Sie sind auf Seite 1von 232

www.tecChannel.

de

November/Dezember/Januar 02/03

NEU!
KOMPENDIUM FR IT-PROFIS
sterreich 10,90 Benelux 11,40 Schweiz SFR 19,80

9,90

NetzwerkPraxis
WLAN Security Home- & Firmen-Netz

VPN mit Windows & Linux


Grundlagen, Tools und Workshops fr die Pflege und den erfolgreichen Aufbau von Netzwerken

Alles ber WLANs


Standards fr drahtlose Netze im berblick, 802.11 im Detail

TCP/IP-Basiswissen Preiswerte VPNs


Internet-Protokolle verstehen und optimal einrichten Sichere Zugnge ins Firmen-Netz installieren und konfigurieren

02 4 195914 909900

Ethernet-Technologie Verzeichnisdienste
Vom Home-Netzwerk zur WAN-Verbindung mit 10 Gbit Know-How: X.500, eDirectory LDAP und Active Directory

So funktioniert E-Mail
Optimierungen, Anti-Spam, Sicherheit & Technologie

Editorial
tecCHANNEL-Compact praktisch und kompetent
Mit diesem tecCHANNEL-Compact halten Sie die zweite Ausgabe unseres tecCHANNEL-Kompendiums in Hnden. Damit bieten wir Ihnen ein kompetentes Nachschlagewerk zu jeweils einem bestimmten Themenkomplex. Das handliche Format von tecCHANNEL-Compact verbindet die Vorteile einer Zeitschrift mit denen eines Buches. Das beliebte Pocket-Format mit auf diese Gre angepassten Schriften und Bildern und eine von Bchern bernommene Lesefhrung sind die ideale Voraussetzung fr eine intensive Lektre und das effektive Umsetzen der Inhalte am Arbeitsplatz. Darber hinaus finden Sie Webcodes fr zustzliche Informationen im Online-Angebot von www.tecChannel.de sowie ein Glossar und einen Index. In dieser Ausgabe finden Sie die wichtigsten Grundlagen fr den Aufbau und die Pflege von Netzwerken. Ausfhrliche Artikel zu Verzeichnisdiensten, TCP/IP, EMail-Technik und 10-Gbit-Ethernet vermitteln ntzliches Know-how. Funknetze sind nicht nur ein hei diskutiertes Thema, sondern eine flexible Alternative oder Ergnzung im Firmen- und Home-Network. Wer sich jetzt jedoch fr den falschen Standard entscheidet, landet schnell in der Sackgasse. Wir erlutern Ihnen die spezifischen Vor- und Nachteile aktueller WLANs. Doch nicht nur der reibungslose interne Zugriff auf Programme und Daten ist wichtig. Auch am Heimarbeitsplatz oder im Auendienst muss die Information aus dem Firmen-LAN schnell und sicher zur Verfgung stehen. Das ist mit Virtual Private Networks via Internet mglich. Im Praxisteil dieser Ausgabe zeigen wir, wie sich ein VPN kostengnstig unter Linux realisieren lsst. Windows 2000 und Windows XP bringen die notwendigen Tools bereits kostenlos mit dem Betriebssystem mit. Fr Windows 98 bietet Microsoft die entsprechenden Treiber zum Download an. Viel Spa mit der zweiten Ausgabe von tecCHANNEL-Compact wnscht Ihnen Michael Eckert Chefredakteur

Wir freuen uns ber Kritik und Anregungen zu dieser Compact-Ausgabe. Unter www.tecChannel.de/compact knnen Sie uns in einem Online-Fragebogen Feedback geben.

Impressum

Impressum
Chefredakteur: Michael Eckert (mec), (verantwortlich, Anschrift der Redaktion) Chef vom Dienst: Kerstin Lohr Grafik: stroemung, Michael Rupp, Oliver Eismann, Kln, h2design, Mnchen, Yvonne Reittinger Redaktion tecCHANNEL: Leopoldstrae 252b, 80807 Mnchen, Tel. 0 89/3 60 86-897, Fax: -878 Homepage: www.tecChannel.de, E-Mail: redtecchannel@idginteractive.de Autoren dieser Ausgabe : Mike Hartmann, Jrg Luther, Konstantin Pfliegl, Holger Reibold, Dr. Axel Sikora Textredaktion: Kerstin Lohr, Claudia Feige Copyright: Das Urheberrecht fr angenommene und verffentlichte Manuskripte liegt bei der IDG Interactive GmbH. Eine Verwertung der urheberrechtlich geschtzten Beitrge und Abbildungen, insbesondere durch Vervielfltigung und/oder Verbreitung, ist ohne vorherige schriftliche Zustimmung des Verlags unzulssig und strafbar, soweit sich aus dem Urheberrechtsgesetz nichts anderes ergibt. Eine Einspeicherung und/oder Verarbeitung der auch in elektronischer Form vertriebenen Beitrge in Datensysteme ist ohne Zustimmung des Verlags nicht zulssig. Anzeigen: Anzeigenleitung: Dominique Remus, Tel.: 0 89/3 60 86-871 Leitung Anzeigendisposition: Rudolf Schuster, Tel. 0 89/3 60 86-135, Fax -328 Anzeigentechnik: Martin Mantel, Andreas Mallin Digitale Anzeigenannahme: Thomas Wilms, leitend, Tel. 0 89/3 60 86-604, Fax -328 Vertrieb: Vertriebsleitung: Josef Kreitmair Vertriebsmarketing: Peter Priewasser (leitend), Stefanie Kusseler Vertrieb Handelsauflage: MZV Moderner Zeitschriften Vertrieb, Breslauer Strae 5, 85386 Eching, Tel.: 0 89/3 19 06-0, Fax: -113, E-Mail: mzv@mzv.de, Website: www.mzv.de Produktionsleitung: Heinz Zimmermann Druck: Schoder Druck, Gutenbergstrae 12, 86368 Gersthofen Haftung: Eine Haftung fr die Richtigkeit der Beitrge knnen Redaktion und Verlag trotz sorgfltiger Prfung nicht bernehmen. Die Verffentlichungen im tecCHANNEL-Compact erfolgen ohne Bercksichtigung eines eventuellen Patentschutzes. Auch werden Warennamen ohne Gewhrleistung einer freien Verwendung benutzt. Verlag: IDG Interactive GmbH, Leopoldstrae 252b, 80807 Mnchen, Tel.: 0 89/3 60 86-0, Fax: -501 Leserservice: CSJ, Postfach 140220, 80452 Mnchen, Tel: 0 89/20 95 91 32, Fax: 0 89/20 02 81 11 Geschftsfhrer: York von Heimburg Verlagsleitung: Frank Klinkenberg (fkh) Verffentlichung gem 8, Absatz 3 des Gesetzes ber die Presse vom 8.10.1949: Alleiniger Gesellschafter der IDG Interactive GmbH ist die IDG Communications Verlag AG, Mnchen, eine 100-prozentige Tochter der IDG Inc., Boston, Mass., USA. Vorstand: Keith Arnot, Pat Kenealy, York von Heimburg, Ralph Peter Rauchfuss Aufsichtsratsvorsitzender: Patrick McGovern

www.teChannel.de

Inhalt

Inhalt
Editorial Impressum Inhalt Netzwerktechnologien im berblick
Ethernet im berblick
CSMA/CD als Grundlage von Ethernet Erlaubte Verzgerungszeiten Spte Kollisionen Das Paketformat MAC-Adressen Vom Koax-Bus zum Twisted-Pair-Stern Twisted-Pair Glasfaser fr das Backbone Der Schritt zu 100 Mbit/s Auto-Negotiation Switching Der Schritt von 100 auf 1000 Mbit/s Von 1000 auf 10.000 Mbit/s 10GBase-SX und 10GBase-LX 10-Gigabit-Ethernet fr LAN und WAN Anforderungen und Zielsetzungen Kompatibilitt bertragungsmedium Glasfaser Medienunabhngige Schnittstelle Vollduplex als Standard IEEE: Arbeitsweise 802.3ae: Der Standard Der MAC-Layer XGMII XAUI Der PHY-Layer LAN-PHY vs. WAN-PHY Physical Coding Sublayer WIS WAN Interface Sublayer PMD/PMA Physical Medium Dependent 10GE vs. SONET/SDH Transportverfahren
www.teChannel.de

1
1.1
1.1.1 1.1.2 1.1.3 1.1.4 1.1.5 1.1.6 1.1.7 1.1.8 1.1.9 1.1.13 1.1.15 1.1.16 1.1.19 1.1.20

3 4 5 10
10
10 11 12 13 14 15 15 16 17 19 21 21 23 23 27 27 28 28 28 29 29 30 31 31 32 32 33 34 34 35 35 36 36

1.2

1.2.1 1.2.2 1.2.3 1.2.4 1.2.5 1.2.6 1.2.7 1.2.8 1.2.9 1.2.10 1.2.11 1.2.12 1.2.13 1.2.14 1.2.15 1.2.16 1.2.17 1.2.18 1.2.19

10-Gigabit-Ethernet

26

Inhalt

1.2.20 1.2.21 1.2.22

Datenrate und Management Anwendungsbeispiel Ausblick

37 37 38

1.3

1.3.1 1.3.2 1.3.4 1.3.5 1.3.6 1.3.7 1.3.8 1.3.9 1.3.10 1.3.11 1.3.12 1.3.13

Wireless LANs im berblick

Vorteile von WLANs Nachteile von WLANs Proprietre Lsungen Anwendungsszenarien und Netzwerkebenen Anwendungsszenarien Verkehrstypen Standards fr mobile Netze Bluetooth-Standard DECT-Standard IEEE802.11-Standard HomeRF-Standard HiperLAN/2-Standard Erweiterungen von HiperLAN/2 Wireless-LAN-Gremien 802.11: Standard und Topologie Verfahren und Frequenzen Schnelle 802.11-Varianten Topologie im Funknetz 802.11: Der MAC-Layer Distributed Coordination Function Collision Avoidance Besttigungsmechanismen SIFS und DIFS Verhalten bei Kollisionen Versteckte Stationen RTS, CTS und NAV Ablauf des RTS-CTS-Mechanismus Point Coordination Function 802.11: Der PHY-Layer FHSS: Funktionsprinzip DSSS: Funktionsprinzip 802.11-Zusatz-Features Sicherheit im Funknetz Authentifizierung auf Link-/Benutzerebene Verschlsselung mit WEP Antennentechnik 802.11a: Standard mit Schwierigkeiten 802.11b: Die schnelle Variante Verbesserte Modulationsverfahren Weitere IEEE802.11-Standards
www.teChannel.de

40
40 40 41 42 43 44 45 46 47 49 50 51 52 53 53 54 54 55 56 56 58 59 60 60 61 61 63 63 64 67 70 70 71 71 72 73 73 74 75

1.4

1.4.1 1.4.2 1.4.3 1.4.4 1.4.5 1.4.6 1.4.7 1.4.8 1.4.9 1.4.10 1.4.11 1.4.12 1.4.13 1.4.14 1.4.15 1.4.16 1.4.18 1.4.21 1.4.24 1.4.25 1.4.26 1.4.27 1.4.28 1.4.31 1.4.32 1.4.33 1.4.34
6

802.11: Standard fr Funknetze

52

Inhalt

2
2.1
2.1.1 2.1.3 2.1.4 2.1.5 2.1.7 2.1.8 2.1.1 2.1.10 2.1.12 2.1.13 2.1.14 2.1.15 2.1.16 2.1.17 2.1.19 2.1.21 2.1.23

TCP/IP im Detail
So funktionieren TCP/IP und IPv6
Protokollarchitektur IP: Internet Protocol IP-Header im Detail IP-Adressen Subnetze Routing: So kommen die Daten ans Ziel Private IP-Adressen Kontrollmechanismus fr IP: ICMP TCP: Transmission Control Protocol 3-Way-Handshake TCP-Header im Detail UDP: User Datagramm Protocol Nebenstellen: Protocols, Ports und Sockets IPv6: Internet Protocol Version 6 IPv6-Header im Detail IPv6-Adressformat Sicherheit und ICMP Hierarchische Struktur des DNS Domain-Namen Nameserver Root-Server DNS-Resolver Rekursive und iterative Namensauflsung Resource Records DNS-Nachrichten .in-addr.arpa-Domain Protokolle: TCP oder UDP? Neue Top Level Domains Interaktion zwischen Client und Server DHCP-Refresh Range und Lease DHCP-Konfiguration unter Win32 DHCP-Konfiguration unter Linux

76
76
76 78 79 81 82 83 84 85 87 88 89 90 92 92 93 95 96

2.2

2.2.1 2.2.2 2.2.4 2.2.6 2.2.7 2.2.8 2.2.9 2.2.10 2.2.11 2.2.5 2.2.12

DNS: Namen statt Zahlen

98 100 101 102 103 104 105 106 108 108 109

98

2.3

2.3.1 2.3.2 2.3.3 2.3.4 2.3.5

So funktioniert DHCP

112
112 113 114 114 115

3
3.1
3.1.3 3.1.4 3.1.6

Netzwerkdienste und Ports


So funktionieren Verzeichnisdienste
Der Klassiker X.500 Aufbau eines X.500-Verzeichnisses X.500: Benutzerzugriff

116
116
117 118 119

Inhalt

3.1.7 3.1.8 3.1.9 3.1.10 3.1.11 3.1.14 3.1.15 3.1.18

X.500: Vernetzung Replikation X.500: Protokolle Implementationen von X.500 LDAP (Lightweight Directory Access Protocol) Architektur von LDAP Novell eDirectory Microsoft Active Directory

120 120 120 121 121 123 123 125

3.2

3.2.1 3.2.2 3.2.3 3.2.4 3.2.5 3.2.6 3.2.7 3.2.8 3.2.9 3.2.26

Ports im berblick

Was sind Portnummern? Sockets Portgruppen Welcher Port wird verwendet? Beispiel fr eine Verbindung Router: Masquerading Router: Port-Forwarding Ports ein offenes Tor Einrichten einer Firewall Ports im berblick SMTP Simple Mail Transfer Protocol SMTP: Kommandos SMTP: Antwort-Codes SMTP: Envelope, Header und Body SMTP: Beispiel fr den Versand einer Mail SMTP: Mail Routing und das DNS SMTP: Extended SMTP SMTP: Multipurpose Internet Mail Extension SMTP: MIME-Typen Empfangen von Mails POP versus IMAP POP3: Post Office Protocol, Version 3 POP3: Authorization State POP3: Transaction State POP3: Update State IMAP4: Internet Message Access Protocol, Version 4 IMAP4: Non-Authenticated State IMAP4: Authenticated State IMAP4: Selected State und Update State IMAP4: Beispiel fr das Abrufen einer Mail Anti-Spam fr MTAs SMTP after POP TLS: Sicherheit beim Mailen

130
130 132 132 133 134 135 136 136 137 149 150 151 152 153 154 155 156 157 157 158 159 160 160 161 162 163 164 165 166 167 168 170 170

3.3

3.3.1 3.3.2 3.3.3 3.3.4 3.3.5 3.3.6 3.3.7 3.3.8 3.3.9 3.3.10 3.3.11 3.3.12 3.3.13 3.3.14 3.3.15 3.3.17 3.3.18 3.3.19 3.3.20 3.3.21 3.3.22 3.3.25 3.3.26

So funktioniert E-Mail

150

www.teChannel.de

Inhalt

4.1 4.1.1 4.1.2 4.1.3 4.1.4 4.1.5 4.1.6 4.1.7

VPN Theorie und Praxis

VPN-Grundlagen Was ist ein VPN? Protokolle im Tunnel IPsec VPN nur frs Internet Sicherheitsmerkmale von IPsec IPsec ohne Tunnel Ablauf einer IPsec-Verbindung Schlsselverwaltung in IPsec Voraussetzungen Installation des VPN-Servers Konfiguration des RAS-Servers VPN-Client: Windows NT VPN-Client: Windows 2000 VPN-Client: Windows 9x IPsec im berblick Transport vs. Tunnel Mode Authentication Header (AH) Encapsulated Security Payload (ESP) Security Association (SA) Internet Key Exchange (IKE) X.509-Zertifikate IPsec mit Free S/WAN Installation Konfiguration Zertifikate Windows 2000 und XP Marcus Mllers VPN-Tools ipsec.conf einrichten Client-Konfiguration Funktionalitt prfen Startvarianten PGPnet Zertifikat importieren Allgemeine Konfiguration Gateway-Einstellungen Funktionstest

172
172 172 173 174 175 175 176 176 178 179 181 183 185 188 193 193 193 194 194 195 195 196 196 197 199 206 207 208 209 211 213 214 215 217 219 221

4.2

4.2.1 4.2.2 4.2.3 4.2.4 4.2.5 4.2.6

VPN mit Windows

178

4.3

4.3.2 4.3.3 4.3.4 4.3.5 4.3.6 4.3.7 4.3.8 4.3.9 4.3.10 4.3.11 4.3.13

VPN mit Linux I

192

4.4

4.4.1 4.4.2 4.4.3 4.4.4 4.4.5 4.4.6 4.4.7 4.4.8 4.4.9 4.4.10 4.4.11

VPN mit Linux II

206

Glossar Index

222 232
9

Netzwerktechnologien im berblick

1 Netzwerktechnologien im berblick
Bei den drahtgebundenen Netzwerken hat sich Ethernet als Standard etabliert. In den letzten 30 Jahren hat es sich bis zu einer bertragungsrate von 10 Gbit/s gesteigert. Im derzeit boomenden WLAN-Segment steht der Sieger jedoch nicht fest. Den verschiedenen Technologien mangelt es noch an Geschwindigkeit und Sicherheit. Auch bei der Dienstequalitt beispielsweise fr die Sprachbertragung unterscheiden sich die konkurrierenden WLAN-Verfahren deutlich. Das erste Kapitel beschreibt zunchst die technischen Hintergrnde und die sich daraus ergebenden Vor- und Nachteile der jeweiligen Netzwerkstandards.

1.1

Ethernet im berblick

Ethernet ist aus lokalen Netzwerken nicht mehr wegzudenken. Obwohl bereits fast 30 Jahre alt, ist die Entwicklung dieser Technik nicht aufzuhalten. Wir beleuchten die Funktionsweise und die LAN-Zukunft in Richtung 10-Gbit-Ethernet. Ende 1972 implementierte Dr. Robert Metcalfe mit seinen Kollegen am Xerox Palo Alto Research Center (PARC (www.parc.xerox.com) ein Netzwerk, um einige Xerox-Alto-Rechner zu vernetzen einen zu dieser Zeit revolutionren Vorlufer der Personal Computer. Zunchst als Alto Aloha Network bezeichnet, setzte dieses Netzwerk bereits das CSMA/CD-Protokoll des spteren Ethernet ein. Die bertragungsfrequenz lag jedoch zunchst nur bei 2,94 MHz, dem Systemtakt der Alto-Stations. Erst 1976 nannte Metcalfe das Netzwerk Ethernet. Seitdem erfreut sich das Ethernet nicht zuletzt wegen seiner Einfachheit hinsichtlich Installation, Wartung und Kosten groer Beliebtheit bei den Netzwerkadministratoren. Trotz aller Entwicklungen, die es seit der ersten Schemazeichnung durchlaufen hat, basiert Ethernet immer noch auf denselben Prinzipien.

1.1.1 CSMA/CD als Grundlage von Ethernet


Das Ethernet-Protokoll basiert auf den Komponenten Multiple Access, Carrier Sense und Collision Detection: Multiple Access (MA): Alle Ethernet-Stationen greifen unabhngig voneinander auf das gemeinsame bertragungsmedium (shared medium) zu. Carrier Sense (CS): Wenn eine Ethernet-Station senden will, so prft sie zuerst, ob gerade eine andere Kommunikation luft. Ist das Medium besetzt, so wartet die Station bis zum Ende der bertragung und eine zustzliche Zeitspanne von 9,6 s. Ist das Medium frei, beginnt die Station sofort zu senden.

10

www.tecChannel.de

Ethernet im berblick

Collision Detection (CD): Whrend des Sendens beobachtet die sendende Station das Medium, um mgliche Kollisionen mit anderen Sendestationen zu erkennen. Wenn sie whrend des Sendevorgangs keine Strung erkennt, die auf eine Kollision mit einem anderen Paket zurckgefhrt werden kann, gilt das Paket als erfolgreich versendet. Wenn die Sendestation eine Kollision erkennt: bricht sie die bertragung ab und sendet ein Jamming-Signal (101010... = AAAAAAAA), wartet sie 9,6 s plus einer zufllig bestimmten Zeitspanne, die von der Anzahl der bisherigen Fehlversuche fr dieses Paket abhngt (Binary Backoff) und unternimmt dann einen erneuten Sendeversuch. Dieses Verfahren funktioniert aber nur dann zuverlssig, wenn die sendende Station die Kollision entdecken kann, bevor die bertragung des Pakets abgeschlossen ist. Dabei ist zu bercksichtigen, dass die Ausbreitung von Signalen auf Leitungen mit endlicher Geschwindigkeit geschieht. Fr einen erfolgreichen Einsatz des CSMA/CD-Protokolls muss die doppelte maximale Laufzeit zwischen zwei Stationen krzer sein als die bertragungsdauer der krzesten zulssigen Pakete. Ausgehend von der Tatsache, dass die minimale Paketlnge eines Ethernet-Pakets 64 Byte (= 512 Bits) betrgt, muss also sichergestellt sein, dass die maximale Signallaufzeit (Round Trip Delay RTD) 512 Bitzeiten nicht bersteigt. Bei einer Datenrate von 10 Mbps dauert die bertragung eines Bit 100 ns, so dass das RTD kleiner als 51,2 s sein muss.

1.1.2 Erlaubte Verzgerungszeiten


Gem den Ethernet-Vorgaben drfen die verschiedenen aktiven und passiven Komponenten Verzgerungszeiten verursachen. Die folgenden Tabellen zeigen Beispiele:

10 Mbit/s
Komponente Controller Senderichtung Controller Empfangsrichtung Transceiver-Kabel (2 m) Transceiver Senderichtung Transceiver Empfangsrichtung Repeater Inter-Repeater Link
1 Bitzeit = 1ns

Bitzeit 3 7 3 3 5 8 25

webcode: a717

11

Netzwerktechnologien im berblick

100 Mbit/s
Komponente Class I Repeater Class II Repeater Endgert Cat3-Twisted Pair (1 m) Cat5-Twisted Pair (1 m) Glasfaserkabel (1 m)
1 Bitzeit = 1ns

Bitzeit 140 92 50 1,14 1,112 1

1000 Mbit/s
Komponente Repeater Endgert Cat5-Twisted Pair (1 m) Glasfaserkabel (1 m) 1000BaseCX-Kabel (1 m)
1 Bitzeit = 1ns

Bitzeit 976 432 11,12 10,1 10,1

1.1.3 Spte Kollisionen


Um zu bestimmen, ob eine Verbindung zwischen zwei Stationen den RTD-Bedingungen gengt, sind die Bitzeiten aller beteiligten Komponenten zu addieren. Die Summe darf nicht grer sein als die minimale Paketlnge in Bit (512). Ist diese Bedingung nicht erfllt und treten Kollisionen erst nach den 512 Bitzeiten auf, spricht man von so genannten Late Collisions. Diese knnen von den EthernetControllern nicht erkannt werden, weil sie das Paket vermeintlich schon komplett gesendet haben, bevor die Strung auf dem Medium erkannt wurde. Dennoch wird das Netzwerk im Allgemeinen funktionieren, da die Protokolle der hheren Schichten diese verlorenen Pakete meist erneut anfordern, wie dies beispielsweise bei TCP der Fall ist. Wenn beim nchsten Sendeversuch keine Kollision mit der zu weit entfernten Station auftritt, kann das Paket doch noch erfolgreich bertragen werden. Allerdings wird die Leistungsfhigkeit des Netzwerks wesentlich beeintrchtigt, da immer mehr Bandbreite fr Retransmissionen von Datenpaketen genutzt wird.

12

www.tecChannel.de

Ethernet im berblick

Kollision: Die Rckmeldung der Kollision muss innerhalb von 512 Bitzeiten erfolgen, sonst wird sie nicht erkannt.

1.1.4 Das Paketformat


Beim Ethernet handelt es sich um ein so genanntes paketvermittelndes Netzwerk. Das bedeutet, dass die zu bertragenen Daten in kleinere Einheiten aufgeteilt werden, die man als Pakete (Packets) oder Rahmen (Frames) bezeichnet. Dabei sucht sich jedes Paket autonom seinen Weg durch das Netzwerk. Auf der Empfngerseite werden die einzelnen Teilsendungen wieder zusammengefgt.

Ethernet-Frame: Das Feld PAD wird genutzt, um das Datenpaket auf mindestens 64 Byte Gre zu bringen.

webcode: a717

13

Netzwerktechnologien im berblick

Ethernet-Paket
Komponente Prambel Rahmenbegrenzer Bytes 7 1 Anmerkungen 101010...101010, dient der Taktsynchronisation 10101011 Ab hier eigentliches Datenpaket und Kollisionserkennung MAC-Adresse MAC-Adresse

Zieladresse Quelladresse Datenlnge Daten Padding Prfsumme

6 6 2 0-1500 0-46 4

Enthlt genug Bytes, damit das Datenpaket 64 Byte lang wird. Anhand der Prfsumme kann der Empfnger erkennen, ob das Paket korrekt angekommen ist.

Das ursprngliche Ethernet ist ein logischer Bus, auch dann, wenn es physisch nicht als Bus implementiert ist. Das bedeutet, dass eine sendende Netzwerkstation von allen Netzwerkteilnehmern gehrt wird. Der Ethernet-Controller der Empfangsstation entscheidet auf Grund der Zieladresse, welche Nachrichten fr ihn bestimmt sind. Alle anderen Nachrichten werden ignoriert.

1.1.5 MAC-Adressen
Um sicherzustellen, dass keine identischen Adressen in einem Netzwerk auftreten, werden die Ethernet-Adressen (auch als MAC-Adressen bezeichnet) von den Herstellern fest in der Hardware kodiert. Die Verteilung erfolgt dabei nach dem folgenden Schlssel:

MAC-Adresse
Bits 47 46 Anmerkungen 1, wenn es sich bei der Zieladresse um eine Gruppenadresse fr Multi- oder Broadcasts handelt. Sonst 0. 0, wenn es sich um eine global verwaltete Adresse handelt (nach IEEE). 1, wenn es sich um eine lokal verwaltete Adresse handelt (fr private Netze) Hersteller-Identifikation. Wird durch die IEEE vergeben. Adapter-Identifikation. Wird durch den Hersteller vergeben.
www.tecChannel.de

45-24 23-0
14

Ethernet im berblick

Die meisten Ethernet-Controller knnen auch Pakete empfangen und an die hheren Schichten weitergeben, die nicht fr sie bestimmt sind. Man bezeichnet diese Betriebsart als Promiscuous Mode. Dieser Modus stellt ein wesentliches Sicherheitsrisiko dar, da er die Realisierung von so genannten Netzwerk-Sniffern erlaubt, die den gesamten Verkehr auf einem Netzwerk beobachten knnen.

1.1.6 Vom Koax-Bus zum Twisted-Pair-Stern


Ursprnglich sah die Ethernet-Spezifikation Koaxialkabel als bertragungsmedium vor. Je nach Qualitt der Kabel werden dabei Thick Coax (10Base-5) und Thin Coax (10Base-2) unterschieden. Letzteres wird auf Grund der geringen Kosten auch als Cheapernet bezeichnet. Bei der Nutzung eines Koaxialkabels sind drei Punkte hervorzuheben: Es handelt sich auch in der Implementierung um einen physischen Bus, an den die Stationen angehngt werden. Hierzu dienen T-Stcke, die in das Kabel eingesetzt werden, oder so genannte Vampirstecker. Fr eine Kollisionserkennung muss die sendende Station den Zustand auf dem Kabel berprfen. Stimmen die dort vorliegenden Pegel nicht mit den gesendeten Signalen berein, wird dies als Kollision erkannt. In diesem Zusammenhang ist auch wichtig, dass die Kabelenden mit angepassten Widerstnden abgeschlossen werden, um Reflexionen zu vermeiden, die unter Umstnden als Kollisionen erkannt wrden. Koaxialkabel weisen jedoch eine Reihe von Nachteilen auf. So mssen etwa fr den Einbau weiterer Stationen Kabel aufgetrennt werden, wodurch fr eine gewisse Zeit keine bertragung mglich ist. Deshalb wurde der Standard 1990 im Rahmen des 10Base-T fr den Einsatz von Twisted-Pair-Kabeln erweitert.

1.1.7 Twisted-Pair
Die Nutzung von Twisted-Pair-Kabeln stellt in einigen wichtigen Punkten eine Abkehr von den ursprnglichen Mechanismen dar: In den Koaxialkabeln werden Sendekanal (Transmit Tx) und Empfangskanal (Receive Rx) getrennt und jeweils auf einem Leitungspaar bertragen. Eine Kollision wird erkannt, wenn whrend des Sendens auf dem Tx-Leitungspaar Pakete auf dem Rx-Leitungspaar empfangen werden. Wenn zwei Teilnehmer unmittelbar miteinander kommunizieren wollen (Point-to-Point-Verbindung), dann muss der Sendekanal der einen Station mit dem Empfangskanal der anderen Station verbunden werden. Dies erfolgt mit einem so genannten gekreuzten Kabel (Crossover-Kabel). Wenn mehr als zwei Teilnehmer miteinander kommunizieren wollen, wird ein Hub als zentrale Station bentigt. Dieser gibt die Signale, die er auf dem Rxwebcode: a717 15

Netzwerktechnologien im berblick

Leitungspaar eines Ports empfangen hat, im einfachsten Fall an allen anderen Ports auf dem Tx-Leitungspaar wieder aus. Damit kann jede Station, die an diesen Hub angeschlossen ist, die Pakete auf seinem Rx-Kanal empfangen. Wichtig dabei ist jedoch, dass der Hub die Pakete nicht auf den Port der sendenden Station zurckschickt. In diesem Fall wrde die sendende Station Aktivitt auf dem Empfangskanal detektieren, die dann als Kollision gedeutet wrde. Allerdings erlaubt diese Trennung der Kanle auch den Betrieb in einem Vollduplex-Modus, der 1997 in dem ergnzenden Standard 802.3x verabschiedet wurde. Dieser Modus basiert im Wesentlichen darauf, dass es erlaubt ist, sowohl auf dem Sende- als auch auf dem Empfangskanal zu bertragen und die Kollisionserkennung zu deaktivieren.

1.1.8 Glasfaser fr das Backbone


Nachteilig an der bertragung sowohl ber Koaxialkabel als auch ber TwistedPair-Kabel ist die limitierte Reichweite. Beim Twisted-Pair-Kabel ist das elektrische Signal nach etwa 100 m so weit abgeschwcht, dass es durch einen Repeater wieder aufgefrischt werden muss. Bei den Koaxialkabeln sind Reichweiten von 500 m bei 100Base-5 (die Zahl 5 entspricht 500 m) und von 185 m bei 10Base-2 (die Zahl 2 steht fr ein aufgerundetes 1,85) erreichbar. Je mehr Repeater jedoch eingesetzt werden, desto grer werden die Verzgerungszeiten, und es kommt zu spten Kollisionen.

Standards im berblick: Dieses Diagramm zeigt die verschiedenen Ethernet-Standards und die dabei verwendeten Kabel.

16

www.tecChannel.de

Ethernet im berblick

Dementsprechend eignen sich Kupferkabel nicht fr den Einsatz als Backbone zur Verbindung verschiedener Gebude auf einem Campus. Aus diesem Grund wurden zwei weitere Standards aufgenommen, die die bertragung von optischen Signalen ber Glasfaserverbindungen beschreiben. Auf diese Weise lsst sich ohne Repeater eine Entfernung von 2 km berbrcken. Von den insgesamt drei verabschiedeten Standards hat sich in der Praxis nur der 10Base-FL durchgesetzt. Dabei ist ebenfalls zu vergegenwrtigen, dass Glasfaserleitungen sinnvoll nur in Punkt-zu-Punkt-Verbindungen eingesetzt werden knnen. Auch 10Base-FL steht also fr eine Sternstruktur.

1.1.9 Der Schritt zu 100 Mbit/s


Mit dem Einsatz von immer leistungsfhigeren PCs stieg der Bedarf nach Bandbreite in den neunziger Jahren zusehends. Aus diesem Grund wurde 1995 der auch als Fast Ethernet bezeichnete Standard 100Base-T mit einer Datenrate von 100 Mbit/s verabschiedet. Folgende Aspekte verdienen hier besondere Beachtung: Das erlaubte Round Trip Delay lieen die Entwickler mit 512 Bitzeiten unverndert. Da aber wegen der hheren Datenrate eine Bitzeit nur noch 10 ns entspricht, ist dem Zeitbudget eine hhere Aufmerksamkeit zu widmen. Whrend ein Signal bei 10 Mbit/s in einer Bitzeit (100 ns) auf dem Kabel etwa acht Meter zurcklegt, so schafft es bei 100 Mbit/s auf einem Cat-5-Kabel in einer Bitzeit (10 ns) weniger als einen Meter. hnlich verschrfen sich auch die Anforderungen an die aktiven Komponenten (siehe Erlaubte Verzgerungszeiten). Koaxialkabel kommen auf Grund ihrer unzureichenden elektrischen Eigenschaften nicht mehr zum Einsatz. Die bertragung ber Twisted-Pair stellt ebenfalls besondere Herausforderungen an die bertragungsmechanismen. Dabei wurden mit 100Base-Tx, 100Base-T2 und 100Base-T4 drei alternative Technologien standardisiert. Der Einsatz von 100Base-Tx setzt Twisted-Pair-Kabel nach der Kategorie Cat-5 voraus, die eine bertragungsfrequenz von 100 MHz erlauben. Damit Fast-Ethernet auch fr die alten Cat-3-Kabel (Grenzfrequenz 16 MHz) noch realisierbar ist, wurden die Standards 100Base-T4 und 100Base-T2 verabschiedet. Beide haben sich in der Praxis zwar nicht durchgesetzt, sind aber dennoch von Interesse, da die dort implementierten Mechanismen, mit denen 100 mbps ber Kabel mit 16 MHz Grenzfrequenz bertragen werden, bei der nchsten Geschwindigkeitssteigerung im 1000Base-T Anwendung finden.

webcode: a717

17

Netzwerktechnologien im berblick

1.1.10 100Base-Tx
Die Annahme, dass ber eine Cat-5-Verkabelung mit einer 100 MHz Grenzfrequenz automatisch eine Datenrate von 100 Mbit/s bertragen werden kann, ist falsch. Folgende Besonderheiten sind hier zu beachten: Beim Empfang der Signale muss sich der Empfnger auf den Datenstrom synchronisieren. Lange Phasen identischer Signale sind bei der bertragung im Basisband problematisch, weil keine Signalflanken auftreten, mit deren Hilfe der Sender sich wieder neu synchronisieren knnte. Dieses Problem wurde bei den 10-Mbit/s-Standards durch die Manchester-Kodierung umgangen. In der ersten Phase wird das Datenbit gesendet, wobei ein Flankenwechsel eine logische 1 bedeutet. Die zweite Phase sorgt fr die Taktung, indem auf jeden Fall ein Flankenwechsel stattfindet, wodurch sichergestellt wird, dass in jeder Phase mindestens ein Pegelwechsel vorliegt. Als Nachteil muss jedoch eine Verdoppelung der Frequenz in Kauf genommen werden. Da die Frequenzverdoppelung fr 100 Mbit/s nicht mehr in Frage kommt, kodiert man den Bitstrom in einem 4B5B-Muster. Dabei werden die Muster so gewhlt, dass innerhalb jedes 4 beziehungsweise 5 Bit langen Blocks mindestens ein Signalwechsel auftritt. Somit wird der Bitstrom lediglich um 25 Prozent verlngert und es ergibt sich eine Datenrate von 125 Mbit/s. Weil eine Frequenz von 125 MHz grer ist als eine Frequenz von 100 MHz, wird das Signal auf drei Signalpegeln bertragen (MLT-3: Multi-Level-Transmission mit -1, 0 und 1). Somit lassen sich mehrere Bits pro Symbol bertragen und die bertragungsfrequenz reduzieren. Die Basisfrequenz der Idle-Bitfolge reduziert sich hierdurch von 125 MHz auf ein Viertel und liegt nun bei 31,25 MHz. Durch ein Verwrfeln des kodierten Datenstroms (Scrambling) muss nun noch eine Aufteilung des Frequenzspektrums erfolgen. Damit sollen das Leistungsspektrum der abgestrahlten Signale aufgespreizt und die Vorgaben ber elektromagnetische Vertrglichkeit erfllt werden.

