Kommunikation auf logischer Ebene Flashcards

Question

Wie läuft die Vergabe von IPv4-Adressen über das Dynamic Host Configuration Protocol ab?

Answer 1

* Ein Gerät beginnt via Broadcast, mit der Suche nach einem DHCP-Server * Erhält ein DHCP-Server eine Anfrage, bietet er eine verfügbare IPv4-Adresse mit Parametern und einer Lease-Time an. * Das Gerät wertet alle Angebote aus und signalisiert, abermals via Broadcast, welche IPv4-Adresse genutzt werden möchte. Via Broadcast, damit auch alle anderen DHCP-Server wissen, für welche IPv4-Adresse das Gerät sich entschieden hat. * Ist die angebotene IPv4-Adresse immer noch frei, wird die Auswahl bestätigt, ansonsten abgelehnt. DHCP-Server speichern die vergebene IPv4-Adresse oft mit der zugehörigen MAC-Adresse ab, um einem Gerät wieder die selbe IPv4-Adresse vergeben zu können, falls diese noch frei ist. Öffentliche IP-Adressen werden jedoch regelmässig, meist nach 24h, gewechselt.

Answer 2

Für die Kommunikation werden für gewöhnlich zwei unterschiedliche Adresstypen benötigt. * MAC-Adressen im Ethernetheader (Physikalisch, im selben Subnetz) * IP-Adressen im IPv4-Protokollheader (Logisch, über Subnetzgrenzen hinaus) In der Regel ist nur die IPv4-Adresse bekannt, die MAC-Adresse jedoch nicht, da eine IPv4-Adresse meist nicht langfristig einer MAC-Adresse zugewiesen werden kann. Mit ARP wird die Auflösung von MAC-Adressen zu den gegebenen IPv4-Adressen ermöglicht.

Answer 3

Ein ARP-Request wird via Broadcast an alle Geräte im Subnetz gesendet, dabei wird gefragt, welches Gerät die gesuchte IPv4-Adresse kennt. Ein Gerät, welches die gesuchte IPv4-Adresse kennt, antwortet mit einem ARP-Reply per Unicast direkt an das anfragende Endgerät. Die Antwort enthält die Kombination aus IPv4- und MAC-Adresse.

Answer 4

* Reverse ARP-Protocol (RARP): zu einer vorhanden MAC-Adresse soll eine IPv4-Adresse gesucht werden. * Gratuitous ARP: Prüfen, ob die eigene IPv4-Adresse bereits im Netzwerk vorkommt, sowie das Updaten der eigenen Kombination aus IPv4- und MAC-Adresse in den ARP-Tabellen

Answer 5

Mit ARP-Spoofing kann ein Angreifer ARP-Requests oder ARP-Replys mit gefälschter Kombination aus IPv4- und MAC-Adressen versenden und so die ARP-Tabellen von anderen Geräten manipulieren und deren Kommunikation den eigenen Ansprüchen entsprechend umzuleiten.

Answer 6

Das Internet Control Message Protocol (ICMP) ist ein Hilfsprotokoll von IPv4, welches den Austausch von Informationsmeldungen und Fehlermeldungen ermöglicht. Der ICMP-Protokollheader folgt direkt nach dem IPv4-Header. Er enthält drei obligatorische Felder: * Type * Code * Checksum Mit Type und Code wird die Funktion des ICMP-Pakets festgelegt. Checksum ist eine 16 Bit grosse Prüfsumme, mit welcher der Header auf Bitfehler überptrüft werden kann.

Answer 7

Damit Pakete gezielt über die Grenzen des eignen Netzwerkes gesendet werden können, müssen die Pakete geroutet werden. Das Routing wird von Routern durchgeführt, dies sind Koppelelemente die auf der Vermittlungsschicht arbeiten und Subnetze miteinander verbinden. Ein Router verfügt über jeweils eine physikalische Verbindung zu den Subnetzen von Client A und Client B und hat in beiden Subnetzen eine eigene MAC-Adresse. Ein Client A sendet ein Paket an die physikalische Adresse des Routers, welche es dann ausgehend von seiner zweiten physikalischen Adresse zu Client B weitersendet.

Answer 8

Die Informationen an welche Router ein Netzwerkpaket als nächstes gesendet werden muss, um das jeweilige Zielnetz zu erreichen, sind in der Routingtabelle enthalten. Besonders wichtig ist, dass die Lokalroute (127.0.0.1) enthalten ist, da das Gerät sonst das eigene Subnetz nicht erreichen kann. Die häufigsten Fehler beim Konfigurieren von Routingtabellen: * Keine Lokalroute * Nicht alle Netzwerke werden geroutet * Rückroute wird vergessen

Answer 9

Network Address Translation (NAT) bezeichnet die Veränderung von IP-Adressen und gegebenenfalls Portnummern in Netzwerkpaketen während des Routing. Dies wird beispielsweise oft in privaten Haushalten vorgefunden, in denen alle Geräte über eine einzige öffentliche IP-Adresse im Internet surfen. Die Geräte verfügen alle über eine eigene private IP-Adresse, die aber nicht im Internet gültig ist. Die NAT-Variante Source Network Address Translation (SNAT) ermöglicht das ersetzen der internen Quell-IP-Adressen gegen eine oder wenige externe Quell-IP-Adressen. Daneben gibt es die Variante Destination Network Address Translation (DNAT), welche sich auf das Ändern der Ziel-IP-Adressen und Ziel-Portnummern während des Routings beziehen. Wird häufig Port-Forwarding genannt.

Answer 10

SNAT und DNAT realisieren in Kombination die NAT-Variante Masquerading. * Der Masquerading-Router speichert zunächst die Quell-iP, Quell-Port, Ziel-IP, Ziel-Port ab * Tauscht die Quell-Adressen/Ports gegen die externen Werte aus * Nachdem das Ziel erreicht wurde, wird ein Antwortpaket an die im Paket enthaltenten Quell-Adressen (jetzt öffentliche Adressen) zurückgesendet * Masquerading-Raouter nimmt dann Zurückübersetzung der IP-Adressen und Portnummern mittels den abgespeicherten Werten vor.

Answer 11

* Durch die Zuordnung von vielen privaten IP-Adressen zu einer/wenigen öffentlichen IP-Adressen können öffentliche IP-Adressen eingespart werden. Nat wirkt somit der Knappheit von IPv4-Adressen entgegen. * Sicherheit: Durch Masquerading gibt es für jedes Paket einen konkreten Rückweg. Trifft von extern ein Paket beim Masqueradin-Router ein, welches keinem ausgehenden Paket zugeordnet werden kann, wird dieses verworfen, da der Router nicht weiss, welchem Gerät es zugestellt werden soll.

Answer 12

IPv6 wird von allen modernen Betriebssystemen unterstützt, für gewöhnlich neben IPv4. IPv6 verfügt über einen modularen Protokollheader und die IPv6-Adressen sind länger als die IPv4-Adressen, was ein entscheidender Schritt gegen die Verknappung der IP-Adressen ist.

Answer 13

Bei IPv6 existiert ein Basisheader sowie mehrere Erweiterungsheader für das Hinzufügen verschiedener Funktionen. Bei IPv4 selten verwendete Funktionen werden in den Erweiterungsheadern realisiert. Der modulare Aufbau erleichtert es Routern IPv6-Pakete zu verarbeiten.

Answer 14

Der IPv6-Protokollheader unterscheidet sich vom IPv4-Header nicht nur durch den modularen Aufbau sondern auch durch eine Restrukturierung der Felder. * Version: IP-Protokollversion * Traffic Class: Priorisierung von Netzwerkpaketen * Flow Label: Einfache sowie benutzerdefinierte Klassifizierung von Paketen * Payload Length: Anzahl der Bytes, die dem IPv6-Header folgen (Nutzdaten sowie Erweiterungsheader) * Next Header: Typ des nächsten Headers (Erweiterungsheader oder Transportprotokoll wie UDP oder TCP) * Hop Limit: Zähler, der bei jedem passierten Router um 1 verringert wird. * Absender IPv6-Adresse * Empfänger IPv6-Adresse Durch den grösseren IPv6-Protokollheader wird eine neue Mindestgrösse für Pakete von einer minimalen MTU von 1280 Byte, erforderlich.

