Kommunikation auf logischer Ebene

Question 1

Was versteht man unter Kommunikation auf logischer Ebene?

Answer 1

Kommunikation auf logischer Ebene beschreibt die Netzübergreifende Kommunikation von Geräten. Sie wird von der Vermittlungsschicht und der Transportschicht umgesetzt. Die Physikalischen Gegebenheiten, wie physikalische Adressierung sind nicht mehr relevant, da diese durch die untergelagerten Schichten bereits realisiert wurde. Der Fokus wird somit auf die logische Kommunikation gelenkt.

Question 2

Was sind die Grundvoraussetzungen für die logische Kommunikation?

Answer 2

Die logische Kommunikation zwischen zwei Geräten setzt zunächst eine physikalische Verbindung über eine nahezu beliebige Anzahl von Knotenpunkten voraus. Die Ausgestaltung der physikalischen Verbindung (Kabelgebunden/Kabellos) spielt dabei keine Rolle, ebenso können unterschiedliche Techniken eingesetzt werden.
Wollen zwei Geräte auf logischer Ebene miteinander kommunizieren, werden ihnen logische Adressen zugewiesen.

Question 3

Was sind die Merkmale eines (Layer-2-)Switches?

Answer 3

Switches verbinden Endgeräte bzw. Zweige eines Netzes auf physikalischer Ebene. Da (Layer-2-)Switches lediglich bis zur Sicherungsschicht arbeiten ist ihre Filter- und Weiterleitungsgeschwindigkeit höher als die vergleichbarer Router, welche die Pakete bis zur Vermittlungsschicht verarbeiten müssen. (Layer-2-)Switches bieten jedoch nur bedingt Schutzmechanismen vor Broadcast-Flooding.

Question 4

Was sind die Merkmale eines Routers?

Answer 4

Router können mithilfe der IP-Adressen Broadcast-Domänen beschränken. Ausserdem wird, durch die maximale Anzahl von Hops im TTL-Feld, das Zirkulieren von Broadcast-Paketen im Netz beschränkt. Die aktive Topologie des Netzes ist somit nicht auf einen Spannbaum beschränkt, wodurch komplexe logische Netzstrukturen, wie z.B. das Interne, möglich werden.

Question 5

Grundlagen der logischen Adressierung

Answer 5

Jedem Netzwerkadapter wird eine logische Adresse zugeordnet. Die hinter der logischen Adresse verborgene physikalische Adresse kann mittels Address Resolution Protocol (ARP) aufgelöst werden. Logische Adressen sind routbar und müssen nicht direkt in einem physikalischen Netzwerk erreichbar sein. Mit logischen Adressen können Elemente gruppiert werden (Unternehmensnetze, Abteilungsnetze) und Hosts auch ausserhalb dieser Gruppen und Netzwerkübergreifend erreichbar gemacht werden.

Question 6

Was versteht man unter Unicast?

Answer 6

Als Unicast wird die direkte Kommunikation zwischen zwei Hosts bezeichnet. Die Adressierung eines Pakets erfolgt für genau einen Zielhost. Ist das Paket im Netzwerk des Hosts angekommen, wird die zur logischen Adresse gehörende MAC-Adresse ermittelt und das Paket zum Host weitergeleitet.
Wird von den meisten Standard-Client-Anwendungen wie Web-Browser, E-Mail-Client, etc. verwendet.

Question 7

Was versteht man unter Multicast?

Answer 7

Die Kommunikation mit mehreren Empfängern einer logischen Gruppe wird als Multicast bezeichnet. Mit Multicast kann die Anzahl der Datenflüsse reduziert werden. Wird z.B. ein Video von mehreren Teilnehmern einer logischen Gruppe gestreamt, werden die Pakete nur einmal vom Server abgerufen und erst möglichst nahe an den Empfängern an diese parallel weitergeleitet. Dadurch können signifikant Ressourcen im Netzwerk eingespart werden.
Wird von den meisten Streaming-Anwendungen verwendet.

Question 8

Was versteht man unter Broadcast?

Answer 8

Die Kommunikation mit allen Teilnehmern einer logischen Gruppe wird Broadcast genannt. Die Adressierung erfolgt dabei für die vollständige logische Gruppe. Somit wird auch die Weiterleitung der Broadcast-Nachricht auf der physikalischen Ebene auf genau diese Gruppe beschränkt.
Wird meistens nur von Netzwerk- und Systemdiensten verwendet.

Question 9

Warum ist es wichtig Anwendungsprozesse zu adressieren und wie erfolgt die Adressierung?

Answer 9

In der Regel kommunizieren eine Vielzahl von Anwendungen auf einem Host über ein Netzwerk, daher reicht es nicht aus den Host zu adressieren, sondern es müssen auch die Anwendungen auf einem Host eindeutig identifiziert werden.
Auf der Transportschicht wir die logische Adressierung der Hosts um eine Adressierung der Anwendungsprozesse auf dem Host erweitert. Dies wird über Anwendungsports geregelt, welche in den Protokollen der Transportschicht definiert werden.
Die Anwendungsports werden erst auf dem Host selber zu einem Anwendungsprozess aufgelöst und die Pakete dann an den entsprechenden Prozess weitergeleitet.

Question 10

Internet Protocol Version 4 (IPV4)

Answer 10

Die Logische Adressierung auf der Vermittlungsschicht geschieht meist mit IP-Adressen, welch auch über ein Netz hinaus gültig sein können.
Damit eine Ende-zu-Ende Adressierung möglich ist, benötigen beide Geräte eine gültige IP-Adresse, welche in den versendeten Netzwerkpaketen enthalten sein müssen. Absender- und Zieladressen, sowie einige weitere Parameter finden einen Platz im IP-Protokol.
Das Internet-Protokoll ist zuständig für die Adressierung zwischen Endgeräten und Fragmentierung von Netzwerkpaketen, sollten diese zu gross für die Übertragung sein.

Question 11

Wie ist ein IPv4 Header aufgebaut?

Answer 11

Ein IPv4 Header besteht aus verschiedenen Feldern:
* Version: IP-Protokollversion (IPv4/IPv6)
* Internet Header Length: Länge des Headers
* Type-of-Service: Informationen zur Priorisierung von IP-Paketen
* Total Length: Länge des gesamten Datagramms in Byte (max. 65535 Byte)
* Identification: Eindeutige, nummerische Identifizierung
* Maximum Transfer Unit: Datagramme werden fragmentiert, falls sie grösser als die MTU sind, alle Fragmente haben dieselbe ID
* Don’t Fragment: verbietet das Fragmentieren
* More Fragments: weist auf weiter Fragmente hin
* Fragment Offset: Position des Fragments innerhalb des Datagramms
* Time to live: Zähler, der bei jedem Router um eins vermindert wird. Wenn TTL = 0, wird Datagramm verworfen
* Protocol: Welcher Protokollheader als nächstes folgt (z.B. TCP/UDP)
* Header Checksum: 16 Bit Prüfsumme zum Fehler bei der Übertragung erkennen
* Source Adress: Quell-IPv4-Adresse
* Destination Adress: Ziel-IPv4-Adresse
* Optionsteil: Hier können nicht implementierte Funktionen hinzugefügt werden wie z.B.:
* ○ Security:
* ○ Strict and Loose Source Routing
* ○ Record Route

Question 12

Woher kommt die maximal erlaubte Grösse eines Netzwerkpakets?

Answer 12

Die maximale Grösse eines Netzwerkpakets wurde früher durch den Speicherausbau der Netzwerkkarten und die interaktivität des Netzwerks limitiert. Heute wird dies primär durch die eingesetzten Koppelelemente (Switch, Router) dominiert, welche oft eine grosse Zahl von Pakten zwischenspeichern müssen.

Question 13

Wann wird ein IP Datagramm fragmentiert?

Answer 13

Ein Datagramm wird fragmentiert, wenn es die maximale Paket Grösse, definiert durch die Maximum Transfer Unit (MTU), überschreitet und eine Fragmentierung erlaubt ist. Der übliche MTU in Ethernetnetzwerken beträgt 1500 Byte, während die maximalle Grösse eines IP-Datagramms 65535 Byte beträgt. Wenn ein Datagramm die MTU von 1500 Byte überschreitet und Fragmentierung erlaubt ist (Don’t Fragment = 0), wird es in kleinere Teile zerlegt. Ist das Fragmentieren nicht erlaubt und das Datagramm überschreitet die MTU, würde es verworfen werden.
Fragmentiert wird dabei alles was dem IP-Header folgt.
Das zusammensetzen der Fragmente geschieht jeweils erst auf den Endgeräten.

Question 14

Wie werden Fragmente von IP-Datagrammen identifiziert?

Answer 14

Jedes IP-Datagramm besitzt eine einzigartige ID. Damit mehrere Fragmente einem Datagramm zugeordnet werden können, ist die ID bei allen Fragmenten identisch.

Question 15

Don’t Fragment (DF), More Fragments (MF), Fragment Offset (OF)

Answer 15

• Damit eine Fragmentierung erlaubt ist, muss das DF auf 0 gesetzt werden, sonst werden zu grosse Datagramme verworfen.
• Das MF ist, abgesehen vom letzten Fragment immer auf 1 gesetzt. MF = 0 kennzeichnet das letzte Fragment eines Datagramms.
• OF gibt an, an welcher Stelle das Fragment im IP-Datagramm bei der Zusammenstellung eingeordnet werden muss.

Question 16

Wie wird das Routing der Fragmenten von IP-Datagrammen ermöglicht?

Answer 16

Jedes Fragment enthält einen eigenen vollständigen IP-Header, ohne den wäre aufgrund fehlender IP-Adressen kein Routing möglich. Ethernet- und IP-Header gehören also nicht zum fragmentierbaren Teil eines IP-Datagramms.

Question 17

Was geschieht mit dem IP-Datagramm bei einem Übertragungsfehler?

Answer 17

Falls ein Fragment eines Datagramms verloren geht, wird auf der Empfängerseite eine definierte Zeitspanne gewartet, bevor das zum Teil zusammengesetzte Datagramm verworfen wird. Dies kann vom empfangenden Gerät mit einer Fehlermeldung an den Sender gemeldet werden.

Question 18

Wie erfolgt die logische Adressierung von Hosts?

Answer 18

Die logische Adressierung von Hosts erfolgt im Internet Protocol mit IP-Adressen. Jeder Host im Netzwerk verfügt über eine physikalische MAC-Adresse, wie auch über eine IP-Adresse. Bei einer direkten physikalischen Verbindung zweier Hosts werden die im Ethernet-Header verfügbaren MAC-Adressen eingesetzt. Befinden sich die Hosts in unterschiedlichen Subnetzen, kommen die IP-Adressen im IP-Header zum Einsatz.
Ein Subnetz umfasst die Geräte, die sich gegenseitig physikalisch erreichen können.