1.1.11 100Base-T4 und 100Base-T2


Der 100Base-Tx-Standard ist dahingehend verschwenderisch, dass er nur zwei der vier in einem Twisted-Pair-Kabel vorhandenen Leitungspaare nutzt. Auf diese Weise wird auch ISDN-Telefonie ber das gleiche Kabel ermglicht. Da diese Praxis jedoch nur selten anzutreffen ist, schlgt der 100Base-T4-Standard vor, alle vier Leitungspaare zu verwenden. Dabei luft der Datenstrom ber drei Leitungspaare, wodurch sich die Signalrate auf 33 MHz reduziert. Das vierte Leitungspaar setzt man zur Kollisionsdetektierung ein. Eine weitere Reduktion der Signalrate wird beim 100Base-T4 wiederum durch Kodierungsverfahren erreicht. Bei 100Base-T4 kann die bertragung zu einem Zeitpunkt nur in eine Richtung erfolgen. Ein Vollduplex-Betrieb ist nicht mglich.
18 www.tecChannel.de

Ethernet im berblick

1.1.12 100Base-T2
Auch der 100Base-T2-Standard beschreibt ein Verfahren, um die 100 Mbit/s des Fast Ethernet ber ein Cat-3-Kabel zu bermitteln. Dabei sollte die bertragung aber nur ber zwei Leitungspaare erfolgen, um die anderen beiden Leitungen weiterhin fr die Sprachtelefonie freizuhalten. Um diese Aufgabe zu lsen, wurde die Pulse Amplituden Modulation (PAM) entwickelt. Das beim 100Base-T2 verwendete PAM5x5 nutzt fnf verschiedene Pegel (-2, -1, 0, +1, +2). Besonders interessant ist dabei, dass beide Leitungspaare vollduplex bertragen knnen. Dies wird durch den Einsatz von so genannten Hybrid-Transceivern ermglicht. Diese weisen zwei Funktionalitten auf: In Senderichtung werden das Signal in Senderichtung und das Signal in Empfangsrichtung auf der Leitung berlagert. Auf der Empfangsseite muss das gesendete Signal von dem resultierenden Signal subtrahiert werden, um das Signal in Empfangsrichtung zu erhalten. Dabei muss man jedoch die auf der Leitung reflektierten Anteile des gesendeten Signals mit Hilfe einer Echokompensation (Echo Cancellation) ebenfalls bercksichtigen. Damit stellt dieser spezielle Vollduplex-Modus in gewisser Weise eine interessante Evolution in der Ethernet-Historie dar. 1. Fr die Koaxialkabel muss ein Transceiver zum Einsatz kommen. Dieser muss beim Senden gleichzeitig die Pegel auf dem Kabel berprfen, ob sie mit dem gesendeten Signal bereinstimmen. Weichen diese zu sehr von den gesendeten Signalen ab, wird dies als Kollision erkannt. 2. Bei der bertragung mit Twisted-Pair-Kabeln bei 10Base-T werden Sende- und Empfangskanal getrennt. 3. Nun werden beim 100Base-T2 auch bei der bertragung im Twisted-Pair-Kabel die Empfangs- und Sendekanle wieder gemeinsam genutzt, um die geforderte Datenrate bei verfgbarer Bandbreite zu erreichen.

1.1.13 Auto-Negotiation
Der Einsatz von zwei unterschiedlichen Geschwindigkeitsstufen wirft die Frage nach der Kompatibilitt auf. Auf Grund der hnlichen Vorgaben lassen sich Baugruppen entwerfen, die in der Lage sind, wahlweise mit 10 oder mit 100 Mbit/s zu kommunizieren. Wnschenswert ist dabei auch, dass automatisch die grtmgliche Geschwindigkeit genutzt wird. Zu diesem Zweck wurde im Rahmen des FastEthernet-Standards das so genannte Auto-Negotiation Protocol (ANP) festgelegt, das auf dem von National Semiconductor entwickelten Nway-Protokoll basiert. ANP bezieht sich auf Verbindungssegmente zwischen zwei Kommunikationsteilnehmern. Es wird unmittelbar bei der Initialisierung der Verbindung aufgerufen und verwendet ein dezidiertes Signalsystem. Dieses basiert auf den Normal Link Pulses (NLP), die 10Base-T zur Kontrolle der Verbindung regelmig versendet.
webcode: a717 19

Netzwerktechnologien im berblick

ANP sendet Signalfolgen mit 33 Fast Link Pulses (FLP), deren Timing genau den NLPs entspricht. Damit knnen 10Base-T-Stationen ohne ANP umgehen, denn sie erkennen diese Signale als NLP. Untersttzt eine Station aber das ANP, so kann es aus den 16 geradzahligen FPLs das 16 Bit Link Code Word auswerten, das Informationen ber die untersttzten Geschwindigkeiten und Modi enthlt. Anhand einer Priorittenfolge werden dann Geschwindigkeit und Modus ausgewhlt.

Auto-Negotiation Datenwort
Bit(s) 0-4 5 6 7 8 9 10 11 12 13 14 15 Anmerkungen Bei Ethernet immer 10.000. Damit kann der Standard auch auf andere bertragungssysteme erweitert werden. Untersttzt 10Base-T Untersttzt 10Base-T Full Duplex Untersttzt 100Base-TX Untersttzt 100Base-TX Full Duplex Untersttzt 100Base-T4 Untersttzt Datenflusskontrolle Reserviert Reserviert Fehlerindikator ACK Quittierung eines ANP-Datenpakets NP (Next Page). Es folgen weitere Datenpakete mit herstellerspezifischen Informationen

1.1.14 Einschrnkungen bei Auto-Negotiation


Bei 10 und 100 Mbit/s ist Auto-Negotiation optional, bei 100Base ist es nur fr Twisted-Pair gltig. Auf Grund verschiedener Wellenlngen ist bei den optischen Links ohnehin keine Interoperabilitt mglich. Fr Gigabit-Ethernet ist ANP verpflichtend vorgeschrieben. Wenn ein Gert nicht auf die FLPs antwortet, greift die so genannte Parallel Detection, die den bertragungsstandard anhand der Signalform und der Kodierung erkennt. Dabei wird allerdings standardmig der Halbduplexbetrieb ausgewhlt. Dies fhrt dann zu Problemen, wenn das andere Gert manuell auf Vollduplexbetrieb eingestellt wurde.

20

www.tecChannel.de

Ethernet im berblick

Das ANP bietet die Mglichkeit, zustzliche Informationen auf weiteren Seiten (Next Page) zu bermitteln. So knnen auch die Gigabit-Standards in das ANP einbezogen werden. Problematisch erscheint allerdings, dass diese Mglichkeit von einigen Herstellern dazu genutzt wird, herstellerspezifische Informationen zu bertragen. Deshalb vertragen sich verschiedene Herstellerpaarungen bei der Abwicklung des ANP nicht. In diesen Fllen muss manuell konfiguriert werden.

1.1.15 Switching
Mit dem Wechsel zu Twisted-Pair-Kabeln ersetzte man die ursprngliche physische Busstruktur durch eine Sternarchitektur, bei der Punkt-zu-Punkt-Verbindungen ber einen zentralen Knoten verschaltet sind. Mit dieser Sternarchitektur kann man das Prinzip des geteilten Zugriffs auf das Kabel zu Gunsten einer leistungsstrkeren Vorgehensweise, dem Switching, aufgeben: Analysiert der zentrale Knoten die Quelladressen der eingehenden Pakete, lernt er mit der Zeit, an welchem Port welche Station angeschlossen ist. Empfngt der zentrale Knoten nun auf einem Port ein Paket fr eine bekannte Station, reicht es aus, das Paket nur auf den Port zu leiten, an dem die Zielstation hngt. Dies ermglicht eine deutlich hhere Bandbreite, denn Stationen knnen jeweils paarweise miteinander kommunizieren, ohne die bertragung der anderen Stationen zu beeinflussen. Zwei Faktoren sind nun aber noch zu beachten: Da die bertragung parallel durch die Verschaltungsmatrix des Switch erfolgt, wird dessen Bandbreite aufgeteilt. Innerhalb eines Gerts lassen sich jedoch sehr viel hhere Bandbreiten erzielen und die Datenstrme parallelisieren. Wenn der Datenverkehr primr zu einem Gert erfolgt, etwa einem Server, muss die Bandbreite der Verbindung zwischen Server und Switch geteilt werden.

1.1.16 Der Schritt von 100 auf 1000 Mbit/s


Insbesondere die Switching-Technologie erhht den Bedarf nach hheren Bandbreiten fr bestimmte Punkt-zu-Punkt-Verbindungen. Wenn beispielsweise die Anbindung eines Servers an den Knoten eine grere Bandbreite aufweist als die Geschwindigkeit aller anderen Clients zusammen, liee sich der Verkehr problemlos bewltigen. Auch im Backbone-Bereich sind inzwischen grere Geschwindigkeiten erforderlich. Dementsprechend stellt die Verabschiedung eines 1-Gbit/s-Standards eine logische Konsequenz dar. Zur bertragung von 1 Milliarde Bits pro Sekunde ber eine Leitung hat man sich fr zwei grundstzliche Anstze entschieden:

webcode: a717

21

Netzwerktechnologien im berblick

Die bertragung nach 1000Base-X (IEEE802.3z) baut auf den bestehenden Modulationsverfahren auf und erreicht die hhere Datenrate im Wesentlichen durch die Erhhung der bertragungsfrequenz. Dagegen hat man bei der bertragung nach 1000Base-T (IEEE802.3ab) von der unmittelbaren Skalierung der 100Base-TX-Technologie Abschied genommen. Hier werden mehrere Verfahren kombiniert, um die Datenrate ber ein Cat-5-Kabel auch bei Entfernungen jenseits von 100 m zu erreichen. Dabei sind die zentralen Verfahren den bereits bestehenden 100Base-T2- und 100Base-T4-Standards entlehnt.

1.1.17 1000Base-X
1000Base-X nutzt ein 8B/10B-Modulationsverfahren, das dem 4B5B-Verfahren aus dem 100Base-X verwandt ist. Dabei wird ein Byte mit acht Bit auf ein Wort mit zehn Bit kodiert, so dass die Datenrate auf 1250 Mbit/s steigt. 1000Base-X lsst sich ber verschiedene Glasfasern oder auch ber ein bis zu 25 Meter langes 150-W-Twinax-Kabel bertragen.

1.1.18 1000Base-TX
Die Steigerung der Datenrate von 100 auf 1000 Mbit/s bei 1000Base-TX lsst sich in fnf Schritten erklren. Die Reihenfolge der Schritte ist dabei willkrlich gewhlt. 1. Ausgehend von der bertragung ber ein Leitungspaar bei 100Base-Tx wird nun wie bei 100Base-T4 ber alle vier Leitungspaare bertragen. Auf diese Weise erhht sich die Datenrate auf 400 Mbit/s. 2. Verzichtet man auf die 4B5B-Kodierung, so steigt die Datenrate bei konstanter bertragungsfrequenz auf 500 Mbit/s. 3. Setzt man das PAM5x5 aus dem 100Base-T2 ein, so erreicht man eine Verdoppelung der Datenrate auf 1000 Mbit/s, wobei wiederum die bertragungsfrequenz unverndert bleibt. Dabei ist jedoch eine Verringerung des Signal-Rausch-Abstands um 6 dB durch den jeweils verringerten Signalhub zu verzeichnen, der nun durch eine zustzliche Fehlerkorrektur ausgeglichen werden muss. 4. Bei der Trellis-basierten Fehlerkorrektur hat man auf eine Faltungskodierung zurckgegriffen, wie sie insbesondere im Bereich des digitalen Mobilfunks, allerdings auch bei der Sprach- und Mustererkennung bereits seit langer Zeit verbreitet ist. Diese Fehlerkorrektur stellt die einzige wirklich neue Komponente im 1000Base-T-Standard dar. 5. Gleichzeitige bertragung in beide Richtungen ber ein Leitungspaar wie bei 100Base-T2. Damit erreicht man 1000 Mbit/s im Vollduplexmodus.

22

www.tecChannel.de

Ethernet im berblick

1.1.19 Von 1000 auf 10.000 Mbit/s


Schon bevor 1000Base-T endgltig in trockenen Tchern war, bildete sich im Mrz 1999 eine Arbeitsgruppe innerhalb der IEEE802.3 Higher Speed Study Group (HSSG, http://grouper.ieee.org). Diese will mit IEEE802.3ae einen Standard fr Datenraten von 10 Gbit/s erstellen. Dabei wurde bereits zu diesem Zeitpunkt eine geschickte Doppelentscheidung getroffen, die die Grundlage fr ein weiteres Vordringen des Ethernet-Standards darstellt. Zum einen mchte man bewhrte Eigenschaften des LAN-Ethernet fortfhren. Vor allem das Rahmenformat und die unmittelbare Einpassung in die 802.x-Architektur sollen die einfache Bndelung von langsameren Ethernet-Rahmen auf der hheren Geschwindigkeitsstufe und die unmittelbare bernahme der bestehenden Techniken zur Verkehrssteuerung ermglichen. Auerdem soll die Spezifikation eine kostengnstige Implementierung mit zwei- bis dreifachem Kostenaufwand im Vergleich zum Gigabit-Ethernet erlauben. Zum anderen zeigt die Zielrichtung des 10-Gbit/s-Ethernet aber deutlich in Richtung der Metropolitan Area Networks (MAN). Insbesondere werden nur noch Punkt-zu-Punkt-Verbindungen in Vollduplex-Modus untersttzt. Besondere Bedeutung erlangen dabei auch die fr das Ethernet neuen Entfernungskategorien im Bereich von 50 Kilometern. Darber hinaus sehen die gegenwrtigen Entwrfe die unmittelbare Anpassung an bestehende MAN-Strukturen vor, die auf der Basis von SONET/SDH implementiert sind. Wie es sich fr einen neuen Standard gehrt, hat sich mittlerweile eine 10 Gigabit Ethernet Alliance (10GEA, www.10gea.com) gegrndet. Ein erster Entwurf (Draft) des Standards wurde im September 2000 vorgelegt. Der endgltige Standard wird noch im Jahr 2002 erwartet.

1.1.20 10GBase-SX und 10GBase-LX


Im gegenwrtigen Zustand sind zwei typische Ausrichtungen des 10 Gbit-Ethernet vorgesehen, die sich vor allem durch ihre physische Schnittstelle unterscheiden. Der LAN PHY (SX) stellt eine kostengnstige Realisierung dar. Dagegen hat der WAN PHY (LX) groe Entfernungen und die Kompatibilitt zur bestehenden OC-192WAN-Infrastruktur zum Ziel. Fr beide Schnittstellen sind sowohl eine serielle als auch eine vierfach gemultiplexte bertragung vorgesehen. Wichtig ist in diesem Zusammenhang, dass das 10-Gigabit-Ethernet nur die lichtbasierte bertragung vorsieht. Es ergeben sich hieraus jedoch keine Einschrnkungen, da in beiden Anwendungsszenarien (LAN-Backbone und WANEdge-Network) Glasfaser als Medium vorausgesetzt werden kann. Die physische bertragung ber optische Trger stellt im Vergleich zur kupferbasierten bertragung viel geringere Herausforderungen. Dennoch sind einige aus den bisherigen Standards bekannte Verfahren wiederzufinden. Man will damit erreichen, dass mglichst einfache und kostengnstige Glasfaserkabel eingesetzt werden knwebcode: a717 23

Netzwerktechnologien im berblick

nen. Auerdem sollen die aktiven Komponenten mit geringen Frequenzen arbeiten und eine geringe Komplexitt aufweisen. Im Abgleich zwischen den einzelnen Systembestandteilen ist allerdings festzustellen, dass der Fortschritt bei den Halbleitertechnologien und die Skalierung der Bauelemente eine aufwendigere (digitale) Signalverarbeitung eher rechtfertigt als kostenintensive passive bertragungsmedien oder Laser. Zwei Beispiele mgen diese Fortsetzung bekannter Verfahren illustrieren: 1. Die bewhrte 8B/10B-Kodierung wird weiterhin eingesetzt. Um aber insbesondere bei der seriellen bertragung die Bitrate nicht noch weiter nach oben zu treiben, wird nunmehr auch eine 64B/66B-Kodierung eingesetzt. 2. Um eine bertragungsfrequenz zu erreichen, die noch mit gegenwrtig verfgbaren CMOS-Technologien erreicht werden kann, muss wiederum eine Zusammenfassung mehrerer Bits in kombinierte Symbole erfolgen. Hier wurden verschiedene alternative Verfahren geprft, allerdings weist das bereits bekannte PAM5x5 die meisten Vorteile im Zusammenspiel von aktiven und passiven Komponenten auf.

1.1.21 Fazit
Mit der kostengnstigen Verfgbarkeit der verschiedenen Geschwindigkeitsstufen von 10 Mbit/s bis 10 Gbit/s knnte es dem Ethernet-Standard gelingen, endgltig zum vorherrschenden Netzwerkprotokoll zu werden. Dies gilt im Bereich der lokalen Netze sowohl fr die Brokommunikation als auch in zunehmendem Mae fr die Netze in der industriellen Automation. Mittelfristig kann sich Ethernet auch fr regionale Netze (MAN) etablieren, da ein durchgehender Standard ohne Protokollumsetzungen einfacher und preiswerter ist als eine Vielzahl verschiedener Systeme. Der Traum einer homogenen Netzwerklandschaft ist somit nicht ausgetrumt, allerdings unter anderen Vorzeichen, als ihn sich die Entwickler des verbindungsorientierten und zu aufwendigen ATM erhofft haben. Dr. Axel Sikora

tecCHANNEL-Links zum Thema


802.11: Standard fr drahtlose Netze Funknetze nach IEEE 802.11 LAN Starter-Kits Terabits im Internet

Webcode
a680 a620 a619 a509

Compact

24

www.tecChannel.de

Netzwerktechnologien im berblick

1.2 10-Gigabit-Ethernet
Der Groteil der lokalen Netze bauen auf den Ethernet-Standards 10Base-T (10 Mbit/s; IEEE802.3i, 1991) und 100Base-TX (100 Mbit/s; IEEE802.3u, 1995) auf. Inzwischen findet auch zunehmend Gigabit-Ethernet Verwendung. Hier kristallisiert sich neben dem Backbone die Punkt-zu-Punkt-Kopplung von Netzen als typisches Einsatzgebiet heraus. Als relevant erweisen sich dabei die Varianten 1000Base-SX und -LX ber Glasfaser (IEEE802.3z, 1998) sowie 1000Base-T (IEEE802.3ab, 1999) ber Twisted-Pair-Kabel der Kategorie 5.

berblick: Dieses Diagramm zeigt eine Aufstellung aller Ethernet-Standards im IEEE.

Der neue Standard IEEE 802.3ae alias 10-Gigabit-Ethernet steigert die Geschwindigkeit nun noch einmal um eine Grenordnung. Damit sprengt diese Technik nun endgltig den Rahmen des LAN und dringt in den Bereich der Stadt- (MAN) und Weitverkehrsnetze (WAN) vor.

26

www.tecChannel.de

10-Gigabit-Ethernet

1.2.1 10-Gigabit-Ethernet fr LAN und WAN


10-Gigabit-Ethernet bietet gegenber anderen Standards einen entscheidenden Vorteil: Auch sehr ausgedehnte Netzwerk-Topologien lassen sich damit in einer homogenen, auf IP und Ethernet basierenden Technologie realisieren. Damit entfllt eine Protokollumsetzung auf der bertragungsschicht mit all den damit verbundenen Problemen und ntigen Kompromissen. Das erleichtert nicht nur die Kopplung rumlich verteilter LANs. Auch bei der Verbindung von abgesetzten Einwhlpunkten (POPs) berregionaler Internet Service Provider verspricht die neue Technik deutliche Vorteile nicht zuletzt auf der Kostenseite. Damit positioniert sich 10-Gigabit-Ethernet (10GE) nicht nur als potenzieller Ersatz fr die bei niedrigeren Geschwindigkeitsstufen ohnehin bereits deutlich zurckgedrngte ATM-Technik. Es konkurriert zudem mit etwa gleich schnellen WAN-Technologien wie SONET/OC-192 respektive SDH/STM-64.

1.2.2 Anforderungen und Zielsetzungen


Unter den zahlreichen Anforderungen, die bei der Definition von 10-GigabitEthernet eine Rolle spielten, lassen sich vor allem drei wesentliche Zielsetzungen identifizieren: Die neue Technik sollte weit gehend mit den bisherigen Standards kompatibel bleiben, eine hnlich gnstige Kostenstruktur bieten sowie sich mglichst ber bereits vorhandene Schnittstellen und Verkabelungstypen betreiben lassen. Als Schmerzgrenze auf der Kostenseite peilte man einen maximalen Faktor von zwei bis drei gegenber einer Installation mit Gigabit-Ethernet an. Gegenber den fr den WAN-Bereich typischen SONET/SDH-Systemen verspricht dies immer noch eine Kostendmpfung von wenigstens 30 Prozent. Zu dieser Reduktion tragen insbesondere drei Faktoren bei: 10GE behlt die grundlegenden Ethernet-Formate und -Technologien bei. So erfolgt die bertragung beispielsweise weiterhin asynchron, kostengnstige Store-and-Forward-Gerte gengen den Anforderungen des Betriebs. Zudem verkrzt dies die Lernkurve sowohl auf Entwicklungs- und Produktionsseite als auch bei Betrieb und Administration. 10GE beschrnkt sich hinsichtlich der bertragungsmedien auf einige wenige, elementare Qualittsanforderungen. 10GE stellt eine Vielzahl physischer bertragungsprotokolle bereit, die sich kostenoptimiert an die zu berbrckenden Entfernungen anpassen lassen.

webcode: a876

27

Netzwerktechnologien im berblick

1.2.3 Kompatibilitt
Der 10-Gigabit-Ethernet-Standard sollte kompatibel zu einer Vielzahl anderer Standards bleiben, darunter: IEEE802.3-Teilstandards wie 802.1p (Multicast), 802.3q (VLAN) und 802.3ad (Link Aggregation) IETF-Standards wie Simple Network Management Protocol (SNMP), MultiProtocol Label Switching (MPLS) und Remote Monitoring for Ethernet (RMON) Standards aus dem OSI-Umfeld (Open Systems Interconnection). Aus der Anlehnung an bestehende Ethernet-Merkmale ergeben sich Vorteile gegenber Konkurrenztechnologien. So lsst sich etwa durch die Beibehaltung von Format und Lngen der IEEE-802.3-Frames ein gegenber WAN-Techniken beschleunigtes Switching erreichen, da weder eine Anpassung der Frames (Segmentation & Reassembly) noch der Adressen vorgenommen werden muss.

1.2.4 bertragungsmedium Glasfaser


Ob eine bertragung ber kupferbasierte Kabel kommerziell sinnvoll sei, wurde schon bei der Standardisierung von Gigabit-Ethernet kontrovers diskutiert. Zwar konnte man sich nach langwierigen Auseinandersetzungen schlielich doch noch auf 1000Base-T einigen. Es erlaubt bertragungen via Twisted-Pair-Kabel der Kategorie 5 bis zu einer Entfernung von 100 Metern. Bereits zu diesem Zeitpunkt war aber klar, dass die nchste Geschwindigkeitsstufe nur noch unter Nutzung von Glasfaser erreicht werden konnte und sollte. Dementsprechend erlaubt 10Gigabit-Ethernet ausschlielich optische Punkt-zu-Punkt-Verbindungen innerhalb von sternfrmigen Netztopologien. Schon bei der Standardisierung von Gigabit-Ethernet hatte sich zudem gezeigt, dass die Nutzung vorhandener Kabel im LAN-Bereich ein Muss fr den kommerziellen Erfolg eines Netzwerk-Standards ist. In noch viel strkerem Ma gilt dies fr die WAN-Verkabelung, die ja meist im ffentlichen Bereich verlegt ist. Das hat zur Folge, dass Erweiterungen oder Anpassungen mit hohen Kosten verbunden wren. 10GE definiert daher nicht weniger als sieben mgliche physische Schnittstellen fr existierende LAN- und WAN-Verkabelungstypen.

1.2.5 Medienunabhngige Schnittstelle


Die Vielzahl der mglichen physischen Schnittstellen hat vor allem in Hinsicht auf die aktiven Netzwerkkomponenten Konsequenzen: Medienunabhngige Interfaces gewinnen sowohl fr Hersteller als auch Anwender an Bedeutung. Ursprnglich waren solche Interfaces bereits in den ersten Ethernet-Standards vor-

28

www.tecChannel.de

10-Gigabit-Ethernet

gesehen, um eine flexible und kostengnstige Ankopplung der entsprechenden physikalischen Schnittstellen zu erlauben. Die so genannten Attachment Unit Interfaces (AUI) fr 10-Mbit/s-Ethernet beziehungsweise Media Independent Interfaces (MII) fr Fast Ethernet finden heute jedoch kaum noch Verwendung. Mit Ausnahme der LAN-LAN-Kopplung, bei der auf Grund der greren bertragungsdistanzen meist Glasfaser als bertragungsmedium dient, hat sich allgemein das Twisted-Pair-Interface RJ45 durchgesetzt. Entsprechend wurden Modularitt und Flexibilitt lange Zeit als nicht mehr notwendig angesehen. Dies drfte sich mit der Einfhrung von 10GE wieder ndern.

1.2.6 Vollduplex als Standard


Der ursprngliche Ethernet-Standard IEEE 802.3 sieht als physisches bertragungsmedium eine Bustopologie ber Koaxialkabel vor. Dabei steht das physikalische Medium allen Kommunikationspartnern gleichzeitig zur Verfgung (shared medium). Das beschrnkt die Kommunikation auf den Halbduplex-Modus. Die Einfhrung des Twisted-Pair-Kabels als bertragungsmedium erlaubte dann jedoch eine physikalische Trennung von Hin- und Rckkanal und damit eine gleichzeitige Kommunikation in beide Richtungen (Vollduplex). Besonders bei der Verbindung zwischen aktiven Knoten wie Bridges und Switches bringt sie deutliche Vorteile. Die Verbindungsgeschwindigkeit von 10 Gbit/s erscheint momentan nur zwischen aktiven Komponenten sinnvoll. Deshalb und durch die ausschlieliche bertragung via Glasfaser wird bei 10GE der Vollduplex-Modus zur Pflicht. Schon bei der Einfhrung von Gigabit-Ethernet zeigte sich, dass der Halbduplex-Modus in der Praxis keine Rolle spielt. Dies knnte sich zwar mittelfristig im Zuge einer Vernetzung mit Gigabit-to-the-Desktop noch ndern. Fr 10-Gbit/sSysteme erscheint ein solches Szenario jedoch aus heutiger Sicht uerst unwahrscheinlich. Damit markiert 10-Gigabit-Ethernet das Ende der althergebrachten Ethernet-Kollisionsdomnen und deren Medienarbitrierung, die unter dem Krzel CSMA/CD berhmt-berchtigt geworden ist.

1.2.7 IEEE: Arbeitsweise


Die Entwicklung des 10-Gigabit-Ethernet-Standards erfolgt im Rahmen der Standards Association (SA) des US-amerikanischen Berufsverbands der Elektrotechnik- und Elektronik-Ingenieure (IEEE) und folgt dabei einem definierten Ablauf. Nach dem Zusammenschluss von Sponsoren und der formalen Grndung einer Studien- (study group) sowie einer Arbeitsgruppe (working group) beginnt eine Frist von vier Jahren. Innerhalb dieser Zeitspanne muss der Standard verabschiedet sein. Hierzu wird in der Regel eine task force ins Leben gerufen, die den Standard im Detail ausarbeitet.
webcode: a876 29

Netzwerktechnologien im berblick

Standard pur: Selbst der Ablauf der Standardisierung ist beim IEEE standardisiert.

ber diesen Entwurf stimmt zunchst die Arbeitsgruppe ab, anschlieend wird er der Gruppe von Sponsoren vorgelegt (sponsor balloting). Bei einer Wahlbeteiligung von mehr als 75 Prozent der Sponsoren und einer Zustimmungsquote von 75 Prozent gilt der Standard als formal verabschiedet und wird verffentlicht. Den Zeitplan der Schritte fr IEEE802.3ae zeigt die oben stehende Abbildung.

1.2.8 802.3ae: Der Standard


Die Aufteilung des 10-Gigabit-Ethernet-Standards in die Bereiche Logical Link Control (LLC), Medium Access Control (MAC) und physische Schnittstelle entspricht den anderen im Rahmen von IEEE 802.3 gltigen Standards.
Schicht und Unterschicht: Um eine grtmgliche Flexibilitt zu erreichen, sind die OSISchichten weiter unterteilt.

30

www.tecChannel.de

10-Gigabit-Ethernet

Von besonderer praktischer Bedeutung ist dabei, dass der Aufruf des EthernetModuls ber die fr alle Teilstandards der IEEE-802.3-Familie einheitlichen LLC-Schichten erfolgt. Wie auch bei den bisherigen Ethernet-Varianten wurde die Funktionalitt in diverse Unterschichten aufgeteilt, um eine noch grere Modularitt des Aufbaus zu erzielen. Diese stellen wir in den folgenden Abschnitten nher vor.

1.2.9 Der MAC-Layer


Der MAC-Layer erfllt mit dem Aufbau des bertragungsrahmens, der Anpassung der Geschwindigkeitsstufen und dem Zugriff auf tiefer liegende Schichten der physischen bertragung drei Aufgaben von zentraler Bedeutung. Die Struktur der 10GE-Frames entspricht dabei vollstndig jener der anderen Ethernet-Varianten. Dies bedeutet insbesondere, dass: das Adressformat dem gewohnten IEEE-Schema entspricht die Fehlerkorrektur (Frame Checking Sequence FCS) weiterhin auf einem 32 Bit langen CRC beruht so genannte Jumbo-Frames mit bis zu 9000 Bytes gebildet werden knnen die minimale Paketlnge mit 64 Byte jener der 10/100-Mbit/s-Systeme entspricht sowie eine Trennung von Adressrumen im Rahmen virtueller LANs nach IEEE802.1q mglich ist. Die aktiven 10GE-Komponenten dienen nicht ausschlielich der Verbindung mit 10 Gbit/s, sondern koppeln bei Bedarf auch Verkehrsstrme niedrigerer Geschwindigkeit ein und aus. Hier kommt speziell Gigabit-Ethernet in Betracht, aber auch die Ankopplung an SONET-Systeme der OC-192-Ebene ist mglich. Die fast identische Datenrate (9,5884640 Gbit/s) erfordert nur eine geringe Anpassung.

1.2.10 XGMII
Wie die bisherigen Ethernet-Standards spezifiziert auch 802.3ae eine medienunabhngige Schnittstelle zwischen MAC und PHY. Die Leitungsbelegung dieses 10 Gigabit Medium Independent Interface (XGMII das X steht fr das rmische Symbol der Zahl 10) zeigt die unten stehende Tabelle. Das Interface bergibt die Daten parallel ber jeweils 32 Bit breite Busse in Transmit- und Receive-Richtung. Unter Einbeziehung der notwendigen Steuer- und Taktsignale ergibt sich eine Schnittstelle mit 74 Leitungen.

webcode: a876

31

Netzwerktechnologien im berblick

XGMII Leitungsbelegung
Signal XGMII_TX_CLK XGMII_TXD[31:0] XGMII_TXC[3:0] XGMII_RX_CLK XGMII_RXD[31:0] XGMII_RXC[3:0]
DDR = Double Data Rate

Richtung Output Output Output Input Input Input

Beschreibung Takt nach PHY bertragungsdaten nach PHY, DDRSignalisierung Steuerleitungen nach PHY aus den Empfangsdaten regenerierter Takt von PHY Empfangsdaten von PHY, DDR-Signalisierung Steuerleitungen von PHY

1.2.11 XAUI
Eine komplexe externe Schnittstelle wie XGMII verursacht erhebliche Kosten und stellt zudem signifikante Anforderungen an die Synchronisation der parallelen Datenleitungen. Daher definierte die IEEE zustzlich das so genannte XAUI (10 Gigabit Attachment Unit Interface, sprich: ssauwie). Diese vereinfachte Erweiterung der XGMII-Schnittstelle kommt mit nur 16 Leitungen aus. Der selbstgetaktete Bus lehnt sich unmittelbar an den 1000Base-X-Standard an. Die Datenleitungen werden allerdings mit 2,5facher Geschwindigkeit betrieben, also mit einer Datenrate von 2,5 Gbit/s. Auf diese Weise lassen sich 10 Gbit/s ber vier parallele Datenleitungen bertragen. Dazu verwendet XAUI die gleiche robuste 8B/10B-Kodierung wie 1000Base-X. Das Interface erreicht eine hohe elektromagnetische Vertrglichkeit, relativ gute Stabilitt gegen Laufzeitunterschiede und Robustheit gegen bertragungsstrungen. ber die beiden Schnittstellen XGMII und XAUI lassen sich alle im Standard vorgesehenen PHY-Typen ansteuern. Darber hinaus besteht die Mglichkeit, die 4 Bit breite parallele bertragung des XAUI unmittelbar im Rahmen des Substandards 10GBase-LX4 zu nutzen.

1.2.12 Der PHY-Layer


Der PHY-Layer von 10-Gigabit-Ethernet ist in die vier Teilschichten PCS, WIS, PMA und PMD unterteilt. Dabei zeichnet der Physical Coding Sublayer (PCS) fr die Kodierung des zu bertragenden Bitstroms verantwortlich. Physical Medium Attachment (PMA) und Physical Medium Dependent (PMD) sorgen fr die

32

www.tecChannel.de

10-Gigabit-Ethernet

Anbindung an das jeweilige bertragungsmedium. Der WAN Interface Sublayer (WIS) dient bei den Weitverkehrs-Varianten des Standards zur Anpassung an die Datenraten von SONET/SDH-Systemen. Die unten stehende Tabelle zeigt die wichtigsten Parameter der Substandards in Abhngigkeit von der Auswahl des physischen Mediums und des Einsatzbereichs.

10GE-PHY-Standards
Modus WIS Wellenlnge (nm) Medium Kodierung BruttoBitrate (Gbit/s) 10,3 10,3 10,3 4*3,125 9,953 9,953 9,953

LAN-PHY 10Gbase-SR 10GBase-LR 10GBase-ER 10GBase-LX4 WAN-PHY 10GBase-SW 10GBase-LW 10GBase-EW serial serial serial ja ja ja 850 1310 1310 MMF SMF SMF 64B/66B 64B/66B 64B/66B serial serial serial WWDM nein nein nein nein 850 1310 1550 1310 MMF SMF SMF MMF 64B/66B 64B/66B 64B/66B 8B/10B

WIS=WAN Interface Sublayer; MMF=Multimode Fiber; SMF=Single Mode Fiber

1.2.13 LAN-PHY vs. WAN-PHY


Bei den PHYs lassen sich zwei Ausprgungen unterscheiden: Das LAN-PHY dient der unmittelbaren Erhhung der Bandbreite fr reine Ethernet-Systeme. Dabei erfolgt der Betrieb ber passive Glasfaser-Strecken (dark fiber). Die Teilstandards des LAN-PHY lassen sich an dem Krzel R im Namen erkennen. Das WAN-PHY koppelt dagegen Ethernet- und SONET/SDH-Systeme. Nach den Vorstellungen der 10GE-Architekten stellt diese Variante lediglich eine Migrationslsung auf dem Weg zum reinen, globalen Ethernet dar. Von der LAN-Variante unterscheidet sich das WAN-PHY lediglich durch den zustzlichen WAN Interface Sublayer (WIS), der einen vereinfachten SONET/SDH-Framer darstellt. Die WAN-PHY-Substandards tragen das Krzel W im Namen. LAN- und WAN-PHY werden ber identische PMD-Layer betrieben und erreichen somit die gleichen Entfernungen. Die Unterscheidung bezieht sich hier also nicht auf die bertragungsdistanz, sondern signalisiert lediglich, ob bestehende WAN-Infrastruktur genutzt wird oder nicht. Tatschlich wurde im Zuge der Standardisierung heftig diskutiert, ob die Unterscheidung nach WAN- und LAN-PHY Auswirkungen auf erreichbare Distanzen (short-haul/long-haul) haben msse. Letzten Endes entschied man sich aber gegen eine Anpassung der Entfernungen.
webcode: a876 33

Netzwerktechnologien im berblick

Generell war und bleibt die Aufteilung nach WAN- und LAN-PHY umstritten, die Entwicklung eines vereinheitlichten physischen Moduls (Unified PHY) scheint immer noch nicht endgltig vom Tisch.