Answer 15

* IPv4-Adressen: dezimal, als 4-Tubel, getrennt durch Punkte (192.168.0.1) * IPv6-Adressen: hexadezimal, als 8-Tupel, getrennt durch Doppelpunkte (8000:0000:0000:0000:0123:4567:89AB:CDEF)

Answer 16

Wenn ein IPv6-Datagramm die MTU überschreitet und die Fragmentierung erlaubt ist, wird es fragmentiert. Dazu benötigt es den Fragmentation Erweiterungsheader. Dieser wird wie folgt aufgebaut: * Next Header: Typ des nachfolgenden Headers * Fragment Offset: Position des Fragments innerhalb des Datagramms * More Fragments: gibt an, ob mehr Fragmente folgen, nur beim letzten Fragment =0, sonst = 1 * Identification: Einzigartige Identifikationsnummer. Bei allen Fragmenten eines Datagramms gleich.

Answer 17

Es gibt zwei Vereinfachungen für die Darstellung von IPv6-Adressen: * Führende Nullen in einem Block dürfen weggelassen werden. * Treten mehrere Blöcke mit Nullen in Folge auf, dürfen diese durch zwei Doppelpunkte abgekürzt werden. Dies darf nur einmal vorkommen, da sonst die Eindeutigkeit verloren geht.

Answer 18

Eine IPv6-Adresse besteht aus zwei Teilen: Präfix und Suffix. Diese sind inhaltlich vergleichbar mit Host- und Network-Anteil bei IPv4-Adressen. Präfix bezeichnet den Netzbestandteil der IPv6-Adressen und Suffix ist den Adressen der Geräte vorbehalten. Im Suffix ist der Interface Identifier vorhanden, der ein Gerät eindeutig identifizieren soll. Dafür bindet der Interface Identifier die Ethernetadresse des Geräts in deren IPv6-Adresse ein.

Answer 19

Mit der Generierung des Interface Identifiers aus der Ethernetadresse erhält jedes Gerät in der Regel immer dieselbe IPv6-Adresse, wodurch die Anonymität der Geräte gefährdet wird. Mit der Privacy Extension (PE) für IPv6 wird der Interface Identifier zufällig mit der Hash-Funktion MD5 generiert und in regelmässigen Abständen gewechselt. Dadurch wird die Zuordnung einer IPv6-Adresse zu einem bestimmten Gerät erschwert.

Answer 20

ICMPv6 ist ein integraler Bestandteil von IPv6. Es ist ähnlich aufgebaut wie ICMPv4. Es kommen jedoch einige neue Funktionen hinzu, wie z.B. die Auflösung von IPv6 in Ethernetadressen sowie die Autokonfiguration von IPv6-Netzwerken. Der Heder wird wie bei ICMPv4 aufgebaut aus: * Type * Code * Checksumme

Answer 21

Das Neigbor Discovery Protocol (NDP) basiert auf ICMPv6 und übernimmt verschiedene Aufgaben, z.B.: * Autokonfiguration von IPv6-Netzwerken: Setzen der IPv6-Adressen sowie Router * Auflösen von IPv6-Adressen in Ethernetadressen: Dies ist die wichtigste Funktion von NDP und entspricht der ARP Funktionalität in IPv4

Answer 22

* Via Multicast wird eine Anfrage nach der Ethernetadresse zu einer bekannten IPv6-Adresse gestellt. * Der angesprochene Host antwortet via Unicast an den anfragenden Host, um seine Ethernetadresse mitzuteilen. * Gleichzeitig wird mitgeteilt, ob es sich beim angefragten Host um einen Router handelt oder nicht.

Answer 23

Mit Router Advertisement (RA) teilen Router ihren physikalisch erreichbaren Subnetzen regelmässig ein Präfix mit. Empfängt ein Host eine RA konfiguriert er eine neue IPv6-Adresse mit seinem Interface Identifier für das angegebene Präfix. Erhält ein Host mehrere RA, wird für jedes Präfix eine weitere IPv6-Adresse angelegt. In der RA teilen Router ausserdem mit: * Welche weiteren Netze über sie erreicht werden können * Ob sie als Default-Router fungieren * Wie lange sie erreichbar sind * Wie lange die gesendeten Informationen gültig sein sollen

Answer 24

IPv6-Adressen werden in der Regel dynamisch zugewiesen. Dies vereinfacht die Zuweisung und stellt gleichzeitig sicher, dass keine Adressen doppelt vergeben werden. Die Autokonfiguration von IPv6-Adressen läuft wie folgt ab: 1. IPv6-Schnittstelle wird aktiviert 2. Mit Hilfe der Ethernetadresse wir ein Interface Identifier generiert. Bevor diese aktiviert wird, wird überprüft, ob die Adresse noch frei ist. 3. Falls noch keine Router Advertisement (RA) eingetroffen ist, wird eine Anfrage gesendet. 4. Nach Erhalt der RA werden neue IPv6-Adressen für das angegebene Präfix generiert.

Answer 25

Das Routing bei IPv6 unterscheidet sich nicht wesentlich vom Routing bei IPv4. Geräte in einem Subnetz werden in der Regel über die MAC-Adressen angesprochen. Sind mehrere Subnetze vorhanden, setzt ein Router die IPv6-Pakete zwischen den Netzen um und fügt die jeweils benötigten MAC-Adressen der Geräte in den Ethernetheader ein. Aufgrund der besseren Verfügbarkeit von IPv6-Adressen ist das Anbinden von Haushalten bei IPv6 auch ohne NAT möglich, dies ist aus Sicherheitsgründen aber nicht zu empfehlen.

Answer 26

Da weder alle Dienste im Internet, noch alle Haushalte über IPv6-Adressen verfügen würde ein harter Umstieg auf IPv6-only Nutzer heute noch weitestgehend vom Internet isolieren. Daher sind Migrationsmechanismen nötig, die das Erreichen von IPv4-Diensten als auch das Erreichen der IPv6-Dienste ermöglichen.

Answer 27

Dualstack bedeutet, dass in einem System sowohl eine IPv4- als auch eine IPv6-Adresse zur Verfügung steht. IPv4-Dienste werden dann über die IPv4-Adresse und IPv6-Dienste über die IPv6-Adresse erreichbar gemacht. Die aktuellen Betriebssysteme unterstützen in der Regel Dialstack.

Answer 28

Soll in einem System ausschliesslich IPv4 oder IPv6 zum Einsatz kommen, können die Pakete getunnelt werden. Dafür gibt es verschiedene Möglichkeiten: * 6to4: IPv6-Pakete in IPv4-Pakete tunneln, wenn der eigene Provider keine Möglichkeit bietet direkt mit IPv6 zu kommunizieren. * 6in4 * 6over4 * Teredo * Lösungen die IPv4-Pakete in IPv6-Pakete kapseln

Answer 29

Nat64 kommt zum Einsatz, wenn ein Netzwerk, das ausschliesslich IPv6 beherrscht mit einem IPv4-Gerät kommunizieren will. Funktioniert wie folgt: * Ziel-IPv4-Adresse wird in einer IPv6-Adresse codiert * IPv6-Paket wird an NAT64-Router gesendet * NAT64-Router generiert ein IPv4-Paket mit der in IPv6 codierten Ziel-IPv4-Adresse und versendet es. Als Absender-Adresse kommt die IPv4-Adresse des NAT64-Routers zum Einsatz. * Auf dem Rückweg übersetzt der NAT64-Router das IPv4-Paket wieder in ein IPv6-Paket.

Answer 30

Mit IP können zwei oder mehrere Hosts miteinander kommunizieren. Damit aber pro Host die parallele Kommunikation mehrere Anwendungen möglich ist werden weitere Mechanismen benötigt, welche auf der Transportschicht spezifiziert sind und folgende Anforderungen erfüllen müssen: * Adressierung von Anwendungen * Multiplexing / Demultiplexing von parallelen Anwendungsströmen und Weiterleitung an den adressierten Anwendungsprozess. * Segmentierung und Versand von Daten zwischen verteilten Anwendungsprozessen * Optional: Aufbau von logischen Verbindungen zwischen verteilten Anwendungsprozessen * Optional: Zuverlässiger Transport und damit Sicherstellung der Zustellung von Daten.