Question 19

Wie ist eine IPv4 Adresse aufgebaut?

Answer 19

Eine IPv4 Adresse wird in der Form x.x.x.x dargestellt. Wobei x eine ganze Zahl von 0 bis 255 sein kann. Die Zahlen werden durch Punkte getrennt.
Die ersten 3 Zahlen stellen den Netzwerk-Anteil der Adresse dar, die letzte Zahl den für Endgeräte reservierten Host-Anteil.
In jedem Netzwerk gibt es zwei reservierte Adressen:
Die Tiefste Adresse ist die Netzwerkadresse.
Die Höchste Adresse stellt die Broadcastadresse dar.

Question 20

Welche zwei Typen von IP-Adressen werden unterschieden?

Answer 20

• Öffentliche IPv4-Adressen: Werden im Internet verwendet und von der IANA vergeben, sind einzigartig.
• Private IPv4-Adressen: Dürfen frei verwendet werden, funktionieren jedoch nicht im Internet.

Question 21

IP-Adressen: interne Kommunikation

Answer 21

Der Adressbereich 127.0.0.0/255.0.0.0 ist für die interne Kommunikation eines Gerätes vorgesehen. Z.B. kann so die Kommunikation mit einem Webserver aufgenommen werden, der auf dem eigenen Computer installiert ist.

Question 22

Wie können IPv4-Adressen konfiguriert werden?

Answer 22

IPv4-Adressen können entweder manuell und statisch konfiguriert oder mit dem Dynamic Host Configuration Protocol (DHCP) dynamisch zugewiesen werden. Werden die IPv4-Adressen dynamisch zugewiesen, ist die Zuweisung nicht nur flexibler, es kann auch sichergestellt werden, dass keine Adresse doppelt vorkommt.

Question 23

Dynamic Host Configuration Protocol (DHCP)

Answer 23

Mit DHCP können IPv4-Adressen den Geräten dynamisch zugewiesen werden. Da bereits bei mittelgrossen Netzwerken die dynamische Konfiguration einen signifikante Konfigurationsaufwand einspart, setzen eine Mehrzahl der Geräte DHCP ein.
Vor allem bei Geräten, die oft das Netzwerk ändern, wie Notebook oder Smartphone, macht die dynamische Zuweisung Sinn.

Question 24

Was kann mittels Dynamic Host Configuration Protocols (DHCP) konfiguriert werden?

Answer 24

Mit dem DHCP kann einem Gerät nicht nur eine IPv4-Adresse zugewiesen werden, es können auch weitere Parameter wie das Standardgateway, einen DNS-Server oder einen Timeserver festgelegt werden.
Um zu verhindern, dass durch doppelte vergabe einer IPv4-Adresse zu Fehaldressierung kommt, verwalten die DHCP-Server eine Liste mit freien IPv4-Adressen.
Bei der Vergabe wird auch eine maximale Gültigkeitsdauer mitgegeben, wenn diese Abläuft, wird die IPv4-Adresse wieder verfügbar. Geräte können auch um eine Verlängerung der Ausleizeit bitten, dies wird üblicherweise nach Ablauf der ersten Hälfte der Ausleizeit gemacht.

Question 25

Wie läuft die Vergabe von IPv4-Adressen über das Dynamic Host Configuration Protocol ab?

Answer 25

• Ein Gerät beginnt via Broadcast, mit der Suche nach einem DHCP-Server
• Erhält ein DHCP-Server eine Anfrage, bietet er eine verfügbare IPv4-Adresse mit Parametern und einer Lease-Time an.
• Das Gerät wertet alle Angebote aus und signalisiert, abermals via Broadcast, welche IPv4-Adresse genutzt werden möchte. Via Broadcast, damit auch alle anderen DHCP-Server wissen, für welche IPv4-Adresse das Gerät sich entschieden hat.
• Ist die angebotene IPv4-Adresse immer noch frei, wird die Auswahl bestätigt, ansonsten abgelehnt.
  DHCP-Server speichern die vergebene IPv4-Adresse oft mit der zugehörigen MAC-Adresse ab, um einem Gerät wieder die selbe IPv4-Adresse vergeben zu können, falls diese noch frei ist. Öffentliche IP-Adressen werden jedoch regelmässig, meist nach 24h, gewechselt.

Question 26

Address Resolution Protocol (ARP)

Answer 26

Für die Kommunikation werden für gewöhnlich zwei unterschiedliche Adresstypen benötigt.
* MAC-Adressen im Ethernetheader (Physikalisch, im selben Subnetz)
* IP-Adressen im IPv4-Protokollheader (Logisch, über Subnetzgrenzen hinaus)
In der Regel ist nur die IPv4-Adresse bekannt, die MAC-Adresse jedoch nicht, da eine IPv4-Adresse meist nicht langfristig einer MAC-Adresse zugewiesen werden kann. Mit ARP wird die Auflösung von MAC-Adressen zu den gegebenen IPv4-Adressen ermöglicht.

Question 27

Ablauf vom Adresse Resolution Protocol (ARP) (Mac Adresse auflösen)

Answer 27

Ein ARP-Request wird via Broadcast an alle Geräte im Subnetz gesendet, dabei wird gefragt, welches Gerät die gesuchte IPv4-Adresse kennt.
Ein Gerät, welches die gesuchte IPv4-Adresse kennt, antwortet mit einem ARP-Reply per Unicast direkt an das anfragende Endgerät. Die Antwort enthält die Kombination aus IPv4- und MAC-Adresse.

Question 28

Sonderformen vom Address Resolution Protocol (ARP)

Answer 28

• Reverse ARP-Protocol (RARP): zu einer vorhanden MAC-Adresse soll eine IPv4-Adresse gesucht werden.
• Gratuitous ARP: Prüfen, ob die eigene IPv4-Adresse bereits im Netzwerk vorkommt, sowie das Updaten der eigenen Kombination aus IPv4- und MAC-Adresse in den ARP-Tabellen

Question 29

Sicherheit vom Address Resolution Protocol (ARP)

Answer 29

Mit ARP-Spoofing kann ein Angreifer ARP-Requests oder ARP-Replys mit gefälschter Kombination aus IPv4- und MAC-Adressen versenden und so die ARP-Tabellen von anderen Geräten manipulieren und deren Kommunikation den eigenen Ansprüchen entsprechend umzuleiten.

Question 30

Was ist das Internet Control Message Protocol (ICMP)?

Answer 30

Das Internet Control Message Protocol (ICMP) ist ein Hilfsprotokoll von IPv4, welches den Austausch von Informationsmeldungen und Fehlermeldungen ermöglicht. Der ICMP-Protokollheader folgt direkt nach dem IPv4-Header. Er enthält drei obligatorische Felder:
* Type
* Code
* Checksum
Mit Type und Code wird die Funktion des ICMP-Pakets festgelegt. Checksum ist eine 16 Bit grosse Prüfsumme, mit welcher der Header auf Bitfehler überptrüft werden kann.

Question 31

Was versteht man unter Routing und wie funktioniert es?

Answer 31

Damit Pakete gezielt über die Grenzen des eignen Netzwerkes gesendet werden können, müssen die Pakete geroutet werden. Das Routing wird von Routern durchgeführt, dies sind Koppelelemente die auf der Vermittlungsschicht arbeiten und Subnetze miteinander verbinden.
Ein Router verfügt über jeweils eine physikalische Verbindung zu den Subnetzen von Client A und Client B und hat in beiden Subnetzen eine eigene MAC-Adresse.
Ein Client A sendet ein Paket an die physikalische Adresse des Routers, welche es dann ausgehend von seiner zweiten physikalischen Adresse zu Client B weitersendet.

Question 32

Routingtabellen & Lokalroute

Answer 32

Die Informationen an welche Router ein Netzwerkpaket als nächstes gesendet werden muss, um das jeweilige Zielnetz zu erreichen, sind in der Routingtabelle enthalten.
Besonders wichtig ist, dass die Lokalroute (127.0.0.1) enthalten ist, da das Gerät sonst das eigene Subnetz nicht erreichen kann.
Die häufigsten Fehler beim Konfigurieren von Routingtabellen:
* Keine Lokalroute
* Nicht alle Netzwerke werden geroutet
* Rückroute wird vergessen

Question 33

Network Address Translation (NAT)

Answer 33

Network Address Translation (NAT) bezeichnet die Veränderung von IP-Adressen und gegebenenfalls Portnummern in Netzwerkpaketen während des Routing. Dies wird beispielsweise oft in privaten Haushalten vorgefunden, in denen alle Geräte über eine einzige öffentliche IP-Adresse im Internet surfen. Die Geräte verfügen alle über eine eigene private IP-Adresse, die aber nicht im Internet gültig ist.
Die NAT-Variante Source Network Address Translation (SNAT) ermöglicht das ersetzen der internen Quell-IP-Adressen gegen eine oder wenige externe Quell-IP-Adressen.
Daneben gibt es die Variante Destination Network Address Translation (DNAT), welche sich auf das Ändern der Ziel-IP-Adressen und Ziel-Portnummern während des Routings beziehen. Wird häufig Port-Forwarding genannt.

Question 34

NAT: Masquerading

Answer 34

SNAT und DNAT realisieren in Kombination die NAT-Variante Masquerading.
* Der Masquerading-Router speichert zunächst die Quell-iP, Quell-Port, Ziel-IP, Ziel-Port ab
* Tauscht die Quell-Adressen/Ports gegen die externen Werte aus
* Nachdem das Ziel erreicht wurde, wird ein Antwortpaket an die im Paket enthaltenten Quell-Adressen (jetzt öffentliche Adressen) zurückgesendet
* Masquerading-Raouter nimmt dann Zurückübersetzung der IP-Adressen und Portnummern mittels den abgespeicherten Werten vor.

Question 35

Wieso wird Network Address Translation (NAT) eingesetzt?

Answer 35

• Durch die Zuordnung von vielen privaten IP-Adressen zu einer/wenigen öffentlichen IP-Adressen können öffentliche IP-Adressen eingespart werden. Nat wirkt somit der Knappheit von IPv4-Adressen entgegen.
• Sicherheit: Durch Masquerading gibt es für jedes Paket einen konkreten Rückweg. Trifft von extern ein Paket beim Masqueradin-Router ein, welches keinem ausgehenden Paket zugeordnet werden kann, wird dieses verworfen, da der Router nicht weiss, welchem Gerät es zugestellt werden soll.

Question 36

Wo wird IPv6 unterstützt und was hat sich verändert?