1.2.14 Physical Coding Sublayer


Angesichts der diversen Ethernet-Standards kamen bereits etliche Kodierungstechniken zum Einsatz. Diese reichen vom bandbreitenintensiven ManchesterVerfahren bei 10Base-T bis zur kompakten Trellis-Kodierung von 1000Base-T. Auch bei der Definition des 10-Gigabit-Ethernet-Standards sorgte dieses Thema wieder fr Diskussionen. Generell hngt die Anwendbarkeit spezifischer Kodierungsverfahren zum einen von der verfgbaren Bandbreite und zum anderen von den Anforderungen an die Bitfehlerrate ab. Dabei unterscheiden sich die einzelnen Techniken im Wesentlichen durch das Verhltnis der Anzahl der Informationsbits zu den bertragenen Bits. Je mehr Bits pro Informationsbit bertragen werden, um so besser lsst sich ein Gleichtaktanteil vermeiden und eine Synchronisation des Empfngers erreichen. Die bertragung redundanter Bits ermglicht eine zustzliche Fehlererkennung oder -korrektur. Je mehr Bits bertragen werden, um so grer gestalten sich aber auch die Anforderungen an die Bandbreite des bertragungsmediums. Fr 10-Gigabit-Ethernet whlte IEEE zwei verschiedene Kodierungsverfahren aus. Bei 10GBase-LX4 kommt die 8B/10B-Kodierung zum Einsatz, die je Byte 10 Bits bertrgt. Bei vier parallelen Datenstrmen mit einer Nutzdatenrate von je 2,5 Gbit/s betrgt die Bruttodatenrate entsprechend 3,125 Gbit/s auf jedem Kanal oder insgesamt 12,5 Gbit/s. Fr die seriellen bertragungsvarianten erschien ein derartig hoher Overhead als nicht praktikabel. Deshalb kommt dort eine 64B/ 66B-Kodierung zum Zug, die 64 Informationsbits mit 66 zu bertragenden Bits kodiert. Die bentigte Bandbreite liegt also nur rund drei Prozent ber der Nutzdatenrate.

1.2.15 WIS WAN Interface Sublayer


Der WIS-Sublayer wird nur in den WAN-PHYs implementiert. Er bernimmt die Formatierung (Framing) der Daten und die Bereitstellung der ManagementInformationen fr die SONET/SDH-Systeme. Dabei besorgt er im Wesentlichen das Umpacken der Datenpakete zwischen dem SONET- (16-Bit-Worte) und dem 10GE-Format (66-Bit-Worte).

34

www.tecChannel.de

10-Gigabit-Ethernet

1.2.16 PMD/PMA
Bei den Festlegungen der physischen Schnittstellen fr 10-Gigabit-Ethernet musste eine Vielzahl von Kompromissen eingegangen werden. Entsprechend waren lange Zeit noch verschiedenste Realisierungen im Gesprch. Vor dem Hintergrund knftiger technischer und kommerzieller Entwicklungen galt es zu entscheiden, ob mehr Aufwand bei der Realisierung der Laserstrecke oder bei der digitalen Signalverarbeitung zu treiben ist. Entsprechend fallen bei einer einfacheren Laserstre Fehlererkennung und -korrektur aufwendiger aus. Dennoch whlte man schlielich diese Variante mit gutem Grund: Die zur digitalen Signalverarbeitung eingesetzten CMOS-Schaltkreise lassen sich skalieren, was zuknftig Kostenvorteile verspricht. Die Lasertechnik bietet diese Mglichkeit nicht. Dennoch war ursprnglich auch ein Multi-Level Analog Signaling (MAS) im Gesprch, wie es hnlich bei 1000Base-T mit fnf mglichen bertragungspegeln zum Einsatz kommt. Allerdings konnte sich der Vorschlag nicht durchsetzen. Die jetzt festgelegten Realisierungen prgt vor allem das Bestreben, vorhandene Glasfasermedien mglichst unverndert zu nutzen. Dafr stehen sowohl Wavelength Division Multiplexing als auch serielle bertragungsmechanismen zur Verfgung.

1.2.17 Physical Medium Dependent


Zur bertragung via Glasfaser verwendet 10-Gigabit-Ethernet die drei gngigen optischen Fenster bei 850, 1310 beziehungsweise 1550 Nanometer. Als Kosten sparende Variante bietet sich die bertragung bei 850 nm (Abkrzung S) an. Hier kommt nicht nur die relativ preiswerte Multimode-Fiber, sondern auch ein kostengnstiger Laser des VCSEL-Typs (Vertical Cavity Surface-Emitting Laser) zum Einsatz. Er bietet den Vorteil, sich ohne zustzliche Khlung betreiben zu lassen. Allerdings erreicht er mit etwa 0,35 mW nur eine mige Leistung. Im Zusammenspiel mit der relativ groen Dmpfung auf der Faser (rund 3,5 dB/km) knnen nur Entfernungen bis 300 m berbrckt werden. Bei einer Wellenlnge von 1310 nm (Abkrzung L) kann die bertragung sowohl via Multimode- (MMF) als auch ber Single-Mode-Fiber (SMF) erfolgen. In der MMF-Variante kommt ein Fabry-Perot-Laser zum Einsatz, die SMFSpielart operiert mittels eines Distributed-Feedback-Lasers. Beide Typen erzielen Leistungen im Bereich von rund 6 mW. Damit lassen sich in Kombination mit der geringeren SMF-Dmpfung von 0,5 dB/km bertragungsdistanzen bis 15 km erreichen. hnliche Lasertypen arbeiten in der 1550-nm-Variante (Abkrzung E). Sie kommen auch in SONET/SDH-Systemen zur Anwendung. Die Leistung liegt mit etwa 10 mW noch einmal deutlich hher. Dafr gilt es jedoch, eine grere

webcode: a876

35

Netzwerktechnologien im berblick

Dispersion in Kauf zu nehmen oder alternativ spezielle und damit teure Medien (Dispersion Shifted Fiber DSF) einzusetzen. Entfernungen von 50 km und mehr werden hier berbrckt.

1.2.18 10GE vs. SONET/SDH


Die 10 Gigabit Ethernet Task Force hat eine optionale Schnittstelle definiert, die sich an die Datenraten und Protokolle des SONET OC-192 respektive SDH STM64 anlehnt. SDH, die synchrone digitale Hierarchie, stellt die grundlegende Infrastruktur auf der Backbone-Ebene moderner Telekommunikationsnetze dar. SDH implementiert ein Time Division Multiplexing (TDM) ber serielle Leitungen. Sein Name leitet sich von der Tatsache ab, dass es alle Stationen auf ein Taktnormal synchronisiert. Dieses wird normalerweise unmittelbar von einer Atomuhr (Stratum Clock) abgeleitet. Daraus ergeben sich sehr hohe Anforderungen bezglich Jitter und Takt-Synchronizitt. 10-Gigabit-Ethernet dagegen stellt ein asynchrones bertragungsprotokoll dar, bei dem die Timing- und die Synchronisationsbedingungen jeweils nur fr ein bertragenes Zeichen gelten. Jede aktive Komponente darf eine unabhngige Synchronisation vornehmen. Die Kopplung der verschiedenen Taktdomnen erfolgt dabei ber Store-and-Forward-Gerte wie Brcken, Router oder Repeater. Auf diese Weise lassen sich 10-Gigabit-Ethernet-Komponenten zur physischen bertragung mit geringeren Kosten implementieren als ihre SDH-Gegenstcke.

1.2.19 Transportverfahren
Auch bisher wurden Ethernet- und IP-Pakete schon ber SONET/SDH-Systeme transportiert. Dazu kommt die so genannte paketorientierte bertragung ber SONET/SDH-Systeme (Packet-over-SONET/SDH POS) zum Einsatz, bei der die Frames in POS-Pakete verpackt werden. Als Protokolle dienen hier unter anderem High-Level Data Link Layer Control (HDLC) sowie das Point-to-Point Protocol (PPP). Um eine unmittelbare Ankopplung der Ethernet-Netzwerke zu erreichen, die die zur Verfgung stehende Bandbreite besser nutzt, hat IEEE das WAN-PHY definiert. Damit knnen paketbasierte IP/Ethernet-Switches auch die SONET/SDHInfrastruktur verwenden. Sie setzen diese fr die physische bertragung auf der Ebene 1 ein, fallen dabei jedoch unkomplizierter und vor allem preiswerter aus als reine SDH-Komponenten. Allerdings lassen sich 10GE-Komponenten nicht unmittelbar an die SONET/SDH-Infrastruktur ankoppeln, sondern nur mit aktiven Komponenten der Ebene 1 (Line Terminal Equipment LTE) verbinden.

36

www.tecChannel.de

10-Gigabit-Ethernet

1.2.20 Datenrate und Management


Die Anpassung der Datenrate erfolgt durch einen Kunstgriff. Bei einem Anschluss an ein WAN-PHY fgt der MAC-Layer zustzliche Zeichen zwischen den Ethernet-Paketen ein (Inter-Packet Gap IPG). Diese Idle Characters sorgen bei reduzierter Nettodatenrate fr eine Bruttodatenrate von 10 Gbit/s. Die Zahl der Bytes in den IPGs ist dabei proportional zur Lnge des vorangegangenen Pakets. Bei der 64B/66B-Kodierung werden die zustzlichen Bytes entfernt, so dass nur die an SONET /SDH angepasste Nettodatenrate bertragen werden muss. Das reduziert den Durchsatz auf Systemseite um etwa ein Prozent. Um ein durchgngiges Netzwerkmanagement im WAN zu gewhrleisten, ist jedoch nicht nur die Datenrate anzupassen. Daneben muss die WAN-PHY der 10GE-Komponenten auch die ntigen SONET/SDH-Management-Informationen bereitstellen. Diese Aufgabe bernimmt der WAN Interface Sublayer (WIS), der zudem das Umpacken der Frames zwischen den SONET/SDH- und Ethernet-Formaten besorgt. In reinen Ethernets findet dagegen blicherweise das viel einfachere SNMP Verwendung.

1.2.21 Anwendungsbeispiel
Mit den beschriebenen Mechanismen lsst sich das Ethernet-LAN logisch auf die WAN-Infrastruktur ausweiten. Die unten stehende Abbildung zeigt einen Aufbau, bei dem paketorientierter Verkehr mittels eines 10-Gigabit-Ethernet-Routers mit WAN-PHYs via SONET/SDH bertragen wird.
10GE via SONET/SDH: In dieser Beispielkonfiguration wird paketorientierter Datenverkehr mittels 10GE-Router ber SONET bertragen.

webcode: a876

37

Netzwerktechnologien im berblick

Die in den Router A eingespeisten Pakete bergibt die IP-Schicht des Routers zunchst an den 10-Gigabit-Ethernet-Controller. Dort stellt der MAC-Layer Ethernet-Frames zusammen und bergibt sie an den PCS-Sublayer zur 64B/66B-Kodierung. Die resultierenden 66-Bit-Worte wandern als ein logisch kontinuierlicher Datenstrom weiter in den WIS-Sublayer. Er bergibt seinerseits die Pakete als 16-Bit-Worte an den PMD-Sublayer. Nun kann die optische bertragung mittels eines SONET/SDH-konformen LTEs erfolgen. Das LTE gleicht die Datenbits fr die synchrone SONET/SDH-bertragung ab. Dazu puffert es die Bits in einem Jitter Elimination Buffer. Zudem stellt das LTE noch die Managementinformationen zusammen und speist dann den Datenstrom in das SONET/SDH-Netz ein. Auf der Empfngerseite bernimmt das dortige LTE den Datenstrom und verarbeitet zuerst die Management-Informationen. Da das Timing des synchronen SONET/SDH-Netzes hheren Anforderungen gengt als das asynchrone 10-Gigabit-Ethernet, kann das Empfnger-LTE auf eine Synchronisation verzichten. Es bergibt die Daten direkt an den PMD-Sublayer des Routers B, der die optischen Signale in elektrische umsetzt. Diese wandern als 16-Bit-Worte zum WIS-Sublayer, der die Management-Information berprft und speichert. Anschlieend liefert er 66-Bit-Worte an den PCS, der die Dekodierung vornimmt und den MAC-Layer aufruft. Dieser berprft die CRC-Bits. Falls sie keine fehlerhafte bertragung signalisieren, packt der MAC-Layer die Ethernet-Frames aus und bergibt das Paket zu guter Letzt der IP-Schicht des Routers B.

1.2.22 Ausblick
Die im Bereich der frhen 10-Gigabit-Ethernet-Aktivitten engagierten Firmen haben sich in der 10 Gigabit Ethernet Alliance (www.10gea.org) zusammengeschlossen. Ausgehend von den Grndungsmitgliedern 3Com, Cisco, Extreme Networks, Intel, Nortel, Sun und World Wide Packets organisieren sich dort etwa 100 Firmen aus allen Bereichen von der Lasertechnik bis zum Systemhersteller. Bei der Betrachtung der Produkte lsst sich allenthalben feststellen, dass die Beschreibung des IEEE-802.3ae-Standards sinnvoll auf eine praktische Integration ausgerichtet ist. Die Hersteller der PHY implementieren die Datenstrme bis zu 2,5 Gbit/s durchgngig mittels kostengnstiger CMOS-Technologien. Dabei stellt die Realisierung in der momentan zur Verfgung stehenden 180-nm-Technologie zwar hohe, aber nicht unmgliche Anforderungen an den Chipentwurf. Eine Reihe von Firmen hat ausgehend von frhen Prototypen bereits erste Produkte angekndigt. Dazu zhlen unter anderem Cisco mit 10GE-Modulen respektive Line-Cards fr Catalyst-6500-Switches und Router der 7600-Serie sowie Enterasys mit 10-Gigabit-Erweiterungsmodulen fr die Matrix-E1-Switch-Familie. Bei Kosten von beispielsweise 80.000 US-Dollar bei Cisco drften zu den ersten 10-Gigabit-Ethernet-Kunden wohl vor allem MAN- und WAN-Carrier gehren. Dr. Axel Sikora

38

www.tecChannel.de

10-Gigabit-Ethernet

tecCHANNEL-Links zum Thema


Ethernet-Grundlagen Terabits im Internet 802.11: Standard fr drahtlose Netze Wireless LANs im berblick So funktionieren TCP/IP und IPv6 Firewall-Grundlagen

Webcode
a717 a509 a680 a750 a209 a682

Compact
S.10 S.52 S.40 S.76

webcode: a876

39

Netzwerktechnologien im berblick

1.3 Wireless LANs im berblick


Zu viele Standards fr Funknetzwerke buhlen um die Gunst der Kunden. Wer sich jetzt entscheidet, landet schnell in der Sackgasse. Wir nennen Ihnen die spezifischen Vor- und Nachteile aktueller WLANs. Die drahtlose bertragung von Datensignalen wird schon seit vielen Jahren diskutiert. Jetzt gewinnt der Markt an Dynamik, allerorts werden neue Produkte vorgestellt. Besonders Pocket-Gerte fr Sprach- und Datenverarbeitung profitieren von der drahtlosen bertragung.

1.3.1 Vorteile von WLANs


Aber auch fr stationre Einrichtungen bieten Funknetzwerke Vorteile: Keine lokalen Kabel: Das Kabelgewirr auf dem Schreibtisch entfllt. Keine Stecker: Die Problematik mit inkompatiblen Steckern ist entschrft. Keine Kabelverbindungen im Bro: Je nach der Ebene der Netzwerk-hierarchie, die mit Hilfe der drahtlosen bertragung abgedeckt wird, kann die kostenintensive Kabelinstallation in Brogebuden oder in privaten Wohngebuden vermieden werden. Ad-hoc-Networking: Potenzielle Partner werden aktiv gesucht, das bertragungs- und Anwendungsprotokoll werden automatisch ausgehandelt. Mobilitt: Je nach Charakteristik der drahtlosen bertragung lassen sich die Gerte auch mobil einsetzen. Die Gre der Funkzellen und die Ankopplung an andere Systeme ist dabei abhngig vom gewhlten System.

1.3.2 Nachteile von WLANs


All diese attraktiven Punkte sollten allerdings nicht zu blauugigem Enthusiasmus verleiten, da es auch einige Nachteile gibt. Kosten pro Bandbreite: Trotz der positiven Kostenentwicklung ist die Bandbreite noch deutlich teurer als bei vergleichbaren drahtgebundenen Systemen. Verfgbare Bandbreite: Die verfgbare Bandbreite ist auch bei hheren Kosten in vielen Fllen geringer als bei den drahtgebundenen Systemen. Reichweite: Die Reichweite der drahtlosen Systeme ist in vielen Fllen empfindlich beschrnkt, so dass die erhoffte Funktionalitt nicht oder nur mit Abstrichen zu erreichen ist. Investitionssicherheit: Gegenwrtig ist eine Vielzahl von Lsungen auf dem Markt verfgbar, wobei nur in wenigen Fllen der mittelfristige Markterfolg gesichert ist. Vor dem Hintergrund der Investitionssicherheit fhrt diese Situation hufig zu einer Verschiebung der Investitionsentscheidung.
40 www.tecChannel.de

Wireless LANs im berblick

Mit intelligenten Lsungen ist es mglich, zahlreiche der attraktiven Eigenschaften drahtloser Technologien in drahtgebundenen Systemen umzusetzen. Dies gilt vor allem, wenn diese Dienste auf den oberen Protokollebenen unabhngig von der physischen bertragungsstrecke stattfinden. Da die Hersteller der drahtlosen Kommunikationssysteme neue Mglichkeiten zum ersten Mal konsequent und einigermaen konsistent umsetzen, werden diese flschlicherweise mit WLANs gleichgesetzt.

1.3.3 Vielzahl von Lsungen


Die Akzeptanz von WLANs wird gegenwrtig durch die Vielzahl von Lsungen und die hheren Knotenkosten gebremst. Die hohe Anzahl konkurrierender Lsungen steht in frappierendem Kontrast zu drahtgebundenen LANs. Dort dominiert der Ethernet-Standard. Der Wireless-Markt befindet sich noch in der Einfhrungsphase, fr die nchsten Jahre sind allerdings immense Wachstumsraten prognostiziert. Deshalb versuchen viele Hersteller, sich durch besondere Merkmale eine aussichtsreiche Startposition zu verschaffen. Allerdings ist praktisch allen Herstellern klar, dass eine proprietre Entwicklung keine Aussicht auf Erfolg hat. Zum einen wre die Akzeptanz am Markt wegen der verlangten Interoperabilitt mit anderen Gerten viel zu gering. Zum anderen wren die Entwicklungs- und Marketingkosten extrem hoch. Aus diesen Grnden herrscht im Wireless-Bereich ein wahrer Konsortienboom. Diese so genannten Non-Profit-Organisationen sollen mithelfen, die Produktentwicklungen zu koordinieren und die Marketingarbeit bergreifend zu gestalten. Beinahe alle groen Halbleiter-, System und Software-Hersteller arbeiten aber in mehr als einem Konsortium mit. Dafr gibt es drei Grnde: Zum Ersten sind die groen Hersteller mittlerweile so diversifiziert, dass das Engagement in den unterschiedlichen Konsortien zum Teil auf unterschiedliche Unternehmensbereiche zurckgeht. Zum Zweiten ist der Wireless-Markt noch so unbersichtlich, dass der Markterfolg einer Technologie unsicher ist. Deswegen erscheint es vielen Herstellern sinnvoll, mehr als auf ein Pferd zu setzen. Zum Dritten knnen die Anwendungen der verschiedenen Protokolle unterschiedlich sein und disjunkte Zielmrkte ins Auge gefasst werden.

1.3.4 Proprietre Lsungen


Dies soll aber nicht bedeuten, dass es keine firmenspezifischen Produkte gbe. Dabei handelt es sich jedoch in der Regel um proprietre Erweiterungen bestehender Systeme. Diese Anstze lassen sich auf drei Sachverhalte zurckfhren:

webcode: a750

41

Netzwerktechnologien im berblick

Die Schnelligkeit des Marktes zwingt die Hersteller, ihr Produkt auch unter dem Risiko, dass es nicht vollstndig standardkonform ist, so frh wie mglich zu entwickeln. Wireless-Produkte stellen zum gegenwrtigen Zeitpunkt sehr hohe Anforderungen an den Schaltungs- und Systementwurf. Deshalb beruhen leistungsfhige Systeme der ersten Generation meist auf firmenspezifischen Eigenentwicklungen. Mangelnde Interoperabilitt mit anderen Gerten ist kein echter Nachteil fr den Hersteller. Dadurch werden Kufer zu Folgeinvestitionen gezwungen. Fr die Hersteller standardisierter Kommunikationsprodukte besteht praktisch keinerlei Mglichkeit, sich im Rahmen der eigentlichen Transportfunktionalitt zu differenzieren. Die Produkte knnen nur ber ihre zustzlichen Dienste einen vermeintlichen Mehrwert erreichen. Dabei spielt die Netzwerkadministration eine zentrale Rolle. Gerade dies schrnkt aber die Interoperabilitt wesentlich ein. Ein leistungsfhiger Standard wie etwa IEEE802.11 fr Datenraten bis 11 Mbit/s ist in der Lage, Anbieter nicht standardisierter Produkte aus dem Markt zu treiben. Beispielsweise hat Radiolan, ein frher Anbieter schneller, aber proprietrer Systeme, Konkurs angemeldet. Auch Proxim war frh mit proprietren Produkten auf dem Wireless-Markt. Nach langer Verzgerung hat die Firma einen mehr oder weniger gelungenen Migrationspfad zu standardkonformen 802.11b-Produkten aufgelegt.

1.3.5 Anwendungsszenarien und Netzwerkebenen


Bei drahtlosen Systemen gibt es im Wesentlichen drei Anwendungsbereiche: PAN, LAN und die Koppelung von Netzwerken. Unter dem vergleichsweise neuen Begriff des Personal Area Network (PAN) fasst man die Kommunikation von Gerten eines oder einiger weniger Nutzer im Umkreis von etwa zehn Metern zusammen. Hierbei sind drei Szenarien zu unterscheiden: Die Kopplung von Peripheriegerten wie Drucker, Handy, Organizer oder Digitalkamera mit einem PC zur Datenbertragung oder zum Datenabgleich. Die Kopplung von externen Bediengerten mit der Dienste-Plattform. Typisches Beispiel ist der von Ericsson bereits sehr frh vorgestellte Headset fr Handys auf Bluetooth-Basis. Die Kopplung von mehreren PCs zur Datenbertragung. Diese Architektur stellt einen unmittelbaren Grenzfall zu den klassischen LANs dar. Bei PANs stehen die kommunizierenden Gerte normalerweise in unmittelbarer Nachbarschaft. Die meisten Anwendungen kommen mit moderaten Bandbreiten aus. Fr PAN-Anwendungen mssen die Funkmodule sehr preiswert sein. Nur so lassen sie sich auch in einfachen und kostengnstigen Gerten implementieren und erreichen die erforderliche Akzeptanz.

42

www.tecChannel.de

Wireless LANs im berblick

1.3.6 Anwendungsszenarien Verkehrstypen


Die Anforderungen an ein Netzwerk mssen nach den unterschiedlichen Verkehrstypen klassifiziert werden. Dabei unterscheidet sich vor allem die bertragung von Sprache und Daten. Hier zeigt sich deutlich, dass den drahtlosen Netzen etwas zugemutet wird, was mit drahtgebundenen Netzwerken bislang nicht oder nur unzureichend umgesetzt werden kann. Die Probleme der Sprachbertragung ber ein Ethernet-IP-Netz sind allenthalben bekannt. Die Dienstgte eines Netzwerks auf der Netzwerkebene wird im Wesentlichen von den vier Parametern Datenbertragungsrate, Verzgerungszeit (Latenzzeit), Varianz der Verzgerungszeit (Jitter) und Verlustrate bestimmt. Dabei wird den besonderen Qualittsanforderungen der unterschiedlichen Verkehrstypen bei vielen Protokollen bereits Rechnung getragen.
A n s p r u c h svo l l : Verschiedene Verkehrstypen stellen unterschiedliche Anforderungen an die Datentransferrate, Verzgerung und Verlustrate.

Bei der Nutzung fr reine Datenanwendungen (klassischer Dateientransfer) werden fr kurze und mittlere Zeiten hohe Datenraten bentigt. In Bezug auf eventuelle Verzgerungszeiten ist jedoch lediglich wichtig, dass der gesamte Vorgang in einer annehmbaren Zeitspanne abgeschlossen wird. Datenverlust ist keinesfalls akzeptabel. Fr die bertragung von Sprache sind geringe Bandbreiten erforderlich. Allerdings stellt sie hohe Anforderungen in Bezug auf die Latenzzeit der bertragung und die Varianz der Latenzzeit. Antworten des Gesprchspartners sollten ohne merkliche Verzgerung ankommen. Dies kann im Allgemeinen nur durch die Reservierung von vorgegebenen Kanlen befriedigt werden. Andererseits leidet die Verstndlichkeit nur wenig, wenn einzelne Bits whrend der bertragung verloren gehen. Multimedia-Daten als Kombination von Bewegtbild und

webcode: a750

43

Netzwerktechnologien im berblick

Ton, wie sie etwa bei der bertragung von Filmen auftritt, stellen wiederum andere Anforderungen: hohe Bandbreiten bei einer geringen Varianz der Latenzzeit. Die Gre der Latenzzeit hingegen erscheint zweitrangig. Die Verlustrate ist bis zu einem gewissen Mae unkritisch, da das Auge fehlende oder fehlerhafte Bildpunkte ergnzen kann.

1.3.7 Standards fr mobile Netze


Von den am Markt verfgbaren Produkten sind folgende Kandidaten relevant: Bluetooth DECT IEEE802.11b IEEE802.11a HiperLAN und HomeRF. Die Infrarot-Aktivitten mssen beim Blick in die Zukunft auen vor gelassen werden. Trotz der kostengnstigen Hardware, der groen Verbreitung und der Verankerung in den bestehenden Betriebssystemen von Notebooks, PDAs und Handys sieht deren Zukunft dster aus. Vor allem die notwendige Ausrichtung der sendenden und empfangenden Gerte ist fr die Vernetzung von mehr als zwei Stationen sehr lstig. Die aufgelisteten Kandidaten sollen hier kurz und in Bezug auf ihre Anwendungspotenziale dargestellt werden.
Eckwerte: Die Datenrate und die Reichweite von drahtlosen Netzwerkstandards.

44

www.tecChannel.de

Wireless LANs im berblick

Die Abbildung zeigt, dass die bestehenden Standards ein sehr weites Feld an Datenraten und Entfernungen abdecken und einige Standards sich berlappen. In der Darstellung sind jedoch zwei Einschrnkungen zu bercksichtigen: Bei den Datenraten handelt es sich um die Brutto-Datenraten der physischen bertragung. In den meisten Fllen stehen dem Benutzer davon nur 25 bis 50 Prozent effektiv zur Verfgung. Je nach den Randbedingungen kann der Anteil noch geringer sein. In der Praxis erreichen die Systeme die spezifizierten Reichweiten nicht. Durch den Einsatz von Antennen mit Richtcharakteristik kann die Reichweite aber wesentlich gesteigert werden. Hierdurch verringern sich jedoch bei hheren Kosten der Komfort und die Benutzerfreundlichkeit.

1.3.8 Bluetooth-Standard
Jenseits aller technischen Diskussionen muss man den Bluetooth-Aktivisten bescheinigen, dass sie die mit Abstand beste und effizienteste Marketing-Kampagne angestoen haben. Die Bluetooth Special Interest Group (BSIG) wurde erst Anfang 1998 von fnf Firmen (IBM, Toshiba, Intel, Ericsson und Nokia) gegrndet. Bereits kurze Zeit spter wurde der Standard bereits verabschiedet.
Stromsparer: Ein Bluetooth-Modul kann mehrere B e t r i e b s z u s t nde einnehmen. Da kein stetiger Datentransfer erfolgt, sind aus Grnden des Stromsparens besonders die Lowpower-Zustnde wichtig.

Die Technologie konnte durch eine geschickte Kombination von leeren Gehusen, Mechanical Samples und potenziellen Zielanwendungen schon frh eine sehr hohe Aufmerksamkeit auf sich ziehen, von der schlielich alle Funknetztechnologien profitierten.
webcode: a750 45

Netzwerktechnologien im berblick

Die wichtigsten Eigenschaften des Bluetooth-Standards sind: Frequenzbereich: Bluetooth wird im 2,4-GHz-ISM-Band betrieben. Modulationsverfahren: Um in diesem lizenz- und genehmigungsfreien Frequenzbereich eine zuverlssige bertragung zu erreichen, setzt Bluetooth ein Frequenzsprungverfahren (Frequency Hopping) ein. Hierbei wird die Trgerfrequenz alle 625 s nach einem zwischen Sender und Empfnger vereinbarten Ablauf gewechselt. Reichweiten: Die Reichweite der Bluetooth-Systeme ist ohne Richtantenne auf etwa 10 Meter beschrnkt. In Zukunft sollen auch nachgeschaltete Leistungsverstrker erhltlich sein. Sie steigern die Ausgangsleistung von 1 mW auf 100 mW. Damit sind Reichweiten bis zu 100 Meter mglich. Datenraten und Verkehrstypen: Bluetooth untersttzt sowohl synchrone als auch asynchrone bertragungsmodi. Somit ermglicht Bluetooth eine Sprachbertragung mit einer Bandbreite von 64 Mbit/s in beide bertragungsrichtungen und auch die Datenbertragung mit einer Bandbreite von 865,2 Mbit/s. Dienste: Der Bluetooth-Standard definiert nicht nur die beiden untersten Ebenen des Protokollstapels, sondern auch Dienste, die auf den hheren Schichten beschrieben werden. Auf diese Weise kann Bluetooth so genannte Ad-hocNetzwerke komfortabel untersttzen. Die Zielausrichtung von Bluetooth liegt wegen der genannten Kenndaten eindeutig im Bereich der Personal Area Networks (PAN). Ein Betrieb von leistungsfhigen Netzwerken ist auf Grund der geringen Datenraten und der beschrnkten Netzwerktopologien sicher nicht mglich.

1.3.9 DECT-Standard
Im Jahr 1992 hat das Europische Standardisierungsinstitut fr Telekommunikation (ETSI, www.etsi.org) den DECT-Standard ETS 300 175 fr Digital European Cordless Telecommunications festgelegt. Dieser Standard ist im Haus- und Firmenbereich sehr stark verbreitet. Mittlerweile sind etwa 300 Millionen DECT-basierte Systeme weltweit installiert. Die technischen Eckdaten sind: Frequenzbereich: DECT wird in den meisten Lndern in einem speziell freigegebenen Frequenzbereich betrieben. Dieser liegt in Europa zwischen 1880 und 1900 MHz. Auf anderen Kontinenten kommen teilweise auch andere Frequenzbereiche von 1,5 GHz bis 3,6 GHz zum Einsatz. Modulationsverfahren: Die Verteilung der Frequenzen fr die verschiedenen Kanle innerhalb dieses Frequenzbands folgt einem MC/TDMA/TDD-Algorithmus. Der Algorithmus zur Kanalzuweisung lsst sich dynamisch verndern. Dadurch steigt die Strfestigkeit deutlich an.

46

www.tecChannel.de

Wireless LANs im berblick

Reichweiten: Die Reichweite der DECT-Systeme ist in Gebuden auf etwa 50 m beschrnkt. Im Freien sind bis zu 300 Meter mglich. Da eine relativ hohe Ausgangsleistung von 250 mW erlaubt ist, kann die Reichweite in Verbindung mit einer Richtantenne bis zu 3 km betragen. Datenraten und Verkehrstypen: DECT untersttzt in seiner grundlegenden Spezifikation die synchrone und symmetrische bertragung von Sprache. Eine Ergnzung liefert wichtige Dienste fr die paketorientierte Datenbertragung. Unter Ausnutzung aller Kanle stehen maximal 20 Mbit/s Datentransferrate zur Verfgung. Dienste: Um zu den Datendiensten auch zustzliche Mehrwertdienste anbieten zu knnen, wurde in einem weiteren Schritt das DECT Multimedia Access Profile spezifiziert. Es basiert auf bereits existierenden Standards wie GAP und DPRS, schliet aber auch zustzliche Dienste wie Direct Link Access (DLA) fr Ad-hoc-Netzwerkverbindungen ein. DECT ist im Netzwerkbetrieb auf Grund der limitierten Datenraten nicht effizient. Deswegen kann DECT vor allen Dingen als eine weitere PAN-Technologie angesehen werden. DECT besitzt sehr leistungsfhige Mechanismen zur Kanalberwachung und -verwaltung, die fr ein PAN nicht notwendig sind. So besteht die Mglichkeit, ohne Verbindungsunterbrechung von einer Zelle in die benachbarte zu wechseln. Diese Mglichkeiten verteuern DECT-Produkte unntig. Dennoch stellen insbesondere deutsche Firmen interessante Produkte vor. Weitere Details ber DECT lesen Sie online bei www.tecChannel.de im Beitrag DECT: Die Alternative zu Bluetooth (webcode: a511).

1.3.10 IEEE802.11-Standard
Die Standardisierungsvereinigung des US-amerikanischen Ingenieurverbands IEEE (www.ieee.org) hat mit IEEE802.11 ein drahtloses bertragungsprokoll spezifiziert, das dem allgegenwrtigen Ethernet hnelt. Die Wireless LAN Association (WLANA, www.wlana.com) soll die Verbreitung des Standards durch Marketing- und Informationsaktivitten untersttzen. Die Wireless Ethernet Compatibility Alliance (WECA, www.wi-fi.com) zertifiziert die Interoperabilitt der 802.11-kompatiblen Gerte. In diesem Zusammenhang werden die Gerte nach IEEE802.11 auch unter dem Markennamen Wi-Fi (Wireless Fidelity) vermarktet.

webcode: a750

47

Netzwerktechnologien im berblick

IEEE802-Familie im Schichtenmodell: Die wichtigsten Standards und ihre wechselseitigen Beziehungen.

Neben dem ursprnglichen 802.11-Standard existieren zwei wichtige Erweiterungen. 802.11b erlaubt eine Migration unter Einbeziehung bestehender 802.11-Systeme in Richtung hherer Datenraten. 802.11a ist ein hnlicher, wegen einer anderen Trgerfrequenz aber inkompatibler Standard. Er soll allerdings eine deutlich hhere Leistungsfhigkeit erreichen. Die wichtigsten Eigenschaften des Standards IEEE802.11 werden im Folgenden beschrieben. Frequenzbereich: 802.11 wird im 2,4-GHz-ISM-Band betrieben. Modulationsverfahren: 802.11 setzt zwei Frequenzspreizverfahren ein. Zum einen kann im Rahmen eines Frequency-Hopping die Trgerfrequenz gewechselt werden. Zum anderen spreizt das Frequenzspektrum durch logische Verknpfung der Daten mit einer hochfrequenten Bitfolge auf. Dadurch werden schmalbandige Strungen wirkungslos. Reichweiten: Die Reichweite von 802.11-Systemen betrgt bis zu 100 m. Mit Richtantennen sind 2 km mglich. Datenraten und Verkehrstypen: 802.11 bietet ber Datenraten von 2 Mbit/s, und 802.11b verfgt ber 11 Mbit/s. Dabei steht die bertragung von Daten im Vordergrund. Durch eine Reservierung von Zeitabschnitten (Contention Free Periods CFP) kann die verzgerungsfreie bertragung auf einem Kanal sichergestellt werden. Dienste: Der 802.11-Standard ersetzt drahtgebundene bertragungssysteme auf der physischen Ebene des Schichtenmodells. So ist gewhrleistet, dass die Auswahl des bertragungsmediums fr die hheren Protokollebenen intransparent ist.

