Sie sind auf Seite 1von 377

Netzwerke und Sicherheit mit TCP/IP

Netzwerke und Sicherheit mit TCP/IP


M
G G
- 1 - Gerhard M. Glaser Stand: 14.08.2008
Stand: 14.08.2008
Gerhard M. Glaser
Netzwerke und Sicherheit
mit TCP/IP
Netzwerke und Sicherheit
mit TCP/IP
Web-Schulung
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 2 - Gerhard M. Glaser
M
G G
Inhalt (1)
Kapitel 1 Grundlagen/ wichtige Standards
OSI-Modell
IEEE-Standards (CSMA/CD, 802.11/ WLAN etc.)
Protokollarten (verbindungsorientiert/ -los)
Layer 2 (Ethernet/ 802.3, VLANs, Bridges/ Switches)
TCP/IP-History
RFCs
Kapitel 2 Internet Protokoll (IP)
Type Of Service (TOS)
Fragmentierung
Grnde fr Fragmentierung
Fragment Offset, Flags etc./ Reassemblierung
Time To Live (TTL)
IP-Protokoll-Nummern
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 3 - Gerhard M. Glaser
M
G G
Inhalt (2)
Kapitel 3 IP-Adressierung/ -Subnetting
Adress-Aufbau
Multicast-Adressen
Private Adressen
IP-Subnetzmasken/ -Subnetting
Kapitel 4 IP ber serielle Leitungen (SLIP, PPP, PPPoE)
Kapitel 5 IPv6
Kapitel 6 Address Resolution Protocol (ARP)
ARP
Gratuitous ARP
RARP
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 4 - Gerhard M. Glaser
M
G G
Inhalt (3)
Kapitel 7 IP-Routing
Routing auf Backbone
Routing in vermaschten Netzen
Proxy ARP
Kapitel 8 Internet Control Message Protocol (ICMP)
ICMP-Fehlermeldungen
ICMP-Info-Meldungen
Trace Route Methoden
Kapitel 9 Routing Protokolle
RIP
Split Horizon
Classful Routing
OSPF
Nicht roubare Protokolle
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 5 - Gerhard M. Glaser
M
G G
Inhalt (4)
Kapitel 10 Transmission Control Protocol (TCP)
Ports, Sockets
Verbindungsaufbau/ -abbau (Three-Way Handshake)
Flow-Control (Sliding-Window-Mechanism)
Congestion Control (SlowStart)
Verbindungsmanagement
Kapitel 11 User Datagram Protocol (UDP)
Eigenschaften
Dienste auf UDP
Unterschiede zu TCP
Kapitel 12 TELNET
Kapitel 13 File Transfer Protocol (FTP)
Active FTP
Passive FTP
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 6 - Gerhard M. Glaser
M
G G
Inhalt (5)
Kapitel 14 E-Mail-Protokolle
SMTP
SPAM/ Privacy
POP3/ IMAP
Kapitel 15 Name Services
Internet Name Service (IEN 116)
DNS
Kapitel 16 - BootP/ DHCP
DHCP-Ablauf
APIPA
Kapitel 17 Trivial File Transfer Protocol (TFTP)
Kapitel 18 R -Utilities
Kapitel 19 Network File System (NFS)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 7 - Gerhard M. Glaser
M
G G
Inhalt (6)
Kapitel 20 Internet
HTTP/ HTTPS
HTTP Status Codes
Proxy- und Socks-Server
Kapitel 21 Voice Over IP
Kapitel 22 Simple Network Management Protocol (SNMP)
Manager, Agent
RMON
Kapitel 23 Trouble Shooting
Tools (eingebaute Tools/ externe Tools)
Probe vs. Analyzer
Eigenschaften von Analysatoren
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 8 - Gerhard M. Glaser
M
G G
Inhalt (7)
Kapitel 24 Sicherheit
Firewalls, IDS/ IPS, Honeypots etc.
Portscanning/ Methoden
VPN/ Tunneling Protokolle
IPsec
L2TP
SSL
Verschlsselung/ Digitale Signatur
PKI/ Zertifikate (X. 509)
Authentisierung
PAP/ CHAP
RADIUS
NAT/ PAT Funktionsweise und Probleme
Virtueller Server/ Port Forwarding
STUN/ UDP Port Punching
IPsec ber NAT/ PAT-Devices (NAT Traversal)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
M
G G
- 9 - Gerhard M. Glaser Stand: 14.08.2008
Kapitel 1
Grundlagen/
wichtige Standards
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 10 - Gerhard M. Glaser
M
G G
Transport Layer Transportschicht
Protokolle
Application Layer
Presentation Layer
Session Layer
Network Layer
Data Link Layer
Physical Layer
Vermittlungsschicht
Sicherungsschicht
Physikalische Schicht
Anwendungsschicht
Darstellungsschicht
Sitzungsschicht
Endsystem (Sender) Endsystem (Empfnger)
Medium
ISO/OSI-Modell - Schichten
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 11 - Gerhard M. Glaser
M
G G
ISO/OSI-Modell - Schnittstelle
SAP
Schicht N
Schicht N+1
ICI
SDU
H
ICI
SDU
Interface
IDU
PDU
Kommunikation
auf Schicht N
Kommunikation
auf Schicht N+1
SAP Service Access Point ICI Interface Control Information
IDU Interface Data Unit SDU Service Data Unit
PDU Protocol Data Unit H Header
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 12 - Gerhard M. Glaser
M
G G
802.1 Umfeld, LAN-/MAN-Management
802.1d Transparent-/ SRT-Bridging
802.1p/ Q VLAN-Tagging
802.1x Portbasierender Zugangsschutz
802.2 Logical Link Control (inactive)
802.3 CSMA/CD
*)
( Ethernet )
802.4 Token Bus
802.5 Token Ring (inactiv)
802.6 Distributed Queue Dual Bus (DQDB)
802.7 Broadband LANs
802.8 Multimode Fiber Optic Media
802.9 Integrated Services LAN
802.10 Std. for Interoperable LAN/MAN Security (SILS)
802.11 Wireless LANs
802.12 Demand Priority LAN > 10 MB (VGanyLAN)
802.14 CATV-based Broadband Connectivity Networks
802.15 Wireless Personal Area Network (WPAN) - z.B. Bluetooth
802.16 Worldwide Interoperability for Microwave Access (WiMax)
802.17 Resilent Packet Ring
Link: http://standards.ieee.org/getieee802/portfolio.html
*) Carrier Sense Multiple Access with Collision Detection
Wichtige Standards der Arbeitsgruppe 802
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 13 - Gerhard M. Glaser
M
G G
IEEE-Standards, MAC und LLC
(im Vergleich zu Ethernet)
MAC Medium Access Control
LLC Logical Link Control
Layer 1
Layer 2
Layer 3
MAC
LLC
802.3 802.5
802.2
(CSMA/CD) (Token Ring)
IP
E
t
h
e
r
n
e
t
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 14 - Gerhard M. Glaser
M
G G
IEEE-Standards
802.1, 802.2, 802.3, 802.4, 802.5
802.3
(CSMA/CD)
802.4
(Token Bus)
802.5
(Token Ring)
802.2
802.1
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 15 - Gerhard M. Glaser
M
G G
IEEE 802.3 (CSMA/CD) Standard-Aktivitten - Auswahl
802.3 CSMA/CD (Ethernet): 10Base5
802.3a 10Base2 (Cheapernet)
802.3b 10Broad36
802.3e 1Base5 Starlan
802.3i 10Base-T
802.3j 10Base-F
802.3u 100Base-T (100 Mbit-Ethernet)
802.3x Full Duplex/ Flow Control
802.3z Gigabit Ethernet (7/1998)
802.3 ab 1000BASE-T (6/1999)
802.3 ac VLAN Tag (9/1998)
802.3 ae 10Gb/s Ethernet (6/2002)
802.3 an 10GBase-T (6/2006)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 16 - Gerhard M. Glaser
M
G G
IEEE 802.11 (WLAN) Standard-Aktivitten -
Auswahl
802.11a 54 Mbps, 5 GHz
keine ETSI-Zulassung! (9/1999)
802.11b 11 Mbps, 2.4 GHz (9/1999)
802.11d World Mode
(u.a. Roaming zwischen Lndern) (6/2001)
802.11e Quality Of Service
802.11g Higher Data Rate (> 20 Mbps) (6/2003)
802.11i Authentication und Sicherheit
(inkl. WPA) (6/2004)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 17 - Gerhard M. Glaser
M
G G
E
t
h
e
r
n
e
t
-
v
s
.

8
0
2
.
3
-
F
r
a
m
e
s
P
r
o
t
o
k
o
l
l
-
I
D

(
3

O
c
t
.
)
1
)
S
F
D

=

S
t
a
r
t

F
r
a
m
e

D
e
l
i
m
i
t
e
r
2
)
L
L
C

(
I
E
E
E

8
0
2
.
2
)
E
t
h
e
r
n
e
t

V
.
2
8
0
2
.
3
/
8
0
2
.
2
8
0
2
.
3

S
N
A
P
F
C
S

(
4

O
c
t
e
t
s
)
F

l
l
z
e
i
c
h
e
n

(
v
a
r
i
a
b
e
l
)
P
r
e
a
m
b
e
l
(
7

O
c
t
e
t
s
)
R
a
h
m
e
n
b
e
g
r
e
n
z
e
r
/
S
F
D
1
)
(
1
O
c
t
e
t
)
Z
i
e
l
a
d
r
e
s
s
e

(
6

O
c
t
e
t
s
=

4
8

B
i
t
)
Q
u
e
l
l
a
d
r
e
s
s
e

(
6

O
c
t
e
t
s
=

4
8

B
i
t
)
T
y
p
e
P
a
k
e
t
l

n
g
e

(
2

O
c
t
e
t
s
)
C
o
d
e
1

O
c
t
e
t
S
S
A
P
1

O
c
t
e
t
A
A
D
S
A
P
1

O
c
t
e
t
A
A
D
a
t
e
n
(
4
6

.
.
.

1
5
0
0

B
y
t
e
)
D
a
t
e
n
(
4
6

.
.
.

1
5
0
0

B
y
t
e
)
D
a
t
e
n
(
4
6

.
.
.

1
5
0
0

B
y
t
e
)
E
t
h
e
r
-
T
y
p
e

(
2

O
c
t
.
)
2
)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 18 - Gerhard M. Glaser
M
G G
802.3 Frame - Aufbau
I
G
U
L
Herstellerkennung Gertenummer
1 1 22 24
Darstellung gem IEEE 802.3 Standard:
Anordnung der Bits/ Bytes in bertragungsreihenfolge
(hchstwertigstes Byte und niederwertigstes Bit werden zuerst bertragen)
Herstellerkennungen (Auswahl):
00-00-1D Cabletron 08-00-2B DEC
08-00-02 3Com AA-00-04 DECnet
08-00-09 HP 00-AA-00 Intel
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 19 - Gerhard M. Glaser
M
G G
I
G
U
L
Herstellerkennung Gertenummer
1 1 22 24
802.3 Frame - Aufbau
Multicast-Adressen
Adressen, die im ersten Byte einen ungeraden Wert haben, sind Multicast-Adressen
z.B. 01-00-5E-XX-XX-XX IANA Ethernet Address Block (z.B. IP-Multicasts vgl. Folie 61)
AB- 00- 00- XX- XX- XX DECnet Broadcast
CF- 00- 00- 00- 00- 00 Ethernet-Loop-Back
FF-FF-FF-FF-FF-FF Ethernet Broadcast
Xxxx1 - XX - XX - XX - XX - XX
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 20 - Gerhard M. Glaser
M
G G
Wichtige Typfelder
00-00 ... 05-DC IEEE802.3 Length Field (05-DD ... 05-FF nicht vergeben!)
06-00 Xerox NS IDP
08-00 DOD Internet Protocol (IP)
08-06 Address Resolution Protocol (ARP)
0B-AD Banyan Systems
0B-AF Banyon VINES Echo
60-00 DEC unassigned, experimental
60-01 ... 60-08 DEC
80-05 HP Probe protocol
80-35 Reverse Address Resolution Protocol (RARP)
80-38 ... 80-42 DEC
80-7D ... 80-80 Vitalink
80-9B EtherTalk (AppleTalk over Ethernet)
80-F3 AppleTalk Address Resolution Protocol (AARP)
81-37 ... 81-38 Novell, Inc.
86DD IPv6
90-00 Loopback (Configuration Test Protocol)
90-01 ... 90-03 3Com
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 21 - Gerhard M. Glaser
M
G G
Wichtige DSAPs/ SSAPs
00 Null SAP
02 Individual LLC Sublayer Mgmt Function
03 Group LLC Sublayer Mgmt Function
06 ARPANET Internet Protocol (IP)
42 IEEE 802.1 Bridge Spanning Tree Protocol
80 Xerox Network Systems (XNS)
98 ARPANET Address Resolution Protocol (ARP)
AA Sub-Network Access Protocol (SNAP)
BC Banyan VINES
E0 Novell Netware
F0 IBM NetBIOS
F4/ F5 IBM LAN Management
FE ISO Network Layer Protocol
FF Global SAP
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 22 - Gerhard M. Glaser
M
G G
VLAN (802.1p/ 802.1Q)
Logische Trennung des Datenstroms auf Layer 2
Verschiedene Typen
Statisch (Port basierend): per Definition in Switch
Dynamisch (MAC basierend): per Tag im Ethernet-Paket
Tag (4 Byte): zwischen Source Address und Type-Field
VID (VLAN ID): 4096 Adressen (farbliche Kennzeichnung)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 23 - Gerhard M. Glaser
M
G G
C
A
D
B
Bridge - Arbeitsweise (1)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 24 - Gerhard M. Glaser
M
G G
C
A
D
B
A, B, ...
C, D, ...
Bridge - Arbeitsweise (2)
A, B, ...
C, D, ...
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 25 - Gerhard M. Glaser
M
G G
Bridges - Begriffe
Filtering Rate
Anzahl der Pakete, die sich eine Bridge anschauenkann
Forwarding Rate
Anzahl der Pakete, die eine Bridge weiterreichen kann
Achtung: Hufig Summe fr beide/alle bertragungsrichtungen!
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 26 - Gerhard M. Glaser
M
G G
Transitsysteme im OSI-Modell
Repeater/ Sternkoppler
Bridges/ Switches
Router
Gateways
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 27 - Gerhard M. Glaser
M
G G
Transitsysteme im OSI-Modell
(Aufgaben - Zusammenfassung)
Repeater Repeater/ Hub: / Hub: C Regeneriert und verstrkt das elektrische Signal und leitet dieses an alle
Ports weiter (keine Broadcast!)
C Fhrt keine Bitinterpretation durch.
Bridge/ Switch: C Nimmt physikalische Trennung von Netzen vor ( Collision-Domain ).
C Fhrt Fehler- und Lasttrennung auf Basis von MAC-Adressen durch.
C Hat meist Mechanismen zum Filtern implementiert.
C Rudimentre Mechanismen zur Wegefindung sind u.U. vorhanden
( Routing Bridge )
Router: C Entkoppelt die Netze auf logischer Basis aufgrund von Layer 3-Adressen;
z.B. IP-Adressen.
C Arbeitet protokollabhngig!
C Steuert den Verkehr zwischen Netzen ( Wegefindung ).
Gateway: C Nimmt eine Umwandlung von Diensten vor (i.a. oberhalb Schicht 4).
C Security-Mechanismen mglich (z.B. Firewall , Proxy ).
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 28 - Gerhard M. Glaser
M
G G
Protokollarten
(unabhngig von OSI-Schichten)
Verbindungsorientiert (connection-oriented)
logische Verbindung zwischen Kommunikations-Partnern
Sender kennt Zustand von Empfnger und Paket(en)
vergleichbar:
klassische Telefonverbindung
Gesprch zwischen Menschen
Verbindungslos (connectionless, datagram-service)
keine logische Verbindung
Pakete werden unkontrolliert versendet
vergleichbar:
SMS
Marktschreier (Megafon)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 29 - Gerhard M. Glaser
M
G G
TCP/IP-History (berblick)
1969 erste Arbeiten an einem paketvermittelnden Rechnernetz
1972 das ARPANET wird der ffentlichkeit vorgestellt
1973 Ethernet is born
1975 die DCA (Defence Communications Agency) bernimmt die Federfhrung im
ARPANET
1976 Grundsteinlegung zu TCP/IP durch die IFIP (International Federation Of
Information Processing)
1979 DEC, Intel und XEROX (DIX-Group) entwickeln gemeinsam das Ethernet weiter
1980 Ethernet Version 1.0 wird verffentlicht
Bercley UNIX (BSD 4.1) wird entwickelt und enthlt TCP/IP
1983 Das ARPANET wird endgltig von NCP auf TCP/IP umgestellt
Aufteilung des ARPANET in MILNET und ARPANET
1985 Einfhrung von TCP/IP in kommerzielle Anwendungen
1991 mehr als 1000 Hersteller untersttzen TCP/IP
1993 mehr als 10000 Hersteller untersttzen TCP/IP
1994 WWWwird offizielles Projekt von CERN, die W3-ORG wird ins Leben gerufen
1996 das Internet umfasst ca. 15 Mio. Anschlsse
2001 im November wird die 5 Mio. DE-Domain vergeben - pro Minute werden 2
Domains vergeben (90 000/ Monat) - Start .DE am 5.11.1986
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 30 - Gerhard M. Glaser
M
G G
RFCs, MIL-Specs u.a.
RFC: Request For Comments
Arbeitspapiere, Protokollspezifikationen und
Kommentare der Internet-Community
Verffentlicht durch das Stanford Research Institut: www.rfc-editor.org
aktueller Stand: 5082 RFCs (Ende Oktober 2007)
MIL-STD: Ausfhrliche Beschreibung und Implementierungs-
anweisung wichtiger DoD-Protokolle
IEN: Internet Experimental/ Engineering Notes
Vorlufer der RFCs
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 31 - Gerhard M. Glaser
M
G G
Standardisierungsprozess / RFCs (1)
Offener Prozess
Entwicklung durch Arbeitsgruppen der
Internet Engineering Task Force (IETF)
Entscheidung durch
Internet Engineering Steering Group (IESG)
Verffentlichung in RFC
Achtung:
Nicht jeder RFC beschreibt einen Standard ( STDxxxx )!
Auflistung aller Standards in STD 1 (z.Z. RFC 3300)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 32 - Gerhard M. Glaser
M
G G
Standardisierungsprozess/ RFCs (2)
Standardisierungsstufen (STD)
Internet Draft (i.A. Arbeitsgruppe)
Proposed Standard
Draft Standard
Internet Standard
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 33 - Gerhard M. Glaser
M
G G
Standardisierungsprozess/ RFCs (3)
Keine Standards:
Experimental
Informational (FYIxxxx)
Best Current Practice (BCPxxxx)
RARE
*)
Technical Reports (RTRxxxx)
Historic
*) RARE = Reseaux Associes pour la Recherche Europeenne
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
M
G G
- 34 - Gerhard M. Glaser Stand: 14.08.2008
Kapitel 2
Internet Protocol
(IP)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 35 - Gerhard M. Glaser
M
G G
Darunter liegende Schicht: Data Link Layer (z.B. Ethernet, TR)
(Ethernet-) Typefield: 08-00
802.2 DSAP/SSAP-Definition: 06
Datagram-Service
Kommunikation zwischen Netzen
Datentransport von Quell- zu Zieladresse
Internet Protocol
(IP)
RFC 791 - STD 5 - MIL-Std. 1777
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 36 - Gerhard M. Glaser
M
G G
IP - Wichtige RFCs
RFC 791 IP-Protokoll (STD 5)
RFC 815 IP over X.25 Networks
RFC 894 IP over Ethernet-Networks
RFC 948 IP over 802.3 Networks
RFC 1051 IP over Arcnet-Networks
RFC 1055 IP over Serial Lines ( SLIP )
RFC 1088 IP over Netbios Networks
RFC 1577 IP over ATM Networks ( Classical IP )
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 37 - Gerhard M. Glaser
M
G G
Datagram-Service
(ungesichert!)
Definition/ Adressierung hherer Protokolle
Adressfunktion
(Ende zu Ende Adressierung)
Routing zwischen Netzen
(Netzwerke knnen adressiert werden)
Fragmentierung von Datenpaketen
IP - Eigenschaften
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 38 - Gerhard M. Glaser
M
G G
IP - Header
Total Length Service Type Version IHL
Fragment Offset
Identifikation Flags
Time to Live Protocoll IP Header Checksum
IP Source Addresse
IP Destination Addresse
Options Padding
Protocol
0 1 2 3 5 6 7 8 9 4 0 1 2 3 5 6 7 8 9 4 0 1 2 3 5 6 7 8 9 4 0 1
0 1 2 3
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 39 - Gerhard M. Glaser
M
G G
Service-Type (Neu-Definition)
RFC 1349
ersetzt RFC 791
TOS (Type Of Service)
4 Bit-Feld (definierte Werte)
0 1 2
Precedence
3 4 5 6 7
T O S
MBZ
MBZ = Must Be Zero Precedence = Vorrangssteuerung
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 40 - Gerhard M. Glaser
M
G G
IP - TOS
Werte
0000 Default-Wert
0001 Minimize Monetary Cost
0010 Maximize Reliability
0100 Maximize Throughput
1000 Minimize Delay
1111 Maximize Security
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 41 - Gerhard M. Glaser
M
G G
IP - TOS
TELNET 1000 minimize delay
FTP Control 1000 minimize delay
FTP Data 0100 maximize troughput
SMTP (Command Phase) 1000 minimize delay
SMTP (Data Phase) 0100 maximize troughput
SNMP 0010 maximize reliability
ICMP 0000 aber: request = response
Default Werte bei verschiedenen Diensten
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 42 - Gerhard M. Glaser
M
G G
IP - Fragmentierung
Warum Fragmentierung
Technische Vorgaben
Hardware-/ Software-Beschrnkungen
Definition des Protokolls
Beschrnkung durch Norm
(z.B. Topologie-bergang)
Manahme zur Fehlerreduktion
Erhhen der Zugangsgerechtigkeit auf Datenkanal
(Begrenzung der Zugriffszeit)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 43 - Gerhard M. Glaser
M
G G
IP - Fragmentierung
max. Paketlnge auf verschiendenen Netzen
Medium Bit Byte
Token Ring (16 Mbit/s) 143928 17997
Token Ring (4 Mbit/s) 36008 4501
Ethernet 12144 1518
X.25 (Maximum) 8192 1024
X.25 (Standard) 1024 128
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 44 - Gerhard M. Glaser
M
G G
Lnge relativ zum Beginn des Datenbereichs im
Orginal-Datagram
Ermglicht Zusammensetzen in richtiger Reihenfolge
Wert 0 bei:
Standard Datagram
(= nicht fragmentiert)
1. Fragment
IP Fragmentierung
Fragment Offset
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
M
G G
- 45 - Gerhard M. Glaser Stand: 14.08.2008
Fragment 1 Fragment 3 Fragment 2 Fragment 4 Fragment 5
X
1
X
2
X
3
X
4
0
IP Fragmentierung
Fragment Offset
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 46 - Gerhard M. Glaser
M
G G
MF 0 DF
DF (Dont Fragment): 0 = May Fragment
1 = Dont Fragment
MF (More Fragment): 0 = Last Fragment
(letztes Fragment und Standard-Paket)
1 = More Fragment
IP - Fragmentierung
Flags
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 47 - Gerhard M. Glaser
M
G G
Vernderte Felder im Header
Gesamtlnge
Flags (MF)
Fragment-Offset
IP-Header-Prfsumme
Optionen
IP - Fragmentierung
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 48 - Gerhard M. Glaser
M
G G
Identische Felder bei Reassemblierung
Zieladresse
Quelladresse
Protokoll-Typ
Identifikation
IP Fragmentierung
Reassemblierung
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 49 - Gerhard M. Glaser
M
G G
I
P