Answer 36

IPv6 wird von allen modernen Betriebssystemen unterstützt, für gewöhnlich neben IPv4.
IPv6 verfügt über einen modularen Protokollheader und die IPv6-Adressen sind länger als die IPv4-Adressen, was ein entscheidender Schritt gegen die Verknappung der IP-Adressen ist.

Question 37

Was bedeutet der modulare Aufbau des IPv6-Headers?

Answer 37

Bei IPv6 existiert ein Basisheader sowie mehrere Erweiterungsheader für das Hinzufügen verschiedener Funktionen. Bei IPv4 selten verwendete Funktionen werden in den Erweiterungsheadern realisiert. Der modulare Aufbau erleichtert es Routern IPv6-Pakete zu verarbeiten.

Question 38

Wie ist ein IPv6-Protokollheader aufgebaut?

Answer 38

Der IPv6-Protokollheader unterscheidet sich vom IPv4-Header nicht nur durch den modularen Aufbau sondern auch durch eine Restrukturierung der Felder.
* Version: IP-Protokollversion
* Traffic Class: Priorisierung von Netzwerkpaketen
* Flow Label: Einfache sowie benutzerdefinierte Klassifizierung von Paketen
* Payload Length: Anzahl der Bytes, die dem IPv6-Header folgen (Nutzdaten sowie Erweiterungsheader)
* Next Header: Typ des nächsten Headers (Erweiterungsheader oder Transportprotokoll wie UDP oder TCP)
* Hop Limit: Zähler, der bei jedem passierten Router um 1 verringert wird.
* Absender IPv6-Adresse
* Empfänger IPv6-Adresse
Durch den grösseren IPv6-Protokollheader wird eine neue Mindestgrösse für Pakete von einer minimalen MTU von 1280 Byte, erforderlich.

Question 39

Welcher Unterschied besteht zwischen den IPv4- und IPv6-Adressen?

Answer 39

• IPv4-Adressen: dezimal, als 4-Tubel, getrennt durch Punkte (192.168.0.1)
• IPv6-Adressen: hexadezimal, als 8-Tupel, getrennt durch Doppelpunkte (8000:0000:0000:0000:0123:4567:89AB:CDEF)

Question 40

Fragmentierung bei IPv6

Answer 40

Wenn ein IPv6-Datagramm die MTU überschreitet und die Fragmentierung erlaubt ist, wird es fragmentiert. Dazu benötigt es den Fragmentation Erweiterungsheader. Dieser wird wie folgt aufgebaut:
* Next Header: Typ des nachfolgenden Headers
* Fragment Offset: Position des Fragments innerhalb des Datagramms
* More Fragments: gibt an, ob mehr Fragmente folgen, nur beim letzten Fragment =0, sonst = 1
* Identification: Einzigartige Identifikationsnummer. Bei allen Fragmenten eines Datagramms gleich.

Question 41

Wie können IPv6-Adressen abgekürzt werden?

Answer 41

Es gibt zwei Vereinfachungen für die Darstellung von IPv6-Adressen:
* Führende Nullen in einem Block dürfen weggelassen werden.
* Treten mehrere Blöcke mit Nullen in Folge auf, dürfen diese durch zwei Doppelpunkte abgekürzt werden. Dies darf nur einmal vorkommen, da sonst die Eindeutigkeit verloren geht.

Question 42

Wie ist eine IPv6-Adresse aufgebaut?

Answer 42

Eine IPv6-Adresse besteht aus zwei Teilen: Präfix und Suffix. Diese sind inhaltlich vergleichbar mit Host- und Network-Anteil bei IPv4-Adressen. Präfix bezeichnet den Netzbestandteil der IPv6-Adressen und Suffix ist den Adressen der Geräte vorbehalten.
Im Suffix ist der Interface Identifier vorhanden, der ein Gerät eindeutig identifizieren soll. Dafür bindet der Interface Identifier die Ethernetadresse des Geräts in deren IPv6-Adresse ein.

Question 43

Sicherheit von IPv6-Adressen

Answer 43

Mit der Generierung des Interface Identifiers aus der Ethernetadresse erhält jedes Gerät in der Regel immer dieselbe IPv6-Adresse, wodurch die Anonymität der Geräte gefährdet wird. Mit der Privacy Extension (PE) für IPv6 wird der Interface Identifier zufällig mit der Hash-Funktion MD5 generiert und in regelmässigen Abständen gewechselt. Dadurch wird die Zuordnung einer IPv6-Adresse zu einem bestimmten Gerät erschwert.

Question 44

Internet Control Message Protocol in Version 6 (ICMPv6)

Answer 44

ICMPv6 ist ein integraler Bestandteil von IPv6. Es ist ähnlich aufgebaut wie ICMPv4. Es kommen jedoch einige neue Funktionen hinzu, wie z.B. die Auflösung von IPv6 in Ethernetadressen sowie die Autokonfiguration von IPv6-Netzwerken.
Der Heder wird wie bei ICMPv4 aufgebaut aus:
* Type
* Code
* Checksumme

Question 45

Neighbor Discovery Protocol (NDP)

Answer 45

Das Neigbor Discovery Protocol (NDP) basiert auf ICMPv6 und übernimmt verschiedene Aufgaben, z.B.:
* Autokonfiguration von IPv6-Netzwerken: Setzen der IPv6-Adressen sowie Router
* Auflösen von IPv6-Adressen in Ethernetadressen: Dies ist die wichtigste Funktion von NDP und entspricht der ARP Funktionalität in IPv4

Question 46

Wie funktioniert die Adressauflösung in IPv6?

Answer 46

• Via Multicast wird eine Anfrage nach der Ethernetadresse zu einer bekannten IPv6-Adresse gestellt.
• Der angesprochene Host antwortet via Unicast an den anfragenden Host, um seine Ethernetadresse mitzuteilen.
• Gleichzeitig wird mitgeteilt, ob es sich beim angefragten Host um einen Router handelt oder nicht.

Question 47

IPv6: Router Advertisement (RA)

Answer 47

Mit Router Advertisement (RA) teilen Router ihren physikalisch erreichbaren Subnetzen regelmässig ein Präfix mit. Empfängt ein Host eine RA konfiguriert er eine neue IPv6-Adresse mit seinem Interface Identifier für das angegebene Präfix. Erhält ein Host mehrere RA, wird für jedes Präfix eine weitere IPv6-Adresse angelegt.
In der RA teilen Router ausserdem mit:
* Welche weiteren Netze über sie erreicht werden können
* Ob sie als Default-Router fungieren
* Wie lange sie erreichbar sind
* Wie lange die gesendeten Informationen gültig sein sollen

Question 48

Autokonfiguration von IPv6-Adressen (ablauf)

Answer 48

IPv6-Adressen werden in der Regel dynamisch zugewiesen. Dies vereinfacht die Zuweisung und stellt gleichzeitig sicher, dass keine Adressen doppelt vergeben werden.
Die Autokonfiguration von IPv6-Adressen läuft wie folgt ab:
1. IPv6-Schnittstelle wird aktiviert
2. Mit Hilfe der Ethernetadresse wir ein Interface Identifier generiert. Bevor diese aktiviert wird, wird überprüft, ob die Adresse noch frei ist.
3. Falls noch keine Router Advertisement (RA) eingetroffen ist, wird eine Anfrage gesendet.
4. Nach Erhalt der RA werden neue IPv6-Adressen für das angegebene Präfix generiert.

Question 49

Routing bei IPv6

Answer 49

Das Routing bei IPv6 unterscheidet sich nicht wesentlich vom Routing bei IPv4. Geräte in einem Subnetz werden in der Regel über die MAC-Adressen angesprochen. Sind mehrere Subnetze vorhanden, setzt ein Router die IPv6-Pakete zwischen den Netzen um und fügt die jeweils benötigten MAC-Adressen der Geräte in den Ethernetheader ein.
Aufgrund der besseren Verfügbarkeit von IPv6-Adressen ist das Anbinden von Haushalten bei IPv6 auch ohne NAT möglich, dies ist aus Sicherheitsgründen aber nicht zu empfehlen.

Question 50

Wieso braucht es Migrationsmechanismen von IPv4 zu IPv6?

Answer 50

Da weder alle Dienste im Internet, noch alle Haushalte über IPv6-Adressen verfügen würde ein harter Umstieg auf IPv6-only Nutzer heute noch weitestgehend vom Internet isolieren. Daher sind Migrationsmechanismen nötig, die das Erreichen von IPv4-Diensten als auch das Erreichen der IPv6-Dienste ermöglichen.

Question 51

IP Migration: Dualstack

Answer 51

Dualstack bedeutet, dass in einem System sowohl eine IPv4- als auch eine IPv6-Adresse zur Verfügung steht. IPv4-Dienste werden dann über die IPv4-Adresse und IPv6-Dienste über die IPv6-Adresse erreichbar gemacht.
Die aktuellen Betriebssysteme unterstützen in der Regel Dialstack.

Question 52

IP Migration: Tunnel

Answer 52

Soll in einem System ausschliesslich IPv4 oder IPv6 zum Einsatz kommen, können die Pakete getunnelt werden. Dafür gibt es verschiedene Möglichkeiten:
* 6to4: IPv6-Pakete in IPv4-Pakete tunneln, wenn der eigene Provider keine Möglichkeit bietet direkt mit IPv6 zu kommunizieren.
* 6in4
* 6over4
* Teredo
* Lösungen die IPv4-Pakete in IPv6-Pakete kapseln

Question 53

IP Migration: NAT64

Answer 53

Nat64 kommt zum Einsatz, wenn ein Netzwerk, das ausschliesslich IPv6 beherrscht mit einem IPv4-Gerät kommunizieren will. Funktioniert wie folgt:
* Ziel-IPv4-Adresse wird in einer IPv6-Adresse codiert
* IPv6-Paket wird an NAT64-Router gesendet
* NAT64-Router generiert ein IPv4-Paket mit der in IPv6 codierten Ziel-IPv4-Adresse und versendet es. Als Absender-Adresse kommt die IPv4-Adresse des NAT64-Routers zum Einsatz.
* Auf dem Rückweg übersetzt der NAT64-Router das IPv4-Paket wieder in ein IPv6-Paket.

Question 54

Was wird benötigt, damit mehrere Anwendungen miteinander kommunizieren können?

Answer 54

Mit IP können zwei oder mehrere Hosts miteinander kommunizieren. Damit aber pro Host die parallele Kommunikation mehrere Anwendungen möglich ist werden weitere Mechanismen benötigt, welche auf der Transportschicht spezifiziert sind und folgende Anforderungen erfüllen müssen:
* Adressierung von Anwendungen
* Multiplexing / Demultiplexing von parallelen Anwendungsströmen und Weiterleitung an den adressierten Anwendungsprozess.
* Segmentierung und Versand von Daten zwischen verteilten Anwendungsprozessen
* Optional: Aufbau von logischen Verbindungen zwischen verteilten Anwendungsprozessen
* Optional: Zuverlässiger Transport und damit Sicherstellung der Zustellung von Daten.