48

www.tecChannel.de

Wireless LANs im berblick

Die Parameter vor allem des 802.11b erlauben den Einsatz auch in greren Netzwerken. Mittlerweile implementieren die Hersteller neben der reinen Transportfunktionalitt umfangreiche Funktionen zur Netzwerk- und Benutzeradministration. Nachteilig ist die Ausrichtung auf den Datenverkehr. Sprachdienste sind damit kaum sinnvoll mglich.

1.3.11 HomeRF-Standard
Die Schwchen des IEEE-802.11 versucht der HomeRF-Standard (RF Radio Frequency) auszugleichen. Parallel zum Datenverkehr lassen sich mit ihm Sprach- beziehungsweise Multimedia-Pakete synchron bertragen. HomeRF wurde mageblich von Proxim entwickelt, allerdings engagieren sich mittlerweile etwa 100 Unternehmen bei HomeRF. In den USA ist HomeRF gegenwrtig sehr verbreitet. Einer Erhebung von PC Data zufolge (Q4/2000) basieren dort etwa 95 Prozent aller privaten Wireless-Netzwerke auf dem HomeRF-Standard. In der zunchst auf dem Markt eingefhrten Version 1.2 untersttzt der HomeRFStandard Datenraten von 1,6 Mbit/s, die nunmehr verfgbare Version 2.0 erreicht Datenraten von 10 Mbit/s. Die Erweiterung im Rahmen der Version 2.1 soll 20 Mbit/s bertragen knnen. Frequenzbereich: HomeRF wird im 2,4-GHz-ISM-Band betrieben. Modulationsverfahren: HomeRF nutzt ein Frequenzsprungverfahren. Dabei werden 75 Kanle mit einer Bandbreite von 1 MHz betrieben, in denen sich jeweils 1,6 Mbit/s bertragen lassen. Hhere Datenraten erreichen die neueren Versionen durch die Bndelung von Kanlen. Reichweiten: Die Reichweite der HomeRF-Systeme betrgt 50 m. Datenraten und Verkehrstypen: Neben der Datenbertragung ermglicht HomeRF auch Sprach- und Multimedia-Verkehr mit den entsprechenden Qualittsmerkmalen. Dies wird durch ein SWAP-CA-Protokoll Shared Wireless Access Protocol Cordless Access) erreicht, das den Teilnehmern in regelmigen Abstnden reservierte Zeitschlitze zuweist. Dienste: Die Beschreibung des HomeRF-Standards umfasst die beiden unteren Netzwerkschichten. Diese sind mit Dienstzugangspunkten so ausgestattet, dass sie die unterschiedlichen Verkehrstypen (Daten, Multimedia und Sprache) jeweils passend bedienen. HomeRF ist auf nicht allzu leistungsfhige Anwendungen im SOHO-Bereich ausgerichtet. Vorteilhaft ist die kostengnstige Realisierung sowohl des Datentransports als auch der Telephonie. Fr den Einsatz in greren Broanwendungen ist der HomeRF-Standard nicht ausgelegt und auch nicht geeignet. So klar die Positionierung zunchst erscheint, so sind doch einige Punkte kritisch. Wenn beispielsweise die leistungsfhigeren 802.11-Systeme im Preis fallen, hat HomeRF dem nichts entgegenzusetzen. Zudem ist die installierte Basis von Cord-

webcode: a750

49

Netzwerktechnologien im berblick

less-Telefonen so hoch, dass dieser Zusatzdienst von HomeRF wenig attraktiv ist. Letztlich reichen die Datenraten fr anspruchsvolle Multimedia-Anwendungen kaum aus.

1.3.12 HiperLAN/2-Standard
Nachdem sich keine Hersteller gefunden haben, um den HiperLAN/1-Standard mit Produkten umzusetzen, wurde vom ETSI im Rahmen des Projekts BRAN (Broadband Radio Access Network) im April 2000 HiperLAN Type 2 (HiperLAN/2) standardisiert. Es soll den Zugang zu Festnetzen sowohl in privaten als auch in ffentlichen Umgebungen mit Bitraten von bis zu 155 Mbit/s ermglichen. Die Verbreitung von HiperLAN/2 wird vom HiperLAN Global Forum (www.hiperlan2.com) gefrdert. Zu den technischen Eckwerten von HiperLAN/2 gehren: Frequenzbereich: HiperLAN/2 wird im 5-GHz-ISM-Band betrieben. Das macht eine enge Abstimmung mit den Aktivitten der IEEE fr 802.11a in den USA und in Japan erforderlich, deren Ausgang offen ist. Modulationsverfahren: HiperLAN/2 nutzt ein OFDM-Verfahren (Orthogonal Frequency Division Multiplex), hnlich ADSL und DAB. OFDM erreicht auch bei dispersiven Kanlen, wie sie bei Frequenzen im Multi-GigahertzBereich vorliegen, eine hohe Leistungsfhigkeit. Darber hinaus findet eine Multicarrier Modulation Anwendung. Dabei werden die Daten in unabhngigen Subcarriers bertragen. Pro Kanal stehen 48 Daten-Subcarriers und 4 Pilot-Subcarriers zur Synchronisation bereit. Datenraten und Verkehrstypen: HiperLAN/2 schafft auf der physischen bertragungsebene eine Datenrate von 54 Mbit/s. Als drahtlose Variante von ATM erreicht es auch dessen Dienstgte. Dienste: HiperLAN/2 beschrnkt sich auf die Beschreibung der unteren beiden Netzwerkschichten. Ein HiperLAN/2-Netzwerk besteht typischerweise aus mehreren Zugangspunkten (Access Points AP), die zusammen in einem bestimmten Gebiet die Funkversorgung gewhrleisten. In diesen Funkzellen kommunizieren mobile Teilnehmer (Mobile Terminals MT) mit diesen Zugangspunkten. Dabei wird sowohl ein Centralized Mode (CM) untersttzt, bei dem die mobilen Teilnehmer smtliche Nutzdaten ber die Zugangspunkte bertragen. Im Direct Mode (DM) knnen die mobilen Teilnehmer, die sich in Funkreichweite zueinander befinden, die Nutzdaten unter der Kontrolle einer Steuerinstanz (Central Controller CC) direkt austauschen. HiperLAN/2 arbeitet wie das drahtgebundene ATM verbindungsorientiert. Die logischen Verbindungen mssen vor der bertragung von Nutzdaten eingerichtet werden und untersttzen alternativ Punkt-zu-Punkt-, Punkt-zu-Mehrpunkt- und Broadcast-Verbindungen.
50 www.tecChannel.de

Wireless LANs im berblick

1.3.13 Erweiterungen von HiperLAN/2


Ergnzt wird der HiperLAN/2-Standard durch zwei weitere Bestandteile, die zustzliche Anwendungsgebiete erschlieen. Hiper-ACCESS soll fr Entfernungen von bis zu 5 km als Punkt-zu-Mehrpunkt-Architektur Zugang fr Wohnviertel und Geschftskunden bieten. Als typische Datenrate fr dieses ehemals als HiperLAN Type 3 bezeichnete Protokoll fr den Wireless Local Loop (WLL) wird 27 Mbit/s angestrebt. HiperLINK dient zur Punkt-zu-Punkt-Verbindung mit sehr hohen Datenraten von bis zu 155 Mbit/s ber Entfernungen bis 150 m. Besonders die Anbindung von HiperLAN/2 und HIPERACCESS ber kurze Strecken soll untersttzt werden. Fr das ehemals als HiperLAN Type 4 bezeichnete HIPERLINK ist ein Frequenzband um 17 GHz reserviert. Fr den HiperLAN/2-Standard engagieren sich mittlerweile eine Reihe wichtiger Hersteller, insbesondere aus den USA und Japan. Daher hat HiperLAN/2 gute Chancen, nicht wie sein Vorgnger HiperLAN/1 unterzugehen. Im Kampf um die Frequenzen im 5-GHz-Bereich hat es ebenfalls eine gute Ausgangsposition. Die Mglichkeiten, die sich wie bei ATM aus der Gewhrleistung der Dienstgte ergeben, erscheinen vorteilhaft. Doch der zustzliche Verwaltungsaufwand und das erhhte Verkehrsaufkommen haben bereits den drahtgebundenen ATM-Systemen den Markteintritt erschwert.

1.3.14 Fazit
Im berblick wird deutlich, dass die vielen drahtlosen bertragungsprotokolle unterschiedliche Eigenschaften und Qualitten aufweisen. Nationale Besonderheiten beeinflussen diese auerdem lokal. Dementsprechend differenzieren sich auch die optimalen Anwendungsgebiete und Zielmrkte. Es bleibt abzuwarten, ob der Markt mit ausreichender Akzeptanz fr verschiedene Lsungen reagiert und welcher Standard sich in den jeweiligen Zielmrkten durchsetzen wird. Dr. Axel Sikora

tecCHANNEL-Links zum Thema


Wireless LANs im berblick Bluetooth der Kabel-Killer DECT: Die Alternative zu Bluetooth 802.11: Standard fr drahtlose Netze Test: Funknetze nach IEEE 802.11 Revolution aus der Luft UMTS: Technik, Markt, Anwendungen

Webcode
a750 a477 a511 a680 a620 a733 a496

Compact
S.40 S.52

webcode: a750

51

Netzwerktechnologien im berblick

1.4 802.11: Standard fr Funknetze


Wireless LANs mausern sich von der Nischenlsung zur echten Netzalternative. Als Motor der Entwicklung fungiert der Standard 802.11. Er macht das herstellerbergreifende Zusammenspiel der Komponenten mglich. Die Standards des LAN/WAN Standards Committee (auch IEEE802) des USamerikanischen Ingenieurverbands IEEE (sprich: I-triple-E) bilden die allgegenwrtige Basis fr die Vernetzung von Rechnern. Das wohl bekannteste Teilstck des IEEE-Regelwerks sind die Ethernet-Standards der Arbeitsgruppe 802.3. Sie umfassen Geschwindigkeitsklassen von 10 Mbit/s bis zu den gegenwrtig in der Spezifikation befindlichen 10 Gbit/s.

IEEE802-Familie: Die wichtigsten Standards und ihre wechselseitigen Beziehungen im berblick.

Um in dem immensen Wachstumsmarkt der drahtlosen bertragungsprotokolle im Geschft zu bleiben, hat IEEE 1997 mit 802.11 den ersten herstellerunabhngigen Standard fr Wireless LANs (WLANs) verabschiedet.

1.4.1 Wireless-LAN-Gremien
Im Umfeld von IEEE802.11 agieren auch zwei Industriegremien. Die Wireless LAN Association (WLANA, www.wlana.com) soll die Verbreitung des Standards durch Marketing und ffentlichkeitsarbeit untersttzen. Die Wireless Ethernet Compatibility Alliance (WECA, www.wi-fi.com) zertifiziert unter dem Schlagwort Wi-Fi (Wireless Fidelity) die Interoperabilitt 802.11-kompatibler Gerte.

52

www.tecChannel.de

802.11: Standard fr Funknetze

Neben 802.11 arbeitet IEEE noch an zwei weiteren Standards zur drahtlosen Signalbertragung. Der IEEE802.15 soll die Netze niedriger Bandbreite und Reichweite (bis 10 m) abdecken, also Personal Area Networks (PANs). Der wichtigste Standard in diesem Bereich ist bislang Bluetooth (www.bluetooth.com). IEEE802.16 beschreibt breitbandige Netze im mittleren Entfernungsbereich bis etwa 50 km. Als primrer Kandidat fr solche Metropolitan Area Networks (MANs) fungiert derzeit HiperLAN/2 (www.hiperlan2.com) des europischen Standardisierungsgremiums ETSI (www.etsi.org) (European Telecommunications Standards Institute).

1.4.2 802.11: Standard und Topologie


Die Familie der IEEE802-Standards definiert vor allem Bitbertragungsschicht (Physical Layer) und Verbindungsschicht (Data Link Layer), also die untersten zwei Schichten des OSI-Referenzmodells (webcode: a209). Funktionell unterteilt sich die Verbindungsschicht in zwei weitere Bereiche. Fr die Zugriffssteuerung zeichnet das Media Access Control (MAC) verantwortlich. Die logische Steuerung der Verbindungen bernimmt das Logical Link Control (LLC), das fr alle IEEE802-Standards identisch ist. Auf diese Weise knnen Protokolle der hheren Schichten unabhngig vom Zugriffsmechanismus und der physikalischen Realisierung auf die Kommunikationsdienste zugreifen. Drahtlose Protokolle wie 802.11 knnen also von Layer-3/4-Protokollen wie TCP/IP prinzipiell in gleicher Weise genutzt werden wie drahtgebundene Ethernet-Protokolle. Durch die mehrfache Implementierung von Algorithmen zur Fehlerkorrektur oder Verkehrssteuerung kann sich aber die Datenrate reduzieren.

1.4.3 Verfahren und Frequenzen


Der Standard IEEE802.11 wurde nach sieben Jahren Entwicklung 1997 erstmals festgelegt. Er spezifiziert Bandbreiten von 1 und 2 Mbit/s. Die Spezifikation umfasst die Beschreibung eines MAC-Protokolls und dreier alternativer PHY-Technologien. Neben zwei Frequenz-Spreizverfahren (Spread Spectrum Technologies SST) fr Funkwellen im 2,4-GHz-Band zhlt dazu auch ein Infrarot-Verfahren. Gerade die bertragung im lizenzierungsfreien ISM-Band macht WLANs besonders interessant. Dieser Frequenzbereich lsst sich weltweit fr industrielle, wissenschaftliche und medizinische Zwecke (Industrial, Scientific, Medical) nutzen. Aus diesem Grund arbeiten etliche drahtlose Kommunikationsverfahren auch Bluetooth auf der entsprechenden Frequenz. Allerdings operieren hier zahlreiche potenzielle Strquellen, nicht zuletzt Mikrowellenherde. Genau deswegen wurde das ISM-Band ursprnglich freigegeben: Fr viele lizenz- und kostenpflichtige bertragungsverfahren weist es ein zu hohes Aufkommen an Strern auf.
webcode: a680 53

Netzwerktechnologien im berblick

Nicht alle Nationen erlauben die vollstndige Verwendung des Frequenzbereichs, einige beschrnken die Anzahl verfgbarer Kanle. Davon sind insbesondere Japan, Frankreich und Spanien betroffen. Auch die weiteren Spezifikationen, vor allem die erlaubte Sendeleistung und die Modulationsverfahren, unterscheiden sich zum Teil deutlich.

1.4.4 Schnelle 802.11-Varianten


Schon bei der Zertifizierung des ursprnglichen 802.11-Standards war abzusehen, dass eine Datenrate von maximal 2 Mbit/s fr einen Markterfolg nicht ausreichen wrde. Aus diesem Grund hatten zu diesem Zeitpunkt bereits mehrere Anbieter proprietre Lsungen entwickelt. Um eine Aufsplitterung des Markts zu vermeiden, wurden dem Standard 1999 mit 802.11a und 802.11b zwei weitere Bestandteile hinzugefgt. Beide verfolgen das Ziel, hhere Bandbreiten zu erreichen. Allerdings beschreiten sie dabei vllig verschiedene Wege. 802.11a lst sich vom ursprnglich verwendeten ISM-Band und weicht auf das 5-GHz-Band aus, in dem sich per se grere Bandbreiten erzielen lassen. 802.11b dagegen stellt eine rckwrtskompatible Erweiterung des originren 802.11-Standards dar. In seiner momentanen Definition erreicht 802.11b eine Brutto-Datenrate von 11 Mbit/s bei einem Nutzdatenanteil bis zu 7 Mbit/s. Damit entspricht die b-Variante etwa dem drahtgebundenen 10-Mbit/s-Ethernet nach IEEE802.3, wie es noch in vielen Installationen zu finden ist.

1.4.5 Topologie im Funknetz


IEEE802.11 unterscheidet zwei grundstzliche Betriebsarten: den Ad-hoc- und den Infrastruktur-Modus. Im Ad-hoc-Modus kommunizieren Endgerte in einem Peer-to-Peer-Netzwerk unmittelbar miteinander. Solche Independent Basic Service Sets (IBSS) erlauben den schnellen, einfachen und kostengnstigen Aufbau von Netzwerken ber kurze Entfernungen und mit begrenzter Teilnehmerzahl. Im Infrastruktur-Modus erfolgt die Kommunikation ber einen Zugangspunkt (Access Point AP), der als Relaisstation die Reichweite der Funkzelle verdoppelt. Zudem fungiert der AP quasi als Funk-Hub und stellt typischerweise auch die Verbindung zum drahtgebundenen Netz her.

54

www.tecChannel.de

802.11: Standard fr Funknetze

Topologien: Peer-to-Peer im IBSS, mit LAN-Anschluss und Roaming im ESS.

In der einfachsten Version besteht ein Infrastruktur-Funknetz aus einem AP und einer Gruppe von drahtlosen Stationen. Ein solches Netzwerk wird als Basic Service Set (BSS) bezeichnet. Koppelt man mehrere BSS ber ein LAN, so spricht man von einem Extended Service Set (ESS). In diesem Modus spielt die korrekte Zuordnung der Stationen zu einem BSS sowie der Wechsel zwischen den einzelnen BSS-Sets (Roaming) eine entscheidende Rolle. Daher mssen sich im Infrastruktur-Modus alle Stationen bei einem Access Point anmelden. Sie bertragen dann auf dem Kanal, der vom jeweiligen AP verwendet wird. Ein Wechsel der Zuordnung kann durch eine Vernderung der Kanaleigenschaften erfolgen (speziell beim Ortswechsel von mobilen Stationen) oder auch vom Administrator im Sinne eines Load Balancing vorgegeben werden.

1.4.6 802.11: Der MAC-Layer


Die Kanalzugriffsschicht (MAC-Layer) von 802.11 weist eine enge Verwandtschaft mit der kabelgebundenen Variante 802.3 auf. Allerdings muss der drahtlose Standard auf die Besonderheiten der bertragungsstrecke Rcksicht nehmen. Insbesondere entfllt hier die Mglichkeit zum berwachen von Kollisionen. Daher greift 802.11 auf eine Zugangskontrolle (Access Control) nach dem CSMA/CAAlgorithmus zurck. Das Akronym steht fr Carrier Sense Multiple Access with Collision Avoidance. Multiple Access deutet an, dass mehrere Kommunikationsteilnehmer einen gemeinsamen bertragungskanal nutzen (Shared Medium). Carrier Sense zeigt an, dass jeder Kommunikationsteilnehmer den gemeinsamen Kanal berwacht und seine eigene Ttigkeit an dessen Zustand anpasst. Collision Avoidance beschreibt einen Mechanismus, der dabei Kollisionen zu vermeiden versucht.

webcode: a680

55

Netzwerktechnologien im berblick

Eine zentrale Rolle bei der Funktionsweise des Zugriffsmechanismus spielt die Zeit zwischen zwei Datenpaketen, der so genannte Interframe Space (IFS). Um die Belegung des Mediums zu ermitteln, hrt eine sendewillige Station fr die IFS-Zeit das Medium ab. Wenn jedoch whrend dieser Zeitspanne keine Kommunikation auftritt, ist das Medium mit sehr hoher Wahrscheinlichkeit frei. Der 802.11-Standard definiert vier verschiedene IFS-Zeiten, die drei unterschiedliche Priorittsstufen fr den Zugriff widerspiegeln. Dabei gilt: Je krzer der IFS, desto hher fllt die Prioritt aus.

1.4.7 Distributed Coordination Function


Die grundlegende IFS-Zeit ist die Distributed IFS (DIFS). Die auf ihr basierende Distributed Coordination Function (DCF) nutzt alle Stationen, um Zugang zum bertragungsmedium zu bekommen. Der sendewillige Teilnehmer hrt zunchst das Medium ab (Listen Before Talk LBT). Bleibt das Medium mindestens fr die DIFS-Zeit frei, kann die bertragung starten. Wird das Medium dagegen als belegt erkannt, stellt die Station die bertragung fr eine bestimmte Wartezeit zurck. Die Bestimmung dieser Zeitspanne erfolgt innerhalb des so genannten Backoff-Prozesses. Das recht aufwendige Backoff-Verfahren dient dazu, die Wahrscheinlichkeit von Kollisionen so weit wie mglich zu verringern. Zunchst generiert die Station eine zwischen Null und einem Maximum liegende Pseudo-Zufallszahl. Das gewhlte Maximum bezeichnet man als Contention Window (Englisch contention fr Streit, Zank, Streitpunkt). Die Zufallszahl, multipliziert mit einer Zeitschlitzdauer, dient als Backoff-Counter. Solange die Station das Medium als belegt erkennt, bleibt dieser Zhler konstant. Wird das Medium frei, wartet die Station zunchst die DIFS-Zeit ab. Anschlieend zhlt sie den Backoff-Counter bis Null zurck. Ist nun das Medium noch immer frei, steht dem Senden nichts mehr im Weg.

1.4.8 Collision Avoidance


Auch die DCF kann das Auftreten von Kollisionen nur minimieren, jedoch nicht gnzlich vermeiden, wie das folgende Beispiel zeigt:

56

www.tecChannel.de

802.11: Standard fr Funknetze

Kollisionsgefahr: Trotz ausgefeilter Sendemechanismen knnen im Funknetzbetrieb durchaus Kollisionen auftreten.

1. Station S1 beginnt die bertragung eines Rahmens Frame 1. Alle anderen Stationen befinden sich in verschiedenen Stadien des Backoff. Sie dekrementieren also den Backoff-Zeitgeber in jedem Zeitschlitz, in dem das Medium als frei erkannt wird. 2. Nach einer (von der rumlichen Entfernung der beiden Stationen abhngigen) Verzgerungszeit empfngt S2 den Rahmen. Da das Medium als belegt erkannt wird, stoppt das Herunterzhlen des Backoff-Zhlers. 3, 4. Nach entsprechenden Verzgerungszeiten empfangen auch S3 und S4 den Rahmen von S1 und halten ihre Backoff-Zhler an. 5. S1 beendet die bertragung des Rahmens. 6, 7, 8. S2, S3 und S4 erkennen das Medium wieder als frei und warten eine DIFSZeit ab. 9, 10, 11. Nach Ablauf der DIFS-Zeit beginnen die Stationen erneut, ihre BackoffZhler zu dekrementieren. 12. Der Backoff-Zhler von S2 luft ab. Daher beginnt S2 unmittelbar mit der bertragung des Rahmens Frame 2. 13. Nach einer Verzgerungszeit empfngt S1 den Rahmen. Da sich S1 nicht im Backoff befindet, hat dies fr diese Station keine Auswirkungen.

webcode: a680

57

Netzwerktechnologien im berblick

14, 15. Sobald S3 und S4 den Rahmen empfangen, erkennen sie das Medium als belegt und stoppen das Herunterzhlen des Backoff-Counters. 16. S2 beendet die bertragung. 17. S1 erkennt das Medium wieder als frei. Da keine Informationen zur bertragung anstehen, hat dies aber keine weiteren Auswirkungen. 18, 19. S3 und S4 erkennen das Medium wieder als frei und warten eine DIFSZeit ab. 20, 21. Nach Ablauf der DIFS-Zeit beginnen beide Stationen, ihren Backoff-Zhler zu dekrementieren. 22. Der Backoff-Zhler von S3 luft ab, die Station beginnt unmittelbar mit der bertragung des Rahmens Frame 3. 23. Gleichzeitig luft der Backoff-Zhler von S4 ab. Auch diese Station beginnt unmittelbar mit der bertragung eines Rahmens (Frame 4). Eine Kollision bahnt sich an. 24, 25. S2 und S1 empfangen Frame 3 zunchst strungsfrei. 26, 27. Station S2 empfngt die berlagerung der bertragenen Rahmen Frame 3 und Frame 4.

1.4.9 Besttigungsmechanismen
Bei der drahtlosen Datenbertragung knnen Kollisionen auftreten und die Datenpakete von verschiedenen sendenden Kommunikationsteilnehmern zerstren. Hierin unterscheidet sich der CSMA/CA-Algorithmus nach 802.11 grundstzlich von dem CSMA/CA-Verfahren, wie es bei seriellen Bussen eingesetzt wird. Dort knnen zwar auch Kollisionen auftreten. Durch die Festlegung von zwei Priorittsebenen fr die mglichen Signalpegel 0 und 1 setzt sich dort jedoch die wichtigere Nachricht strungsfrei durch. Zudem besteht in drahtlosen Systemen keine realistische Mglichkeit, Kollisionen zu erkennen. Ein CSMA/CD-Algorithmus wie beim Ethernet nach 802.3 ist daher nicht mglich. Deswegen muss bei der drahtlosen bertragung nach 802.11 der ordnungsgeme Empfang eines Rahmens quittiert werden. Die Versendung der Quittung (Acknowledgement ACK) erfolgt nach einer Wartezeit, die man als Short Interframe Space (SIFS) bezeichnet. Dieser SIFS ist krzer als der DIFS, so dass die Besttigung nicht die Wartezeiten der normalen Datenbermittlung einhalten muss. Durch die krzere Wartezeit erhalten die Quittungsrahmen eine hhere Prioritt als die normalen Datenpakete.

58

www.tecChannel.de

802.11: Standard fr Funknetze

1.4.10 SIFS und DIFS


Wie das Zusammenspiel zwischen Quittungs- und Datenrahmen funktioniert, sehen wir uns wieder an einem konkreten Beispiel an:
Quittung zuerst: Der krzere SIFS gibt ACKs gegenber normalen Datenpaketen den Vorrang.

1. Station S1 beginnt die bertragung eines Rahmens Frame 1 an S2. Zu diesem Zeitpunkt befindet sich S3 im Backoff-Prozess. 2. S2 beginnt mit dem ordnungsgemen Empfang von Frame 1. 3. Auch S3 empfngt den Rahmen. Das Medium wird als belegt erkannt, der Backoff-Zhler stoppt. 4. S1 beendet die bertragung des Rahmens. 5. S2 erkennt das Medium wieder als frei. Da die bertragung ordnungsgem abgeschlossen wurde, beginnt die Station ein SIFS-Warte-Intervall, um anschlieend eine Quittung zu versenden. 6. Nach Ablauf von SIFS versendet S2 den ACK-Rahmen. 7. S3 erkennt das Medium wieder als frei und beginnt ein DIFS-Warte-Intervall. 8. S1 empfngt den ACK-Rahmen. 9. S3 empfngt den ACK-Rahmen und stellt fest, dass das Medium belegt ist. Daher bricht sie das noch nicht beendete DIFS-Warte-Intervall ab. 10. S2 beendet die bertragung des ACK-Rahmens. 11. S1 beendet den Empfang des ACK-Rahmens.

webcode: a680

59

Netzwerktechnologien im berblick

12. S1 beendet den Empfang des ACK-Rahmens und beginnt ein neues DIFSWarte-Intervall. 13. Nach dessen vollstndigem Ablauf kann der Backoff-Zhler von S1 weiter dekrementiert werden.

1.4.11 Verhalten bei Kollisionen


Whrend des Quittierungsverlaufs kann es vorkommen, dass eine Station S1 das Acknowledgement fr das gesendete Paket nicht innerhalb des festgelegten Zeitintervalls empfngt. Dies kann (mindestens) zwei Ursachen haben: Zum einen knnte eine Kollision von zwei Datenpaketen aufgetreten sein. Zum anderen ist es nicht ausgeschlossen, dass der ACK-Rahmen selbst durch eine Kollision zerstrt wurde. Letzteres tritt vor allem in ausgedehnten Funknetzen auf, wenn die Summe aus SIFS und der maximalen Ausbreitungszeit in Hin- und Rckrichtung grer ist als die DIFS einer sendebereiten Station. Bleibt die Empfangsbesttigung aus, bereitet die sendende Station eine Retransmission vor. Dazu begibt sie sich in den Backoff-Zustand. Um die Wahrscheinlichkeit einer erneuten Kollision zu verringern, verdoppelt sie dazu nach jeder erfolglosen bertragung den Wert des Contention Window, bis ein vorgegebenes Maximum CWmax erreicht ist. Nach einem erfolgreichen Sendevorgang setzt sie CW wieder auf den Ausgangswert CWmin zurck und hlt so die Wartezeiten im System mglichst kurz.

1.4.12 Versteckte Stationen


Alle beschriebenen Verfahren funktionieren zuverlssig, solange smtliche Stationen miteinander in Funkkontakt stehen. Ansonsten kann eine der Stationen das Medium als frei erkennen, obwohl dies fr die andere Station nicht zutrifft. Ein mgliches Szenario zeigt die unten stehende Abbildung.
Hidden-Station-Problem: Nicht immer liegen alle Stationen innerhalb der gegenseitigen Reichweite.

60

www.tecChannel.de

802.11: Standard fr Funknetze

Station S1 kann hier von zwei weiteren Stationen (S2, S3) Daten empfangen. Ein unmittelbarer Funkkontakt zwischen S2 und S3 ist dagegen nicht mglich. Sendet nun S3 eine Nachricht an S2, erscheint das Medium dennoch fr S2 als frei. bertrgt gleichzeitig S1 ein Datenpaket an S2, kann S2 es nicht fehlerfrei empfangen. Anders als bei drahtgebundenen Medien lsst sich bei Funknetzen nur auf Empfngerseite prfen, ob eine Kollision vorliegt. Um solche Situationen zu vermeiden, beinhaltet das 802.11-Protokoll den so genannten RTS-CTS-Mechanismus. Ein Request-to-Send-Rahmen (RTS) wird von der sendewilligen Station an den Empfnger geschickt und von diesem mit einem Clear-to-Send-Rahmen (CTS) beantwortet. Klappt dieser Austausch problemlos, beginnt der Sender nach Ablauf der SIFS-Zeit die Datenbertragung.

1.4.13 RTS, CTS und NAV


Falls der CTS-Rahmen nicht innerhalb einer festgelegten Zeitdauer empfangen wird, beginnt der RTS-CTS-Austausch nach Ablauf eines normalen Backoff-Zyklus erneut. Durch die Verwendung von SIFS erhalten CTS-Antworten dabei eine hhere Prioritt als der normale Datenverkehr. Zwei Sachverhalte gilt es im Zusammenhang mit dem RTS-CTS-Mechanismus allerdings im Hinterkopf zu behalten. Zum einen schreibt 802.11 die Implementierung der RTS-Seite nicht zwingend vor. Es muss lediglich jedes Gert in der Lage sein, einen RTS-Frame innerhalb der geforderten Zeit mit dem zugehrigen CTS-Rahmen zu beantworten. Zum anderen enthalten die RTS- und CTS-Frames ein Feld, das die Dauer fr die bertragung des Datenrahmens angibt. Diese Information werten alle Stationen aus, die RTS/CTS-Signale empfangen. Sie aktivieren in diesem Fall einen Zeitgeber (Net Allocation Vector NAV), der im Gegensatz zum Backoff-Zhler unabhngig vom Zustand des bertragungsmediums dekrementiert wird. Whrend der resultierenden NAV-Zeit beginnen die jeweiligen Stationen nicht mit bertragungsvorgngen, was die Wahrscheinlichkeit von Kollisionen drastisch verringert.

1.4.14 Ablauf des RTS-CTS-Mechanismus


Auch hier verdeutlichen wir uns die Funktionsweise anhand eines praktischen Beispiels. In der unten stehenden Abbildung sehen Sie das zugehrige Zeitdiagramm (ohne Bercksichtigung der Signallaufzeiten auf dem Medium).

webcode: a680

61

Netzwerktechnologien im berblick

Kollisionsvermeidung: Per RTS und CTS reservieren sich kommunikationswillige Stationen das Netz.

1. S1 beginnt die bertragung eines RTS-Rahmens an S2. Auch S2 und S4 empfangen diesen Frame. 2. Nach dem Empfang des RTS-Rahmens setzt S4 den NAV-Zeitgeber und verhlt sich ruhig. Der NAV von S4 enthlt die bentigte Zeit fr CTS-, Daten- und ACKRahmen zuzglich der jeweiligen SIFS-Intervalle. 3. Ein SIFS-Zeitintervall spter sendet S2 den CTS-Rahmen. Er kann auch von S1 und S3 empfangen werden. 4. S3 setzt seinen NAV-Zeitgeber auf die fr die bertragung des Daten- und des ACK-Rahmens bentigte Zeit zuzglich der dazwischen liegenden SIFS-Zeit und verhlt sich ruhig. 5. S1 bertrgt nach dem Empfang des CTS-Rahmens und einem SIFS-Intervall den Datenrahmen. 6. S2 besttigt den Empfang nach einem SIFS-Intervall mit einem ACK-Rahmen. 7. Die Datenbertragung ist erfolgreich abgeschlossen, die NAV-Zeitgeber der beiden an der Kommunikation nicht beteiligten Stationen sind abgelaufen. Nach Verstreichen einer DIFS-Zeit kann eine neue Datenbertragung beginnen. Der RTS-CTS-Mechanismus schtzt zwar offensichtlich vor Kollisionen, verursacht aber zustzlichen Protokollverkehr. Um den Overhead bei kurzen Datenpa62 www.tecChannel.de

802.11: Standard fr Funknetze

keten zu minimieren, wird der RTS-CTS-Austausch erst ab einer gewissen Paketgre (RTS threshold) aktiviert. Daneben bewhrt sich der RTS-CTS-Mechanismus auch beim Betrieb berlappender BSS und IBSS.

1.4.15 Point Coordination Function


Die Point Coordination Function dient der Untersttzung zeitkritischer Dienste. Sie erlaubt dem jeweiligen Point Coordinator (PC) den priorisierten Zugriff auf das bertragungsmedium. So agiert blicherweise ein Access Point mit Festnetzzugang als PC. Zwar definiert 802.11 PCF als optional. Dennoch mssen alle Stationen in der Lage sein, den entsprechenden Medien-Zugriffsregeln Folge zu leisten. Stationen, die auf Anfragen des PC auch antworten knnen, werden CF-Pollable genannt. Neben dem AP knnen nur solche Stationen Daten entsprechend der PCF bertragen. Die PCF steuert die bertragung der Rahmen whrend einer wettbewerbsfreien Zeit (Contention Free Period CFP), die sich mit der durch die DCF gesteuerten Wettbewerbsperiode abwechselt. Die CFP wird in regelmigen Zeitabstnden mit der CFP-Rate wiederholt und startet mit der bertragung eines Beacons (Englisch: Leuchtfeuer, Signalfeuer), der die maximale Dauer der CFP enthlt. Alle Stationen im BSS auer dem PC setzen ihren NAV auf diesen Wert. Ist das bertragungsmedium frei, bernimmt nach Ablauf der PCF-IFS (PIFS) zu Beginn der CFP der PC die Steuerung. Die PIFS ist lnger als die SIFS, aber krzer als die DIFS. Die PCF weist also eine hhere Prioritt auf als die normale bertragung, muss jedoch Quittierungen abwarten. Whrend der gesamten CFP bleibt der PC steuernd ttig. Er fhrt eine Polling List und fragt in der CFP alle Stationen auf dieser Liste der Reihe nach ab, ob sie eine bertragung wnschen. Dabei identifiziert er die Stationen ber einen Association Identifier (AID).