-
F
r
a
g
m
e
n
t
i
e
r
u
n
g
I
D
:
D
a
t
e
n
l

n
g
e
:
O
f
f
s
e
t
M
o
r
e

F
l
a
g
:
1
2
2
1
0
0
6
0 0
I
D
:
D
a
t
e
n
l

n
g
e
:
O
f
f
s
e
t
M
o
r
e

F
l
a
g
:
1
2
2
2
4
0
3
0 1
I
D
:
D
a
t
e
n
l

n
g
e
:
O
f
f
s
e
t
M
o
r
e

F
l
a
g
:
1
2
2
2
4
0 0 1
N
e
t
z

2
M
T
U

=

2
4
0
I
D
:
D
a
t
e
n
l

n
g
e
:
O
f
f
s
e
t
M
o
r
e

F
l
a
g
:
1
2
2
5
8
0 0 0
N
e
t
z

1
M
T
U

=

1
0
0
0
H
i
n
w
e
i
s
:

F
r
a
g
m
e
n
t
-
O
f
f
s
e
t

h
a
t

8
B
y
t
e

a
l
s

E
i
n
h
e
i
t
!
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 50 - Gerhard M. Glaser
M
G G
IP - Fragmentierung
68
1024
128
512
1024
R
R
R
R
R
R
R
R R
R
R
R
R
R
R
R
R = Border-Router
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 51 - Gerhard M. Glaser
M
G G
Der Zusammenbau fragmentierter
Datagrame (Reassemblierung)
erfolgt nur beim Empfnger,
nie in einem Router!
MERKE:
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 52 - Gerhard M. Glaser
M
G G
Bei falscher Routing-Entscheidung
Datagrame wandern ziellos durchs Netz
Datagrame kreisen unendlich
IP Lebenszeit
Problem
Ressourcen werden vergeudet
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 53 - Gerhard M. Glaser
M
G G
Einfhrung TTL-Feld (Time To Live)
Wert wird in/ von Sender gesetzt
maximal: 255
typisch: 64 (empfohlen)
32 (z.B. MS Windows)
Wert wird in jedem Router reduziert
(typisch: 1)
Bei Wert 0 , wird Paket vernichtet
(= nicht weitergereicht)
IP Lebenszeit
Lsung des Problems
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 54 - Gerhard M. Glaser
M
G G
01 ICMP Internet Control Messsage Protocol
04, 94 IP in IP capsulation
06 TCP Transmission Control Protocol
08 EGP Exterior Gateway Protocol
09 IGP any private interior gateway protocol
17 UDP User Datagram Protocol
29 ISO-TP4 ISO-Transport-Protocol Class 4
50 ESP Encapsulating Security Payload (IPsec)
51 AH Authentication Header (IPsec)
88 IGRP Interior Gateway Routing Protocol (CISCO)
Ausgewhlte IP-Protokollnummern
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 55 - Gerhard M. Glaser
M
G G
Optionale Services
Security (16 Security Level)
Loose Source Routing
Strict Source Routing
Record Route
StreamID
Internet Timestamp
No Operation (NOP)
End of Option List
IP - Optionen
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 56 - Gerhard M. Glaser
M
G G
IP Felder (bersicht)
Version 4 IP Version - z.Z. 4 (bzw. 6)
IHL 4
Internet Header Length: Lnge des IP Headers
(wg. Optionen) - meistens: 5 (Einheit: 32 Bit)
Service Type 8 "Priorisierung" des Datenverkehrs - meistens: 0
Total Length 16 Gesamtlnge des IP Datagrams
Identifikation 16
Kennzeichnung fr richtige Reassemblierung
(nur bei Fragmentierung)
Flags 3 Hinweise fr/ bei Fragmentierung (DF, MF)
Fragment Offset 15
Gibt Reihenfolge bei Fragmentierung/
Reassemblierung an
Time To Live (TTL) 8
Verhindert das endlose Kreisen eines Datagrams
(empfohlener Wert: 64)
Protocol 8 Beschreibt Protokoll der Schicht 4 (z.B. 06 = TCP)
IP Header Checksum 8 Stellt Fehler im IP Header fest
IP Addresse 2 x 32 Beschreibt Absender (Source) und Ziel (Destination)
Options variabel
Fr bertragungsoptionen. Wird durch "Padding" auf
volle 32 Bit-Lnge gebracht (vgl. IHL)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
M
G G
- 57 - Gerhard M. Glaser Stand: 14.08.2008
Kapitel 3
IP- Adressierung/
IP-Subnetting
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 58 - Gerhard M. Glaser
M
G G
IP Adressen
Aufbau
198 . 71 . 191 . 1 dezimal
1100 0110 0100 0111 1011 1111 0000 0001 dual
C6 : 47 : BF : 01 hex
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 59 - Gerhard M. Glaser
M
G G
Class A (Wert 0-127 = 128 Werte)
Class B (Wert 128-191 = 64 Werte)
Class C (Wert 192-223 = 32 Werte)
0 1 2 3 5 6 7 8 9 4 0 1 2 3 5 6 7 8 9 4 0 1 2 3 5 6 7 8 9 4 0 1
0 1 2 3
Rechner-Adresse 0 Netzwerk
0 1 2 3 5 6 7 8 9 4 0 1 2 3 5 6 7 8 9 4 0 1 2 3 5 6 7 8 9 4 0 1
0 1 2 3
Rechner-Adresse 1 0 Netzwerk
0 1 2 3 5 6 7 8 9 4 0 1 2 3 5 6 7 8 9 4 0 1 2 3 5 6 7 8 9 4 0 1
0 1 2 3
Rechner-Adresse 1 1 0 Netzwerk
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 60 - Gerhard M. Glaser
M
G G
Class D (Wert 224-239 = 16 Werte)
Class E (Wert 240-255 = 16 Werte)
Multicast-Adressen
undefiniertes Format
0 1 2 3 5 6 7 8 9 4 0 1 2 3 5 6 7 8 9 4 0 1 2 3 5 6 7 8 9 4 0 1
0 1 2 3
1 1 1 0
0 1 2 3 5 6 7 8 9 4 0 1 2 3 5 6 7 8 9 4 0 1 2 3 5 6 7 8 9 4 0 1
0 1 2 3
1 1 1 1
Adress-Klassen sind definiert in RFC 1020 bzw. 1166 (Juli 1990) [Internetnumbers]
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 61 - Gerhard M. Glaser
M
G G
224.0.0.0 Base Address (reserved)
224.0.0.1 All Systems on this subnet
224.0.0.2 All Routers on this subnet
224.0.0.5 OSPF - All Routers
224.0.0.9 RIP-2
224.0.0.10 IGRP-Routers
224.0.0.12 DHCP Relay
224.0.1.8 SUN NIS (YellowPages)
224.0.1.24 microsoft-ds
224.0.2.2 SUN RPC (NFS)
Ausgewhlte IP-Multicast-Adressen
Hinweis: Die unteren 23 Bit werden auf die Ethernet-Multi-Cast-Adressen
01:00:5e:00:00:00 bis 01:00:5e:7F:FF:FF gemappt (vgl. Folie 19)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 62 - Gerhard M. Glaser
M
G G
Adressen mit besonderer Bedeutung
127.x.x.x Local Host (127.0.0.1)
255 (im Host-Teil) All-One-Broadcast
255.255.255.255 All Hosts on this net
0 (im Host-Teil) All-Zero-Broadcast (veraltet!)
0 (im Netz-Teil) This Net
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 63 - Gerhard M. Glaser
M
G G
Private Adressen
(nach RFC 1918)
10.0.0.0 - 10.255.255.255 ein Class A-Netz
172.16.0.0 - 172.31.255.255 16 Class B-Netze
192.168.0.0 - 192.168.255.255 256 Class C-Netze
vgl. auch: Special-Use IPv4 Addresses (RFC 3330)
z.B.:
169.254.0.0 Link Local (falls DHCP nicht funktioniert)
vgl. APIPA Folie 237
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 64 - Gerhard M. Glaser
M
G G
IP - Adressen / - Subnetz-Masken
IP-Adresse
Subnetz-Maske 255.255.255.000
11111111 11111111 11111111 00000000
198 . 71 . 191 . 1
1100 0110 0100 0111 1011 1111 0000 0001
C6 : 47 : BF : 01
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 65 - Gerhard M. Glaser
M
G G
IP - Subnetting mit erweiterter Subnetz-Maske
IP = IP-Adresse
SN = Subnetz-Maske
IP 126.xxx.xxx.xxx 0111 1110.xxxx xxxx
SN 255.128.000.000 1111 1111.1000 0000
auch: 126.x.x.x/ 9
1. Octet 2. Octet
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 66 - Gerhard M. Glaser
M
G G
Subnetting Varianten
RFC 950
(altes/ ursprngliches Verfahren: classful routing)
Unterstes und oberstes Netz knnen nicht genutzt werden
0= eigenes Subnetz
1= Broadcast-Adresse
2
n
-2 Subnetze
RFC 1878
(Modern software will be able to utilize all definable networks- classless routing)
Unterstes und oberstes Netz knnen genutzt werden
2
n
Subnetze
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 67 - Gerhard M. Glaser
M
G G
IP - Subnetting
Interne Vorgehensweise des Rechners
1
Eigene Adresse
Eigene SN-Maske
Ergebnis A (eigenes Netz)
^
2
Ziel Adresse
Eigene SN-Maske
Ergebnis B (Ziel-Netz)
^
Wenn A = B = Destination in selbem Netz
Wenn A B = Destination in anderem Netz
Anmerkung:
^
= logisches UND
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 68 - Gerhard M. Glaser
M
G G
Bei Subnetting kann die Default-
Subnetzmaske kann nur in Richtung
mehr Netze modifiziert werden !
Gegenrichtung (weniger Netze) =
Supernetting
MERKE:
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
M
G G
- 69 - Gerhard M. Glaser Stand: 14.08.2008
Kapitel 4
IP ber serielle Leitungen
(SLIP, PPP, PPPoE)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 70 - Gerhard M. Glaser
M
G G
Serial Line IP (SLIP)
RFC 1055
keine Fehlererkennung/ -korrektur
nur Punkt-zu-Punkt-Verbindungen
keine Adressinformationen
Adresse des Partners muss bekannt sein
keine Protokollidentifikation ( Type-Field )
Keine Multiprotokollbertragung ber eine Leitung mglich
Daten werden in Framing Characters eingepackt
END: 192 ESC: 219
ESC END: 219 220 ESC ESC: 219 221
Kompression fr TCP/IP-Header in RFC 1144 definiert
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 71 - Gerhard M. Glaser
M
G G
Point To Point Protocol (PPP)
RFC 1661/ 1662 - STD 51
RFC 2153 (Vendor Extensions)
Verbindungsaufbau auf Layer 2 (HDLC-basierend bzw. asynchron)
Fehlerkorrektur
Adressinformationen
multipointfhig (derzeit nicht genutzt)
Protokoll-Feld
multiprotokollfhig (auf einer Leitung)
feste maximale Paketlnge (1500 Byte)
echte Datenkomprimierung (optional)
Testen der Leitungsqualitt (optional)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 72 - Gerhard M. Glaser
M
G G
Point To Point Protocol (PPP)
Paketaufbau (synchron/ asynchron)
0111 1110 1111 1111 0000 0011 16 bit 0111 1110 < 1500 Byte
Flag Address Control
DATA
(Information)
FCS Flag Protocol
16 bit
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 73 - Gerhard M. Glaser
M
G G
Point To Point Protocol (PPP)
Ausgewhlte Protokoll-Nummern
80-21 IP
80-27 DECnet
80-2B IPX
80-3F Netbios
80-57 IPv6
80-FD Compression Control Protocol
C0-21 Link Control Protocol
C0-23 Password Authentication Protocol
C0-25 Link Quality Report
C2-25 RSA Authentication Protocol
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 74 - Gerhard M. Glaser
M
G G
PPP over Ethernet
(PPPoE)
RFC 2516
PPP-Pakete werden in Ethernet Pakete eingepackt
(Ethernet-) Typefields: 88-63 (Discovery Stage),
88-64 (Session Stage)
max. MTU: 1492 (PPPoE-Header + PPP-Protocol-ID)
zweistufiges Konzept:
Server-Suche/ Server-Auswahl (Discovery-Stage)
stateless bis zum Aufbau einer PPP-Verbindung
Verbindungsaufbau (Session Stage)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 75 - Gerhard M. Glaser
M
G G
PPP over Ethernet (PPPoE)
Paketaufbau (Session Stage)
0 1 2 3 5 6 7 8 9 4 0 1 2 3 5 6 7 8 9 4 0 1 2 3 5 6 7 8 9 4 0 1
0 1 2 3
Session ID
Code
00-00
Version
01
Type
01
Length
Data
PPP Protocol
*)
*) = C0-21 (Link Control Protocol)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 76 - Gerhard M. Glaser
M
G G
Kapitel 5
IP Next Generation (IPng)
IP Version 6 (IPv6)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 77 - Gerhard M. Glaser
M
G G
IPv6 - Neuer Adressbereich
Adressbereich: 128 Bit (16 Byte)
[vgl.: IPv4: 32 Bit (4 Byte)]
3,4 * 10
38
Adressen
theoretisch:
C 6,66*10
23
(genau: 665.570.793.348.866.943.898.599 Adressen/ m
2)
C 666 Billiarden Adressen/ mm
2
C 6,5*10
28
Adressen pro Mensch
praktisch (worst case):
C ca. 1000 Adressen/ m
2
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 78 - Gerhard M. Glaser
M
G G
IPv6 - Neue Eigenschaften
Reduzierung des Header-Overheads durch Weglassen nicht
bentigter Felder
Erweiterungs-Header (optional)
Keine Fragmentierung in Routern
minimale Transportgre: 1280 Byte/ Path MTU Discovery-Funktion
Security-Features (Authentifizierung, Verschlsselung)
Priorisierung/ Realtime-Fhigkeiten ( Traffic Class / Flow Label )
Nutzdatenanzeige ( Payloadlength )
Jumbo-Payload - Feld (> 65535 Byte)
automatische Systemkonfiguration ( Neighbor Discovery )
Mobile IP
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 79 - Gerhard M. Glaser
M
G G
Vernderungen im IPv6-Header (zu IPv4)
IHL
Feld entfllt ersatzlos
Feld bekommt anderen Namen/ Bedeutung
Total Length Service Type Version IHL
Fragment Offset
Identifikation Flags
Time to Live Protocoll IP Header Checksum
Fragmentierung
IP Header Checksum
Protocol
TOS
0 1 2 3 5 6 7 8 9 4 0 1 2 3 5 6 7 8 9 4 0 1 2 3 5 6 7 8 9 4 0 1
0 1 2 3
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 80 - Gerhard M. Glaser
M
G G
IPv6 Basis Header
(Ausschnitt - ohne Destination Address)
Total Length Service Type Version IHL
Fragment Offset
Identifikation Flags
Time to Live Protocoll IP Header Checksum
IP Source Adresse
IP Destination Adresse
Options Padding
Version Flow-Label
Payload Length
Traffic Class
Next Header Hop Limit
Source Address
0 1 2 3 5 6 7 8 9 4 0 1 2 3 5 6 7 8 9 4 0 1 2 3 5 6 7 8 9 4 0 1
0 1 2 3
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 81 - Gerhard M. Glaser
M
G G
IPv6 - Erweiterungs-Header
Routing Header (Source Route) - Next Header = 43
Fragmentation Header (nur Host) - Next Header = 44
Authentication Header - Next Header = 51
ESP-Header - Next Header = 50
IPv6 Header
next Header =
TCP
TCP-Header +
Nutzdaten
IP Standard-Datagram
IPv6 Header
next Header =
Routing
Routing H.
next Header =
Fragment
Fragment H.
next Header =
TCP
TCP-Header +
Nutzdaten
(Fragment)
IP Datagrame mit
verschiedenen
Headern
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 82 - Gerhard M. Glaser
M
G G
IPv6 - Adressschema und Adressarten
Prfix (3 Bit)
ffentlicher Bereich (45 Bit)
lokaler Bereich (80 Bit)
Anycast Address ( Mehrfach- Adresse)
keine Broadcast Adressen
(nur Multicast Adressen)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 83 - Gerhard M. Glaser
M
G G
IPv6 Adress-Aufteilung
FP Format Prefix (001)
TLA Top Level Aggregator (Public Transport Topology)
NLA Next Level Aggregator (Provider)
SLA Site Level Aggregator (Subnet)
Local (inkl. Interface [48 Bit])
13 16 Bit 32 Bit 3 64 Bit
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 84 - Gerhard M. Glaser
M
G G
IPv6 - RFCs
RFC 1881 Address Allocation Management
RFC 1883 Specification (RFC 2460 - DRAFT)
RFC 1884 Addressing (RFC 2373)
RFC 1887 Address Allocation
RFC 1897 Testing Address Allocation (RFC 2471)
RFC 1825 Security Architecture (RFC 4301)
RFC 1826 IP Authentication Header (RFC 4302)
RFC 1827 IP Encapsulation Security Payload (RFC 4303)
RFC 1828 IP Authentication Using Keyed MD5
RFC 1829 The ESP DES-CBC Transform
RFC 4301 - 4309: IPsec (vgl. IPsec)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
M
G G
- 85 - Gerhard M. Glaser Stand: 14.08.2008
Kapitel 6
Address Resolution Protocol
(ARP)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 86 - Gerhard M. Glaser
M
G G
Adress Resolution Protocol
(ARP)
RFC 826 - STD 37
Darunter liegende Schicht: Data Link Layer (z.B. Ethernet, TR)
(Ethernet-) Typefield: 08-06
keine offizielle Definition in 802.2 (DSAP/ SSAP)
Datagram-Service
Adress-Zuordnung Ebene 3 Ebene 2
(IP MAC)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 87 - Gerhard M. Glaser
M
G G
ARP Request (schematisch)
Broadcast: Wer kennt die MAC-Adresse von GRN?
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 88 - Gerhard M. Glaser
M
G G
ARP Standard-Response (schematisch)
Gerichtete Antwort (Unicast):
Hier ist die gesuchte (meine) MAC- Adresse
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 89 - Gerhard M. Glaser
M
G G
ARP - Ablaufdiagramm
Kommunikation soll
hergestellt werden
Timeout
ARP-Response
erhalten?
J a
J a
Nein
Nein
MAC-
Adresse
bekannt?
ARP Request
Kommunikation findet statt
(IP Pakete werden gesendet)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
M
G G
- 90 - Gerhard M. Glaser Stand: 14.08.2008
0 1 2 3 5 6 7 8 9 4 0 1 2 3 5 6 7 8 9 4 0 1 2 3 5 6 7 8 9 4 0 1
0 1 2 3
48 Bit Destination-Hardware-Adresse
48 Bit Source Hardware-Adresse
Ethernet Typ Feld
Hardware Typ Protokoll Typ
HW-Lnge SW-Lnge Option Code
48 Bit Source Hardware-Adresse
48 Bit Destination Target Adresse / Desti nation
IP Target Adresse / Destinati on
E
t
h
e
r
n
e
t
-
H
e
a
d
e
r
A
P
R
-
H
e
a
d
e
r
IP Source-Adresse
Hardware Target-/ Destination Adresse
ARP - Datenformat
IP Target-/ Destination Adresse
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 91 - Gerhard M. Glaser
M
G G
ARP - Hardware Typ
Netztyp Bezeichnung
1 Ethernet (10 Mbit/s)
2 Experimental Ethernet (3Mbit)
3 Amateur Radio
4 Proteon Token Ring
5 Chaos Net
6 IEEE 802 Networks
7 ARCnet
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 92 - Gerhard M. Glaser
M
G G
ARP - Protokoll Typ
(vgl. Ethernet Type-Field)
Wert (hex) Bezeichnung
0600 XNS
0800 IP
0806 ARP
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 93 - Gerhard M. Glaser
M
G G
ARP - Felder
Hardware-Lnge
Definiert Lnge der Hardware-Adresse (Ethernet = 6 Byte)
Software-Lnge
Definiert Lnge der Protokoll-Adresse (IP = 4 Byte)
Option Code
1 =ARP Request
2 =ARP Reply
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 94 - Gerhard M. Glaser
M
G G
ARP - Adressfelder
Hardware-Source-Adresse
MAC Adresse des Senders
Protokoll-(IP)-Source-Adresse
IP-Adresse des Senders
Hardware-Target-/Destination-Adresse
MAC Adresse des Empfngers/ Ziels
Protokoll-(IP)-Target-/Destination-Adresse
IP-Adresse des Empfngers/ Ziels
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 95 - Gerhard M. Glaser
M
G G
ARP Response von ARP-Server (schematisch)
O Unicast: Hier ist die gesuchte MAC-Adresse
O Unicast: Hier ist die gesuchte (meine) MAC -Adresse
ARP-Server
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 96 - Gerhard M. Glaser
M
G G
ARP - Befehl
arp -a
ARP-Cache anzeigen
arp -s <IP-Adr.> <HW-Adr.>
Zuordnung IP-Adr./ MAC-Adresse
arp -s <IP-Adr.> <HW-Adr.> PUB
zugeordnete MAC-Adresse wird als ARP-Response gesendet
(ARP-Server)
arp -d <IP-Adr.>
Eintrag wird gelscht
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 97 - Gerhard M. Glaser
M
G G
Gratuitous ARP
Host schickt eine Anfrage mit eigener IP-Adresse
