fernzugriff nutzen.
- Um bei dem obigen Beispiel zu bleiben, startet der Anwender einen Browser, der auf seinem PC Webseiten aus dem Internet darstellen soll.
Enthält der Browser eine entsprechende Sicherheitslücke, so kann der kontaktierte Internetserver nun auf diesen PC zugreifen und dort Aktionen ausführen, die über die normale Anzeige von Internetseiten hinausgehen.
- Im schlimmsten Fall genügt der bloße Aufruf einer entsprechend präparierten Internetseite, um sogar heimlich eine Schadsoftware auf dem PC zu installieren.
- Eine Schadsoftware kann wiederum als Netzwerkdienst auf dem PC arbeiten und so einen ständigen Fernzugriff auf den PC ermöglichen.
Netzwerkimplementierung des Betriebssystems
Für die Kommunikation im Netz benötigen die Kommunikationspartner Kenntnis über die grundlegenden Protokolle, die für die Adressierung und den Transport von Daten verwendet werden.
- Mitunter kann eine fehlerhaft implementierte Netzwerkanbindung des Betriebssystems (inklusive fehlerhafter Treiber-Software) für einen Netzwerkzugriff genutzt werden, der in dieser Form vom Hersteller nicht vorgesehen war.
Ein Beispiel für die Ausnutzung eines ehemals weitverbreiteten Fehlers in der Implementierung des IP-Protokolls stellt Ping of Death dar, der das Zielsystem gezielt zum Absturz brachte. Ähnliche Lücken ermöglichen es mitunter auch, Programmcode auf dem Zielsystem einzuschleusen.
Schutzfunktion und Grenzen
Eine Firewall dient dazu, ungewollte Zugriffe auf Netzwerkdienste zu unterbinden.
- Sie orientiert sich dabei an den Adressen der Kommunikationspartner (also „wer darf worauf zugreifen“).
- In der Regel kann eine Firewall nicht die Ausnutzung einer Sicherheitslücke in dem Netzwerkdienst verhindern, wenn der Kommunikationspartner darauf zugreifen darf.
Bei der Ausnutzung des Rückwegs kann eine Firewall nicht vor dem Zugriff auf Sicherheitslücken des Browsers schützen, wenn der Kommunikationspartner auf die gefährdeten Bereiche des Programms zugreifen kann.
- Daher sollten Programme, die für den Netzwerkzugriff bestimmt sind, auf dem aktuellen Stand gehalten werden, um bekannte Sicherheitslücken dort zu schließen.
Einige Firewalls bieten Filter an, die den Fernzugriff auf den genutzten Netzwerkdienst weiter einschränken, indem beispielsweise die Filterung von gefährdeten ActiveX-Objekten aus Webseiten vorgenommen wird.
- Der Browser kann dann auf solche in einer Webseite eingebetteten Objekte nicht mehr zugreifen (er zeigt sie nicht an), was gleichzeitig bedeutet, dass er über diese Objekte nicht angegriffen werden kann.
- Alternativ dazu lässt sich dieses Verhalten auch über die Konfiguration des verwendeten Browsers erreichen.
Je nach Firewall-Typ kann eine Firewall im günstigsten Fall auf den Netzwerkzugriff einer heimlich installierten Schadsoftware aufmerksam machen und mitunter sogar deren Netzwerkzugriff unterbinden.
- Ein solcher Erfolg ist allerdings stark von dem Geschick der jeweiligen Schadsoftware abhängig (siehe dazu die Grenzen der Personal Firewall und der externen Firewall).
Die Ausnutzung von Fehlern in der Netzwerkimplementierung des Betriebssystems kann eine Firewall im günstigsten Fall abwehren.
Die aufgezeigten Grenzen einer Firewall im Vergleich zum Nutzen lassen sich mit dem Sicherheitsgurt eines Autos vergleichen, für den es ebenfalls Szenarien gibt, in denen er den Autofahrer nicht zu schützen vermag.
Es ist sinnvoll, den Gurt anzulegen und gleichzeitig mit dem Wissen um seine Grenzen nicht unvorsichtig zu fahren.
- Eine Ausnahme könnte ein Gurt bilden, der den Autofahrer gleichzeitig gefährdet (hier mit Bezug zur Personal Firewall), was unter Umständen dazu führen kann, dass alternative Lösungen eine höhere Sicherheit bieten.
Erst wenn bekannt ist, gegenüber welchen Szenarien ein bestimmtes Maß an Sicherheit erreicht werden soll, kann man sich Gedanken über die Art und Weise machen, wie dies umgesetzt wird.