1.4.16 802.11: Der PHY-Layer


Auf der Bitbertragungsschicht ergeben sich naturgem die grten Unterschiede zur drahtgebundenen Kommunikation. Bei der Spezifikation des physischen Protokolls sind die Eigenschaften der bertragung ber die Luftschnittstelle zu bercksichtigen. Das gilt besonders fr die mglichen Strungen, fr die im Wesentlichen drei Ursachen in Frage kommen: Rauschen und Interferenzen im bertragungskanal Signale anderer Stationen, die nach dem 802.11-Standard arbeiten. Selbst wenn deren Signalpegel fr einen Datenaustausch nicht mehr ausreicht, knnen sie unter Umstnden die bertragungsverfahren noch beeinflussen. Signale anderer Stationen, die nicht dem 802.11-Standard entsprechen, aber den gleichen Frequenzbereich nutzen.

webcode: a680

63

Netzwerktechnologien im berblick

Alle fr das 2,4-GHz-Band genutzten Protokolle greifen dazu auf FrequenzSpreizverfahren zurck. IEEE802.11 sieht dazu zwei verschiedene Techniken vor: Frequency Hopping Spread Spectrum (FHSS) und Direct Sequence Spread Spectrum (DSSS). Als zustzliches Bitbertragungsprotokoll sieht der Standard eine physische Infrarot-Schnittstelle im Wellenlngenbereich von 850 bis 950 nm vor, die jedoch keine praktische Relevanz erlangt hat.

1.4.17 Aufbau des PHY-Layer


Auf Grund der Tatsache, dass die Charakteristika der drei mglichen bertragungsverfahren speziell in ihrem Zeitverhalten sehr unterschiedlich sein knnen, sieht 802.11 eine weitere Aufteilung der Protokolle in den einzelnen Schichten vor. Neben der auch in anderen Protokollen blichen Aufteilung einer Schicht in einen Sublayer und einen Management-Layer ist hier die weitere Aufteilung der Bitbertragungsschicht besonders interessant.
802.11-PHY: Der PLCP Sublayer stellt den hheren Protokollschichten ein medienunabhngiges Interface zur Verfgung.

In dieser Konfiguration bernimmt das Physical Medium Dependant Sublayer (PMD) die Modulation und Kodierung, whrend das Physical Layer Convergence Protocol (PLCP) unabhngig vom Medium eine bliche PHY-Schnittstelle zur Verfgung stellt. Insbesondere liefert das PLCP auch das Clear Channel Assignment Signal (CCA), das den aktuellen Zustand des Mediums anzeigt.

1.4.18 FHSS: Funktionsprinzip


Das FHSS-Verfahren erlaubt auf einer einfachen Basis den gleichzeitigen Betrieb mehrerer Systeme im selben Frequenzbereich. Dabei sorgt es fr eine faire Verteilung des bertragungsmediums. Das Prinzip des Frequency Hopping besteht darin, dass sowohl Sender als auch Empfnger die Trgerfrequenz nach einer festgelegten Abfolge wechseln.
64 www.tecChannel.de

802.11: Standard fr Funknetze

Strresistent: Durch den steten Wechsel der Sendefrequenz minimiert FHSS den Einfluss potenzieller Strquellen.

Wie das funktioniert, verdeutlicht die oben stehende Abbildung. Der Sender 1 hat beispielsweise mit seiner Gegenstelle die Frequenzfolge f1, f76, f2, f78, f3, f75, f76, f77, f4, f79, f78, f77 ausgehandelt. Der laufende Wechsel begrenzt Strungen durch frequenzfeste Stationen, etwa einen Mikrowellenherd (Station 3), oder durch andere FHSS-Sender (Station 2) auf sehr kurze Zeitabschnitte.

1.4.19 FHSS: Frequenznutzung


Fr das FHSS-Verfahren sieht IEEE802.11 bis zu 79 nicht berlappende Frequenzbereiche mit einer Bandbreite von je 1 MHz vor. Dabei fasst es drei Gruppen mit je 26 Mustern zusammen. Die Abfolge der Frequenzen wird aus einer Basisfolge berechnet, die einer Pseudo-Zufallskette im Intervall von 0 bis 78 entspricht. Die minimale Sprungdistanz betrgt dabei 6 Kanle. Die Basisfolge wird beispielsweise vorgegeben als: b(i) = 0, 54, 70, 45 Die bertragungsfrequenz der Basisfolge ergibt sich dann als: f0(i) = 2402 + b(i) [GHz] Die bertragungsfrequenz des k-ten aus dieser Basisfolge abgeleiteten Musters berechnet sich zu: fk(i) = 2402 + (b(i) + k) mod 79 [GHz] In den Regionen mit einer eingeschrnkten Breite des ISM-Bands (Japan, Frankreich, Spanien) reduziert sich mit der Anzahl der nutzbaren Frequenzbereiche auch die mgliche Gertedichte.

webcode: a680

65

Netzwerktechnologien im berblick

FHSS: Nutzbare Sprungsequenzen


Region Europa, USA Japan Frankreich Spanien Frequenzband (GHz) 2,4000-2,4835 2,4710-2,4970 2,4465-2,4835 2,4450-2,4750 Sprungfrequenzen (GHz) 2,402-2,483 2,473-2,495 2,447-2,473 2,448-2,482 Nutzbare Sequenzen 79 23 27 35

1.4.20 FHSS: Rahmenformat


Das Rahmenformat auf der FHSS-bertragungsstrecke verdeutlicht die unten stehende Abbildung. Grundstzlich zerfallen die Frames in eine Prambel, den Header sowie die eigentlichen Nutzdaten. Die Prambel besteht aus festgelegten Bitfolgen. Die ersten 80 Bit dienen vor allem der Signalerkennung, es folgt ein 16 Bit langer Frame Delimiter zur Synchronisierung. Der Header beginnt mit einem 12 Bit langen Length Word (PLW), das die Lnge des Datenpakets in Bytes angibt. Daran schliet sich ein 4 Bit langes Signaling Field (PSF) an, das die gewnschte bertragungsgeschwindigkeit anzeigt. Es folgt ein 16 Bit langer, per CRC errechneter Header Error Check.
FHSS-Paketformat: Die PLCP-Prambel dient vornehmlich der Synchronisation, der Header bermittelt Lngen- und Korrekturinformationen.

Prambel und Header werden grundstzlich mit einer Datenrate von 1 Mbit/s bertragen, whrend sich die Datenpakete mit 1 oder 2 Mbit/s senden lassen. Dabei ist die Betriebsart mit 1 Mbit/s im ursprnglichen 802.11-Standard von 1997 fr alle Gerte vorgeschrieben. Erst spter wurde dem Standard eine optionale bertragungsrate von 2 Mbit/s hinzugefgt. Die Erhhung der Bandbreite resultiert dabei aus einer Multilevel-Modifikation der ursprnglichen GFSK-Modulation (Gaussian Phase Shift Keying). Sie verdoppelt die Signalrate auf zwei Bits pro Symbol.

66

www.tecChannel.de

802.11: Standard fr Funknetze

1.4.21 DSSS: Funktionsprinzip


Direct Sequence Spread Spectrum realisiert die Frequenzspreizung durch eine XOR-Verknpfung der Daten mit einer Zufallsdatenfolge. Die verwendete Pseudo-Random Numerical Sequence (PN) weist eine hhere Bitrate auf als der Nutzdatenstrom. Die einzelnen Signale innerhalb der PN-Sequenz bezeichnet man dabei als Chips. Dieser Datenstrom mit hherer Bitrate wird nun noch moduliert (Phase Shift Keying PSK). Die Verknpfung mit der PN-Folge spreizt das Leistungsspektrum des Signals ber den verfgbaren Frequenzbereich, lsst die Signalleistung jedoch unverndert.

Direct Sequence: Auf der Sendeseite verknpft DSSS die Daten mit einer zufallsgenerierten Bitfolge.

Bei der Spreizung mit einem elfstelligen Barker-Code, der besonders gute Autokorrelations-Eigenschaften aufweist, ergibt sich eine Bandbreite von 22 MHz pro Sequenz. Die Lnge des Barker-Codes entspricht dabei der in den Freigaberichtlinien der Aufsichtsbehrden festgelegten Mindestlnge fr einen Spreiz-Code.

webcode: a680

67

Netzwerktechnologien im berblick

Wenig anfllig: Die Aufspreizung des Signals minimiert die Auswirkungen schmalbandiger Strungen.

Auf der Empfngerseite dient ein so genannter angepasster Korrelator zum Ausfiltern der Nutzdaten aus der berlagerten PN-Folge. Verschiedene Filter setzen dazu jeweils unterschiedliche PN-Folgen an. Der Filter mit dem besten Output transformiert anschlieend das Leistungsspektrum des gespreizten Signals zurck. Dabei wandelt er automatisch schmalbandige Strungen hoher Intensitt in ein breitbandiges Rauschen niedriger Intensitt um.

1.4.22 DSSS: Frequenznutzung


Aus der Kanalbandbreite von 22 MHz folgt, dass sich im ISM-Band lediglich drei DSSS-Kanle nebeneinander anordnen lassen. Der massive Vorteil des Verfahrens besteht jedoch darin, dass sich die gespreizten Frequenzbnder auch berlappen drfen. Im 802.11-Standard sind dazu insgesamt 14 Sequenzfolgen festgelegt. Auch hier ergeben sich, wie schon bei FHSS, lokale Unterschiede.
Hier ist eine berlappung mglich: IEEE802.11 sieht fr das ISM-Frequenzband bis zu 14 mgliche Kanle vor.

Das Direct-Sequence-Prinzip kommt brigens auch in CDMA-Mobilfunknetzen zum Einsatz. Dort erhalten aber meist alle Kanle die gleiche Basisfrequenz und unterscheiden sich nur durch die unterschiedlichen PN-Sequenzen.
68 www.tecChannel.de

802.11: Standard fr Funknetze

DSSS: Verfgbare Kanle


Region USA Europa Japan Frankreich Spanien Frequenzband (GHz) 2,4000-2,4835 2,4000-2,4835 2,4710-2,4970 2,4465-2,4835 2,4450-2,4750 DSSS- Nutzung (GHz) 2,412-2,462 2,412-2,472 2,484 2,457-2,462 2,457-2,472 Kanle 11 13 1 2 4 Sendeleistung 1000 mW 100 mW (EIRP) 10 mW/MHz 100 mW (EIRP) 100 mW (EIRP)

1.4.23 DSSS: Rahmenformat


Das Rahmenformat auf der DSSS-bertragungsstrecke verdeutlicht die unten stehende Abbildung. Grundstzlich zerfallen die Frames in eine Prambel, den Header sowie die eigentlichen Nutzdaten. Wie bei FHSS besteht die Prambel aus festgelegten Bitfolgen. Die ersten 128 Bit dienen vor allem der Signalerkennung, es folgt ein 16 Bit langer Frame Delimiter zur Synchronisierung. Der Header beginnt mit einem Signal Field in Byte-Lnge, das die gewnschte bertragungsgeschwindigkeit anzeigt. Daran schliet sich ein 8 Bit langes Service-Kennzeichen an, das fr die knftige Benennung von Diensten reserviert ist. Es folgen ein Length Word, das die Lnge des Datenpakets in Bytes angibt, sowie ein CRC-basierter Header Error Check.

DSSS-Frame-Format: Prambel und Header fallen deutlich umfangreicher aus als bei FHSS.

webcode: a680

69

Netzwerktechnologien im berblick

Die bertragung von Prambel und Header erfolgt grundstzlich mit einer Datenrate von 1 Mbit/s, fr Datenpakete lsst sich die Bandbreite wie bei FHSS optional verdoppeln. Damit sich Bndelfehler ausgleichen lassen, werden die Daten via Scrambler in eine neue Abfolge gebracht. Im Gegensatz zu Systemen der Sprachbertragung dient diese Verwrfelung nicht der hheren Fehlertoleranz bei Bschelfehlern, sondern einem Ausgleich des Frequenzspektrums (Whitening).

1.4.24 802.11-Zusatz-Features
Zustzlich zu den fr MAC- und PHY-Layer beschriebenen Eigenschaften kennt IEEE802.11 weitere Gertemerkmale. Dazu zhlen beispielsweise Synchronisation und ein Energiesparmodus. Die Timing Synchronisation Function (TSF) dient zum Abgleichen der Systemzeit aller Stationen. Sie wird durch regelmiges Versenden des TSF-Zeitgebers zu den durch Target Beacon Transmission Times (TBTT) festgelegten Zeiten in einem so genannten Beacon gewhrleistet. In Infrastrukturnetzen zeichnet der Access Point fr dessen Aussendung verantwortlich, in Ad-hoc-Netzen teilen sich alle Stationen diese Aufgabe. Dazu strahlen die Stationen den Beacon mit verschiedenen, zufllig ausgewhlten Verzgerungszeiten aus. Da viele der drahtlosen Gerte mobil und somit batteriebetrieben arbeiten, sieht der Standard auch einen Energiesparmodus vor. Dessen Einsatz muss allerdings mit den anderen Stationen im Netz abgesprochen werden. Auch im so genannten Doze-Modus bleiben die Stationen weiter ansprechbar. Dafr sorgen Monitoring-Algorithmen, die sich im Infrastruktur- und Ad-hoc-Modus unterscheiden.

1.4.25 Sicherheit im Funknetz


Drahtlose Netzwerke stellen ein gewisses Sicherheitsrisiko dar. Die Ausbreitung der Funkwellen beschrnkt sich ja nicht auf das Netzwerk im engeren Sinn, die Konversation kann von jedem innerhalb der Funkreichweite befindlichen IEEE802.11-Empfnger abgehrt werden. Daher sieht der Standard die Implementierung einer Reihe von Sicherheitsmerkmalen vor. Auf der niedrigsten Ebene erfolgt die Zulassung der Teilnehmer ber einen als Electronic System ID (SSID, ESSID) bezeichneten Schlssel. Die fr alle Systeme im Netz identische SSID legt der Administrator bei der Konfiguration der Clients und Access Points fest. Daraus resultieren zwei gravierende Einschrnkungen. So zeigt die SSID zwar das allgemeine Zugangsrecht des Teilnehmers an, eine eindeutige Identifikation erlaubt sie aber nicht. Zudem ist es hufig kein Problem, die SSID eines WLANs herauszufinden. Dazu trgt nicht zuletzt bei, dass die meisten Hersteller erlauben, in den Konfigurationsdateien fr die SSID die Option any anzugeben: Dies authentisiert den Einsatz in allen Funknetzwerken.
70 www.tecChannel.de

802.11: Standard fr Funknetze

1.4.26 Authentifizierung auf Link-/Benutzerebene


In Infrastruktur-Netzen lsst sich der Zugang zum Netz auf zugelassene Stationen beschrnken. Die Identitt der Endgerte wird bei der im Rahmen des 802.11 mglichen Link Level Authentification zwischen den beteiligten Stationen ausgetauscht. Dazu muss der Administrator die MAC-Adressen der Gerte in die Zugangslisten der Access Points eintragen. Hier bleibt jedoch ebenfalls ein gewisses Sicherheitsrisiko bestehen. Bei den meisten auf dem Markt verfgbaren Produkten lsst sich die MAC-Adresse des Rechners verndern, so dass auch hier ein missbruchlicher Einsatz mglich erscheint. Zudem ergibt sich zumindest in greren Netzen ein Problem praktischer Natur: Bislang bieten nur wenige Hersteller komfortable Werkzeuge zum Verwalten ausgedehnter WLANs an. Daher kommt in Netzen mit vielen Teilnehmern und Access Points ein erheblicher Administrationsaufwand auf den Systemverwalter zu, wenn er den Benutzern ein komfortables Roaming ermglichen will. Um die Authentifizierung nicht nur auf Gerteebene, sondern auch benutzerbezogen zu untersttzen, implementieren daher fast alle Hersteller inzwischen den Remote Authentification Dial-in User Service (RADIUS). Er ermglicht die zentrale Verwaltung von Benutzeridentifikationen und Passwrtern.

1.4.27 Verschlsselung mit WEP


Der Inhalt von Funknachrichten kann im Rahmen der Wired Equivalent Privacy (WEP) nach einem 40-Bit-RC4-Algorithmus verschlsselt werden. Dabei handelt es sich allerdings um einen optionalen Bestandteil des Standards, der nicht in jeder Implementierung vorhanden sein muss. Zudem setzen die Hersteller proprietre Werkzeuge zur Schlsselverwaltung ein, worunter die Interoperabilitt zwischen WLAN-Komponenten unterschiedlicher Herkunft leidet. Sowohl die Tatsache, dass es sich hier um ein relativ gut angreifbares Stromchiffrier-Verfahren handelt, als auch die geringe Schlsseltiefe haben in der letzten Zeit fr einige Diskussionen rund um WEP gesorgt. So kommt etwa eine Untersuchung der University of California in Berkeley (UCB) zu dem Schluss, dass WEP sowohl gegen aktive wie passive Kryptoanalysen verwundbar sei. ber die 40-Bitkodierung hinaus bieten mittlerweile die meisten Hersteller eine Kodierung mit 128 Bit Verschlsselungstiefe an. Hierbei handelt es sich allerdings um proprietre Entwicklungen, die nicht herstellerbergreifend zusammenarbeiten. Zudem legen die Ergebnisse der UCB-Untersuchung nahe, dass die Verwundbarkeit eher mit dem Systemdesign als der Schlsseltiefe zusammenhngt. Daher sollte man beim Einsatz von WLANs zustzliche Schutzmechanismen in Erwgung ziehen. So lassen sich auf Grund der Einbettung in die IEEE802-Standards auch bei WLANs alle Sicherheitsmechanismen der hheren Protokollebenen, wie etwa IPSec, problemlos einsetzen.

webcode: a680

71

Netzwerktechnologien im berblick

1.4.28 Antennentechnik
Die bertragung mit Hilfe elektromagnetischer Wellen setzt den Einsatz von Sende- und Empfangsantennen voraus. Hier existieren verschiedene Bauformen, die zwar nicht im Standard beschrieben werden, jedoch die Leistungsfhigkeit stark beeinflussen knnen. Dabei bestimmt die Richtcharakteristik der Antenne wesentlich die Reichweite und die Qualitt der Funkbertragung und damit die erzielbare Geschwindigkeit. So lsst sich beispielsweise mit Richtantennen die verfgbare Sendeleistung auf einen geringen Raumwinkel bndeln. Auf diesem Weg knnen auch in Europa, wo die maximale Sendeleistung auf 100 mW beschrnkt ist, fest installierte Systeme bei Sichtverbindung Reichweiten von 1 bis 2 km erzielen. Damit eignen sich 802.11b-Systeme auch fr die Kopplung rumlich entfernter LANs. Beim mobilen Einsatz dagegen strt eine Richtcharakteristik eher. Hier ist eine mglichst gleichmige Ausstrahlung in alle Richtungen anzustreben. Zwar erreichen die mit den meisten Systemen ausgelieferten Antennen diese Richtungsunabhngigkeit problemlos. Jedoch kann die Abstrahlung durch unmittelbar in der Nhe der Antenne befindliche Gegenstnde abgeschattet werden. Deswegen ist der Standort der Antennen von zentraler Bedeutung.

1.4.29 Bauformen von Antennen


Die Baugre von WLAN-Antennen hlt sich auf Grund der verwendeten Wellenlnge in komfortablen, handhabbaren Grenzen. So misst eine Antenne mit einer Wellenlnge im 2,4-GHz-Band etwa 12,5 cm. Entsprechend lsst sich eine Lambda/4-Antenne auf etwas mehr als 3 cm unterbringen. Wegen der geringen Antennenmae existiert eine Vielzahl von Bauarten. Integrierte Antennen passen problemlos an die WLAN-PC-Card oder in den Deckel von Notebooks. Fr stationre Gerte eignen sich dagegen eher externe Antennen. Zwar fgt diese Anschlussform dem Kabelgewirr unter dem Schreibtisch eine weitere lstige Leitung hinzu. Andererseits knnen im stationren Einsatz bereits wenige Dutzend Zentimeter Standortdifferenz ber Wohl oder Wehe der drahtlosen Verbindung entscheiden. Eine Verschiebung der Antenne lsst sich im Zweifelsfall wesentlich leichter vornehmen als ein Standortwechsel des Rechners.

1.4.30 Herstellerspezifische Merkmale


Die Hersteller von 802.11-Gerten haben nur wenige Mglichkeiten, sich von den Mitbewerbern zu differenzieren. Bei Systemen, die nach einem festen Standard arbeiten, lsst sich das ber die eigentliche Funktionalitt des Gerts kaum erreichen. Die Differenzierung kann lediglich ber Zusatzdienste erfolgen, die ber die im Standard beschriebenen Funktionen hinausgehen.
72 www.tecChannel.de

802.11: Standard fr Funknetze

Dabei ergeben sich einige typische Ansatzpunkte. Dazu zhlt nicht zuletzt die Sicherheit: Die Implementierung des optionalen WEP und die Kodierung mit 128 Bit haben wir bereits angesprochen. Auch bei der Administration gehen die Hersteller eigene Wege. Bieten sie eine zentrale Gerte- oder Benutzerverwaltung, bezieht diese meist nur die eigenen Systeme in die Erkennung ein und kann Gerte anderer Hersteller nicht oder nur eingeschrnkt administrieren. Die genannten und verschiedene weitere klein gedruckte Aspekte beeintrchtigen in der Praxis die Interoperabilitt der Systeme wesentlich. Deshalb empfehlen praktisch alle verfgbaren Testergebnisse, trotz des zu Grunde liegenden einheitlichen Standards, beim Aufbau von WLANs mglichst nur Systeme eines Herstellers zu verwenden.

1.4.31 802.11a: Standard mit Schwierigkeiten


Whrend der 802.11-Standard im 2,4-GHz-ISM-Band operiert, nutzt die Variante 802.11a eine bertragung im 5-GHz-UNII-Bereich. IEEE hat hier Datenraten von 6 bis 54 Mbit/s geplant, Standards fr 6, 12 und 24 Mbit/s wurden bereits festgelegt. Die ersten 802.11a-konformen Gerte sollen Ende 2001 erscheinen. IEEE802.11a greift auf ein Orthogonal Frequency Division Multiplexing (OFDM) zurck. Dieses Verfahren soll insbesondere den mit der Varianz der Signallaufzeiten (Delay Spread) ber unterschiedliche Ausbreitungspfade (Multipath) verbundenen Schwierigkeiten begegnen. Der hier gewhlte Ansatz besteht darin, die Symboldauer recht lang zu whlen und eine Modulationsart mit einem groen Verhltnis von Bits zu Symbolen zu whlen. Dabei benutzt OFDM eine Reihe von Unterfrequenzen (Subcarrier Frequencies), die zueinander orthogonal sind. Jede Unterfrequenz lsst sich getrennt auf die Besonderheiten des bertragungskanals anpassen. Allerdings bringt 802.11a bislang einige wesentliche Nachteile mit sich. So bestehen im 5-GHz-Band deutliche Probleme durch Rauschen, Abschattungen und andere parasitre Effekte. Die entsprechenden technischen Gegenmanahmen verteuern die Endgerte deutlich. Zudem ist der UNII-Bereich bis dato lediglich in den USA zur Benutzung freigegeben. In Europa hat ETSI Teile dieses Frequenzbands bereits fr konkurrierende drahtlose bertragungssysteme wie HiperLAN und HiperLAN2 reserviert. Und nicht zuletzt verbaut der Wechsel in einen ganz anderen Frequenzbereich eine kostengnstige Migration bereits installierter WLAN-Systeme.

1.4.32 802.11b: Die schnelle Variante


Die genannten Nachteile von 802.11a haben dazu gefhrt, dass stattdessen die Variante 802.11b sehr beliebt geworden ist. Der im September 1999 ratifizierte Standard (in lteren Quellen auch als 802.11HR bezeichnet) spezifiziert Systeme
webcode: a680 73

Netzwerktechnologien im berblick

mit einer Bandbreite von 5,5 oder 11 mbps im 2,4-GHz-Band. Als Bandspreizverfahren kommt einheitlich DSSS in einer zu 802.11/1997-DSSS-kompatiblen Form zum Einsatz. Der gemeinsame PHY-Standard soll die Interoperabilitt aller standardisierten 802.11b-Gerte gewhrleisten. Wegen der hheren Datenrate bentigt 802.11b einen verbesserten SignalRausch-Abstand (Signal-to-Noise-Ratio SNR). Das macht sich sowohl in einer hheren Strempfindlichkeit als auch in geringeren Reichweiten bemerkbar. Als Adaptionsmanahme passt 802.11b die Datenrate dynamisch und fr die hheren Protokollschichten transparent an die Gegebenheiten des bertragungskanals an. Das kann dazu fhren, dass auch 802.11b nur mit 1 oder 2 Mbit/s bertrgt.

1.4.33 Verbesserte Modulationsverfahren


Die Erhhung der Datenrate basiert im Wesentlichen auf einem Modulationsverfahren mit verbesserter Nutzung des Frequenzspektrums. Das hier zum Zuge kommende Quadrature Phase Shift Keying (QPSK) bertrgt mehr Bits pro Symbol als das bei 802.11 eingesetzte Binary Phase Shift Keying (BPSK). Darber hinaus werden andere PN-Folgen eingesetzt, die man als Complimentary Code Keying (CCK) bezeichnet (siehe Abbildungen).

Modulation: CCK erweitert das ursprngliche MBOK zu komplexen Strukturen.

Im Sinne des Investitionsschutzes hatten vor allen Dingen die Hersteller Lucent und Harris (Prism) versucht, mit der Entwicklung proprietrer Systeme den Standardisierungsprozess im 2,4-GHz-Bereich fr ihre Produkte zu entscheiden. Aber das Standardisierungsgremium whlte weder die Pulse Position Modulation (PPM) von Lucent fr Datenraten von 5 und 10 Mbit/s noch das MBOK (M-ary Bi-Orthogonal Keying) von Harris mit Datenraten von 5,5 und 11 Mbit/s.

74

www.tecChannel.de

802.11: Standard fr Funknetze

802.11b: Datenraten und Modulation


Datenrate 1 Mbit/s 2 Mbit/s 5,5 Mbit/s 11 Mbit/s Code-Lnge 11 (Barker) 11 (Barker) 8 (CCK) 8 (CCK) Modulation BPSK QPSK QPSK QPSK Symbolrate 1 MS/s 1 MS/s 1,375 MS/s 1,375 MS/s Bits/ Symbol 1 2 4 8

1.4.34 Weitere IEEE802.11-Standards


Neben den bereits erwhnten Standards 802.11a und 802.11b umfasst IEEE811 noch weitere Substandards, die noch den Normierungsprozess durchlaufen.

IEEE802.11-Arbeitsgruppen
Task Group 802.11b-cor 802.11d 802.11e 802.11f 802.11g 802.11h Arbeitsgebiet Korrekturen der 802.11-MIB Aktualisierung der Regulatory Domains MAC-Erweiterungen IAPP (Inter Access Point Protocol) Erweiterung von 802.11b fr hhere Datenraten Frequenzspektrum von 802.11a Dr. Axel Sikora

tecCHANNEL-Links zum Thema


Test: Funknetze nach IEEE 802.11 Bluetooth der Kabel-Killer DECT: Die Alternative zu Bluetooth So funktionieren TCP/IP und IPv6 TCP/IP-Netze mit Linux Test: Linux fr den Server

Webcode
a620 a477 a511 a209 a562 a487

Compact
S.76

webcode: a680

75

TCP/IP im Detail

2 TCP/IP im Detail
Herstellerspezifische Protokolle haben an Bedeutung verloren. Die Protokollfamilie TCP/IP sorgt inzwischen weltweit fr die Verbindung unterschiedlichster Devices. In diesem Kapitel erlutern wir das Internet Protocol (IP) sowie das entsprechende Transport Protocol (TCP) und zeigen, wie Rechner zu ihren Namen und Adressen kommen.

2.1 So funktionieren TCP/IP und IPv6


Die Grundlage des Internets ist die Protokollfamilie TCP/IP, die eine weltweite Kommunikation zwischen unterschiedlichsten Rechnern und Devices ermglicht. Die Protokollfamilie TCP/IP wurde erstmalig Mitte der 70er Jahre entwickelt, als bei der amerikanischen Defense Advanced Research Agency (DARPA, www.darpa.mil) das Interesse an einem Paketvermittlungsnetz aufkam, das die Kommunikation zwischen unterschiedlichen Computersystemen an Forschungseinrichtungen erleichtern wrde. TCP/IP schafft ein heterogenes Netzwerk mit offenen Protokollen, die unabhngig von unterschiedlichen Betriebssystemen und Hardware-Architekturen sind. Ob Heim-PC, Grorechner oder Pocket-PC ber die Internet-Protokolle knnen alle Rechner miteinander kommunizieren. Die Protokolle sind fr jedermann frei verfgbar und werden als offen betrachtet. Jeder Anwender kann sie lizenzfrei fr eigene Zwecke nutzen und eigene Applikationen und Dienste darauf aufsetzen. Dabei steht TCP/IP fr eine ganze Reihe von Protokollen, die so genannte Internet Protocol Suite. Die beiden wichtigsten Typen TCP und IP sind zum Synonym fr diese Familie geworden. Auf Grund des einheitlichen Adressierungsschemas kann jeder Rechner in einem TCP/IP-Netz jeden beliebigen anderen Rechner eindeutig identifizieren. Standardisierte Protokolle in den hheren Schichten stellen dem Benutzer einheitlich verfgbare Dienste zur Verfgung. Als TCP/IP Ende der 70er Jahre dem BSD-Unix (www.bsd.org) beigefgt wurde, entwickelte sich daraus die Grundlage, auf der das Internet basiert.

2.1.1 Protokollarchitektur
Es gibt keine generelle bereinstimmung darber, wie TCP/IP in einem Schichtenmodell beschrieben werden soll. Das OSI-Modell ist zwar recht ntzlich, aber grtenteils sehr akademisch. Um den Aufbau von TCP/IP zu verstehen, bentigt man ein Modell, das nher an die Struktur der Protokolle angelehnt ist.

76

www.tecChannel.de

So funktionieren TCP/IP und IPv6

Das amerikanische Verteidigungsministerium (DoD Department of Defense, www.defenselink.mil) hat ein 4-Schichten-Netzwerkmodell ausgearbeitet. Jede Schicht besteht aus einer Anzahl von Protokollen, die gemeinsam die TCP/IPProtokollfamilie bilden. Die Spezifikationen fr jedes Protokoll wurden jeweils in einem oder mehreren RFCs festgelegt.
Alternative zum OSI-Modell: Das 4-Schichten-Netzwerkmodell des US-Verteidigungsministeriums.

Die Daten werden wie im OSI-Modell beim Versenden im Stack nach unten gereicht; beim Empfang von Daten aus dem Netz fhrt der Weg durch den Stack nach oben. Jede Schicht fgt dabei ihre Kontrollinformationen hinzu, um eine korrekte bertragung der Daten sicherzustellen. Diese Informationen nennt man Header, da sie den eigentlichen Daten vorangestellt werden.

2.1.2 Die Kapselung von Daten


Das Hinzufgen von Kontrollinformationen nennt man Encapsulation (Kapselung). Beim Empfangen von Daten werden die Schritte der Kapselung wieder rckgngig gemacht. Jede Schicht entfernt ihren Header und reicht die restlichen Daten an die darber liegende Schicht weiter.

webcode: a209

77

TCP/IP im Detail

Kapselung: Zahlreiche Header vergrern die Datenmenge bei TCP/IP.

Bei der bertragung von geringen Datenmengen kann es allerdings passieren, dass durch die Kapselung mehr Protokolldaten als Nutzdaten bertragen werden. In diesem Fall empfiehlt sich beispielsweise der Einsatz des User Datagram Protocols (UDP), welches nur ber minimale Protokollmechanismen zur Datenbertragung verfgt.

2.1.3 IP: Internet Protocol


Das Internet Protocol (IP) ist die Grundlage der Protokollfamilie TCP/IP und fr die Weiterleitung der Daten zustndig. Generell hat es die Aufgabe, die Datenbertragung zwischen Netzwerken sicherzustellen. Dazu muss das Protokoll diverse Aufgaben bernehmen und diese als Dienst den hheren Schichten zur Verfgung stellen. Zu den Aufgaben des IP zhlen: Datenpaketdienst Fragmentierung von Datenpaketen Wahl der bertragungsparameter Adressfunktion Routing zwischen Netzwerken Das Internet Protocol stellt keine gesicherte Verbindung zur Verfgung und kann keine verlorenen Datenpakete erneut bertragen. Jedes IP-Datenpaket wird als unabhngiges Paket (Datagramm) durch das Netzwerk an den Empfnger bermittelt. Fr die Netzwerktypen sind unterschiedliche Datenpaketlngen festgelegt. Die Gre eines Datenpakets hngt von mehreren Faktoren ab, wie Hardware- und Software-Beschrnkungen.

78

www.tecChannel.de

So funktionieren TCP/IP und IPv6

Ist ein Datenpaket wegen seiner berlnge nicht als eine Einheit bertragbar, so muss es in kleinere Fragmente zerlegt werden. Die Pakete werden zwar in der richtigen Reihenfolge gesendet, kommen aber nicht notwendigerweise in derselben dort an. Da die Einzelpakete verschiedene Wege gehen knnen, sind zustzliche Informationen erforderlich. Diese erlauben, den Zustand des ursprnglichen Datenpakets zu rekonstruieren. Jedes Datenpaket erhlt daher bei der bertragung einen IP-Header vorangestellt.

2.1.4 IP-Header im Detail


Der IP-Header bietet 14 Parameter und hat bei Nutzung des Feldes Options eine Lnge von 32 Bytes, ansonsten 20 Bytes.

Bit fr Bit: Der IP-Header im Detail.

Der IP-Header im Detail


Name Gre (in Bits) 4 Beschreibung Legt die Version des IP-Headers fest. Momentan ist Version 4 aktuell, auch als IPv4 bezeichnet. Mittelfristig wird diese von Version 6 (IPv6) abgelst werden. Gibt die gesamte Lnge des Headers an. Die Angabe ist wegen des Options-Feldes notwendig.

Version

IHL

webcode: a209

79

TCP/IP im Detail

Type of Service

Definiert die Dienste eines IP-Datenpakets. Beispielsweise knnen die vorrangige Behandlung von Datenpaketen, die Durchsatzart oder die Belegung von Ressourcen in Routern festgelegt werden. Verzeichnet die Gesamtlnge des Datagramms. Enthlt einen Kennwert von Fragmenten zu einem Datenpaket. Anhand des Feldes ermittelt der Empfnger die korrekte Reihenfolge der Datenpakete. Enthlt das Kontroll-Flag Dont Fragment (DF), wenn keine weiteren Pakete folgen und More Fragment (MF), wenn weitere Pakete folgen. Beinhaltet Informationen ber die Position eines Datagramms zu anderen Datagrammen. Mit Hilfe des Fragmentation Offset kann der Empfnger die Datenpakete in der richtigen Reihenfolge zusammensetzen. Definiert die Lebensdauer eines Datagramms im Netzwerk. Fllt der Wert auf Null, wird das Datenpaket verworfen. Die Lebensdauer eines Datenpakets betrgt maximal 255 Sekunden oder den bergang ber 255 Router. Der Wert des Feldes wird bei jedem Durchgang durch einen Router um mindestens 1 herabgesetzt. Legt fest, welches weiter verarbeitende Protokoll der hheren Schichten als Nchstes das Datenpaket verarbeiten muss. Zum Beispiel 6 fr TCP oder 17 fr UDP. Enthlt eine Prfsumme, die den Header auf Fehler berprft. Durch die Prfsumme knnen bermittlungsfehler erkannt werden. Enthlt hexadezimal die Adresse des Senders.

Total Length

16

Identification

16

Flags

Fragmentation Offset

13

Time to Live

Protocol

Header Checksum Source Address

16

32

80

www.tecChannel.de

So funktionieren TCP/IP und IPv6

Destination Address Options Padding

32 bis zu 96

Enthlt hexadezimal die Adresse des Empfngers. Variables Feld, das optionale Informationen wie Sicherheitsrestriktionen enthlt. Enthlt Fll-Bits, die sicherstellen, dass der IP-Header bei Nutzung des OptionsFeldes eine Lnge von 32 Bytes hat.