(als Target-Adresse) unaufgefordert ins Netz
Feststellung ob eigene IP-Adresse mehrfach vorhanden
ist
Update der ARP-Tabellen in den anderen Rechnern
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 98 - Gerhard M. Glaser
M
G G
Reverse Address Resolution Protocol
(RARP)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 99 - Gerhard M. Glaser
M
G G
Reverse Address Resolution Protocol
(RARP)
RFC 903 - STD 38
Darunter liegende Schicht: Data-Link-Layer (z.B. Ethernet, TR)
(Ethernet-) Type-Field: 80-35
keine 802.2-Definition (DSSAP/ SSAP)
Zuordnung Ebene 2 Ebene 3 (MAC-Adresse IP-Adresse)
Aufbau wie ARP-Paket
Ausnahme: Option Code
3 =RARP Request
4 =RARP Reply
Funktionalitt heute i.a. durch BootP abgedeckt
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
M
G G
- 100 - Gerhard M. Glaser Stand: 14.08.2008
Kapitel 7
IP - Routing
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 101 - Gerhard M. Glaser
M
G G
Routing auf Backbone
R 1
R 2
A B
Zeitpunkt
Data Link Layer
Sender Empfnger
Network Layer
Sender Empfnger
t
1
t
2
t
3
A
R1
R2
R1
R2
B
A
A
A
B
B
B
A B
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 102 - Gerhard M. Glaser
M
G G
Beim Einsatz von Routern geht die
Transparenz auf Layer 2 vollstndig
verloren !
MERKE:
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 103 - Gerhard M. Glaser
M
G G
Router 1
Router 3
Routing in vermaschtem Netz
Netz 126
126.2.2.1
Router 2
126.1.1.1
50.1.1.1
50.1.1.2
1.1.1.2
126.1.1.2
1.1.1.1
Netz 50
Netz 1
1.1.2.1
A
B
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 104 - Gerhard M. Glaser
M
G G
Routing - Verfahren
statisches Routing
dynamisches Routing
default Routing
IP-Optionen
Source-Route
Loose Source-Route
Strict Source-Route
Record Route
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 105 - Gerhard M. Glaser
M
G G
Ein IP-Router hat keine Gerte-Adresse, sondern nur
seine Schnittstellen(karten) zu den
angeschlossenen Netzen!
und
Diese muss aus demselben Adressbereich stammen
wie die Adressen der angeschlossenen, zu
routenden Rechner !
MERKE:
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 106 - Gerhard M. Glaser
M
G G
Proxy ARP
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 107 - Gerhard M. Glaser
M
G G
Programm/ Prozess auf Router
(kein Protokoll!)
Leitet ARP-Anfragen an Routing-Tabelle weiter
Erspart Routing-Eintrge auf Hosts
Belastet Router
(zustzliche ARP-Bearbeitung)
Proxy ARP
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
M
G G
- 108 - Gerhard M. Glaser Stand: 14.08.2008
Kapitel 8
Internet Control Message Protocol
(ICMP)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 109 - Gerhard M. Glaser
M
G G
Internet Control Message Protocol
(ICMP)
RFC 792 - STD 5
Darunter liegende Schicht: Internet Schicht (IP)
IP-Protokoll-Nr.: 01
dient dem Informationsaustausch der Endgerte ber den aktuellen
Status der Ebene 3 (IP)
Unterschiedliche Paket-Varianten
Error-Pakete:
Fehlermeldung, Header und die ersten 64 Bit des den Fehler
verursachenden Paketes.
Info-Meldungen/ Pakete:
Request-/ Response-Verfahren
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 110 - Gerhard M. Glaser
M
G G
ICMP- Fehlermeldungen
Destination Unreachable
Redirect Message
Source Quench
Time Exceeded
Parameter Problem
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 111 - Gerhard M. Glaser
M
G G
ICMP - Destination Unreachable-Meldung
(Auswahl)
Net/ Host Unreachable Router
Communication with Destination Network/ Router
Host is Administratively Prohibited
Destination Network/ Host Unreachable for Router
Type of Service
Fragmentation Needed and DF Set Router
Source-Route Failed Router
Protocol/ Port Unreachable Host
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 112 - Gerhard M. Glaser
M
G G
ICMP- Info-Meldungen
Echo
Information
Timestamp
Address Mask
Trace Route
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 113 - Gerhard M. Glaser
M
G G
IP / ICMP Trace-Route
Klassische Methode
Absender
Absender
Absender
Absender
Router 1
Router 2
Router n
Empfnger/ Ziel
IP-Paket mit TTL = 1, 2, ..., n
ICMP Error (n-Mal)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 114 - Gerhard M. Glaser
M
G G
Trace Route in dynamischen Netzwerken
R8 R10 R5
R6
R11
R9 R12
R4
R3
R7
R2
R1
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 115 - Gerhard M. Glaser
M
G G
IP/ ICMP Trace-Route
Neue Methode
Absender
IP-Paket Trace Route(OHC wird incrementiert)
ICMP-Message Trace Route(1, 2, ..., n) (RHC wird incrementiert)
Router 1 Ziel Router 2 Router n
OHC = Outbound Hop Count
RHC = Return Hop Count
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 116 - Gerhard M. Glaser
M
G G
Code
0 1 2 3 5 6 7 8 9 4 0 1 2 3 5 6 7 8 9 4 0 1 2 3 5 6 7 8 9 4 0 1
0 1 2 3
Checksum Type
unused
Internet Header + 64 bits of Original Data Datagram
Code
0 1 2 3 5 6 7 8 9 4 0 1 2 3 5 6 7 8 9 4 0 1 2 3 5 6 7 8 9 4 0 1
0 1 2 3
Checksum Type
Sequence Number
Data . . .
Destination Unreachable Message
Identifier
Code
0 1 2 3 5 6 7 8 9 4 0 1 2 3 5 6 7 8 9 4 0 1 2 3 5 6 7 8 9 4 0 1
0 1 2 3
Checksum Type
Gateway Internet Adress
Internet Header + 64 bits of Original Data Datagram
Redirect Message
Echo or Echo Reply Message
(Ping)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 117 - Gerhard M. Glaser
M
G G
ICMP - Messages
Type Numbers (Auswahl)
00 Echo Reply
02 Destination Unreachable
04 Source Quench
05 Redirect
08 Echo Request
11 Time Exceed
12 Parameter Problem
30 Traceroute
37 - 255 reserved
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 118 - Gerhard M. Glaser
M
G G
Kapitel 9
Routing Protokolle
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 119 - Gerhard M. Glaser
M
G G
*)
EGP: RFC 877, RFC 904
Arten von Routing Protokollen
EGP
*)
-Bereich
IGP-Bereich
IGP-Bereich
IGP-
Bereich
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
M
G G
- 120 - Gerhard M. Glaser Stand: 14.08.2008
Routing Information Protocol
(RIP)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 121 - Gerhard M. Glaser
M
G G
kein MIL-Standard
Darunter liegende Schicht: Transport Schicht (UDP)
UDP-Port: 520
Ursprung: XNS-Protokoll-Familie
Bestandteil des BSD 4.3-UNIX
(routed-Daemon)
Klasse: Distance-Vektor-Protokolle
(Bellman-Ford-Algorithmus)
Routing Information Protocol
(RIP)
RFC 1058 - STD 34
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 122 - Gerhard M. Glaser
M
G G
RIP - Paketaufbau
0 1 2 3 5 6 7 8 9 4 0 1 2 3 5 6 7 8 9 4 0 1 2 3 5 6 7 8 9 4 0 1
0 1 2 3
unused Command (1)
Adress Family Identifier (2)
IP Adress (4)
Metric (4)
Adress Family Identifier (2)
Version (1)
unused
unused
unused
unused
IP Address (4)
Address Family Identifier (2)
Address Family Identifier (2)
IP Address (4)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 123 - Gerhard M. Glaser
M
G G
RIP - Paketaufbau
Bedeutung der Felder
Command Feld: 1 = Request
2 = Response
Address Family Identifier: 2 = IP
IP-Adress: Ziel-Netz bzw. -Rechner
Metric (=Hops): Entfernung bis Ziel
(Lnge: 4 Bit = max. 15 Hops)
Lnge des Paketes: max. 512 Byte
(~ 25 Info-Felder)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 124 - Gerhard M. Glaser
M
G G
O Regelmige Routing-Updates (alle 30 sec)
O berprfen, ob
neue Metric < alte Metric
JA: Wert bernehmen - Update des Eintrags beendet
NEIN: Wert beibehalten und
O berprfen, ob Routing-Update von dem Router kam, der den letzten
Eintrag erstellt hat
JA: Wert auf jeden Fall bernehmen (auch wenn grer)
Update des Eintrags beendet
NEIN: Update des Eintrags beendet
RIP
Routing Tabelle/ Routing Updates
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 125 - Gerhard M. Glaser
M
G G
Split Horizon
Verhindert Rckrouten (reverse route)
OUpdates, die ber eine bestimmte Schnittstelle gesendet werden,
berichten nicht ber Routen, die ber diese Schnittstelle gelernt
wurden
OUpdates, die ber eine bestimmte Schnittstelle gesendet werden
kennzeichnen jedes ber diese Schnittstelle erlernte Netzwerk als
nicht erreichbar
(Split Horizon with poisoned reverse)
spart Ressourcen
verhindert Routing-Schleifen
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 126 - Gerhard M. Glaser
M
G G
Classful Routing
nach RFC 950
Subnetzmasken werden nicht mit der Ziel-Adresse
verbreitet
OZieladresse befindet sich direkt in dem mit dem Router
verbundenen Netzwerk:
Subnetzmaske der NIC wird verwendet
OZieladresse befindet sich in Remote-Netzwerk :
Default-Subnetzmaske wird verwendet
Unterstes und oberstes Subnetz - alles 0(Hauptnetz-Netzwerknummer)
bzw. alles 1(Broadcast des Hauptnetzes) - knnen nicht genutzt werden
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 127 - Gerhard M. Glaser
M
G G
= RIP v.1-Feld = neues Feld (RIP-2)
RIP-2 (STD 56)
Paketaufbau
0 1 2 3 5 6 7 8 9 4 0 1 2 3 5 6 7 8 9 4 0 1 2 3 5 6 7 8 9 4 0 1
0 1 2 3
unused Command (1)
Adress Fami ly Identifier (2)
IP Adress (4)
Metric (4)
Version (1)
Route Tag (2)
Subnet Mask (4)
Next Hop (4)
Address Family Identifier (2)
IP Address (4)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
M
G G
- 128 - Gerhard M. Glaser Stand: 14.08.2008
Open Shortest Path First
(OSPF)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 129 - Gerhard M. Glaser
M
G G
Open Shortest Path First (Version 2)
OSPF 2
RFC 2328 - STD 54
Erweiterung von OSPF (RFC 1131)
Darunter liegende Schicht: Internet Schicht (IP)
IP-Protokoll-Nr.: 89
Familie: Interior Gateway Protokolle (IGP)
Klasse: Link State Protokolle
Virtuelle Topologie (Autonomous System = AS)
alle Router haben identische Datenbank
Dynamisches Routing Protokoll
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 130 - Gerhard M. Glaser
M
G G
OSPF 2 - Eigenschaften/ Funktionalitten
Routing-Updates nur bei Topologienderungen
Routing-Updates ber IP-Multicasts
Jeder Router berechnet (s)einen Baum (mit sich selbst als Root)
Unterschiedliche Routen je nach Type Of Service
Load-Balancing bei Routen mit gleichen cost
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 131 - Gerhard M. Glaser
M
G G
OSPF 2
Areas
Bildung von Areas mglich (Topologie wird verborgen)
Reduzierung des Routing-Verkehrs
Routing innerhalb der Area nur durch Topologie der
Area selbst bestimmt
unterschiedliche Topologie-DBs innerhalb eines AS
Authentifizierung ( Trusted Router ) innerhalb eines AS
durch Router-Id
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 132 - Gerhard M. Glaser
M
G G
Routingtabellen im Internet
(Kennzahlen)
2005: 150.000 175.000
2006: 200.000
2011: 370.000 (geschtzt)
2020: 2. Mio. (mglich/ befrchtet)
Belegter Speicherplatz heute: mind. 10 MB/ Router
IPv6 verschrft die Probleme:
Verdopplung der Eintrge pro Rechner
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 133 - Gerhard M. Glaser
M
G G
Einschub
Nicht routbare Protokolle
Besitzen keine Adressierungsfunktion auf Layer 3
Adressierung von Netzwerken nicht mglich
Vertreter:
NetBIOS/ NetBEUI (NetBIOS Extended User Interface)
DEC LAT
DLC
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
M
G G
- 134 - Gerhard M. Glaser Stand: 14.08.2008
Kapitel 10
Transmission Control Protocol
(TCP)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 135 - Gerhard M. Glaser
M
G G
Transmission Control Protocol
(TCP)
RFC 793 - STD 7 - MIL-Std. 1778
Darunter liegende Schicht: Internet Schicht (IP)
IP-Protokoll-Nr.: 06
bertrgt Segmente
fehlergesicherte, zuverlssige Transport-Verbindung
(Ende zu Ende Kontrolle)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 136 - Gerhard M. Glaser
M
G G
TCP - Eigenschaften
Multiplexing
Ende zu Ende Kontrolle
Verbindungsmanagement (Three-Way-Handshake)
Flusskontrolle (Sliding-Window-Mechanism)
Zeitberwachung
Fehlerbehandlung
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 137 - Gerhard M. Glaser
M
G G
TCP - Header
U
R
G
F
I
N
A
C
K
P
S
H
R
S
T
S
Y
N
0 1 2 3 5 6 7 8 9 4 0 3 5 6 7 8 9 4 0 1
0 1 2 3
Destination Port Source Port
Acknowledge Number
Data
Offset
Options Padding
Reserved Window Size
Urgent Pointer Checksum
Data
1 2 3 5 6 7 8 9 4 0 1 2
Sequence Number
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 138 - Gerhard M. Glaser
M
G G
TCP - Multiplexmechanismus (1)
Port
Zuordnung der Pakete zur nchsthheren Ebene
Socket
Eindeutige Adressierung einer TCP-Verbindung
(IP-Adresse + Port-Nr. z.B. 141.6.1.16:23)
Well Known Port/ Socket
(Registrierte) Port-Nr. fr (Standard-)Applikationen
z. B. FTP: 21/ 20
TELNET: 23
SMTP: 25
(vgl. services-Dateien)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 139 - Gerhard M. Glaser
M
G G
TCP - Well-Known-Ports (Auswahl)
20 FTP-Data
21 FTP (Steuerleitung)
23 TELNET
25 SMTP (Simple Mail Transfer Protocol)
43 nicname (Who Is)
53 domain (DNS)
66 sql*net (Oracle SQL*NET)
67/68 BOOTP (Server/Client)
70 gopher
80 WWW-HTTP
110 POP3
111 sunrpc (NFS- SUN Remote Procedure Calls)
137/ 138/ 139 netbios (name-/ datagram-/ session service)
161/ 162 SNMP (SNMP/ SNMP-Trap)
443 https
512/ 514 exec/ cmd (rexec/ rsh)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 140 - Gerhard M. Glaser
M
G G
TCP - Well-Known-Ports (Auswahl)
Besonderheiten
513/ tcp login (rlogin; nur TCP-Port!)
513/ udp who (rwho/ ruptime; nur UDP-Port!))
ab 1024: High-Ports
1352 Lotus Notes
1416 Novell LU 6.2
1525 orasrv (Oracle)
1527 tlisrv ( )
1529 coauthor ( )
1986-1999 cisco (u.a. licensemanager, snmp-rcp-port)
1989 mshnet (MHSnet system)
2784 www-dev (world wide web - development)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 141 - Gerhard M. Glaser
M
G G
TCP - Multiplexmechanismus (2)
21 / 2017 2018 / 21
2512 / 23
2017 / 23
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 142 - Gerhard M. Glaser
M
G G
TCP - Verbindungsaufbau
(Three-Way-Handshake)
A
(Client)
B
(Server)
Verbindungsaufbauwunsch (SYN = 1)
Sequenz-Nr. = I
Besttigung + Verbindungsaufbauwunsch (ACK = 1, SYN = 1)
ACK-Nr. = I + 1 Sequenz-Nr. = J
Besttigung (ACK = 1)
ACK-Nr. = J + 1 Sequenz-Nr. = I + 1
Datenbertragung
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 143 - Gerhard M. Glaser
M
G G
gesicherter Abbau (Three-Way-Handshake)
Vor Abbau der Verbindung werden alle Daten bermittelt
( Fin-Wait-Status )
nach Wartezeit wird die Verbindung abgebaut
TCP - Verbindungsabbau
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 144 - Gerhard M. Glaser
M
G G
TCP Verbindungsabbau
(Three-Way-Handshake)
A B
Verbindungsabbauwunsch (FIN = 1, ACK = 1)
Besttigung (ACK = 1)
Window-Size = 0
Verbindung abgebaut (ACK = 1)
Verbindungsabbauwunsch (FIN = 1, ACK = 1)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 145 - Gerhard M. Glaser
M
G G
TCP - Flags (SYN, ACK)
U
R
G
A
C
K
P
S
H
R
S
T
S
Y
N
F
I
N
SYN fr Verbindungsaufbau (synchronisiert) werden soll
ACK besttigt den Empfang von Daten (acknowledge)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 146 - Gerhard M. Glaser
M
G G
TCP - Flags (RST, FIN)
U
R
G
A
C
K
P
S
H
R
S
T
S
Y
N
F
I
N
RST bei ungltigen Paketfolgen/ Flags (reset)
FIN fr Verbindungsabbau (final)
Pendant zum SYN-Flag beim Verbindungsaufbau
- 152 -
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 147 - Gerhard M. Glaser
M
G G
Senden von RST-Flag
(vgl. RFC 793 S. 36f)
RST muss gesendet werden, wenn ein Segment
offensichtlich nicht zu einer existierenden Verbindung
gehrt
Bei nicht existierenden (CLOSED) Verbindungen
Bei Besttigung (ACK) eines (noch) nicht gesendeten Segments
RST darf nicht gesendet werden, wenn nicht klar ist, ob
Segment zu einer existierenden Verbindung gehrt
(kein Paket wird gesendet)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 148 - Gerhard M. Glaser
M
G G
TCP - Flags (PSH, URG)
U
R
G
A
C
K
P
S
H
R
S
T
S
Y
N
F
I
N
PSH Daten mssen bei Empfnger sofort an die hhere
Schicht weitergereicht (push)
URG Urgent-Pointer muss bercksichtigt werden
(Urgent-Pointerkennzeichnet das Ende von Vorrangsdaten)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 149 - Gerhard M. Glaser
M
G G
Problem:
Segmente werden schneller gesendet, als sie der
Empfnger verarbeiten kann
ankommende Segmente werden verworfen
Sendewiederholungen
schlechte Performance
Sender und Empfnger werden belastet
Lsung:
Sliding-Window-Mechanismus:
Empfnger teilt Sender mit, wie viele Segmente er (noch)
aufnehmen kann
TCP - Flusssteuerung
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 150 - Gerhard M. Glaser
M
G G
TCP Slow Start/ Congestion Control
Beschreibung
Erhhung der bertragungsgeschwindigkeit whrend
einer Verbindung
Verdopplung der MSS pro RTT
Ab Slow-Start-Threshholds
nur noch Erhhung um 1 MSS
Beginnt neu bei jedem Error
Slow-Start-Threshold wird halbiert
FTP schneller als HTTP
http://www-vs.informatik.uni-ulm.de/teach/ws06/rn1/TCPVerstopfungskontrolle.pdf
MSS = Maximum Seqment Size
(MSS MTU - 40 Bytes)
RTT = Round Trip Time
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 151 - Gerhard M. Glaser
M
G G
TCP Slow Start/ Congestion Control (Grafik)
0
5
10
15
20
25
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17
RTT (Round Tri p Ti me)
C
o
n
g
e
s
t
i
o
n