Question 55

Welche 5 minimalen Service Primitiven müssen für die Kommunikation zwischen Anwendungsinstanzen vorhanden sein?

Answer 55

• Open: Sendender Anwendungsprozess kann die Möglichkeit haben, die Verbindung zu einem anderen Anwendungsprozess aufzubauen.
• Listen: Empfangender Anwendungsprozess (Serverseitiger Dienst) Kann einen Wartezustand haben, in dem er verbleibt, bis ein eingehende Verbindungswunsch eintrifft, um dann eine Verbindung aufzubauen.
• Close: Sowohl sendender als auch empfangender Anwendungsprozess können in der Lage sein, vorher aufgebaute aktive Verbindungen jederzeit zu beenden.
• Send: Sendender Anwendungsprozess muss die Möglichkeit haben, Daten zu einem anderen Anwendungsprozess zu senden.
• Receive: Empfangender Anwendungsprozess (Serverseitiger Dienst) muss einen Zustand besitzen, Daten empfangen zu können.

Question 56

User Datagram Protocol (UDP)

Answer 56

UDP ermöglicht eine Verbindungslose Kommunikation über eine logische Verbindung und wird in der Regel für den Transport verlusttoleranter Anwendungen eingesetzt.
UDP bietet weder eine Möglichkeit, den Verlust von Paketen zu erkennen, noch deren Versand bzw. die Ankunft beim Empfänger sicherzustellen.
Ausserdem besitzt UDP keine Mechanismen zur Regulierung des ausgehenden Datenstroms.
Es sind lediglich die Service-Primitiven Send und Receive erforderlich.
UDP wird eingesetzt bei Verbindungen mit Real-Time Anforderungen sowie für Anwendungen mit vielen Empfängern, bei denen eine gewisse Verlusttoleranz gegeben ist. z.B. Live-Vide-Streaming oder Voice-over-IP.

Question 57

Struktur eines UDP Datagrams

Answer 57

Die Struktur eines UDP Datagrams wurde bewusst rudimentär gestaltet und bietet keine besondere Optionen, wodurch der Overhead des Protokolls verringert wird. Die Fokussierung auf wenige, mindestens notwendige Informationen sorgen für eine hohe Übertragungseffizienz.
Folgende Felder sind im Header enthalten:
* Source Port: Spezifiziert den Quellprozess
* Destination Port: Spezifiziert den Zielprozess
* Length: Spezifiziert die Länge des Datagramms
* (Optional) Checksum: Ermöglicht die Prüfung der Validität eines übertragenen Pakets
* Data: Zu übertragender Payload höherer Schichten

Question 58

Transmission Control Protocol (TCP)

Answer 58

TCP ermöglicht eine verbindungsorientierte und zuverlässige Kommunikation zwischen den Anwendungsprozessen zweier Hosts über eine logische Verbindung und wird für den Transport der Daten von nicht verlusttoleranten Anwendungen eingesetzt.
Die Verbindung bei TCP funktioniert bidirektional.
TCP implementiert ausserdem Mechanismen zur Überlastvermeidung und Überlastkontrolle um im Falle einer Überlastung den Zusammenbruch eines Netzwerks zu verhindern.

Question 59

Service-Primitiven beim Transmission Control Protocol (TCP)

Answer 59

Eine Verbindungsorientierte Kommunikation mit TCP erfordert die Service-Primitiven:
* Send
* Receive
* Open
* Close
* Listen
Zusätzlich stellt TCP weitere Service-Primitiven zur Verfügung, die aber lediglich Events darstellen:
* Connected: Verbindung wurde aufgebaut
* Fail: Verbindungsaufbau ist fehlgeschlagen
* Data Ready: Datenstrom der Verbindung kann abgerufen werden
* Error: Verbindung wurde aufgrund eines Fehler geschlossen
* Closed: Verbindung wurde geschlossen

Question 60

TCP: Automatic Repeat Request (ARQ)

Answer 60

Durch den Automatic Repeat Request (ARQ) wird die zuverlässige Kommunikation gewährleistet. Mittels TCP wird ein Byte-Stream in Segmente zerlegt und über ein Netzwerk versendet. Der ARQ Mechanismus sorgt dafür, dass der Empfänger den Erhalt jedes Segments gegenüber dem Sender bestätigt. Erhält der Sender nach einer definierten Zeitspanne keine Bestätigung, gilt das Segment als verloren und ein erneutes Senden wird veranlasst. So wird sichergestellt, dass der vollständige Byte-Stream übertragen wird.

Question 61

Wo wird das Transmission Control Protocol (TCP) eingesetzt?

Answer 61

TCP wird für Anwendungen, die keinen Verlust von Daten tolerieren, eingesetzt. Zum Beispiel kommt es bei der Übertragung von Webseiten, Dateien oder auch beim Instant Messaging zum Einsatz.

Question 62

Struktur eines TCP Segments

Answer 62

Die Struktur eines TCP Segments ist deutlich komplexer als ein UDP Datagramm und enthält eine Vielzahl von Feldern:
* Source Port: Referenz zum Quellprozess (Wert zwischen 1 und 65536)
* Destination Port: Referenz zum Zielprozess (Wert zwischen 1 und 65536)
* Sequenze Number (SeqNr): Gibt die mit dem Segment übertragenen Bytes an.
* Acknowledgement Number (AckNr): Gibt die als nächstes erwarteten Bytes an
* Data Offset: Gibt an, ab welchem Byte der header des TCP Segments endet, bzw. Daten beginnen
* Reserved: Für zukünftige Nutzung reserviert, z.B. bei Einführung weiterer Flags
* Window Size: Spezifiziert die mögliche Übertragungsfenstergrösse, die bei der nächsten Übertragung zugelassen ist.
* Checksum: Checksumme zur Prüfung der Validität des Segments
* Urgend Pointer: Wenn URG Flag gesetzt werden Werte von Urgent Pointer und Sequence Number addiert, um das letzte Byte zu definieren
* Options: Festlegung weiterer Optionen, z.B. Maximum Segment Size oder TCP User timeout Option

Question 63

9 Flags des TCP Headers

Answer 63

• Nonce Sum (NS): Zum Fehler- und Angriffsschutz der ECN vorgesehen, sofern verwendet.
• Congestion Window Reduced (CWR): Weist darauf hin, dass das Congestion Window verkleinert wurde
• Explizit Congestion Notification Echo (ECE): Weist Sender darauf hin, dass ein CE Paket empfangen wurde
• Urgent (URG): Weisst Empfänger darauf hin, dass der Urgend Pointer gesetzt wurde
• Acknowledge (ACK): Bestätigt Validität eines erhaltenen Acknowledgements
• Push (PSH): Weist Empfänger an, das empfangene Segment umgehend an den Anwendungsprozess weiterzuleiten.
• Reset (RST): Weist Empfänger an die Verbindung zum Sender zu beenden
• Synchronize (SYN): Weist darauf hin, dass ein Verbindungsaufbau stattfinden soll und leitet Synchronisierung der Sequence Number ein
• Finished (FIN): Weist darauf hin, dass der Sender die Verbindung beenden will

Question 64

Wie funktioniert die Kommunikation via TCP im Prinzip?

Answer 64

Die Kommunikation via TCP setzt voraus, dass zunächst eine Verbindung zwischen zwei Kommunikationspartner aufgebaut wird. Die Verwaltung der Verbindung ist obligatorisch.
Die Kommunikation via TCP gliedert sich in drei Phasen:
1. Verbindungsaufbau
2. Kommunikation
3. Verbindungsabbau

Question 65

Wie funktioniert der Verbindungsaufbau via TCP?

Answer 65

Eine Verbindung via TCP wird über einen 3-Way-Handshake aufgebaut.
Erster Schritt
* Der initiierende Host (Client A) sendet ein TCP-Segment an den Host (Server B), mit dem eine Kommunikation stattfinden soll.
* Der Source Port des Client A ist zufällig gewählt, der Destination Port (Anwendungsport von Server B) wir entsprechend des aufzurufenden Dienstes gewählt.
* Bei der ersten Nachricht setzt Client A das SYN-Flag und Teilt Server B mit, dass er eine Verbindung aufbauen möchte.
* Ausserdem wählt Client A für die Sequence Number (SeqNr) einen zufälligen Wert a, so wird die Wahrscheinlichkeit einer Kollision im Hinblick auf parallele anfragen verringert.
Zweiter Schritt
* Server B wertet die Nachricht aus und sendet ein TCP-Segment an Client A zurück
* Indem in der Antwort das ACK-Flag gesetzt wird und die Acknowledgement Number (AckNr) a+1 übertragen wird, wird der Erhalt der Verbindungsanfrage bestätigt.
* Damit wird nicht nur Erhalt der SeqNr a bestätigt, sonder auch angegeben, dass als nächstes SeqNr a+1 erwartet wird.
* Gleichzeitig wird in der Antwort das SYN-Flag gesetzt und ebenfalls eine zufällig gewählte SeqNr b übertragen.
* Mit dieser Nachricht bestätigt Server B den Aufbau einer unidirektionalen Verbindung und versucht gleichzeitig einen Rückkanal aufzubauen damit gesamthaft eine bidirektionale Verbindung entsteht.
Dritter Schritt
* Client A bestätigt mit der AckNr den Erhalt der Sequence Number b und teilt mit, dass als nächstes die SeqNr b+1 erwartet wird.
* Gleichzeitig wird die von Server B erwartete SeqNr zurückgeschickt.

Question 66

Wie funktioniert die Kommunikation (Datenübertragung) via TCP?

Answer 66

Nachdem die Verbindung mit 3-Way-Handshake aufgebaut wurde, können zwei Host über TCP kommunizieren. Dies funktioniert wie folgt, wenn ein Server A Daten an einen Server B senden will. Die Maximum Segment Size (MSS) wird auf 1000 Byte festgelegt, Server B lässt eine Window Size von 2000 Byte zu.
* Client A überträgt die ersten beiden Segmente (da Window Size = 2x MSS)
* Im ersten Segment wird eine zufällige SeqNr übertragen. Im zweiten Segment wird die SeqNr um 1MSS erhöht.
* Der Puffer (=Window Size) beim Server B ist damit gefüllt. Er bestätigt den Erhalt der Pakete durch Senden eines Acknowledge
* Die AckNr entspricht der SeqNr, erhöht um die Anzahl erhaltener Bytes (2000)
* Damit wird nicht nur den Erhalt der Segmente bestätigt, sondern gleichzeitig angegeben, dass als nächstes das Segment a+2000 erwartet wird.
* Damit können die nächsten beiden Segmente versendet werden.

