Netzwerke und Sicherheit in TCP/IP-Netzen

Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IPMG G

- 1 -© Gerhard M. GlaserStand: 14.08.2008 Stand: 14.08.2008© Gerhard M. Glaser

Netzwerke und Sicherheitmit TCP/IP

Netzwerke und Sicherheitmit TCP/IP

Web-Schulung

Netzwerke und Sicherheit mit TCP/IPNetzwerke und Sicherheit mit TCP/IP

Stand: 14.08.2008 - 2 -© Gerhard M. Glaser

MG G

Inhalt (1)

• Kapitel 1 – Grundlagen/ wichtige Standards− OSI-Modell− IEEE-Standards (CSMA/CD, 802.11/ WLAN etc.)− Protokollarten (verbindungsorientiert/ -los)− Layer 2 (Ethernet/ 802.3, VLANs, Bridges/ Switches)− TCP/IP-History− RFCs

• Kapitel 2 – Internet Protokoll (IP)− Type Of Service (TOS)− Fragmentierung

Gründe für FragmentierungFragment Offset, Flags etc./ Reassemblierung

− Time To Live (TTL)− IP-Protokoll-Nummern



MG G

Inhalt (2)

• Kapitel 3 – IP-Adressierung/ -Subnetting− Adress-Aufbau− Multicast-Adressen− Private Adressen− IP-Subnetzmasken/ -Subnetting

• Kapitel 4 – IP über serielle Leitungen (SLIP, PPP, PPPoE)• Kapitel 5 – IPv6• Kapitel 6 – Address Resolution Protocol (ARP)

− ARP− Gratuitous ARP− RARP



MG G

Inhalt (3)

• Kapitel 7 – IP-Routing− Routing auf Backbone− Routing in vermaschten Netzen− Proxy ARP

• Kapitel 8 – Internet Control Message Protocol (ICMP)− ICMP-Fehlermeldungen− ICMP-Info-Meldungen− Trace Route Methoden

• Kapitel 9 – Routing Protokolle− RIP− Split Horizon− Classful Routing− OSPF− Nicht roubare Protokolle



MG G

Inhalt (4)• Kapitel 10 – Transmission Control Protocol (TCP)

− Ports, Sockets− Verbindungsaufbau/ -abbau (Three-Way Handshake)− Flow-Control (Sliding-Window-Mechanism)− Congestion Control („Slow Start“)− Verbindungsmanagement

• Kapitel 11 – User Datagram Protocol (UDP)− Eigenschaften− Dienste auf UDP− Unterschiede zu TCP

• Kapitel 12 – TELNET• Kapitel 13 – File Transfer Protocol (FTP)

− Active FTP− Passive FTP



MG G

Inhalt (5)• Kapitel 14 – E-Mail-Protokolle

− SMTP− SPAM/ Privacy− POP3/ IMAP

• Kapitel 15 – Name Services− Internet Name Service (IEN 116)− DNS

• Kapitel 16 - BootP/ DHCP− DHCP-Ablauf− APIPA

• Kapitel 17 – Trivial File Transfer Protocol (TFTP)• Kapitel 18 – „R“-Utilities• Kapitel 19 – Network File System (NFS)



MG G

Inhalt (6)

• Kapitel 20 – Internet− HTTP/ HTTPS− HTTP Status Codes− Proxy- und Socks-Server

• Kapitel 21 – Voice Over IP• Kapitel 22 – Simple Network Management Protocol (SNMP)

− Manager, Agent− RMON

• Kapitel 23 – Trouble Shooting− Tools (eingebaute Tools/ externe Tools)− Probe vs. Analyzer− Eigenschaften von Analysatoren



MG G

Inhalt (7)• Kapitel 24 – Sicherheit

− Firewalls, IDS/ IPS, Honeypots etc.− Portscanning/ Methoden− VPN/ Tunneling Protokolle

IPsecL2TPSSL

− Verschlüsselung/ Digitale Signatur− PKI/ Zertifikate (X. 509)− Authentisierung

PAP/ CHAPRADIUS

− NAT/ PAT – Funktionsweise und ProblemeVirtueller Server/ Port ForwardingSTUN/ UDP Port PunchingIPsec über NAT/ PAT-Devices („NAT Traversal“)


- 9 -© Gerhard M. GlaserStand: 14.08.2008

Kapitel 1

Grundlagen/wichtige Standards



MG G

Transport Layer Transportschicht

ProtokolleApplication Layer

Presentation Layer

Session Layer

Network Layer

Data Link Layer

Physical Layer

Vermittlungsschicht

Sicherungsschicht

Physikalische Schicht

Anwendungsschicht

Darstellungsschicht

Sitzungsschicht

Endsystem (Sender) Endsystem (Empfänger)

Medium

ISO/OSI-Modell - Schichten



MG G

ISO/OSI-Modell - Schnittstelle

SAP

Schicht N

Schicht N+1

ICI SDUH

ICI SDU

Interface

IDU

PDU

Kommunikationauf Schicht N

Kommunikationauf Schicht N+1

SAP Service Access Point ICI Interface Control InformationIDU Interface Data Unit SDU Service Data UnitPDU Protocol Data Unit H Header



MG G

802.1 Umfeld, LAN-/MAN-Management802.1d Transparent-/ SRT-Bridging802.1p/ Q VLAN-Tagging802.1x Portbasierender Zugangsschutz

802.2 Logical Link Control (inactive)802.3 CSMA/CD*) (“Ethernet”)802.4 Token Bus802.5 Token Ring (inactiv)802.6 Distributed Queue Dual Bus (DQDB)802.7 Broadband LANs802.8 Multimode Fiber Optic Media802.9 Integrated Services LAN802.10 Std. for Interoperable LAN/MAN Security (SILS)802.11 Wireless LANs802.12 Demand Priority LAN > 10 MB (“VGanyLAN”)802.14 CATV-based Broadband Connectivity Networks802.15 Wireless Personal Area Network (WPAN) - z.B. Bluetooth802.16 Worldwide Interoperability for Microwave Access (WiMax)802.17 Resilent Packet Ring

Link: http://standards.ieee.org/getieee802/portfolio.html

*) Carrier Sense Multiple Access with Collision Detection

Wichtige Standards der Arbeitsgruppe 802



MG G

IEEE-Standards, MAC und LLC(im Vergleich zu Ethernet)

MAC Medium Access ControlLLC Logical Link Control

Layer 1

Layer 2

Layer 3

MACLLC

802.3 802.5

802.2

(CSMA/CD) (Token Ring)

IP

Ethe

rnet



MG G

IEEE-Standards802.1, 802.2, 802.3, 802.4, 802.5

802.3(CSMA/CD)

802.4(Token Bus)

802.5(Token Ring)

802.2802.1



MG G

IEEE 802.3 (CSMA/CD) Standard-Aktivitäten - Auswahl

802.3 CSMA/CD (Ethernet): 10Base5802.3a 10Base2 (Cheapernet)802.3b 10Broad36802.3e 1Base5 Starlan802.3i 10Base-T802.3j 10Base-F802.3u 100Base-T (“100 Mbit-Ethernet”)802.3x Full Duplex/ Flow Control802.3z Gigabit Ethernet (7/1998)802.3 ab 1000BASE-T (6/1999)802.3 ac VLAN Tag (9/1998)802.3 ae 10Gb/s Ethernet (6/2002)802.3 an 10GBase-T (6/2006)



MG G

IEEE 802.11 (WLAN) Standard-Aktivitäten -Auswahl

• 802.11a 54 Mbps, 5 GHzkeine ETSI-Zulassung! (9/1999)

• 802.11b 11 Mbps, 2.4 GHz (9/1999)

• 802.11d „World Mode“(u.a. Roaming zwischen Ländern) (6/2001)

• 802.11e Quality Of Service• 802.11g Higher Data Rate (> 20 Mbps) (6/2003)

• 802.11i Authentication und Sicherheit(inkl. WPA) (6/2004)



MG GEthernet-vs. 802.3-Fram

es

Protokoll-ID (3 O

ct.)

1)SFD

= Start Frame D

elimiter

2)LLC

(IEEE 802.2)

Ethernet V.2802.3/802.2

802.3 SNA

P

FCS (4 O

ctets)

Füllzeichen (variabel)

Preambel(7 O

ctets)

Rahm

enbegrenzer/SFD1)(1O

ctet)

Zieladresse (6 Octets

= 48 Bit)

Quelladresse (6 O

ctets= 48 B

it)

TypePaketlänge (2 O

ctets)

Code

1 Octet

SSAP

1 Octet

AA

DSA

P1 O

ctetA

A

Daten

(46 ... 1500 Byte)

Daten

(46 ... 1500 Byte)

Daten

(46 ... 1500 Byte)

Ether-Type (2 Oct.) 2)



MG G

802.3 Frame - Aufbau

IG

UL Herstellerkennung Gerätenummer

1 1 22 24

Darstellung gemäß IEEE 802.3 Standard:Anordnung der Bits/ Bytes in Übertragungsreihenfolge(höchstwertigstes Byte und niederwertigstes Bit werden zuerst übertragen)

Herstellerkennungen (Auswahl):00-00-1D Cabletron 08-00-2B DEC08-00-02 3Com AA-00-04 DECnet08-00-09 HP 00-AA-00 Intel



MG G

IG

UL Herstellerkennung Gerätenummer

1 1 22 24

802.3 Frame - AufbauMulticast-Adressen

Adressen, die im ersten Byte einen ungeraden Wert haben, sind Multicast-Adressen

z.B. 01-00-5E-XX-XX-XX IANA Ethernet Address Block (z.B. IP-Multicasts – vgl. Folie 61)AB-00-00-XX-XX-XX DECnet BroadcastCF-00-00-00-00-00 Ethernet-Loop-BackFF-FF-FF-FF-FF-FF Ethernet Broadcast

Xxxx1 - XX - XX - XX - XX - XX



MG G

Wichtige Typfelder00-00 ... 05-DC IEEE802.3 Length Field (05-DD ... 05-FF nicht vergeben!)06-00 Xerox NS IDP08-00 DOD Internet Protocol (IP)08-06 Address Resolution Protocol (ARP)0B-AD Banyan Systems0B-AF Banyon VINES Echo60-00 DEC unassigned, experimental60-01 ... 60-08 DEC 80-05 HP Probe protocol80-35 Reverse Address Resolution Protocol (RARP)80-38 ... 80-42 DEC80-7D ... 80-80 Vitalink80-9B EtherTalk (AppleTalk over Ethernet)80-F3 AppleTalk Address Resolution Protocol (AARP)81-37 ... 81-38 Novell, Inc.86–DD IPv690-00 Loopback (Configuration Test Protocol)90-01 ... 90-03 3Com



MG G

Wichtige DSAPs/ SSAPs00 Null SAP02 Individual LLC Sublayer Mgmt Function03 Group LLC Sublayer Mgmt Function06 ARPANET Internet Protocol (IP)42 IEEE 802.1 Bridge Spanning Tree Protocol80 Xerox Network Systems (XNS)98 ARPANET Address Resolution Protocol (ARP)AA Sub-Network Access Protocol (SNAP)BC Banyan VINESE0 Novell NetwareF0 IBM NetBIOSF4/ F5 IBM LAN ManagementFE ISO Network Layer ProtocolFF Global SAP



MG G

VLAN (802.1p/ 802.1Q)

• Logische Trennung des Datenstroms auf Layer 2• Verschiedene Typen

– Statisch (Port basierend): per Definition in Switch– Dynamisch (MAC basierend): per „Tag“ im Ethernet-Paket

• Tag (4 Byte): zwischen Source Address und Type-Field

• VID (VLAN ID): 4096 Adressen („farbliche Kennzeichnung“)



MG G

C

A

D

B

Bridge - Arbeitsweise (1)



MG G

C

A

D

B

A, B, ...

C, D, ...

Bridge - Arbeitsweise (2)

A, B, ...

C, D, ...



MG G

Bridges - Begriffe

• Filtering RateAnzahl der Pakete, die sich eine Bridge “anschauen” kann

• Forwarding RateAnzahl der Pakete, die eine Bridge weiterreichen kannAchtung: Häufig Summe für beide/alle Übertragungsrichtungen!



MG G

Transitsysteme im OSI-Modell

Repeater/ Sternkoppler

Bridges/ Switches

Router

Gateways



MG G

Transitsysteme im OSI-Modell(Aufgaben - Zusammenfassung)

RepeaterRepeater/ Hub:/ Hub: Regeneriert und verstärkt das elektrische Signal und leitet dieses an allePorts weiter (keine Broadcast!)Führt keine “Bitinterpretation” durch.

Bridge/ Switch: Nimmt physikalische Trennung von Netzen vor („Collision-Domain“).Führt Fehler- und Lasttrennung auf Basis von MAC-Adressen durch.Hat meist Mechanismen zum Filtern implementiert.Rudimentäre Mechanismen zur Wegefindung sind u.U. vorhanden(“Routing Bridge”)

Router: Entkoppelt die Netze auf logischer Basis aufgrund von Layer 3-Adressen;z.B. IP-Adressen.Arbeitet protokollabhängig!Steuert den Verkehr zwischen Netzen (“Wegefindung”).

Gateway: Nimmt eine Umwandlung von Diensten vor (i.a. oberhalb Schicht 4).Security-Mechanismen möglich (z.B. “Firewall”, “Proxy”).



MG G

Protokollarten(unabhängig von OSI-Schichten)

• Verbindungsorientiert (connection-oriented)− logische Verbindung zwischen Kommunikations-Partnern− Sender kennt Zustand von Empfänger und Paket(en)− vergleichbar:

klassische TelefonverbindungGespräch zwischen Menschen

• Verbindungslos (connectionless, datagram-service)− keine logische Verbindung− Pakete werden unkontrolliert versendet− vergleichbar:

SMSMarktschreier (Megafon)



MG G

TCP/IP-History (Überblick)1969 erste Arbeiten an einem paketvermittelnden Rechnernetz1972 das ARPANET wird der Öffentlichkeit vorgestellt1973 “Ethernet is born”1975 die DCA (Defence Communications Agency) übernimmt die Federführung im

ARPANET1976 Grundsteinlegung zu TCP/IP durch die IFIP (International Federation Of

Information Processing)1979 DEC, Intel und XEROX (DIX-Group) entwickeln gemeinsam das Ethernet weiter1980 Ethernet Version 1.0 wird veröffentlicht

Bercley UNIX (BSD 4.1) wird entwickelt und enthält TCP/IP1983 Das ARPANET wird endgültig von NCP auf TCP/IP umgestellt

Aufteilung des ARPANET in MILNET und ARPANET1985 Einführung von TCP/IP in kommerzielle Anwendungen1991 mehr als 1000 Hersteller unterstützen TCP/IP1993 mehr als 10000 Hersteller unterstützen TCP/IP1994 WWW wird offizielles Projekt von CERN, die W3-ORG wird ins Leben gerufen1996 das Internet umfasst ca. 15 Mio. Anschlüsse2001 im November wird die 5 Mio. DE-Domain vergeben - pro Minute werden 2

Domains vergeben (90 000/ Monat) - Start .DE am 5.11.1986



MG G

RFCs, MIL-Specs u.a.RFC: Request For Comments

Arbeitspapiere, Protokollspezifikationen und Kommentare der Internet-CommunityVeröffentlicht durch das Stanford Research Institut: www.rfc-editor.orgaktueller Stand: 5082 RFCs (Ende Oktober 2007)

MIL-STD: Ausführliche Beschreibung und Implementierungs-anweisung wichtiger DoD-Protokolle

IEN: Internet Experimental/ Engineering NotesVorläufer der RFCs

http://www.rfc-editor.org/



MG G

Standardisierungsprozess / RFCs (1)

• Offener Prozess• Entwicklung durch Arbeitsgruppen der

Internet Engineering Task Force (IETF)• Entscheidung durch

Internet Engineering Steering Group (IESG)• Veröffentlichung in RFC

Achtung:Nicht jeder RFC beschreibt einen Standard („STDxxxx“)!Auflistung aller Standards in STD 1 (z.Z. RFC 3300)



MG G

Standardisierungsprozess/ RFCs (2)

Standardisierungsstufen (STD)• Internet Draft (i.A. Arbeitsgruppe)• Proposed Standard• Draft Standard• Internet Standard



MG G

Standardisierungsprozess/ RFCs (3)

Keine Standards:• Experimental• Informational (FYIxxxx)• Best Current Practice (BCPxxxx)• RARE*) Technical Reports (RTRxxxx)• Historic

*) RARE = Reseaux Associes pour la Recherche Europeenne



Kapitel 2

Internet Protocol(IP)



MG G

• Darunter liegende Schicht: Data Link Layer (z.B. Ethernet, TR)

• (Ethernet-) Typefield: 08-00

• 802.2 DSAP/SSAP-Definition: 06

• Datagram-Service

• Kommunikation zwischen Netzen

• Datentransport von Quell- zu Zieladresse

Internet Protocol(IP)

RFC 791 - STD 5 - MIL-Std. 1777



MG G

IP - Wichtige RFCs

RFC 791 IP-Protokoll (STD 5)

RFC 815 IP over X.25 NetworksRFC 894 IP over Ethernet-NetworksRFC 948 IP over 802.3 NetworksRFC 1051 IP over Arcnet-NetworksRFC 1055 IP over Serial Lines (“SLIP”)RFC 1088 IP over Netbios NetworksRFC 1577 IP over ATM Networks (“Classical IP”)



MG G

• Datagram-Service(ungesichert!)