W
i
n
d
o
w
s

S
i
z
e
(
i
n

S
e
g
m
e
n
t
e
n
)
timeout
ssthres
ssthres
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 152 - Gerhard M. Glaser
M
G G
TCP Slow Start/ Congestion Control (Ablauf)
Sender Empfnger
t t
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 153 - Gerhard M. Glaser
M
G G
Transport-Probleme:
Segmente werden
zerstrt (gehen verloren)
verflscht (defekte Pakete)
durcheinander gebracht (falsche Reihenfolge)
verzgert
dupliziert
TCP - Verbindungsmanagement
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 154 - Gerhard M. Glaser
M
G G
Sendewiederholung, falls Segment:
beschdigt ist
(wird vom Empfnger vernichtet)
bereits unterwegsverloren
TCP arbeitet mit dem sog. PAR - Mechanismus
(Positive Acknowledgement with Retransmission)
ACK n+1
alle Daten bis zur Sequenznummer nwerden besttigt
(als nchstes wird das Segment n+1 erwartet)
TCP Sendewiederholung ( Retransmit )
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 155 - Gerhard M. Glaser
M
G G
Segment wird wiederholt, wenn der Retransmission Timer
vor Eintreffen der Empfangsbesttigung abluft
Problem
Anfangswert zu niedrig:
zu viele Sendewiederholungen (Duplikate!)
Anfangswert zu hoch:
verlorenes Segment wird zu spt wiederholt
TCP - Retransmission Timer
= TCP-Spezifikationen schreiben einen dynamischen
Retransmission Timer vor (RFC 2988)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 156 - Gerhard M. Glaser
M
G G
TCP - Retransmission Timer
Basis Algorithmus (Begriffe) - nach RFC 2988 (Nov. 2000)
Retransmission Timeout (RTO)
Round-Trip Time (RTT)
Smoothed Round-Trip Time (SRTT) [= gemittelte RTT]
Round-Trip Time Variation (RTTVAR) [= Abweichung]
Anfangswert des RTO zwischen 2,5 sec und 3 sec
danach:
RTO < SRTT + 4*RTTVAR
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 157 - Gerhard M. Glaser
M
G G
Empfnger kann Original und Duplikat nicht voneinander
unterscheiden
Empfnger nimmt an, dass Besttigung verloren gegangen
ist und besttigt erneut
Sender ignoriert, wenn Segmente mehrmals besttigt werden
Duplikate nach dem Verbindungsabbau werden ignoriert
TCP - Duplikatbehandlung
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 158 - Gerhard M. Glaser
M
G G
Wichtige TCP - Timer
Retransmission Timer
nach Ablauf werden Daten neu geschickt
Give Up Timer
max. Zeit, die der Sender bis zur Besttigung seiner Pakete wartet
Reconnection Timer
min. Zeit zwischen Abbau und Aufbau einer Verbindung
Retransmit-Syn Timer
min. Zeit zwischen erfolglosem Verbindungsaufbau und erneutem
Connection Request
Window Timer
max. Zeit zur Umstellung der Window-Size
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 159 - Gerhard M. Glaser
M
G G
TCP Felder (bersicht)
-
Bezeichnung Lnge in Bit Aufgabe/ Beschreibung
Source Port 16 Nr. des Absenderports
Destination Port 16 Nr. des Zielports (in Richtung Server: Applikation)
Sequence Number 32 Byte-Zhler - weist auf das 1. Byte im Paket
Acknowledge Number 32 weist auf das nchste Byte, das empfangen werden kann
Data Offset 4 Definiert den Beginn der Daten (Einheit: 32 Bit)
Reserved 6 (noch) nicht definiert - muss den Wert "0" haben
Flags 6 steuern die Verbindung
Window Size 16 Anzahl der Byte, die der Empfnger entgegen nehmen kann
Checksum 16 sichert Header und Daten
Urgent Pointer 16 zeigt das Ende der "urgent" Daten an
Options variabel wird durch "Padding" auf 32 Bit-Lnge gebracht
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
M
G G
- 160 - Gerhard M. Glaser Stand: 14.08.2008
Kapitel 11
User Datagram Protocol
(UDP)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 161 - Gerhard M. Glaser
M
G G
UDP - Header
Checksum Length
0 1 2 3 5 6 7 8 9 4 0 1 2 3 5 6 7 8 9 4 0 1 2 3 5 6 7 8 9 4 0 1
0 1 2 3
Destination Port Source Port
Data
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 162 - Gerhard M. Glaser
M
G G
User Datagram Protocol
(UDP)
RFC 768 - STD 6
Kein MIL-Standard
Darunter liegende Schicht: Internet Schicht (IP)
IP-Protokoll-Nr.: 17
Datagram Service
(keine Verbindungen)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 163 - Gerhard M. Glaser
M
G G
Transport Protokoll ohne Ende zu Ende Kontrolle
Kein Verbindungsmanagement
(keine aktiven Verbindungen!)
Keine Flusskontrolle
Kein Mulitplexmechanismus
Keine Zeitberwachung
Keine Fehlerbehandlung
UDP - Eigenschaften
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 164 - Gerhard M. Glaser
M
G G
Dienste auf UDP
Dienst UDP-Portnummer
IEN 116 42
DNS (Ressolve) 53
RIP 520
BootP 67, 68
TFTP 69
sunrpc (NFS) 111
SNMP/ SNMP-TRAP 161, 162
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 165 - Gerhard M. Glaser
M
G G
Vergleich der Layer-4-Protokolle TCP und UDP
Eigenschaft TCP UDP
Ende zu Ende Kontrolle ja nein
Zeitberwachung der Verbindung ja nein
Flow-Control (ber das Netz) ja nein
Reihenfolgerichtige bertragung ja nein
Erkennung von Duplikaten ja nein
Fehlererkennung ja einstellbar
Fehlerbehebung ja nein
Adressierung der hheren Schichten ja ja
Three-Way-Handshake ja nein
Gre des Headers 20 - 60 Byte 8 Byte
Geschwindigkeit langsam schnell
Belastung der Systemressourcen normal gering
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
M
G G
- 166 - Gerhard M. Glaser Stand: 14.08.2008
Kapitel 12
Teletype Network
(TELNET)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 167 - Gerhard M. Glaser
M
G G
TELNET
RFC 854 - STD 8 - MIL-Standard 1782
Darunter liegende Schicht: Transport Schicht (TCP)
TCP/UDP Port-Nr.: 23
Remote Login-Dienst
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 168 - Gerhard M. Glaser
M
G G
Vielzahl von Terminal-Typen
Verschiedene Rechner- und Terminal-Hersteller
Unterschiedliche bertragungseigenschaften
TELNET - Problematik
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 169 - Gerhard M. Glaser
M
G G
TELNET Arbeitsweise
(Lsung des Problems)
Drei Funktionsgruppen:
Network Virtual Terminal (NVT)
TELNET-Kommandos
Optionen
Kein eigener Protokoll-Header
Steuerzeichen werden im Datenstrom verpackt
Interpret As Command (IAC) (= Hex FF)
wird den Kommandodaten unmittelbar vorangestellt
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 170 - Gerhard M. Glaser
M
G G
TELNET - Network Virtual Terminal (NVT)
Fiktive Ein-/Ausgabe-Einheit mit bekannten Eigenschaften
Drucker zur Anzeige von Ausgabedaten
Tastatur zur Dateneingabe
7 Bit ASCII in 8 Bit Wort (default)
Unbegrenzte Zeilen- und Seitenlnge
Steuerfunktionen
Drucker fr Steuerzeichen
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 171 - Gerhard M. Glaser
M
G G
TELNET - Network Virtual Terminal (Modell)
I/O-Steuerung
Telnet Client
TCP
IP
Netz-Zugang
Anwendung
Telnet Server
TCP
IP
Netz-Zugang
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 172 - Gerhard M. Glaser
M
G G
TELNET - Lokale Kommandos
Lokale Kommandos werden nicht ber das Netz bertragen
Erase Character: Lscht letztes eingegebenes Zeichen
Erase Line: Lscht letzte Eingabezeile
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 173 - Gerhard M. Glaser
M
G G
TELNET - Remote-Kommandos (Auswahl)
Remote-Kommandos werden durch vorgestelltes <IAC>
bertragen
Interrupt Process: Bewirkt den Abbruch des laufenden
(dez. 244) TELNET-Prozesses. Erzwingt Abbau
der bestehenden Verbindung
Abort Output: Datenausgabe wird abgebrochen.
(dez. 245) Prozess bleibt bestehen
Are You There: berprft Prozess-Prozess-
(dez. 246) Kommunikation. Bewirkt Signal
Break: (dez. 243) Darstellung der Break-Taste
Go Ahead: Signal zum Richtungswechsel bei
(dez. 249) Halbduplex-bertragung
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 174 - Gerhard M. Glaser
M
G G
TELNET - Aushandeln von Optionen
Regeln:
Aufforderung zum Einschalten kann zurckgewiesen werden
Aufforderung zum Ausschalten von Optionen muss
akzeptiert werden
Es drfen nie Optionen ausgehandelt werden, die sich
bereits in der gewnschten Stellung befinden
Optionen werden erst nach Besttigung gltig
Optionen treten unmittelbar nach der Besttigung in Kraft
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 175 - Gerhard M. Glaser
M
G G
TELNET - Aushandeln von Optionen
Befehle
WILL Der Sender zeigt an, dass er eine Option einschalten mchte
Antwort: DO oder DONT
WONT Der Sender zeigt an, dass er eine Option ausschalten mchte
Antwort: DONT
DO Der Sender zeigt an, dass der Empfnger eine Option einschalten
soll
Antwort: WILL oder WONT
DONT Der Sender zeigt an, dass der Empfnger eine Option ausschalten
soll
Antwort: WONT
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 176 - Gerhard M. Glaser
M
G G
TELNET - Optionen
Extended ASCII (dez. 17) (RFC 698)
Binary Transmit (dez. 0) (RFC 856)
(local) Echo (dez. 1) (RFC 857)
Suppress GA (dez. 3) (RFC 858)
Terminal Speed (dez. 32) (RFC 1079)
Terminal Type, X.3 PAD (dez. 24) (RFC 1091)
Extended Options List (dez. 255) (RFC 861)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 177 - Gerhard M. Glaser
M
G G
TELNET - Terminal-Typen
(aus Assigned Numbers- Auswahl)
DEC-DECWRITER-I
DEC-DECWRITER-II
DEC-GIGI
DEC-GT40
DEC-GT40A
DEC-GT42
DEC-LA120
DEC-LA30
DEC-LA36
DEC-LA38
DEC-VT05
DEC-VT100
DEC-VT101
DEC-VT102
DEC-VT125
DEC-VT131
DEC-VT132
DEC-VT200
DEC-VT220
DEC-VT240
DEC-VT241
DEC-VT300
DEC-VT320
DEC-VT340
IBM-1050
IBM-2741
IBM-3101
IBM-3101-10
IBM-3151
IBM-3179-2
IBM-3180-2
IBM-3196-A1
IBM-3275-2
IBM-3276-2, -3, -4
IBM-3277-2
IBM-3278-2, -3, -4, -5
IBM-3278-2E, -3E, -4E, -5E
IBM-3279-2, -3
IBM-3279-2E, -3E
IBM-3477-FC, -FG
IBM-5081
IBM-5151
IBM-5154
IBM-5251-11
IBM-5291-1
IBM-5292-2
IBM-5555-B01, -C01
IBM-6153
IBM-6154
IBM-6155
IBM-AED
PERKIN-ELMER-550
PERKIN-ELMER-1100
PERKIN-ELMER-1200
TELEVIDEO-910
TELEVIDEO-912
TELEVIDEO-920
TELEVIDEO-920B
TELEVIDEO-920C
TELEVIDEO-925
TELEVIDEO-955
TELEVIDEO-950
TELEVIDEO-970
TELEVIDEO-975
TEKTRONIX-4006
TEKTRONIX-4010
TEKTRONIX-4012
TEKTRONIX-4013
TEKTRONIX-4014
TEKTRONIX-4023
TEKTRONIX-4024
TEKTRONIX-4025
TEKTRONIX-4027
TEKTRONIX-4105
TEKTRONIX-4107
TEKTRONIX-4110
TEKTRONIX-4112
TEKTRONIX-4113
TEKTRONIX-4114
TEKTRONIX-4115
TEKTRONIX-4125
TEKTRONIX-4404
Insgesamt: 326
(Stand: 1.5. 2001)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
M
G G
- 178 - Gerhard M. Glaser Stand: 14.08.2008
Kapitel 13
File Transfer Protocol
(FTP)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 179 - Gerhard M. Glaser
M
G G
File Transfer Protocol
(FTP)
RFC 959 - STD 9 - MIL-Standard 1780
Darunter liegende Schicht: Transport Schicht (TCP)
TCP/UDP Port-Nr.: 21
(ggf.) Port-Nr.: 20
File-Transfer-Dienst
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 180 - Gerhard M. Glaser
M
G G
FTP - Problematik
unterschiedliche Architekturen:
Prozessoren, Betriebssysteme, ...
unterschiedliche Datenformate:
Bitanordnung, ASCII, EBCDIC, ...
unterschiedliche Dateistrukturen:
zeilenorientiert, record-orientiert, seitenorientiert, ...
unterschiedliche bertragungsweisen:
stream, asynchron, blockmode, ...
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 181 - Gerhard M. Glaser
M
G G
Konsens zwischen Systemen erfolgt
durch Reduzieren individueller Eigenschaften auf
Optionen
nicht durch Transformation auf ein Meta-Format
(kein Network Virtual File)
FTP Arbeitsweise
(Lsung des Problems)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 182 - Gerhard M. Glaser
M
G G
FTP-Session
(Prinzipdarstellung)
O Aufbau einer Steuerleitung/ -verbindung
(Port-Nr.: 21) durch Client
O Austausch von Befehlen und Parametern
1 Aufbau einer Datenleitung/ -verbindung
(typisch: Port-Nr.: 20) durch Server
2 Datenbertragung
3 Abbau der Datenverbindung
O Abbau der Steuerleitung
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 183 - Gerhard M. Glaser
M
G G
Benutzeroberflche
Client-PI
Dateisystem Dateisystem
Client-DTP
PI = Protocol Interpreter
DTP =Data Transfer Process
Port 21
Port 20
Server-PI
Server-DTP
Das FTP - Modell
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 184 - Gerhard M. Glaser
M
G G
Active FTP
(Standard-FTP)
20
Data
21
Cmd
(1024)
Cmd
(1025)
Data
FTP-Server
FTP Client
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 185 - Gerhard M. Glaser
M
G G
Passive FTP
(Firewall FTP)
20
Data
21
Cmd
(1024)
Cmd
(1025)
Data
FTP-Server
FTP Client
(2020)
Hinweis: Beim passiven FTP spielt Port 20 keine Rolle!
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 186 - Gerhard M. Glaser
M
G G
FTP - Transfer Parameter
TYPE (representation type)
- A ASCII
- E EBCDIC
- I image
- L <byte size> local byte-size
STRU (structure)
- F file, no record structure
- R record structure
- P page structure
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 187 - Gerhard M. Glaser
M
G G
Wichtige FTP - Befehle
dir, ls Inhaltsverzeichnis anzeigen
cd Inhaltsverzeichnis wechseln
pwd Name des aktuellen Inhaltsverz. anzeigen
bin/ ascii
bertragungsmodus binr/ ascii
hash bertragung grafisch darstellen (mit #####)
get/ put (mget/ mput)
eine Datei bzw. ein komplettes Verzeichnis
holen/ senden
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
M
G G
- 188 - Gerhard M. Glaser Stand: 14.08.2008
Kapitel 14
E-Mail Protokolle:
SMTP
POP3
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 189 - Gerhard M. Glaser
M
G G
Simple Mail Transfer Protocol
(SMTP)
RFC 2821- STD 10 - MIL-Standard 1781
Darunter liegende Schicht: Transport Schicht (TCP)
TCP/UDP Port-Nr.: 25
E-Mail-Dienst
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 190 - Gerhard M. Glaser
M
G G
SMTP Bestandteile
Envelope
Kommunikation zwischen Client und Server
Beginnt mit Steuerkommandos: HELO/ EHLO
nicht sichtbar
Header
Bestandteil der E-Mail (vgl. Body)
Enthlt Eintrge des Clients bzw. der Server
Eintrge nicht authentisch
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 191 - Gerhard M. Glaser
M
G G
SMTP bertragung
MAIL FROM:<Name_A@Rechner_1.Domain_I>
250 OK
RCPT TO: <Name_A@Rechner_2.Domain_II>
250 OK
RCPT TO: <Name_B@Rechner_2.Domain_II>
550 No such user here
DATA
354 Start mail input; end with <CRLF>.<CRLF>
Blah, blah, blah, blah
Rhabarber, Rhabarber, Rhabarber, Rhabarber
<CRLF>.<CRLF>
250 OK
Initiieren der Transaktion
berprfen des Empfngers
Empfnger existiert
Empfnger existiert nicht!
Beginn der Datenbertragung
Ende der Datenbertragung
Transaktion beendet
S E
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 192 - Gerhard M. Glaser
M
G G
SMTP Envelope
(Beispiel)
S: 220 test.de SMTP server ready
C: HELO xyz.de. beliebig!
S: 250 xyz.de., pleased to meet you
C: MAIL From:adam@xyz.de beliebig!
S: 250 <adam@xyz.de> Sender ok
C: RCPT To:eva@test.de muss existieren
S: 250 <eva@test.de> Recipient ok
C: RCPT TO:tom@test.de muss existieren
S: 250 <tom@test.de> Recipient ok
C: DATA
S: 354 Enter mail
C: Hallo Eva, hallo Tom!
C: Beispiel fr den Mail-Versand mit SMTP.
C: Adam
C: .
S: 250 Mail accepted
C: QUIT
S: 221 test.de delivering mail
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 193 - Gerhard M. Glaser
M
G G
SMTP - Kommandos (Auswahl)
MAIL: leitet die Transaktion ein mit der Identifikation des
Absenders
RCPT: receipient - identifiziert den/ die Empfnger
VRFY: verify - sucht zu einem vorgegebenen Namen den
zugehrigen Pfad
EXPN: expand - interpretiert einen Namen als Mailing-Liste und
lst diesen auf
SEND: kommuniziert direkt mit dem Terminal des Empfngers
SOML: send or mail - kommuniziert mit dem Terminal bzw. der
Mailbox, wenn das Terminal nicht erreichbar ist
SAML: send and mail - kommuniziert mit Terminal und Mail-Box
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 194 - Gerhard M. Glaser
M
G G
SMTP-Antwort-Codes (bersicht)