Answer 31

* Open: Sendender Anwendungsprozess kann die Möglichkeit haben, die Verbindung zu einem anderen Anwendungsprozess aufzubauen. * Listen: Empfangender Anwendungsprozess (Serverseitiger Dienst) Kann einen Wartezustand haben, in dem er verbleibt, bis ein eingehende Verbindungswunsch eintrifft, um dann eine Verbindung aufzubauen. * Close: Sowohl sendender als auch empfangender Anwendungsprozess können in der Lage sein, vorher aufgebaute aktive Verbindungen jederzeit zu beenden. * Send: Sendender Anwendungsprozess muss die Möglichkeit haben, Daten zu einem anderen Anwendungsprozess zu senden. * Receive: Empfangender Anwendungsprozess (Serverseitiger Dienst) muss einen Zustand besitzen, Daten empfangen zu können.

Answer 32

UDP ermöglicht eine Verbindungslose Kommunikation über eine logische Verbindung und wird in der Regel für den Transport verlusttoleranter Anwendungen eingesetzt. UDP bietet weder eine Möglichkeit, den Verlust von Paketen zu erkennen, noch deren Versand bzw. die Ankunft beim Empfänger sicherzustellen. Ausserdem besitzt UDP keine Mechanismen zur Regulierung des ausgehenden Datenstroms. Es sind lediglich die Service-Primitiven Send und Receive erforderlich. UDP wird eingesetzt bei Verbindungen mit Real-Time Anforderungen sowie für Anwendungen mit vielen Empfängern, bei denen eine gewisse Verlusttoleranz gegeben ist. z.B. Live-Vide-Streaming oder Voice-over-IP.

Answer 33

Die Struktur eines UDP Datagrams wurde bewusst rudimentär gestaltet und bietet keine besondere Optionen, wodurch der Overhead des Protokolls verringert wird. Die Fokussierung auf wenige, mindestens notwendige Informationen sorgen für eine hohe Übertragungseffizienz. Folgende Felder sind im Header enthalten: * Source Port: Spezifiziert den Quellprozess * Destination Port: Spezifiziert den Zielprozess * Length: Spezifiziert die Länge des Datagramms * (Optional) Checksum: Ermöglicht die Prüfung der Validität eines übertragenen Pakets * Data: Zu übertragender Payload höherer Schichten

Answer 34

TCP ermöglicht eine verbindungsorientierte und zuverlässige Kommunikation zwischen den Anwendungsprozessen zweier Hosts über eine logische Verbindung und wird für den Transport der Daten von nicht verlusttoleranten Anwendungen eingesetzt. Die Verbindung bei TCP funktioniert bidirektional. TCP implementiert ausserdem Mechanismen zur Überlastvermeidung und Überlastkontrolle um im Falle einer Überlastung den Zusammenbruch eines Netzwerks zu verhindern.

Answer 35

Eine Verbindungsorientierte Kommunikation mit TCP erfordert die Service-Primitiven: * Send * Receive * Open * Close * Listen Zusätzlich stellt TCP weitere Service-Primitiven zur Verfügung, die aber lediglich Events darstellen: * Connected: Verbindung wurde aufgebaut * Fail: Verbindungsaufbau ist fehlgeschlagen * Data Ready: Datenstrom der Verbindung kann abgerufen werden * Error: Verbindung wurde aufgrund eines Fehler geschlossen * Closed: Verbindung wurde geschlossen

Answer 36

Durch den Automatic Repeat Request (ARQ) wird die zuverlässige Kommunikation gewährleistet. Mittels TCP wird ein Byte-Stream in Segmente zerlegt und über ein Netzwerk versendet. Der ARQ Mechanismus sorgt dafür, dass der Empfänger den Erhalt jedes Segments gegenüber dem Sender bestätigt. Erhält der Sender nach einer definierten Zeitspanne keine Bestätigung, gilt das Segment als verloren und ein erneutes Senden wird veranlasst. So wird sichergestellt, dass der vollständige Byte-Stream übertragen wird.

Answer 37

TCP wird für Anwendungen, die keinen Verlust von Daten tolerieren, eingesetzt. Zum Beispiel kommt es bei der Übertragung von Webseiten, Dateien oder auch beim Instant Messaging zum Einsatz.

Answer 38

Die Struktur eines TCP Segments ist deutlich komplexer als ein UDP Datagramm und enthält eine Vielzahl von Feldern: * Source Port: Referenz zum Quellprozess (Wert zwischen 1 und 65536) * Destination Port: Referenz zum Zielprozess (Wert zwischen 1 und 65536) * Sequenze Number (SeqNr): Gibt die mit dem Segment übertragenen Bytes an. * Acknowledgement Number (AckNr): Gibt die als nächstes erwarteten Bytes an * Data Offset: Gibt an, ab welchem Byte der header des TCP Segments endet, bzw. Daten beginnen * Reserved: Für zukünftige Nutzung reserviert, z.B. bei Einführung weiterer Flags * Window Size: Spezifiziert die mögliche Übertragungsfenstergrösse, die bei der nächsten Übertragung zugelassen ist. * Checksum: Checksumme zur Prüfung der Validität des Segments * Urgend Pointer: Wenn URG Flag gesetzt werden Werte von Urgent Pointer und Sequence Number addiert, um das letzte Byte zu definieren * Options: Festlegung weiterer Optionen, z.B. Maximum Segment Size oder TCP User timeout Option

Answer 39

* Nonce Sum (NS): Zum Fehler- und Angriffsschutz der ECN vorgesehen, sofern verwendet. * Congestion Window Reduced (CWR): Weist darauf hin, dass das Congestion Window verkleinert wurde * Explizit Congestion Notification Echo (ECE): Weist Sender darauf hin, dass ein CE Paket empfangen wurde * Urgent (URG): Weisst Empfänger darauf hin, dass der Urgend Pointer gesetzt wurde * Acknowledge (ACK): Bestätigt Validität eines erhaltenen Acknowledgements * Push (PSH): Weist Empfänger an, das empfangene Segment umgehend an den Anwendungsprozess weiterzuleiten. * Reset (RST): Weist Empfänger an die Verbindung zum Sender zu beenden * Synchronize (SYN): Weist darauf hin, dass ein Verbindungsaufbau stattfinden soll und leitet Synchronisierung der Sequence Number ein * Finished (FIN): Weist darauf hin, dass der Sender die Verbindung beenden will

Answer 40

Die Kommunikation via TCP setzt voraus, dass zunächst eine Verbindung zwischen zwei Kommunikationspartner aufgebaut wird. Die Verwaltung der Verbindung ist obligatorisch. Die Kommunikation via TCP gliedert sich in drei Phasen: 1. Verbindungsaufbau 2. Kommunikation 3. Verbindungsabbau

Answer 41

Eine Verbindung via TCP wird über einen 3-Way-Handshake aufgebaut. **Erster Schritt** * Der initiierende Host (Client A) sendet ein TCP-Segment an den Host (Server B), mit dem eine Kommunikation stattfinden soll. * Der Source Port des Client A ist zufällig gewählt, der Destination Port (Anwendungsport von Server B) wir entsprechend des aufzurufenden Dienstes gewählt. * Bei der ersten Nachricht setzt Client A das SYN-Flag und Teilt Server B mit, dass er eine Verbindung aufbauen möchte. * Ausserdem wählt Client A für die Sequence Number (SeqNr) einen zufälligen Wert *a*, so wird die Wahrscheinlichkeit einer Kollision im Hinblick auf parallele anfragen verringert. **Zweiter Schritt** * Server B wertet die Nachricht aus und sendet ein TCP-Segment an Client A zurück * Indem in der Antwort das ACK-Flag gesetzt wird und die Acknowledgement Number (AckNr) *a+1* übertragen wird, wird der Erhalt der Verbindungsanfrage bestätigt. * Damit wird nicht nur Erhalt der SeqNr a bestätigt, sonder auch angegeben, dass als nächstes SeqNr *a+1* erwartet wird. * Gleichzeitig wird in der Antwort das SYN-Flag gesetzt und ebenfalls eine zufällig gewählte SeqNr *b* übertragen. * Mit dieser Nachricht bestätigt Server B den Aufbau einer unidirektionalen Verbindung und versucht gleichzeitig einen Rückkanal aufzubauen damit gesamthaft eine bidirektionale Verbindung entsteht. **Dritter Schritt** * Client A bestätigt mit der AckNr den Erhalt der Sequence Number *b* und teilt mit, dass als nächstes die SeqNr *b+1* erwartet wird. * Gleichzeitig wird die von Server B erwartete SeqNr zurückgeschickt.