2.1.5 IP-Adressen
Jedem Host in einem TCP/IP-Netz wird eine eindeutige 32-Bit-Adresse zugewiesen, die aus zwei Hauptteilen besteht: einer Netzadresse und einer Adresse des Rechners innerhalb dieses Netzes. Allerdings ist das Format dieser beiden Teile nicht in allen IP-Adressen dasselbe. Zur einfacheren Strukturierung hat man den gesamten Adressraum in mehrere Klassen unterteilt. Die Anzahl der Bits, die das Netzwerk identifizieren und die Anzahl der Bits, die den Rechner identifizieren, variieren mit der Klasse, der die Adresse angehrt. Im Allgemeinen werden die Adressen als vier durch Punkte getrennte Dezimalzahlen geschrieben. Jede dieser vier 8-Bit-Zahlen liegt im Bereich von 0 bis 255 die Werte, die sich in einem Byte darstellen lassen.

Adressbereiche
Klasse A B C D E Adressbereich 1.0.0.0 bis 127.255.255.255 128.0.0.0 bis 191.255.255.255 224.0.0.0 bis 239.255.255.255 224.0.0.0 bis 239.255.255.255 240.0.0.0 bis 254.255.255.255 Max. Anzahl Hosts 16.777.216 65.536 254 Einsatzbereiche Wenige Netzwerke, viele Hosts Mittlere Verteilung von Netzwerken und Hosts Viele Netzwerke, wenige Hosts Multicast-Adressen Nicht definiert

webcode: a209

81

TCP/IP im Detail

2.1.6 IP: Adressklassen und besondere Adressen


Die drei wichtigsten Adressklassen sind A, B und C. Um festzustellen, zu welcher Klasse eine Adresse gehrt, liest die IP-Software die ersten Bits einer Adresse. Zur Bestimmung der jeweiligen Klasse, der eine Adresse angehrt, wendet IP folgende Regeln an: Ist das erste Bit einer Adresse 0, handelt es sich um eine Adresse der Klasse A. Das erste Bit der Adresse kodiert die Klasse, die nchsten 7 Bit identifizieren das Netzwerk. Die restlichen 24 Bits kodieren den Rechner innerhalb dieses Netzes. Insgesamt sind 127 Class-A-Netze mglich. Wenn die ersten beiden Bits einer IP-Adresse 10 sind, handelt es sich um eine Adresse in einem Class-B-Netz. Die ersten beiden Bits bestimmen die Klasse, die nchsten 14 Bits identifizieren das Netz und die letzten 16 Bits den Rechner. Sind die ersten drei Bits 110, handelt es sich um ein Class-C-Netz. Die ersten 3 Bits dienen zur Bestimmung der Klasse, die nchsten 21 Bits bestimmen das Netzwerk. Die letzten 8 Bits definieren den Rechner. Wenn die ersten 3 Bit 111 sind, handelt es sich um eine spezielle reservierte Adresse, oft auch als Class-D-Netz bezeichnet. Diese Adressen sind so genannte Multicast-Adressen. Damit lassen sich Gruppen von Computern adressieren, die ein gemeinsames Protokoll benutzen. Es gibt in allen Netzwerkklassen auch Rechnernummern, die fr spezielle Zwecke reserviert sind. Eine IP-Adresse, in der alle Rechner-Bits auf 0 stehen, also Rechnernummer 0, identifiziert das Netzwerk selbst. Stehen alle Rechner-Bits auf 1, also Rechnernummer 255, bezeichnet man diese Adresse als Broadcast-Adresse. Diese Adresse wird benutzt, um gleichzeitig jeden einzelnen Rechner in einem Netzwerk zu adressieren. Auch in der Klasse A gibt es zwei Adressen, nmlich 0 und 127, die fr spezielle Zwecke reserviert sind. Das Netzwerk 0 bezeichnet die Default-Route (Standard- oder voreingestellte Route) und das Netzwerk 127 ist die LoopbackAdresse. Die Default-Route dient der Vereinfachung des Routing, das IP vornehmen muss. Die Loopback-Adresse vereinfacht Netzwerkanwendungen, indem der lokale Rechner genau so adressiert werden kann wie ein fremder Rechner.

2.1.7 Subnetze
Durch die Verwendung von Subnetzmasken kann man den Rechneranteil der IPAdresse in einen Subnetzteil umwandeln. Die Subnetzmaske gibt an, welche Bereiche als Subnetz- und welche als Rechneradresse interpretiert werden. Dadurch schafft man innerhalb eines groen Netzes mehrere kleine, reduziert aber gleichzeitig die Anzahl der Rechner, die zu einem Netz gehren. Diese kleinen Netze innerhalb eines groen Netzes werden als Subnetze bezeichnet.
82 www.tecChannel.de

So funktionieren TCP/IP und IPv6

So wird zum Beispiel eine Class-A-Adresse 10.x.y.z, die eine Subnetzmaske von 255.0.0.0 hat, durch die Subnetzmaske 255.255.0.0 zu einer Class-B-Adresse, durch die Subnetzmaske 255.255.255.0 zu einer Class-C-Adresse. Die Entscheidung, Subnetze einzurichten, dient meist der Lsung topologischer oder organisatorischer Probleme. Subnetze ermglichen es, die Verwaltung eines Rechnernetzes zu dezentralisieren. IP-Router knnen physikalisch verschiedene Netzwerke miteinander verbinden. Allerdings nur, wenn jedes einzelne Netz seine eigene, eindeutige Netzwerkadresse bekommt. Durch das Subnetz teilt man eine einzige Netzwerkadresse in viele eindeutige Subnetz-Adressen aus. So bekommt jedes physikalische Netz seine eigene Adresse. Subnetzmasken sind Bit-orientiert und bieten die Mglichkeit, Zwischenklassen festlegen. Zum Beispiel ergibt eine Subnetzmaske 255.128.0.0 eine Class-AAdresse. Das zweite Byte unterscheidet zwischen den beiden Netzen 0 bis 127 und 128 bis 255. Ein Class-A-Netzwerk wird damit in zwei Subnetze gegliedert.

2.1.8 Routing: So kommen die Daten ans Ziel


Der Sender eines IP-Datenpakets kennt zwar die Zieladresse, nicht aber den Weg dorthin. Jede Station auf dem Weg des Datagramms zum Empfnger muss eine Entscheidung ber die Wahl des weiteren Wegs fllen. Dieser Vorgang wird als Routing bezeichnet. Die Wahl einer bestimmten Route ist von verschiedenen Kriterien abhngig. Der Sender bergibt diese Aufgabe einem Standard-Router, der fr die Zustellung von Datenpaketen in andere Netze zustndig ist. Zwischen zwei Hosts liegen in der Regel mehrere Router. Jeder dieser Router verfgt ber eine so genannte Routing-Tabelle. Auf Grund derer wird die nchste Station fr das Datagramm bestimmt. Jeder Eintrag in der Routing-Tabelle ist durch folgende Informationen spezifiziert:

Routing-Tabelle im Detail
Feld Destination Gateway Beschreibung Zielnetzwerk; dabei kann es sich um eine IP-Adresse oder ein Subnetz handeln. Die Adresse des Standard-Gateways, ber den das Ziel erreicht werden kann. Bestimmen die Charakteristika dieser Route: H: Route zu einem Rechner und nicht zu einem Netzwerk. G: Route benutzt einen Gateway. U: Route existiert und kann benutzt werden.

Flags

webcode: a209

83

TCP/IP im Detail

Refcnt Interface Metric

Gibt an, wie hufig die Route zum Verbindungsaufbau benutzt wurde. Gibt den Namen des Netzwerk-Interfaces fr die Route an. Entspricht der Anzahl von Gateways, die zwischen Absender und Ziel der Daten liegen. Diese Angabe ist vor allem beim dynamischen Routing von Bedeutung.

2.1.9 Routing-Verfahren
Prinzipiell unterscheidet man zwischen drei Routing-Verfahren: Statisches Routing ber feste Tabelleneintrge Default-Routing ber einen festen Tabelleneintrag Dynamisches Routing ber ein automatisches Update der Routing-Tabellen Beim statischen Routing wird fr jedes Netzwerk der zustndige Router in die Routing-Tabelle des Rechners eingetragen. So kann man genau nachvollziehen, welchen Weg ein Datenpaket genommen hat. Bei greren Netzen ist dieses Vorgehen aber nicht sinnvoll, da zu viele Eintrge gewartet werden mssten. Beim Default-Routing wird in die Routing-Tabelle des Rechners eine Adresse eingetragen, an die alle Datenpakete gesendet werden, die nicht aus dem eigenen Netzwerk-Adressbereich stammen. Beim dynamischen Routing tauschen sowohl Rechner als auch Router Informationen untereinander aus. Dadurch wei jeder Rechner, welcher Weg aktuell der beste ist. Die Routing-Tabellen mssen nicht von Hand gepflegt werden. Jedes Datenpaket wird ber den derzeit optimalen Weg geschickt. Die Kommunikation zwischen den Routern erfolgt ber spezielle Router-Protokolle wie RIP (Routing Information Protocol) oder IGRP (Interior Gateway Routing Protocol).

2.1.1 Private IP-Adressen


Fr die Verwaltung von IP-Adressen ist in erster Linie die IANA (Internet Assigned Numbers Authority, www.iana.org) zustndig. Diese hat wiederum die Vergabe weltweit an drei regionale Organisationen abgegeben. Fr Nord- und Sdamerika ist ARIN (American Registry for Internet Numbers, www.arin.net), fr Europa RIPE NCC (Rseaux IP Europens, www.ripe.net) und fr Asien APNIC (Asia-Pacific Network Information Center, www.apnic.net) zustndig.

84

www.tecChannel.de

So funktionieren TCP/IP und IPv6

Details fr die Vergabe von IP-Adressen sind in RFC 2050 definiert. Die Reservierung von einer oder mehreren IP-Adressen erfolgt immer ber einen InternetProvider. Nicht alle TCP/IP-Netze sind untereinander ber das Internet verbunden. Daher sind in RFC 1918 drei Adressbereiche in den Netzwerkklassen A, B und C speziell fr isolierte, lokale TCP/IP-Netzwerke reserviert:

Netzwerkklassen
Adressbereich 10.0.0.0-10.255.255.255 172.16.0.0-172.31.255.255 192.168.0.0-192.168.255.255 Klasse Class-A-Netz Class-B-Netz Class-C-Netz

Hosts mit diesen Adressen knnen nicht direkt an das Internet angeschlossen werden. So stehen diese Adressbereiche fr beliebig viele lokale Netze gleichzeitig zur Verfgung.

2.1.10 Kontrollmechanismus fr IP: ICMP


Treten bei der bertragung des IP Fehler auf, kommt das Internet Control Message Protocol (ICMP) zum Einsatz. ICMP kennt dabei Fehler- und Statusmeldungen. Ist beispielsweise ein Host nicht erreichbar, sendet ein Host oder Router die Fehlermeldung Destination Unreachable zum Absender. Neben der Fehlerbermittlung dient ICMP zur Kontrolle: So verwendet der Ping-Befehl ICMP-Pakete, um die Laufzeit von Datagrammen zwischen zwei Hosts zu ermitteln.

webcode: a209

85

TCP/IP im Detail

ICMP: Header und Datagramm im Detail.

Die bermittlung von ICMP-Nachrichten erfolgt innerhalb von IP-Datagrammen. Sie bestehen aus drei Headerfeldern und dem Datenblock. Das Headerfeld Type gibt den Nachrichtentyp an. Man unterscheidet dabei zwischen Fehlerund Statusmeldungen. Im Feld Code sind die Fehlercodes fr das jeweilige Datagramm enthalten. Die Interpretation ist dabei vom Nachrichtentyp abhngig. Das Headerfeld Checksum enthlt eine Prfsumme.

2.1.11 ICMP-Meldungen
Man unterscheidet zwei Klassen von ICMP-Meldungen:

ICMP-Fehlermeldungen
Meldung Destination Unreachable Beschreibung Der Code teilt dem Sender mit, warum das Datenpaket nicht bermittelt werden konnte, z.B. Rechner nicht erreichbar. Durch den Code in der Redirect-Meldung wird dem Sender mitgeteilt, ber welchen Router das Datenpaket geschickt werden muss.

Redirect

86

www.tecChannel.de

So funktionieren TCP/IP und IPv6

Source Quench

Die Meldung besagt, dass das Datenpaket auf Grund fehlender Ressourcen nicht bermittelt werden konnte. Das Paket konnte wegen berschreitung der maximalen Zeit nicht bermittelt werden, wenn beispielsweise der Fragmentierungsprozess zu lange dauerte. Der Pointer im ICMP-Header zeigt auf das Byte im Datenpaket, das bei der bermittlung einen Fehler verursacht hat.

Time Exceeded

Parameter Problem

ICMP-Informationsmeldungen
Meldung Echo Beschreibung An den Sender eines Echo-Requests werden vom Empfnger alle im Datenpaket enthaltenen Daten zurckgeschickt. Durch die Informationsmeldung kann der Sender die Netzadresse des Netzes erfragen, an das er angeschlossen ist. Dem Sender eines Timestamp-Request-Datenpakets werden vom Empfnger Sendeund Empfangszeit sowie die Sendezeit des Timestamp-Reply-Datenpakets bermittelt.

Information

Timestamp

2.1.12 TCP: Transmission Control Protocol


Anwendungen, die darauf angewiesen sind, dass ihre Daten zuverlssig ihr Ziel erreichen, benutzen das Transmission Control Protocol (TCP). Es stellt sicher, dass die Daten korrekt und in der richtigen Reihenfolge ber das Netz transportiert werden. Dabei wird das IP-Protokoll nicht ersetzt, sondern dessen Fhigkeiten werden zum Versand und Empfang genutzt. TCP ist ein zuverlssiges, verbindungsorientiertes Protokoll. Ein Rechner sendet die Daten nach einer bestimmten Zeit noch einmal, bis er von der Gegenstelle die Besttigung erhlt, dass sie korrekt empfangen wurden. Die Dateneinheit, die TCP-Module bei der Kommunikation untereinander verwendet, wird als Segment bezeichnet. Dabei enthlt jedes Segment automatisch eine Prfsumme, die auf der Empfngerseite ausgewertet wird. Damit testet man, ob die Daten korrekt beim Empfnger angekommen sind.
webcode: a209 87

TCP/IP im Detail

TCP arbeitet verbindungsorientiert. Das Protokoll stellt also eine logische Rechner-zu-Rechner-Verbindung her. Zu diesem Zweck bermittelt TCP vor der bertragung der Nutzdaten einige Kontrollinformationen, Handshake genannt. Das von TCP benutzte Handshake wird als 3-Way-Handshake bezeichnet, weil dazu drei Segmente ausgetauscht werden. Der Verbindungsaufbau beginnt damit, dass beide Rechner einen Anfangswert fr die Sequenznummer (Initial Sequence Number ISN) festlegen. Die Nummern werden in einem Dialog zwischen den beteiligten TCP-Systemen ausgetauscht und besttigt.

2.1.13 3-Way-Handshake
Der Verbindungsaufbau mit dem 3-Way-Handshake lsst sich an einem Verbindungsdiagramm aufzeigen. Ausgangspunkt ist ein ruhender Service (Closed-Modus). Er stellt den Anfangswert einer Verbindung dar. Die Verbindung wird befehlsgesteuert in den Listen-Modus gesetzt. Dies ist der Zustand, bei dem zum anderen TCP-System eine Verbindung aufgebaut werden kann.
Schritt fr Schritt: Der 3-Way-Handshake einer TCP-Verbindung.

Befindet sich das System im Listen-Modus, wartet es auf ankommende Syn-Zeichen, um nach dem Eintreffen mit einem weiteren Syn-Zeichen zu antworten und in den Syn Received-Modus zu gehen. Wurde ein Syn-Zeichen gesendet, wechselt die Verbindung in den Syn Send-Modus. In diesem Modus bleibt das TCPSystem, bis es vom Partnersystem als Antwort ein Syn-Zeichen erhlt. Wird auf dieses Syn-Zeichen positiv geantwortet, so gelangt das TCP-System in den Syn Received-Modus. Nach der positiven Quittierung des Syn-Zeichens (ACK auf SYN) gelangen Sender und Empfnger in den Established-Modus: Daten knnen nun zwischen den Rechnern bertragen werden. Nachdem alle Daten bertragen worden sind, nehmen die beteiligten Rechner einen weiteren 3-WayHandshake vor. Dabei werden Segmente mit dem Bit No more data from sender ausgetauscht, um die Verbindung zu schlieen.

88

www.tecChannel.de

So funktionieren TCP/IP und IPv6

2.1.14 TCP-Header im Detail


Der TCP-Header verfgt ber 12 Parameter und hat bei Nutzung des Feldes Options eine Lnge von 32 Bytes, ansonsten 20 Bytes.
Bit fr Bit: Der TCP-Header im Detail.

TCP-Header im Detail
Name Source Port Destination Port Sequence Number Acknowledge Number Data Offset Gre (in Bits) 16 16 Beschreibung Enthlt die Portnummer der Quelldaten. Bestimmt den Ziel-Port der Daten. Dieser bleibt fr die Dauer der Verbindung gleich. Gibt beim Verbindungsaufbau eine Zufallszahl als Initial Sequence Number (ISN) an. Das erste Segment erhlt so den Wert ISN+1. Besttigungsnummer fr Empfangsquittungen an den Sender. Gibt die Anzahl der 32-Bit-Worte im TCP-Header an. Der Eintrag in diesem Feld ist fr die Berechnung des Datenteils relevant.

32

32

webcode: a209

89

TCP/IP im Detail

Reserved

Fr zuknftige Anwendungen reserviert; muss immer auf Null gesetzt werden. Enthlt eine Reihe von so genannten Ein-Bit-Indikatoren, die zum Aufbau, zur Beendigung und zur Aufrechterhaltung von Verbindungen dienen. Dient zur Flusskontrolle zwischen Sender und Empfnger. Die Flusskontrolle basiert auf der fortlaufenden Nummerierung der bertragenen Datenpakete. Enthlt eine Prfsumme, die aus dem TCP-Header und einem 96-Bit-Pseudo-Header gebildet wird. Gibt an, dass die TCP-Segmente Informationen mit groer Dringlichkeit transportieren. Solche Segmente werden durch das URG-Flag gekennzeichnet. Definiert Dienste-Optionen, Optionenart und Optionenlnge. Die aktuellen Optionendaten bestimmen die Lnge des Feldes. Enthlt eine variable Bitzahl, die sicherstellt, dass der TCP-Header bei Benutzung des Options-Feldes immer im 32-Bit-Format endet.

Control Flags

Windows Size

16

Checksum

16

Urgent Pointer

16

Options

96

Padding

Alle weiteren Informationen, die zum Senden und Empfangen ntig sind, enthlt der gekapselte IP-Header.

2.1.15 UDP: User Datagramm Protocol


Das User Datagram Protocol (UDP) bietet hheren Protokollen einen definierten Dienst zum transaktionsorientierten Versand von Datenpaketen. UDP verfgt nur ber minimale Protokollmechanismen zur Datenbertragung. Es setzt unmittelbar auf dem Internet Protocol auf. Da es im Gegensatz zu TCP keine Ende-zu-EndeKontrolle garantiert, sind weder die Ablieferung eines Datenpakets beim Empfnger, das Erkennen von Duplikaten noch die reihenfolgerichtige bermittlung gewhrleistet.

90

www.tecChannel.de

So funktionieren TCP/IP und IPv6

Es gibt dennoch eine Reihe von guten Grnden, die dafr sprechen, UDP als Datentransportdienst zu whlen. Wenn nur geringe Datenmengen zu bertragen sind kann es passieren, dass der Verwaltungsaufwand fr die Herstellung einer Verbindung und das Sicherstellen einer korrekten bertragung grer wren als der Aufwand fr eine erneute bertragung der gesamten Daten.
Minimale Protokollmechanismen: der UDP-Header im Detail.

UDP-Header im Detail
Name Gre (in Bits) Beschreibung Enthlt die optionale Adresse des Sende-Ports. Bei Antworten auf Datenpakete kann durch die Portadresse der jeweilige Prozess unmittelbar wieder angesprochen werden. Wird vom Sender kein Sendeport definiert, so wird dieses Feld mit dem Wert 0 bertragen. Enthlt die Adresse des EmpfngerPorts. Definiert die Gesamtlnge des Datenpakets, inklusive Header und Nutzdaten. Enthlt eine optionale Prfsumme. Der Wert 0 weist darauf hin, dass keine Berechnung erfolgt ist. Die Prfsumme wird aus dem UDP-Header und einem 96-Bit-Pseudo-Header errechnet.

Source Port

16

Destination Port Length

16 16

Checksum

16

Alle weiteren Informationen, die zum Senden und Empfangen ntig sind, enthlt der gekapselte IP-Header.
webcode: a209 91

TCP/IP im Detail

2.1.16 Nebenstellen: Protocols, Ports und Sockets


Sind die Daten am Zielrechner angekommen, mssen diese noch an den richtigen Anwendungsprozess ausgeliefert werden. Beim Transport der Daten durch die einzelnen TCP/IP-Schichten bentigt man einen Mechanismus, der die bergabe der Daten an das jeweilige richtige Protokoll sicherstellt. Das Zusammenlegen von Daten aus mehreren Quellen zu einem einzigen Datenstrom nennt man Multiplexen. Ankommende Daten aus dem Netz muss IP also demultiplexen. Dazu kennzeichnet IP die Transportprotokolle mit Protokollnummern. Die Transportprotokolle selber nutzen Portnummern zur Identifizierung von Anwendungen. Einige dieser Protokoll- und Portnummern sind so genannte Well-known Services reservierte Nummern fr Standardservices wie FTP oder Telnet. Die IP-Protokollnummer steht in einem Byte im dritten Wort des DatagrammHeaders. Dieser Wert bestimmt die bergabe an das jeweilige Protokoll in der Transportschicht. So steht beispielsweise 6 fr TCP oder 17 fr UDP. Das Transportprotokoll muss nach Empfang die Daten an den richtigen Anwendungsprozess bergeben. Die Anwendungsprozesse identifiziert man anhand einer 16 Bit langen Portnummer.

2.1.17 IPv6: Internet Protocol Version 6


Die rund vier Milliarden mglichen IP-Adressen werden dem Boom im Internet nicht mehr gerecht. Da demnchst praktisch jede Kaffeemaschine ber eine eigene Internet-Adresse verfgen soll, stt der derzeit verwendete Protokolltyp IPv4 an seine Grenzen. Zudem kennt IPv4 keine Sicherheitsfunktionen oder Verschlsselung. Auch Streaming-Anwendungen wird das Protokoll nicht gerecht. Daher ist ein neues Protokoll mit grerem Adressraum notwendig. Der Nachfolger steht bereits in den Startlchern. Er trgt die Bezeichnung Internet Protocol Version 6 (IPv6) und wurde Anfang der 90er Jahre von der Internet Engineering Task Force (IETF, www.ietf.org) empfohlen. Die IETF ist die zentrale Organisation zur technischen Entwicklung und Standardisierung des Internets. Die Spezifikationen wurden in RFC1883 festgelegt. IPv6 soll viele Unzulnglichkeiten seines Vorgngers beseitigen. Die ersten Entwrfe von IPv6 fhrte man unter der Bezeichnung Internet Protocol next Generation (IPnG). Unter dem Namen Internet Protocol Version 6 (IPv6) entstanden im Laufe der Jahre 1995 und 1996 zahlreiche Entwrfe. Im Jahre 1997 wurde IPv6 zum Draft Standard.

92

www.tecChannel.de

So funktionieren TCP/IP und IPv6

2.1.18 IPv6 im berblick


IPv6 ist wie sein Vorgnger IPv4 ein Transportprotokoll, das einzelne Pakete durch ein Netz transportiert. Zur Sicherstellung der vollstndigen bertragung kann IPv6 Protokolle auf einer hheren Schicht, zum Beispiel TCP, verwenden. Die wesentlichen funktionalen Elemente des neuen Protokolls sind: 128 Bit lange IP-Adressen Vereinfachte Struktur des Headers Verkettete Header fr den Transport von Optionen Optionen fr Verschlsselung und Authentisierung auf IP-Ebene Neue Klassifizierung von Datenstrmen (Flows) fr einen optimierten Transport von Audio- und Video-Daten Vereinfachung der manuellen Konfiguration Verbesserung der Flusskontrolle und der Erkennung von Engpssen Spezielle Mechanismen zur Entdeckung und berwachung von Nachbarn beim Einsatz auf Routern

2.1.19 IPv6-Header im Detail


Die Vereinfachung der Header-Struktur zhlt zu den bedeutendsten Neuerungen der IPv6-Spezifikation. Im Gegensatz zum Vorgnger IPv4 wurde der Header auf das unbedingt notwendige Minimum gekrzt. Dies ermglicht eine schnellere Bearbeitung und somit einen schnelleren Transport ber Router.
bersichtlicher: Der IPv6-Header ist gegenber dem alten IPv4Header deutlich vereinfacht.

webcode: a209

93

TCP/IP im Detail

Der IPv6-Header im Detail


Name Gre (in Bits) Beschreibung Enthlt bei IPv6 stets den Wert 6. Dieses Feld verwendet die Software zur Unterscheidung verschiedener IP-Versionen. Dies ermglicht die parallele Verwendung unterschiedlicher Versionen des Protokolls. Gibt an, mit welcher Prioritt die Daten auf dem Weg zum Ziel behandelt werden. Kennzeichnet einen Datenstrom zwischen Sender und Empfnger. Hierzu tragen alle Pakete, die zu einem bestimmten Datenstrom gehren, in diesem Feld den gleichen Wert. Gibt die Lnge des Datenpakets nach dem ersten Header an. Es werden die reinen Nutzdaten sowie alle vorhandenen optionalen Header bercksichtigt. Kennzeichnet den Typ des nchsten Header. Der Eintrag 59 bedeutet, dass weder weitere Header noch Daten folgen. Legt fest, nach wie vielen Durchgngen durch einen Router das Datenpaket zur Vermeidung von Schleifen verworfen werden soll. Der Maximalwert in diesem Feld betrgt 255. Beinhaltet die Absenderadresse. Beinhaltet die Adresse des Empfngers.

Version

Class

Flow-Label

20

Payload Length

16

Next

Hop-Limit

Source Address Destination Address

128 128

94

www.tecChannel.de

So funktionieren TCP/IP und IPv6

2.1.20 Neue Adressen


Die wohl wichtigste nderung, die IPv6 mit sich bringt, ist die Vergrerung des IP-Adressraums. Die Entscheidung, welche Anzahl von Bytes letztendlich bentigt wird, blieb lange offen. Erfahrungen bei der Zuteilung der IPv4-Adressen zeigen, dass nur ein Bruchteil der mglichen Adressen tatschlich Verwendung findet. Der Grund hierfr liegt in der veralteten Einteilung in feste Klassen. In einem Class-B-Netz werden in der Praxis lediglich rund 2500 Adressen der rund 65.000 Adressen tatschlich genutzt. Durch die Erweiterung der Adresslnge von 32 auf 128 Bit ergeben sich 2128 mgliche IP-Adressen. Ausgeschrieben sind das astronomische 340.282.366.92 0.938.463.463.374.607.431.768.211.456 verschiedene Werte. Da diese Zahl von Normalsterblichen kaum zu fassen ist, haben sich findige Rechenknstler einen nicht minder beeindruckenden Vergleich ausgedacht: Die Adressvielfalt reicht aus, um jeden Quadratkilometer der Erdoberflche mit 665.570.793.348.866.943. 898.599 Adressen abzudecken. Damit drfte auch jede Waschmaschine problemlos eine eigene IP-Adresse abbekommen.

2.1.21 IPv6-Adressformat
Der Anwender kommt auch in Zeiten des Domain Name System (DNS) gelegentlich mit den IP-Adressen in Berhrung. Fr eine vereinfachte Schreibweise werden bei IPv4 vier Bytes einer Adresse als normale Zahlen zur Basis zehn notiert. Die einzelnen Bytes werden durch einen Punkt voneinander getrennt, zum Beispiel 127.0.0.1. Bei den neuen 128-Bit-Adressen von IPv6 fhrt dies jedoch zu einer uerst unpraktischen Darstellung. Aus diesem Grund verwendet IPv6 das Hexadezimalsystem. Dieses ermglicht es, auch lngere Zahlenreihen einigermaen kompakt darzustellen. Man bildet Gruppen von je zwei Bytes und trennt sie durch einen Doppelpunkt, zum Beispiel 0000:0000:0000:3210:0123:4567:89AB:CDEF. Innerhalb einer Gruppe kann man auf fhrende Nullen verzichten. Um die noch immer langen Adressen weiter abzukrzen, darf man innerhalb einer Adresse eine Gruppe aufeinander folgender Nullen durch zwei Doppelpunkte ersetzen. Laut Spezifikation von IPv6 knnen bestehende IPv4-Adressen innerhalb des Adressraums von IPv6 beibehalten werden. In diesem Fall kommt eine gemischte Schreibweise zum Einsatz: ::FFFF:127.0.0.1 entspricht also 0:0:0:0:0:FFFF: 7F00:0001.

webcode: a209

95

TCP/IP im Detail

2.1.22 Arten von IPv6-Adressen


Die Internet Engineering Task Force (IETF) legte mit anderen Gremien wie dem Internet Architecture Board (IAB, www.iab.org) und der Internet Society (ISOC, www.isoc.org) fest, dass die IPv6-Adressen von der Internet Assigned Numbers Authority (IANA) zentral verwaltet werden. Im Gegensatz zu IPv4-Adressen ist die Vergabe der IPv6-Adressen nicht endgltig. Die neuen Adressenblcke knnen zurckgerufen werden, falls dies aus technischen Grnden oder wegen Missbrauchs erforderlich ist. IPv6 unterscheidet zwischen drei Arten von Adressen: Unicast-Adressen: Dieser Adressentyp stellt einen Identifikator fr ein Interface an einem Rechner oder Router dar. Ein Datagramm an eine UnicastAdresse wird an das durch die Adresse identifizierte Interface zugestellt. Anycast-Adressen: Identifikator fr eine Gruppe von Interfaces an einem Gert oder an mehreren Gerten. Multicast-Adressen definieren eine Gruppe. Sendet man ein Datagramm an eine Multicast-Adresse, empfangen alle Interfaces, die der Gruppe angehren, diese Nachricht.

2.1.23 Sicherheit und ICMP


Der Sicherheitsaspekt stand bei der Entwicklung von IPv6 von Anfang an im Mittelpunkt. Es wurden Sicherheitsstandards definiert, die sowohl fr IPv6 als auch fr IPv4 verwendet werden knnen. Auf Grund der neuen Standards ist es mglich, Angriffe zu verhindern, die sich auf Adressnderungen beziehen oder die Kommunikation aussphen. Die einzelnen Sicherheitsverfahren gliedert man in folgende Bereiche: Verschlsselung zur Sicherung gegen Mitlesen. Authentisierung der Nachricht durch Prfsumme zum Beweis der Unverflschtheit. Authentisierung des Absenders durch eine digitale Signatur. Damit will man verhindern, dass ein Unbefugter den Inhalt der Nachricht auf dem Weg vom Sender zum Empfnger mitliest. Eine komplette Verschlsselung stellt zudem sicher, dass die Nachricht nicht verndert werden kann. Der zweite Ansatz kommt ohne Verschlsselung der Daten aus. Es wird eine Prfsumme ber den Datenblock erzeugt, der mit einem Schlssel gesichert wird. Die Verwendung einer Prfsumme mit einem nur dem Absender bekannten Wert ermglicht gleichzeitig ein sicheres Verfahren zur Identifikation des Absenders. IPv6 nutzt das Internet Control Message Protocol (ICMP) fr IPv6 mit einigen Erweiterungen. Auf ICMP-Protokollelemente wird in Version 6 mit dem Wert 58 im Feld Next hingewiesen. Die wesentlichen nderungen bei ICMP sind:

96

www.tecChannel.de

So funktionieren TCP/IP und IPv6

Neue Formate fr die bertragung der Adressauflsung, die das bisherige Address Resolution Protocol (ARP) ablsen. Elemente zur Definition der maximalen zulssigen Datensatzlnge (MTU). Neue Elemente zur Steuerung von Multicast-Gruppen. Diese ersetzen das Internet Group Management Protocol (IGMP) von IPv4.

2.1.24 Implementierungen
Was bedeutet IPv6 nun fr den Anwender? Kann oder muss man sich bald um einen neuen TCP/IP-Stack fr seinen Rechner kmmern? Oder muss man womglich gar auf eine neue Betriebssystemversion umsteigen? Derzeit kann man sich noch in Geduld ben. Das Internet wird nach wie vor von IPv4 beherrscht. Und das wird wohl auch noch einige Zeit so bleiben. Erste Implementierungen von IPv6 gibt es zwar, doch sind die wichtigsten Komponenten, DNS-Server und Router, lngst noch nicht umgerstet. Als Anwender muss man sich um diese Dinge praktisch nicht kmmern: Ein DualStack-Mechanismus automatisiert die Kommunikation mit neuen IPv6- und alten IPv4-Hosts zumindest in der Theorie. Ist IPv6 sauber implementiert, sollten keine Probleme auftreten. Doch da wird es noch manche berraschungen geben. Konstantin Pfliegl

tecCHANNEL-Links zum Thema


So funktionieren TCP/IP und IPv6 So funktioniert HTTP So funktioniert FTP So funktioniert DHCP So funktioniert DNS WML-Grundlagen

Webcode
a209 a208 a207 a206 a205 a258

Compact
S.76 S.112 S.98

webcode: a209

97

TCP/IP im Detail

2.2 DNS: Namen statt Zahlen


Alle Rechner in einem TCP/IP-Netz werden ber eine eindeutige IP-Adresse identifiziert. Diese 32 Bit lange Zahl ist kompliziert und anfllig fr Tippfehler. Aus diesem Grund wurde bereits im Jahr 1984 das Domain Name System (DNS) geschaffen. Es ermglicht, Hosts ber den zugehrigen Domain-Namen, wie etwa tecChannel.de, zu erreichen. Das DNS ist eine verteilte Datenbank, deren zentrale Komponenten die Nameserver sind. Sie verwalten die Mapping-Informationen, in denen die IP-Adressen und die Rechnernamen einander zugeordnet sind. Als es das Internet in heutigen Sinne noch nicht gab und das Arpanet gerade einmal ein paar Hundert Rechner miteinander verknpfte, waren alle Host-Informationen in einer einzigen Datei abgelegt. Diese musste auf jedem angeschlossenen Rechner vorhanden sein und enthielt alle Mapping-Informationen. Das Domain Name System behebt die groen Schwachpunkte dieser dateibasierten Rechnertabellen: Das DNS lsst sich leicht erweitern. Es ist als ein verteiltes Datenbanksystem implementiert und stellt sicher, dass Informationen ber neue Rechner und nderungen bei Bedarf an den Rest des Internets verteilt werden.

2.2.1 Hierarchische Struktur des DNS


Das Domain Name System ist ein verteiltes, hierarchisches System zur Konvertierung von Rechnernamen in IP-Adressen. Es kennt keine zentrale Datenbank mit der gesamten Information ber die Rechner im Internet. Die Informationen werden ber Tausende von so genannten Nameservern verteilt. Die DNS-Datenbank weist eine in Zonen aufgeteilte baumfrmige Struktur auf, die Wurzel entspricht dabei dem Root-Verzeichnis. Man findet Informationen ber eine Domain, indem man Zeigern (Pointer) von der Root-Domain durch die untergeordneten Domains bis zur Ziel-Domain folgt. Jeder Domain-Name entspricht einem Knotenpunkt in der DNS-Hierarchie.

98

www.tecChannel.de

DNS: Namen statt Zahlen

DNS-Datenbank: Sie besteht aus einer in Zonen aufgeteilten baumfrmigen Struktur. Die Wurzel entspricht dabei dem Root-Verzeichnis.

Direkt unterhalb der Root-Domain befinden sich die Top Level Domains (TLDs). Man unterscheidet dabei zwei Typen: geographische (nach ISO 3166-1, so genannte ccTLDs) wie beispielsweise .de und organisatorische. Die sieben ursprnglichen organisatorischen Domains werden auch als generische TLDs bezeichnet.