• Definition/ Adressierung höherer Protokolle

• Adressfunktion(Ende zu Ende Adressierung)

• Routing zwischen Netzen(Netzwerke können adressiert werden)

• Fragmentierung von Datenpaketen

IP - Eigenschaften



MG G

IP - Header

Total LengthService TypeVersion IHL

Fragment OffsetIdentifikation Flags

Time to Live Protocoll IP Header Checksum

IP Source Addresse

IP Destination Addresse

Options Padding

Protocol

0 1 2 3 5 6 7 8 94 0 1 2 3 5 6 7 8 94 0 1 2 3 5 6 7 8 94 0 10 1 2 3



MG G

Service-Type (Neu-Definition)RFC 1349

• ersetzt RFC 791• TOS (Type Of Service)• 4 Bit-Feld (definierte Werte)

0 1 2

Precedence

3 4 5 6 7

T O S MBZ

MBZ = Must Be ZeroPrecedence = Vorrangssteuerung



MG G

IP - TOSWerte

0000 Default-Wert

0001 Minimize Monetary Cost

0010 Maximize Reliability

0100 Maximize Throughput

1000 Minimize Delay

1111 Maximize Security



MG G

IP - TOS

TELNET 1000 minimize delay

FTP Control 1000 minimize delayFTP Data 0100 maximize troughput

SMTP (Command Phase) 1000 minimize delaySMTP (Data Phase) 0100 maximize troughput

SNMP 0010 maximize reliability

ICMP 0000 aber: request = response

Default Werte bei verschiedenen Diensten



MG G

IP - FragmentierungWarum Fragmentierung

• Technische Vorgaben− Hardware-/ Software-Beschränkungen− Definition des Protokolls− Beschränkung durch Norm

(z.B. Topologie-Übergang)

• Maßnahme zur Fehlerreduktion

• Erhöhen der “Zugangsgerechtigkeit” auf Datenkanal (Begrenzung der Zugriffszeit)



MG G

IP - Fragmentierungmax. Paketlänge auf verschiendenen Netzen

Medium Bit Byte• Token Ring (16 Mbit/s) 143928 17997• Token Ring (4 Mbit/s) 36008 4501• Ethernet 12144 1518• X.25 (Maximum) 8192 1024• X.25 (Standard) 1024 128



MG G

• Länge relativ zum Beginn des Datenbereichs im Orginal-Datagram

• Ermöglicht Zusammensetzen in richtiger Reihenfolge

• Wert 0 bei:– Standard Datagram

(= nicht fragmentiert)– 1. Fragment

IP – FragmentierungFragment Offset



Fragment 1 Fragment 3Fragment 2 Fragment 4 Fragment 5

X1

X2

X3

X4

0

IP – FragmentierungFragment Offset



MG G

MF0 DF

DF (Don’t Fragment): 0 = May Fragment1 = Don’t Fragment

MF (More Fragment): 0 = Last Fragment(letztes Fragment und Standard-Paket)

1 = More Fragment

IP - FragmentierungFlags



MG G

• Veränderte Felder im HeaderGesamtlängeFlags (MF)Fragment-OffsetIP-Header-PrüfsummeOptionen

IP - Fragmentierung



MG G

• Identische Felder bei ReassemblierungZieladresseQuelladresseProtokoll-TypIdentifikation

IP – FragmentierungReassemblierung



MG GIP -Fragm

entierung

ID:

Datenlänge:

Offset

More Flag:

122100600

ID:

Datenlänge:

Offset

More Flag:

122240301

ID:

Datenlänge:

Offset

More Flag:

12224001

Netz 2

MTU

= 240

ID:

Datenlänge:

Offset

More Flag:

12258000

Netz 1

MTU

= 1000

Hinw

eis: Fragment-O

ffset hat 8B

yte als Einheit!



MG G

IP - Fragmentierung

68

1024

128

512

1024

R

R

R

RR

R

R

RR

R

R

R

R

RR

R

R = Border-Router



MG G

Der Zusammenbau fragmentierterDatagrame (Reassemblierung)erfolgt nur beim Empfänger,

nie in einem Router!

MERKE:



MG G

• Bei falscher Routing-EntscheidungDatagrame wandern ziellos durchs NetzDatagrame kreisen unendlich

IP – LebenszeitProblem

Ressourcen werden vergeudet



MG G

• Einführung TTL-Feld (Time To Live)

Wert wird in/ von Sender gesetzt− maximal: 255− typisch: 64 (empfohlen)

32 (z.B. „MS Windows“)

Wert wird in jedem Router reduziert(typisch: „1“)

Bei Wert “0”, wird Paket „vernichtet“(= nicht weitergereicht)

IP – LebenszeitLösung des Problems



MG G

01 ICMP Internet Control Messsage Protocol04, 94 IP in IP capsulation06 TCP Transmission Control Protocol08 EGP Exterior Gateway Protocol09 IGP any private interior gateway protocol17 UDP User Datagram Protocol29 ISO-TP4 ISO-Transport-Protocol Class 450 ESP Encapsulating Security Payload (IPsec)51 AH Authentication Header (IPsec)88 IGRP Interior Gateway Routing Protocol (CISCO)

Ausgewählte IP-Protokollnummern



MG G

• Optionale ServicesSecurity (16 Security Level)Loose Source RoutingStrict Source RoutingRecord RouteStream IDInternet TimestampNo Operation („NOP“) End of Option List

IP - Optionen



MG G

IP – Felder (Übersicht)Version 4 IP Version - z.Z. 4 (bzw. 6)

IHL 4 Internet Header Length: Länge des IP Headers(wg. Optionen) - meistens: 5 (Einheit: 32 Bit)

Service Type 8 "Priorisierung" des Datenverkehrs - meistens: 0Total Length 16 Gesamtlänge des IP Datagrams

Identifikation 16 Kennzeichnung für richtige Reassemblierung(nur bei Fragmentierung)

Flags 3 Hinweise für/ bei Fragmentierung (DF, MF)

Fragment Offset 15 Gibt Reihenfolge bei Fragmentierung/ Reassemblierung an

Time To Live (TTL) 8 Verhindert das endlose Kreisen eines Datagrams (empfohlener Wert: 64)

Protocol 8 Beschreibt Protokoll der Schicht 4 (z.B. 06 = TCP)IP Header Checksum 8 Stellt Fehler im IP Header festIP Addresse 2 x 32 Beschreibt Absender (Source) und Ziel (Destination)

Options variabel Für Übertragungsoptionen. Wird durch "Padding" auf volle 32 Bit-Länge gebracht (vgl. IHL)



Kapitel 3

IP- Adressierung/IP-Subnetting



MG G

IP AdressenAufbau

198 . 71 . 191 . 1 dezimal1100 0110 0100 0111 1011 1111 0000 0001 dual

C6 : 47 : BF : 01 hex



MG G

Class A (Wert 0-127 = 128 Werte)

Class B (Wert 128-191 = 64 Werte)

Class C (Wert 192-223 = 32 Werte)

0 1 2 3 5 6 7 8 94 0 1 2 3 5 6 7 8 94 0 1 2 3 5 6 7 8 94 0 10 1 2 3

Rechner-Adresse0 Netzwerk

0 1 2 3 5 6 7 8 94 0 1 2 3 5 6 7 8 94 0 1 2 3 5 6 7 8 94 0 10 1 2 3

Rechner-Adresse1 0 Netzwerk

0 1 2 3 5 6 7 8 94 0 1 2 3 5 6 7 8 94 0 1 2 3 5 6 7 8 94 0 10 1 2 3

Rechner-Adresse1 1 0 Netzwerk



MG G

Class D (Wert 224-239 = 16 Werte)

Class E (Wert 240-255 = 16 Werte)

Multicast-Adressen

undefiniertes Format

0 1 2 3 5 6 7 8 94 0 1 2 3 5 6 7 8 94 0 1 2 3 5 6 7 8 94 0 10 1 2 3

1 1 1 0

0 1 2 3 5 6 7 8 94 0 1 2 3 5 6 7 8 94 0 1 2 3 5 6 7 8 94 0 10 1 2 3

1 1 1 1

Adress-Klassen sind definiert in RFC 1020 bzw. 1166 (Juli 1990) [Internetnumbers]



MG G

224.0.0.0 Base Address (reserved)224.0.0.1 All Systems on this subnet224.0.0.2 All Routers on this subnet224.0.0.5 OSPF - All Routers224.0.0.9 RIP-2224.0.0.10 IGRP-Routers224.0.0.12 DHCP Relay

224.0.1.8 SUN NIS (‘Yellow Pages’)224.0.1.24 microsoft-ds

224.0.2.2 SUN RPC (NFS)

Ausgewählte IP-Multicast-Adressen

Hinweis: Die unteren 23 Bit werden auf die Ethernet-Multi-Cast-Adressen01:00:5e:00:00:00 bis 01:00:5e:7F:FF:FF gemappt (vgl. Folie 19)



MG G

Adressen mit besonderer Bedeutung

127.x.x.x Local Host (127.0.0.1)

255 (im Host-Teil) All-One-Broadcast255.255.255.255 All Hosts on this net

0 (im Host-Teil) All-Zero-Broadcast (veraltet!)0 (im Netz-Teil) This Net



MG G

Private Adressen(nach RFC 1918)

10.0.0.0 - 10.255.255.255 ein Class A-Netz

172.16.0.0 - 172.31.255.255 16 Class B-Netze

192.168.0.0 - 192.168.255.255 256 Class C-Netze

vgl. auch: „Special-Use IPv4 Addresses“ (RFC 3330)z.B.:169.254.0.0 Link Local (falls DHCP nicht funktioniert)

vgl. „APIPA“ – Folie 237



MG G

IP - Adressen / - Subnetz-Masken

IP-Adresse

Subnetz-Maske 255.255.255.00011111111 11111111 11111111 00000000

198 . 71 . 191 . 11100 0110 0100 0111 1011 1111 0000 0001

C6 : 47 : BF : 01



MG G

IP - Subnetting mit erweiterter Subnetz-Maske

IP = IP-AdresseSN = Subnetz-Maske

IP 126.xxx.xxx.xxx 0111 1110.xxxx xxxx

SN 255.128.000.000 1111 1111.1000 0000

auch: 126.x.x.x/ 9

1. Octet 2. Octet



MG G

Subnetting Varianten

• RFC 950(altes/ ursprüngliches Verfahren: classful routing)

Unterstes und oberstes Netz können nicht genutzt werden„0“ = eigenes Subnetz„1“ = Broadcast-Adresse

2n-2 Subnetze

• RFC 1878(„Modern software will be able to utilize all definable networks“ - classless routing)

Unterstes und oberstes Netz können genutzt werden2n Subnetze



MG G

IP - SubnettingInterne Vorgehensweise des Rechners

1 Eigene Adresse

Eigene SN-Maske

Ergebnis A (eigenes Netz)

^2 Ziel Adresse

Eigene SN-Maske

Ergebnis B (Ziel-Netz)

^

Wenn A = B Destination in selbem NetzWenn A ≠ B Destination in anderem Netz

Anmerkung: ^ = logisches UND



MG G

Bei Subnetting kann die Default-Subnetzmaske kann nur in Richtung

mehr Netze modifiziert werden !

Gegenrichtung (weniger Netze) = Supernetting

MERKE:



Kapitel 4

IP über serielle Leitungen(SLIP, PPP, PPPoE)



MG G

Serial Line IP (SLIP)RFC 1055

• keine Fehlererkennung/ -korrektur

• nur Punkt-zu-Punkt-Verbindungen

• keine AdressinformationenAdresse des Partners muss bekannt sein

• keine Protokollidentifikation (“Type-Field”)Keine Multiprotokollübertragung über eine Leitung möglich

• Daten werden in “Framing Characters” eingepacktEND: 192 ESC: 219ESC END: 219 220 ESC ESC: 219 221

• Kompression für TCP/IP-Header in RFC 1144 definiert



MG G

Point To Point Protocol (PPP)RFC 1661/ 1662 - STD 51

RFC 2153 (Vendor Extensions)

• Verbindungsaufbau auf Layer 2 (HDLC-basierend bzw. asynchron)

• Fehlerkorrektur

• Adressinformationenmultipointfähig (derzeit nicht genutzt)

• Protokoll-Feldmultiprotokollfähig (auf einer Leitung)

• feste maximale Paketlänge (1500 Byte)

• echte Datenkomprimierung (optional)

• Testen der Leitungsqualität (optional)



MG G

Point To Point Protocol (PPP)Paketaufbau (synchron/ asynchron)

0111 1110 1111 1111 0000 0011 16 bit 0111 1110< 1500 Byte

Flag Address Control DATA(Information)

FCS FlagProtocol

16 bit



MG G

Point To Point Protocol (PPP)Ausgewählte Protokoll-Nummern

• 80-21 IP• 80-27 DECnet• 80-2B IPX• 80-3F Netbios• 80-57 IPv6• 80-FD Compression Control Protocol

• C0-21 Link Control Protocol• C0-23 Password Authentication Protocol• C0-25 Link Quality Report• C2-25 RSA Authentication Protocol



MG G

PPP over Ethernet(PPPoE)RFC 2516

• PPP-Pakete werden in Ethernet Pakete „eingepackt“• (Ethernet-) Typefields: 88-63 (Discovery Stage),

88-64 (Session Stage)• max. MTU: 1492 (PPPoE-Header + PPP-Protocol-ID)

• zweistufiges Konzept:Server-Suche/ Server-Auswahl (Discovery-Stage)„stateless“ bis zum Aufbau einer PPP-VerbindungVerbindungsaufbau (Session Stage)



MG G

PPP over Ethernet (PPPoE)

Paketaufbau (Session Stage)

0 1 2 3 5 6 7 8 94 0 1 2 3 5 6 7 8 94 0 1 2 3 5 6 7 8 94 0 10 1 2 3

Session IDCode00-00

Version01

Type01

Length

Data

PPP Protocol*)

*) = C0-21 (Link Control Protocol)



MG G

Kapitel 5

IP Next Generation (IPng)IP Version 6 (IPv6)



MG G

IPv6 - Neuer Adressbereich

• Adressbereich: 128 Bit (16 Byte)[vgl.: IPv4: 32 Bit (4 Byte)]

3,4 * 1038 Adressentheoretisch:

6,66*1023 (genau: 665.570.793.348.866.943.898.599 Adressen/ m2)

666 Billiarden Adressen/ mm2

6,5*1028 Adressen pro Mensch

praktisch (worst case):ca. 1000 Adressen/ m2



MG G

IPv6 - Neue Eigenschaften

• Reduzierung des Header-Overheads durch Weglassen nicht benötigter Felder

• Erweiterungs-Header (optional)

• Keine Fragmentierung in Routernminimale Transportgröße: 1280 Byte/ „Path MTU Discovery“-Funktion

• Security-Features (Authentifizierung, Verschlüsselung)• Priorisierung/ Realtime-Fähigkeiten („Traffic Class“/ “Flow Label”)• Nutzdatenanzeige (“Payloadlength”)• “Jumbo-Payload”- Feld (> 65535 Byte) • automatische Systemkonfiguration („Neighbor Discovery“)• Mobile IP



MG G

Veränderungen im IPv6-Header (zu IPv4)

IHL

Feld entfällt ersatzlos

Feld bekommt anderen Namen/ Bedeutung




Fragmentierung

IP Header ChecksumProtocol

TOS0 1 2 3 5 6 7 8 94 0 1 2 3 5 6 7 8 94 0 1 2 3 5 6 7 8 94 0 10 1 2 3



MG G

IPv6 Basis Header(Ausschnitt - ohne „Destination Address“)




IP Source Adresse

IP Destination Adresse

Options Padding

Version Flow-Label

Payload Length

Traffic Class

Next Header Hop Limit

Source Address

0 1 2 3 5 6 7 8 94 0 1 2 3 5 6 7 8 94 0 1 2 3 5 6 7 8 94 0 10 1 2 3



MG G

IPv6 - Erweiterungs-Header

• Routing Header (Source Route) - Next Header = 43• Fragmentation Header (nur Host) - Next Header = 44• Authentication Header - Next Header = 51• ESP-Header - Next Header = 50

IPv6 Headernext Header =

TCP

TCP-Header +Nutzdaten IP Standard-Datagram

IPv6 Headernext Header =

Routing

Routing H.next Header =

Fragment

Fragment H.next Header =

TCP

TCP-Header +Nutzdaten(Fragment)

IP Datagrame mit verschiedenen

Headern



MG G

IPv6 - Adressschema und Adressarten

• Präfix (3 Bit)• öffentlicher Bereich (45 Bit)• lokaler Bereich (80 Bit)

• ‘Anycast Address’ („Mehrfach-“Adresse)• keine Broadcast Adressen

(nur Multicast Adressen)



MG G

IPv6 Adress-Aufteilung

FP Format Prefix (001)

TLA Top Level Aggregator (Public Transport Topology)

NLA Next Level Aggregator (Provider)

SLA Site Level Aggregator (Subnet)

Local (inkl. Interface [48 Bit])

13 16 Bit32 Bit3 64 Bit



MG G

IPv6 - RFCs• RFC 1881 Address Allocation Management• RFC 1883 Specification ( RFC 2460 - DRAFT) • RFC 1884 Addressing ( RFC 2373) • RFC 1887 Address Allocation• RFC 1897 Testing Address Allocation ( RFC 2471) • RFC 1825 Security Architecture ( RFC 4301)• RFC 1826 IP Authentication Header ( RFC 4302)• RFC 1827 IP Encapsulation Security Payload ( RFC 4303)• RFC 1828 IP Authentication Using Keyed MD5• RFC 1829 The ESP DES-CBC Transform

• RFC 4301 - 4309: IPsec (vgl. IPsec)



Kapitel 6

Address Resolution Protocol(ARP)



MG G

Adress Resolution Protocol(ARP)

RFC 826 - STD 37

• Darunter liegende Schicht: Data Link Layer (z.B. Ethernet, TR)• (Ethernet-) Typefield: 08-06 • keine offizielle Definition in 802.2 (DSAP/ SSAP)• Datagram-Service• Adress-Zuordnung Ebene 3 Ebene 2

(IP MAC)



MG G

ARP – Request (schematisch)

Broadcast: “Wer kennt die MAC-Adresse von GRÜN?”