Answer 42

Nachdem die Verbindung mit 3-Way-Handshake aufgebaut wurde, können zwei Host über TCP kommunizieren. Dies funktioniert wie folgt, wenn ein Server A Daten an einen Server B senden will. Die Maximum Segment Size (MSS) wird auf 1000 Byte festgelegt, Server B lässt eine Window Size von 2000 Byte zu. * Client A überträgt die ersten beiden Segmente (da Window Size = 2x MSS) * Im ersten Segment wird eine zufällige SeqNr übertragen. Im zweiten Segment wird die SeqNr um 1MSS erhöht. * Der Puffer (=Window Size) beim Server B ist damit gefüllt. Er bestätigt den Erhalt der Pakete durch Senden eines Acknowledge * Die AckNr entspricht der SeqNr, erhöht um die Anzahl erhaltener Bytes (2000) * Damit wird nicht nur den Erhalt der Segmente bestätigt, sondern gleichzeitig angegeben, dass als nächstes das Segment a+2000 erwartet wird. * Damit können die nächsten beiden Segmente versendet werden.

Answer 43

Die SeqNr wird senderseitig um die Anzahl der zuvor verschickten Bytes erhöht. Die AckNr bestätigt den Byte-Stream bis zum übermittelten Byte-Wert erhalten zu haben und fordert gleichzeitig die darauf folgenden Bytes an. Beide Felder sind in ihrer Grösse begrenzt. Dam sie die Länge des Byte-Streams nicht zu stark beschränken wird die SeqNr nach (2^32)-1 übertragenen Bit auf 0 zurückgesetzt.

Answer 44

Wenn ein Paket bei Server B nicht ankommt, stellt dieser das fest, da er ein Paket mit einer nicht erwarteten SeqNr erhält. Server B bestätigt dann das letzte in richtiger Reihenfolge angekommene Segment. Client A leitet daraus ab, dass einzelne Segmente verloren gegangen oder fehlerhaft angekommen sind. Die Überlastkontrolle reduziert die Geschwindigkeit, damit nur ein Segment aufs mal gesendet wird. Die Verloren gegangenen Segmente werden dabei zunächst erneut verschickt. TCP ermöglicht so eine Ende-zu-Ende Flusskontrolle und ermöglicht den zuverlässigen Versand von Daten.

Answer 45

Ist die Übertragung zwischen einem Client A und einem Server B angeschlossen, wird der Verbindungsabbau eingeleitet. * Client A sendet ein TCP-Segment mit gesetztem FIN-Flag und zufälliger SeqNr a an Server B * Server B bestätigt mit gesetztem ACK-Flag und AckNr die der um 1 Byte erhöhten SeqNr (a+1) entspricht. * Die Verbindung von Client A zu Server B ist damit beendet. Server B muss seinerseits jedoch noch den Rückkanal beenden. * Server B sendet ein TCP-Segment mit gesetztem FIN-Flag und zufälliger SeqNr a an Client A * Client A bestätigt mit gesetztem ACK-Flag und AckNr die der um 1 Byte erhöhten SeqNr (a+1) entspricht. * Der Rückkanal von Server B zu Client A ist damit ebenfalls beendet.

Answer 46

Das Congestion Management versucht proaktiv, durch einen Datenstrom verursachte Überlastsituationen im Netzwerk zu vermeiden, reagiert jedoch auch reaktiv auf Überlastsituation.

Answer 47

Congestion Avoidance: Der Netzwerk Zustand ist dem Sender von Daten in der Regel unbekannt. Der Empfänger soll sich durch zunächst zurückhaltendes Verhalten an den Netzwerkzustand herantasten. Damit soll der Verlust von Segmenten möglichst gering gehalten und das Netzwerk nicht unnötig überlastet werden. Congestion Control: Wenn das Netzwerk stark ausgelastet bzw. überlastet ist, können Paketverluste auftreten. Hohe Paketverlustraten führen zu einer Vielzahl von Retransmissions und verlangsamen eine Verbindung signifikant. Mit Congeston Control wird ein harter Bruch im Sendeverhalten erzeugt.

Answer 48

Zunächst startet Congestion Avoidance mit einem Slow-Start-Verfahren, wobei die Congestion Wiondow Size exponentiell erhöht wird um ein schnelles Herantasten an die maximal mögliche Senderate zu ermöglichen. Sobald der Erhalt der zuvor gesendeten Segmente bestätigt wurde, wird die Anzahl der verschickten Segmente verdoppelt. Dies geschieht solange, bis ein Fehler auftritt oder ein zuvor festgelegter Schwellenwert erreicht wird. Wird der Schwellenwert erreicht, erfolgt kein exponentielles Wachstum mehr, sondern lediglich ein linearer Anstieg. Sobald dann eine Überlastsituation auftritt, greifen die Congestion Control Mechanismen und es erfolgt ein schnelles Absenken der Congestion Window Size.

Answer 49

TCP Tahoe TCP Reno

Answer 50

Nach einem Fehler wird die Congestion Window Size auf 1 MSS zurückgesetzt. Slow-Start und Congestion Avoidance Phase werden dann erneut durchlaufen, bis die nächste Überlast erkannt wird. Der Schwellenwert wird neu festgelegt auf die Hälfte der zum Fehlerzeitpunkt vorliegenden Congestion Window Size. Die Congestion Window Size wird dann nur noch bis zu einem definierten Maximum erhöht.

Answer 51

Bei TCP Reno erfolgt ein differenzierter Umgang mit auftretenden Fehlern. Erhält ein Empfänger Segmente nicht in der richtigen Reihenfolge oder ergeben sich Lücken im Byte-Stream wird das als Fehler erkannt. Die Segmente werden erneut gesendet und eine Anpassung der Ausgangsdatenrate beim Client verursacht, ohne zu warten bis beim Sender ein Timeout auftritt. Der Eingangswert der Congestion Avoidance Phase wird auf die Hälfte der zum Fehlerzeitpunkt vorliegenden Congestion Window Size festgelegt. Dies erlaubt eine schnellere Steigerung der Datenrate. Im Falle eines Timeouts wird auch bei TCP Reno die Congestion Window Size auf 1 MSS zurückgesetzt. Anschliessend die Slow-Start und Congestion Avoidance Phase erneut durchlaufen. Der Schwellenwert wird auf die Hälfte der zum Fehlerzeitpunkt vorliegenden Congestion Window Size festgelegt.

Answer 52

Der Sender wartet reaktiv nach dem Versand von Segmenten für ein definiertes Zeitintervall auf eingehende Bestätigungen und sieht die Segmente danach als verloren an. Der Empfänger teilt proaktiv dem Sender mit, wenn z.B. Segmente in falscher Reihenfolge eintreffen.

Answer 53

Ein essenzieller Bestandteil der logischen Kommunikation ist das Routing. Es dient dazu den optimalen Pfad für Pakete zwischen zwei Hosts durch ein Netzwerk zu finden. Da Netzwerke jedoch nicht zentralisiert arbeiten muss eine Abstimmung des Wissens über die optimalen Pfade unter den Knoten erfolgen.