211 System-Status oder System-Hilfe
214 Hilfe - Informationen zumAusfhren eines Kommandos
220 Server bereit
221 Server beendet Verbindung
250 Kommando ausgefhrt
251 Keine lokale Mailbox; Weiterleitung an "forward-path
252 berprfung der Empfngeradresse nicht mglich; Die Nachricht wird dennoch versendet
354 Starte Empfang der Mail; Beenden mit " CRLF" . " CRLF
421 Service nicht verfgbar; Verbindung wird beendet
450 Aktion nicht ausgefhrt - Mailbox nicht verfgbar
451 Aktion abgebrochen - Fehler beimAusfhren
452 Aktion abgebrochen - Nicht gengend System-Speicher
500 Syntax-Fehler - Kommando unbekannt
501 Syntax-Fehler - Parameter oder Argument falsch
502 Kommando unbekannt / nicht implementiert
503 Falsche Reihenfolge der Kommandos
504 Parameter unbekannt / nicht implementiert
550 Aktion nicht ausgefhrt - Mailbox nicht erreichbar (nicht gefunden, kein Zugriff)
551 Mailbox nicht lokal; "forward-path" versuchen
552 Aktion abgebrochen - Fehler bei der Speicherzuweisung
553 Aktion nicht ausgefhrt - Mailbox-Name nicht erlaubt (Syntax inkorrekt)
554 Transaktion fehlgeschlagen (beimVerbindungsaufbau: Kein SMTP-Service verfgbar)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 195 - Gerhard M. Glaser
M
G G
822-Message-Format (nach Original RFC) bzw.
The format of ARPA Internet text messages )
7-Bit ASCII (nicht nderbar!)
Bestandteile:
Header
Body
SMTP - Message-Format
RFC 2822 - STD 11
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 196 - Gerhard M. Glaser
M
G G
From:
To:
Date:
Subject:
(Leerzeile)
Nachricht (beliebig lang)
Message Header
Message Body
SMTP - Message-Format
(Header/ Body)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 197 - Gerhard M. Glaser
M
G G
SMTP Header
(Beispiel)
Received: by xyz. de. i d AABBCC; Mon, 19 Nov 2001 12: 34: 56 +0100
Received: f r omadam1 ( 47110815@[ 192. 168. 80. 201] ) by f wd00. xyz. de
wi t h smt p i d 166Cyz1KXYRsC; Tue, 20 Nov 2001 16: 38: 45 +0100
From: adam@xyz. de ( Adam)
To: eva@t est . de ( Eva)
Subject: Bei spi el - Mai l
Date: Mon, 19 Nov 2001 12: 34: 56 +0100
Reply-To: adam@xyz. de
Message-ID: 1234567890. Adam@xyz. de
Disposition-Notification-To: adam@xyz. de
MIME-Version: 1. 0
Content-Type: t ext / pl ai n; char set ="i so- 8859- 1"
X-Mailer: Wi nzi gwei ch Ausschau, Bui l d 1. 2. 3. 4. 5
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 198 - Gerhard M. Glaser
M
G G
SMTP Header interpretieren
SPAM erkennen (1)
Received-Zeilen immer von unten nach oben lesen
oberster Server ist der eigene
Eintrge knnen gefaked sein (von unten beginned)
Im Zweifelsfall IP-Adresse auswerten
authentisch nur aus Envelope ( HELO )
Received-Zeilen direkt hintereinander
ohne Zwischen- oder Leerzeilen
Sender der unteren Zeile = Empfnger der oberen Zeile
Vorsicht wegen:
Alias
Dial-Up
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 199 - Gerhard M. Glaser
M
G G
SMTP Header interpretieren
SPAM erkennen (2)
Verdchtig:
Standort/ Domain des Servers entspricht nicht der Zeitzone
Zeichenwirrwahr als Server-Name
IP-Adresse und Server-Namen stimmen nicht berein
(berprfung z.B. mittels: nslookup)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 200 - Gerhard M. Glaser
M
G G
SMTP Header interpretieren
(Header okay)
Recei ved: f r omi nbound2. psi . net eu. net ( EHLO i nbound2. psi . net eu. net ) ( [ 154. 15. 201. 165] )
by mst or e. psi . net eu. net ( MOS 3. 8. 2- GA Fast Pat h queued)
wi t h ESMTP i d CJ K65564 ( AUTH vi a LOGI NBEFORESMTP) ;
Fr i , 05 Oct 2007 06: 02: 55 +0200 ( CEST)
Recei ved: f r ommai l f i l t er 1. psi . net eu. net ( EHLO mai l f i l t er 1. psi . net eu. net ) ( [ 154. 15. 200. 26] )
by i nbound2. psi . net eu. net ( MOS 3. 8. 2- GA Fast Pat h queued)
wi t h ESMTP i d HLW03613;
Fr i , 05 Oct 2007 06: 02: 55 +0200 ( CEST)
Recei ved: f r omf mmai l gat e05. web. de ( [ 217. 72. 192. 243] )
by mai l f i l t er 1. psi . net eu. net wi t h esmt p ( Exi m4. 65)
( envelope-from <hatschi@web.de>)
i d 1I deOt - 0001CC- 3G
f or ht schi @cyber space. de; Fr i , 05 Oct 2007 06: 02: 55 +0200
Recei ved: f r omweb. de
by f mmai l gat e05. web. de ( Post f i x) wi t h SMTP i d E54F42ED0872
f or <ht schi @cyber space. de>; Fr i , 5 Oct 2007 06: 02: 54 +0200 ( CEST)
Recei ved: f r om[ 87. 178. 27. 130] by freemailng0801.web.de wi t h HTTP; Fr i , 05 Oct 2007
06: 02: 54 +0200
Dat e: Fr i , 05 Oct 2007 06: 02: 54 +0200
Message- I d: <1866780544@web.de>
Fr om: Hans Tschi <hatschi@web.de>
To: ht schi @cyber space. de
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 201 - Gerhard M. Glaser
M
G G
SMTP Header interpretieren
(definitiver SPAM Header)
Ret ur n- Pat h: <ksr @bpt desi gn. com>
Recei ved: f r omi nbound1. psi . net eu. net []( AUTH vi a LOGI NBEFORESMTP) ;
Sat , 03 Nov 2007 03: 51: 25 +0100 ( CET)
Recei ved: f r ommai l f i l t er 1. psi . net eu. net ( EHLO mai l f i l t er 1. psi . net eu. net )
( [ 154. 15. 200. 26] )
[]
Recei ved: f r om[ 77.66.146.66] ( hel o=comp)
by mai l f i l t er 1. psi . net eu. net wi t h esmt p ( Exi m4. 65)
(envelope-from <ksr@bptdesign.com>)
i d 1I o96Y- 00019d- V5
f or ht schi @cyber space. de; Sat , 03 Nov 2007 03: 51: 24 +0100
Recei ved: f r om[ 77.66.146.66] by smt p. secur eser ver . net ;
Sat , 3 Nov 2007 05: 50: 04 +0300
From: Vol ksbanken Rai f f ei senbanken<16092007shr t @volksbank.de>
To: <ht schi @cyber space. de>
Subj ect : Vol ksbanken Rai f f ei senbanken AG: 02/ 11/ 2007
Dat e: Sat , 3 Nov 2007 05: 50: 04 +0300
MI ME- Ver si on: 1. 0
X- Mi meOLE: Pr oduced By Mi cr osof t Mi meOLE V6. 00. 2800. 1106
Message- I D: <01c81ddd$619ac510$4292424d@ksr >
[] = Auslassungen vgl. Header okay
nslookup fr 77.66.146.66:
Non-existent domain
(IP in Holland)
Securserver.net gehrt zu
godaddy.com (AZ, USA)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 202 - Gerhard M. Glaser
M
G G
E-Mail - Aufflligkeiten
Absender-Adresse stimmt nicht mit Mailserver berein
(u.U. nur in IP-Adresse des Envelopes erkennbar)
Kein Absender
Zeitsprnge in bertragung
Header-Feld User-Agent zeigt nicht auf ein bekanntes E-Mail Programm
(korrekt: User - Agent : Thunder bi r d 2. 0. 0. 6 ( Wi ndows/ 20070728) )
Eine oder mehrere Zeilen komplett in Grobuchstaben
Verweis, dass Mail nach Senate Bill 1618 kein Spam sei
(der Verweis ist irrelevant und gerade ein Indiz fr Spam)
Mail besteht nur aus (Remote) Bildern
Eintrag in Adresse (vor @) findet sich in Subject-Feld ( Betreff ) wieder
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 203 - Gerhard M. Glaser
M
G G
Einschub
E-Mail Privacy: Webbugs (+ Cookies)
Beschreibung:
- Mini-Bilder (1 Pixel), die von einem externen Server abgerufen werden
- In allen HTML-Mails mglich
(Achtung: HTML muss nicht erkennbar sein)
Einsatzbereich:
- berprfung der Existenz einer E-Mail
- Zuordnung von
E-Mail-Adresse IP-Adresse (Webbug)
E-Mail-Adresse Gert (Cookie)
Schutz:
- Offline Lesen von E-Mails
- Blocken externer IP-Adressen durch E-Mail-Client
- Verbieten von Cookies
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 204 - Gerhard M. Glaser
M
G G
Sicherheitsmechanismen bei E-Mail
SMTP after POP
E-Mail-Server berschreibt FROM Feld
(z.B. T-Online)
SSL bzw. TLS
Digitale Unterschrift/ Nutzung von Zertifikaten
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 205 - Gerhard M. Glaser
M
G G
SMTP/ SPAM: Quellen/ URLs
http://www.th-h.de/faq/headerfaq.php
hat-h.de: E-Mail-Header lesen und verstehen
http://www.tecchannel.de/kommunikation/e-mail/401772/index.html
Tec Channel: So funktioniert E-Mail
http://www.gurusheaven.de/security/email_know_how.htm
eMail Know-How - Tipps & Tricks zur Sicherheit
http://www.stopspam.org/email/headers.html
Reading E-Mail-Headers
http://www.bsi.de/literat/studien/antispam/antispam.pdf
BSI: Anti-Spam Strategien
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 206 - Gerhard M. Glaser
M
G G
Post Office Protocol - Version 3
(POP3)
RFC 1939 - STD 53
Darunter liegende Schicht: Transport Schicht (TCP)
TCP/UDP-Port-Nr.: 110
ermglicht dem Client das Abholen von E-Mail von
einem Mail-Server
User-Authentisierung erfolgt ber Username/
Password
untersttzt keine Vernderung der Mail auf dem
Server (abgeholte Mail wird i.a. gelscht)
(Gegensatz: IMAP4 [Internet Message Access Protocol] - RFC 2060)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 207 - Gerhard M. Glaser
M
G G
POP Envelope
(Beispiel)
S: +OK POP3 server ready
C: user glaser
S: +OK
C: pass tschitschi
S: +OK
C: LIST
S: +OK 2 messages (320 octets)
S: 1 120
S: 2 200
S: .
C: RETR 1
S: +OK 120 octets
S: <Server sendet Nachricht 1>
S: .
C: DELE 1
S: +OK message 1 deleted
C: RETR 2
S: +OK 200 octets
S: <Server sendet Nachricht 2>
S: .
C: DELE 2
S: +OK message 2 deleted
C: RETR 3
S: -ERR no such message
C: QUIT
S: +OK
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 208 - Gerhard M. Glaser
M
G G
Multipurpose Internet Mail Extensions (MIME)
RFC 2045 - 2049
Spezifiziert die bertragung von 8-Bit (Nicht-ASCII)
Zeichen (Umwandlung in 7 Bit Zeichen)
Zustzliches Header-Field: MIME-Version
Definiert
fnf Top-Level Media-Types
(text, image, audio, video, application, multipart)
viele Sub-Types
(text/plain, text/ richtext, )
Secure MIME (S/MIME) spezifiziert in RFC 3850/ 3851
Nutzung auch im Web-Umfeld
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 209 - Gerhard M. Glaser
M
G G
Kapitel 15
Name-Services
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 210 - Gerhard M. Glaser
M
G G
Name-Services - Aufgabe
dienen der Zuordnung Rechnername zu IP-Adresse
im einfachsten Fall durch eine lokale Datei realisiert
(z.B. C:\windows\system32\drivers\etc\hosts, /etc/hosts)
u.U. recht komplex aufgebaut
(z.B. DNS)
knnen vielfltige Informationen weiterreichen
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 211 - Gerhard M. Glaser
M
G G
Internet Name Server
IEN 116
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 212 - Gerhard M. Glaser
M
G G
Internet Name Server
IEN 116
(August 1979)
kein MIL-Standard
Darunter liegende Schicht: Transport Schicht (UDP)
UDP/TCP Port-Nr.: 42
Zuordnen von Hostnamen zu IP-Adressen
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 213 - Gerhard M. Glaser
M
G G
IEN 116-Internet-Name-Service
Eigenschaften
Name-Server sind unabhngig voneinander
kein hierarchisches System (flache Topologie)
Wildcards optional
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 214 - Gerhard M. Glaser
M
G G
IEN 116-Internet-Name-Service - Beispiel
Server 1.1.1.1
Test 2.1.1.1
Privat 3.1.1.1
DG 1.1.0.10
1.1.0.1
Server 1.1.1.1
Test 5.1.1.1
Privat 4.1.1.1
Bro 10.1.1.1
DG 1.1.0.20
1.1.0.2
Test 1.1.1.1
Test_2 3.1.1.1
Bro 5.1.1.1
Privat 5.1.1.1
DG 1.1.0.30
1.1.0.3
PNS 1.1.0.1
SNS 1.1.0.2
PNS 1.1.0.2
SNS 1.1.0.3
PNS 1.1.0.3
SNS 1.1.0.2
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 215 - Gerhard M. Glaser
M
G G
Domain Name System/ Service
(DNS)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 216 - Gerhard M. Glaser
M
G G
DNS
kein MIL-Standard
Darunter liegende Schicht: Transport Schicht
(UDP und TCP)
UDP/TCP Port-Nr.: 53
Zuordnen von Hostnamen zu IP-Adressen
RFC 1033 - Administrators Operations Guide
RFC 1034 - Concepts and Facilities
RFC 1035 - Implementation and Specification
STD 13
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 217 - Gerhard M. Glaser
M
G G
DNS - Funktionsweise
verteilten Datenhaltung
hierarchischen Modell
unterschiedliche DNS-Servertypen
zustzliche (optionale) Mglichkeiten
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 218 - Gerhard M. Glaser
M
G G
DNS - Funktionsweise
(hierarchisches Modell)
COM ORG EDU
MIL
NET
IBM
/
MIT UCLA
= Top-Level-Domains
DE
Kunz-
Shne
...
GMG
Abt-1 Abt-2
GMG
Abt-1 Abt-2
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 219 - Gerhard M. Glaser
M
G G
Top Level Domains (TLD)
gTLD (Generic TLD):
z.B.: com, org, net
ccTLD (Country Code TLD)
z.B.: de, ch, uk, us,
to (Tonga),
tv (Tuvalu),
by (Belorussland)
sTLD (Sponsored TLD)
z.B.: jobs, info, mobi, post, mail, travel, xxx, tel (Dez. 2008)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 220 - Gerhard M. Glaser
M
G G
DNS-Aufbau
<Rechnername>.<Subdomain>.<Domain>.<TLD>
Hinweis:
Im DNS kann kein Protokoll abgelesen werden!
Protokoll nur in der URL:
Protokoll:// Rechnername.Subdomain.Domain.TLD
z.B.
http://test.abt-1.gmg.com
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 221 - Gerhard M. Glaser
M
G G
DNS - Servertypen
Primary Name Server (Master)
Enthlt Datenbank mit autorisierten Daten
Ort der Datenpflege
Secondary Name Server (Slave)
Enthlt Datenbank mit autorisierten Daten
Holt sich regelmig Updates von Master
Caching Server
Merkt (cacht) sich nur Daten (nicht autorisiert)
verwirft gecachteDaten nach vorgegebener Zeit
(TTL-Feld mit 32 Bit Lnge)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 222 - Gerhard M. Glaser
M
G G
DNS - Funktionalitten und Funktionsweisen
Auflsen von Namen (in IP-Adressen)
Auflsen von IP-Adressen (in Namen - optional)
bermitteln weiterer Informationen
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 223 - Gerhard M. Glaser
M
G G
DNS - Funktionalitten und Funktionsweisen
Beantworten von Anfragen:
Standard:
Name
Error (Name nicht bekannt)
Verweis auf anderen Server
Optional (Anfrage wird ggf. weitergeleitet rekursive Antwort):
Name
Error
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 224 - Gerhard M. Glaser
M
G G
DNS - Query-Types (Auswahl)
A Address (Rechneradresse)
NS Name-Server
CNAME Canonical Name (Zuordnung von Nicknames)
HINFO Rechner- (Host-) Information (CPU, Betriebssystem)
SOA Start Of Authority (Update von PNS-Daten)
SERIAL nderungen in Datensatz ( Versionspflege )
REFRESH Zeit zwischen Updatepolls
RETRY Zeitdauer bis zum Wiederholen eines
fehlgeschlagenen REFRESH
EXPIRE Zeit bis zum Lschen eines Eintrages
(nach fehlgeschlagenem REFRESH)
MX Mail Exchange Server
WKS Well Known Services (TCP/ UDP-Dienste <256)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 225 - Gerhard M. Glaser
M
G G
DNS - Einschrnkungen
Namen (Labels): max. 63 Byte
Rechnernamen: max. 255 Byte
TTL: positive Werte einer vorzeichen-
behafteten 32 bit Integer Zahl
UDP Nachricht: max. 512 Byte
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 226 - Gerhard M. Glaser
M
G G
MERKE:
Ein DNS-Server muss sich nicht in der
Domain befinden, fr die er
Informationen bereithlt!
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 227 - Gerhard M. Glaser
M
G G
Kapitel 16
BootP
DHCP
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
M
G G
- 228 - Gerhard M. Glaser Stand: 14.08.2008
BootP
(UDP Bootstrap Protocol)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 229 - Gerhard M. Glaser
M
G G
BOOTP
RFC 951, RFC 1542
kein MIL-Standard
Darunter liegende Schicht: Transport Schicht (UDP)
UDP/TCP Port: 67 (Client Server)
68 (Server Client)
Zuordnung Ebene 2 Ebene 3
(MAC-Adresse IP-Adresse)
bertragen von Boot-Informationen
(Vendor Specific Extensions vgl. RFC 2132)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 230 - Gerhard M. Glaser
M
G G
BOOTP - Funktionsweise
BOOTP-Request per IP-Broadcast (255.255.255.255)
oder gerichtet
BOOTP-Request nicht beantwortet erneute Anfrage
Backoff-Strategie zur Verhinderung von flooding
(vgl. CSMA/CD)
Antwortprioritt durch secs -Feld
Booten ber Router (Gateways)
(nur ber BOOTP-Relay-Agent - optional)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 231 - Gerhard M. Glaser
M
G G
B
O
O
T
P