- Dabei hilft die Erstellung eines Sicherheitskonzepts.
- In größeren Organisationen kommt dafür üblicherweise eine eigene Sicherheitsrichtlinie zum Einsatz.
Filtertechnologien
Paketfilter
Die einfache Filterung von Datenpaketen anhand der Netzwerkadressen ist die Grundfunktion aller Firewalls (in einem TCP/IP-Netz ist damit genauer die Filterung des Ports und der IP-Adresse des Quell- und Zielsystems gemeint).
Stateful Inspection
Diese zustandsgesteuerte Filterung ist eine erweiterte Form der Paketfilterung.
- Damit gelingt es, den Zugriff auf eine etablierte Verbindung genauer zu beschränken und so das interne Netz besser vor ungewollten Zugriffen von außen zu schützen.
Proxyfilter
Ein Proxyfilter stellt stellvertretend für den anfragenden Client die Verbindung mit dem Zielsystem her und leitet die Antwort des Zielsystems an den tatsächlichen Client weiter.
Da er die Kommunikation selbst führt, kann er sie nicht nur einsehen, sondern auch beliebig beeinflussen.
- Auf ein bestimmtes Kommunikationsprotokoll spezialisiert, wie z. B. HTTP oder FTP, kann er so die Daten zusammenhängend analysieren, Anfragen filtern und bei Bedarf beliebige Anpassungen vornehmen, aber auch entscheiden, ob und in welcher Form die Antwort des Ziels an den tatsächlichen Client weitergereicht wird.
Mitunter dient er dazu, bestimmte Antworten zwischenzuspeichern, damit sie bei wiederkehrenden Anfragen schneller abrufbar sind, ohne sie erneut anfordern zu müssen.
- Auf einem einzigen Gerät kommen oft mehrere solcher Filter parallel zum Einsatz, um unterschiedliche Protokolle bedienen zu können.
Contentfilter
Dieser Inhaltsfilter ist eine Form des Proxyfilters, der die Nutzdaten einer Verbindung auswertet und zum Beispiel dafür gedacht ist, ActiveX und/oder JavaScript aus angeforderten Webseiten herauszufiltern oder allgemein bekannte Schadsoftware beim Herunterladen zu blockieren.
- Auch das Sperren von unerwünschten Webseiten anhand von Schlüsselwörtern und Ähnliches fallen darunter.
Sichtbarkeit für Anwender
Um Netzwerkpakete filtern zu können, muss sich die Firewall zwischen den Kommunikationspartnern befinden.
- Dabei kann sie den Kommunikationspartnern gegenüber auf unterschiedliche Weise in Erscheinung treten, wobei die ersten vier Erscheinungsformen nur auf einer externen Firewall vorkommen können:
Sichtbar
Die Firewall stellt sich als Vermittlungsstelle für beide Seiten sichtbar zwischen das Quell- und Zielsystem.
- Hier bittet der Client die Proxy-Firewall stellvertretend für ihn, die Kommunikation mit dem Zielsystem zu übernehmen.
So wird beispielsweise der Internetbrowser derart konfiguriert, dass er sämtliche Internetanfragen nicht direkt zur Zieladresse schickt, sondern als Anforderung formuliert zum Proxy sendet.
- Der Proxy nimmt nun die Verbindung zum Zielsystem auf.
- Erst nach erfolgter Analyse gibt der Proxy die Antwort des Zielsystems an den anfragenden Client weiter.
Einer Seite gegenüber transparent
Eine der beiden Seiten adressiert hier direkt das Ziel und nicht die Firewall.
- Durch eine entsprechend konfigurierte Infrastruktur des Netzes wird die betreffende Anfrage dort automatisch über die (NAT- oder Proxy-)Firewall geleitet, ohne dass der Absender dies bemerkt oder gar beeinflussen kann.
Die Verbindung zur anderen Seite wird nun über die Adresse der Firewall hergestellt.
- Mögliche Angriffe von dort sind auch hier an die Firewall gerichtet und treffen nicht direkt den Client.
- Denn für diese Seite stellt die Firewall den zu adressierenden Kommunikationspartner dar, der stellvertretend für den tatsächlichen Kommunikationspartner angesprochen wird.
- Diese Form ist die am häufigsten verbreitete Art bei Firewall-Geräten für den Heimbereich.