Answer 54

Routingalgorithmen lassen sich anhand verschiedener Punkte unterscheiden: * Skalierbarkeit in Bezug auf maximale Anzahl Hops im Netzwerk * Konvergenzgeschwindigkeit hinsichtlich der Dauer bis ein optimaler Graph erstellt wurde * Loadbalancing Fähigkeiten zwischen verschiedenen Links * Least-Cost-Path / Non-Least-Cost-Path Algorithmen: ob eine Pfadoptimierung anhand der kumulierten Linkkosten vorgenommen bzw. nicht vorgenommen wird. Eingesetzt werden heute meist der Distance Vector Algorithmus und der Link State Algorithmus.

Answer 55

Der Distance Vector Algorithmus basiert auf dem Bellmann-Ford-Algorithmus. Dabei werden iterativ immer längere Pfade in die Exploration eingeschlossen. Im ersten Schritt werden lediglich die Kantenkosten zu den von ihm direkt erreichbaren Nachbarn geprüft. Im zweiten Schritt werden die Kosten zu den Nachbarn der direkten Nachbarn berücksichtigt. Im dritten Schritt werden dann die Kosten zu den Nachbarn, der Nachbarn der direkten Nachbarn mit eingeschlossen.

Answer 56

* **Interior Gateway Protocols**: Werden innerhalb einer Domäne, bzw. innerhalb eines Autonomen Systems eingesetzt (Intra-Domain), um lokale Routinginformationen auszutauschen. Sie sind häufig limitiert bezüglich der Grösse der zu erkundenden Netze und den Anzahl von Hops. Interior Gateway Protocols werden somit in Networks of Nodes eingesetzt. * **Exterior Gateway Protocols**: Werden als Routingprotokolle zwischen Domänen (Inter-Domain) eingesetzt, erlauben es Routinginformationen zwischen Autonomen Systemen auszutauschen. Exterior Gateway Protocols werden somit in Networks of Networks eingesetzt.

Answer 57

**Intra-Domain Routing**: * Routing Information Protocol (RIP) * Open Shortest Path First (OSPF) **Inter Domain Routing**: * Border Gateway Protocol (BGP) Im Bereich der mobilen, kabellosen Netze werden häufig andere Routingprotokolle eingesetzt, die den häufigen Topologieänderungen dieser Netze Rechnung tragen.

Answer 58

Das Routing selbst ist der Vermittlungsschicht zuzuordnen, die Berechnung der Routen, sowie der damit verbundene Nachrichtenaustausch geschieht jedoch auf der Anwendungsschicht. Routing-Nachrichten werden daher via UDP übertragen. Die Verbindungslose Kommunikation wird gewählt um den Overhead zu reduzieren und die Performance des Austauschs der Routinginformationen zu erhöhen.

Answer 59

Das Routingn Information Protocol (RIP) ist ein Intra-Domain Routing Protokoll und Regelt den Austausch von Routinginformationen in einem Network of Nodes. Es ist aufgrund seiner geringen Komplexität weit verbreitet. Für die Berechnung der günstigsten Routen verwendet RIP den Distance Vector Algorithmus, der auf dem Bellmann-Ford-Algorithmus basiert. Die zu einem Zeitpunkt optimalen Routen werden pro Router in drei Vektoren abgelegt: * Link Cost Vector: Informationen über die Pfadkosten zum Ziel. * Distance Vector: Anzahl der Hops zum Ziel * Next Hop Vector: Gibt den nächsten direkt verbundenen Hop an, über den das Ziel erreichbar ist.

Answer 60

Im **ersten Schritt** wird auf jedem Router der Distance Vector Algorithmus gestartet. Zunächst werden die im initialisierenden Schritt ermittelten Pfade und Informationen in den Vektoren hinterlegt. Die zu berücksichtigende Pfadtiefe wird dann schrittweise erhöht. Im **zweiten Schritt** werden die Vektoren an die nachbarknoten verschickt. Die eigenen Vektoren jedes Routers werden dann mit den Informationen der erhaltenen Vektoren aktualisiert. Im **dritten Schritt** werden wiederum die aktualisierten Vektoren jeweils an die Nachbarknoten verteilt. Abgeschlossen ist dies, sobald kein Router Änderungen der Kosteninformationen erkennt. Wir ein **neuer Router** ins Netz integriert, sendet er selbstständig seine initialisierenden Vektoren an alle Nachbarn, womit ein erneuter Austauschprozess zwischen den Routern ausgelöst wird.

Answer 61

Es ist ausreichend, wenn ein Router initiierend beginnt, da der Versand der eigenen Vektoren an die Nachbarn dazu führt, dass diese mit den eigenen Routinginformationen antworten. Nach der Initialisierungsphase gibt es einen **reaktiven** wie auch einen **proaktiven** Mechanismus zur Aktualisierung der Routen: * **Reaktiv**: Ändern sich die kosten einer Verbindung zwischen zwei Routern erfolgt eine Optimierung der eigenen Vektoren. Sobald sich ein einzelner Wert in den Vektoren ändert, werden diese an alle Nachbarn verteilt und so der Aktualisierungsprozess gestartet. * **Proaktiv**: Um die Aktualität der Routinginformationen zu gewährleisten werden die Vektoren periodisch an die Nachbarn verschickt.

Answer 62

* Limitierung der maximalen Pfadlänge auf 15 Hops * Unperformantes Konvergenzverhalten, dass bei jeder Topologie- oder Link-Kostenänderung von Bedeutung ist. * Schleifenbildung bei Routen, ähnlich dem Problem der Schleifenbildung bei redundanten Netzen.

Answer 63

Open Shortest Path First (OSPF) ist ein Intra-Domain Routing Protokoll und regelt den Austausch von Routinginformationen in einem Network of Nodes. Entwickelt wurde es als Ansatz für die Lösung der bei RIP entstehenden Probleme wie z.B.: * Schleifenbildung * Schlechte Skalierbarkeit * Schlechte Konvergenzzeit * Beschränkung auf kleine Anzahl Hops Durch die Reduzierung dieser Probleme ist OSPF auch für grosse Unternehmensnetze geeignet.

Answer 64

OSPF verwendet für die Berechnung der günstigen Routen zwischen zwei Teilnehmern den Link State Algorithmus, der auf Dijkstra's Algorithmus basiert. Die Informationen über die zu einem Zeitpunkt bekannten, optimalen Routen werden pro Router in einer Matrix abgelegt, aus welcher sich ein Baum ableiten lässt, in dem der jeweils günstigste Pfad zwischen dem Wurzelknoten und allen anderen Knoten hinterlegt ist. Die letzte Zeile in der Matrix nach Terminierung des Algorithmus ist als Routing-Tabelle zu interpretieren: * In der ersten Spalte wird die aktuelle Knotenmenge des Netzes verwaltet, diese wird in jedem Iterationsschritt um einen Knoten erweitert. * Nach jedem Fund eines weiteren Knoten im Netz wird eine neue Pfadspalte ergänzt. * In jeder Pfadspalte werden Informationen über die Verbindung des Wurzelknotens zum entsprechenden Knoten abgelegt. Diese Information umfasst die kumulierten Kosten der Teilpfade sowie Informationen über die Hops auf dem Pfad zwischen Wurzelknoten und dem jeweiligen Knoten.

Answer 65

Der Link State Algorithmus wird auf jedem Router gestartet. Dabei werden die günstigsten Pfade zu den Nachbarn berechnet und dann die initialisierte Routingtabelle per Flooding im Netzwerk verteilt. Die empfangenen Informationen werden von den Routern genutzt um über den Link State Algorithmus die optimale Routingmatrix zu bestimmen. Das Flooding an alle Router und nicht nur iterativ an die Nachbarn ermöglicht eine bessere Skalierung und terminiert zudem deutlich schneller als z.B. der Distance Vector Algorithmus.