Question 67

SeqNr und AckNr bei der Kommunikation via TCP

Answer 67

Die SeqNr wird senderseitig um die Anzahl der zuvor verschickten Bytes erhöht.
Die AckNr bestätigt den Byte-Stream bis zum übermittelten Byte-Wert erhalten zu haben und fordert gleichzeitig die darauf folgenden Bytes an.
Beide Felder sind in ihrer Grösse begrenzt. Dam sie die Länge des Byte-Streams nicht zu stark beschränken wird die SeqNr nach (2^32)-1 übertragenen Bit auf 0 zurückgesetzt.

Question 68

Was passiert bei einem Kommunikationsfehler via TCP?

Answer 68

Wenn ein Paket bei Server B nicht ankommt, stellt dieser das fest, da er ein Paket mit einer nicht erwarteten SeqNr erhält.
Server B bestätigt dann das letzte in richtiger Reihenfolge angekommene Segment.
Client A leitet daraus ab, dass einzelne Segmente verloren gegangen oder fehlerhaft angekommen sind.
Die Überlastkontrolle reduziert die Geschwindigkeit, damit nur ein Segment aufs mal gesendet wird.
Die Verloren gegangenen Segmente werden dabei zunächst erneut verschickt.
TCP ermöglicht so eine Ende-zu-Ende Flusskontrolle und ermöglicht den zuverlässigen Versand von Daten.

Question 69

Wie funktioniert der Verbindungsabbau bei TCP?

Answer 69

Ist die Übertragung zwischen einem Client A und einem Server B angeschlossen, wird der Verbindungsabbau eingeleitet.
* Client A sendet ein TCP-Segment mit gesetztem FIN-Flag und zufälliger SeqNr a an Server B
* Server B bestätigt mit gesetztem ACK-Flag und AckNr die der um 1 Byte erhöhten SeqNr (a+1) entspricht.
* Die Verbindung von Client A zu Server B ist damit beendet. Server B muss seinerseits jedoch noch den Rückkanal beenden.
* Server B sendet ein TCP-Segment mit gesetztem FIN-Flag und zufälliger SeqNr a an Client A
* Client A bestätigt mit gesetztem ACK-Flag und AckNr die der um 1 Byte erhöhten SeqNr (a+1) entspricht.
* Der Rückkanal von Server B zu Client A ist damit ebenfalls beendet.

Question 70

Was ist die Aufgabe des Congestion Managements bei TCP?

Answer 70

Das Congestion Management versucht proaktiv, durch einen Datenstrom verursachte Überlastsituationen im Netzwerk zu vermeiden, reagiert jedoch auch reaktiv auf Überlastsituation.

Question 71

In welche zwei Bereiche lässt sich das Congestion Management in TCP gliedern?

Answer 71

Congestion Avoidance: Der Netzwerk Zustand ist dem Sender von Daten in der Regel unbekannt. Der Empfänger soll sich durch zunächst zurückhaltendes Verhalten an den Netzwerkzustand herantasten. Damit soll der Verlust von Segmenten möglichst gering gehalten und das Netzwerk nicht unnötig überlastet werden.
Congestion Control: Wenn das Netzwerk stark ausgelastet bzw. überlastet ist, können Paketverluste auftreten. Hohe Paketverlustraten führen zu einer Vielzahl von Retransmissions und verlangsamen eine Verbindung signifikant. Mit Congeston Control wird ein harter Bruch im Sendeverhalten erzeugt.

Question 72

Arbeitsweise Congestion Avoidance/Congestion Management bei TCP

Answer 72

Zunächst startet Congestion Avoidance mit einem Slow-Start-Verfahren, wobei die Congestion Wiondow Size exponentiell erhöht wird um ein schnelles Herantasten an die maximal mögliche Senderate zu ermöglichen. Sobald der Erhalt der zuvor gesendeten Segmente bestätigt wurde, wird die Anzahl der verschickten Segmente verdoppelt. Dies geschieht solange, bis ein Fehler auftritt oder ein zuvor festgelegter Schwellenwert erreicht wird. Wird der Schwellenwert erreicht, erfolgt kein exponentielles Wachstum mehr, sondern lediglich ein linearer Anstieg.
Sobald dann eine Überlastsituation auftritt, greifen die Congestion Control Mechanismen und es erfolgt ein schnelles Absenken der Congestion Window Size.

Question 73

Welche zwei Versionen von TCP werden primär eingesetzt?

Answer 73

TCP Tahoe
TCP Reno

Question 74

TCP Tahoe

Answer 74

Nach einem Fehler wird die Congestion Window Size auf 1 MSS zurückgesetzt. Slow-Start und Congestion Avoidance Phase werden dann erneut durchlaufen, bis die nächste Überlast erkannt wird. Der Schwellenwert wird neu festgelegt auf die Hälfte der zum Fehlerzeitpunkt vorliegenden Congestion Window Size. Die Congestion Window Size wird dann nur noch bis zu einem definierten Maximum erhöht.

Question 75

TCP Reno

Answer 75

Bei TCP Reno erfolgt ein differenzierter Umgang mit auftretenden Fehlern.
Erhält ein Empfänger Segmente nicht in der richtigen Reihenfolge oder ergeben sich Lücken im Byte-Stream wird das als Fehler erkannt. Die Segmente werden erneut gesendet und eine Anpassung der Ausgangsdatenrate beim Client verursacht, ohne zu warten bis beim Sender ein Timeout auftritt. Der Eingangswert der Congestion Avoidance Phase wird auf die Hälfte der zum Fehlerzeitpunkt vorliegenden Congestion Window Size festgelegt. Dies erlaubt eine schnellere Steigerung der Datenrate.
Im Falle eines Timeouts wird auch bei TCP Reno die Congestion Window Size auf 1 MSS zurückgesetzt. Anschliessend die Slow-Start und Congestion Avoidance Phase erneut durchlaufen. Der Schwellenwert wird auf die Hälfte der zum Fehlerzeitpunkt vorliegenden Congestion Window Size festgelegt.

Question 76

Erkennung von Überlast bei TCP

Answer 76

Der Sender wartet reaktiv nach dem Versand von Segmenten für ein definiertes Zeitintervall auf eingehende Bestätigungen und sieht die Segmente danach als verloren an. Der Empfänger teilt proaktiv dem Sender mit, wenn z.B. Segmente in falscher Reihenfolge eintreffen.

Question 77

Routing

Answer 77

Ein essenzieller Bestandteil der logischen Kommunikation ist das Routing. Es dient dazu den optimalen Pfad für Pakete zwischen zwei Hosts durch ein Netzwerk zu finden. Da Netzwerke jedoch nicht zentralisiert arbeiten muss eine Abstimmung des Wissens über die optimalen Pfade unter den Knoten erfolgen.

Question 78

4 Unterschiede bei Routing Algorithmen, welche werden heute meistens eingesetzt?

Answer 78

Routingalgorithmen lassen sich anhand verschiedener Punkte unterscheiden:
* Skalierbarkeit in Bezug auf maximale Anzahl Hops im Netzwerk
* Konvergenzgeschwindigkeit hinsichtlich der Dauer bis ein optimaler Graph erstellt wurde
* Loadbalancing Fähigkeiten zwischen verschiedenen Links
* Least-Cost-Path / Non-Least-Cost-Path Algorithmen: ob eine Pfadoptimierung anhand der kumulierten Linkkosten vorgenommen bzw. nicht vorgenommen wird.
Eingesetzt werden heute meist der Distance Vector Algorithmus und der Link State Algorithmus.

Question 79

Distance Vector Algorithmus

Answer 79

Der Distance Vector Algorithmus basiert auf dem Bellmann-Ford-Algorithmus. Dabei werden iterativ immer längere Pfade in die Exploration eingeschlossen.
Im ersten Schritt werden lediglich die Kantenkosten zu den von ihm direkt erreichbaren Nachbarn geprüft.
Im zweiten Schritt werden die Kosten zu den Nachbarn der direkten Nachbarn berücksichtigt.
Im dritten Schritt werden dann die Kosten zu den Nachbarn, der Nachbarn der direkten Nachbarn mit eingeschlossen.

Question 80

In welche zwei Klassen lassen sich Routingprotokolle unterteilen?

Answer 80

• Interior Gateway Protocols: Werden innerhalb einer Domäne, bzw. innerhalb eines Autonomen Systems eingesetzt (Intra-Domain), um lokale Routinginformationen auszutauschen. Sie sind häufig limitiert bezüglich der Grösse der zu erkundenden Netze und den Anzahl von Hops. Interior Gateway Protocols werden somit in Networks of Nodes eingesetzt.
• Exterior Gateway Protocols: Werden als Routingprotokolle zwischen Domänen (Inter-Domain) eingesetzt, erlauben es Routinginformationen zwischen Autonomen Systemen auszutauschen. Exterior Gateway Protocols werden somit in Networks of Networks eingesetzt.

Question 81

Welche Routing-Protokolle werden heute am meisten eingesetzt?

Answer 81

Intra-Domain Routing:
* Routing Information Protocol (RIP)
* Open Shortest Path First (OSPF)
Inter Domain Routing:
* Border Gateway Protocol (BGP)

Im Bereich der mobilen, kabellosen Netze werden häufig andere Routingprotokolle eingesetzt, die den häufigen Topologieänderungen dieser Netze Rechnung tragen.

Question 82

Welches Protokoll wird verwendet um Routinginformationen zu versenden, wieso?

Answer 82

Das Routing selbst ist der Vermittlungsschicht zuzuordnen, die Berechnung der Routen, sowie der damit verbundene Nachrichtenaustausch geschieht jedoch auf der Anwendungsschicht. Routing-Nachrichten werden daher via UDP übertragen. Die Verbindungslose Kommunikation wird gewählt um den Overhead zu reduzieren und die Performance des Austauschs der Routinginformationen zu erhöhen.

Question 83

Routing Information Protocol (RIP)

Answer 83

Das Routingn Information Protocol (RIP) ist ein Intra-Domain Routing Protokoll und Regelt den Austausch von Routinginformationen in einem Network of Nodes. Es ist aufgrund seiner geringen Komplexität weit verbreitet.
Für die Berechnung der günstigsten Routen verwendet RIP den Distance Vector Algorithmus, der auf dem Bellmann-Ford-Algorithmus basiert.
Die zu einem Zeitpunkt optimalen Routen werden pro Router in drei Vektoren abgelegt:
* Link Cost Vector: Informationen über die Pfadkosten zum Ziel.
* Distance Vector: Anzahl der Hops zum Ziel
* Next Hop Vector: Gibt den nächsten direkt verbundenen Hop an, über den das Ziel erreichbar ist.