Beiden Seiten gegenüber transparent
Hierbei legt sich die Firewall transparent (nahezu unsichtbar) zwischen beide Netzwerke und ermöglicht so eine durchgehende Verbindung der Kommunikationspartner, sodass sich die Systeme vor und hinter der Firewall direkt sehen können.
Der Datenstrom fließt einfach durch die Firewall hindurch.
- Auf der Ebene der IP-Adressierung sieht die Gegenstelle die Firewall also nicht als Kommunikationspartner, sondern erkennt diese lediglich als Verbindungsglied zwischen den Subnetzen (Router ohne NAT).
- Dennoch kann die auf dem Gerät laufende Firewall-Software den Datenstrom unterbrechen (bestimmte Pakete herausfiltern).
Unsichtbar
Genau wie bei dem beidseitig transparenten Modus fließt hier der Datenstrom einfach durch die Firewall hindurch.
- Das Gerät, auf dem die Firewall-Software läuft, arbeitet nun aber wie eine Bridge, wodurch sie für die Kommunikationspartner weder auf IP-Ebene, noch aus Sicht der Low-Level-Adressierung sichtbar ist.
Lokal
Eine lokal auf dem Computer installierte Firewall-Software überwacht den durch sie hindurch fließenden Datenstrom vor Ort (auf dem Computer, deren Netzwerkpakete sie filtern soll; im folgenden Quellsystem genannt).
- Aus Sicht des Zielsystems liegt diese Firewall also hinter dem Netzwerkadapter des Quellsystems.
Dadurch verändert sich weder die Netzwerkadresse des Quellsystems noch der Kommunikationsweg zum Zielsystem.
- Somit ist auch die Personal Firewall aus Sicht der Adressierung praktisch unsichtbar.
- Das bezieht sich jedoch lediglich auf den Kommunikationsweg und bedeutet nicht, dass sie sich nicht aufspüren lässt (aufgrund des Verhaltens des Quellsystems) oder über die Adresse des Quellsystems nicht direkt angreifbar wäre (im Gegensatz zur externen Bridge-Firewall, die keine Netzwerkadresse besitzt).
Regelwerk
Die Regeln einer Firewall legen fest, was mit einem Netzwerkpaket passieren soll, welches in das Muster eines Filters passt.
- Die Aktionen können je nach Produkt unterschiedlich betitelt sein.
- Entweder ist die Anfrage nicht erlaubt und das Paket wird lokal verworfen (meist DENY oder DROP genannt) oder sie wird aktiv abgelehnt (REJECT), indem sie beispielsweise mit einem ICMP-Paket beantwortet wird.
- Eine erlaubte Anfrage nennt man ACCEPT, ALLOW, PASS oder FORWARD, wobei FORWARD je nach Produkt und Konfiguration auch auf eine Umleitung der Anfrage hindeuten kann.
Überprüfbarkeit des Quelltextes
Bei Softwareprodukten ist eine freie Einsicht in deren Quellcode ein Aspekt der Computersicherheit.
- Dabei gilt es unter anderem die Gefahr zu minimieren, dass ein Produkt Funktionalitäten enthalten kann, von denen der Anwender nichts wissen soll.
So gibt es beispielsweise einige Closed-Source-Produkte aus dem Bereich der Personal Firewalls, die selbst heimlich Daten zum Hersteller schicken, also genau das tun, was einige Anwender mit dem Produkt eigentlich zu verhindern suchen.
- Quelloffene Software lässt sich von der Öffentlichkeit dahingehend überprüfen und darüber hinaus mit rechtlich unbedenklichen Mitteln auf Schwachstellen untersuchen, die auf diese Weise schneller geschlossen werden können.
Dabei sind quelloffene Lizenzmodelle nicht mit kostenloser Software gleichzusetzen; Open Source genauso wie freier Software umfassen auch kommerzielle Produkte (freie Software ist nicht dasselbe wie Freeware).
Router
Datei:Grafik51.png | Datei:Grafik52.png | Datei:Grafik53.png |
(Cisco-)Symbol für einen Router | SOHO-Router: Linksys WRT54G | Hochleistungsrouter |
Router (['ruːtə(r)] (anhören) oder ['raʊ̯tə(r)] (anhören)) sind Netzwerkgeräte, die Netzwerkpakete zwischen mehreren Rechnernetzen weiterleiten können.
- Sie werden am häufigsten zur Internetanbindung, zur sicheren Kopplung mehrerer Standorte (Virtual Private Network) oder zur direkten Kopplung mehrerer lokaler Netzwerksegmente, gegebenenfalls mit Anpassung an unterschiedlichen Netzwerkprotokolle eingesetzt (Ethernet, DSL, PPPoE, ISDN, ATM usw.).