Answer 66

Es ist ausreichend, wenn ein Router initiierend beginnt, da die anderen Router auf den Versand der eigenen Routingmatrix mit den eigenen Informationen antworten. Nach der Initialisierung gibt es sowohl einen reaktiven als auch einen proaktiven Mechanismus zur Aktualisierung der Routern: * **Reaktiv**: Ändern sich die kosten einer Verbindung zwischen zwei Routern, erfolgt eine Optimierung der eignen Routingmatrix. Ändert sich ein einzelner Wert in der Matrix werden die Routinginformationen per Flooding im Netz verteilt und damit der Aktualisierungsprozess auf allen Routern startet. * **Proaktiv**: Um die Aktualität der Routinginformationen auf allen Routern in einem Netz zu gewährleisten, kann die Routingmatrix periodisch verschickt werden.

Answer 67

Das Border Gateway Protocol (BGP) ist ein Inter-Domain Routing Protokoll und regelt den Austausch von Routinginformationen in einem Network of Networks. BGP stellt den Quasi-Standard für das Internet dar. BGP verwaltet komprimierte Informationen über eine Route durch verschiedene Netzwerke, im Gegensatz zu Intra-Domain Routing, bei dem die Kosten aller Links von Interesse sind. BGP wird auf den Gateway Routern einzelner Autonomer Systeme eingesetzt. Diese tauschen System-übergreifend untereinander periodisch Informationen aus, welche anderen Netzwerke über die von ihnen verwalteten Netzwerke erreichbar sind und unterhalten direkte Verbindungen zueinander.

Answer 68

Im Gegensatz zu OSPF und RIP werden die Nachrichten zwischen den BGP Gateway Routern nicht via UDP, sondern über TCP-Verbindungen ausgetauscht. Für BGP wurden vier Nachrichten definiert: * Open: Nachricht zum Aufbau einer Verbindung * Update: Nachricht zum Update von Routen * Keepalive: Nachricht zum Aufrechterhalten einer Verbindung * Notification: Nachricht zur Fehlermeldung

Answer 69

Aufgrund der besseren Skalierbarkeit und besseren Eignung für Hierarchisierung der Routen setzt BGP das Path Vector Routing als Algorithmus ein. Dabei hat es keinen Einfluss, ob im verwalteten Autonomen System Protokolle eingesetzt werden, die den Distance Vector Algorithmus oder den Link State Algorithmus verwenden. Das Ergebnis für ein Autonomes System sind die Kosten der Pfade über ein oder mehre Autonome Systeme zum Ziel.

Answer 70

DNS ist einer der wichtigsten Bestandteile des Internets. Die Hauptaufgabe von DNS ist das Übersetzen von Domainnamen in IP-Adressen und sicherstellen, dass jeder Domainname einzigartig aufgelöst werden kann. Weitere Aufgaben von DNS: * Namensauflösung in IPv4 (A) * Namensauflösung in IPv6 (AAAA) * Namen eines E-Mail-Servers (MX) zu einer Domain herausfinden * IP-Adressen zu Domainnamen auflösen (Rückwärtsauflösung) * Alternative Namen für eine Domain benennen (CNAME) Alle Informationen im DNS werden in Resource Records (RR) abgelegt.

Answer 71

DNS ist ein hierarchisch aufgebautes dezentrales System. Dadurch kann die Eindeutigkeit der Domainnamen gewährleistet und die durch viele Zugriffe entstehenden Netzwerklasten angemessen verteilt werden. Für die verschiedenen Bestandteile eines Domainnamens existieren verschiedene DNS-Server. Zur Erhöhung der Ausfallsicherheit existieren insgesamt 13 Root DNS-Server. Ausserdem darf die DNS-Auflösung von Subdomains auch von den DNS-Servern der Domains übernommen werden.

Answer 72

Ein Fully Qualified Domain Name ist ein absoluter Domainname. Er besteht in der Regel aus mehreren Labeln, die alle mit einem Punkt abgeschlossen sind. Bei der Namensauflösung wird der Domainname rückwärts gelesen, beginnend mit dem leeren Root-Label, dem abschliessenden Punkt. Anschliessend folg die Top Level Domain (TLD), welche oft ein länderspezifischer Code (.de, .ch) ist oder die Domain in einen bestimmten Kontext rückt (.edu, .org). Danach folgt der Domainname und gegebenenfalls einige Subdomainnamen. Eine maximale Länge von 255 Zeichen, inklusive aller Punkte muss eingehalten werden.

Answer 73

Um ein Fully Qualified Domain Name auflösen zu können, muss ein Gerät einen DNS Resolver besitzen. Dieser arbeitet sich Ebenen weise durch den DNS-Baum, beginnend beim Root-Server, bis der gewünschte Resource Record aufgelöst werden kann. Die Frage nach dem Resource Record wird an jeden DNS-Server in der Hierarchie gestellt. Ist der angesprochene DNS-Server für diesen Domainnamen zuständig, gibt er den entsprechenden Resource Record als Antwort zurück. Ist er nicht zuständig, kennt aber den zuständigen DNS-Server, gibt er einen Verweis auf den zuständigen DNS-Server zurück.

Answer 74

Es wird grundsätzlich zwischen einer iterativen und rekursiven Auflösung unterschieden. * Iterative Auflösung: Der DNS Resolver muss alle Anfragen von der Root-Ebene bis zum Nameserver des gesuchten Domain selbst senden. * Rekursive Auflösung: Ein DNS-Server wird beauftragt alle Anfragen zu übernehmen, somit genügt eine DNS-Anfrage an einen DNS-Server, welcher dann selbstständig nach der Antwort sucht und diese in einem Paket an den DNS-Resolver zurückgibt. Root-Server und TLD-Server unterstützen in der Regel keine rekursive Auflösung. Endgeräte bekommen bei der Einwahl ins Internet jedoch oftmals einen DNS-Server zugewiesen, der eine rekursive Auflösung erlaubt.

Answer 75

Die Kommunikation zwischen DNS-Resolver und DNS-Server wird üblicherweise über UDP transportiert. Die Kommunikaiton zwischen DNS-Servern findet teilweise auch über TCP statt. Dabei wird ein Protokollehader verwendet, welcher eine flexible Struktur aufweist, um DNS-Anfragen und Antworten mit unterschiedlichen Längen sowie Teilanfragen und Teilantworten zu realisieren. Der Header beinhaltet unteranderem: * Identifikation zur Zuordnung des richtigen Antwortpakets zur Anfrage. * Ein Bit ob es sich um Anfrage oder Antwort handelt * Info ob der DNS-Server für die Domain zuständig ist. * Question Block mit einer beliebigen Anzahl von DNS-Anfragen * Answer-Block mit den Resource Records zu den Anfragen * Authority-Block mit DNS-Servern die für die Anfragen und Antworten zuständig sind.

Answer 76

Bei grossen Rechenzentren, die z.B. Webseiten bereitstellen kann das DNS-System mehrere A-Records (oder AAAA-Records bei IPv6) in einer Liste zurückgeben. Die Reihenfolge innerhalb der Liste ändert sich bei jeder DNS-Anfrage, wobei das Endgerät in der Regel den ersten Eintrag in der Liste verwendet. Dadurch kann die Last aller Web-Anfragen auf mehrere gleich konfigurierte und synchronisierte Webserver gleichmässig verteilt werden.

Answer 77

Die Hauptkritik an DNS ist deren Sicherheit. Beim sogenannten DNS-Spoofing kann die DNS-Auflösung manipuliert werden. In einem als Phishing bekannten Angriff, wird etwa die DNS-Auflösung von eBanking-Servern manipuliert, sodass Kunden auf eine täuschend echt gestaltete Webseite gelangen, auf der sie nach ihren Konto Informationen gefragt werden. Eine Lösung dafür ist der DNSSEC-Standard, welcher in der Lage ist, digitale Signaturen über die gesendeten Resource Records zu versenden. Dadurch wird dem Fälschen von RR-Einträgen vorgebäugt, da nur Besitzer der richtigen privaten Schlüssel eine korrekte digitale Signatur erzeugen können.

Answer 78

VPNs erlauben den Aufbau virtueller Verbindungen zwischen Netzen oder Geräten und schaffen gleichzeitig ein privates Netzwerk, das in sich geschützt ist. Ein VPN unterscheidet sich von einem herkömmlichen Netzwerke dadurch, dass es virtuell und privat ist.