-
D
a
t
e
n
f
o
r
m
a
t
B
o
o
t

F
i
l
e

N
a
m
e

(
m
a
x
1
2
8

B
y
t
e
)
V
e
n
d
o
r
S
p
e
c
i
f
i
c
A
r
e
a

(
m
a
x
6
4

B
y
t
e
)
C
l
i
e
n
t

H
a
r
d
w
a
r
e

A
d
r
e
s
s
(
m
a
x
1
6

B
y
t
e
)
S
e
r
v
e
r

H
o
s
t

N
a
m
e

(
m
a
x
6
4

B
y
t
e
)
S
e
r
v
e
r

I
P

A
d
d
r
e
s
s
G
a
t
e
w
a
y

I
P

A
d
d
r
e
s
s
C
l
i
e
n
t

I
P

A
d
d
r
e
s
s
T
r
a
n
s
a
c
t
i
o
n
I
D
0
1
2
3
5
6
7
8
9
4
0
1
2
3
5
6
7
8
9
4
0
1
2
3
5
6
7
8
9
4
0
1
0
1
2
3
H
o
p
s
O
p
e
r
a
t
i
o
n
s
e
c
s
H
a
r
d
w
a
r
e

T
y
p
e
H
a
r
d
w
a
r
e

L
e
n
g
t
h
U
n
u
s
e
d
Y
o
u
r
I
P

A
d
d
r
e
s
s
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 232 - Gerhard M. Glaser
M
G G
BOOTP - Vendor Specific Extensions (Auswahl)
Time-of-Day aktuelle Zeit
Subnet-Mask IP-Subnetz-Maske
Router IP-Adresse Router
Time-Server IP-Adresse Time-Server
IEN116-Server IP-Adresse IEN 116 Name-Server
Domain Server IP-Adresse Domain-Name-Server
LPR-Server IP-Adresse BSD-Print-Server
Hostname Name Client (local station)
Boot Size Gre Boot-File (in 512 Byte Blocks)
Extensions Path TFTP-File - wird als VSE interpretiert
End (255h) Ende der VSE
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
M
G G
- 233 - Gerhard M. Glaser Stand: 14.08.2008
DHCP
(Dynamic Host Configuration
Protocol)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 234 - Gerhard M. Glaser
M
G G
DHCP
RFC 2131
nutzt BOOTP/ Erweiterung von BOOTP
Erweiterung/nderung des BOOTP-Paket
Vendor Specific Extensions Options (RFC 2132)
Minimumlnge des VSE-Feldes/ Options: 312 Byte
definiertes Magic Cookie (99.130.83.99)
Zuweisen von IP-Adressen auf Zeit bzw. unendlich
(Leased Time: 1 sec - 136 J ahre 32 Bit)
manuelle Vergabe von IP-Adressen mglich
abwrtskompatibel zu BOOTP
(muss BOOTP-Clients bedienen knnen)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 235 - Gerhard M. Glaser
M
G G
DHCP-Messages
DHCPDISCOVER Broadcast von Client, zur Suche verfgbarer
Server
DHCPOFFER Server teilt Client Konfigurationsparameter mit
DHCPREQUEST Client fordert angebotene Parameter von Server
an bzw. besttigt Parameter/ verlngert Lease
DHCPACK Server besttigt Client die Richtigkeit der Adresse
DHCPNACK Server teilt Client mit, dass Adresse nicht
verwendet werden kann
DHCPDECLINE Client teilt Server mit, dass Adresse schon
genutzt wird
DHCPRELEASE Client teilt Server mit, dass Adresse nicht weiter
bentigt wird
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 236 - Gerhard M. Glaser
M
G G
DHCP - Automatische Adressvergabe
DISCOVER:
Client sucht DHCP-Server;
ggf. Vorschlge fr IP-Adresse und Leased-Time
OFFER:
DHCP-Server antworten mit IP-Adresse(n)
REQUEST:
Client whlt Angebot und antwortet allen Servern;
Server Identifier Option muss gesetzt sein
ACK:
Ausgesuchter Server reserviert vorgeschlagene Adresse
und schickt Konfigurations-Parameter (falls nicht: NACK)
ggf. Test der Adresse durch ICMP-Echo Request
Alle anderen Server:
Angebot wurde abgelehnt, vorgeschlagene IP-Adresse wieder frei
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 237 - Gerhard M. Glaser
M
G G
Automatic Private IP Addressing
(APIPA)
Client findet keinen DHCP-Server (ab Windows 98)
Whlt Adresse aus 169.254.0.0/ 16 (vgl. RFC 3330)
berprft ob Adresse bereits vergeben (Gratuitous ARP)
berprft alle 5 Min. ob DHCP-Server vorhanden
Wichtig: Kann nur im eigenen Netz kommunizieren
Abschaltbar
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
Tcpip\Parameters\Interfaces
Interface auswhlen
DWORD IPAutoconfigurationEnabled = 0
Weitere Infos: http://support.microsoft.com/kb/q220874/
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 238 - Gerhard M. Glaser
M
G G
Kapitel 17
Trivial File Transfer Protocol
(TFTP)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 239 - Gerhard M. Glaser
M
G G
Trivial File Transfer Protocol
(TFTP)
RFC 1350 - STD 33
kein MIL-Standard
Darunter liegende Schicht: Transport Schicht (UDP)
UDP/TCP Port-Nr.: 69
einfacher File-Transfer-Dienst ohne Login-Prozedur
(Poor Mans File Transfer)
Einsatzgebiet: Netz-Boot-Vorgnge
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 240 - Gerhard M. Glaser
M
G G
TFTP - Funktionsweise
TFTP verfgt ber fnf Funktionen:
Read Request (RRQ):
fordert File von Remote-Rechner an
Write Request (WRQ):
sendet File zu Remote-Rechner
Data (DATA):
kennzeichnet den eigentlichen Datenstrom
Acknowledgement (ACK):
besttigt empfangene Pakete
Error (ERROR):
zeigt bertragungsfehler an
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 241 - Gerhard M. Glaser
M
G G
TFTP - bertragungsmechanismus
Verbindungsaufbau mit RRQ bzw. WRQ
Festes Paket-Format (512 Byte)
Pakete < 512 Byte: Ende der bertragung
Paketweise Besttigung
ERROR: bertragungsabbruch - kein Retransmit!
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 242 - Gerhard M. Glaser
M
G G
TFTP - bertragungsmechanismus
RRQ (Read Request)
ACK
DATA (512 Byte)
ACK
DATA (512 Byte)
ACK
DATA (<512 Byte)
ACK
Initiieren der Transaktion
Besttigung
Daten
Besttigung
Daten
Besttigung
Ende der Datenbertragung
(letztes Paket)
Besttigung
(Ende der Transaktion)
C S
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 243 - Gerhard M. Glaser
M
G G
Kapitel 18
Die R -Utilities
rlogin, rcp, rsh/rexec
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 244 - Gerhard M. Glaser
M
G G
Die R Utilities
- rlogin, rcp, rsh/ rexec -
Darunter liegende Schicht: Transport Schicht (TCP)
TCP/UDP Ports:
512 (rsh), 513 (rlogin), 514 (rexec)
Funktion:
Login
copy (rcp)
Ausfhren von Programmen (shell-scripts)
auf Remote-Rechnern
keine aktive Identifizierung und Authetifizierung
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 245 - Gerhard M. Glaser
M
G G
R-Utilities - Zugriffsmechanismen
Dateien zur Freigabe von Zugriffsberechtigungen
.rhosts - im Home-Verzeichnis des Anwenders
hosts.equiv - unter /etc
Freigabe bezogen auf Rechner- und Usernamen
Anwender root muss immer Password eingeben
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 246 - Gerhard M. Glaser
M
G G
R-Utilities - Autorisierungsdateien (Eintrge)
+
von jeder Maschine/ alle Benutzer von allen Maschinen
<hostname>
von der Maschine <hostname> mit eigener Kennung
<hostname><username>
angegebener <username> von <hostname> unter eigener
Kennung/ allen Kennungen
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 247 - Gerhard M. Glaser
M
G G
R-Utilities - Ablaufdiagramm fr Zugriff
> rlogin HOST
Existiert USER in Password-Datei von HOST
NEIN
kein Zugriff mglich
Existiert ein entsprechender Eintrag in .rhosts?
JA
kein Password ntig
Password ntig
user=root
userroot
Existiert ein entsprechender Eintrag in hosts.equiv?
JA
kein Password ntig
Password ntig
NEIN
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 248 - Gerhard M. Glaser
M
G G
Kapitel 19
Network File System
(NFS)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 249 - Gerhard M. Glaser
M
G G
Network File System
(NFS)
RFC 3010
kein MIL-Standard
Darunter liegende Schichten:
Darstellungsschicht: XDR (RFC 1014/ RFC 1832)
( External Data Representation )
Sitzungsschicht: SUN-RPC (RFC 1057)
Transport Schicht: UDP (Port-Nr.: 111)
einzige TCP/IP-Applikation mit separaten Schichten 5, 6 und 7
Zugriff auf Netzwerklaufwerk mit 80% der lokalen Performance
stateless Verbindung
explizite Freigabe auf dem Server (/etc/exports)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 250 - Gerhard M. Glaser
M
G G
NFS im OSI-Modell
IP
UDP
RPC
XDR
NFS
Netzzugang (802.x)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 251 - Gerhard M. Glaser
M
G G
Einschub: Remote Procedure Calls
Programm
1
Programm 2
Programm
1
Programm 2
RPC
RPC
Host Grn
Host Rot
Host
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 252 - Gerhard M. Glaser
M
G G
N
F
S

-
M
o
u
n
t
C
l
i
e
n
t
/
s
y
s
t
e
m
u
s
e
r
n
e
t
w
o
r
k
c
o
m
m
a
n
d
s
d
a
t
a
h
e
l
p
s
B
e
f
e
h
l
:
m
o
u
n
t

-
t

n
f
s
-
o

r
o
,
s
o
f
t
s
e
r
v
e
r
:
/
h
e
l
p
s
/
u
s
e
r
/
h
e
l
p
s
S
e
r
v
e
r
/
n
e
t
w
o
r
k
s
y
s
t
e
m
a
p
p
l
i
k
a
t
i
o
n
u
s
e
r
h
e
l
p
s
s
y
s
t
e
m
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 253 - Gerhard M. Glaser
M
G G
Kapitel 20
Internet
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 254 - Gerhard M. Glaser
M
G G
World Wide Web
History
1989: Ursprung in einem Projekt des CERN, Genf
war gedacht als einfaches System zur Kommunikation
zwischen Physikern (Nutzung von Hypertextdokumenten)
1990: zeilenorientierte Oberflche (Line-Mode-Browser)
1993: Browser mit grafischer Benutzeroberflche
1994: die W3-Organisation (www.w3.org) wird ins Leben gerufen;
Aufgabe: Weiterentwicklung und Standardisierung
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 255 - Gerhard M. Glaser
M
G G
Hypertext Transfer Protocol
(HTTP)
RFC 1945 HTTP 1.0 (1996)
RFC 2616 HTTP 1.1 (1997)
Darunter liegende Schicht: Transport Schicht (TCP)
TCP/ UDP-Port: 80
Request-/ Response-Verfahren zur Abfrage von Dokumenten
O Verbindungsaufbau
O Anforderung (Request)
URI, protocol version, request modifier, client information
O Antwort (Response)
message protocol version, success-/ error-code, server information, data
O Verbindungsabbau
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 256 - Gerhard M. Glaser
M
G G
HTTPS
(Secure HTTP)
Nutzt SSL fr verschlsseltes HTTP (Port-Nr.: 443)
Verschlsselung erfolgt ber Zertifikate
HTTP
IP
TCP
SSL
HTTPS
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 257 - Gerhard M. Glaser
M
G G
1xx: Informational
Request received, continuing process
2xx: Success
The action was successfully received, understood, and
accepted
3xx: Redirection
Further action must be taken in order to complete the request
4xx: Client Error
The request contains bad syntax or cannot be fulfilled
5xx: Server Error
The server failed to fulfill an apparently valid request
HTTP Status Codes (berblick)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 258 - Gerhard M. Glaser
M
G G
100 Continue
101 Switching Protocols
200 OK
201 Created
202 Accepted
203 Non-Authoritative Information
204 No Content
205 Reset Content
206 Partial Content
300 Multiple Choices
301 Moved Permanently
302 Found
303 See Other
304 Not Modified
305 Use Proxy
307 Temporary Redirect
HTTP Status Codes - nach RFC 2616 - (1)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 259 - Gerhard M. Glaser
M
G G
400 Bad Request
401 Unauthorized
402 Payment Required
403 Forbidden
404 Not Found
405 Method Not Allowed
406 Not Acceptable
407 Proxy Authentication Required
408 Request Time-out
409 Conflict
410 Gone
411 Length Required
412 Precondition Failed
413 Request Entity Too Large
414 Request-URI Too Large
415 Unsupported Media Type
416 Requested range not satisfiable
417 Expectation Failed
HTTP Status Codes - nach RFC 2616 - (2)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 260 - Gerhard M. Glaser
M
G G
500 Internal Server Error
501 Not Implemented
502 Bad Gateway
503 Service Unavailable
504 Gateway Time-out
505 HTTP Version not supported
HTTP Status Codes - nach RFC 2616 - (3)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 261 - Gerhard M. Glaser
M
G G
Proxy-Server
Funktionsbeschreibung (1)
Zwischengeschaltetes Etwas (Appliance),
arbeitet als Client und als Server
Anfragen werden bearbeitet, ggf. bersetzt und
weitergereicht
Steuert Zugriffe ( Firewall )
Reicht Anfragen fr nicht untersttzte Protokolle weiter
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 262 - Gerhard M. Glaser
M
G G
Proxy-Server
Funktionsbeschreibung (2)
Weitere Funktionalitten:
Cache
Autorisierung
Accounting
Content-Filterung
Kann kaskadiert werden
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 263 - Gerhard M. Glaser
M
G G
Proxy-Server
Kaskadierung
Intranet
Public Internet
Abt.-Proxy
Firmen
-
Proxy
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 264 - Gerhard M. Glaser
M
G G
Socks-Server
(vs. Proxy-Server)
Einheitlicher Port fr alle Dienste ( Tunnel )
Port-Nr.: 1080
(Proxy nutzt Port des Dienstes - z.B. Port-Nr. 80 bei HTTP)
Dienst/ Anwendung muss socksifiziert sein
(Dienst/ Anwendung untersttzt normalerweise Proxy-
Funktion - transparenter Proxy mglich)
Socks muss Anwendung nicht untersttzen
(Proxy muss Anwendung untersttzen)
Anwender ist fr Socks freigeschaltet - oder nicht
(Proxy kann separat fr jeden Dienst freigeschaltet werden)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 265 - Gerhard M. Glaser
M
G G
Kapitel 21
VoIP
(Voice over IP)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 266 - Gerhard M. Glaser
M
G G
VoIP Gerte
PC mit
Sound-Karte
Headset
Telefonie-Software
IP-Telefon mit
Ethernet-Karte
VoIP-Server
VoIP-Gateway
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 267 - Gerhard M. Glaser
M
G G
VoIP Technik/ Funktionsweise
Analoges Signal: wird digitalisiert und komprimiert
Digitales Signal: wird in IP-Datenpakete verpackt
IP-Pakete: werden bertragen via (W)LAN/ MAN/ WAN
- ggf. Priorisierung
VoIP-Server: Aufgaben der Telefonanlage
(Vermittlung, Leistungsmerkmale etc.)
VoIP-Gateway: Schnittstelle zum klassischen Telefon-Netz
(oft in VoIP-Server integriert)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 268 - Gerhard M. Glaser
M
G G
VoIP - Protokolle (1)
SIP (Session Initiation Protocol)
RFC 3261 Proposed Standard
Darunter liegende Schicht: Transport Schicht (TCP)
TCP/UDP Port-Nr.: 5060, 5061 (SIP-TLS)
steuert Verbindungsauf-/ abbau zwischen zwei oder mehr Partnern
(Signaling Protocol)
HTTP-hnlich
einfach (wenig komplex)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 269 - Gerhard M. Glaser
M
G G
VoIP - Protokolle (2)
SDP (Session Description Protocol)
RFC 4566 Proposed Standard
Darunter liegende Schicht: Transport Schicht (TCP)
TCP/UDP Port-Nr.:
1297 (SDP Proxy)
3242 (SDP-ID)
3935 (SDP-Portmapper)
verwaltet Kommunikationssitzung ( Streaming Media )
verhandelt die zwischen den Endpunkten Codecs,
Transportprotokolle usw.
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 270 - Gerhard M. Glaser
M
G G
VoIP - Protokolle (3)
RTP (Realtime Transport Protocol)
RFC 3550 STD0064
RFC 3551
Darunter liegende Schicht: Transport Schicht (UDP)
UDP/TCP-Port-Nr.:
5004 (RTP Media Data)
5005 (RTP Control Protocol)
Ende-zu-Ende-Transport
keine Ende-zu-Ende-Kontrolle
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 271 - Gerhard M. Glaser
M
G G
VoIP - Protokolle (4)
H.323
ITU-T-Standard seit 1996
(International Telecommunication Union)
Ursprung in Festnetz-Technologie
( robustes Protokoll)
Unterprotokolle:
H.225.0 Setup
Q.931 Signalisierung
H.245 Telefonie
H.450 weitere Dienste/ Leistungmerkmale
(z.B. Parken, Rckruf, Rufweiterleitung, Namensbermittlung)
untersttzt Videokonferenz, Datenkonferenz, Synchronisation Audio/ Video
Zentrale Komponente Gatekeeper
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 272 - Gerhard M. Glaser
M
G G
VoIP Probleme - heute (1)
Laufzeit/ Echo problematisch (vor allem: WLANS)
QoS (Priorisierung) dringend notwendig
Sprachqualitt schlecht/ von Bandbreite abhngig
Verschlsselung nur bedingt mglich
(z.B. nicht bei Gesprchen ins Festnetz)
DOS-Atacken wie bei allen Netzwerkanwendungen
Leistungs-/
Komfortmerkmale fehlen (z.B. Anklopfen, Rckruf bei besetzt)
Implementierung komplex (Layer 7!)
Interoperabilitt wegen verschiedener Standards geringer
(vgl. SIP, H.323)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 273 - Gerhard M. Glaser
M
G G
VoIP Probleme - heute (2)
Permanente Erreichbarkeit nicht gewhrleistet (always on, feste IP)
Notspeisung fehlt (Problem: Stromausfall)
Rufnummer-Zuordnung problematisch/ nicht abschlieend geklrt
Notruf-Nummern nicht direkt anwhlbar (z.B. 110, 112)
Standort-Erkennung problematisch (vgl. Notruf-Nummern)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 274 - Gerhard M. Glaser
M
G G
VoIP Quellen
http://www.voip-information.de/ umfassende Seite zum Thema VoIP und Umfeld
http://www.teltarif.de/i/voip.html allgemeine Beschreibung
http://www.elektronik-kompendium.de/sites/net/0503131.htm allgemeine Beschreibung
http://www.markenprofi.de/was-ratgeber/feld-1/nr-117/ allgemeine Beschreibung
http://www.zdnet.de/i/wp/VoIP_whitepaper_DE_SonicWALL.PDF Sicherheits-, Implementierungsprobleme
http://www.stemmer.de/service/workshops/mws2002/download/voip_vs_dect.pdf WLAN VoIP vs. DECT (besonders Seiten 31, 32)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 275 - Gerhard M. Glaser
M
G G
Kapitel 22
Simple Network Management
Protocol
(SNMP)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 276 - Gerhard M. Glaser
M
G G
Simple Network Management Protocol
(SNMP)
kein MIL-Standard
Darunter liegende Schicht: Transport Schicht (UDP)
UDP/TCP Ports: 161
162 (fr Traps)
dient zur Vereinheitlichung und bertragung
erfasster Daten (Variablen)
erlaubt herstellerspezifische Ergnzungen
RFC 1157 - STD 15
RFC 3411 - 3418 - STD 62
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 277 - Gerhard M. Glaser
M
G G
SNMP Aufbau
SNMP SNMP
Management Station
(SNMP Manager)
SNMP Agent
Netzwerkgert Rechner, Router etc.)
SNMP/ RMON Probe
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 278 - Gerhard M. Glaser
M
G G
SNMP - Aufbau
Manager: berwacht, konfiguriert (polling: Regel)
Agent: Sammelt/ ndert Daten (traps: Ausnahme)
RMON: Remote Monitoring
Verlagerung der Intelligenz von Manager auf Probe
Manager: zum Netz (Managed Objects)
Agent: zur Management-Station
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 279 - Gerhard M. Glaser
M
G G
SNMP Aufbau
(MIB)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 280 - Gerhard M. Glaser
M
G G
SNMP - Funktionsweise
definierte Variablen ( Managed Objects )
werden hierarchisch in der Management Information Base (MIB)
abgelegt
Agent sammelt Informationen auf berwachten Gerten
Werden aktiv durch Management-Server abgefragt (ggf. auch gesetzt)
get <Variable> holt spezifizierte Variable
get-next holt nchste Variable im Datenmodell
get-bulk holt mehrere Variablen gleichzeitig
set <Variable> setzt eine Variable
Sonderfall Traps:
bei besonderen Vorkommnissen werden Daten an Server gesendet
event <Variable>
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 281 - Gerhard M. Glaser
M
G G
SNMP
wichtige RFCs (allgemeine Definitionen)
RFC 1157 SNMP (STD0015)
RFC 1643 Definitions of Managed Objects for the Ethernet-like
Interface Types (STD0050)
RFC 3411 Architecture for Describing SNMP Management
Frameworks
RFC 3412 Message Processing and Dispatching for SNMP
RFC 3413 SNMP Applications
RFC 3414 User-based Security Model for SNMP
RFC 3415 View-based Acces Control Model for SNMP
RFC 3418 Management Information Base (MIB) for SNMP
RFC 2576 Coexistence between SNMP v1, SNMP v2 and SNMP v3
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 282 - Gerhard M. Glaser
M
G G
SNMP - wichtige MIBs (1)
Interface Table
(vgl. RFC 1213)
Variable 1.3.6.1.2.1.2.2.1.x
enthlt Informationen ber die Interfaces
Anzahl
Typ (z.B. X.25, Ethernet, 802.3, 802.5, FDDI, PPP, ISDN etc.)
MTU
Geschwindigkeit
Physical Address
Status (administrativ/ operational)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 283 - Gerhard M. Glaser
M
G G
SNMP - wichtige MIBs (2)
Address Translation Table
(vgl. RFC 1213)
Variable 1.3.6.1.2.1.3.1.1.1 - 3
enthlt Informationen ber den ARP-Table
Art des Eintrags (z.B. statisch/ dynamisch)
Physical Address
Net Address (z.B. IP-Adresse)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 284 - Gerhard M. Glaser
M
G G
SNMP - wichtige MIBs (3)
IP - MIB
(vgl. RFC 1213)
Variable 1.3.6.1.2.1.4.x
enthlt Informationen ber das IP-Protokoll
Routing (ja/ nein)
Default TTL
Subnet-Maske
Broadcast-Adresse
Routing Tabelle
Routing Maske
Next Hop
Errors etc.
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 285 - Gerhard M. Glaser
M
G G
SNMP - wichtige MIBs (4)
bersicht
icmp
tcp
udp
transmission (ca. 580 Variablen!)
snmp
ospf
privat
bay networks/ wellfleet
cisco
3com
fore
novell
qms
(Auswahl)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 286 - Gerhard M. Glaser
M
G G
Kapitel 23
Trouble-Shooting
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 287 - Gerhard M. Glaser
M
G G
Trouble-Shooting
Wichtige Quelle:
RFC 2151 (Juni 1997):
A Primer On Internet and TCP/IP Tools and Utilities
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 288 - Gerhard M. Glaser
M
G G
Fehlerursachen
T
r
a
n
s
c
e
i
v
e
r
,