Router treffen ihre Weiterleitungsentscheidung anhand von Informationen aus der Netzwerk-Schicht 3 (in der Regel ist das die IP-Adresse) oder höher.
- Viele Router übersetzen dabei auch zwischen privaten und öffentlichen IP-Adressen (Network Address Translation, Port Address Translation) oder bilden Firewall-Funktionen durch ein Regelwerk ab.
Arbeitsweise
Router arbeiten auf Schicht 3 (Vermittlungsschicht/Network Layer) des OSI-Referenzmodells. | 7 | 7 | |||||
6 | 6 | ||||||
5 | 5 | ||||||
Ein Router besitzt mehrere Schnittstellen (engl.
|
4 | 4 | |||||
3 | 3 | 3 | |||||
2 | 2 | 2 | 2 | ||||
1 | 1 | 1 | 1 |
Beim Eintreffen von Datenpaketen muss ein Router anhand der OSI-Schicht-3-Zieladresse (z. B.
- IP-Adresse) den besten Weg zum Ziel und damit die passende Schnittstelle bestimmen, über welche die Daten weiterzuleiten sind.
Dazu bedient er sich einer lokal vorhandenen Routingtabelle, die angibt, über welchen Anschluss des Routers (bzw.
- welche Zwischenstation) welches Netz erreichbar ist.
- Router können Wege auf drei verschiedene Arten lernen und mit diesem Wissen dann die Routingtabelleneinträge erzeugen:* direkt verbundene Netze: Sie werden automatisch in eine Routingtabelle übernommen, wenn ein Interface mit einer IP-Adresse konfiguriert wird.
- statische Routen: Diese Wege werden durch einen Administrator eingetragen.
- Sie dienen zum einen der Sicherheit, sind andererseits aber nur verwaltbar, wenn ihre Zahl begrenzt ist, d.h.
- die Skalierbarkeit ist für diese Methode ein limitierender Faktor.
- dynamische Routen: In diesem Fall lernen Router erreichbare Netze durch ein Routingprotokoll, das Informationen über das Netzwerk und seine Teilnehmer sammelt und an die Mitglieder verteilt.
Die Routingtabelle ist in ihrer Funktion einem Adressbuch vergleichbar, in dem nachgeschlagen wird, ob eine Ziel-IP-Adresse bekannt ist, d. h.
- ein Weg zu diesem Netz existiert.
- Da ein Router nicht für alle IP-Adressen darauf eine Antwort weiß, muss es eine Standardvorgabe geben.
Da Routingtabellen bei den meisten Systemen nach der Genauigkeit sortiert werden, also zuerst spezifische Einträge und später weniger spezifische, kommt die Default-Route, als unspezifische, am Ende und wird für alle Ziele benutzt, die über keinen besser passenden, spezifischeren Eintrag in der Routingtabelle verfügen.
Einige Router beherrschen auch ein sogenanntes Policy Based Routing; dabei wird die Routingentscheidung nicht nur auf Basis der Zieladresse (Layer-3) getroffen, sondern es werden zusätzlich andere Angaben berücksichtigt, beispielsweise die Quelladresse, Qualitätsanforderungen oder Parameter aus höheren Schichten wie TCP oder UDP.
- So können dann zum Beispiel Pakete, die HTTP (Web) transportieren, einen anderen Weg nehmen als Pakete mit SMTP-Inhalten (Mail).
Router können nur für Routing geeignete Datenpakete, also von routingfähigen Protokollen, wie IP (IPv4 oder IPv6) oder IPX/SPX, verarbeiten.
- Andere Protokolle, wie das ursprünglich von MS-DOS und MS-Windows benutzte NetBIOS und NetBEUI, die nur für kleine Netze gedacht waren und von ihrem Design her nicht routingfähig sind, werden von einem Router nicht weitergeleitet.
- Pakete aus diesen Protokollfamilien werden in aller Regel durch Systeme, die auf Schicht 2 arbeiten, also Bridges oder Switches, verarbeitet.
Viele professionelle Router können bei Bedarf auch diese Bridge-Funktionen wahrnehmen und werden dann Layer-3-Switch genannt.
- Als Schicht-3-System enden am Router alle Schicht-2-Funktionen, darunter auch die Broadcastdomäne.