Answer 79

Virtuell hat hier zwei Bedeutungen: * Es sind keine dedizierten Kommunikationskanäle notwendig, stattdessen kann die bestehende Netzwerkinfrastruktur verwendet werden. * Es bedeutet Transparenz. Für den Nutzer wird das Verhalten eines normalen Netzwerks nachgeahmt, sodass er keinen Unterschied feststellen kann.

Answer 80

Privat hat hier zwei Bedeutungen: * Trotz der Mitnutzung bestehender Kommunikationskanäle ist ein VPN abgetrennt von anderer Netzwerkkommunikation auf diesem Kanal. Dies bedeutet, dass die Kommunikation der Mitbenutzer der physikalischen Kanäle keinen manipulierenden Einfluss auf die VPN-Kommunikation nehmen kann. * Die Kommunikation eines VPNs ist, durch Verschlüsselung, vertraulich. Für die Vertraulichkeit ist ausserdem wichtig, dass die Identitäten der VPN-Endpunkte bekannt sind (Authentizität). Neben der Vertraulichkeit und Authentizität kommt noch der Schutz der Integrität hinzu, d.h. Schutz vor Veränderung der Daten durch Dritte.

Answer 81

VPNs können in unterschiedlichen Architekturen und zwischen unterschiedlichen Geräten aufgebaut werden. Hauptsächlich gibt es drei verschiedene Formen von VPN Lösungen: * Verbindung von zwei Netzen: Der VPN wird hierbei als Überbrückung eines oft nicht vertrauenswürdigen Netzes, wie dem Internet, verwendet. * Verbindung von Gerät und Netzwerk: z.B. für die Einwahl eines Aussendienstmitarbeiters in das Netzwerk der Firma. Unter Verwendung eines VPN-Clients wird eine Verbindung zwischen seinem Endgerät und dem Netz der Firma hergestellt. * Verbindung von zwei Geräten: Kommt häufig bei der Fernwartung zum Einsatz. Auch einige Peer-to-Peer Netzwerke wie Filesharing, erfüllen die Kriterien für eine VPN-Lösung, wobei diese oftmals weniger Fokus auf die Vertraulichkeit setzen.

Answer 82

* **Fat-Client**: Auf der Seite des Anwenders gibt es eine Anwendung, die sich ausschliesslich um die Verbindung zum VPN-Netzwerk kümmert. * **Thin-Client**: Unter Verwendung des Browser, wird mit Hilfe des TLS-Protokolls (HTTPS), eine verschlüsselte Verbindung zu einem Server aufgebaut. Durch diesen VPN-Tunnel können beliebige Inhalte zwischen Endgerät und Server ausgetauscht werden.

Answer 83

Ein PC A in Subnetz A möchte Daten an einen PC B in Subnetz B versenden: * PC A sendet Daten an IP-Adresse von PC B * Der Router A von Subnetz A hat einen Routingeintrag mit der VPN-IP von Router B von Subnetz B * Router A versendet VPN-Paket an externe IP-Adresse von Router B * Router B erhält VPN-Paket, entpackt dieses und erhält IP-Adresse von PC B * Router B sendet Paket an PC B Während der Übertragung durch das unsichere Medium Internet war das Datenpaket stets verschlüsselt.

Answer 84

* Vertrauliche Kommunikation * Authentische Teilnehmer * Integritätsschutz der Daten

Answer 85

Das Point-to-Point Protocol (PPP) ist ein Tunnelprotokoll, das auf der Sicherungsschicht arbeitet. Es wird häufig von Internetprovidern eingesetzt, z.B. für die Einwahl mit Modem-, ISDN- oder DSL-Verbindungen.

Answer 86

Neben PPP kommen noch weiter Hilfsprotokolle für den Aufbau und die Verwaltung von VPN-tunnels zum Einsatz: * **Link Control Protocol (LCP)**: Verwaltet die Datenverbindung, regelt die Authentifizierung und konfiguriert die Optionen des VPN-Tunnels. * **Network Control Protocol (NCP)**: Konfiguriert die Netzwerkschnittstelle auf der Clientseite.

Answer 87

Die Authentifizierung des Clients erfolgt über eines von zwei Authentifizierungsprotokolle : * Password Authentification Protocol (PAP): Überträgt das Passwort des Clients in Klartext. * Challenge Handshake Authentication Protocol (CHAP): Aus dem erhaltenen Challenge und dem Passwort wird mit Hilfe einer Einwegfunktion eine Response berechnet und übertragen. Bei allen Authentifizierungsprotokollen steht die Identität des Clients im Fokus, eine Authentifizierung des Servers wird hingegen nicht vorgenommen.

Answer 88

Bei Einwahlverbindungen mit dem Modem oder ISDN wird PPP eingesetzt. Bei anderen Verbindungen wie DSL oder ATM kommt ein Zusatzprotokoll zum Einsatz. Bei DSL-Breitbandverbindungen kommt das Protokoll PPPoE und bei ATM das Protokoll PPPoA zum Einsatz.

Answer 89

PPP kann auch für VPN-Verbindungen durch das Internet verwendet werden. Dafür wird das Point-to-Point Tunneling Protocol (PPTP) eingesetzt. Da das Internet nicht vertrauenswürdig ist, sollte auf das unsichere Password Authentification Protocol (PAP) verzichtet und stattdessen ein CHAP-Protokoll eingesetzt werden, welches jedoch ebenfalls angegriffen werden kann.

Answer 90

Es existiert weder eine Serverauthentifizierung noch eine besonders starke Clientauthentifizierung. Falls eine Verschlüsselung auf den VPN-Tunnel angewendet wird, ist diese ebenfalls nicht besonders stark.

Answer 91

Das Internet Protocol Security Extension (Ipsec) arbeitet oberhalb der Vermittlungsschicht und legt den Fokus auf die Sicherheit, insbesondere Vertraulichkeit und Authentizität. Die Authentifizierung erfolgt jedoch über Hilfsprotokolle.

Answer 92

Bei Ipsec gibt es mehrere Betriebsmodi und Sicherheitsmodi. Betriebsmodi: * Transportmodus: Eignet sich für mobile Einwahl von Mitarbeitern, jedoch nicht für Überbrückung von zwei Netzen, da es keinen Tunnel gibt und die verwendeten IP-Adressen sichtbar bleiben. * Tunnelmodus: Kommunikation mit externen IP-adressen, nur innerhalb des Tunnels werden interne IP-Adressen des VPN-Netzes verwendet. In beiden Betriebsmodi kommt jeweils einer von zwei Sicherheitsmodi zum Einsatz: * Authentication Header (AH): authentifiziert die übertragenen Inhalte und schützt die Integrität der Daten * Encapsulating Security Payload (ESP): Zusätzlich zu Authentifizierung und Integritätsschutz verschlüsselt ESP die Daten.

Answer 93

Zwei Datenbanken sind wichtig: * Security Policy Database (SPD): Enthält Informationen darüber, wie Datenpakete behandelt werden soll. Ob ESP oder AH verwendet wird und ob Pakete im Transportmodus oder Tunnelmodus gekapselt werden. Die Entscheidung wie Datenpakete behandelt werden sollen, wird auf Basis von Quell-IP-Adressen oder Ziel-IP-Adressen und verwendetem Transportprotokoll getroffen. Ausserdem wird den Datenpaketen ein Security Parameter Index zugewiesen. * Security Association Database (SAD): In SAD ist für jeden Security Parameter Index festgelegt, welche Schlüssel und welche Algorithmen eingesetzt werden sollen.

Answer 94

Für die Authentifizierung der Gegenstellen in Ipsec wird ein externes Protokoll wie das Internet Key Exchange (IKE) hinzugezogen. IKE ist ein eigenständiger Dienst, der über eine normale UDP-Kommunikation arbeitet. Nachdem die Gegenstellen beidseitig authentifiziert wurden, werden die Security Associations (SA) generiert und die jeweiligen Security Association Databases (SAD) geschrieben.