R
e
p
e
a
t
e
r

e
t
c
.
B
r
i
d
g
e
s
,

S
w
i
t
c
h
e
s
R
o
u
t
e
r
35%
25%
12%
10%
8%
7%
3%
72 %
Layer 1: fehlerhafte Kabel, elektrische Strungen, Kollisionen, Putzfrauen etc.
Layer 2: 802.x-Inkompatibilitten, falsch konfigurierte MAC-Adressen, Broadcaststorms
Layer 3: falsch konfigurierte IP-Adressen, Subnetzmasken und Broadcast-Adressen; falsche
Routing-Tabellen/ Eintrge
Layer 4 - 7: unkorrekt implementierte Protokolle
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 289 - Gerhard M. Glaser
M
G G
Trouble-Shooting - eingebaute Tools/ Befehle (1)
arp Zeigt/ modifiziert den ARP-Cache
-a Darstellen aller Eintrge
-d Lschen von Eintrgen
-s Setzen von Eintrgen
-s PUB Antwortet auf Anfragen
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 290 - Gerhard M. Glaser
M
G G
Trouble-Shooting - eingebaute Tools/ Befehle (2)
Netstat Zeigt eine (NIC-) Statistik
-a alle Verbindungen
-e Ebene 2 (Ethernet-) Statistik
-p [Protokoll] ber TCP oder UDP
-r Routingtable
-s Statistik (ausfhrlich)
interval [sec] automatischer Update (in sec)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 291 - Gerhard M. Glaser
M
G G
Trouble-Shooting - eingebaute Tools/ Befehle (3)
route Zeigt/ modifiziert die Routingtabelle und
routingspezifische Eintrge
Syntax: route [command [dest.] [MASK netmask] [GW]]
command PRINT
ADD
DELETE
CHANGE
dest. Zieladresse fr die der Eintrag gelten soll
MASK Subnetzmaske
GW Gateway (Router) fr dest.
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 292 - Gerhard M. Glaser
M
G G
Trouble-Shooting - eingebaute Tools/ Befehle (4)
ping Testet Erreichbarkeit von IP-Rechnern
-t unbegrenzt
-n <count> Anzahl von Pings
-l <size> Paketgre (Vorsicht!)
-f dont fragment
-i <TTL> TTL-Wert setzen/ vorgeben
-v <TOS> TOS-Wert setzen
-j <host-list> Loose Source Routing
-k <host-list> Strict Source Routing
-w<timeout> Wartezeit in ms
-R Trace Route (nicht Windows OS)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 293 - Gerhard M. Glaser
M
G G
Trouble-Shooting - eingebaute Tools/ Befehle (5)
Tracert Trace Route
*)
-d keine Hostnamen anzeigen (nur IP-Adressen)
-h TTL-Feld
-j Loose Source Routing
-w Time Out (in ms)
Syntax: tracert [-d] [-h max_hops] [-j host-list] [-w ms] Name
*)
nur Windows Betriebssysteme
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 294 - Gerhard M. Glaser
M
G G
Kapitel 24
Sicherheit
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 295 - Gerhard M. Glaser
M
G G
Firewalls
IDS/ IPS
Honeypot etc.
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 296 - Gerhard M. Glaser
M
G G
Firewall + DMZ (2-stufig)
Internet Firewall System
DMZ
DMZ = Demilitarisierte Zone
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 297 - Gerhard M. Glaser
M
G G
Firewall-Typen
Packet-/ Port-Filter-Firewall (Router)
arbeitet auf IP-Address-/ Port-Ebene
(Layer 3 + 4)
Application Level Firewall
arbeitet auf Anwendungsebene
(Layer 5 - 7)
Stateful [Packet] Inspection Firewall (SPI)/
Stateful Packet Filter Firewall (SPF)
arbeitet zwischen Schicht 3 und 7 (je nach Bedarf)
kennt Zustand der Verbindungen ( dynamische Paket-Filterung)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 298 - Gerhard M. Glaser
M
G G
Packet-/ Port-Filter Firewall
Vorteile:
Schnell
Einfach zu implementieren
Kostengnstig
Nachteil
Nur begrenzte Sicherheit
(Address Spoofing, Dienste-Tunneling, Fragmentierungs-Attacke)
Schwierigkeiten bei UDP
Schlechte Statistik-/ Logging-Funktionen
Komplexe Filterregeln
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 299 - Gerhard M. Glaser
M
G G
Application Level Firewall
Vorteile:
Hohe Sicherheit
Gute Logging-/ Protokollierungs-Mglichkeiten
Content-Filtering
Caching
Authentisierung mglich
Interne Netzstruktur bleibt komplett verborgen
Nachteil
Langsam
Komplex zu implementieren
Teuer
Unflexibel bzgl. neuer Services
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 300 - Gerhard M. Glaser
M
G G
Stateful (Packet) Inspection (SPI)-/
Stateful Packet Filtering (SPF)- Firewall
Vorteile:
Hohe Sicherheit
Gute Logging-/ Protokollierungs-Mglichkeiten
Gut skalierbar
Geeignet fr UDP-Protokolle
Vergleichsweise schnell (aber langsamer als Packet Filter)
Ggf. Content-Filtering (kein Caching!)
Ggf. Authentisierung mglich
Nachteil
Sorgfltige Konfiguration notwendig
Performante Rechner notwendig
Teuer
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 301 - Gerhard M. Glaser
M
G G
Filter-Regeln
allow
Lsst Pakete passieren
reject
Weist Pakete mit Fehlermeldung zurck
Firewall ist sichtbar
drop/ deny
Verwirft Pakete ohne Fehlermeldung
Firewall ist unsichtbar (Achtung: ICMP-Pakete)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 302 - Gerhard M. Glaser
M
G G
IDS/ IPS
IDS: Intrusion Detection
Analysiert Datenstrom
(Y-Anschluss mglich)
Arbeitet nur passiv
IPS: Intrusion Prevention
Analysiert Datenstrom
(direkt im Datenstrom)
ergreift Gegenmanahmen
(Sperren des Rechners)
Arbeitet dynamisch
(im Vergleich zu einer Firewall)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 303 - Gerhard M. Glaser
M
G G
Honeypot, Honeynets, Honewalls
Honeypot:
einzelner Rechner, der Angreifer anlockt
Mit interessantem Namen (z.B. forschungsrechner.basf-ag.de)
Eigene Daemons (z.B. honeyd - http://www.honeyd.org/)
Honeynet:
ganzes Netz (http://www.honeynet.org/)
bestehend aus mehreren Honeypots - ggf.
Honeywall:
prparierte Firewall
Werden i.a. mit IDS bzw. IPS kombiniert
Nutzung von Root-Kits
Dienen der Erkennung neuer Angriffsversuche/ -techniken
Weitere Infos: http://www.heise.de/netze/artikel/77373
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 304 - Gerhard M. Glaser
M
G G
Honeypots, Honeynets, Honeywalls
- Quellen -
http://www.heise.de/netze/artikel/77373
(Heise: Mit Honeynet Hacker fangen)
http://www.testticker.de/ipro/praxis/security/article20050703006.aspx
(Internet Professionell: Falle fr Hacker)
http://www.tecchannel.de/sicherheit/grundlagen/431426/
(Tecchannel: Grundlagen: was Sie ber Honeypots wissen mssen)
http://project.honeynet.org/
(The Honeynet Project - engl.
inkl. Hoeywall auf CD: http://project.honeynet.org/tools/cdrom/)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 305 - Gerhard M. Glaser
M
G G
Portscanning
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 306 - Gerhard M. Glaser
M
G G
Scan-Verfahren
TCP Connect Scan
TCP SYN-Scan
TCP Stealth-Scan
UDP-Scan
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 307 - Gerhard M. Glaser
M
G G
TCP Connect Scan
Kompletter Verbindungsaufbau
Antworten
Verbindung erfolgreich
RST geschlossener Port
Keine Anwort Firewall
Vorteil:
Eindeutige Entscheidung mglich
Keine False Positive
Keine Root-Rechte notwendig
Nachteile:
Rechner wird belastet
Entdeckungsgefahr hoch
Gegenmanahmen knnen eingeleitet werden
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 308 - Gerhard M. Glaser
M
G G
TCP SYN (Half Open) Scan
Es wird nur ein SYN gesendet und auf die Antwort (ACK/ RST)
gewartet
Antworten:
SYN ACK Port ist geffnet
RST Port ist geschlossen
Keine Antwort Portfilter (Firewall) ist vorgeschaltet
(oder Rechner existiert nicht)
Vorteil:
Rechner wird gering belastet
Eindeutige Entscheidung mglich
Entdeckungsgefahr geringer (abhngig von Rechner, FW, IDS)
DoD-Attacken mglich
Nachteil:
Gegenmanahmen knnen eingeleitet werden
Root-Rechte ntig
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 309 - Gerhard M. Glaser
M
G G
TCP Stealth Scans (1)
Es wird ein ungltiges Paket gesendet
Paket-/ Scan-Typ:
FIN (Verbindungsende)
FIN, URG, PUSH (ggf. ACK, SYN) (Xmas-Scan)
Null (keine Flags)
Antworten:
<drop> Port ist geffnet (Standard-Verhalten)
Achtung: Microsoft, Cisco senden RST
RST Port ist geschlossen
(oder auch nicht Microsoft, Cisco etc.)
Keine Antwort Portfilter (Firewall) ist vorgeschaltet oder
Rechner existiert nicht
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 310 - Gerhard M. Glaser
M
G G
TCP Stealth Scans (2)
Vorteile:
Rechner kaum belastet
Schwer zu erkennen ( stealthy ) - kein formeller TCP-Zustand
Nachteile:
Ergebnisinvertierung: Antworten nur fr geschlossene Ports
Keine eindeutigen Antworten
False Positivebei Paketverlust/ Drop
Microsoft, Cisco etc. verhalten sich nicht standard-konform:
RST auch bei offenem Port
Root-Rechte ntig
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 311 - Gerhard M. Glaser
M
G G
UDP-Scan
kein direkter Scan mglich
(keine Verbindungen/ keine Flags)
Senden eines leeren Paketes
Antworten:
OKeine Antwort: Port offen
Firewall
ICMP gesperrt (hufig!)
OICMP Port Unreachable Port geschlossen
Problem: Keine zuverlssigen Aussagen mglich
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 312 - Gerhard M. Glaser
M
G G
Virtuelle Private Netzwerke/
Virtual Private Networks
(VPN)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 313 - Gerhard M. Glaser
M
G G
VPN Typen
Site-To-Site: Verbindung von Standorten
(Network-To-Network)
Client-To-Site: Remote Access
Client-To-Client: Peer To Peer
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 314 - Gerhard M. Glaser
M
G G
VPN - Einsatzgebiete
Technologie zur Kostenersparnis
Keine Technologie fr erhhte Sicherheit
(Was kommt nach dem Tunnel?)
Technologie zur Netzwerkstrukturierung
(z.B. userbezogene IP-Adressen)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 315 - Gerhard M. Glaser
M
G G
VPN Grafische Darstellung
(Beispiel)
Firmennetzwerk
(Intranet)
Public
Internet
VPN-Server
T-Online
FreeNet
etc.
BWW
R3 Systeme
Lotus Notes
Server
Netware
NDS
AAA-Server
(RADIUS, ACE)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
M
G G
- 316 - Gerhard M. Glaser Stand: 14.08.2008
Tunneling Protokolle
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 317 - Gerhard M. Glaser
M
G G
Tunneling Protokolle
(Auswahl)
IPsec
PPTP (Microsoft alt )
L2TP (Microsoft neu) bzw.
L2TP/ IPsec (IPsec secured L2TP)
SSL
Provider-Netze:
MPLS (Multiprotokoll Label Switching)
(vgl. RFC 4364)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 318 - Gerhard M. Glaser
M
G G
IPsec
RFC 4301 - 4309 (Status: Proposed Standard 12/2005)
Layer 3 Protokoll
IP-Tunneling (ausschlielich!)
Paketverschlsselung (beliebige Algorithmen)
Paketintegritt (Hash-Based Message Authentication Code)
Paketauthentifizierung (Abfallproduktdes HMAC)
Benutzerauthenfizierung
Schutz vor Replay-Angriffen
Schlsselmanagement
IKE (Internet Key Exchange) - UDP-Port-Nr.: 500 RFC 4306)
Primre Aufgabe: Security-Protokoll
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 319 - Gerhard M. Glaser
M
G G
IPsec - Tunnel- und Transport-Modus
(Verschlsselung)
IP TCP Daten
IP TCP Daten IP ESP
TCP Daten IP ESP IPsec-Transport-Modus
Verschlsselter Bereich
Verschlsselter Bereich
IPsec-Tunnel-Modus
Original-Paket
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 320 - Gerhard M. Glaser
M
G G
IPsec - Tunnel- und Transport-Modus
(Authentisierung)
IP TCP Daten
IP TCP Daten IP AH
TCP Daten IP AH IPsec-Transport-Modus
Authentifizierter Bereich
Authentifizierter Bereich
IPsec-Tunnel-Modus
Original-Paket
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 321 - Gerhard M. Glaser
M
G G
Layer Two Tunneling Protocol (L2TP)
RFC 2661 (Status: Proposed Standard 8/1999)
Layer 2 (beinhaltet PPP)
Tunneling aller Layer 3 Protokolle
(z.B. IP, IPX, AppleTalk)
Keine Verschlsselung
( IPsec secured L2TP)
Benutzerauthentifizieung (keine Paketauthentifizierung)
Primre Aufgabe: Tunneling-Protokoll
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 322 - Gerhard M. Glaser
M
G G
L2TP/ IPsec - IPsec Secured L2TP
RFC 3193 (Status: Proposed Standard 11/2001)
Microsoft Knowledge Base: Q265112
IP TCP Daten
IP TCP Daten PPP L2TP
IP TCP Daten PPP L2TP
UDP
(port 1701)
ESP IP
Original-Paket
L2TP-Tunnel (Layer 2!)
IPsec-Verschlsselung
Verschlsselter Bereich
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 323 - Gerhard M. Glaser
M
G G
SSL (Secure Socket Layer)
TLS (Transport Layer Security)
Darunter liegende Schicht: Transport Schicht (TCP)
Fr verschiedene Dienste nutzbar (Port-Nr.) u.a.:
https (443)
nntp (563)
ldap (636)
ftp (data/ control) (989/ 990)
telnet (992)
pop3 (995)
SSL: entwickelt von Netscape (1994)
TLS: RFC 4346 (Proposed Standard 4/2006)
Basiert auf dem Austausch von Zertifikaten (X.509)
Algorithmen: RSA, RC4 (SSL v1, v2) bzw. D/H (TLS)
SSL-VPN: Die Daten mssen u.U. bis zum Application Layer
gereicht bzw. emuliert werden (SSL-Appliance auf Server)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 324 - Gerhard M. Glaser
M
G G
Synonyme
Tunneling
Encapsulation
Enveloping
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 325 - Gerhard M. Glaser
M
G G
Verschlsselung,
digitale Signatur,
PKI/ Zertifikate
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 326 - Gerhard M. Glaser
M
G G
Verschlsselung und
verwandte Sicherheitsmechanismen
Symmetrische Verschlsselung
Asymmetrische Verschlsselung
Hybride Verschlsselung
Digitale Signatur
Hash-Verfahren
PKI/ Zertifikate
Authentisierung
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 327 - Gerhard M. Glaser
M
G G
Symmetrische Verschlsselung (1)
ltestes Verfahren
Caesar-Verschlsselung (z.B. ROT-13)
XOR-Verschlsselung
Enigma
Ein Schlssel zum ver- und entschlsseln
Gebruchliche Schlssellngen:
128 256 Bit
Algorithmen:
Idea
RC4
CAST
Blowfish
DES/ Triple-DES
AES
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 328 - Gerhard M. Glaser
M
G G
Symmetrische Verschlsselung (2)
Vorteile:
Schnell
Nachteile:
Schlsselbertragung unsicher
Schlsselverwaltung aufwndig
(bei n-Partnern 2
n
-1 Schlssel notwendig)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 329 - Gerhard M. Glaser
M
G G
Symmetrische Verschlsselung (Darstellung)
Sender Empfnger
1.
3. 2. 4.
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 330 - Gerhard M. Glaser
M
G G
Asymmetrische Verschlsselung (1)
Relativ junges Verfahren
1975: Diffie & Hellman: erste Idee
1977: Rivest, Sharmir & Adleman: erstes Verfahren (RSA)
Ein Schlsselpaar zum ver- und entschlsseln
(Prinzip Briefkasten )
Public Key zum Verschlsseln
Private Key/ Secret Key zum Entschlsseln
Algorithmen (typische Schlssellngen)
RSA (1024 4096)
Diffie-Hellmann (D/H) (768 3072)
ECC/ Elliptic Curve Cryptography (160 300)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 331 - Gerhard M. Glaser
M
G G
Asymmetrische Verschlsselung (2)
Vorteile:
Keine Probleme beim Schlsselaustausch
Ein Schlssel fr jeden Partner
Nachteile:
Langsam wg. Schlssellnge
(ca. Faktor 1000 im Vergleich zur symmetr. Verschlsselung; bei RSA)
Empfnger muss vor Verschlsselung aktiv werden
(Public Key Generierung)
Absolute, theoretische Sicherheit nicht erreichbar
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 332 - Gerhard M. Glaser
M
G G
Asymmetrische Verschlsselung (Darstellung)
Sender Empfnger
1.
3. 2. 4.
Public Key (Empfnger) Private Key (Empfnger)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 333 - Gerhard M. Glaser
M
G G
Hybride Verschlsselung (1)
Kombiniert Vorteile aus symmetrischer und
asymmetrischer Verschlsselung
berwiegend eingesetztes Verfahren
(z.B. IPsec)
Schlsselwechsel whrend bertragung mglich
(zustzliche Sicherheit)
Mehrere Empfnger mglich
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 334 - Gerhard M. Glaser
M
G G
Hybride Verschlsselung (2)
Text/ Datei wird mit symmetrischen Schlssel
(Session Key) verschlsselt
(schnell)
Session Key wird zur bermittlung von Sender zu
Empfnger asymmetrisch verschlsselt
(sicher, nicht langsam)
Mehrfachverschlsselung des Session Keys
mglich
(Mehrfachempfnger)
Nachteil:
Empfnger muss vor Verschlsselung aktiv werden
(Public Key Generierung)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 335 - Gerhard M. Glaser
M
G G
Hybride Verschlsselung (Darstellung)
Sender Empfnger