- Das ist insbesondere in großen lokalen Netzen wichtig, um das Broadcast-Aufkommen für die einzelnen Stationen gering zu halten.
- Sollen allerdings Broadcast-basierte Dienste über den Router hinweg funktionieren, dann werden spezielle Router benötigt, die diese Broadcasts empfangen, auswerten und gezielt einem anderen System zur Verarbeitung zuführen können.
Außerdem sind Ein- und Mehrprotokoll-Router (auch Multiprotokoll-Router) zu unterscheiden.
- Einprotokoll-Router sind nur für ein Netzwerkprotokoll z. B.
- IPv4 geeignet und können daher nur in homogenen Umgebungen eingesetzt werden.
- Multiprotokoll-Router beherrschen den gleichzeitigen Umgang mit mehreren Protokollfamilien wie DECnet, IPX/SPX, SNA, IP und anderen.
- Heute dominieren IP-Router das Feld, da praktisch alle anderen Netzwerkprotokolle nur noch eine untergeordnete Bedeutung haben, und, falls sie doch zum Einsatz kommen, oft auch gekapselt werden können (NetBIOS over TCP/IP, IP-encapsulated IPX).
Früher hatten Mehrprotokoll-Router in größeren Umgebungen eine wesentliche Bedeutung, damals verwendeten viele Hersteller unterschiedliche Protokollfamilien, daher kam es unbedingt darauf an, dass vom Router mehrere Protokoll-Stacks unterstützt wurden.
- Multiprotokoll-Router findet man heute fast ausschließlich in Weitverkehrs- oder ATM-Netzen.
Wichtig ist auch die Unterscheidung zwischen den gerouteten Protokollen (z. B. IP oder IPX) und Routing-Protokollen.
- Routing-Protokolle dienen der Verwaltung des Routing-Vorgangs und der Kommunikation zwischen den Routern, die z. B.
- so ihre Routing-Tabellen austauschen (z. B. BGP, RIP oder OSPF).
- Geroutete Protokolle hingegen sind die Protokolle, die den Datenpaketen, die der Router transportiert, zugrunde liegen (z. B.
- IP oder IPX).
Typen (Bauformen)
Backbone-Router, Hardware-Router
Die Hochgeschwindigkeitsrouter (auch Carrier-Class-Router) im Internet (oder bei großen Unternehmen) sind heute hochgradig auf das Weiterleiten von Paketen optimierte Geräte, die viele Gigabit Datendurchsatz pro Sekunde in Hardware routen können.
Die benötigte Rechenleistung wird zu einem beträchtlichen Teil durch spezielle Netzwerkinterfaces dezentral erbracht, ein zentraler Prozessor (falls überhaupt vorhanden) wird nicht oder nur sehr wenig belastet.
Die einzelnen Ports oder Interfaces können unabhängig voneinander Daten empfangen und senden.
- Sie sind entweder über einen internen Hochgeschwindigkeitsbus (Backplane) oder kreuzweise miteinander verbunden (Matrix).
In der Regel sind solche Geräte für den Dauerbetrieb ausgelegt (Verfügbarkeit von 99,999 % oder höher) und besitzen redundante Hardware (Netzteile usw.), um Ausfälle zu vermeiden.
Auch ist es üblich, alle Teilkomponenten im laufenden Betrieb austauschen oder erweitern zu können (hot plug).
- In den frühen Tagen der Rechnervernetzung war es dagegen üblich, handelsübliche Workstations als Router zu benutzen, bei denen das Routing per Software implementiert war.
Border-Router
Ein Border-Router oder Edge-Router kommt meistens bei Internetdienstanbietern (Internet Service Provider) zum Einsatz.
- Er muss die Netze des Teilnehmers, der ihn betreibt, mit anderen Peers (Partner-Routern) verbinden.
Auf diesen Routern läuft überwiegend das Routing-Protokoll BGP.
- Für den Datentransfer zwischen den Peers kommt meist das Protokoll EBGP (External Border Gateway Protocol) zum Einsatz, dieses ermöglicht dem Router den Datentransfer in ein benachbartes autonomes System.
Um den eigenen Netzwerkverkehr zu priorisieren, setzen die Betreiber oft Type of Service Routing und Methoden zur Überwachung des Quality of Service (QoS) ein.
High-End-Switches
Bei manchen Herstellern (z. B.
- bei Hewlett-Packard) findet man die Hochgeschwindigkeitsrouter (auch Carrier-Class-Router, Backbone-Router oder Hardware-Router) nicht unter einer eigenen Rubrik Router.