MG G

ARP – Standard-Response (schematisch)

Gerichtete Antwort (Unicast):“Hier ist die gesuchte (meine) MAC- Adresse”



MG G

ARP - Ablaufdiagramm

Kommunikation sollhergestellt werden

Timeout

ARP-Responseerhalten?

JaJa

Nein

Nein

MAC-Adressebekannt?

ARP Request

Kommunikation findet statt(IP Pakete werden gesendet)



0 1 2 3 5 6 7 8 94 0 1 2 3 5 6 7 8 94 0 1 2 3 5 6 7 8 94 0 10 1 2 3

48 Bit Destination-Hardware-Adresse

48 Bit Source Hardware-Adresse

Ethernet Typ Feld

Hardware Typ Protokoll Typ

HW-Länge SW-Länge Option Code

48 Bit Source Hardware-Adresse

48 Bit Destination Target Adresse / Destination

IP Target Adresse / Destination

Ethe

rnet

-Hea

der

APR

-Hea

der

IP Source-Adresse

Hardware Target-/ Destination Adresse

ARP - Datenformat

IP Target-/ Destination Adresse



MG G

ARP - Hardware Typ

Netztyp Bezeichnung

1 Ethernet (10 Mbit/s)2 Experimental Ethernet (3Mbit)3 Amateur Radio4 Proteon Token Ring5 Chaos Net6 IEEE 802 Networks7 ARCnet



MG G

ARP - Protokoll Typ(vgl. Ethernet “Type-Field”)

Wert (hex) Bezeichnung

0600 XNS

0800 IP

0806 ARP



MG G

ARP - Felder

• Hardware-LängeDefiniert Länge der Hardware-Adresse (Ethernet = 6 Byte)

• Software-LängeDefiniert Länge der Protokoll-Adresse (IP = 4 Byte)

• Option Code1 = ARP Request2 = ARP Reply



MG G

ARP - Adressfelder

• Hardware-Source-AdresseMAC Adresse des Senders

• Protokoll-(IP)-Source-AdresseIP-Adresse des Senders

• Hardware-Target-/Destination-AdresseMAC Adresse des Empfängers/ Ziels

• Protokoll-(IP)-Target-/Destination-AdresseIP-Adresse des Empfängers/ Ziels



MG G

ARP – Response von „ARP-Server“ (schematisch)

Unicast: “Hier ist die gesuchte MAC-Adresse”Unicast: “Hier ist die gesuchte (meine) MAC -Adresse”

ARP-Server



MG G

ARP - Befehl

• arp -aARP-Cache anzeigen

• arp -s <IP-Adr.> <HW-Adr.>Zuordnung IP-Adr./ MAC-Adresse

• arp -s <IP-Adr.> <HW-Adr.> PUBzugeordnete MAC-Adresse wird als ARP-Response gesendet(„ARP-Server“)

• arp -d <IP-Adr.> Eintrag wird gelöscht



MG G

Gratuitous ARP

• Host schickt eine Anfrage mit eigener IP-Adresse(als Target-Adresse) unaufgefordert ins Netz

Feststellung ob eigene IP-Adresse mehrfach vorhanden istUpdate der ARP-Tabellen in den anderen Rechnern



MG G

Reverse Address Resolution Protocol(RARP)



MG G

Reverse Address Resolution Protocol(RARP)

RFC 903 - STD 38

• Darunter liegende Schicht: Data-Link-Layer (z.B. Ethernet, TR)

• (Ethernet-) Type-Field: 80-35• keine 802.2-Definition (DSSAP/ SSAP)• Zuordnung Ebene 2 Ebene 3 (MAC-Adresse IP-Adresse)• Aufbau wie ARP-Paket

Ausnahme: Option Code3 = RARP Request4 = RARP Reply

♦ Funktionalität heute i.a. durch BootP abgedeckt



Kapitel 7

IP - Routing



MG G

Routing auf Backbone

R 1

R 2

A’ B’

ZeitpunktData Link Layer

Sender EmpfängerNetwork Layer

Sender Empfänger

t1

t2

t3

A

R1

R2

R1

R2

B

A

A

A

B

B

B

A B



MG G

Beim Einsatz von Routern geht die Transparenz auf Layer 2 vollständig

verloren !

MERKE:



MG G

Router 1

Router 3

Routing in vermaschtem Netz

Netz 126

126.2.2.1

Router 2126.1.1.1

50.1.1.1

50.1.1.2

1.1.1.2

126.1.1.2

1.1.1.1

Netz 50

Netz 1

1.1.2.1

A

B



MG G

Routing - Verfahren

• statisches Routing• dynamisches Routing• default Routing

IP-Optionen

• Source-RouteLoose Source-RouteStrict Source-Route

• Record Route



MG G

Ein IP-Router hat keine Geräte-Adresse, sondern nur seine Schnittstellen(karten) zu den

angeschlossenen Netzen!

und

Diese muss aus demselben Adressbereich stammen wie die Adressen der angeschlossenen, zu

routenden Rechner !

MERKE:



MG G

Proxy ARP



MG G

• Programm/ Prozess auf Router(kein Protokoll!)

• Leitet ARP-Anfragen an Routing-Tabelle weiter

• Erspart Routing-Einträge auf Hosts

• Belastet Router(zusätzliche ARP-Bearbeitung)

Proxy ARP



Kapitel 8

Internet Control Message Protocol(ICMP)



MG G

Internet Control Message Protocol(ICMP)

RFC 792 - STD 5• Darunter liegende Schicht: Internet Schicht (IP)

• IP-Protokoll-Nr.: 01

• dient dem Informationsaustausch der Endgeräte über den aktuellen Status der Ebene 3 (IP)

• Unterschiedliche Paket-VariantenError-Pakete:Fehlermeldung, Header und die ersten 64 Bit des den Fehler verursachenden Paketes.Info-Meldungen/ Pakete:Request-/ Response-Verfahren



MG G

ICMP- Fehlermeldungen

• Destination Unreachable• Redirect Message• Source Quench• Time Exceeded• Parameter Problem



MG G

ICMP - Destination Unreachable-Meldung(Auswahl)

• Net/ Host Unreachable Router• Communication with Destination Network/ Router

Host is Administratively Prohibited• Destination Network/ Host Unreachable for Router

Type of Service• Fragmentation Needed and DF Set Router• Source-Route Failed Router

• Protocol/ Port Unreachable Host



MG G

ICMP- Info-Meldungen

• Echo• Information• Timestamp• Address Mask• Trace Route



MG G

IP / ICMP “Trace-Route”„Klassische“ Methode

Absender

Absender

Absender

Absender

Router 1

Router 2

Router n

Empfänger/ Ziel

IP-Paket mit TTL = 1, 2, ..., nICMP Error (n-Mal)



MG G

Trace Route in dynamischen Netzwerken

R8 R10R5

R6

R11

R9 R12

R4

R3

R7

R2

R1



MG G

IP/ ICMP “Trace-Route”Neue Methode

Absender

IP-Paket “Trace Route” (OHC wird incrementiert)ICMP-Message “Trace Route” (1, 2, ..., n) (RHC wird incrementiert)

Router 1 ZielRouter 2 Router n

OHC = Outbound Hop CountRHC = Return Hop Count



MG G

Code

0 1 2 3 5 6 7 8 94 0 1 2 3 5 6 7 8 94 0 1 2 3 5 6 7 8 94 0 10 1 2 3

ChecksumType

unused

Internet Header + 64 bits of Original Data Datagram

Code

0 1 2 3 5 6 7 8 94 0 1 2 3 5 6 7 8 94 0 1 2 3 5 6 7 8 94 0 10 1 2 3

ChecksumType

Sequence Number

Data . . .

Destination Unreachable Message

Identifier

Code

0 1 2 3 5 6 7 8 94 0 1 2 3 5 6 7 8 94 0 1 2 3 5 6 7 8 94 0 10 1 2 3

ChecksumType

Gateway Internet Adress

Internet Header + 64 bits of Original Data Datagram

Redirect Message

Echo or Echo Reply Message (“Ping”)



MG G

ICMP - MessagesType Numbers (Auswahl)

00 Echo Reply02 Destination Unreachable04 Source Quench05 Redirect08 Echo Request11 Time Exceed12 Parameter Problem30 Traceroute

37 - 255 “reserved”



MG G

Kapitel 9

Routing Protokolle



MG G

*) EGP: RFC 877, RFC 904

Arten von Routing Protokollen

EGP*)-BereichIGP-Bereich IGP-Bereich

IGP-Bereich



Routing Information Protocol(RIP)



MG G

• kein MIL-Standard• Darunter liegende Schicht: Transport Schicht (UDP)• UDP-Port: 520• Ursprung: XNS-Protokoll-Familie• Bestandteil des BSD 4.3-UNIX

(routed-Daemon)• Klasse: Distance-Vektor-Protokolle

(Bellman-Ford-Algorithmus)

Routing Information Protocol(RIP)

RFC 1058 - STD 34



MG G

RIP - Paketaufbau0 1 2 3 5 6 7 8 94 0 1 2 3 5 6 7 8 94 0 1 2 3 5 6 7 8 94 0 10 1 2 3

unusedCommand (1)

Adress Family Identifier (2)

IP Adress (4)

Metric (4)


Version (1)

unused

unused

unused

unused

IP Address (4)

Address Family Identifier (2)


IP Address (4)



MG G

RIP - Paketaufbau Bedeutung der Felder

• Command Feld: 1 = Request 2 = Response

• Address Family Identifier: 2 = IP• IP-Adress: Ziel-Netz bzw. -Rechner• Metric (=Hops): Entfernung bis Ziel

(Länge: 4 Bit = max. 15 Hops)• Länge des Paketes: max. 512 Byte

(~ 25 Info-Felder)



MG G

Regelmäßige Routing-Updates (alle 30 sec)

Überprüfen, obneue “Metric” < alte “Metric”

⇒ JA: Wert übernehmen - Update des Eintrags beendet⇒ NEIN: Wert beibehalten und

Überprüfen, ob Routing-Update von dem Router kam, der den letzten Eintrag erstellt hat⇒ JA: Wert auf jeden Fall übernehmen (auch wenn größer)

Update des Eintrags beendet ⇒ NEIN: Update des Eintrags beendet

RIPRouting Tabelle/ Routing Updates



MG G

Split Horizon

• Verhindert Rückrouten (reverse route)Updates, die über eine bestimmte Schnittstelle gesendet werden, berichten nicht über Routen, die über diese Schnittstelle gelernt wurdenUpdates, die über eine bestimmte Schnittstelle gesendet werden kennzeichnen jedes über diese Schnittstelle erlernte Netzwerk als nicht erreichbar(Split Horizon with poisoned reverse)spart Ressourcenverhindert Routing-Schleifen



MG G

Classful Routingnach RFC 950

• Subnetzmasken werden nicht mit der Ziel-Adresse verbreitet

Zieladresse befindet sich direkt in dem mit dem Router verbundenen Netzwerk:

Subnetzmaske der NIC wird verwendet

Zieladresse befindet sich in „Remote-Netzwerk“:Default-Subnetzmaske wird verwendet

Unterstes und oberstes Subnetz - alles „0“ (Hauptnetz-Netzwerknummer) bzw. alles „1“ (Broadcast des Hauptnetzes) - können nicht genutzt werden



MG G

= RIP v.1-Feld = neues Feld (RIP-2)

RIP-2 (STD 56)Paketaufbau

0 1 2 3 5 6 7 8 94 0 1 2 3 5 6 7 8 94 0 1 2 3 5 6 7 8 94 0 10 1 2 3

unusedCommand (1)


IP Adress (4)

Metric (4)

Version (1)

Route Tag (2)

Subnet Mask (4)

Next Hop (4)


IP Address (4)



Open Shortest Path First(OSPF)



MG G

Open Shortest Path First (Version 2)OSPF 2

RFC 2328 - STD 54

• Erweiterung von OSPF (RFC 1131)

• Darunter liegende Schicht: Internet Schicht (IP)


• Familie: Interior Gateway Protokolle (IGP)

• Klasse: Link State Protokolle

• Virtuelle Topologie (Autonomous System = AS)alle Router haben identische Datenbank

• Dynamisches Routing Protokoll



MG G

OSPF 2 - Eigenschaften/ Funktionalitäten

• Routing-Updates nur bei Topologieänderungen

• Routing-Updates über IP-Multicasts

• Jeder Router berechnet (s)einen Baum (mit sich selbst als Root)

• Unterschiedliche Routen je nach Type Of Service

• Load-Balancing bei Routen mit gleichen “cost”



MG G

OSPF 2Areas

• Bildung von “Areas” möglich (Topologie wird verborgen)Reduzierung des Routing-VerkehrsRouting innerhalb der Area nur durch Topologie derArea selbst bestimmtunterschiedliche Topologie-DBs innerhalb eines AS

• Authentifizierung (“Trusted Router”) innerhalb eines AS durch “Router-Id”



MG G

Routingtabellen im Internet(Kennzahlen)

• 2005: 150.000 – 175.000• 2006: 200.000• 2011: 370.000 (geschätzt)

• 2020: 2. Mio. (möglich/ befürchtet)

• Belegter Speicherplatz heute: mind. 10 MB/ Router• IPv6 verschärft die Probleme:

Verdopplung der Einträge pro Rechner



MG G

EinschubNicht routbare Protokolle

• Besitzen keine Adressierungsfunktion auf Layer 3• Adressierung von Netzwerken nicht möglich• Vertreter:

– NetBIOS/ NetBEUI (NetBIOS Extended User Interface)– DEC LAT– DLC



Kapitel 10

Transmission Control Protocol(TCP)



MG G

Transmission Control Protocol(TCP)

RFC 793 - STD 7 - MIL-Std. 1778



• Überträgt „Segmente“

• fehlergesicherte, zuverlässige Transport-Verbindung(Ende zu Ende Kontrolle)



MG G

TCP - Eigenschaften

• Multiplexing

• Ende zu Ende Kontrolle

• Verbindungsmanagement („Three-Way-Handshake“)

• Flusskontrolle („Sliding-Window-Mechanism“)

• Zeitüberwachung

• Fehlerbehandlung



MG G

TCP - Header

URG

FIN

ACK

PSH

RST

SYN

0 1 2 3 5 6 7 8 94 0 3 5 6 7 8 94 0 10 1 2 3

Destination PortSource Port

Acknowledge Number

DataOffset

Options Padding

Reserved Window Size

Urgent PointerChecksum

Data

1 2 3 5 6 7 8 94 0 1 2

Sequence Number



MG G

TCP - Multiplexmechanismus (1)

• PortZuordnung der Pakete zur nächsthöheren Ebene

• Socket Eindeutige Adressierung einer TCP-Verbindung(IP-Adresse + Port-Nr. – z.B. 141.6.1.16:23)

• Well Known Port/ Socket(Registrierte) Port-Nr. für (Standard-)Applikationen z. B. FTP: 21/ 20

TELNET: 23SMTP: 25(vgl. „services“-Dateien)



MG G

TCP - Well-Known-Ports (Auswahl)

20 FTP-Data21 FTP (Steuerleitung)23 TELNET25 SMTP (Simple Mail Transfer Protocol)43 nicname (Who Is)53 domain (DNS)66 sql*net (Oracle SQL*NET)67/68 BOOTP (Server/Client)70 gopher80 WWW-HTTP110 POP3111 sunrpc (“NFS” - SUN Remote Procedure Calls)137/ 138/ 139 netbios (name-/ datagram-/ session service)161/ 162 SNMP (SNMP/ SNMP-Trap)443 https512/ 514 exec/ cmd (rexec/ rsh)



MG G

TCP - Well-Known-Ports (Auswahl) Besonderheiten

513/ tcp login (rlogin; nur TCP-Port!)513/ udp who (rwho/ ruptime; nur UDP-Port!))

ab 1024: „High-Ports“1352 Lotus Notes1416 Novell LU 6.21525 orasrv (Oracle)1527 tlisrv ( “ )1529 coauthor ( “ )

1986-1999 cisco (u.a. licensemanager, snmp-rcp-port) 1989 mshnet (MHSnet system)

2784 www-dev (world wide web - development)



MG G

TCP - Multiplexmechanismus (2)

21 / 2017 2018 / 21 2512 / 23

2017 / 23



MG G

TCP - Verbindungsaufbau(Three-Way-Handshake)

A(Client)

B(Server)

Verbindungsaufbauwunsch (SYN = 1)Sequenz-Nr. = I

Bestätigung + Verbindungsaufbauwunsch (ACK = 1, SYN = 1)ACK-Nr. = I + 1 Sequenz-Nr. = J

Bestätigung (ACK = 1)ACK-Nr. = J + 1 Sequenz-Nr. = I + 1Datenübertragung



MG G

• gesicherter Abbau (Three-Way-Handshake)

• Vor Abbau der Verbindung werden alle Daten übermittelt(„Fin-Wait-Status“)

• nach Wartezeit wird die Verbindung abgebaut

TCP - Verbindungsabbau



MG G

TCP – Verbindungsabbau(Three-Way-Handshake)

A BVerbindungsabbauwunsch (FIN = 1, ACK = 1)

Bestätigung (ACK = 1)Window-Size = 0

Verbindung abgebaut (ACK = 1)