Answer 95

Ein negativer Aspekt ist die Komplexität, die sich durch einen komplexen Aufbau der Datenpakete äussert. IPsec im Transport/AH-Modus lässt sich auch nicht ohne weiteres mit NAT betreiben. Die Komplexität von IPsec wird durch die vielen unterschiedlichen Lösungen für den Schlüsselaustausch noch erhöht.

Answer 96

Durch die Verwendung des Transport Layer Security (TLS) Protokolls wird ein als sehr sichere bekanntes Protokoll verwendet, um VPN-Tunnel aufzubauen. TLS-basierte VPN arbeiten auf der Anwendungsschicht und haben so den Vorteil, dass es mit anderen Netzwerkmechanismen wie NAT zu keiner Kollision kommen kann.

Answer 97

OpenVPN ist eine der bekanntesten VPN-Lösungen mit TLS-Basis. Verschlüsselung und Integritätsschutz werden mit Hilfe des TLS-Protokolls durchgeführt. In OpenVPN lassen sich Devices Auswählen: * tun: OpenVPN transportiert alle Protokolle oberhalb der Vermittlungsschicht * tap: Protokolle auf der Sicherungsschicht können getunnelt werden, wodurch auch veraltete Protokolle getunnelt werden können. Ausserdem Kann ausgewählt werden ob UDP oder TCP verwendet werden soll, wobei UDP bevorzugt werden sollte, da die Congestion Control Mechanismen von TCP zu Problemen führen könnte.

Answer 98

Durch die Verwendung von TLS kann ein hohes Sicherheitsniveau erreicht werden. Der einfache Aufbau der Pakete ermöglicht eine schnelle und reibungslose VPN-Lösung.

Answer 99

IT-Sicherheit im Kontext der Computersysteme kann grundsätzlich in zwei Bereiche untergliedert werden: * Netzwerksicherheit: Bezieht sich auf die Sicherheit der kommunizierten Daten durch das Netzwerk. Neben den Sicherheitseigenschaften der Header einzelner Protokolle fallen auch die Verschlüsselung bzw. Absicherung der Daten und die Kommunikationsinfrastruktur selbst in diesen Bereich * Anwendungssicherheit: Die Sicherheit der Implementierungen auf den Geräten fällt in diesen Bereich. Dies reicht von grundlegenden Softwarekomponenten über fehlerhaft programmierte C-Anwendungen bis zu angreifbaren Web-Applikationen

Answer 100

Auf logischer Netzwerkebene gibt es viele Möglichkeiten Geräte anzugreifen. Es gibt unterschiedliche Zielsetzungen wie das Abhören oder Manipulieren der Netzwerkkommunikation oder das aktive Stören von Diensten.

Answer 101

Das Abhören von Netzwerkkommunikation ist grundsätzlich ein passiver Angriff, bei dem vom Angreifer keine Daten gesendet werden. Das Abhören der Kommunikation in einem Broadcastmedium lässt sich aus diesem Grund nicht erkennen. Handelt es sich nicht um eine Broadcastmedium können andere Teilnehmer nicht ohne weiteres abgehört werden. Durch Umleiten der fremden Kommunikation über das eigene Endgerät kann trotzdem abgehört werden. Dadurch wird es jedoch zu einem aktiven Angriff, der erkannt werden kann.

Answer 102

Die einfachste Methode ist ARP-Spoofing. Der Angreifer sendet dabei ein ARP-Request, wobei als Sender-IP-Adresse die Adresse des abzuhörenden Hosts und als Sender-MAC-Adresse die IP-Adresse des Angreifers eingetragen wird. In den ARP-Tabellen der umliegenden Hosts wird dadurch der Eintrag für den abzuhörenden Host mit der MAC-Adresse des Angreifers überschrieben. Die Kommunikation mit dem abzuhörenden Host wird dadurch an den Angreifer umgeleitet, welche die Daten nach dem Abhören oder Manipulieren an den richtigen Host weiterleitet.

Answer 103

Wenn einem Angreifer die Umleitung der Kommunikation über sich selbst gelingt, ist neben dem Abhören auch das Manipulieren oder Unterbrechen der Kommunikation möglich womit sich ein Denial of Service (DoS) realisieren lässt. Dies kann z.B. durch Auslasten der Bandbreite eines Endgerätes, das Auslasten von Ressourcen oder das Ausnutzen von Implementierungsfehlern erreicht werden.

Answer 104

Mit einer Firewall kann die Sicherheit eines Netzwerks erhöht werden, indem Netzwerkkommunikation und im speziellen Angriffe blockiert werden. Man unterscheidet zwischen Personal Firewalls und Firewalls auf dedizierter Hardware.

Answer 105

Die Personal Firewall ist auf dem Endgerät selbst installiert und ermöglich es ausgehende und eingehende Verbindungen zu blockieren. * **Ausgehende Verbindungen**: In der Regel gibt es eine Liste mit Prozessen die kommunizieren bzw. nicht kommunizieren dürfen. Die Kommunikation von Malware lässt sich so unter Umständen vermeiden. * **Eingehende Kommunikation**: Dadurch, dass die Firewall auf dem Endgerät selbst installiert ist, ist die Funktionsweise eingeschränkt. Die meisten DoS-Angriffe lassen sich so nicht bekämpfen. Nach dem Überwinden der Firewall gibt es für Angreifen meist keine weiteren Hürden.

Answer 106

Eine Firewall auf dedizierter Hardware arbeitet für gewöhnlich als reiner Paketfilter. Sie kann auf verschiedenen Schichten (z.B. Quell-MAC, Ziel-IP, Ziel TCP-Port, Webseite im HTTP-Request) in die eingehenden und ausgehenden Pakete hineinsehen und diese anhand verschiedener Kriterien verschiedenen Filterzielen zuordnen. Filterziele: * Accept: Kommunikation wird zugelassen * Drop: Kommunikation wird direkt verworfen * Reject: Kommunikation wird verworfen, Firewall sendet Fehlermeldung an Absender

Answer 107

Bei Firewalls gibt es unterschiedliche Konfigurationsansätze: * Whitelist-Ansatz: Erlaubte Dienste werden explizit konfiguriert und der Rest verboten * Blacklist-Ansatz: Grundsätzlich ist alles erlaubt, spezielle Dienste werden explizit verboten. Der Whitelist-Ansatz bietet die höhere Sicherheit, da eine Fehlkonfiguration nicht direkt dazu führt, dass ein angreifbarer Dienst zugreifbar ist.

Answer 108

Ein Webserver, der aus dem Internet zugreifbar ist, wird oft in der demilitarisierten Zone (DMZ)positioniert, dabei handelt es sich um ein Netzwerk mit geringeren Sicherheitsansprüchen und ist daher explizit vom lokalen Netzwerk getrennt. Kann ein Angreifer den Webserver übernehmen muss er so erst noch die Firewall überwinden, bevor er auf das lokale Netzwerk zugreifen kann. Um die Sicherheit weiter zu erhöhen kann beim Einsatz von LAN und DMZ eine äussere und eine innere Firewall zum Einsatz kommen. Wobei die äussere Firewall bereits überwunden werden muss, um auf die DMZ zuzugreifen und die Innere um dann auf das LAN zugreifen zu können.

Answer 109

Damit bei ausgehenden Verbindungen auch die Antworten die Firewall passieren können muss eine einfache Firewall in der Regel komplex konfiguriert werden. Dafür gibt es Erweiterungsmodule, wie z.B. das Stateful Packet Inspeciton (SPI), welches für ausgegangene Netzwerkpakete automatisch den "Rückweg" freischaltet. Eingehende Pakete, zu denen kein ausgehender Datenfluss existiert und für die keine andere Firewallregel zutreffen, werden verworfen.

Answer 110

Kommunikation auf Anwendungsebene beschreibt die netzunabhängige Kommunikation von mindestens zwei Anwendungsprozessen. Sie wird auf der Anwendungsschicht umgesetzt. Die Adressierung von Elementen sowie die Ermöglichung verbindungsloser und Verbindungsorientierter Kommunikation verschiedener Anwendungsinstanzen wird bereits durch Protokolle der darunter liegenden Schichten sichergestellt, sodass diese als Dienst für die Anwendungsschicht bereitstehen.