- Router werden dort gemeinsam mit den High-End-Switches (Layer-3-Switch und höher, Enterprise Class) vermarktet.
Das ist insoweit logisch, als Switches aus dem High-End-Bereich heute praktisch auch immer die Routingfunktionalität beherrschen.
- Technisch sind das Systeme, die, ebenso wie die als Router bezeichneten Geräte, hochgradig auf das Weiterleiten von Paketen (Router: anhand der OSI-Schicht-3-Adresse z. B.
- IP-Adresse, Switch: anhand der OSI-Schicht-2-Adresse, der MAC-Adresse) optimiert sind und viele Gigabit Datendurchsatz pro Sekunde bieten.
Sie werden per Managementinterface konfiguriert und können wahlweise als Router, Switch und natürlich auch im Mischbetrieb arbeiten.
- In diesem Bereich verschwimmen die Grenzen zwischen beiden Geräteklassen mehr und mehr – auch finanziell.
Software-Router
Anstatt spezieller Routing-Hardware kann man auch gewöhnliche PCs/Laptops/Nettops/Unix-Workstations und -Server als Router einsetzen.
- Die Funktionalität wird vom Betriebssystem übernommen und sämtliche Rechenoperation von der CPU ausgeführt.
- Alle POSIX-konformen Betriebssysteme beherrschen Routing von Haus aus und selbst MS-DOS konnte man z. B.
- mit KA9Q mit Routing-Funktionalität erweitern. Microsoft Windows bietet in allen NT-basierten Workstation- und Server-Varianten (NT, 2000, XP, 2003, Vista, 7) ebenfalls Routing-Dienste.
Auch die Serverversion von Apples Mac OS X enthält Router-Funktionalität.
- Das freie Betriebssystem OpenBSD (eine UNIX-Variante) bietet neben den eingebauten, grundlegenden Routingfunktionen auch mehrere erweiterte Routingdienste, wie unter anderem OpenBGPD und OpenOSPFD, die auch in kommerziellen Produkten zu finden sind.
- Der Linux-Kernel enthält umfassende Routing-Funktionalität und bietet sehr viele Konfigurationsmöglichkeiten, kommerzielle Produkte sind i. d. R.
- nichts anderes als Linux mit proprietären Eigenentwicklungen.
Es gibt auch ganze Linux-Distributionen, die sich speziell auf den Einsatz als Router eignen, z. B.
- Smoothwall, IPCop oder Fli4l.
- Einen Spezialfall stellt OpenWrt dar, diese erlaubt es dem Benutzer eine Firmware zu erstellen, die auf einem embedded Gerät läuft und sich über SSH und HTTP konfigurieren lässt.
- Der entscheidende Nachteil von Software-Routern auf PC-Basis ist der hohe Stromverbrauch.
- Gerade im SoHo-Bereich liegen die Stromkosten innerhalb eines Jahres höher als der Preis für ein embedded Gerät.
DSL-Router
Ein Router, der einen PPPoE-Client zur Einwahl in das Internet via xDSL eines ISPs beinhaltet und gegenwärtig NAT in IPv4-Netzen zur Umsetzung einer öffentlichen IPv4-Adresse auf die verschiedenen privaten IPv4-Adressen des LANs beherrscht, wird als DSL-Router bezeichnet.
Häufig sind diese DSL-Router als Multifunktionsgeräte mit einem Switch, einem WLAN Access Point, nicht selten mit einer kleinen TK-Anlage, einem VoIP-Gateway oder/und einem DSL-Modem (xDSL jeglicher Bauart) ausgestattet.
Firewall-Funktionalität in DSL-Routern
Fast alle DSL-Router sind heute NAT-fähig, d. h.
- in der Lage, Netzadressen zu übersetzen.
- Weil ein Verbindungsaufbau aus dem Internet auf das Netz hinter dem NAT-Router nicht ohne weiteres möglich ist, wird diese Funktionalität von manchen
Herstellern bereits als NAT-Firewall bezeichnet, obwohl nicht das Schutzniveau eines Paketfilters erreicht wird.
- Die Sperre lässt sich durch die Konfiguration eines Port Forwarding umgehen, was z. B.
- für manche VPN- oder Peer-to-Peer-Verbindungen notwendig ist.
- Zusätzlich verfügen die meisten DSL-Router für die Privatnutzung auch über einen rudimentären Paketfilter, teilweise auch stateful.
Diese Paketfilter kommen auch bei IPv6 zum Einsatz.