Verbindungsabbauwunsch (FIN = 1, ACK = 1)



MG G

TCP - Flags (SYN, ACK)

URG

ACK

PSH

RST

SYN

FIN

SYN für Verbindungsaufbau (synchronisiert) werden sollACK bestätigt den Empfang von Daten (acknowledge)



MG G

TCP - Flags (RST, FIN)

URG

ACK

PSH

RST

SYN

FIN

RST bei ungültigen Paketfolgen/ Flags (reset) FIN für Verbindungsabbau (final)

Pendant zum SYN-Flag beim Verbindungsaufbau

- 152 -



MG G

Senden von RST-Flag(vgl. RFC 793 – S. 36f)

• RST muss gesendet werden, wenn ein Segment offensichtlich nicht zu einer existierenden Verbindung gehört– Bei nicht existierenden (CLOSED) Verbindungen– Bei Bestätigung (ACK) eines (noch) nicht gesendeten Segments

• RST darf nicht gesendet werden, wenn nicht klar ist, ob Segment zu einer existierenden Verbindung gehört(kein Paket wird gesendet)



MG G

TCP - Flags (PSH, URG)

URG

ACK

PSH

RST

SYN

FIN

PSH Daten müssen bei Empfänger sofort an die höhere Schicht weitergereicht (push)

URG “Urgent-Pointer” muss berücksichtigt werden(„Urgent-Pointer“ kennzeichnet das Ende von Vorrangsdaten)



MG G

Problem:• Segmente werden schneller gesendet, als sie der

Empfänger verarbeiten kannankommende Segmente werden verworfenSendewiederholungen

schlechte PerformanceSender und Empfänger werden belastet

Lösung:• Sliding-Window-Mechanismus:

Empfänger teilt Sender mit, wie viele Segmente er (noch) aufnehmen kann

TCP - Flusssteuerung



MG G

TCP Slow Start/ Congestion ControlBeschreibung

• Erhöhung der Übertragungsgeschwindigkeit während einer Verbindung

Verdopplung der MSS pro RTTAb Slow-Start-Threshholds –nur noch Erhöhung um 1 MSS

• Beginnt neu bei jedem ErrorSlow-Start-Threshold wird halbiert

• FTP schneller als HTTP

• http://www-vs.informatik.uni-ulm.de/teach/ws06/rn1/TCPVerstopfungskontrolle.pdf

MSS = Maximum Seqment Size(MSS ≤ MTU - 40 Bytes)

RTT = Round Trip Time

http://www-vs.informatik.uni-ulm.de/teach/ws06/rn1/TCPVerstopfungskontrolle.pdf



MG G

TCP Slow Start/ Congestion Control (Grafik)

0

5

10

15

20

25

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17

RTT (Round Trip Time)

Con

gest

ion

Win

dow

s Si

ze(in

Seg

men

ten)

timeout

ssthres

ssthres



MG G

TCP Slow Start/ Congestion Control (Ablauf)Sender Empfänger

t t



MG G

• Transport-Probleme:Segmente werden

zerstört (gehen verloren)verfälscht (defekte Pakete)durcheinander gebracht (falsche Reihenfolge)verzögertdupliziert

TCP - Verbindungsmanagement



MG G

• Sendewiederholung, falls Segment:beschädigt ist(wird vom Empfänger vernichtet)bereits „unterwegs“ verloren

• TCP arbeitet mit dem sog. PAR - Mechanismus(Positive Acknowledgement with Retransmission)

ACK n+1alle Daten bis zur Sequenznummer “n” werden bestätigt(als nächstes wird das Segment n+1 erwartet)

TCP – Sendewiederholung („Retransmit“)



MG G

• Segment wird wiederholt, wenn der Retransmission Timer vor Eintreffen der Empfangsbestätigung abläuft

• ProblemAnfangswert zu niedrig:zu viele Sendewiederholungen (Duplikate!)Anfangswert zu hoch:verlorenes Segment wird zu spät wiederholt

TCP - Retransmission Timer

TCP-Spezifikationen schreiben einen dynamischenRetransmission Timer vor (RFC 2988)



MG G

TCP - Retransmission Timer

• Basis Algorithmus (Begriffe) - nach RFC 2988 (Nov. 2000)

– Retransmission Timeout (RTO)– Round-Trip Time (RTT)– Smoothed Round-Trip Time (SRTT) [= gemittelte RTT]– Round-Trip Time Variation (RTTVAR) [= Abweichung]

– Anfangswert des RTO zwischen 2,5 sec und 3 sec– danach:

RTO < SRTT + 4*RTTVAR



MG G

• Empfänger kann Original und Duplikat nicht voneinander unterscheiden

• Empfänger nimmt an, dass Bestätigung verloren gegangen ist und bestätigt erneut

• Sender ignoriert, wenn Segmente mehrmals bestätigt werden

• Duplikate nach dem Verbindungsabbau werden ignoriert

TCP - Duplikatbehandlung



MG G

Wichtige TCP - Timer

• Retransmission Timernach Ablauf werden Daten neu geschickt

• Give Up Timermax. Zeit, die der Sender bis zur Bestätigung seiner Pakete wartet

• Reconnection Timermin. Zeit zwischen Abbau und Aufbau einer Verbindung

• Retransmit-Syn Timermin. Zeit zwischen erfolglosem Verbindungsaufbau und erneutemConnection Request

• Window Timermax. Zeit zur Umstellung der Window-Size



MG G

TCP – Felder (Übersicht)

-

Bezeichnung Länge in Bit Aufgabe/ Beschreibung

Source Port 16 Nr. des AbsenderportsDestination Port 16 Nr. des Zielports (in Richtung Server: Applikation)Sequence Number 32 Byte-Zähler - weist auf das 1. Byte im PaketAcknowledge Number 32 weist auf das nächste Byte, das empfangen werden kannData Offset 4 Definiert den Beginn der Daten (Einheit: 32 Bit)Reserved 6 (noch) nicht definiert - muss den Wert "0" habenFlags 6 steuern die VerbindungWindow Size 16 Anzahl der Byte, die der Empfänger entgegen nehmen kannChecksum 16 sichert Header und DatenUrgent Pointer 16 zeigt das Ende der "urgent" Daten anOptions variabel wird durch "Padding" auf 32 Bit-Länge gebracht



Kapitel 11

User Datagram Protocol(UDP)



MG G

UDP - Header

ChecksumLength

0 1 2 3 5 6 7 8 94 0 1 2 3 5 6 7 8 94 0 1 2 3 5 6 7 8 94 0 10 1 2 3

Destination PortSource Port

Data



MG G

User Datagram Protocol(UDP)

RFC 768 - STD 6

• Kein MIL-Standard



• Datagram Service(keine Verbindungen)



MG G

• Transport Protokoll ohne “Ende zu Ende Kontrolle“

Kein Verbindungsmanagement (keine aktiven Verbindungen!)

Keine Flusskontrolle

Kein Mulitplexmechanismus

Keine Zeitüberwachung

Keine Fehlerbehandlung

UDP - Eigenschaften



MG G

Dienste auf UDP

Dienst UDP-Portnummer

IEN 116 42DNS (Ressolve) 53

RIP 520

BootP 67, 68TFTP 69

sunrpc (NFS) 111

SNMP/ SNMP-TRAP 161, 162



MG G

Vergleich der Layer-4-Protokolle TCP und UDP

Eigenschaft TCP UDP

Ende zu Ende Kontrolle ja neinZeitüberwachung der Verbindung ja neinFlow-Control (über das Netz) ja neinReihenfolgerichtige Übertragung ja neinErkennung von Duplikaten ja neinFehlererkennung ja einstellbarFehlerbehebung ja neinAdressierung der höheren Schichten ja jaThree-Way-Handshake ja neinGröße des Headers 20 - 60 Byte 8 ByteGeschwindigkeit langsam schnellBelastung der Systemressourcen normal gering



Kapitel 12

Teletype Network(TELNET)



MG G

TELNETRFC 854 - STD 8 - MIL-Standard 1782

• Darunter liegende Schicht: Transport Schicht (TCP)

• TCP/UDP Port-Nr.: 23

• Remote Login-Dienst



MG G

• Vielzahl von Terminal-Typen

• Verschiedene Rechner- und Terminal-Hersteller

• Unterschiedliche Übertragungseigenschaften

TELNET - Problematik



MG G

TELNET – Arbeitsweise(Lösung des Problems)

• Drei Funktionsgruppen:Network Virtual Terminal (NVT)TELNET-KommandosOptionen

• Kein eigener Protokoll-HeaderSteuerzeichen werden im Datenstrom verpacktInterpret As Command (IAC) (= Hex FF)wird den Kommandodaten unmittelbar vorangestellt



MG G

TELNET - Network Virtual Terminal (NVT)

• Fiktive Ein-/Ausgabe-Einheit mit bekannten Eigenschaften• “Drucker” zur Anzeige von Ausgabedaten• Tastatur zur Dateneingabe• 7 Bit ASCII in 8 Bit Wort (default) • Unbegrenzte Zeilen- und Seitenlänge• Steuerfunktionen• “Drucker” für Steuerzeichen



MG G

TELNET - Network Virtual Terminal (Modell)

I/O-Steuerung

Telnet Client

TCP

IP

Netz-Zugang

Anwendung

Telnet Server

TCP

IP

Netz-Zugang



MG G

TELNET - Lokale Kommandos

• Lokale Kommandos werden nicht über das Netz übertragen

Erase Character: Löscht letztes eingegebenes ZeichenErase Line: Löscht letzte Eingabezeile



MG G

TELNET - Remote-Kommandos (Auswahl)

• Remote-Kommandos werden durch vorgestelltes <IAC> übertragen

Interrupt Process: Bewirkt den Abbruch des laufenden(dez. 244) TELNET-Prozesses. Erzwingt Abbau

der bestehenden Verbindung Abort Output: Datenausgabe wird abgebrochen.(dez. 245) Prozess bleibt bestehenAre You There: Überprüft Prozess-Prozess-(dez. 246) Kommunikation. Bewirkt SignalBreak: (dez. 243) Darstellung der Break-TasteGo Ahead: Signal zum Richtungswechsel bei(dez. 249) Halbduplex-Übertragung



MG G

TELNET - Aushandeln von Optionen

• Regeln:

Aufforderung zum Einschalten kann zurückgewiesen werden

Aufforderung zum Ausschalten von Optionen mussakzeptiert werden

Es dürfen nie Optionen ausgehandelt werden, die sichbereits in der gewünschten Stellung befinden

Optionen werden erst nach Bestätigung gültig

Optionen treten unmittelbar nach der Bestätigung in Kraft



MG G

TELNET - Aushandeln von OptionenBefehle

• WILL Der Sender zeigt an, dass er eine Option einschalten möchteAntwort: DO oder DONT

• WONT Der Sender zeigt an, dass er eine Option ausschalten möchteAntwort: DONT

• DO Der Sender zeigt an, dass der Empfänger eine Option einschaltensollAntwort: WILL oder WONT

• DONT Der Sender zeigt an, dass der Empfänger eine Option ausschaltensollAntwort: WONT



MG G

TELNET - Optionen

• Extended ASCII (dez. 17) (RFC 698)

• Binary Transmit (dez. 0) (RFC 856)

• (local) Echo (dez. 1) (RFC 857)

• Suppress GA (dez. 3) (RFC 858)

• Terminal Speed (dez. 32) (RFC 1079)

• Terminal Type, X.3 PAD (dez. 24) (RFC 1091)

• Extended Options List (dez. 255) (RFC 861)



MG G

TELNET - Terminal-Typen(aus „Assigned Numbers“ - Auswahl)

DEC-DECWRITER-IDEC-DECWRITER-IIDEC-GIGIDEC-GT40DEC-GT40ADEC-GT42DEC-LA120DEC-LA30DEC-LA36DEC-LA38DEC-VT05DEC-VT100DEC-VT101DEC-VT102DEC-VT125DEC-VT131DEC-VT132DEC-VT200DEC-VT220DEC-VT240DEC-VT241DEC-VT300DEC-VT320DEC-VT340

IBM-1050IBM-2741IBM-3101IBM-3101-10IBM-3151IBM-3179-2IBM-3180-2IBM-3196-A1IBM-3275-2IBM-3276-2, -3, -4IBM-3277-2IBM-3278-2, -3, -4, -5IBM-3278-2E, -3E, -4E, -5EIBM-3279-2, -3IBM-3279-2E, -3EIBM-3477-FC, -FGIBM-5081IBM-5151IBM-5154IBM-5251-11IBM-5291-1

IBM-5292-2IBM-5555-B01, -C01IBM-6153 IBM-6154IBM-6155IBM-AED

PERKIN-ELMER-550PERKIN-ELMER-1100PERKIN-ELMER-1200

TELEVIDEO-910TELEVIDEO-912TELEVIDEO-920TELEVIDEO-920BTELEVIDEO-920CTELEVIDEO-925TELEVIDEO-955TELEVIDEO-950TELEVIDEO-970TELEVIDEO-975

TEKTRONIX-4006TEKTRONIX-4010TEKTRONIX-4012TEKTRONIX-4013TEKTRONIX-4014TEKTRONIX-4023TEKTRONIX-4024TEKTRONIX-4025TEKTRONIX-4027TEKTRONIX-4105TEKTRONIX-4107TEKTRONIX-4110TEKTRONIX-4112TEKTRONIX-4113TEKTRONIX-4114TEKTRONIX-4115TEKTRONIX-4125TEKTRONIX-4404

Insgesamt: 326(Stand: 1.5. 2001)



Kapitel 13

File Transfer Protocol(FTP)



MG G

File Transfer Protocol(FTP)

RFC 959 - STD 9 - MIL-Standard 1780


• TCP/UDP Port-Nr.: 21(ggf.) Port-Nr.: 20

• File-Transfer-Dienst



MG G

FTP - Problematik

• unterschiedliche Architekturen:Prozessoren, Betriebssysteme, ...

• unterschiedliche Datenformate:Bitanordnung, ASCII, EBCDIC, ...

• unterschiedliche Dateistrukturen:zeilenorientiert, record-orientiert, seitenorientiert, ...

• unterschiedliche Übertragungsweisen:stream, asynchron, blockmode, ...



MG G

• Konsens zwischen Systemen erfolgt durch Reduzieren individueller Eigenschaften auf Optionennicht durch Transformation auf ein Meta-Format(kein “Network Virtual File”)

FTP – Arbeitsweise(Lösung des Problems)



MG G

FTP-Session(Prinzipdarstellung)

Aufbau einer Steuerleitung/ -verbindung(Port-Nr.: 21) durch ClientAustausch von Befehlen und Parametern1 Aufbau einer Datenleitung/ -verbindung

(typisch: Port-Nr.: 20) durch Server2 Datenübertragung3 Abbau der Datenverbindung

Abbau der Steuerleitung



MG G

Benutzeroberfläche

Client-PI

Dateisystem Dateisystem

Client-DTP

PI = Protocol InterpreterDTP = Data Transfer Process

Port 21

Port 20

Server-PI

Server-DTP

Das FTP - Modell



MG G

Active FTP(Standard-FTP)

20Data

21Cmd

(1024)Cmd

(1025)Data

FTP-Server FTP Client



MG G

Passive FTP(„Firewall FTP“)

20Data

21Cmd

(1024)Cmd

(1025)Data

FTP-Server FTP Client

(2020)

Hinweis: Beim passiven FTP spielt Port 20 keine Rolle!



MG G

FTP - Transfer Parameter

• TYPE (representation type)

- A ASCII- E EBCDIC

- I image- L <byte size> local byte-size

• STRU (structure)- F file, no record structure- R record structure- P page structure



MG G

Wichtige FTP - Befehle

• dir, ls Inhaltsverzeichnis anzeigen• cd Inhaltsverzeichnis wechseln• pwd Name des aktuellen Inhaltsverz. anzeigen• bin/ ascii

Übertragungsmodus binär/ ascii• hash Übertragung grafisch darstellen (mit #####)• get/ put (mget/ mput)

eine Datei bzw. ein komplettes Verzeichnisholen/ senden



Kapitel 14

E-Mail Protokolle:SMTPPOP3



MG G

Simple Mail Transfer Protocol(SMTP)

RFC 2821- STD 10 - MIL-Standard 1781


• TCP/UDP Port-Nr.: 25

• E-Mail-Dienst



MG G

SMTP Bestandteile

• EnvelopeKommunikation zwischen Client und ServerBeginnt mit „Steuerkommandos“: HELO/ EHLOnicht sichtbar

• HeaderBestandteil der E-Mail (vgl. „Body“)Enthält Einträge des Clients bzw. der ServerEinträge nicht authentisch



MG G

SMTP – Übertragung

MAIL FROM:<Name_A@Rechner_1.Domain_I>250 OK

RCPT TO: <Name_A@Rechner_2.Domain_II>250 OK

RCPT TO: <Name_B@Rechner_2.Domain_II>550 No such user here

DATA354 Start mail input; end with <CRLF>.<CRLF>

Blah, blah, blah, blahRhabarber, Rhabarber, Rhabarber, Rhabarber

<CRLF>.<CRLF>250 OK

Initiieren der Transaktion

Überprüfen des EmpfängersEmpfänger existiert

Empfänger existiert nicht!