Die sieben generischen Top Level Domains


Domain .com .edu .gov .mil .org .net .int Beschreibung Kommerzielle Unternehmen, zum Beispiel SuSE (suse.com) Bildungseinrichtungen wie Universitten und Schulen, z.B. MIT (mit.edu) Staatliche Institutionen, beispielsweise NASA (nasa.gov) Militrische Einrichtungen, zum Beispiel US Army (army.mil) Nicht kommerzielle Organisationen, z.B. W3-Konsortium (w3.org) Netzwerkeinrichtungen, beispielsweise RIPE-NCC (ripe.net) Internationale Organisationen, zum Beispiel WHO (who.int)

webcode: a205

99

TCP/IP im Detail

Einige Lnder bilden Second Level Domains unterhalb des Lndercodes hnlich den generischen Top Level Domains. Zum Beispiel .co.uk fr kommerzielle Unternehmen im Vereinigten Knigreich. Auf den Seiten des Denic (www.denic.de) finden Sie eine Sammlung von Links zur historischen Entwicklung der Top Level Domains.

2.2.2 Domain-Namen
Domain-Namen schreibt man von der untersten Ebene, dem Rechnernamen, zur obersten Ebene, der Top Level Domain. Die Root-Domain wird als ein einziger Punkt geschrieben. Einen solchen Domain-Namen bezeichnet man als Absolute Domain Name oder Fully Qualified Domain Name (FQDN). tecChannel.de. ist somit der FQDN der Second Level Domain tecChannel in der Top Level Domain .de. Der abschlieende Punkt steht fr die Root-Domain. Domain-Namen werden nur selten als Fully Qualified Domain Names geschrieben. Der Punkt fr die Root-Domain wird in der Regel weggelassen. Die Vergabe von Domain-Namen ist auf zahlreiche Firmen und Institutionen verteilt. Den Lndern selbst berlassen wird die Verwaltung geografischer Top Level Domains. Fr .de-Domains ist die Denic in Frankfurt zustndig. Die generischen Top Level Domains wie .com oder .edu sind jedoch fest in den Hnden der Vereinigten Staaten. Zahlreiche dieser Domain-Namen drfen darber hinaus auch nur von Institutionen innerhalb der USA registriert werden. So steht beispielsweise .edu nur amerikanischen Bildungseinrichtungen zur Verfgung. Eine deutsche Universitt kann diese Endung nicht registrieren.

2.2.3 Domain-Registrierung
Wer eine .de-Domain registriert, erwirbt lediglich die Nutzungsrechte. Der Antragssteller ist dafr verantwortlich, dass nicht Rechte Dritter verletzt werden. Zudem gibt es verschiedene Spielregeln, die es zu beachten gilt. Die Domain-Namen drfen nicht mit Bindestrichen beginnen oder enden. Zustzlich muss jeder Domain-Name mindestens drei Zeichen lang sein. Auch deutsche KFZ-Kennzeichen sind nicht zulssig. Vor einigen Jahren war die Registrierung von zwei Zeichen langen .de-Domains noch mglich. Diese Domains werden allerdings wegen der Verwechslungsgefahr mit den geographischen Top Level Domains nicht mehr vergeben. Es gibt noch einige zweistellige Domains, welche aus historischen Grnden weiterhin verfgbar sind. Hinzu kommt fr zweistellige Domains die berlegung, dass derartige Domains wegen ihrer Krze den Inhabern Wettbewerbsvorteile verschaffen wrden.

100

www.tecChannel.de

DNS: Namen statt Zahlen

Auf Grund eines Fehlers in einer stark verbreiteten DNS Resolver-Software kann es zudem bei der Auflsung von Domains des Musters TLD.TLD zu technischen Schwierigkeiten kommen, die sich auch auf die Erreichbarkeit unbeteiligter Webseiten erstrecken. Eine detaillierte Beschreibung des Problems finden Sie in RFC1535 (www.isi.edu/in-notes/rfc1535.txt). Die ausfhrlichen Vergaberichtlinien fr .de-Domains finden Sie bei Denic. Weitere Informationen zur Registrierung von Domain-Namen lesen Sie im tecCHANNEL-Artikel Domain-Registrierung ohne juristischen rger (webcode: a473).

2.2.4 Nameserver
Ein Antrag fr einen Domain-Namen muss die Adresse von mindestens zwei Nameservern enthalten. Diese nennt man Primary und Secondary Nameserver, enthalten. Sie bernehmen den Nameservice fr die entsprechende Domain. Wenn der Antrag genehmigt ist, werden im Domain Name System Zeiger auf die jeweiligen Nameserver eingetragen. Nameserver enthalten die Mapping-Informationen der Domains, fr die sie den Nameservice bernehmen. Darin werden IP-Adressen und Rechnernamen einander zugeordnet, hnlich den frheren Host-Dateien. Der Primary Name Server und die Secondary Name Server mssen dabei voneinander unabhngig und redundant ausgelegt sein, so dass immer mindestens ein Server verfgbar ist. Der Unterschied zwischen beiden Arten von Nameservern besteht darin, dass der Secondary Name Server alle relevanten Daten vom Primary Name Server bezieht und somit als Backup-Server arbeitet. nderungen an den Daten mssen so nur am Primary Name Server durchgefhrt werden. Die anderen zustndigen Server gleichen ihre Daten in regelmigen Abstnden ab, in der Regel alle drei Stunden.

2.2.5 Ablauf einer Nameserver-Abfrage


Wenn man beispielsweise im Webbrowser einen aufzurufenden Domain-Namen eingibt, stellt der eigene Rechner eine Anfrage an einen Nameserver zur Auflsung des Domain-Namens in eine IP-Adresse. In der Regel ist dies der Nameserver des Internet-Providers, ber den man ins Internet geht. Aber was passiert nun, wenn auf dem Nameserver die angeforderten Daten nicht verfgbar sind? Dieser muss die Anfrage an einen anderen Nameserver umleiten. Dabei wei ein Nameserver nicht zwangslufig, welcher andere Server fr die Anfrage zustndig ist beziehungsweise die notwendigen Daten gespeichert hat. Es ist ausreichend, wenn jeder Nameserver wei, wie die so genannten Root-Server kontaktiert werden. Diese kennen die Adressen aller autoritativen Nameserver fr alle Second Level Domains.

webcode: a205

101

TCP/IP im Detail

Um die Netzwerkbelastung zu minimieren, setzen alle Nameserver einen Cache ein. Dieser speichert einmal gestellte DNS-Abfragen. Fordert ein Rechner einen bereits aufgelsten Namen an, so greift der Nameserver auf den Cache zurck. Diese zwischengespeicherten Daten weisen eine Lebensdauer (Time to Live / TTL) auf. Ist die definierte Zeitspanne, in der Regel zwei Tage, abgelaufen, muss eine Anfrage fr die jeweilige Domain erneut im DNS abgefragt werden. Der Cache im Nameserver hat jedoch einen schwerwiegenden Nachteil: Wechselt man mit seiner Domain den Provider, so ndern sich in der Regel auch die Nameserver-Adressen. Nun kann es unter Umstnden passieren, dass manche Nameserver noch bis zu zwei Tage nach dem Provider-Wechsel die alten Nameserver-Adressen im Cache gespeichert haben. Somit fhren Anfragen bei den Nameservern mit den alten Daten ins Leere.

2.2.6 Root-Server
Wie bereits erwhnt, muss jeder Primary Name Server die IP-Adressen aller Root-Server gespeichert haben. Derzeit gibt es weltweit 13 Root-Server:

bersicht ber alle Root-Server


Name A B C D E F G Organisation Network Solutions www.netsol.com Information Sciences Institute, University of Southern California www.isi.edu PSINet www.psi.net University of Maryland www.umd.edu National Aeronautics and Space Administration (NASA) www.nasa.gov Internet Software Consortium www.isc.org Defense Information Systems Agency http://nic.mil Standort Herndon, VA, USA Marina Del Rey, CA, USA Herndon, VA, USA College Park, MD, USA Mountain View, CA, USA Palo Alto, CA, USA Vienna, VA, USA

102

www.tecChannel.de

DNS: Namen statt Zahlen

H I J K L M

Army Research Laboratory www.arl.mil NORDUNet www.nordu.net TBD www.iana.org RIPE-NCC www.ripe.net TBD www.iana.org WIDE www.wide.ad.jp

Aberdeen, MD, USA Stockholm, Schweden Herndon, VA, USA London, UK Marina Del Rey, CA, USA Tokyo, Japan

Eine geografische bersicht ber alle Root-Server finden Sie online unter der Adresse www.wia.org/pub/rootserv.html. Auffllig ist, dass sich nur drei Root-Server auerhalb der Vereinigten Staaten befinden. Auch daran sieht man, wie die USA versuchen, die Kontrolle ber das Internet weit gehend zu behalten.

2.2.7 DNS-Resolver
Jeder Netzwerk-Client, der auf einen Internet-Host zugreifen mchte, aber nur dessen Domain-Adresse kennt, muss wie bereits erwhnt einen Nameserver konsultieren. Dies geschieht mittels eines so genannten Resolvers. Dabei existiert der Resolver nicht als eigenstndiges Programm. Vielmehr besteht er aus einer Bibliothek von Software-Routinen, dem Resolver-Code, die zu jedem Programm gelinkt wird, das Adressen nachschlagen muss. Diese Bibliothek wei, wie Anfragen ber Rechner an den Nameserver formuliert werden. Der Resolver bernimmt im Wesentlichen folgende drei Aufgaben: Er erzeugt die Abfrage und bermittelt sie an den Nameserver. In der Regel ist dies der Nameserver des Internet-Providers, ber den man ins Internet geht. Im Falle einer erfolgreichen Namensauflsung interpretiert er die Antwort des Nameservers. Anschlieend bergibt der Resolver die Informationen an das Programm, das die Daten angefordert hat, beispielsweise an den Webbrowser. Unter Unix und Windows wird der Resolver primr ber die beiden Funktionen gethostbyname und gethostbyaddr aufgerufen. Die erste Funktion ermittelt die IP-Adresse eines Domain-Names, die zweite den Haupt-Domain-Namen einer bekannten IP-Adresse.

webcode: a205

103

TCP/IP im Detail

2.2.8 Rekursive und iterative Namensauflsung


Man unterscheidet grundstzlich zwischen zwei Abfragetypen: rekursive und iterative Namensauflsung. Der Client bermittelt in beiden Fllen den Host-Namen und legt den Abfragetyp fest. Fr den Client ist es am einfachsten, eine rekursive Anfrage an einen Nameserver zu stellen. In diesem Fall ist der angesprochene Server fr die komplette Namensauflsung zustndig. Er fragt der Reihe nach selbst bei allen Servern an, bis der Name vollstndig aufgelst ist. Der Vorteil dieses Abfragetyps: Der Resolver muss lediglich die eine Abfrage initiieren, die Antwort entgegennehmen und an die Anwendung weiterleiten.

Beispiel einer rekursiven Namensauflsung: Der Resolver des Client bermittelt seine Abfrage an den Nameserver, der dann fr die komplette Auflsung verantwortlich ist.

Bei der iterativen Auflsung teilt der Nameserver lediglich die Adresse des als Nchstes abzufragenden Servers mit. Der Resolver muss anschlieend weitere Anfragen an die entsprechenden Nameserver selbst richten, bis der Name vollstndig aufgelst ist.

104

www.tecChannel.de

DNS: Namen statt Zahlen

2.2.9 Resource Records


Das Domain Name System speichert die Informationen ber Hosts in so genannten Resource Records (RRs). Es gibt bis zu 20 verschiedene Typen.

Wichtige Resource Records


Typ A CNAME HINFO NS PTR Beschreibung Definiert eine IP-Adresse. Canonical Name: Beinhaltet den Domain-Namen. Host Information: Zwei Strings spezifizieren die CPU und das Betriebssystem. Diese Funktion wird kaum untersttzt. Nameserver: Definiert den autoritativen Nameserver fr eine Domain. Pointer: Wird fast ausschlielich mit der .in-addr.arpa-Domain verwendet, um Reverse Lookups zu ermglichen, d.h., man sucht den Domain-Namen einer bekannten IP-Adresse.

Die Resource Records werden bei einer Anfrage an den Client bermittelt. Dazu werden sie an den DNS-Header angehngt.
Resource Record: Fr jeden DNSEintrag existiert ein Resource Record, der bei einer Anfrage an einen Nameserver als Antwort bermittelt wird.

webcode: a205

105

TCP/IP im Detail

Der RR einer DNS-Antwort enthlt folgende sechs Felder:

Resource Records im Detail


Typ Domain-Name Type Class Time to Live Beschreibung Enthlt den Domain-Namen, der aufgelst werden soll. Spezifiziert den RR-Typ. In diesem Feld steht in der Regel 1 fr Internet-Daten. Enthlt die Anzahl in Sekunden, wie lange ein anderer Nameserver das Ergebnis zwischenspeichert; meistens sind dies zwei Tage. Gibt die Lnge des Feldes Resource Data an. Enthlt die IP-Adresse.

Resource Data Length Resource Data

Zustzlich gibt es so genannte Mail Exchange Records (MX Records), die fr das Versenden von E-Mails von Bedeutung sind.

2.2.10 DNS-Nachrichten
ber DNS-Nachrichten tauschen Resolver und Server Abfragen und Antworten aus. DNS-Nachrichten weisen ein einheitliches Format auf: einen 12 Bytes langen Header und die Resource Records.
Bit fr Bit: DNSNachricht im Detail.

106

www.tecChannel.de

DNS: Namen statt Zahlen

DNS-Nachricht im Detail
Feld Identification QR Gre (in Bits) 16 1 Beschreibung Ein vom Client erzeugter Wert zur Identifikation des Resolvers. Ist die Nachricht eine Anfrage, steht im Feld 0; bei einer Antwort 1. Der Standardwert ist 0 (rekursive Anfrage); weitere mgliche Werte sind 1 fr eine iterative Anfrage und 2 fr eine Anfrage des Serverstatus. Authoritive Answer: Der Nameserver ist autoritativ fr die aufzulsende Domain. Truncated: Bei UDP bedeutet dies, dass die Antwort grer als 512 Bytes ist und auch nur diese bermittelt werden. Recursion Desired: Wenn der Client das Bit auf 1 setzt, ist dies eine rekursive Anfrage. Recursion Available: Wenn der Nameserver rekursive Anfragen untersttzt, wird das Bit auf 1 gesetzt. Dieses Flag muss immer auf Null gesetzt werden. Beinhaltet einen Rckgabe-Code: 000 bedeutet keine Fehler, 111 bedeutet, dass der Domain-Name nicht existiert. Nur autoritative Nameserver knnen Fehlercodes zurckliefern. Anzahl der DNS-Anfragen im Question-Feld. Anzahl der Resource Records im Answer-Feld. Anzahl der Recource Records im Authority-Feld. Anzahl der Resource Records im Additional-Feld. Enthlt die DNS-Anfrage.
webcode: a205 107

Opcode

AA

TC

RD

RA (zero)

1 3

Rcode

Number of Questions Number of Answer RRs Number of Authority RRs Number of Additional RRs Questions

16 16 16 16 200

TCP/IP im Detail

Die Felder Answers und Authority enthalten einen oder mehrere Resource Records mit einer Gre von je 128 Bit. Das Feld Additional Information wird in der Regel nicht verwendet.

2.2.11 .in-addr.arpa-Domain
Mit .arpa wurde die erste Top Level Domain eingerichtet, die spter durch weitere Domains (.com, .net etc.) abgelst wurde. Die Top Level Domain .arpa fhrt jedoch bis heute ihr Eigenleben mit der Second Level Domain in-addr. Unterhalb von .in-addr.arpa sind die DNS-Eintrge fr das so genannte Reverse Mapping angelegt, mit dessen Hilfe man bekannte IP-Adressen in Domain-Namen auflst. Reverse-Mapping-Anfragen werden auch als Pointer Queries bezeichnet. Die .in-addr.arpa-Domain wird auch als inverse Domain bezeichnet. Diese bildet man, indem die IP-Adresse rckwrts gelesen und der String .in-addr.apra angehngt wird. Somit finden sich die Reverse-Mapping-Informationen fr die IPAdresse 62.96.227.70 im Domain-Namen 70.227.96.62.in-addr.arpa. Bei der Auflsung einer IP-Adresse in einen Domain-Namen muss der Resolver eine Anfrage in der Form Query Type = PTR, Query Class = 1 und Query Name = 70.227.96.62.in-addr.arpa stellen. Als Antwort bermittelt der Nameserver 70.227.96.62.in-addr.arpa. = PTR tecchannel.de.

2.2.5 Protokolle: TCP oder UDP?


Das Domain Name System untersttzt sowohl das TCP- als auch das UDP-Protokoll, jeweils auf Port 53. Doch wann wird welches Protokoll eingesetzt? Der Resolver stellt Anfragen in der Regel ber das UDP-Protokoll. Nun kann es aber passieren, dass eine Antwort grer als 512 Bytes ist. In diesem Fall wird im Header der Antwort das Bit TC gesetzt und es werden nur die ersten 512 Bytes bertragen. Damit die Antwort nun in mehrere Segmente aufgeteilt und bermittelt werden kann, muss der Resolver seine Anfrage erneut ber das TCP/IP-Protokoll stellen.
Kapselung von Headern: Eine DNS-Antwort kann schnell grer als 512 Bytes werden. Folge: Die Anfrage muss erneut ber das TCP-Protokoll gestellt werden.

108

www.tecChannel.de

DNS: Namen statt Zahlen

Zum Datenabgleich zwischen Nameservern wird generell das TCP-Protokoll benutzt. Auf Grund der hohen Datenmengen kommt hier nur dieses Protokoll in Frage.

2.2.12 Neue Top Level Domains


Seit einigen Jahren wird intensiv darber diskutiert, die bislang vorhandenen Top Level Domains durch neue Endungen zu ergnzen. Vorgeschlagen wurden unter anderem Endungen wie .firm, .shop oder .web. Die fr Domain-Namen zustndige Organisation ICANN (www.icann.org) hat am 16. November 2000 whrend eines Treffens in Kalifornien die Einfhrung folgender sieben neuer Top Level Domains beschlossen:

Neue Top Level Domains


Domain Berechtigt zur Registrierung Luftfahrtindustrie Unternehmen Genossenschaftliche Organisationen Ohne Einschrnkung Museen Privatpersonen Anwlte, Steuerberater, rzte Registrierungsstelle Socit Internationale de Tlcommunications Aronautiques SC (SITA) www.sita.int NeuLevel www.neulevel.com National Cooperative Business Association (NCBA) www.ncba.org Afilias www.afilias.com Museum Domain Management Organization www.musedoma.org Global Name Registry www.nic.name RegistryPro www.registrypro.com Konstantin Pfliegl

.aero .biz .coop .info .museum .name .pro

webcode: a205

109

TCP/IP im Detail

TecCHANNEL-Links zum Thema


So funktionieren TCP/IP und IPv6 File Transfer Protocol So funktioniert DHCP Hypertext Transfer Protocol Grundlagen XHTML WAP-Grundlagen WML-Grundlagen

Webcode
a209 a207 a206 a208 a745 a244 a258

Compact
S.76 S.112

110

www.tecChannel.de

A nz ei
webcode: a205

ge
111

TCP/IP im Detail

2.3 So funktioniert DHCP


Netzwerke unterliegen einem stndigen Wandel: ltere Gerte werden aussortiert, neue Rechner kommen hinzu, mobile Anweder klinken sich ein und aus. Bei manueller Konfiguration bedeutet dies einen erheblichem Aufwand. Dynamic Host Configuration Protocol (DHCP) lst dieses Problem durch die dynamische Vergabe von IP-Adressen. In einem TCP/IP-basierten Netzwerk besitzt jeder Rechner zumindest eine IPAdresse und eine Subnetzmaske, um mit anderen Gerten im Netzwerk zu kommunizieren. Schon in einem kleinen Netzwerk lohnt es sich, die Adressenvergabe durch einen zentralen Rechner zu steuern. Fr den Administrator hat das Verfahren gleich mehrere Vorteile: Die Pflege ist weniger zeitaufwendig, da keine Arbeiten an den einzelnen Clients erforderlich sind. Adresskonflikte gehren der Vergangenheit an, da der DHCP-Server die Vergabe der IP-Adressen zentral steuert. DHCP basiert auf BOOTP, bietet aber gegenber seinem Vorgnger verschiedene Vorteile. Der wohl interessanteste: die dynamische Vergabe von IP-Adressen. Dabei schpft der DHCP-Server aus einem vorgegebenen Adressenbereich (Range, wird manchmal auch als Scope bezeichnet) und weist den anfragenden Clients eine Adresse fr einen bestimmten Zeitraum (Lease) zu. Innerhalb der Lease-Zeit fordert ein DHCP-Client beim Systemstart vom Server keine neue Adresse, sondern lediglich eine Besttigung ber die bestehende Lease an. Auch mgliche Fehlerquellen minimiert DHCP: So bertrgt das Protokoll neben den IP-Adressen auf Wunsch auch weitere Parameter wie zum Beispiel StandardGateway und die Adressen der Nameserver. Die technischen Spezifikationen des DHCP-Protokolls sind in RFC 2131 definiert.

2.3.1

Interaktion zwischen Client und Server

Schon eine vereinfachte Beschreibung der Adressenvergabe macht den zyklischen Verlauf der Interaktion zwischen Client und Server deutlich. Der gesamte Verteilungs- und Abstimmungsprozess lsst sich durch vier Schritte beschreiben: Der Client verschickt eine DHCPDISCOVER-Nachricht an die im Netzwerk befindlichen DHCP-Server. Sie entspricht im Wesentlichen der einfachen Aufforderung: An alle DHCP-Server im Netz, ich bentige eine IP-Adresse. Da der Client bislang noch keine IP-Adresse besitzt, kann er auch nicht TCP/IP fr die Kommunikation mit anderen Netzwerksystemen verwenden. Daher greift der Client zur Kommunikation auf UDP zurck. Als Anwort auf die Anfrage des Clients bermittelt der DHCP-Server dem Client einen Vorschlag, indem er mit DHCPOFFER eine IP-Adresse bermittelt. Da in einem Netzwerk, gerade wenn es sich um ein greres Netz handelt, nicht selten mehrere DHCP-Server existieren, ist diese Offerte von besonderer Bedeutung.

112

www.tecChannel.de

So funktioniert DHCP

Nun ist der Client wieder an der Reihe. Er muss sich fr eine der ihm angebotenen Adressen entscheiden. Hier ist die Art der DHCP-Implementierung wichtig: Die Kriterien dieser Auswahl sind nicht im RFC festgelegt, sondern unterscheiden sich von Plattform zu Plattform. Sobald die Entscheidung fr eine Adresse gefallen ist, sendet der Client eine DHCPREQUEST-Meldung an den entsprechenden Server aus. Auch dabei wird wieder UDP als Transportprotokoll verwendet. Beim vorlufig letzten Schritt liegt der Ball wieder in den Hnden des Servers. Auf den Request bermittelt der Server eine temporre IP-Adresse mittels DHCPPACK an den Client. Nachdem der Client diese Nachricht entgegengenommen hat, fhrt er in der Regel einen Check durch, um sicherzustellen, dass die Adresse nicht bereits ein anderer Rechner verwendet. Schlielich bernimmt der Client die bermittelten Netzwerkparameter in seine Systemkonfiguration.
Interaktion: DHCP-Client und -Server agieren in einem zyklischen Ablauf.

2.3.2

DHCP-Refresh

Nachdem ein DHCP-Server einen Client mit einer IP-Adresse ausgestattet hat, weist er ihm zustzlich die so genannte Lease-Zeit zu. Diese legt die Gltigkeitsdauer der Einstellungen fest. Im Hintergrund laufen dabei zwei Uhren: T1 entspricht der halben Lease-Zeitspanne, T2 ist auf 87,5 Prozent der maximalen Lease-Zeit gesetzt. Beide Werte lassen sich ber die DHCP-Optionen des Servers bearbeiten sofern diese Funktionen implementiert sind. Nachdem T1 abgelaufen ist, sendet der Client eine DHCPREQUEST-Nachricht an den Server und fragt nach, ob dieser die Lease-Zeit verlngern kann. Man bezeichnet diesen Zustand auch als Renewing Status. In der Regel antwortet der Server mit einer DHCPACK-Nachricht samt einer neuen Lease-Zeit. Die Werte T1 und T2 setzt der Server dabei zurck. Erhlt der Client bis zum Ablauf von T2 keine DHCPACK-Nachricht, beginnt der Rebinding Status. Der Client muss nun eine DHCPREQUEST-Nachricht verschicken, damit die Lease-Zeit verlngert wird. Diese Anforderung kann der Server durch DHCPACK besttigen. Bleibt auch dieser Request unbeantwortet, muss der Client eine komplett neue IP-Adresse anfordern. Hierbei kommt der ursprngliche Mechanismus zum Einsatz, der alle DHCP-Server im Netz anspricht.

webcode: a206

113

TCP/IP im Detail

2.3.3

Range und Lease

Bevor ein DHCP-Server die angeschlossenen Netzwerk-Clients berhaupt mit IPAdressen versorgen kann, muss man ihn mit Informationen fttern, welche Ranges er verwenden darf. Eine Range stellt einen IP-Adressbereich dar, der durch eine Start- und End-Adresse definiert ist. Je nach Implementierung sind auch Ausschlussbereiche vorgesehen, also Adressen, die nicht fr die Vergabe herangezogen werden knnen. Auf diese Weise ist sichergestellt, dass feste und dynamische IP-Adressen in einem Netzwerk problemlos nebeneinander existieren knnen. Die Lease-Dauer wird in der Regel durch die Angabe von Tagen, Stunden und Minuten definiert. Eine allgemeine Regel fr die optimalen Parameter gibt es nicht. Diese Einstellungen, sofern sie denn berhaupt in den einzelnen Produkten implementiert sind, mssen auf Beanspruchung des Servers, Client-Verhalten und Netzwerkstabilitt abgestimmt sein. Entscheidend ist zum einen die Anzahl der mglichen Clients. Als Richtwert gilt: Die Lease-Zeit ist doppelt so lange wie die Zeitspanne, die beim Serverausfall fr die Wiederinbetriebnahme bentigt wird. Wichtig: Bei lngeren Lease-Zeiten dauert es entsprechend lnger, bis nderungen der DHCP-Optionen auf der Client-Seite greifen.

2.3.4

DHCP-Konfiguration unter Win32

Einzig die Serverversion von Windows-NT ist von Haus aus mit einem DHCPServer ausgestattet. Die Installation erfolgt ber den Dienste-Eintrag der Netzwerksteuerung. Die Konfiguration bernimmt der DHCP-Manager, der sich in der Programmgruppe Verwaltung (Allgemein) befindet. Die Einrichtung der Ranges inklusive der Lease-Dauer geschieht ber den Meneintrag Bereiche. Zudem bietet der Manager eine Vielzahl von DHCP-Optionen an, die allerdings zum Teil Plattformabhngig sind. Alle Einstellungen legt Windows NT in der DHCP-Datenbank ab, die sich im Unterverzeichnis winnt\system32\dhcp befindet. Die gesamte DHCP-Konfiguration besteht aus verschiedenen Dateien. Die beiden wichtigsten: dhcp.mdb (die eigentliche Datenbank, in der die DHCP-Konfiguration samt Client-Einstellungen abgelegt ist) und system.mdb (Informationen ber die Datenbankstruktur). Zustzlich erzeugt der DHCP-Server verschiedene Logfiles und ein Backup-Verzeichnis. Client-seitig muss in den TCP/IP-Einstellungen das Betriebssystem fr das Zusammenspiel mit dem DHCP-Server konfiguriert sein. Der Client ist in der Regel in der Lage, die DHCP-Einstellungen ohne einen Neustart vom Server zu beziehen. Die Hilfsprogramme ipconfig (Windows NT, 2000 und XP) und winipcfg (Windows 9x/ME) zeigen die aktuell zugewiesenen Einstellungen an. Auf der Client-Seite sind Letztere in der Registry abgelegt. Der zugehrige Schlssel trgt die Bezeichnung HKEY_LOCAL_MACHINE\System\CurrentControlSet\ Service\DHCP. Der Unterschlssel Parameter enthlt die Einstellungen fr IPAdresse, Lease-Dauer und sonstige Optionen.
114 www.tecChannel.de

So funktioniert DHCP

2.3.5

DHCP-Konfiguration unter Linux

Nach der Installation des DHCP-Deamon unter Linux ist zunchst etwas Konfigurationsarbeit erforderlich. Bevor der DHCP-Daemon ordnungsgem startet, mssen in der Datei /etc/dhcpd.conf die Einstellungen ber die zur Verfgung stehenden Ranges vorhanden sein. Unter KDE gibt es inzwischen sogar eine grafische Schnittstelle fr die Konfiguration, kcmdhcpd, die dem DHCP-Manager von Windows NT sehr hnlich ist. Wer die Einstellungen von Hand vornehmen will, kann sich an folgendem Beispiel orientieren:
server-identifier rechnername.de; subnet 192.168.1.0 netmask 255.255.255.0 { range 192.168.1.3 192.168.1.254; default-lease-time 600; max-lease-time 7200; option routers 192.168.1.1; option domain-name-servers 192.168.1.2; option domain-name intranet.rechnername.de; option broadcast-address 192.168.1.255; option subnet-mask 255.255.255.0; host server.rechnername.de { hardware ethernet 00:80:AD:DF:D1:03; fixed-address 192.168.1.1; } }

Anschlieend kann der Aufruf des DHCP-Daemons erfolgen. Damit der DHCPDaemon beim Hochfahren gestartet wird, muss er im entsprechenden Runlevel registriert sein. Holger Reibold

TecCHANNEL-Links zum Thema


So funktionieren TCP/IP und IPv6 So funktioniert DNS File Transfer Protocol Hypertext Transfer Protocol

Webcode
a205 a205 a207 a208

Compact
S.76 S.98

webcode: a206

115

Netzwerkdienste und Ports

3 Netzwerkdienste und Ports


Je grer ein Netzwerk, desto mehr Verwaltungsaufwand ist ntig. Dieses Kapitel informiert ber Verzeichnisdienste, mit denen sich selbst komplexe Netzwerke einfach managen lassen. Darber hinaus lesen Sie, was es mit den oft zitierten Ports auf sich hat und wie eine E-Mail vom Sender zum Empfnger gelangt.

3.1 So funktionieren Verzeichnisdienste


Immer mehr Unternehmen setzen auf weltweite und dezentralisierte Firmennetze. Dabei kommen oft verteilte Applikationen zum Einsatz. Diese knnen auf Rechnern im lokalen Netz, im Intranet oder ber das Internet laufen. Viele Informationen, die in den Netzen verfgbar sind, lassen sich zwischen den meisten Applikationen und Usern austauschen. Es gibt aber auch Daten, die vor unautorisiertem Einsehen und Modifikationen geschtzt werden sollen. Daher ist besonders wichtig, die Informationen ber User und andere ber das Netzwerk verfgbare Ressourcen kosteneffektiv und mit mglichst wenig Aufwand zu administrieren. Voraussetzung fr ein solches verwaltbares Netz ist die Integration eines Verzeichnisdienstes. Damit organisiert man die Informationen in einer einheitlichen Weise. Zudem ermglicht dies den Anwendern, mit nur einem Login auf alle Ressourcen im Netz zuzugreifen. Dies nennt man Single Sign-on. In diesem Beitrag erlutern wir, was Verzeichnisdienste sind und geben einen Einblick in die Konzepte und Architektur der Verzeichnisdienste X.500, LDAP, Novell eDirectory sowie Microsoft Active Directory.

3.1.1 Verzeichnisse und Verzeichnisdienste


Unter Verzeichnissen versteht man eine Auflistung von Informationen ber Objekte, die in einer bestimmten Reihenfolge gespeichert sind. Bestes Beispiel hierfr ist ein Telefonbuch: Die Namen sind alphabetisch geordnet, Anschrift und Telefonnummer bilden die Details zu jeder Person. Im Computerbereich stellt ein Verzeichnis eine spezielle Datenbank dar, die nach Typen sortierte Informationen ber Objekte enthlt. So werden zum Beispiel Daten zu einem Drucker mit zustzlichen Informationen wie Standort und druckbare Seiten pro Minute gespeichert. Verzeichnisse erlauben es Anwendern und Applikationen, Ressourcen mit bestimmten Eigenschaften zu finden. So kann man beispielsweise ein Benutzerverzeichnis nach E-Mail-Adressen oder Faxnummern durchsuchen. Oder ein Verzeichnis wird nach dem nchstgelegenen Farbdrucker abgefragt.

116

www.tecChannel.de

So funktionieren Verzeichnisdienste

Wenn der Name eines Objekts bekannt ist, etwa einer Person oder eines Druckers, lassen sich die dazugehrigen Eigenschaften wie Telefonnummer oder druckbare Seiten pro Minute abrufen. Ist der Name eines bestimmten Objekts unbekannt, durchsucht man das Verzeichnis auf Objekte, die eine Voraussetzung erfllen. Dies ist mit der Suche nach einem Handwerker im Branchenbuch vergleichbar. Ein Verzeichnis fr sich alleine ist lediglich eine Ansammlung von Informationen, auf die der Zugriff gewhrleistet sein muss. Zugriffe knnen etwa zum Suchen, ndern oder Hinzufgen von Daten geschehen. Das Application Programming Interface (API), das diesen Zugriff ermglicht, heit Verzeichnisdienst.

3.1.2 Beispiel eines Verzeichnisses


Ein Verzeichnis im Sinne von ISO 9594-1 ist eine baumartig strukturierte Sammlung von Daten. Es ist darauf ausgelegt, einen weit gehend statischen Inhalt zu haben und kann beliebig viele Eintrge in jeder Ebene besitzen. Jedem Eintrag lassen sich wiederum beliebig viele Attribute zuordnen.
Beispiel eines Verzeichnisses anhand einer Firma: Es knnen beliebig viele Eintrge mit beliebig vielen Attributen existieren.

In diesem Beispiel sehen Sie sieben Verzeichniseintrge in drei Ebenen und ihre jeweiligen Attribute. Die Bltter des Baumes sind die Mitarbeiter, darber befinden sich die jeweiligen Abteilungen, in denen diese ttig sind. An der Wurzel steht die Firma selbst.

3.1.3 Der Klassiker X.500


Bei X.500 handelt es sich um eine Empfehlung fr einen Verzeichnisdienst von der International Telecommunication Union (ITU, www.itu.int) im Rahmen der X-Serie (Data Networks and Open System Communications). Die Empfehlung erschien erstmals im Jahr 1988. Eine der Hauptaufgaben der ITU ist es, internationale Standards zur weltweiten Kommunikation vorzuschlagen. Die Empfehlung von X.500 besteht aus zehn Dokumenten. Alle wurden auch unter ISO 9594-1...10 als Standard von der International Organization for Standardization (ISO, www.iso.org) aufgenommen.

webcode: a718

117

Netzwerkdienste und Ports

Einer Vielzahl von Anwendern drften die Empfehlungen der ITU bezglich der V-Reihe (Data Communication over the Telephone Network) bekannt sein. Sie sollen eine Verbindung ber Modem ohne technische Inkompatibilitten ermglichen. Bekannte Standards dieser Reihe sind etwa V.90 oder V.32bis.

3.1.4 Aufbau eines X.500-Verzeichnisses


Der Grundgedanke von X.500 ist ein globales, verteiltes Verzeichnis, auf das man von berall zugreifen kann. Es ist baumartig strukturiert mit einem namenlosen Wurzelobjekt, der Root. Die durch das Verzeichnis bereitgestellten Daten heien Directory Information Base (DIB), der Baum Directory Information Tree (DIT). Fr die Eintrge sind Objektklassen definiert, wobei jeder Eintrag mindestens einer dieser Klassen angehrt. Innerhalb jeder Objektklasse gibt es Attributtypen, von denen mindestens einer vorhanden sein muss. Somit ist jeder Eintrag in einem X.500-Verzeichnis also die Instanz einer oder mehrerer Objektklassen und enthlt einen oder mehrere Werte fr die einzelnen Attributtypen. Eine Sonderform sind Alias-Eintrge, die einen Eintrag an verschiedenen Stellen im Baum ermglichen. Diesen Eintrag braucht man somit bei nderungen nicht mehrfach zu pflegen.