- Wegen des Wegfalls von NAT wird Port Forwarding wieder zu einer einfachen Freigabe des Ports.
- Als Betriebssystem kommt auf vielen Routern dieser Klasse Linux und als Firewall meist iptables zum Einsatz.
- Einen Content-Filter enthalten solche Produkte zumeist nicht.
WLAN-Router
Die Kombination aus Access Point, Switch und Router wird häufig als WLAN-Router bezeichnet.
- Das ist solange korrekt, wie es Ports für den Anschluss mindestens eines zweiten Netzes, meist einen WAN-Port, gibt.
Das Routing findet dann zwischen den mindestens zwei Netzen, meist dem WLAN und WAN statt (und falls vorhanden auch zwischen LAN und WAN).
- Fehlt dieser WAN-Port, handelt es sich lediglich um Marketing-Begriffe, da reine Access Points auf OSI-Ebene 2 arbeiten und somit Bridges und keine Router sind.
Häufig sind auch WLAN-Router keine vollwertigen Router, sie haben oft die gleichen Einschränkungen wie DSL-Router (PPPoE, NAT – siehe oben).
- Bei IPv6 entfällt bei diesen Geräten in der Regel NAT.
- Lediglich in der Übergangsphase muss der Router noch zusätzlich Tunnelprotokolle z. B. 6to4 beherrschen.
Router in der Automatisierung
Mit der Durchdringung von Netzwerktechnik in der industriellen Automatisierung werden verstärkt Modem-Router mit externem Zugang über Telefon- und Mobilfunkverbindungen eingesetzt.
- Industriegeräte sind in der Regel Software-Router auf Basis von embedded Linux, die nicht auf hohen Durchsatz, sondern auf mechanische Robustheit, Befestigung im Schaltschrank und Langlebigkeit optimiert sind.
Software- oder Hardware-Router
Generell leisten Software-Router heute wertvolle und umfangreiche Dienste – allerdings überwiegend im nicht professionellen Umfeld.
- Allgemein gibt es für Software-Router zwei unterschiedliche Implementierungsarten, zum einen dedizierte Router, dabei wird ein PC, eine Workstation oder ein Server so gut wie ausschließlich als Router eingesetzt (häufig auch noch als DHCP-, DNS-Server oder Firewall); zum anderen nicht dedizierte Router, hier übernimmt ein Server zusätzlich zu seinen bestehenden Aufgaben noch das Routing.
Beide Systeme sind für den performance-unkritischen Bereich gut geeignet und können mit professionellen Lösungen, vor allem was die Kosten angeht, konkurrieren, in der Leistungsfähigkeit sind sie aber meist unterlegen.
Das liegt unter anderem daran, dass solche Systeme bislang häufig noch auf einem klassischen PCI-Bus mit 32-Bit Busbreite und 33-MHz-Taktung (PCI/32/33) beruhten. Über einen solchen Bus lassen sich theoretisch ca. 1 GBit/s (1000 MBit/s, entspricht etwa 133 MByte/s) im Halb-Duplex-Modus (HDX) leiten; da die Netzwerkpakete den PCI-Bus allerdings in diesem Fall zweimal passieren, (Karte–PCI–Arbeitsspeicher–CPU–Arbeitsspeicher–PCI–Karte) reduziert sich der maximal routbare Datenstrom eines darauf basierenden Software-Routers auf etwa 0,5 GBit/s.
Ethernet wird heute fast immer geswitcht und im Voll-Duplex-Modus FDX betrieben, damit kann beispielsweise Gigabit-Ethernet, obwohl es Namen wie 1 GBit/s Ethernet, 1GbE oder 1000Base-TX anders vermuten lassen, bereits 2 GBit/s (je 1GbE in jede Richtung) übertragen.
- Daraus folgt, dass ein System auf PCI/32/33-Basis die netzwerkseitig theoretisch mögliche maximale Übertragungsrate von 2 GBit/s keinesfalls erreichen kann.
- Systeme mit einem PCI/64/66-Bus können busseitig etwa 4 GBit/s leisten, gerade ausreichend für die Spitzenlast zweier 1GbE-Schnittstellen im FDX-Modus.