Beginn der Datenübertragung

Ende der Datenübertragung

Transaktion beendet

S E



MG G

SMTP Envelope(Beispiel)

S: 220 test.de SMTP server readyC: HELO xyz.de. beliebig!S: 250 xyz.de., pleased to meet youC: MAIL From:[email protected] beliebig!S: 250 <[email protected]> Sender okC: RCPT To:[email protected] muss existierenS: 250 <[email protected]> Recipient okC: RCPT TO:[email protected] muss existierenS: 250 <[email protected]> Recipient okC: DATAS: 354 Enter mailC: Hallo Eva, hallo Tom!C: Beispiel für den Mail-Versand mit SMTP.C: AdamC: .S: 250 Mail acceptedC: QUITS: 221 test.de delivering mail

mailto:[email protected]








MG G

SMTP - Kommandos (Auswahl)

• MAIL: leitet die Transaktion ein mit der Identifikation desAbsenders

• RCPT: receipient - identifiziert den/ die Empfänger

• VRFY: verify - sucht zu einem vorgegebenen Namen denzugehörigen Pfad

• EXPN: expand - interpretiert einen Namen als Mailing-Liste undlöst diesen auf

• SEND: kommuniziert direkt mit dem Terminal des Empfängers• SOML: send or mail - kommuniziert mit dem Terminal bzw. der

Mailbox, wenn das Terminal nicht erreichbar ist• SAML: send and mail - kommuniziert mit Terminal und Mail-Box



MG G

SMTP-Antwort-Codes (Übersicht)• 211 System-Status oder System-Hilfe• 214 Hilfe - Informationen zum Ausführen eines Kommandos• 220 Server bereit• 221 Server beendet Verbindung• 250 Kommando ausgeführt• 251 Keine lokale Mailbox; Weiterleitung an "forward-path“• 252 Überprüfung der Empfängeradresse nicht möglich; Die Nachricht wird dennoch versendet• 354 Starte Empfang der Mail; Beenden mit "CRLF". "CRLF“• 421 Service nicht verfügbar; Verbindung wird beendet• 450 Aktion nicht ausgeführt - Mailbox nicht verfügbar• 451 Aktion abgebrochen - Fehler beim Ausführen• 452 Aktion abgebrochen - Nicht genügend System-Speicher• 500 Syntax-Fehler - Kommando unbekannt• 501 Syntax-Fehler - Parameter oder Argument falsch• 502 Kommando unbekannt / nicht implementiert• 503 Falsche Reihenfolge der Kommandos• 504 Parameter unbekannt / nicht implementiert• 550 Aktion nicht ausgeführt - Mailbox nicht erreichbar (nicht gefunden, kein Zugriff)• 551 Mailbox nicht lokal; "forward-path" versuchen• 552 Aktion abgebrochen - Fehler bei der Speicherzuweisung• 553 Aktion nicht ausgeführt - Mailbox-Name nicht erlaubt (Syntax inkorrekt)• 554 Transaktion fehlgeschlagen (beim Verbindungsaufbau: Kein SMTP-Service verfügbar)



MG G

• “822-Message-Format” (nach Original RFC) bzw.„The format of ARPA Internet text messages“)

• 7-Bit ASCII (nicht änderbar!)

• Bestandteile:HeaderBody

SMTP - Message-FormatRFC 2822 - STD 11



MG G

From:To:Date:Subject:

(Leerzeile)

Nachricht (beliebig lang)

Message Header

Message Body

SMTP - Message-Format(Header/ Body)



MG G

SMTP Header(Beispiel)

Received: by xyz.de. id AABBCC; Mon, 19 Nov 2001 12:34:56 +0100Received: from adam1 (47110815@[192.168.80.201]) by fwd00.xyz.de

with smtp id 166Cyz1KXYRsC; Tue, 20 Nov 2001 16:38:45 +0100From: [email protected] (Adam)To: [email protected] (Eva)Subject: Beispiel-MailDate: Mon, 19 Nov 2001 12:34:56 +0100Reply-To: [email protected]: [email protected]

Disposition-Notification-To: [email protected]: 1.0Content-Type: text/plain; charset="iso-8859-1"X-Mailer: Winzigweich Ausschau, Build 1.2.3.4.5








MG G

SMTP Header interpretierenSPAM erkennen (1)

• Received-Zeilen immer von unten nach oben lesen– oberster Server ist der eigene– Einträge können „gefaked“ sein (von unten beginned)

• Im Zweifelsfall IP-Adresse auswerten– authentisch nur aus Envelope („HELO“)

• Received-Zeilen direkt hintereinander– ohne Zwischen- oder Leerzeilen– Sender der unteren Zeile = Empfänger der oberen Zeile

Vorsicht wegen:• Alias• Dial-Up



MG G

SMTP Header interpretierenSPAM erkennen (2)

• Verdächtig:– Standort/ Domain des Servers entspricht nicht der Zeitzone– Zeichenwirrwahr als Server-Name– IP-Adresse und Server-Namen stimmen nicht überein

(Überprüfung z.B. mittels: ‚nslookup‘)



MG G

SMTP Header interpretieren(Header okay)

Received: from inbound2.psi.neteu.net (EHLO inbound2.psi.neteu.net) ([154.15.201.165])by mstore.psi.neteu.net (MOS 3.8.2-GA FastPath queued)with ESMTP id CJK65564 (AUTH via LOGINBEFORESMTP);Fri, 05 Oct 2007 06:02:55 +0200 (CEST)

Received: from mailfilter1.psi.neteu.net (EHLO mailfilter1.psi.neteu.net) ([154.15.200.26])by inbound2.psi.neteu.net (MOS 3.8.2-GA FastPath queued)with ESMTP id HLW03613;Fri, 05 Oct 2007 06:02:55 +0200 (CEST)

Received: from fmmailgate05.web.de ([217.72.192.243])by mailfilter1.psi.neteu.net with esmtp (Exim 4.65)(envelope-from <[email protected]>)id 1IdeOt-0001CC-3Gfor [email protected]; Fri, 05 Oct 2007 06:02:55 +0200

Received: from web.deby fmmailgate05.web.de (Postfix) with SMTP id E54F42ED0872for <[email protected]>; Fri, 5 Oct 2007 06:02:54 +0200 (CEST)

Received: from [87.178.27.130] by freemailng0801.web.de with HTTP; Fri, 05 Oct 2007 06:02:54 +0200Date: Fri, 05 Oct 2007 06:02:54 +0200Message-Id: <[email protected]>From: Hans Tschi <[email protected]>To: [email protected]



MG G

SMTP Header interpretieren(definitiver SPAM Header)

Return-Path: <[email protected]>Received: from inbound1.psi.neteu.net […](AUTH via LOGINBEFORESMTP);

Sat, 03 Nov 2007 03:51:25 +0100 (CET)Received: from mailfilter1.psi.neteu.net (EHLO mailfilter1.psi.neteu.net) ([154.15.200.26])[…]Received: from [77.66.146.66] (helo=comp)

by mailfilter1.psi.neteu.net with esmtp (Exim 4.65)(envelope-from <[email protected]>)id 1Io96Y-00019d-V5for [email protected]; Sat, 03 Nov 2007 03:51:24 +0100

Received: from [77.66.146.66] by smtp.secureserver.net;Sat, 3 Nov 2007 05:50:04 +0300From: Volksbanken Raiffeisenbanken<[email protected]>To: <[email protected]>Subject: Volksbanken Raiffeisenbanken AG: 02/11/2007Date: Sat, 3 Nov 2007 05:50:04 +0300MIME-Version: 1.0X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1106Message-ID: <01c81ddd$619ac510$4292424d@ksr>

[…] = Auslassungen – vgl. „Header okay“

nslookup für 77.66.146.66:Non-existent domain(IP in Holland)

Securserver.net gehört zugodaddy.com (AZ, USA)



MG G

E-Mail - Auffälligkeiten

• Absender-Adresse stimmt nicht mit Mailserver überein(u.U. nur in IP-Adresse des Envelopes erkennbar)

• Kein Absender• Zeitsprünge in Übertragung• Header-Feld „User-Agent“ zeigt nicht auf ein bekanntes E-Mail Programm

(korrekt: User-Agent: Thunderbird 2.0.0.6 (Windows/20070728))• Eine oder mehrere Zeilen komplett in Großbuchstaben

• Verweis, dass Mail nach „Senate Bill 1618“ kein Spam sei(der Verweis ist irrelevant und gerade ein Indiz für Spam)

• Mail besteht nur aus (Remote) Bildern• Eintrag in Adresse (vor @) findet sich in Subject-Feld („Betreff“) wieder



MG G

EinschubE-Mail Privacy: Webbugs (+ Cookies)

• Beschreibung:- Mini-Bilder (1 Pixel), die von einem externen Server abgerufen werden- In allen HTML-Mails möglich

(Achtung: HTML muss nicht erkennbar sein)

• Einsatzbereich:- Überprüfung der Existenz einer E-Mail- Zuordnung von

E-Mail-Adresse IP-Adresse (Webbug)E-Mail-Adresse Gerät (Cookie)

• Schutz:- Offline Lesen von E-Mails- Blocken externer IP-Adressen durch E-Mail-Client- Verbieten von Cookies



MG G

Sicherheitsmechanismen bei E-Mail

• SMTP after POP• E-Mail-Server überschreibt „FROM“ Feld

(z.B. T-Online)• SSL bzw. TLS• Digitale Unterschrift/ Nutzung von Zertifikaten



MG G

SMTP/ SPAM: Quellen/ URLs

• http://www.th-h.de/faq/headerfaq.phphat-h.de: „E-Mail-Header lesen und verstehen“

• http://www.tecchannel.de/kommunikation/e-mail/401772/index.htmlTec Channel: „So funktioniert E-Mail“

• http://www.gurusheaven.de/security/email_know_how.htmeMail Know-How - Tipps & Tricks zur Sicherheit

• http://www.stopspam.org/email/headers.html„Reading E-Mail-Headers“

• http://www.bsi.de/literat/studien/antispam/antispam.pdfBSI: „Anti-Spam Strategien“

http://www.th-h.de/faq/headerfaq.php

http://www.tecchannel.de/kommunikation/e-mail/401772/index.html

http://www.gurusheaven.de/security/email_know_how.htm

http://www.stopspam.org/email/headers.html

http://www.bsi.de/literat/studien/antispam/antispam.pdf



MG G

Post Office Protocol - Version 3(POP3)

RFC 1939 - STD 53

• Darunter liegende Schicht: Transport Schicht (TCP)• TCP/UDP-Port-Nr.: 110• ermöglicht dem Client das „Abholen“ von E-Mail von

einem Mail-Server• User-Authentisierung erfolgt über Username/

Password• unterstützt keine Veränderung der Mail auf dem

Server (abgeholte Mail wird i.a. gelöscht)(Gegensatz: IMAP4 [Internet Message Access Protocol] - RFC 2060)



MG G

POP „Envelope“(Beispiel)

S: +OK POP3 server readyC: user glaserS: +OKC: pass tschitschiS: +OKC: LISTS: +OK 2 messages (320 octets)S: 1 120S: 2 200S: .C: RETR 1S: +OK 120 octetsS: <Server sendet Nachricht 1>S: .C: DELE 1S: +OK message 1 deletedC: RETR 2S: +OK 200 octetsS: <Server sendet Nachricht 2>S: .C: DELE 2S: +OK message 2 deletedC: RETR 3S: -ERR no such messageC: QUITS: +OK



MG G

Multipurpose Internet Mail Extensions (MIME)

RFC 2045 - 2049

• Spezifiziert die Übertragung von 8-Bit (Nicht-ASCII) Zeichen (Umwandlung in 7 Bit Zeichen)

• Zusätzliches Header-Field: MIME-Version• Definiert

– fünf „Top-Level“ Media-Types(text, image, audio, video, application, multipart)

– viele Sub-Types(text/plain, text/ richtext, …)

• Secure MIME (S/MIME) spezifiziert in RFC 3850/ 3851• Nutzung auch im Web-Umfeld



MG G

Kapitel 15

Name-Services



MG G

Name-Services - Aufgabe

• dienen der Zuordnung Rechnername zu IP-Adresse

• im einfachsten Fall durch eine lokale Datei realisiert(z.B. C:\windows\system32\drivers\etc\hosts, /etc/hosts)

• u.U. recht komplex aufgebaut(z.B. DNS)

• können vielfältige Informationen weiterreichen



MG G

Internet Name ServerIEN 116



MG G

Internet Name Server

IEN 116(August 1979)

• kein MIL-Standard

• Darunter liegende Schicht: Transport Schicht (UDP)

• UDP/TCP Port-Nr.: 42

• Zuordnen von Hostnamen zu IP-Adressen



MG G

IEN 116-Internet-Name-ServiceEigenschaften

• Name-Server sind unabhängig voneinander

• kein hierarchisches System (flache Topologie)

• Wildcards optional



MG G

IEN 116-Internet-Name-Service - Beispiel

Server 1.1.1.1Test 2.1.1.1Privat 3.1.1.1DG 1.1.0.10

1.1.0.1

Server 1.1.1.1Test 5.1.1.1Privat 4.1.1.1Büro 10.1.1.1DG 1.1.0.20

1.1.0.2

Test 1.1.1.1Test_2 3.1.1.1Büro 5.1.1.1Privat 5.1.1.1DG 1.1.0.30

1.1.0.3

PNS 1.1.0.1SNS 1.1.0.2

PNS 1.1.0.2SNS 1.1.0.3

PNS 1.1.0.3SNS 1.1.0.2



MG G

Domain Name System/ Service(DNS)



MG G

DNS


• Darunter liegende Schicht: Transport Schicht(UDP und TCP)


• Zuordnen von Hostnamen zu IP-Adressen

RFC 1033 - Administrators Operations GuideRFC 1034 - Concepts and FacilitiesRFC 1035 - Implementation and Specification

STD 13



MG G

DNS - Funktionsweise

• verteilten Datenhaltung

• hierarchischen Modell

• unterschiedliche DNS-Servertypen

• zusätzliche (optionale) Möglichkeiten



MG G

DNS - Funktionsweise(hierarchisches Modell)

COM ORG EDU MILNET

IBM

/

MIT UCLA

= Top-Level-Domains

DE

Kunz-Söhne

...

GMG

Abt-1 Abt-2

GMG

Abt-1 Abt-2



MG G

Top Level Domains (TLD)

• gTLD (Generic TLD):– z.B.: com, org, net

• ccTLD (Country Code TLD)– z.B.: de, ch, uk, us,

to (Tonga),tv (Tuvalu),by (Belorussland)

• sTLD (Sponsored TLD)– z.B.: jobs, info, mobi, post, mail, travel, xxx, tel (Dez. 2008)



MG G

DNS-Aufbau

<Rechnername>.<Subdomain>.<Domain>.<TLD>

Hinweis:Im DNS kann kein Protokoll abgelesen werden!

Protokoll nur in der URL:Protokoll:// Rechnername.Subdomain.Domain.TLD

z.B.http://test.abt-1.gmg.com



MG G

DNS - Servertypen

• Primary Name Server (Master)Enthält Datenbank mit autorisierten DatenOrt der Datenpflege

• Secondary Name Server (Slave)Enthält Datenbank mit autorisierten DatenHolt sich regelmäßig Updates von Master

• Caching ServerMerkt (“cacht”) sich nur Daten (nicht autorisiert)verwirft “gecachte” Daten nach vorgegebener Zeit(TTL-Feld mit 32 Bit Länge)



MG G

DNS - Funktionalitäten und Funktionsweisen

• Auflösen von Namen (in IP-Adressen)

• Auflösen von IP-Adressen (in Namen - optional)

• Übermitteln weiterer Informationen



MG G

DNS - Funktionalitäten und Funktionsweisen

• Beantworten von Anfragen:Standard:

NameError (Name nicht bekannt)Verweis auf anderen Server

Optional (Anfrage wird ggf. weitergeleitet – rekursive Antwort):NameError



MG G

DNS - Query-Types (Auswahl)

• A Address (Rechneradresse)• NS Name-Server• CNAME Canonical Name (Zuordnung von Nicknames)• HINFO Rechner- (Host-) Information (CPU, Betriebssystem)• SOA Start Of Authority (Update von PNS-Daten)

SERIAL Änderungen in Datensatz (“Versionspflege”)REFRESH Zeit zwischen UpdatepollsRETRY Zeitdauer bis zum Wiederholen eines

fehlgeschlagenen REFRESHEXPIRE Zeit bis zum Löschen eines Eintrages

(nach fehlgeschlagenem REFRESH)

• MX Mail Exchange Server• WKS Well Known Services (TCP/ UDP-Dienste <256)



MG G

DNS - Einschränkungen

• Namen (Labels): max. 63 Byte

• Rechnernamen: max. 255 Byte

• TTL: positive Werte einer vorzeichen-behafteten 32 bit Integer Zahl

• UDP Nachricht: max. 512 Byte



MG G

MERKE:

Ein DNS-Server muss sich nicht in der Domain befinden, für die er

Informationen bereithält!