Question 84

Ablauf des Routing Information Protocols (RIP)

Answer 84

Im ersten Schritt wird auf jedem Router der Distance Vector Algorithmus gestartet. Zunächst werden die im initialisierenden Schritt ermittelten Pfade und Informationen in den Vektoren hinterlegt. Die zu berücksichtigende Pfadtiefe wird dann schrittweise erhöht.
Im zweiten Schritt werden die Vektoren an die nachbarknoten verschickt. Die eigenen Vektoren jedes Routers werden dann mit den Informationen der erhaltenen Vektoren aktualisiert.
Im dritten Schritt werden wiederum die aktualisierten Vektoren jeweils an die Nachbarknoten verteilt. Abgeschlossen ist dies, sobald kein Router Änderungen der Kosteninformationen erkennt.
Wir ein neuer Router ins Netz integriert, sendet er selbstständig seine initialisierenden Vektoren an alle Nachbarn, womit ein erneuter Austauschprozess zwischen den Routern ausgelöst wird.

Question 85

Initialisierung des Routing Information Protocols (RIP)

Answer 85

Es ist ausreichend, wenn ein Router initiierend beginnt, da der Versand der eigenen Vektoren an die Nachbarn dazu führt, dass diese mit den eigenen Routinginformationen antworten.
Nach der Initialisierungsphase gibt es einen reaktiven wie auch einen proaktiven Mechanismus zur Aktualisierung der Routen:
* Reaktiv: Ändern sich die kosten einer Verbindung zwischen zwei Routern erfolgt eine Optimierung der eigenen Vektoren. Sobald sich ein einzelner Wert in den Vektoren ändert, werden diese an alle Nachbarn verteilt und so der Aktualisierungsprozess gestartet.
* Proaktiv: Um die Aktualität der Routinginformationen zu gewährleisten werden die Vektoren periodisch an die Nachbarn verschickt.

Question 86

3 Nachteile beim Routing Information Protocol (RiP)

Answer 86

• Limitierung der maximalen Pfadlänge auf 15 Hops
• Unperformantes Konvergenzverhalten, dass bei jeder Topologie- oder Link-Kostenänderung von Bedeutung ist.
• Schleifenbildung bei Routen, ähnlich dem Problem der Schleifenbildung bei redundanten Netzen.

Question 87

Open Shortest Path First (OSPF)

Answer 87

Open Shortest Path First (OSPF) ist ein Intra-Domain Routing Protokoll und regelt den Austausch von Routinginformationen in einem Network of Nodes. Entwickelt wurde es als Ansatz für die Lösung der bei RIP entstehenden Probleme wie z.B.:
* Schleifenbildung
* Schlechte Skalierbarkeit
* Schlechte Konvergenzzeit
* Beschränkung auf kleine Anzahl Hops

Durch die Reduzierung dieser Probleme ist OSPF auch für grosse Unternehmensnetze geeignet.

Question 88

Prinzip vom Open Shortest Path First (OSPF)

Answer 88

OSPF verwendet für die Berechnung der günstigen Routen zwischen zwei Teilnehmern den Link State Algorithmus, der auf Dijkstra’s Algorithmus basiert. Die Informationen über die zu einem Zeitpunkt bekannten, optimalen Routen werden pro Router in einer Matrix abgelegt, aus welcher sich ein Baum ableiten lässt, in dem der jeweils günstigste Pfad zwischen dem Wurzelknoten und allen anderen Knoten hinterlegt ist. Die letzte Zeile in der Matrix nach Terminierung des Algorithmus ist als Routing-Tabelle zu interpretieren:
* In der ersten Spalte wird die aktuelle Knotenmenge des Netzes verwaltet, diese wird in jedem Iterationsschritt um einen Knoten erweitert.
* Nach jedem Fund eines weiteren Knoten im Netz wird eine neue Pfadspalte ergänzt.
* In jeder Pfadspalte werden Informationen über die Verbindung des Wurzelknotens zum entsprechenden Knoten abgelegt. Diese Information umfasst die kumulierten Kosten der Teilpfade sowie Informationen über die Hops auf dem Pfad zwischen Wurzelknoten und dem jeweiligen Knoten.

Question 89

Ablauf von Open Shortest Path First (OSPF)

Answer 89

Der Link State Algorithmus wird auf jedem Router gestartet. Dabei werden die günstigsten Pfade zu den Nachbarn berechnet und dann die initialisierte Routingtabelle per Flooding im Netzwerk verteilt. Die empfangenen Informationen werden von den Routern genutzt um über den Link State Algorithmus die optimale Routingmatrix zu bestimmen. Das Flooding an alle Router und nicht nur iterativ an die Nachbarn ermöglicht eine bessere Skalierung und terminiert zudem deutlich schneller als z.B. der Distance Vector Algorithmus.

Question 90

Initialisierung von Open Shortest Path First (OSPF)

Answer 90

Es ist ausreichend, wenn ein Router initiierend beginnt, da die anderen Router auf den Versand der eigenen Routingmatrix mit den eigenen Informationen antworten. Nach der Initialisierung gibt es sowohl einen reaktiven als auch einen proaktiven Mechanismus zur Aktualisierung der Routern:
* Reaktiv: Ändern sich die kosten einer Verbindung zwischen zwei Routern, erfolgt eine Optimierung der eignen Routingmatrix. Ändert sich ein einzelner Wert in der Matrix werden die Routinginformationen per Flooding im Netz verteilt und damit der Aktualisierungsprozess auf allen Routern startet.
* Proaktiv: Um die Aktualität der Routinginformationen auf allen Routern in einem Netz zu gewährleisten, kann die Routingmatrix periodisch verschickt werden.

Question 91

Border Gateway Protocol (BGP)

Answer 91

Das Border Gateway Protocol (BGP) ist ein Inter-Domain Routing Protokoll und regelt den Austausch von Routinginformationen in einem Network of Networks. BGP stellt den Quasi-Standard für das Internet dar.
BGP verwaltet komprimierte Informationen über eine Route durch verschiedene Netzwerke, im Gegensatz zu Intra-Domain Routing, bei dem die Kosten aller Links von Interesse sind. BGP wird auf den Gateway Routern einzelner Autonomer Systeme eingesetzt. Diese tauschen System-übergreifend untereinander periodisch Informationen aus, welche anderen Netzwerke über die von ihnen verwalteten Netzwerke erreichbar sind und unterhalten direkte Verbindungen zueinander.

Question 92

Nachrichten im Border Gateway Protocol (BGP)

Answer 92

Im Gegensatz zu OSPF und RIP werden die Nachrichten zwischen den BGP Gateway Routern nicht via UDP, sondern über TCP-Verbindungen ausgetauscht. Für BGP wurden vier Nachrichten definiert:
* Open: Nachricht zum Aufbau einer Verbindung
* Update: Nachricht zum Update von Routen
* Keepalive: Nachricht zum Aufrechterhalten einer Verbindung
* Notification: Nachricht zur Fehlermeldung

Question 93

Algorithmus im Border Gateway Protocol (BGP)

Answer 93

Aufgrund der besseren Skalierbarkeit und besseren Eignung für Hierarchisierung der Routen setzt BGP das Path Vector Routing als Algorithmus ein. Dabei hat es keinen Einfluss, ob im verwalteten Autonomen System Protokolle eingesetzt werden, die den Distance Vector Algorithmus oder den Link State Algorithmus verwenden. Das Ergebnis für ein Autonomes System sind die Kosten der Pfade über ein oder mehre Autonome Systeme zum Ziel.

Question 94

Was ist das Domain Name System (DNS) und was sind seine Aufgaben?

Answer 94

DNS ist einer der wichtigsten Bestandteile des Internets. Die Hauptaufgabe von DNS ist das Übersetzen von Domainnamen in IP-Adressen und sicherstellen, dass jeder Domainname einzigartig aufgelöst werden kann.
Weitere Aufgaben von DNS:
* Namensauflösung in IPv4 (A)
* Namensauflösung in IPv6 (AAAA)
* Namen eines E-Mail-Servers (MX) zu einer Domain herausfinden
* IP-Adressen zu Domainnamen auflösen (Rückwärtsauflösung)
* Alternative Namen für eine Domain benennen (CNAME)

Alle Informationen im DNS werden in Resource Records (RR) abgelegt.

Question 95

Struktur von DNS und Ausfallsicherheit

Answer 95

DNS ist ein hierarchisch aufgebautes dezentrales System. Dadurch kann die Eindeutigkeit der Domainnamen gewährleistet und die durch viele Zugriffe entstehenden Netzwerklasten angemessen verteilt werden.
Für die verschiedenen Bestandteile eines Domainnamens existieren verschiedene DNS-Server.
Zur Erhöhung der Ausfallsicherheit existieren insgesamt 13 Root DNS-Server. Ausserdem darf die DNS-Auflösung von Subdomains auch von den DNS-Servern der Domains übernommen werden.

Question 96

Was ist ein Fully Qualified Domain Name und wie wird er aufgelöst?

Answer 96

Ein Fully Qualified Domain Name ist ein absoluter Domainname. Er besteht in der Regel aus mehreren Labeln, die alle mit einem Punkt abgeschlossen sind.
Bei der Namensauflösung wird der Domainname rückwärts gelesen, beginnend mit dem leeren Root-Label, dem abschliessenden Punkt.
Anschliessend folg die Top Level Domain (TLD), welche oft ein länderspezifischer Code (.de, .ch) ist oder die Domain in einen bestimmten Kontext rückt (.edu, .org).
Danach folgt der Domainname und gegebenenfalls einige Subdomainnamen.
Eine maximale Länge von 255 Zeichen, inklusive aller Punkte muss eingehalten werden.

Question 97

Wie wird ein Fully Qualified Domain Name aufgelöst?

Answer 97

Um ein Fully Qualified Domain Name auflösen zu können, muss ein Gerät einen DNS Resolver besitzen. Dieser arbeitet sich Ebenen weise durch den DNS-Baum, beginnend beim Root-Server, bis der gewünschte Resource Record aufgelöst werden kann.
Die Frage nach dem Resource Record wird an jeden DNS-Server in der Hierarchie gestellt. Ist der angesprochene DNS-Server für diesen Domainnamen zuständig, gibt er den entsprechenden Resource Record als Antwort zurück. Ist er nicht zuständig, kennt aber den zuständigen DNS-Server, gibt er einen Verweis auf den zuständigen DNS-Server zurück.

Question 98

Welche zwei Varianten gibt es bei der DNS-Auflösung?