Noch höherwertige klassische (legacy) Server-Systeme verfügen über noch schnellere Schnittstellen (PCI-X 266 oder besser), sowie über mehrere unabhängige PCI-Busse und können daher auch ohne Probleme höhere Durchsatzraten erzielen – wobei man sich hier auf Grund des typischerweise hohen Energieverbrauchs solcher Server, besonders im dedizierten Routerbetrieb, die Kosten-Nutzen-Frage stellen muss – Hardware-Router mit spezialisierten CPUs und anwendungsspezifisch arbeitenden Chipsätzen (anwendungsspezifische integrierte Schaltung kurz ASIC) schaffen das weitaus energieeffizienter.
Erst durch die Einführung von PCI-Express (mit 2 GBit/s bei Version 1.x und 4 GBit/s pro Lane bei Version 2.x im FDX-Modus – und mehr) steht auch bei Standard-PCs eine ausreichende Peripherie-Transferleistung für mehrere 1GbE-Verbindungen (auch 10GbE) zur Verfügung, so dass sich energieeffiziente, durchsatzstarke Software-Router auch aus preiswerter Standardhardware bauen lassen.
Da bislang aber alle Werte theoretischer Art sind und in der Praxis nicht nur Daten durch den Bus geleitet werden, sondern auch Routing-Entscheidungen getroffen werden müssen, wird ein Software-Router möglicherweise weiter an Leistung einbüßen.
- Vorsichtigerweise sollte man in der Praxis nur von der Hälfte des theoretisch möglichen Datendurchsatzes ausgehen.
- Wer mit solchen Datenraten leben kann, ist mit einem Software-Router, zumindest was die Kosten und die Leistung angeht, gut bedient.
Hardware-Router aus dem High-End-Bereich sind, da sie über spezielle Hochleistungsbusse oder „cross bars“ verfügen können, in der Leistung deutlich überlegen – was sich allerdings auch im Preis widerspiegelt.
- Zusätzlich sind diese Systeme für den ausfallsicheren Dauerbetrieb ausgelegt (Verfügbarkeit von 99,999 % und höher).
- Einfache PCs können da nicht mithalten, hochwertige Server und Workstations verfügen aber ebenfalls über redundante Komponenten und eine für viele Anwendungsfälle ausreichend hohe Ausfallsicherheit.
Übrigens bestehen manche so genannte Hardware-Router tatsächlich aus PC-Komponenten.
- Lediglich das Gehäuse oder die zum Teil mechanisch veränderten PCI-Steckplätze und das „kryptische“ Betriebssystem erwecken den Anschein, es handle sich um Spezialsysteme.
- Zwar arbeiten auch diese Systeme meist sehr robust und zuverlässig, dennoch wird auch hier das Routing per Software durchgeführt.
Routing-Cluster
Um beispielsweise 1GbE- oder 10GbE-Netze performant routen zu können, benötigt man nicht unbedingt einen hochpreisigen Hardware-Router.
- Wer geringe Einbußen bei der Übertragungs-Geschwindigkeit in Kauf nimmt, kann dafür auch einen Routing-Cluster einsetzen.
- Dieser kann aus je einem Software-Router (etwa als Workstation mit zwei 10GbE-LAN-Karten PCI-Express) pro Ethernet-Strang aufgebaut sein.
Die Software-Router werden über einen professionellen Switch mit genügend vielen Ports und entsprechend hoher Durchsatzrate (einige Hundert GBit/s) miteinander verbunden.
- Im Unterschied zu Netzen mit zentralem Backbone entspricht die maximale Datendurchsatzrate des gesamten Routing-Clusters der maximalen Durchsatzrate des zentralen Switches (einige Hundert GBit/s).
Optional können die Cluster auch redundant (per High-Availability-Unix oder HA-Linux) ausgelegt sein.
- Solche Cluster-Systeme benötigen zwar relativ viel Platz und erreichen nicht die Leistung und Zuverlässigkeit von Hochgeschwindigkeitsroutern, dafür sind sie aber höchst modular, gut skalierbar, vergleichsweise performant und dennoch kostengünstig; daher findet man sie dort, wo Kosten höher als Performance bewertet werden, beispielsweise in Schulen oder Universitäten.
Aussprache
Der Begriff Router leitet sich ab aus dem ins Englische übertragenen französischen Begriff route (Route, Marschroute) ([ruːt] (BE)/[raʊ̯t] oder [ruːt] (AE)).
Im britischen Englisch (BE) hört man in der Regel ['ruːtə(r)], während im amerikanischen Englisch (AE) die Aussprache eher ['raʊ̯tə(r)] lautet.
- Im Deutschen spricht man das Wort Router ['ruːter] lautgetreu aus.
Von „http://de.wikipedia.org/w/index.php?title=Router&oldid=116709190“