MG G

Kapitel 16

BootPDHCP



BootP

(UDP Bootstrap Protocol)



MG G

BOOTPRFC 951, RFC 1542



• UDP/TCP Port: 67 (Client Server)68 (Server Client)

• Zuordnung Ebene 2 Ebene 3(MAC-Adresse IP-Adresse)

• Übertragen von Boot-Informationen(Vendor Specific Extensions – vgl. RFC 2132)



MG G

BOOTP - Funktionsweise

• BOOTP-Request per IP-Broadcast (255.255.255.255)oder gerichtet

• BOOTP-Request nicht beantwortet erneute Anfrage

• Backoff-Strategie zur Verhinderung von „flooding“(vgl. CSMA/CD)

• Antwortpriorität durch “secs”-Feld

• Booten über Router (“Gateways”)(nur über BOOTP-Relay-Agent - optional)



MG GB

OO

TP -Datenform

at

Boot File N

ame (m

ax128 B

yte)

VendorSpecificA

rea (max

64 Byte)

Client H

ardware A

dress(m

ax16 B

yte)

Server Host N

ame (m

ax64 B

yte)

Server IP Address

Gatew

ay IP Address

Client IP A

ddress

TransactionID

01

23

56

78

94

01

23

56

78

94

01

23

56

78

94

01

01

23

Hops

Operationsecs H

ardware Type

Hardw

are Length

Unused

YourIP Address



MG G

BOOTP - Vendor Specific Extensions (Auswahl)

• Time-of-Day aktuelle Zeit• Subnet-Mask IP-Subnetz-Maske• Router IP-Adresse Router• Time-Server IP-Adresse Time-Server• IEN116-Server IP-Adresse IEN 116 Name-Server• Domain Server IP-Adresse Domain-Name-Server• LPR-Server IP-Adresse BSD-Print-Server• Hostname Name Client (local station)• Boot Size Größe Boot-File (in 512 Byte Blocks)• Extensions Path TFTP-File - wird als VSE interpretiert• End (255h) Ende der VSE



DHCP

(Dynamic Host ConfigurationProtocol)



MG G

DHCPRFC 2131

• nutzt BOOTP/ Erweiterung von BOOTP• Erweiterung/Änderung des BOOTP-Paket

“Vendor Specific Extensions” “Options” (RFC 2132)Minimumlänge des VSE-Feldes/ Options: 312 Bytedefiniertes “Magic Cookie” (99.130.83.99)

• Zuweisen von IP-Adressen auf Zeit bzw. unendlich(Leased Time: 1 sec - 136 Jahre – 32 Bit)

• manuelle Vergabe von IP-Adressen möglich• abwärtskompatibel zu BOOTP

(muss BOOTP-Clients bedienen können)



MG G

DHCP-Messages• DHCPDISCOVER Broadcast von Client, zur Suche verfügbarer

Server• DHCPOFFER Server teilt Client Konfigurationsparameter mit• DHCPREQUEST Client fordert angebotene Parameter von Server

an bzw. bestätigt Parameter/ verlängert “Lease”• DHCPACK Server bestätigt Client die Richtigkeit der Adresse• DHCPNACK Server teilt Client mit, dass Adresse nicht

verwendet werden kann• DHCPDECLINE Client teilt Server mit, dass Adresse schon

genutzt wird• DHCPRELEASE Client teilt Server mit, dass Adresse nicht weiter

benötigt wird



MG G

DHCP - Automatische Adressvergabe

• DISCOVER:Client sucht DHCP-Server;ggf. Vorschläge” für IP-Adresse und Leased-Time

• OFFER:DHCP-Server antworten mit IP-Adresse(n)

• REQUEST:Client wählt Angebot und antwortet allen Servern;“Server Identifier Option” muss gesetzt sein

• ACK:Ausgesuchter Server reserviert vorgeschlagene Adresseund schickt Konfigurations-Parameter (falls nicht: NACK)ggf. Test der Adresse durch ICMP-Echo RequestAlle anderen Server:“Angebot” wurde abgelehnt, vorgeschlagene IP-Adresse wieder frei



MG G

Automatic Private IP Addressing(APIPA)

• Client findet keinen DHCP-Server (ab Windows 98)

• Wählt Adresse aus 169.254.0.0/ 16 (vgl. RFC 3330)

• Überprüft ob Adresse bereits vergeben (Gratuitous ARP)

• Überprüft alle 5 Min. ob DHCP-Server vorhanden

• Wichtig: Kann nur im eigenen Netz kommunizieren

• AbschaltbarHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\InterfacesInterface auswählenDWORD IPAutoconfigurationEnabled = 0

• Weitere Infos: http://support.microsoft.com/kb/q220874/



MG G

Kapitel 17

Trivial File Transfer Protocol(TFTP)



MG G

Trivial File Transfer Protocol(TFTP)

RFC 1350 - STD 33




• einfacher File-Transfer-Dienst ohne Login-Prozedur (“Poor Man’s File Transfer”)

• Einsatzgebiet: Netz-Boot-Vorgänge



MG G

TFTP - Funktionsweise

• TFTP verfügt über fünf Funktionen:

Read Request (RRQ):fordert File von Remote-Rechner anWrite Request (WRQ):sendet File zu Remote-RechnerData (DATA):kennzeichnet den eigentlichen DatenstromAcknowledgement (ACK):bestätigt empfangene PaketeError (ERROR):zeigt Übertragungsfehler an



MG G

TFTP - Übertragungsmechanismus

• „Verbindungsaufbau“ mit RRQ bzw. WRQ

• Festes Paket-Format (512 Byte)

• Pakete < 512 Byte: Ende der Übertragung

• Paketweise Bestätigung

• ERROR: Übertragungsabbruch - kein Retransmit!



MG G

TFTP - Übertragungsmechanismus

RRQ (Read Request)ACK

DATA (512 Byte)ACK

DATA (512 Byte)ACK

DATA (<512 Byte)ACK

Initiieren der Transaktion

Bestätigung

Daten

Bestätigung

Daten

Bestätigung

Ende der Datenübertragung(letztes Paket)Bestätigung(Ende der Transaktion)

C S



MG G

Kapitel 18

Die “R”-Utilitiesrlogin, rcp, rsh/rexec



MG G

Die “R” Utilities- rlogin, rcp, rsh/ rexec -


• TCP/UDP Ports:512 (rsh), 513 (rlogin), 514 (rexec)

• Funktion:Logincopy (rcp)Ausführen von Programmen (shell-scripts)auf Remote-Rechnern

• keine aktive Identifizierung und Authetifizierung



MG G

R-Utilities - Zugriffsmechanismen

• Dateien zur Freigabe von Zugriffsberechtigungen.rhosts - im Home-Verzeichnis des Anwendershosts.equiv - unter /etc

• Freigabe bezogen auf Rechner- und Usernamen

• Anwender “root” muss immer Password eingeben



MG G

R-Utilities - Autorisierungsdateien (Einträge)

+von jeder Maschine/ alle Benutzer von allen Maschinen

<hostname>von der Maschine <hostname> mit eigener Kennung

<hostname><username>angegebener <username> von <hostname> unter eigener Kennung/ allen Kennungen



MG G

R-Utilities - Ablaufdiagramm für Zugriff> rlogin HOST

Existiert USER in Password-Datei von HOST

NEIN kein Zugriff möglich

Existiert ein entsprechender Eintrag in .rhosts?JA kein Password nötig

Password nötig user=rootuser≠root

Existiert ein entsprechender Eintrag in hosts.equiv?

JA kein Password nötig

Password nötig

NEIN



MG G

Kapitel 19

Network File System(NFS)



MG G

Network File System(NFS)

RFC 3010

• kein MIL-Standard• Darunter liegende Schichten:

Darstellungsschicht: XDR (RFC 1014/ RFC 1832)(“External Data Representation”)

Sitzungsschicht: SUN-RPC (RFC 1057)Transport Schicht: UDP (Port-Nr.: 111)

• einzige TCP/IP-Applikation mit separaten Schichten 5, 6 und 7• Zugriff auf “Netzwerklaufwerk” mit 80% der lokalen Performance• “stateless” Verbindung• explizite Freigabe auf dem Server (/etc/exports)



MG G

NFS im OSI-Modell

IP

UDP

RPC

XDR

NFS

Netzzugang (802.x)



MG G

Einschub: Remote Procedure Calls

Programm 1

Programm 2

Programm 1

Programm 2

RPC

RPCHost Grün

Host Rot

Host



MG GN

FS -Mount

Client

/

systemuser

network

comm

andsdata

helps

Befehl:

mount -t nfs-o ro,softserver:/helps/user/helps

Server/

network

systemapplikation

userhelps

system



MG G

Kapitel 20

Internet



MG G

World Wide WebHistory

• 1989: Ursprung in einem Projekt des CERN, Genfwar gedacht als einfaches System zur Kommunikationzwischen Physikern (Nutzung von Hypertextdokumenten)

• 1990: zeilenorientierte Oberfläche (Line-Mode-Browser)

• 1993: Browser mit grafischer Benutzeroberfläche

• 1994: die W3-Organisation (www.w3.org) wird ins Leben gerufen;Aufgabe: Weiterentwicklung und Standardisierung



MG G

Hypertext Transfer Protocol(HTTP)

RFC 1945 HTTP 1.0 (1996)RFC 2616 HTTP 1.1 (1997)

• Darunter liegende Schicht: Transport Schicht (TCP)• TCP/ UDP-Port: 80• Request-/ Response-Verfahren zur Abfrage von Dokumenten

VerbindungsaufbauAnforderung (Request)URI, protocol version, request modifier, client informationAntwort (Response)message protocol version, success-/ error-code, server information, “data”Verbindungsabbau



MG G

HTTPS(Secure HTTP)

• Nutzt SSL für verschlüsseltes HTTP (Port-Nr.: 443)• Verschlüsselung erfolgt über Zertifikate

HTTP

IP

TCPSSL

HTTPS



MG G

1xx: InformationalRequest received, continuing process

2xx: SuccessThe action was successfully received, understood, and accepted

3xx: RedirectionFurther action must be taken in order to complete the request

4xx: Client ErrorThe request contains bad syntax or cannot be fulfilled

5xx: Server ErrorThe server failed to fulfill an apparently valid request

HTTP Status Codes (Überblick)



MG G

100 Continue101 Switching Protocols

200 OK201 Created202 Accepted203 Non-Authoritative Information204 No Content205 Reset Content206 Partial Content

300 Multiple Choices301 Moved Permanently302 Found303 See Other304 Not Modified305 Use Proxy307 Temporary Redirect

HTTP Status Codes - nach RFC 2616 - (1)



MG G

400 Bad Request401 Unauthorized402 Payment Required403 Forbidden404 Not Found405 Method Not Allowed406 Not Acceptable407 Proxy Authentication Required408 Request Time-out409 Conflict410 Gone411 Length Required412 Precondition Failed413 Request Entity Too Large414 Request-URI Too Large415 Unsupported Media Type416 Requested range not satisfiable417 Expectation Failed




MG G

500 Internal Server Error501 Not Implemented502 Bad Gateway503 Service Unavailable504 Gateway Time-out505 HTTP Version not supported




MG G

Proxy-ServerFunktionsbeschreibung (1)

• Zwischengeschaltetes „Etwas“ (Appliance),arbeitet als Client und als Server

• Anfragen werden bearbeitet, ggf. übersetzt und weitergereicht

• Steuert Zugriffe (“Firewall”)

• Reicht Anfragen für nicht unterstützte Protokolle weiter



MG G

Proxy-ServerFunktionsbeschreibung (2)

• Weitere Funktionalitäten:

CacheAutorisierungAccountingContent-Filterung

• Kann kaskadiert werden



MG G

Proxy-ServerKaskadierung

IntranetPublic Internet

Abt.-Proxy

Firmen-

Proxy



MG G

Socks-Server(vs. Proxy-Server)

• Einheitlicher Port für alle Dienste („Tunnel“)Port-Nr.: 1080(Proxy nutzt Port des Dienstes - z.B. Port-Nr. 80 bei HTTP)

• Dienst/ Anwendung muss „socksifiziert“ sein(Dienst/ Anwendung unterstützt normalerweise Proxy-Funktion - transparenter Proxy möglich)

• Socks muss Anwendung nicht unterstützen(Proxy muss Anwendung unterstützen)

• Anwender ist für Socks freigeschaltet - oder nicht(Proxy kann separat für jeden Dienst freigeschaltet werden)



MG G

Kapitel 21

VoIP

(Voice over IP)



MG G

VoIP Geräte

• PC mit•Sound-Karte•Headset•Telefonie-Software

• IP-Telefon mit•Ethernet-Karte

• VoIP-Server• VoIP-Gateway



MG G

VoIP Technik/ Funktionsweise

• Analoges Signal: wird digitalisiert und komprimiert• Digitales Signal: wird in IP-Datenpakete verpackt• IP-Pakete: werden übertragen via (W)LAN/ MAN/ WAN

- ggf. Priorisierung

• VoIP-Server: Aufgaben der Telefonanlage(Vermittlung, Leistungsmerkmale etc.)

• VoIP-Gateway: Schnittstelle zum „klassischen“ Telefon-Netz(oft in VoIP-Server integriert)



MG G

VoIP - Protokolle (1)

• SIP (Session Initiation Protocol)– RFC 3261 – Proposed Standard– Darunter liegende Schicht: Transport Schicht (TCP)– TCP/UDP Port-Nr.: 5060, 5061 (SIP-TLS)– steuert Verbindungsauf-/ abbau zwischen zwei oder mehr Partnern

(„Signaling Protocol“)– HTTP-ähnlich– einfach (wenig komplex)



MG G


• SDP (Session Description Protocol)– RFC 4566 – Proposed Standard– Darunter liegende Schicht: Transport Schicht (TCP)– TCP/UDP Port-Nr.:

• 1297 (SDP Proxy)• 3242 (SDP-ID)• 3935 (SDP-Portmapper)

– verwaltet Kommunikationssitzung („Streaming Media“)– verhandelt die zwischen den Endpunkten Codecs,

Transportprotokolle usw.



MG G


• RTP (Realtime Transport Protocol)– RFC 3550 – STD0064

RFC 3551– Darunter liegende Schicht: Transport Schicht (UDP)– UDP/TCP-Port-Nr.:

• 5004 (RTP Media Data)• 5005 (RTP Control Protocol)

– Ende-zu-Ende-Transport– keine Ende-zu-Ende-Kontrolle



MG G


• H.323– ITU-T-Standard seit 1996

(International Telecommunication Union)– Ursprung in Festnetz-Technologie

(„robustes“ Protokoll)– Unterprotokolle:

• H.225.0 Setup• Q.931 Signalisierung• H.245 Telefonie• H.450 weitere Dienste/ Leistungmerkmale

(z.B. Parken, Rückruf, Rufweiterleitung, Namensübermittlung)– unterstützt Videokonferenz, Datenkonferenz, Synchronisation Audio/ Video– Zentrale Komponente „Gatekeeper“



MG G

VoIP Probleme - heute (1)

• Laufzeit/ Echo problematisch (vor allem: WLANS)• QoS (Priorisierung) dringend notwendig• Sprachqualität schlecht/ von Bandbreite abhängig• Verschlüsselung nur bedingt möglich

(z.B. nicht bei Gesprächen ins Festnetz)• DOS-Atacken wie bei allen Netzwerkanwendungen• Leistungs-/

Komfortmerkmale fehlen (z.B. Anklopfen, „Rückruf bei besetzt“)• Implementierung komplex (Layer 7!)• Interoperabilität wegen verschiedener Standards geringer

(vgl. SIP, H.323)



MG G

VoIP Probleme - heute (2)

• Permanente Erreichbarkeit nicht gewährleistet („always on“, feste IP)• Notspeisung fehlt (Problem: Stromausfall)• Rufnummer-Zuordnung problematisch/ nicht abschließend geklärt• Notruf-Nummern nicht direkt anwählbar (z.B. 110, 112)

• Standort-Erkennung problematisch (vgl. Notruf-Nummern)



MG G

VoIP Quellen

• http://www.voip-information.de/ umfassende Seite zum Thema VoIP und Umfeld• http://www.teltarif.de/i/voip.html allgemeine Beschreibung• http://www.elektronik-kompendium.de/sites/net/0503131.htm allgemeine Beschreibung• http://www.markenprofi.de/was-ratgeber/feld-1/nr-117/ allgemeine Beschreibung• http://www.zdnet.de/i/wp/VoIP_whitepaper_DE_SonicWALL.PDF Sicherheits-, Implementierungsprobleme• http://www.stemmer.de/service/workshops/mws2002/download/voip_vs_dect.pdf WLAN VoIP vs. DECT (besonders Seiten 31, 32)

http://www.voip-information.de/

http://www.teltarif.de/i/voip.html

http://www.elektronik-kompendium.de/sites/net/0503131.htm

http://www.markenprofi.de/was-ratgeber/feld-1/nr-117/

http://www.zdnet.de/i/wp/VoIP_whitepaper_DE_SonicWALL.PDF

http://www.stemmer.de/service/workshops/mws2002/download/voip_vs_dect.pdf



MG G

Kapitel 22

Simple Network Management Protocol(SNMP)



MG G

Simple Network Management Protocol(SNMP)



• UDP/TCP Ports: 161162 (für Traps)

• dient zur Vereinheitlichung und Übertragung erfasster Daten (Variablen)

• erlaubt herstellerspezifische “Ergänzungen”

RFC 1157 - STD 15RFC 3411 - 3418 - STD 62



MG G

SNMP – Aufbau

SNMP SNMP

Management Station(SNMP Manager)

SNMP Agent

Netzwerkgerät Rechner, Router etc.) SNMP/ RMON Probe



MG G

SNMP - Aufbau

• Manager: Überwacht, konfiguriert (polling: Regel)• Agent: Sammelt/ ändert Daten (traps: Ausnahme)

• RMON: Remote MonitoringVerlagerung der Intelligenz von Manager auf Probe

Manager: zum Netz (Managed Objects)Agent: zur Management-Station



MG G

SNMP – Aufbau(MIB)



MG G

SNMP - Funktionsweise• definierte Variablen (“Managed Objects”)• werden hierarchisch in der “Management Information Base” (MIB)

abgelegt• Agent sammelt Informationen auf überwachten Geräten• Werden aktiv durch Management-Server abgefragt (ggf. auch gesetzt)

get <Variable> holt spezifizierte Variableget-next holt nächste Variable im Datenmodellget-bulk holt mehrere Variablen gleichzeitig

set <Variable> setzt eine Variable• Sonderfall Traps:

bei besonderen Vorkommnissen werden Daten an Server gesendetevent <Variable>



MG G

SNMPwichtige RFCs (allgemeine Definitionen)

• RFC 1157 SNMP (STD0015)• RFC 1643 Definitions of Managed Objects for the Ethernet-like

Interface Types (STD0050)

• RFC 3411 Architecture for Describing SNMP Management Frameworks

• RFC 3412 Message Processing and Dispatching for SNMP • RFC 3413 SNMP Applications• RFC 3414 User-based Security Model for SNMP• RFC 3415 View-based Acces Control Model for SNMP• RFC 3418 Management Information Base (MIB) for SNMP

• RFC 2576 Coexistence between SNMP v1, SNMP v2 and SNMP v3



MG G

SNMP - wichtige MIBs (1)

Interface Table(vgl. RFC 1213)

• Variable 1.3.6.1.2.1.2.2.1.x• enthält Informationen über die Interfaces

AnzahlTyp (z.B. X.25, Ethernet, 802.3, 802.5, FDDI, PPP, ISDN etc.)MTUGeschwindigkeitPhysical AddressStatus (administrativ/ operational)



MG G

SNMP - wichtige MIBs (2)

Address Translation Table(vgl. RFC 1213)

• Variable 1.3.6.1.2.1.3.1.1.1 - 3• enthält Informationen über den ARP-Table

Art des Eintrags (z.B. statisch/ dynamisch)Physical AddressNet Address (z.B. IP-Adresse)



MG G

SNMP - wichtige MIBs (3)IP - MIB

(vgl. RFC 1213)

• Variable 1.3.6.1.2.1.4.x• enthält Informationen über das IP-Protokoll

Routing (ja/ nein)Default TTLSubnet-MaskeBroadcast-AdresseRouting TabelleRouting MaskeNext HopErrors etc.