Session Key Public Key Private Key Legende:
2.
3.
5.
6.
1.
4.
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 336 - Gerhard M. Glaser
M
G G
Digitale Signatur
Nutzt Public Key Verfahren
Verwendung der Schlssel spiegelverkehrt zur
asymmetrischen (RSA-) Verschlsselung
Verschlsselung mit Private Key des Senders
Entschlsselung mit dem Public Key des Senders
Quersumme (genau: Hash) ber Text/ Datei
Hash wird verschlsselt
Konsequenz
berprfung des Absenders (Authentizitt)
Modifikationen am Text feststellbar
Text fr jeden lesbar
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 337 - Gerhard M. Glaser
M
G G
Hash
Quersumme ber Datei/ Text
Eigenschaften
Feste Lnge
MD-5 (Message Digest): 128 Bit
SHA-1 (Secure Hash Algorithm): 160 Bit
SHA-512: 512 Bit
Unumkehrbar
Eindeutig (keine Kollisionen - ideal);
nicht berechenbar (kollisions-resistent - real)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 338 - Gerhard M. Glaser
M
G G
PKI (Public Key Infrastructure)
Standard: X.509
Dient der Ausstellung, Beglaubigung und Verteilung von ffentlichen
Schlsseln/ Zertifikaten
Ist hierarchisch aufgebaut
Certification Authority (CA) - oberste Instanz:
Stellt Zertifikate aus
Erstellt Sperrlisten sog. Certificate Revocation List (CRL)
Sub-CAs mglich (Delegation von Aufgaben)
Registration Authority (RA):
Zuordnung: Person Zertifikat
Aufwand abhngig von Klasse/ Verwendungszweck des Zertifikats
Zertifizierung zwischen zwei Bumen mglich:
Cross-Zertifizierung
Gegensatz: Web Of Trust (vgl. PGP)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 339 - Gerhard M. Glaser
M
G G
Zertifikate
Dienen der Zuordnung und Beglaubigung des Public Keys
Inhalt (gem X.509):
ffentlicher Schlssel des Zertifikat-Inhabers
Signatur der ausstellenden CA
Gltigkeitsdauer
Extensions
Formate:
PEM (.crt)
DER (.der)
PKCS#12
Text (.txt)
Kostenlose Zertifikate:
http://www.cacert.org
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 340 - Gerhard M. Glaser
M
G G
Aufbau einer SSL-Verbindung
1. Initialisierung (Client Hello/ Server Hello)
3. berprfen des Server-
zertifikats
(mittels Root-Zertifikat)
4. Entnehmen des Public-Key
5. Generieren und
Verschlsseln des Session-
Key
6. Senden des Session-Key
2. Senden des Server-Zertifikat
7. Empfangen und
Entschlsseln des Session
Key
Verschlsselte Kommunikation
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
M
G G
- 341 - Gerhard M. Glaser Stand: 14.08.2008
Authentisierung
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
M
G G
- 342 - Gerhard M. Glaser Stand: 14.08.2008
Password Authentication
Protocol (PAP)/
Challenge Handshake
Authentication Protocol (CHAP)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 343 - Gerhard M. Glaser
M
G G
Vergleich PAP/ CHAP
Eigenschaft PAP CHAP
Definiert in RFC 1334 RFC 1994
Verschlsselte Passwordbertragung X
Client-Authentisierung X
Einsatz mit Token Cards etc. mglich X
berprfung der Authentizitt whrend einer Session X
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 344 - Gerhard M. Glaser
M
G G
PAP (Ablauf)
Quelle: http://docs.sun.com/source/816-4555/images/PAP-auth-pro.gif
Client Server
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 345 - Gerhard M. Glaser
M
G G
CHAP (Ablauf)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
M
G G
- 346 - Gerhard M. Glaser Stand: 14.08.2008
Remote Authentication Dial-In User Service
(RADIUS)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 347 - Gerhard M. Glaser
M
G G
Remote Authentication Dial-In User Service
(RADIUS)
RFC 2865
Darunter liegende Schicht: Transport Schicht (UDP)
UDP/ TCP-Port: 1812 (alt: 1645)
Protokoll (Verfahren) zur Authentisierung von
Rechnern, Netzzugngen (802.1x) und Applikationen
AAA-Server
Authentication, Authorization, Accounting
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 348 - Gerhard M. Glaser
M
G G
Remote Authentication Dial-In User Service
(RADIUS)
Authentisierungs-Informationen in zentraler
Datenbank
(z.B. User-ID, Password, IP-Adresse, Tunnel-Typ etc.)
Mehrere Gerte/ Applikationen greifen auf einen
zentralen Datenbestand zu
Operative Vereinfachung/ Kostenersparnis
Sicherheitsfaktor
Genormte Schnittstelle fr weitere Verfahren
(z. B. RSA SecurID)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 349 - Gerhard M. Glaser
M
G G
RADIUS untersttzte Tunnel-Typen
RFC 2868
1 Point-to-Point Tunneling Protocol (PPTP)
2 Layer Two Forwarding (L2F)
3 Layer Two Tunneling Protocol (L2TP)
4 Ascend Tunnel Management Protocol (ATMP)
5 Virtual Tunneling Protocol (VTP)
6 IP Authentication Header in the Tunnel-Mode (AH)
7 IP-in-IP Encapsulation (IP-IP) (s. RFC 2003)
8 Minimal IP-in-IP Encapsulation (MIN-IP-IP)
9 IP Encapsulating Security Payload in the Tunnel-Mode (ESP)
10 Generic Route Encapsulation (GRE)
11 Bay Dial Virtual Services (DVS)
12 IP-in-IP Tunneling (s. RFC 1853)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 350 - Gerhard M. Glaser
M
G G
RADIUS untersttzte Protokolle
RFC 2868
1 IPv4 (IP version 4)
2 IPv6 (IP version 6)
3 NSAP NSAP = Network Service Access Point
4 HDLC (8-bit multidrop)
5 BBN 1822
6 802 (includes all 802 media plus Ethernet " canonical format" )
7 E.163 (POTS) POTS = Plain Old Telephone Service
8 E.164 (SMDS, Frame Relay, ATM)
9 F.69 (Telex)
10 X.121 (X.25, Frame Relay)
11 IPX
12 Appletalk
13 Decnet IV
14 Banyan Vines
15 E.164 with NSAP format subaddress
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
M
G G
- 351 - Gerhard M. Glaser Stand: 14.08.2008
NAT/ PAT
Funktionsweise und Probleme
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 352 - Gerhard M. Glaser
M
G G
Einschub:
Network Address Translation (NAT)
Port [And] Address Translation (PAT)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 353 - Gerhard M. Glaser
M
G G
Network Address Translation (NAT)
berbegriff fr alle Verfahren zur Adress-Umsetzung
Spezielle Bedeutung:
1-zu-1-Adressumsetzung
(N-to-N-NAT)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 354 - Gerhard M. Glaser
M
G G
Network Address Translation
1-zu-1-Umsetzung
Direkte Zuordnung von Adressen unterschiedlicher Netzwerke
1. ffentliche Adressen private Adressen
(Einsparung ffentlicher Adressen)
2. Private Adressen private Adressen
(z.B. bei Firmenbernahmen)
Beispiel fr 2.)
Fusion zweier Netze (A und B), die beide schon 192.168.x.x. nutzen
Netz B nutzt darber hinaus 10.x.x.x schon komplett
Netz A: 172.16.x.x Netz B: 192.168.x.x
Netz B: 172.16.x.x Netz A: 192.168.x.x
Normales Routing fr 10.x.x.x
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 355 - Gerhard M. Glaser
M
G G
Port [And] Address Translation (PAT)
Synonyme:
NAT (Achtung: Verwechlungsgefahr)
NPAT (Network and Port Address Translation)
1-to-N-NAT
Masquerading
Kopplung privater Netze mit einer ffentlichen
IP-Adresse an das Internet
Identifikation/ Zuordnung findet im PAT-Router statt
Private IP-Adressen/ Ports erhalten dynamisch Ports zugewiesen
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 356 - Gerhard M. Glaser
M
G G
PAT
- Funktionsweise -
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 357 - Gerhard M. Glaser
M
G G
PAT - Eigenschaften
Alle Rechner des privaten Netzes knnen auf das
Internet zugreifen
Probleme bei der Nutzung von FTP
(vgl. aktiver/ passiver FTP)
Zugriff aus dem Internet in das private Netz ist nicht bzw.
nur eingeschrnkt mglich
WICHTIG:
Ein PAT-Router ist nicht automatisch eine Firewall
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 358 - Gerhard M. Glaser
M
G G
PAT Zugriff aus dem Internet
Ohne manuellen Eingriff am Router nicht mglich
Zustzliche Funktionalitt/ Konfiguration notwendig
Port Forwarding
Virtueller Server
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 359 - Gerhard M. Glaser
M
G G
PAT Zugriff aus dem Internet
- Funktionsweise -
Einem (eingehenden) Destination-/ Server-Port wird
ein festes Ziel (private IP-Adresse bzw. Socket)
zugewiesen
Pro Destination-Port immer nur ein Ziel mglich
Aber:
Mehrere Server pro Rechner realisierbar
(z.B. FTP- und Web-Server)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 360 - Gerhard M. Glaser
M
G G
Probleme im Umfeld von NAT/ PAT
Probleme im Umfeld von NAT/ PAT
bei
UDP/ Firewalls
IPsec
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 361 - Gerhard M. Glaser
M
G G
UDP-Kommunikation ber Firewall
zwischen zwei PAT-Netzen
Problem:
Adressen werden dynamisch vergeben und knnen nicht
freigeschaltet werden
Kommunikation erfolgt immer mit Destination-Ports
Lsung:
STUN
UDP Hole Punching
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
M
G G
- 362 - Gerhard M. Glaser Stand: 14.08.2008
STUN
(Simple Traversal of UDP
Through NAT)
UDP Port Punching
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 363 - Gerhard M. Glaser
M
G G
STUN
RFC 3489
Darunter liegende Schichten: Transport Schicht/ Layer 4:
UDP (Binding Request)
TLS (Shared Secret Requests)
UDP/TCP Port-Nr.: 3478
Einsatz von STUN-Server:
kennt die ffentlichen/ privaten Adressen beider Partner
Erkennt NAT-Devices
Teilt anfragenden Applikationen ffentliche Adresse mit
STUN-Server Download unter:
http://sourceforge.net/projects/stun/
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 364 - Gerhard M. Glaser
M
G G
UDP Hole Punching
- prizipielle Funktionsweise -
Server teilt beteiligten Clients die ffentlichen Port-Nr. des
anderen mit
Beide Clients starten Kommunikationsversuch ber diese
Ports
Ports werden in beiden Richtungen genutzt
Firewall/ PAT-Router wird freigeschossen
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 365 - Gerhard M. Glaser
M
G G
UDP Hole Punching
- ausfhrliche Funktionsweise -
1. Es existiert eine Verbindung zu externem Server (mit ffentlicher IP und Port-Nr.
2. A erhlt ffentliche Port-Nr. (und ffentlicher IP-Adresse) von B und
umgekehrt
(durch Server)
3. A sendet Paket an B mit interner Source und als Destination ffentlicher Port-Nr.
von B
NAT-Device A wird fr alle eingehenden Pakete mit Destination ffentliche Port-
Nr. A und ffentlichem Absender B geffnet
4. Das Paket scheitert an NAT B-Device
5. B sendet Paket an A mit interner Source und Destination ffentlicher Port-Nr.
von A
NAT B-Device wird fr alle eingehenden Pakete mit Destination ffentlicher Port-
Nr. von B geffnet
6. Das Paket passiert NAT A-Device (vgl. 3)
7. Antwortpaket von A passiert nun auch NAT B-Device (vgl. 5)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 366 - Gerhard M. Glaser
M
G G
UDP Hole Punching
- Beispiel (Erklrung) -
1. Existierende Verbindungen zu
externem Server S:
A (intern): Source: 4321
Destination: 1234
A (extern): Source: 62000
Destination: 1234
B (intern): Source: 4321
Destination: 1234
B (extern): Source: 31000
Destination: 1234
Grafik-Quelle: http://www.brynosaurus.com/pub/net/p2pnat/
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 367 - Gerhard M. Glaser
M
G G
UDP Hole Punching
- Beispiel (Erklrung Forts.) -
2. A erhlt ffentliche Port-Nr. (und ffentlicher IP-Adresse) von B
und umgekehrt (durch Server)
3. A sendet Paket an B mit Source 4321 bzw. 62000 und Destination 31000.
NAT-Device A wird fr alle eingehenden Pakete mit Destination 62000
bzw. 4321 geffnet
4. Das Paket scheitert an NAT B-Device (noch nicht gepunched )
5. B sendet Paket an A mit Source 4321 bzw. 31000 und Destination 62000.
NAT B-Device wird fr alle eingehenden Pakete mit Destination 31000
bzw. 4321 geffnet.
6. Das Paket passiert NAT A-Device (vgl. 3).
7. Antwortpaket von A passiert nun auch NAT B (vgl. 5)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 368 - Gerhard M. Glaser
M
G G
Grafik-Quelle: http://www.brynosaurus.com/pub/net/p2pnat/
UDP Hole Punching
- Beispiel (Grafik) -
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
M
G G
- 369 - Gerhard M. Glaser Stand: 14.08.2008
IPsec Kommunikation ber
NAT-/ PAT-Devices
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 370 - Gerhard M. Glaser
M
G G
IPsec Kommunikation ber
NAT-/ PAT-Devices
Problem:
nderungen im Header nicht mglich
(Verschlsselung)
nderungen im Header machen das Paket ungltig
(Authentifizierung)
IKE (UDP-Port-Nr.: 500) funktioniert nicht mit mehreren Rechnern
hinter NAT-Device
Lsung:
Adressumsetzung muss vor IPsec erfolgen
NAT-Traversal (NAT-T)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 371 - Gerhard M. Glaser
M
G G
NAT Traversal
NAT-T
(RFC 3947)
Untersucht ob NAT-Gerte auf Verbindungspfad existieren
berprft, ob beide Peers NAT-T untersttzen
Kapselt IP-Pakete in (Standard-)UDP-Pakete
UDP/TCP-Port-Nr.: 4500
Sendet NAT-Keep-Alive Pakete
IP TCP Daten
UDP
(port 4500)
ESP IP
Verschlsselter Bereich
NAT-T-Paket
(vgl. RFC 3948)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
M
G G
- 372 - Gerhard M. Glaser Stand: 14.08.2008
Anhang
Anhang
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 373 - Gerhard M. Glaser
M
G G
Kostenlose Tools
Wireshark (ehemals: Ethereal)
Netzwerk-Protokoll-Analyzer fr Windows
Download: http://www.wireshark.org bzw. http://www.ethereal.com/
Nmap
Der Portscanner (UNIX, LINUX, DOS)
Download: http://www.insecure.org/nmap/
Advanced Portscanner bzw. Advanced LAN-Scanner
Windows-Portscanner
Downloads:
http://www.radmin.com/radmin/utility/pscanner.php/ bzw. http://www.radmin.com/radmin/utility/lscan.php
Neotrace
Grafisches Traceroute-Frontend fr Windows
Download: http://www.zdnet.de/downloads/prg/e/0/de0DE0-wc.html
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 374 - Gerhard M. Glaser
M
G G
Listen zu
Herstelleradressen, Typ-Feldern und DSAP/ SSAP
www.cavebear.com/CaveBear/Ethernet/vendor.html Herstellerkennung
www.cavebear.com/CaveBear/Ethernet/type.html Typ-Felder
www.cavebear.com/CaveBear/Ethernet/multicast.html Multicast-Pakete
(Adresse + Typ)
www.ethermanage.com/ethernet/enet-numbers/ieee-oui-list.html Herstellerkennung
(von IEEE mit Anschrift -
aber nicht ganz so
umfangreich)
www.ethermanage.com/ethernet/enet-numbers/ieee-lsap-list.html DSAP/ SSAP (bei
IEEE registriert)
www.ethermanage.com/ethernet/enet-numbers/cisco-lsap-list.html DSAP/SSAP (von
CISCO installiert)
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 375 - Gerhard M. Glaser
M
G G
Weitere wichtige Adressen im Internet
IANA (Internet Assigned Numbers Authority): www.iana.org
Assigned Numbers: www.iana.org/numbers.html
TCP/ UDP-Port-Nr.: www.iana.org/assignments/port-numbers
Wichtige Organisationen: www.iana.org/implinks.htm
IPv4 Address Space: www.iana.org/assignments/ipv4-address-space
RFCs (RFC Editor): www.rfc-editor.org/
RFCs (Direktaufruf): ftp.isi.edu/in-notes/rfc<Nr.>.txt
Internet Standards (STD) : ftp.rfc-editor.org/in-notes/std/std1.txt
Official Internet Protocol Standards: www.rfc-editor.org/rfcxx00.html
DE-NIC: www.denic.de/
IPv6: www.computermethods.com/ipng/
802-Standards: standards.ieee.org/catalog/802info.html
Internet-Movie (Warriors of the Net) www.warriorsofthe.net/movie.html
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 376 - Gerhard M. Glaser
M
G G
Literatur (Netzwerke)
Hein, Mathias: TCP/IP im Einsatz - mitp (Datacom)
ISBN 3-8266-4094-2
Hunt, Craig: TCP/ IP Netzwerk- Administration - O'Reilly,
ISBN 3-8972-1110-6
Doyle, Jeff: Routing TCP/IP - Markt und Technik (Cisco Press - CCIE
#1919)
ISBN 3-8272-533-3
Dittler, Hans Peter: IPv6 - das neue Internet Protokoll - dpunkt-
Verlag;
ISBN 3-932588-18-5
Tanenbaum, Andrew S. - Computer Networks (engl.) - Prentice Hall
ISBN 0-13-066102-3
Netzwerke und Sicherheit mit TCP/IP
Netzwerke und Sicherheit mit TCP/IP
Stand: 14.08.2008 - 377 - Gerhard M. Glaser
M
G G
Literatur (Security)
Lipp, Manfred: VPN - Virtuelle Private Netzwerke. Aufbau und Sicherheit
Addison-Wesley - ISBN 978-3827322524
Honeypot Project: Know Your Enemy. Mit CD-ROM: Learning About Security Threats
Addison-Wesley ISBN: 978-0321166463