Answer 98

Es wird grundsätzlich zwischen einer iterativen und rekursiven Auflösung unterschieden.
* Iterative Auflösung: Der DNS Resolver muss alle Anfragen von der Root-Ebene bis zum Nameserver des gesuchten Domain selbst senden.
* Rekursive Auflösung: Ein DNS-Server wird beauftragt alle Anfragen zu übernehmen, somit genügt eine DNS-Anfrage an einen DNS-Server, welcher dann selbstständig nach der Antwort sucht und diese in einem Paket an den DNS-Resolver zurückgibt.

Root-Server und TLD-Server unterstützen in der Regel keine rekursive Auflösung. Endgeräte bekommen bei der Einwahl ins Internet jedoch oftmals einen DNS-Server zugewiesen, der eine rekursive Auflösung erlaubt.

Question 99

Kommunikation zwischen DNS-Servern

Answer 99

Die Kommunikation zwischen DNS-Resolver und DNS-Server wird üblicherweise über UDP transportiert.
Die Kommunikaiton zwischen DNS-Servern findet teilweise auch über TCP statt.
Dabei wird ein Protokollehader verwendet, welcher eine flexible Struktur aufweist, um DNS-Anfragen und Antworten mit unterschiedlichen Längen sowie Teilanfragen und Teilantworten zu realisieren.
Der Header beinhaltet unteranderem:
* Identifikation zur Zuordnung des richtigen Antwortpakets zur Anfrage.
* Ein Bit ob es sich um Anfrage oder Antwort handelt
* Info ob der DNS-Server für die Domain zuständig ist.
* Question Block mit einer beliebigen Anzahl von DNS-Anfragen
* Answer-Block mit den Resource Records zu den Anfragen
* Authority-Block mit DNS-Servern die für die Anfragen und Antworten zuständig sind.

Question 100

Lastverteilung bei DNS

Answer 100

Bei grossen Rechenzentren, die z.B. Webseiten bereitstellen kann das DNS-System mehrere A-Records (oder AAAA-Records bei IPv6) in einer Liste zurückgeben. Die Reihenfolge innerhalb der Liste ändert sich bei jeder DNS-Anfrage, wobei das Endgerät in der Regel den ersten Eintrag in der Liste verwendet. Dadurch kann die Last aller Web-Anfragen auf mehrere gleich konfigurierte und synchronisierte Webserver gleichmässig verteilt werden.

Question 101

Kritik an DNS und Lösung

Answer 101

Die Hauptkritik an DNS ist deren Sicherheit. Beim sogenannten DNS-Spoofing kann die DNS-Auflösung manipuliert werden. In einem als Phishing bekannten Angriff, wird etwa die DNS-Auflösung von eBanking-Servern manipuliert, sodass Kunden auf eine täuschend echt gestaltete Webseite gelangen, auf der sie nach ihren Konto Informationen gefragt werden.
Eine Lösung dafür ist der DNSSEC-Standard, welcher in der Lage ist, digitale Signaturen über die gesendeten Resource Records zu versenden. Dadurch wird dem Fälschen von RR-Einträgen vorgebäugt, da nur Besitzer der richtigen privaten Schlüssel eine korrekte digitale Signatur erzeugen können.

Question 102

Virtual Private Network (VPN)

Answer 102

VPNs erlauben den Aufbau virtueller Verbindungen zwischen Netzen oder Geräten und schaffen gleichzeitig ein privates Netzwerk, das in sich geschützt ist. Ein VPN unterscheidet sich von einem herkömmlichen Netzwerke dadurch, dass es virtuell und privat ist.

Question 103

Was bedeutet virtuell bei VPN?

Answer 103

Virtuell hat hier zwei Bedeutungen:
* Es sind keine dedizierten Kommunikationskanäle notwendig, stattdessen kann die bestehende Netzwerkinfrastruktur verwendet werden.
* Es bedeutet Transparenz. Für den Nutzer wird das Verhalten eines normalen Netzwerks nachgeahmt, sodass er keinen Unterschied feststellen kann.

Question 104

Was bedeutet privat bei VPN?

Answer 104

Privat hat hier zwei Bedeutungen:
* Trotz der Mitnutzung bestehender Kommunikationskanäle ist ein VPN abgetrennt von anderer Netzwerkkommunikation auf diesem Kanal. Dies bedeutet, dass die Kommunikation der Mitbenutzer der physikalischen Kanäle keinen manipulierenden Einfluss auf die VPN-Kommunikation nehmen kann.
* Die Kommunikation eines VPNs ist, durch Verschlüsselung, vertraulich. Für die Vertraulichkeit ist ausserdem wichtig, dass die Identitäten der VPN-Endpunkte bekannt sind (Authentizität). Neben der Vertraulichkeit und Authentizität kommt noch der Schutz der Integrität hinzu, d.h. Schutz vor Veränderung der Daten durch Dritte.

Question 105

Verschiedene Formen von VPNs

Answer 105

VPNs können in unterschiedlichen Architekturen und zwischen unterschiedlichen Geräten aufgebaut werden. Hauptsächlich gibt es drei verschiedene Formen von VPN Lösungen:
* Verbindung von zwei Netzen: Der VPN wird hierbei als Überbrückung eines oft nicht vertrauenswürdigen Netzes, wie dem Internet, verwendet.
* Verbindung von Gerät und Netzwerk: z.B. für die Einwahl eines Aussendienstmitarbeiters in das Netzwerk der Firma. Unter Verwendung eines VPN-Clients wird eine Verbindung zwischen seinem Endgerät und dem Netz der Firma hergestellt.
* Verbindung von zwei Geräten: Kommt häufig bei der Fernwartung zum Einsatz. Auch einige Peer-to-Peer Netzwerke wie Filesharing, erfüllen die Kriterien für eine VPN-Lösung, wobei diese oftmals weniger Fokus auf die Vertraulichkeit setzen.

Question 106

VPN: Fat-Client und Thin-Client

Answer 106

• Fat-Client: Auf der Seite des Anwenders gibt es eine Anwendung, die sich ausschliesslich um die Verbindung zum VPN-Netzwerk kümmert.
• Thin-Client: Unter Verwendung des Browser, wird mit Hilfe des TLS-Protokolls (HTTPS), eine verschlüsselte Verbindung zu einem Server aufgebaut. Durch diesen VPN-Tunnel können beliebige Inhalte zwischen Endgerät und Server ausgetauscht werden.

Question 107

Wie ist der Ablauf, wenn ein PC A über VPN Daten an einen PC B in einem anderen Subnetz, versenden möchte?

Answer 107

Ein PC A in Subnetz A möchte Daten an einen PC B in Subnetz B versenden:
* PC A sendet Daten an IP-Adresse von PC B
* Der Router A von Subnetz A hat einen Routingeintrag mit der VPN-IP von Router B von Subnetz B
* Router A versendet VPN-Paket an externe IP-Adresse von Router B
* Router B erhält VPN-Paket, entpackt dieses und erhält IP-Adresse von PC B
* Router B sendet Paket an PC B

Während der Übertragung durch das unsichere Medium Internet war das Datenpaket stets verschlüsselt.

Question 108

Welche Sicherheitsanforderungen sind sinnvoll für ein VPN?

Answer 108

• Vertrauliche Kommunikation
• Authentische Teilnehmer
• Integritätsschutz der Daten

Question 109

Point-to-Point Protocol (PPP) (was ist es, wo wird es eingesetzt?)

Answer 109

Das Point-to-Point Protocol (PPP) ist ein Tunnelprotokoll, das auf der Sicherungsschicht arbeitet. Es wird häufig von Internetprovidern eingesetzt, z.B. für die Einwahl mit Modem-, ISDN- oder DSL-Verbindungen.

Question 110

Hilfsprotokolle für den Aufbau und die Verwaltung von VPN-Tunnels

Answer 110

Neben PPP kommen noch weiter Hilfsprotokolle für den Aufbau und die Verwaltung von VPN-tunnels zum Einsatz:
* Link Control Protocol (LCP): Verwaltet die Datenverbindung, regelt die Authentifizierung und konfiguriert die Optionen des VPN-Tunnels.
* Network Control Protocol (NCP): Konfiguriert die Netzwerkschnittstelle auf der Clientseite.

Question 111

Authentifizierungsprotokolle in Point-to-Point Protocol (PPP)

Answer 111

Die Authentifizierung des Clients erfolgt über eines von zwei Authentifizierungsprotokolle :
* Password Authentification Protocol (PAP): Überträgt das Passwort des Clients in Klartext.
* Challenge Handshake Authentication Protocol (CHAP): Aus dem erhaltenen Challenge und dem Passwort wird mit Hilfe einer Einwegfunktion eine Response berechnet und übertragen.

Bei allen Authentifizierungsprotokollen steht die Identität des Clients im Fokus, eine Authentifizierung des Servers wird hingegen nicht vorgenommen.

Question 112

Wan wählt man such mit Point-to-Point Protocol (PPP) ein?

Answer 112

Bei Einwahlverbindungen mit dem Modem oder ISDN wird PPP eingesetzt. Bei anderen Verbindungen wie DSL oder ATM kommt ein Zusatzprotokoll zum Einsatz. Bei DSL-Breitbandverbindungen kommt das Protokoll PPPoE und bei ATM das Protokoll PPPoA zum Einsatz.

Question 113

PPP für VPN-Verbindungen durch das Internet

Answer 113

PPP kann auch für VPN-Verbindungen durch das Internet verwendet werden. Dafür wird das Point-to-Point Tunneling Protocol (PPTP) eingesetzt. Da das Internet nicht vertrauenswürdig ist, sollte auf das unsichere Password Authentification Protocol (PAP) verzichtet und stattdessen ein CHAP-Protokoll eingesetzt werden, welches jedoch ebenfalls angegriffen werden kann.

Question 114

Sicherheit des Point-to-Point Protocols (PPP)

Answer 114

Es existiert weder eine Serverauthentifizierung noch eine besonders starke Clientauthentifizierung. Falls eine Verschlüsselung auf den VPN-Tunnel angewendet wird, ist diese ebenfalls nicht besonders stark.

Question 115

Internet Protocol Security Extension (Ipsec)

Answer 115

Das Internet Protocol Security Extension (Ipsec) arbeitet oberhalb der Vermittlungsschicht und legt den Fokus auf die Sicherheit, insbesondere Vertraulichkeit und Authentizität. Die Authentifizierung erfolgt jedoch über Hilfsprotokolle.

Question 116

Modi im Internet Protocol Security Extension (Ipsec)

Answer 116

Bei Ipsec gibt es mehrere Betriebsmodi und Sicherheitsmodi.
Betriebsmodi:
* Transportmodus: Eignet sich für mobile Einwahl von Mitarbeitern, jedoch nicht für Überbrückung von zwei Netzen, da es keinen Tunnel gibt und die verwendeten IP-Adressen sichtbar bleiben.
* Tunnelmodus: Kommunikation mit externen IP-adressen, nur innerhalb des Tunnels werden interne IP-Adressen des VPN-Netzes verwendet.