MG G

SNMP - wichtige MIBs (4)Übersicht

• icmp• tcp• udp• transmission (ca. 580 Variablen!)• snmp• ospf• privat

bay networks/ wellfleetcisco3comforenovellqms

(Auswahl)



MG G

Kapitel 23

Trouble-Shooting



MG G

Trouble-Shooting

• Wichtige Quelle:

RFC 2151 (Juni 1997):„A Primer On Internet and TCP/IP Tools and Utilities“



MG G

Fehlerursachen

Transceiver, Repeater etc.

Bridges, Switches

Router

35%25%12%10%8%7%3%

72 %

Layer 1: fehlerhafte Kabel, elektrische Störungen, Kollisionen, „Putzfrauen“ etc.Layer 2: 802.x-Inkompatibilitäten, falsch konfigurierte MAC-Adressen, BroadcaststormsLayer 3: falsch konfigurierte IP-Adressen, Subnetzmasken und Broadcast-Adressen; falsche

Routing-Tabellen/ EinträgeLayer 4 - 7: unkorrekt implementierte Protokolle



MG G

Trouble-Shooting - „eingebaute“ Tools/ Befehle (1)

• arp Zeigt/ modifiziert den ARP-Cache

-a Darstellen aller Einträge-d Löschen von Einträgen

-s Setzen von Einträgen-s PUB Antwortet auf Anfragen



MG G


• Netstat Zeigt eine (NIC-) Statistik

-a alle Verbindungen-e Ebene 2 (Ethernet-) Statistik -p [Protokoll] über TCP oder UDP-r Routingtable-s Statistik (ausführlich)

interval [sec] automatischer Update (in sec)



MG G


• route Zeigt/ modifiziert die Routingtabelle undroutingspezifische Einträge

Syntax: route [command [dest.] [MASK netmask] [GW]]command PRINT

ADDDELETECHANGE

dest. Zieladresse für die der Eintrag gelten sollMASK Subnetzmaske GW Gateway (Router) für dest.



MG G


• ping Testet Erreichbarkeit von IP-Rechnern-t unbegrenzt-n <count> Anzahl von Pings-l <size> Paketgröße (Vorsicht!)-f don’t fragment-i <TTL> TTL-Wert setzen/ vorgeben-v <TOS> TOS-Wert setzen-j <host-list> Loose Source Routing-k <host-list> Strict Source Routing-w <timeout> Wartezeit in ms-R Trace Route (nicht Windows OS)



MG G


• Tracert Trace Route*)

-d keine Hostnamen anzeigen (nur IP-Adressen) -h TTL-Feld -j Loose Source Routing-w Time Out (in ms)

Syntax: tracert [-d] [-h max_hops] [-j host-list] [-w ms] Name

*) nur Windows Betriebssysteme



MG G

Kapitel 24

Sicherheit



MG G

FirewallsIDS/ IPS

Honeypot etc.



MG G

Firewall + DMZ (2-stufig)

Internet Firewall System

DMZ

DMZ = Demilitarisierte Zone



MG G

Firewall-Typen

• Packet-/ Port-Filter-Firewall (Router)– arbeitet auf IP-Address-/ Port-Ebene

(Layer 3 + 4)

• Application Level Firewall– arbeitet auf Anwendungsebene

(Layer 5 - 7)

• Stateful [Packet] Inspection Firewall (SPI)/Stateful Packet Filter Firewall (SPF)– arbeitet zwischen Schicht 3 und 7 (je nach Bedarf)– „kennt“ Zustand der Verbindungen („dynamische Paket-Filterung)



MG G

Packet-/ Port-Filter Firewall

• Vorteile:– Schnell– Einfach zu implementieren– Kostengünstig

• Nachteil– Nur begrenzte Sicherheit

(Address Spoofing, Dienste-Tunneling, Fragmentierungs-Attacke)– Schwierigkeiten bei UDP– Schlechte Statistik-/ Logging-Funktionen– Komplexe Filterregeln



MG G

Application Level Firewall

• Vorteile:– Hohe Sicherheit– Gute Logging-/ Protokollierungs-Möglichkeiten– Content-Filtering– Caching– Authentisierung möglich– Interne Netzstruktur bleibt komplett verborgen

• Nachteil– Langsam– Komplex zu implementieren– Teuer– Unflexibel bzgl. neuer Services



MG G

Stateful (Packet) Inspection (SPI)-/Stateful Packet Filtering (SPF)- Firewall

• Vorteile:– Hohe Sicherheit– Gute Logging-/ Protokollierungs-Möglichkeiten– Gut skalierbar– Geeignet für UDP-Protokolle– Vergleichsweise schnell (aber langsamer als Packet Filter)– Ggf. Content-Filtering (kein Caching!)– Ggf. Authentisierung möglich

• Nachteil– Sorgfältige Konfiguration notwendig– Performante Rechner notwendig– Teuer



MG G

Filter-Regeln

• allow– Lässt Pakete passieren

• reject– Weist Pakete mit Fehlermeldung zurück– Firewall ist sichtbar

• drop/ deny– Verwirft Pakete ohne Fehlermeldung– Firewall ist unsichtbar (Achtung: ICMP-Pakete)



MG G

IDS/ IPS

• IDS: Intrusion Detection– Analysiert Datenstrom

(Y-Anschluss möglich)– Arbeitet nur passiv

• IPS: Intrusion Prevention– Analysiert Datenstrom

(direkt im Datenstrom)– ergreift Gegenmaßnahmen

(Sperren des Rechners)– Arbeitet dynamisch

(im Vergleich zu einer Firewall)



MG G

Honeypot, Honeynets, Honewalls

• Honeypot:– einzelner Rechner, der Angreifer anlockt– Mit interessantem Namen (z.B. forschungsrechner.basf-ag.de)– Eigene Daemons (z.B. honeyd - http://www.honeyd.org/)

• Honeynet:– ganzes Netz (http://www.honeynet.org/)– bestehend aus mehreren Honeypots - ggf.

• Honeywall:– präparierte Firewall

• Werden i.a. mit IDS bzw. IPS kombiniert• Nutzung von Root-Kits• Dienen der Erkennung neuer Angriffsversuche/ -techniken• Weitere Infos: http://www.heise.de/netze/artikel/77373

http://www.honeyd.org/

http://www.honeynet.org/

http://www.heise.de/netze/artikel/77373



MG G

Honeypots, Honeynets, Honeywalls- Quellen -

• http://www.heise.de/netze/artikel/77373(Heise: „Mit Honeynet Hacker fangen”)

• http://www.testticker.de/ipro/praxis/security/article20050703006.aspx(Internet Professionell: „Falle für Hacker“)

• http://www.tecchannel.de/sicherheit/grundlagen/431426/(Tecchannel: „Grundlagen: was Sie über Honeypots wissen müssen“)

• http://project.honeynet.org/(„The Honeynet Project - engl.inkl. Hoeywall auf CD: http://project.honeynet.org/tools/cdrom/)

http://www.heise.de/netze/artikel/77373

http://www.testticker.de/ipro/praxis/security/article20050703006.aspx

http://www.tecchannel.de/sicherheit/grundlagen/431426/

http://project.honeynet.org/

http://project.honeynet.org/tools/cdrom/



MG G

Portscanning



MG G

Scan-Verfahren

• TCP Connect Scan• TCP SYN-Scan• TCP Stealth-Scan

• UDP-Scan



MG G

TCP Connect Scan

• Kompletter Verbindungsaufbau– Antworten

Verbindung erfolgreichRST geschlossener PortKeine Anwort Firewall

– Vorteil:Eindeutige Entscheidung möglich

– Keine „False Positive“Keine Root-Rechte notwendig

– Nachteile:Rechner wird belastetEntdeckungsgefahr hochGegenmaßnahmen können eingeleitet werden



MG G

TCP SYN (Half Open) Scan

• Es wird nur ein SYN gesendet und auf die Antwort (ACK/ RST) gewartet– Antworten:

SYN ACK Port ist geöffnetRST Port ist geschlossenKeine Antwort Portfilter (Firewall) ist vorgeschaltet

(oder Rechner existiert nicht)– Vorteil:

Rechner wird gering belastetEindeutige Entscheidung möglichEntdeckungsgefahr geringer (abhängig von Rechner, FW, IDS)

– DoD-Attacken möglich– Nachteil:

Gegenmaßnahmen können eingeleitet werdenRoot-Rechte nötig



MG G

TCP Stealth Scans (1)

• Es wird ein ungültiges Paket gesendet– Paket-/ Scan-Typ:

FIN (Verbindungsende)FIN, URG, PUSH (ggf. ACK, SYN) (Xmas-Scan)Null (keine Flags)

– Antworten:<drop> Port ist geöffnet (Standard-Verhalten)

Achtung: Microsoft, Cisco … senden RSTRST Port ist geschlossen

(oder auch nicht Microsoft, Cisco etc.)Keine Antwort Portfilter (Firewall) ist vorgeschaltet – oder

Rechner existiert nicht



MG G

TCP Stealth Scans (2)– Vorteile:

Rechner kaum belastetSchwer zu erkennen („stealthy“) - kein formeller TCP-Zustand

– Nachteile:Ergebnisinvertierung: Antworten nur für geschlossene PortsKeine eindeutigen Antworten

– „False Positive“ bei Paketverlust/ Drop– Microsoft, Cisco etc. verhalten sich nicht standard-konform:

RST auch bei offenem PortRoot-Rechte nötig



MG G

UDP-Scan

• kein direkter Scan möglich(keine Verbindungen/ keine Flags)

• Senden eines leeren Paketes– Antworten:

Keine Antwort: Port offenFirewallICMP gesperrt (häufig!)

ICMP Port Unreachable Port geschlossen

• Problem: Keine zuverlässigen Aussagen möglich



MG G

Virtuelle Private Netzwerke/Virtual Private Networks

(VPN)



MG G

VPN – Typen

• Site-To-Site: Verbindung von Standorten(Network-To-Network)

• Client-To-Site: Remote Access• Client-To-Client: Peer To Peer



MG G

VPN - Einsatzgebiete

• Technologie zur Kostenersparnis• Keine Technologie für erhöhte Sicherheit

(„Was kommt nach dem Tunnel?“)

• Technologie zur Netzwerkstrukturierung(z.B. userbezogene IP-Adressen)



MG G

VPN – Grafische Darstellung(Beispiel)

Firmennetzwerk(Intranet)

PublicInternet

VPN-ServerT-OnlineFreeNet

etc.

BWW

R3 Systeme

Lotus NotesServer

NetwareNDS

AAA-Server(RADIUS, ACE)



Tunneling Protokolle



MG G

Tunneling Protokolle(Auswahl)

• IPsec• PPTP (Microsoft „alt“)• L2TP (Microsoft „neu“) bzw.

L2TP/ IPsec („IPsec secured L2TP“)• SSL

• Provider-Netze:MPLS (Multiprotokoll Label Switching)(vgl. RFC 4364)



MG G

IPsecRFC 4301 - 4309 (Status: Proposed Standard – 12/2005)

• Layer 3 Protokoll• IP-Tunneling (ausschließlich!)• Paketverschlüsselung (beliebige Algorithmen)• Paketintegrität (Hash-Based Message Authentication Code)• Paketauthentifizierung („Abfallprodukt“ des HMAC)• Benutzerauthenfizierung• Schutz vor Replay-Angriffen• Schlüsselmanagement

IKE (Internet Key Exchange) - UDP-Port-Nr.: 500 – RFC 4306)• Primäre Aufgabe: Security-Protokoll



MG G

IPsec - Tunnel- und Transport-Modus (Verschlüsselung)

IP TCP Daten

IP TCP DatenIP ESP

TCP DatenIP ESPIPsec-Transport-Modus

Verschlüsselter Bereich


IPsec-Tunnel-Modus

Original-Paket



MG G

IPsec - Tunnel- und Transport-Modus (Authentisierung)

IP TCP Daten

IP TCP DatenIP AH

TCP DatenIP AHIPsec-Transport-Modus

Authentifizierter Bereich

Authentifizierter Bereich

IPsec-Tunnel-Modus

Original-Paket



MG G

Layer Two Tunneling Protocol (L2TP)RFC 2661 (Status: Proposed Standard – 8/1999)

• Layer 2 (beinhaltet PPP)• Tunneling aller Layer 3 Protokolle

(z.B. IP, IPX, AppleTalk)• Keine Verschlüsselung

( „IPsec secured L2TP“)• Benutzerauthentifizieung (keine Paketauthentifizierung)• Primäre Aufgabe: Tunneling-Protokoll



MG G

L2TP/ IPsec - IPsec Secured L2TP RFC 3193 (Status: Proposed Standard 11/2001)

Microsoft Knowledge Base: Q265112

IP TCP Daten

IP TCP DatenPPPL2TP

IP TCP DatenPPPL2TPUDP(port 1701)

ESPIP

Original-Paket

L2TP-Tunnel (Layer 2!)

IPsec-Verschlüsselung




MG G

SSL (Secure Socket Layer)TLS (Transport Layer Security)

• Darunter liegende Schicht: Transport Schicht (TCP)• Für verschiedene Dienste nutzbar (Port-Nr.) – u.a.:

– https (443)– nntp (563)– ldap (636)– ftp (data/ control) (989/ 990)– telnet (992)– pop3 (995)

• SSL: entwickelt von Netscape (1994)TLS: RFC 4346 (Proposed Standard – 4/2006)

• Basiert auf dem Austausch von Zertifikaten (X.509)• Algorithmen: RSA, RC4 (SSL v1, v2) bzw. D/H (TLS)• SSL-VPN: Die Daten müssen u.U. bis zum Application Layer

gereicht bzw. „emuliert“ werden (SSL-Appliance auf Server)



MG G

Synonyme

• Tunneling• Encapsulation• Enveloping



MG G

Verschlüsselung,digitale Signatur,

PKI/ Zertifikate



MG G

Verschlüsselung undverwandte Sicherheitsmechanismen

• Symmetrische Verschlüsselung• Asymmetrische Verschlüsselung• Hybride Verschlüsselung

• Digitale Signatur• Hash-Verfahren• PKI/ Zertifikate• Authentisierung



MG G

Symmetrische Verschlüsselung (1)

• Ältestes Verfahren– Caesar-Verschlüsselung (z.B. ROT-13)– XOR-Verschlüsselung– Enigma

• Ein Schlüssel zum ver- und entschlüsseln• Gebräuchliche Schlüssellängen:

– 128 – 256 Bit• Algorithmen:

– Idea– RC4– CAST– Blowfish– DES/ Triple-DES– AES



MG G

Symmetrische Verschlüsselung (2)

• Vorteile:– Schnell

• Nachteile:– Schlüsselübertragung unsicher– Schlüsselverwaltung aufwändig

(bei n-Partnern 2n-1 Schlüssel notwendig)



MG G

Symmetrische Verschlüsselung (Darstellung)

Sender Empfänger

1.

3.2. 4.



MG G

Asymmetrische Verschlüsselung (1)

• Relativ junges Verfahren– 1975: Diffie & Hellman: erste Idee– 1977: Rivest, Sharmir & Adleman: erstes Verfahren (RSA)

• Ein Schlüsselpaar zum ver- und entschlüsseln(Prinzip „Briefkasten“)– Public Key zum Verschlüsseln– Private Key/ Secret Key zum Entschlüsseln

• Algorithmen (typische Schlüssellängen)– RSA (1024 – 4096)– Diffie-Hellmann (D/H) (768 – 3072)– ECC/ Elliptic Curve Cryptography (160 – 300)



MG G

Asymmetrische Verschlüsselung (2)

• Vorteile:– Keine Probleme beim Schlüsselaustausch– Ein Schlüssel für jeden Partner

• Nachteile:– Langsam wg. Schlüssellänge

(ca. Faktor 1000 im Vergleich zur symmetr. Verschlüsselung; bei RSA)– Empfänger muss vor Verschlüsselung aktiv werden

(Public Key Generierung)– Absolute, theoretische Sicherheit nicht erreichbar



MG G

Asymmetrische Verschlüsselung (Darstellung)

Sender Empfänger1.

3.2. 4.

Public Key (Empfänger) Private Key (Empfänger)



MG G

Hybride Verschlüsselung (1)

• Kombiniert Vorteile aus symmetrischer und asymmetrischer Verschlüsselung

• Überwiegend eingesetztes Verfahren(z.B. IPsec)

• Schlüsselwechsel während Übertragung möglich(zusätzliche Sicherheit)

• Mehrere Empfänger möglich



MG G

Hybride Verschlüsselung (2)

• Text/ Datei wird mit symmetrischen Schlüssel(Session Key) verschlüsselt(schnell)

• Session Key wird zur Übermittlung von Sender zu Empfänger asymmetrisch verschlüsselt(sicher, nicht langsam)

• Mehrfachverschlüsselung des Session Keys möglich(Mehrfachempfänger)

• Nachteil:– Empfänger muss vor Verschlüsselung aktiv werden

(Public Key Generierung)



MG G

Hybride Verschlüsselung (Darstellung)

Sender Empfänger

Session Key Public Key Private KeyLegende:

2.

3.

5.

6.

1.

4.



MG G

Digitale Signatur

• Nutzt Public Key Verfahren• Verwendung der Schlüssel spiegelverkehrt zur

asymmetrischen (RSA-) Verschlüsselung– Verschlüsselung mit Private Key des Senders– Entschlüsselung mit dem Public Key des Senders

• „Quersumme“ (genau: Hash) über Text/ Datei• Hash wird verschlüsselt• Konsequenz

– Überprüfung des Absenders (Authentizität)– Modifikationen am Text feststellbar– Text für jeden lesbar



MG G

Hash

• „Quersumme“ über Datei/ Text • Eigenschaften

– Feste Länge• MD-5 (Message Digest): 128 Bit• SHA-1 (Secure Hash Algorithm): 160 Bit• SHA-512: 512 Bit

– Unumkehrbar– Eindeutig (keine Kollisionen - ideal);

nicht berechenbar (kollisions-resistent - real)



MG G

PKI (Public Key Infrastructure)

• Standard: X.509• Dient der Ausstellung, Beglaubigung und Verteilung von öffentlichen

Schlüsseln/ Zertifikaten• Ist hierarchisch aufgebaut• Certification Authority (CA) - oberste Instanz:

– Stellt Zertifikate aus– Erstellt Sperrlisten sog. Certificate Revocation List (CRL)– Sub-CAs möglich (Delegation von Aufgaben)

• Registration Authority (RA):– Zuordnung: Person Zertifikat– Aufwand abhängig von Klasse/ Verwendungszweck des Zertifikats

• Zertifizierung zwischen zwei „Bäumen“ möglich:Cross-Zertifizierung

• Gegensatz: „Web Of Trust“ (vgl. PGP)



MG G

Zertifikate

• Dienen der Zuordnung und „Beglaubigung“ des Public Keys• Inhalt (gemäß X.509):

– Öffentlicher Schlüssel des Zertifikat-Inhabers– Signatur der ausstellenden CA– Gültigkeitsdauer– Extensions

• Formate:– PEM (.crt)– DER (.der)– PKCS#12– Text (.txt)

• Kostenlose Zertifikate:http://www.cacert.org



MG G

Aufbau einer SSL-Verbindung1. Initialisierung (Client Hello/ Server Hello)

3. Überprüfen des Server-zertifikats(mittels Root-Zertifikat)

4. Entnehmen des Public-Key

5. Generieren undVerschlüsseln des Session-Key

6. Senden des Session-Key

2. Senden des Server-Zertifikat

7. Empfangen und Entschlüsseln des Session Key

Verschlüsselte Kommunikation



Authentisierung



Password Authentication Protocol (PAP)/

Challenge Handshake Authentication Protocol (CHAP)



MG G

Vergleich PAP/ CHAP

Eigenschaft PAP CHAPDefiniert in RFC 1334 RFC 1994

Verschlüsselte Passwordübertragung − X

Client-Authentisierung X −

Einsatz mit Token Cards etc. möglich X −

Überprüfung der Authentizität während einer Session − X



MG G

PAP (Ablauf)

Quelle: http://docs.sun.com/source/816-4555/images/PAP-auth-pro.gif

Client Server



MG G

CHAP (Ablauf)



Remote Authentication Dial-In User Service(RADIUS)



MG G

Remote Authentication Dial-In User Service(RADIUS)RFC 2865

• Darunter liegende Schicht: Transport Schicht (UDP)• UDP/ TCP-Port: 1812 (alt: 1645)• Protokoll (Verfahren) zur Authentisierung von

Rechnern, Netzzugängen (802.1x) und Applikationen• AAA-Server

Authentication, Authorization, Accounting



MG G

Remote Authentication Dial-In User Service(RADIUS)

• Authentisierungs-Informationen in zentraler Datenbank(z.B. User-ID, Password, IP-Adresse, Tunnel-Typ etc.)

• Mehrere Geräte/ Applikationen greifen auf einen zentralen Datenbestand zu– Operative Vereinfachung/ Kostenersparnis– Sicherheitsfaktor

• Genormte Schnittstelle für weitere Verfahren(z. B. RSA SecurID)



MG G

RADIUS – unterstützte Tunnel-TypenRFC 2868

• 1 Point-to-Point Tunneling Protocol (PPTP)• 2 Layer Two Forwarding (L2F)• 3 Layer Two Tunneling Protocol (L2TP)• 4 Ascend Tunnel Management Protocol (ATMP)• 5 Virtual Tunneling Protocol (VTP)• 6 IP Authentication Header in the Tunnel-Mode (AH)• 7 IP-in-IP Encapsulation (IP-IP) (s. RFC 2003)• 8 Minimal IP-in-IP Encapsulation (MIN-IP-IP)• 9 IP Encapsulating Security Payload in the Tunnel-Mode (ESP)• 10 Generic Route Encapsulation (GRE)• 11 Bay Dial Virtual Services (DVS)• 12 IP-in-IP Tunneling (s. RFC 1853)



MG G

RADIUS – unterstützte ProtokolleRFC 2868

• 1 IPv4 (IP version 4)• 2 IPv6 (IP version 6)• 3 NSAP – NSAP = “Network Service Access Point”• 4 HDLC (8-bit multidrop)• 5 BBN 1822• 6 802 (includes all 802 media plus Ethernet "canonical format")• 7 E.163 (POTS) – POTS = “Plain Old Telephone Service”• 8 E.164 (SMDS, Frame Relay, ATM)• 9 F.69 (Telex)• 10 X.121 (X.25, Frame Relay)• 11 IPX• 12 Appletalk• 13 Decnet IV• 14 Banyan Vines• 15 E.164 with NSAP format subaddress



NAT/ PATFunktionsweise und Probleme



MG G

Einschub:Network Address Translation (NAT)

Port [And] Address Translation (PAT)



MG G

Network Address Translation (NAT)

• Überbegriff für alle Verfahren zur Adress-Umsetzung• Spezielle Bedeutung:

1-zu-1-Adressumsetzung(N-to-N-NAT)



MG G

Network Address Translation1-zu-1-Umsetzung

• Direkte Zuordnung von Adressen unterschiedlicher Netzwerke1. Öffentliche Adressen private Adressen

(Einsparung öffentlicher Adressen)2. Private Adressen private Adressen

(z.B. bei Firmenübernahmen)

Beispiel für 2.)Fusion zweier Netze (A und B), die beide schon 192.168.x.x. nutzenNetz B nutzt darüber hinaus 10.x.x.x schon komplett

• Netz A: 172.16.x.x Netz B: 192.168.x.x• Netz B: 172.16.x.x Netz A: 192.168.x.x

• Normales Routing für 10.x.x.x



MG G

Port [And] Address Translation (PAT)

• Synonyme:– NAT (Achtung: Verwechlungsgefahr)– NPAT (Network and Port Address Translation)– 1-to-N-NAT– Masquerading

• Kopplung privater Netze mit einer öffentlichenIP-Adresse an das Internet

• Identifikation/ Zuordnung findet im PAT-Router statt– Private IP-Adressen/ Ports erhalten dynamisch Ports zugewiesen



MG G

PAT- Funktionsweise -



MG G

PAT - Eigenschaften

• Alle Rechner des privaten Netzes können auf das Internet zugreifen

• Probleme bei der Nutzung von FTP(vgl. aktiver/ passiver FTP)

• Zugriff aus dem Internet in das private Netz ist nicht bzw. nur eingeschränkt möglich

WICHTIG:Ein PAT-Router ist nicht automatisch eine Firewall



MG G

PAT – Zugriff aus dem Internet

• Ohne manuellen Eingriff am Router nicht möglich• Zusätzliche Funktionalität/ Konfiguration notwendig

– Port Forwarding– Virtueller Server



MG G

PAT – Zugriff aus dem Internet- Funktionsweise -

• Einem (eingehenden) Destination-/ Server-Port wirdein festes Ziel (private IP-Adresse bzw. Socket) zugewiesen

• Pro Destination-Port immer nur ein Ziel möglich• Aber:

Mehrere Server pro Rechner realisierbar(z.B. FTP- und Web-Server)



MG G

Probleme im Umfeld von NAT/ PAT

• Probleme im Umfeld von NAT/ PATbei– UDP/ Firewalls– IPsec



MG G

UDP-Kommunikation über Firewallzwischen zwei PAT-Netzen

• Problem:Adressen werden dynamisch vergeben und können nicht freigeschaltet werden

• Kommunikation erfolgt immer mit Destination-Ports• Lösung:

– STUN– UDP Hole Punching



STUN(Simple Traversal of UDP

Through NAT)

UDP Port Punching



MG G

STUNRFC 3489

• Darunter liegende Schichten: Transport Schicht/ Layer 4: – UDP (Binding Request)– TLS (Shared Secret Requests)

• UDP/TCP Port-Nr.: 3478• Einsatz von STUN-Server:

kennt die öffentlichen/ privaten Adressen beider Partner• Erkennt NAT-Devices• Teilt anfragenden Applikationen öffentliche Adresse mit• STUN-Server Download unter:

http://sourceforge.net/projects/stun/

http://sourceforge.net/projects/stun/



MG G

UDP Hole Punching- prizipielle Funktionsweise -

• Server teilt beteiligten Clients die öffentlichen Port-Nr. des anderen mit

• Beide Clients starten Kommunikationsversuch über diese Ports

• Ports werden in beiden Richtungen genutzt

Firewall/ PAT-Router wird „freigeschossen“



MG G

UDP Hole Punching- ausführliche Funktionsweise -

1. Es existiert eine Verbindung zu externem Server (mit öffentlicher IP und Port-Nr.2. A erhält öffentliche Port-Nr. (und öffentlicher IP-Adresse) von B – und

umgekehrt(durch Server)

3. A sendet Paket an B mit interner Source und als Destination öffentlicher Port-Nr. von BNAT-Device A wird für alle eingehenden Pakete mit Destination öffentliche Port-Nr. A und öffentlichem Absender B geöffnet

4. Das Paket scheitert an NAT B-Device5. B sendet Paket an A mit interner Source und Destination öffentlicher Port-Nr.

von ANAT B-Device wird für alle eingehenden Pakete mit Destination öffentlicher Port-Nr. von B geöffnet

6. Das Paket passiert NAT A-Device (vgl. 3)7. Antwortpaket von A passiert nun auch NAT B-Device (vgl. 5)



MG G

UDP Hole Punching- Beispiel (Erklärung) -

1. Existierende Verbindungen zu externem Server S:– A (intern): Source: 4321

Destination: 1234– A (extern): Source: 62000

Destination: 1234– B (intern): Source: 4321

Destination: 1234– B (extern): Source: 31000

Destination: 1234

Grafik-Quelle: http://www.brynosaurus.com/pub/net/p2pnat/



MG G

UDP Hole Punching- Beispiel (Erklärung – Forts.) -

2. A erhält öffentliche Port-Nr. (und öffentlicher IP-Adresse) von B– und umgekehrt (durch Server)

3. A sendet Paket an B mit Source 4321 bzw. 62000 und Destination 31000.NAT-Device A wird für alle eingehenden Pakete mit Destination 62000 bzw. 4321 geöffnet

4. Das Paket scheitert an NAT B-Device (noch nicht „gepunched“)5. B sendet Paket an A mit Source 4321 bzw. 31000 und Destination 62000.

NAT B-Device wird für alle eingehenden Pakete mit Destination 31000 bzw. 4321 geöffnet.

6. Das Paket passiert NAT A-Device (vgl. 3).7. Antwortpaket von A passiert nun auch NAT B (vgl. 5)



MG G

Grafik-Quelle: http://www.brynosaurus.com/pub/net/p2pnat/

UDP Hole Punching- Beispiel (Grafik) -



IPsec Kommunikation überNAT-/ PAT-Devices



MG G

IPsec Kommunikation überNAT-/ PAT-Devices

• Problem:– Änderungen im Header nicht möglich

(Verschlüsselung)– Änderungen im Header machen das Paket ungültig

(Authentifizierung)– IKE (UDP-Port-Nr.: 500) funktioniert nicht mit mehreren Rechnern

hinter NAT-Device

• Lösung:Adressumsetzung muss vor IPsec erfolgenNAT-Traversal (NAT-T)



MG G

NAT TraversalNAT-T

(RFC 3947)

• Untersucht ob NAT-Geräte auf Verbindungspfad existieren• Überprüft, ob beide Peers NAT-T unterstützen• Kapselt IP-Pakete in (Standard-)UDP-Pakete

UDP/TCP-Port-Nr.: 4500• Sendet NAT-Keep-Alive Pakete

IP TCP DatenUDP(port 4500)

ESPIP


NAT-T-Paket(vgl. RFC 3948)



AnhangAnhang



MG G

Kostenlose Tools

• Wireshark (ehemals: Ethereal)Netzwerk-Protokoll-Analyzer für WindowsDownload: http://www.wireshark.org bzw. http://www.ethereal.com/

• NmapDer Portscanner (UNIX, LINUX, DOS)Download: http://www.insecure.org/nmap/

• Advanced Portscanner bzw. Advanced LAN-ScannerWindows-PortscannerDownloads:http://www.radmin.com/radmin/utility/pscanner.php/ bzw. http://www.radmin.com/radmin/utility/lscan.php

• NeotraceGrafisches Traceroute-Frontend für WindowsDownload: http://www.zdnet.de/downloads/prg/e/0/de0DE0-wc.html

http://www.wireshark.org/

http://www.ethereal.com/

http://www.insecure.org/nmap/

http://www.radmin.com/radmin/utility/pscanner.php/

http://www.radmin.com/radmin/utility/lscan.php

http://www.zdnet.de/downloads/prg/e/0/de0DE0-wc.html



MG G

Listen zuHerstelleradressen, Typ-Feldern und DSAP/ SSAP

www.cavebear.com/CaveBear/Ethernet/vendor.html Herstellerkennungwww.cavebear.com/CaveBear/Ethernet/type.html Typ-Felderwww.cavebear.com/CaveBear/Ethernet/multicast.html Multicast-Pakete

(Adresse + Typ)

www.ethermanage.com/ethernet/enet-numbers/ieee-oui-list.html Herstellerkennung (von IEEE mit Anschrift -aber nicht ganz so umfangreich)

www.ethermanage.com/ethernet/enet-numbers/ieee-lsap-list.html DSAP/ SSAP (bei IEEE registriert)

www.ethermanage.com/ethernet/enet-numbers/cisco-lsap-list.html DSAP/SSAP (von CISCO installiert)



MG G

Weitere wichtige Adressen im InternetIANA (Internet Assigned Numbers Authority): www.iana.orgAssigned Numbers: www.iana.org/numbers.htmlTCP/ UDP-Port-Nr.: www.iana.org/assignments/port-numbersWichtige Organisationen: www.iana.org/implinks.htmIPv4 Address Space: www.iana.org/assignments/ipv4-address-space

RFCs (RFC Editor): www.rfc-editor.org/RFCs (Direktaufruf): ftp.isi.edu/in-notes/rfc<Nr.>.txtInternet Standards (STD) : ftp.rfc-editor.org/in-notes/std/std1.txtOfficial Internet Protocol Standards: www.rfc-editor.org/rfcxx00.html

DE-NIC: www.denic.de/

IPv6: www.computermethods.com/ipng/

802-Standards: standards.ieee.org/catalog/802info.html

Internet-Movie (Warriors of the Net) www.warriorsofthe.net/movie.html



MG G

Literatur (Netzwerke)

Hein, Mathias: TCP/IP im Einsatz - mitp (Datacom)ISBN 3-8266-4094-2Hunt, Craig: TCP/ IP Netzwerk- Administration - O'Reilly,ISBN 3-8972-1110-6Doyle, Jeff: Routing TCP/IP - Markt und Technik (Cisco Press - CCIE #1919)ISBN 3-8272-533-3Dittler, Hans Peter: IPv6 - das neue Internet Protokoll - dpunkt-Verlag;ISBN 3-932588-18-5Tanenbaum, Andrew S. - Computer Networks (engl.) - Prentice HallISBN 0-13-066102-3



MG G

Literatur (Security)

Lipp, Manfred: VPN - Virtuelle Private Netzwerke. Aufbau und Sicherheit –Addison-Wesley - ISBN 978-3827322524

Honeypot Project: Know Your Enemy. Mit CD-ROM: Learning About Security ThreatsAddison-Wesley – ISBN: 978-0321166463

Documents

Netzwerke und Sicherheit in TCP/IP-Netzen