In beiden Betriebsmodi kommt jeweils einer von zwei Sicherheitsmodi zum Einsatz:
* Authentication Header (AH): authentifiziert die übertragenen Inhalte und schützt die Integrität der Daten
* Encapsulating Security Payload (ESP): Zusätzlich zu Authentifizierung und Integritätsschutz verschlüsselt ESP die Daten.

Question 117

Zwei wichtige Datenbanken in Ipsec

Answer 117

Zwei Datenbanken sind wichtig:
* Security Policy Database (SPD): Enthält Informationen darüber, wie Datenpakete behandelt werden soll. Ob ESP oder AH verwendet wird und ob Pakete im Transportmodus oder Tunnelmodus gekapselt werden. Die Entscheidung wie Datenpakete behandelt werden sollen, wird auf Basis von Quell-IP-Adressen oder Ziel-IP-Adressen und verwendetem Transportprotokoll getroffen. Ausserdem wird den Datenpaketen ein Security Parameter Index zugewiesen.
* Security Association Database (SAD): In SAD ist für jeden Security Parameter Index festgelegt, welche Schlüssel und welche Algorithmen eingesetzt werden sollen.

Question 118

Authentifizierung der Gegenstellen in Ipsec

Answer 118

Für die Authentifizierung der Gegenstellen in Ipsec wird ein externes Protokoll wie das Internet Key Exchange (IKE) hinzugezogen. IKE ist ein eigenständiger Dienst, der über eine normale UDP-Kommunikation arbeitet. Nachdem die Gegenstellen beidseitig authentifiziert wurden, werden die Security Associations (SA) generiert und die jeweiligen Security Association Databases (SAD) geschrieben.

Question 119

Nachteile von Ipsec

Answer 119

Ein negativer Aspekt ist die Komplexität, die sich durch einen komplexen Aufbau der Datenpakete äussert. IPsec im Transport/AH-Modus lässt sich auch nicht ohne weiteres mit NAT betreiben. Die Komplexität von IPsec wird durch die vielen unterschiedlichen Lösungen für den Schlüsselaustausch noch erhöht.

Question 120

TLS-basierte VPNs

Answer 120

Durch die Verwendung des Transport Layer Security (TLS) Protokolls wird ein als sehr sichere bekanntes Protokoll verwendet, um VPN-Tunnel aufzubauen. TLS-basierte VPN arbeiten auf der Anwendungsschicht und haben so den Vorteil, dass es mit anderen Netzwerkmechanismen wie NAT zu keiner Kollision kommen kann.

Question 121

OpenVPN

Answer 121

OpenVPN ist eine der bekanntesten VPN-Lösungen mit TLS-Basis. Verschlüsselung und Integritätsschutz werden mit Hilfe des TLS-Protokolls durchgeführt. In OpenVPN lassen sich Devices Auswählen:
* tun: OpenVPN transportiert alle Protokolle oberhalb der Vermittlungsschicht
* tap: Protokolle auf der Sicherungsschicht können getunnelt werden, wodurch auch veraltete Protokolle getunnelt werden können.

Ausserdem Kann ausgewählt werden ob UDP oder TCP verwendet werden soll, wobei UDP bevorzugt werden sollte, da die Congestion Control Mechanismen von TCP zu Problemen führen könnte.

Question 122

Eigenschaften von TLS-basierten VPN

Answer 122

Durch die Verwendung von TLS kann ein hohes Sicherheitsniveau erreicht werden. Der einfache Aufbau der Pakete ermöglicht eine schnelle und reibungslose VPN-Lösung.

Question 123

Bereiche der IT-Sicherheit im Kontext der Computersysteme

Answer 123

IT-Sicherheit im Kontext der Computersysteme kann grundsätzlich in zwei Bereiche untergliedert werden:
* Netzwerksicherheit: Bezieht sich auf die Sicherheit der kommunizierten Daten durch das Netzwerk. Neben den Sicherheitseigenschaften der Header einzelner Protokolle fallen auch die Verschlüsselung bzw. Absicherung der Daten und die Kommunikationsinfrastruktur selbst in diesen Bereich
* Anwendungssicherheit: Die Sicherheit der Implementierungen auf den Geräten fällt in diesen Bereich. Dies reicht von grundlegenden Softwarekomponenten über fehlerhaft programmierte C-Anwendungen bis zu angreifbaren Web-Applikationen

Question 124

Angriffsmöglichkeiten auf der logischen Netzwerkebene

Answer 124

Auf logischer Netzwerkebene gibt es viele Möglichkeiten Geräte anzugreifen. Es gibt unterschiedliche Zielsetzungen wie das Abhören oder Manipulieren der Netzwerkkommunikation oder das aktive Stören von Diensten.

Question 125

Abhören von Netzwerkkommunikation

Answer 125

Das Abhören von Netzwerkkommunikation ist grundsätzlich ein passiver Angriff, bei dem vom Angreifer keine Daten gesendet werden. Das Abhören der Kommunikation in einem Broadcastmedium lässt sich aus diesem Grund nicht erkennen. Handelt es sich nicht um eine Broadcastmedium können andere Teilnehmer nicht ohne weiteres abgehört werden. Durch Umleiten der fremden Kommunikation über das eigene Endgerät kann trotzdem abgehört werden. Dadurch wird es jedoch zu einem aktiven Angriff, der erkannt werden kann.

Question 126

Umleiten der Kommunikation über ein anderes Gerät

Answer 126

Die einfachste Methode ist ARP-Spoofing. Der Angreifer sendet dabei ein ARP-Request, wobei als Sender-IP-Adresse die Adresse des abzuhörenden Hosts und als Sender-MAC-Adresse die IP-Adresse des Angreifers eingetragen wird. In den ARP-Tabellen der umliegenden Hosts wird dadurch der Eintrag für den abzuhörenden Host mit der MAC-Adresse des Angreifers überschrieben. Die Kommunikation mit dem abzuhörenden Host wird dadurch an den Angreifer umgeleitet, welche die Daten nach dem Abhören oder Manipulieren an den richtigen Host weiterleitet.

Question 127

Denial of Service (DoS)

Answer 127

Wenn einem Angreifer die Umleitung der Kommunikation über sich selbst gelingt, ist neben dem Abhören auch das Manipulieren oder Unterbrechen der Kommunikation möglich womit sich ein Denial of Service (DoS) realisieren lässt. Dies kann z.B. durch Auslasten der Bandbreite eines Endgerätes, das Auslasten von Ressourcen oder das Ausnutzen von Implementierungsfehlern erreicht werden.

Question 128

Firewall

Answer 128

Mit einer Firewall kann die Sicherheit eines Netzwerks erhöht werden, indem Netzwerkkommunikation und im speziellen Angriffe blockiert werden. Man unterscheidet zwischen Personal Firewalls und Firewalls auf dedizierter Hardware.

Question 129

Personal Firewall

Answer 129

Die Personal Firewall ist auf dem Endgerät selbst installiert und ermöglich es ausgehende und eingehende Verbindungen zu blockieren.
* Ausgehende Verbindungen: In der Regel gibt es eine Liste mit Prozessen die kommunizieren bzw. nicht kommunizieren dürfen. Die Kommunikation von Malware lässt sich so unter Umständen vermeiden.
* Eingehende Kommunikation: Dadurch, dass die Firewall auf dem Endgerät selbst installiert ist, ist die Funktionsweise eingeschränkt. Die meisten DoS-Angriffe lassen sich so nicht bekämpfen. Nach dem Überwinden der Firewall gibt es für Angreifen meist keine weiteren Hürden.

Question 130

Firewall auf dedizierter Hardware

Answer 130

Eine Firewall auf dedizierter Hardware arbeitet für gewöhnlich als reiner Paketfilter. Sie kann auf verschiedenen Schichten (z.B. Quell-MAC, Ziel-IP, Ziel TCP-Port, Webseite im HTTP-Request) in die eingehenden und ausgehenden Pakete hineinsehen und diese anhand verschiedener Kriterien verschiedenen Filterzielen zuordnen.
Filterziele:
* Accept: Kommunikation wird zugelassen
* Drop: Kommunikation wird direkt verworfen
* Reject: Kommunikation wird verworfen, Firewall sendet Fehlermeldung an Absender

Question 131

Konfigurationsansätze von Firewalls

Answer 131

Bei Firewalls gibt es unterschiedliche Konfigurationsansätze:
* Whitelist-Ansatz: Erlaubte Dienste werden explizit konfiguriert und der Rest verboten
* Blacklist-Ansatz: Grundsätzlich ist alles erlaubt, spezielle Dienste werden explizit verboten.

Der Whitelist-Ansatz bietet die höhere Sicherheit, da eine Fehlkonfiguration nicht direkt dazu führt, dass ein angreifbarer Dienst zugreifbar ist.

Question 132

Einsatzszenarien von Firewalls

Answer 132

Ein Webserver, der aus dem Internet zugreifbar ist, wird oft in der demilitarisierten Zone (DMZ)positioniert, dabei handelt es sich um ein Netzwerk mit geringeren Sicherheitsansprüchen und ist daher explizit vom lokalen Netzwerk getrennt. Kann ein Angreifer den Webserver übernehmen muss er so erst noch die Firewall überwinden, bevor er auf das lokale Netzwerk zugreifen kann.
Um die Sicherheit weiter zu erhöhen kann beim Einsatz von LAN und DMZ eine äussere und eine innere Firewall zum Einsatz kommen. Wobei die äussere Firewall bereits überwunden werden muss, um auf die DMZ zuzugreifen und die Innere um dann auf das LAN zugreifen zu können.

Question 133

Erweiterungen für Firewalls

Answer 133

Damit bei ausgehenden Verbindungen auch die Antworten die Firewall passieren können muss eine einfache Firewall in der Regel komplex konfiguriert werden.
Dafür gibt es Erweiterungsmodule, wie z.B. das Stateful Packet Inspeciton (SPI), welches für ausgegangene Netzwerkpakete automatisch den “Rückweg” freischaltet.
Eingehende Pakete, zu denen kein ausgehender Datenfluss existiert und für die keine andere Firewallregel zutreffen, werden verworfen.

Question 134

Kommunikation auf Anwendungsebene

Answer 134

Kommunikation auf Anwendungsebene beschreibt die netzunabhängige Kommunikation von mindestens zwei Anwendungsprozessen. Sie wird auf der Anwendungsschicht umgesetzt.
Die Adressierung von Elementen sowie die Ermöglichung verbindungsloser und Verbindungsorientierter Kommunikation verschiedener Anwendungsinstanzen wird bereits durch Protokolle der darunter liegenden Schichten sichergestellt, sodass diese als Dienst für die Anwendungsschicht bereitstehen.