3.1.5 Beispiel eines X.500-Verzeichnisbaums


Unser Beispiel zeigt einen Ausschnitt aus einem X.500-Verzeichnis. Jeder Eintrag gehrt jeweils einer Objektklasse an. Diese gibt den Wert des Hauptattributtyps an, den man auch Primary Distinguished Value nennt. Der Eintrag C=DE gehrt also der Objektklasse Country an. Der Hauptattribut-Typ ist C wie Country, und der Wert ist DE fr Deutschland. Der Eintrag CN=Fritz Mller hingegen ist eine Instanz der Objektklasse Person mit Fritz Mller als Wert des Hauptattributtyps Common Name (CN).
Beispiel eines X.500konformen Verzeichnisses: Jeder Eintrag besitzt einen eindeutigen Distinguished Name (DN).

118

www.tecChannel.de

So funktionieren Verzeichnisdienste

Eintrge im Verzeichnisbaum mssen eindeutig sein. Daher bentigt jeder Eintrag einen so genannten Distinguished Name (DN). Dieser wird erzeugt, indem man alle Objekte im Verzeichnisbaum, vom entsprechenden Eintrag bis zur Wurzel, abbildet. Hierzu verwendet man den Wert des Primary Distinguished Value der Hauptobjektklasse (Distinguished Value). In unserem Beispiel wre das fr Fritz Mller demnach CN=Fritz Mller, OU=Kaufmnnischer Geschftsfhrer, O=Geschftsfhrung, C=DE. Es gibt keine genaue Definition, wie der Distinguished Name dargestellt wird. In diesem Beitrag entspricht er der in RFC 1779 festgelegten Form. Neben dem Distinguished Name gibt es noch den Relative Distinguished Name (RDN). Dieser ist ein Teil des Namens, der ein Attribut des Objekts selbst darstellt. Im vorhergehenden Beispiel lautet der RDN des Benutzerobjekts CN=Fritz Mller. Der RDN des bergeordneten Objekts lautet OU=Kaufmnnischer Geschftsfhrer.

3.1.6 X.500: Benutzerzugriff


Fr den Verzeichnisdienst bietet X.500 eine Reihe von Operationen. Diese ermglichen den Zugriff auf das Verzeichnis ber einen Directory User Agent (DUA).

Operationen zum Zugriff auf den Verzeichnisdienst


Operation Read Compare Beschreibung Erlaubt das Auslesen von Attributen eines bestimmten Eintrags. Vergleichen eines gegebenen Werts mit dem Attribut eines bestimmten Eintrags. Dies ermglicht beispielsweise das berprfen eines Passworts. Liefert eine Liste aller Relative Distinguished Names der Eintrge, die in der Baumstruktur direkte Nachfolger eines bestimmten Eintrags sind. Ermglicht das Durchsuchen eines Teilbereichs des Verzeichnisbaums nach bestimmten Eintrgen. Abbrechen einer Operation. Bentigt ein Directory User Agent das Ergebnis einer Abfrage nicht mehr, kann er die Operation abbrechen. Fgt dem Verzeichnisbaum einen neuen Eintrag und entsprechende Attribute hinzu. Entfernt einen Eintrag aus dem Verzeichnisbaum. Es knnen nur Eintrge gelscht werden, die im Verzeichnisbaum keine Nachfolger besitzen.
webcode: a718 119

List

Search Abandon

Add Remove

Netzwerkdienste und Ports

Modify Modify Distinguished Name

Ermglicht nderungen an einem Eintrag wie Lschen, Hinzufgen oder ndern von Attributen. Erlaubt nderungen am Relative Distinguished Name (RDN) und kann einen Eintrag und alle im Baum darunter folgenden Eintrge verschieben.

Der Zugriff auf das gesamte Verzeichnis soll, wie bereits erwhnt, von berall aus mglich sein. Jedoch ist dies bei einigen gespeicherten Daten nicht erwnscht, wenn es sich beispielsweise um sensible Firmendaten handelt. Daher kann man festlegen, welche Objekte auf welche Eintrge und Attribute Zugriff haben. Eine Authentifizierung kann entweder simple ber ein Passwort oder strong ber Public-Key-Zertifikate erfolgen. Auf diese Weise knnen Teile des Verzeichnisbaums nur bestimmten Personen zugnglich gemacht werden.

3.1.7 X.500: Vernetzung


X.500 definiert ein verteiltes Verzeichnis, daher mssen die Daten nicht zentral gespeichert sein. Es existiert ein Netz von Servern, die jeweils nur einen Teilbaum verwalten. Bei Bedarf kommunizieren diese untereinander, beispielsweise um Anfragen weiterzuleiten, die nicht den eigenen Datenbestand betreffen. Die einzelnen Server bezeichnet man auch als Directory System Agents (DSA).

3.1.8 Replikation
Um Lesezugriffe auf das X.500-Verzeichnis zu beschleunigen, kann es sinnvoll sein, fr einen Teilbaum mehrere Server zur Verfgung zu stellen. Zudem erhht sich dadurch auch die Ausfallsicherheit fr den entsprechenden Teilbaum. Beim Einsatz mehrerer Server in einem Teilbaum werden die Daten repliziert. Es gibt einen Master-Server, auf dem der Datenbestand erstellt und gepflegt wird, und einen oder mehrere Slave-Server, die eine Kopie des Datenbestands speichern. Die Slave-Server holen sich in regelmigen Abstnden vom Master-Server den aktuellen Datenbestand.

3.1.9 X.500: Protokolle


Die Spezifikation von X.500 definiert verschiedene Protokolle fr die Bereitstellung des Verzeichnisdienstes. Sie basieren auf den sieben Schichten des OSISchichtenmodells. Im Einzelnen sind dies folgende Protokolle:

120

www.tecChannel.de

So funktionieren Verzeichnisdienste

X.500-Protokolle
Protokoll Directory Access Protocol (DAP) Directory System Protocol (DSP) Directory Information Shadowing Protocol (DISP) Directory Operational Binding Management Protocol (DOP) Beschreibung Definiert die Kommunikation zwischen Directory User Agent (DUA) und Directory System Agent (DSA). Zustndig fr die Kommunikation zwischen Directory System Agents (DSA). Definiert den Austausch von Informationen zur Replikation des Datenbestands zwischen einem Master- und einem Slave-Server. Definiert den Austausch von administrativen Informationen zwischen zwei Directory System Agents (DSA).

3.1.10 Implementationen von X.500


Die meisten heute verfgbaren Verzeichnisdienste basieren auf der X.500-Spezifikation. So auch Novells eDirectory und Microsofts Active Directory, die wir im Laufe dieses Artikels nher erlutern. LDAP wurde ebenfalls fr die Kommunikation von Clients mit X.500-Servern entwickelt. Siemens bietet mit DirX auch einen X.500-konformen Verzeichnisdienst an. Dieser eignet sich unter anderem zum Verwalten von Fax- und Telefonnummern, E-Mail-Adressen, Personaldaten, Rechneradressen, Benutzerprofilen und weiteren Netzwerkressourcen. Der Dienst steht derzeit fr Windows NT/2000 und alle gngigen Unix-Varianten zur Verfgung. Ein Zugriff auf DirX ist mit einem Webbrowser ber das Web-Gateway DirXweb, ber WAP mit DirXwap oder ber den Client von Siemens oder einen anderen beliebigen LDAP-Client mglich.

3.1.11 LDAP (Lightweight Directory Access Protocol)


Anfangs fand X.500 jedoch keine besonders groe Akzeptanz. Einer der Grnde hierfr ist, dass die Spezifikation die komplette Implementation des OSI-Schichtenmodells erfordert. Die Nutzung vorhandener Kommunikationsprotokolle wie TCP/IP wird nicht untersttzt. Dies ist insbesondere fr die Kommunikation zwischen Directory User Agent (DUA) und Directory System Agent (DSA) ein Hindernis, da auch seitens des Client ein erheblicher Mehraufwand bei der Implementation ntig ist. Da jedoch grundstzlich groes Interesse an einem Verzeichnisdienst wie X.500 bestand, spezifizierte man im Jahr 1993 erstmals das Lightweight Directory Access Protocol, kurz LDAP. Die erste Version des Proto-

webcode: a718

121

Netzwerkdienste und Ports

kolls wurde in RFC 1487 (X.500 Lightweight Directory Access Protocol) definiert und stellt eine vereinfachte Version des Directory Access Protocol (DAP) von X.500 dar. Spter folgte RFC 1777. Mittlerweile existiert bereits Version 3 von LDAP, definiert in RFC 2251 (Lightweight Directory Access Protocol (v3)). Die Spezifikation enthlt die Beschreibung eines kompletten Protokolls, um mit TCP/IP-basierten Clients ber einen vermittelnden LDAP-Server auf ein X.500-Verzeichnis zuzugreifen. Das Lightweight Directory Access Protocol ist zwar durch internationale RFCs definiert, jedoch noch kein offizieller Standard. Dennoch kann man bei LDAP von einem De-facto-Standard sprechen.

3.1.12 LDAP: Protokoll oder Verzeichnisdienst?


Was ist LDAP ein Protokoll oder ein Verzeichnisdienst? Grundstzlich definiert LDAP ein Kommunikationsprotokoll. Es werden der Transport und das Format von Nachrichten definiert, die ein Client fr den Zugriff auf einen X.500-konformen Verzeichnisdienst verwendet. Das Protokoll spezifiziert somit nicht den eigentlichen Verzeichnisdienst, sondern die Art des Zugriffs auf einen solchen.

LDAP-Server: Fr den LDAP-Client stellt er einen Server dar, fr den X.500-Server einen Client.

Ein LDAP-Client greift auf den Verzeichnisdienst zu, indem er die LDAP-API aufruft. Ein X.500-Server kann jedoch mit diesen Nachrichten des Client nichts anfangen. Der LDAP-Client und der X.500-Server verwenden unterschiedliche Kommunikationsprotokolle: Der Client nutzt TCP/IP, der Server basiert auf dem OSI-Protokoll-Stack. Daher kommuniziert der Client mit einem Gateway, das die Anfragen an den X.500-Server weiterleitet. Diesen Gateway bezeichnet man als LDAP-Gateway, der fr den X.500-Server wiederum einen Client ist. Der LDAPServer muss also TCP/IP und den OSI-Protokoll-Stack implementiert haben.

3.1.13 Stand-alone-LDAP-Server
Als der Einsatz von LDAP weiter zunahm, wurden Verzeichnisdienste entwickelt, die sich direkt ber einen LDAP-Client nutzen lieen. Dies macht einen X.500Server weit gehend berflssig. Der LDAP-Server kann somit direkt auf das Verzeichnis zugreifen, statt nur als Gateway zu dienen.
122 www.tecChannel.de

So funktionieren Verzeichnisdienste

Stand-alone-LDAP-Server: Der Server kann direkt auf das Verzeichnis zugreifen, ein X.500Server ist nicht ntig.

Einen LDAP-Server, der direkt mit Verzeichnissen arbeiten kann, bezeichnet man als einen Stand-alone-LDAP-Server. Stand-alone deswegen, da dieser von einem X.500-Server unabhngig ist. Seitens der Clients ist nun jeder Server, der das LDAP-Protokoll implementiert hat, ein LDAP-Verzeichnisdienst-Server. Unabhngig davon, ob dieser nun als Gateway oder als Stand-alone-Server seinen Dienst verrichtet. So genutzte Verzeichnisse nennt man LDAP-Verzeichnisse. Einer der bekanntesten Stand-alone-LDAP-Server ist slapd, eine Open-SourceImplementation von OpenLDAP (www.openldap.org).

3.1.14 Architektur von LDAP


Wie bereits erwhnt, basiert das Lightweight Directory Access Protocol auf einem Client/Server-Modell. LDAP hat sich im Laufe der Jahre etabliert. Der Erfolg von LDAP basiert nicht zuletzt auf folgenden Vorteilen gegenber X.500, beziehungsweise dem Directory Access Protocol (DAP): LDAP nutzt TCP/IP anstatt des OSI-Protokoll-Stack. TCP/IP ist Ressourcen sparender und auf fast allen Desktop-Systemen verfgbar. Das Modell von LDAP ist einfacher. Dies ermglicht eine einfache Implementation. LDAP nutzt fr die Daten Strings anstatt einer kompliziert strukturierten Syntax wie ASN.1 (Abstract Syntax Notation One), die bei X.500 zum Einsatz kommt. LDAP definiert den Inhalt von Nachrichten zwischen Client und Server. Die Nachrichten spezifizieren, welche Operation der Client ausfhren will, wie etwa Search oder Modify, und die entsprechende Antwort vom Server. Zudem wird festgelegt, wie die eigentlichen Verzeichnisdaten in der Nachricht transportiert werden sollen. Da LDAP auf TCP/IP basiert, einem verbindungsorientierten Protokoll, werden auch Operationen zum Verbindungsauf- und -abbau durchgefhrt. Details zum TCP/IP-Protokoll erfahren Sie im tecCHANNEL-Beitrag So funktionieren TCP/IP und IPv6 (webcode: a209).

3.1.15 Novell eDirectory


Novells Directory Service (NDS) ist ein auf X.500-basierender Verzeichnisdienst zur Verwaltung von Usern, Zugriffsrechten und anderen Netzwerkressourcen. NDS 8, erstmals mit Netware 5 verffentlicht und mittlerweile Marketing-stratewebcode: a718 123

Netzwerkdienste und Ports

gisch in eDirectory umbenannt, soll laut Hersteller eine grere Funktionalitt als alle vorherigen Versionen bieten. Im Rahmen seiner One-Net-Strategie stellt Novell (www.novell.de) den Verzeichnisdienst-Server fr alle wichtigen Plattformen zur Verfgung: Netware ab Version 5, Windows NT/2000, Linux und Solaris. eDirectory vereinfacht das Management von Usern und Ressourcen in einem Netzwerk mit Windows NT/2000, Netware und Unix/Linux. Der Dienst untersttzt dabei bestehende Standards wie LDAP, DNS, LDIF (Lightweight Data Interchange Format), XML, XSL, XSLT, ADSI (Active Directory Service Interface, Microsofts proprietre API), ODBC sowie JDBC. Die Architektur von Novells eDirectory basiert auf zwei Hauptkomponenten: Die Directory Service Agents (DSAs) sind die Hauptserverkomponenten. Sie speichern unter anderem Informationen ber das Verzeichnis, Replikationen sowie die Daten selbst. Applikationen und Services greifen auf die DSAs ber diverse Standardprotokolle zu, wie beispielsweise LDAP, oder ber das Novell Directory Access Protocol (NDAP), Novells proprietres Zugangsprotokoll fr Verzeichnisdienste. Die Directory Clients sind eine Komponente der Novell-Client-Software. Diese ermglicht auch anderen Novell-Produkten, wie beispielsweise ZENworks, den Zugriff auf eDirectory.

3.1.16 eDirectory Architektur


Das eDirectory basiert auf drei Ebenen, mit denen sich die Architektur des Verzeichnisdienstes beschreiben lsst: Logical Plane, Physical Plane und Schema Plane. Jede dieser Ebenen deckt einen Teil des gesamten Verzeichnisdienstes ab. Die Physical Plane beschreibt, wie die Organisation physikalisch aufgebaut ist und in der Verzeichnisdienst-Datenbank repliziert wird. Den Baum des eDirectory kann man als einen groen Teilbaum auf einem Server oder als mehrere kleine auf mehrere Server verteilt speichern. Die einzelnen Teilbume bezeichnet man als Partitionen. Jede von diesen kann eine oder mehrere Kopien besitzen, auch Replicas genannt. Die Logical Plane ist das, was der Administrator bei der Verwaltung mit den eDirectory-Managementtools sieht. Zu den Managementtools zhlen unter anderem die ConsoleOne und der NWAdmin. Unabhngig davon, wie der Verzeichnisdienst gespeichert wird, verwaltet man diesen stets als ein einziges logisches Verzeichnis. Die Schema Plane beschreibt unter anderem, welche Art von Objekten das eDirectory besitzen kann, die Art der Attribute und wie diese repliziert werden. Zustzlich werden hier Gre und Art von Daten festgelegt.

124

www.tecChannel.de

So funktionieren Verzeichnisdienste

3.1.17 eDirectory Objekte


Novells Verzeichnisdienst kann eine Reihe von Objekten verwalten, die Gerte und Ressourcen in einem Netzwerk vertreten. Dies knnen zum Beispiel User, Gruppen, Drucker, Datenbanken, Applikationen und Fileserver sein. Es lassen sich nach Belieben neue Objekte durch Ausbauen des Verzeichnisschemas hinzufgen. Dies knnen unter anderem Faxserver und Router sein.
Novells Full Service Directory Model: Das Modell soll alle Funktionen des eDirectory-Verzeichnisdienstes aufzeigen.

Objekte im eDirectory unterteilt man in zwei Klassifikationen: Leaf Objects reprsentieren Benutzer und Netzwerkressourcen wie Server, Drucker und Router. Ein Leaf Object kann kein anderes Objekt enthalten. Zudem darf es nicht das einzige Objekt einer Partition sein. Container Objects knnen wie der Name bereits sagt andere Objekte enthalten, also beispielsweise Leaf Objects und weitere Container Objects. Durch Hinzufgen eines Container Objects in ein selbiges legt man die Hierarchie fest und vereinfacht den Zugriff. Container Objects sind die kleinste Einheit fr eine Partition und Replikation.

3.1.18 Microsoft Active Directory


Mit Windows 2000 brachte Microsoft erstmals einen X.500-konformen Verzeichnisdienst auf den Markt: Active Directory. Er ermglicht Replikationen und Abfragemglichkeiten nach den Internet-Standards LDAP, DNS und DDNS (Dynamisches DNS). Jedoch ist Active Directory nur fr Windows-Systeme verfgbar.

webcode: a718

125

Netzwerkdienste und Ports

Domnenstruktur von Active Directory: Das Beispiel zeigt eine transitive und hierarchische Vertrauensstellung von Domnen.

Microsofts Verzeichnisdienst bietet folgende Eigenschaften: Zentrale Administration: Das Verzeichnis ist hierarchisch nach der X.500-Spezifikation aufgebaut. Alle Vertrauensstellungen sind transitiv auf Grundlage des Sicherheitsprotokolls Kerberos. Dies verringert die Anzahl der Vertrauensbeziehungen zwischen Domnen. Transitiv bedeutet, wenn Domne A der Domne B vertraut und Domne C der Domne B, dann vertraut auch Domne A der Domne C. Gemeinsame Regeln und Policies: Das Schema von Active Directory ist erweiterbar und bietet die Mglichkeit zur Definition neuer Objekte und Eigenschaften. Kontrolle und Definition von Sicherheit: In Active Directory dienen so genannte Access Control Lists (ACLs) zur Kontrolle des Zugriffs auf Objekte im Verzeichnis. Die Liste der erlaubten Zugriffe wird ber die gesamte Hierarchie bis hinunter zur Objektebene repliziert. Erweiterte Abfragemglichkeiten: Durch die Global Catalog Server bietet Active Directory erweiterte Abfragemglichkeiten und einen erweiterten netzwerkweiten Abfragedienst. Ein Global Catalog Server ist vergleichbar mit einem Index und untersttzt die Abfrage von jedem im Verzeichnis enthaltenen Objekt.

3.1.19 Komponenten des Active Directory


Der Aufbau des Active Directory ist mit dem Konzept des DNS vergleichbar. Ein Namensraum ist ein Name oder eine Gruppe von Namen, die nach einer Konvention definiert wurden. Das Internet nutzt einen hierarchischen Namensraum, der die Namen in Top Level Domains aufteilt, wie etwa .com oder .org. Active Directory verwendet dieses hierarchische Modell zum Aufbau des Netzwerks. Bei seiner Installation entwickelt Active Directory eine Hierarchie, in der jede Domne, jede Organisationseinheit und jede Ressource einen eindeutigen Namen im Namensraum erhlt. Jedes Objekt in Active Directory ist durch seinen spezi-

126

www.tecChannel.de

So funktionieren Verzeichnisdienste

fischen Namen bekannt, der in der hierarchischen Verzeichnisstruktur eingebettet ist. Wie bei Novells eDirectory besteht die Mglichkeit, andere Verzeichnisdienste ber LDAP-Mechanismen zu integrieren.

3.1.20 Logische Elemente von Active Directory


In Active Directory gibt es drei verschiedene logische Elemente: Objekte: Ein Objekt ist ein im Verzeichnis enthaltener Bestandteil, der eine Reihe von Attributen besitzt. Beispiele hierfr sind User oder Drucker. Ein Objekt kann auch ein Container fr andere Objekte sein. Objektattribute: Alle Objekte im Verzeichnis haben Attribute oder Eigenschaften. In Microsoft Active Directory werden beide Begriffe austauschbar verwendet. Ein Attribut ist eine Menge von Informationen. Objekte im gleichen Container besitzen dieselben Attribute. Objektklassen: Active Directory gruppiert Objekte nach ihren Attributen. Alle Objekte werden hierdurch kategorisiert, beispielsweise als User oder Drucker. Diese logische Gruppierung ist fr die Organisation der Ressourcen im Verzeichnis zustndig.

3.1.21 Strukturelle Komponenten


Neben Blattobjekten gibt es in Active Directory auch strukturelle Komponenten. Diese helfen, die Hierarchie des Verzeichnisses aufzubauen. Hierzu zhlen die Container, also Speicher fr andere Objekte im Verzeichnis. Dabei gibt es zwei wesentliche Kategorien von Containern: Domnen: Eine Domne stellt eine Sicherheitsgrenze in einem einzelnen Computernetzwerk dar. Active Directory besteht aus einer oder mehreren Domnen. Auf einer eigenstndigen Arbeitsstation stellt der Computer selbst die Domne dar. Eine Domne kann mehr als einen physischen Standort umfassen. Jede Domne verfgt ber eigene Sicherheitsrichtlinien zu anderen Domnen. Wenn mehrere Domnen durch Vertrauensstellungen verbunden sind und eine gemeinsame Konfiguration verwenden, liegt eine Domnenstruktur vor. Organisationseinheiten: Eine Organisationseinheit schafft eine weitere Unterteilung der Verzeichnisstruktur. Hier knnen beliebige Hierarchien innerhalb einer Domne angelegt werden.

webcode: a718

127

Netzwerkdienste und Ports

3.1.22 Relationale Komponenten von Active Directory


Eine weitere wichtige Untermenge der Unterteilungskomponenten bestimmt die Relation zwischen Domnen. Hierzu gehren folgende Komponenten: Baum: Fr viele Unternehmen ist es praktischer, mehrere Domnen zu verwalten, obwohl dies technisch nicht ntig ist. Durch die Verwendung mehrerer Domnen wird eine Hierarchie geformt, die einen zusammenhngenden Namensraum hat und Baum genannt wird. Dieser formt eine logische Top-Level-Struktur, in der die Domnen relativ zueinander eingehngt sind. In einem Baum sind die Domnen miteinander ber Vertrauensstellungen verbunden. Forest: Heutzutage kommt es hufig vor, dass Unternehmen aufgekauft und in andere eingegliedert werden. Um in diesem Fall verwaltbare Einheiten schaffen zu knnen, entwickelte Microsoft das Konzept des Forest. Es erlaubt die Koexistenz von zwei verschiedenen Namensrumen. Global Catalog Server: Im Beitrag wurde bereits der Global Catalog Server erwhnt. Dieser wird durch die Replikation des Verzeichnisdienstes aufgebaut und enthlt eine Kopie aller Objekte im Baum. Man kann sich diesen Server als einen Index auf das gesamte Netzwerk vorstellen. Der Server speichert eine Kopie von jedem Objekt im Directory.

3.1.23 Fazit
Dieser Beitrag soll Ihnen einen Einblick in die Konzepte und Architekturen der wichtigsten Verzeichnisdienste bieten. Es gibt neben den hier vorgestellten zahlreiche weitere Funktionen der einzelnen Verzeichnisdienste. Sie zu beschreiben, wrde aber den Rahmen dieses Artikels sprengen. Die hier vorgestellten Verzeichnisdienste, eDirectory, Active Directory und LDAP, basieren alle auf X.500, der gemeinsamen Spezifikation fr Verzeichnisse und -dienste. LDAP kann man als Add-on oder kleinsten gemeinsamen Nenner betrachten, da mit diesem Kommunikationsprotokoll ein Zugriff auf alle Dienste mglich ist. Es ist davon auszugehen, dass Verzeichnisdienste in den nchsten Jahren immer fter eingesetzt werden. Damit lassen sich weltweite Firmennetze kosteneffektiv und mit vergleichsweise wenig Aufwand in einer einheitlichen Art und Weise administrieren. Die Hersteller der einzelnen Directories haben Vergleiche zwischen ihren eigenen und den Konkurrenzprodukten verffentlicht. Damit bei diesem Vergleich eDirectory besser abschneidet, empfiehlt es sich, den Vergleich von Novell (www.novell.com/products/edirectory/competitive) anzusehen. Soll das Active Directory beim Vergleich als Sieger hervorgehen, ist Microsofts Produktvergleich (http://www.microsoft.com/germany/ms/windows2000/produktinfos/technik/ whitepaper/aktive.pdf) das Richtige fr Sie.
128 www.tecChannel.de

So funktionieren Verzeichnisdienste

Benutzerobjekt: Einem Objekt knnen beliebig viele Attribute zugewiesen werden.

Konstantin Pfliegl

tecCHANNEL-Links zum Thema


So funktionieren Verzeichnisdienste Ethernet im berblick 802.11: Standard fr drahtlose Netze So funktioniert E-Mail So funktioniert DNS So funktionieren TCP/IP und IPv6 Linux als Windows-Server TCP/IP-Netze mit Linux

Webcode
a718 a717 a680 a819 a205 a209 a248 a562

Compact
S.116 S.10 S.52 S.150 S.98 S.76

webcode: a718

129

Netzwerkdienste und Ports

3.2 Ports im berblick


Ohne Ports wre eine Kommunikation ber die im Internet blichen Protokolle Transmission Control Protocol (TCP) und User Datagram Protocol (UDP) nicht mglich. Die Nebenstellen erlauben es, dass mehrere Anwendungsprozesse ber eine Internet-Verbindung gleichzeitig Daten austauschen knnen. Auch bei der Konfiguration einer Firewall ist ein Grundwissen ber Portnummern notwendig. Ein Paketfilter entscheidet bei jedem Datenpaket anhand festgelegter Filterregeln, ob er es weiterleitet oder nicht. Dabei werden unter anderem HeaderInformationen wie Absender- und Zielport ausgelesen. Auf Grund dieser Regeln kann eine Firewall reine Service-Filterungen vornehmen. Service-Prozesse benutzen immer bestimmte Ports. Um beispielsweise den FTP-Service abzublocken, sondert die Firewall alle Pakete aus, die im Header den Port 21 eingetragen haben. Ebenso spielt es eine groe Rolle, von welchem Rechner aus eine Verbindung aufgebaut wird: von einem Client im LAN oder von einem externen Rechner. In diesem Beitrag erlutern wir die Funktionsweise von Ports und welche verschiedenen Gruppen es gibt. Darber hinaus haben wir fr Sie eine bersicht ber die wichtigsten Firewall-Regeln fr ein Firmennetz zusammengestellt, die wir in regelmigen Abstnden ergnzen. In unserer tecDaten-Tabelle (webcode: d901) finden Sie auerdem zahlreiche Informationen zu guten und bsen Programmen, die Ports nutzen. Im aktuellen Update ergnzen wir diesen Beitrag um Firewall-Regeln fr ICMPMeldungen, File-Sharing-Dienste und Online-Spiele.

3.2.1 Was sind Portnummern?


Portnummern zhlen zu den grundlegenden Elementen beim Einsatz der Protokolle TCP und UDP. Sind die Daten am Zielrechner angekommen, mssen sie noch an den richtigen Anwendungsprozess ausgeliefert werden. Beim Transport der Informationen durch die Netzwerkschichten bentigt man einen Mechanismus, der zuerst einmal die bergabe an das jeweilige richtige Protokoll sicherstellt.

130

www.tecChannel.de

Ports im berblick

Nebenstellen: Nach Empfang der Daten werden diese an den richtigen Anwendungsprozess bergeben.

Das Zusammenlegen von Daten aus mehreren Quellen zu einem einzigen Datenstrom nennt man Multiplexing. Ankommende Daten aus dem Netz muss das Internet Protocol (IP) also demultiplexen. Dazu kennzeichnet das IP die Transportprotokolle mit Protokollnummern. Die Transportprotokolle selbst nutzen wiederum die Portnummern zur Identifizierung von Anwendungen.
TCP-Header: Die 16 Bit lange Destination Port-Nummer legt fest, fr welche Applikation das Datenpaket bestimmt ist.

Die IP-Protokollnummer steht in einem Byte im dritten Wort des DatagrammHeaders. Dieser Wert bestimmt die bergabe an das jeweilige Protokoll in der Transportschicht, beispielsweise 6 fr TCP oder 17 fr UDP. Das Transportprotokoll muss die Daten nach Empfang an den richtigen Anwendungsprozess
webcode: a901 131

Netzwerkdienste und Ports

bergeben. Anwendungsprozesse werden anhand der 16 Bit langen Portnummer identifiziert, an die die Daten nach Empfang auf dem Zielrechner bergeben werden. Im ersten Wort jedes TCP- und UDP-Headers sind daher sowohl die Source Port-Nummer als auch die Destination Port-Nummer enthalten. Soll also eine Applikation unter einer bestimmten Portnummer erreichbar sein, teilt sie dies dem TCP/IP-Protokoll-Stack mit.

3.2.2 Sockets
Die Kombination aus IP-Adresse und Portnummer bezeichnet man als Socket. Damit ist es mglich, einen einzelnen Netzwerkprozess innerhalb des gesamten Internets eindeutig zu identifizieren. Die Notation ist IP-Adresse:Port, zum Beispiel 62.96.227.70:80. Zwei Sockets definieren eine Verbindung: einer fr den Ausgangs- und einer fr den Zielrechner.
User Datagram Protocol: Der minimale Protokollmechanismus des UDP enthlt ebenfalls den Zielport des Datenpakets.

TCP und UDP knnen dieselben Portnummern vergeben. Erst die Kombination aus Protokoll und Portnummer ist eindeutig. Somit ist die Portnummer 53 in TCP nicht identisch mit der Portnummer 53 in UDP. Den Aufbau und die Funktionsweise der Protokollfamilie TCP/IP erlutert der tecCHANNEL-Beitrag So funktionieren TCP/IP und IPv6 (webcode: a209) ausfhrlich.

3.2.3 Portgruppen
Insgesamt stehen jeweils 65.535 verschiedene TCP- und UDP-Ports zur Verfgung. Um einen berblick zu behalten und bestimmten Applikationen feste Nummern zuweisen zu knnen, hat man diese in drei Gruppen unterteilt: Well Known Ports: Hierbei handelt es sich um reservierte und standardisierte Portnummern zwischen 1 und 1023. Dies vereinfacht den Aufbau einer Verbindung, weil sowohl Absender und Empfnger bereits wissen, dass Daten fr einen bestimmten Prozess an einen bestimmten Port gesendet werden mssen. So nutzen etwa alle Telnet-Server den Port 23. Die Well Known Ports ermglichen den
132 www.tecChannel.de

Ports im berblick

Clients die Verbindung zu Servern, ohne dass eine weitere Konfiguration notwendig ist. Die Verwaltung dieser Ports bernimmt die Internet Assigned Numbers Authority (IANA). Eine Liste der aktuell vergebenen Portnummern finden Sie unter www.iana.org/assignments/port-numbers. Bis 1992 bewegten sich die Well Known Ports im Bereich zwischen 1 und 255. Die Nebenstellen zwischen 256 und 1023 wurden fr Unix-spezifische Dienste verwendet. Registered Ports: Diese Ports im Bereich von 1024 bis 49.151 sind fr Dienste vorgesehen, die blicherweise auf bestimmten Nebenstellen laufen. Ein Beispiel hierfr ist der Port 3128, den Proxyserver oft alternativ fr HTTP verwenden. Dynamically Allocated Ports: Diese auch Ephemeral Ports genannten Nebenstellen werden stets dynamisch zugewiesen. Sie liegen im Bereich von 49.152 bis 65.535. Jeder Client kann diese Ports nutzen, solange die Kombination aus Transportprotokoll, IP-Adresse und Portnummer eindeutig ist. Wenn ein Prozess einen Port bentigt, fordert er diesen bei seinem Host an.

3.2.4 Welcher Port wird verwendet?


Wie bereits erwhnt, ist fr die Einrichtung einer Firewall das Wissen ber Ports unerlsslich. Sie mssen festlegen, von welchen Nebenstellen Verbindungen einund ausgehen drfen. Doch oft wei man nicht, welche Ports eine Applikation benutzt. Oder man mchte nachsehen, welche Nebenstelle fr ein Programm auf dem Client gerade dynamisch nach dem Zufallsprinzip zugewiesen wurde.

Microsoft Netstat: Das Tool bietet nur wenige Details zu offenen Verbindungen.

webcode: a901

133

Netzwerkdienste und Ports

Um dies herauszufinden, knnen Sie beispielsweise das Windows-Bordmittel Netstat verwenden. Allerdings hat dieses Tool nur einen geringen Funktionsumfang. So zeigt das Programm nicht an, welche Verbindung von welcher Applikation verwendet wird.

Essential NetTools: Die Shareware-Alternative zum Windows-Bordmittel enthlt ausfhrliche Informationen zu offenen Ports und Verbindungen.

Empfehlenswerter ist die Shareware Essential NetTools von Tamos Software (www.tamos.com). Eines der Features ist das sehr ausfhrliche Netstat-Tool. Es zeigt nicht nur die offenen Ports und Verbindungen auf einem System an, sondern zustzlich auch eine Klartextauflsung der Adressen und Nebenstellen sowie die dazugehrige Applikation inklusive komplettem Pfad.

3.2.5 Beispiel fr eine Verbindung


In diesem Beispiel laden wir mit einem Webbrowser eine Internet-Seite von www.tecChannel.de herunter. Der Browser baut dabei eine Verbindung zu der IPAdresse 62.96.227.70 auf. Auf dem Server wird der TCP-Port 80 verwendet, der Well Known Port fr Webserver. Auf dem Client luft die Verbindung ber die dynamische Nebenstelle 1897.

134

www.tecChannel.de

Ports im berblick

Beispiel fr eine Verbindung: Der Webbrowser, hier Netscape 6.2, ldt eine Internet-Seite von www.tecChannel.de herunter.

Der Client, der die Internet-Seite abruft, liegt in einem lokalen Netzwerk, erkennbar an der IP-Adresse 192.168.80.99. Die Daten laufen ber einen Router und ber Network Address Translation (NAT) kommt Masquerading zum Einsatz. Details zu Masquerading und zur Port-zu-Port-Kommunikation ber Router erfahren Sie im nchsten Abschnitt.

3.2.6 Router: Masquerading


Wenn der Internet-Zugang ber einen Router mit dem Internet erfolgt, so ist eine direkte Port-zu-Port-Kommunikation unter TCP/IP nicht mglich. Meist werden in lokalen Netzwerken private IPv4-Adressen verwendet, da die Zuteilung von offiziellen IPv4-Adressen in greren Mengen mittlerweile schwierig geworden ist. Der gesamte Internet-Traffic luft ber einen Router. Mit einer solchen Absenderadresse knnen Clients jedoch nicht direkt mit dem Internet in Kontakt treten. Die Antwortpakete finden den Weg nicht zurck. Woher kennt nun ein Server im Internet die entsprechende Portnummer eines Client im LAN? Hier kommt das so genannte Masquerading zum Einsatz. Dabei handelt es sich um eine spezielle Art der Adressumsetzung, welche auch Source Network Address Translation (SNAT) genannt wird. Bei Paketen von intern, die ber den
webcode: a901 135

Netzwerkdienste und Ports

Router nach extern gelangen sollen, werden die Quelladresse durch die des Routers und der ursprngliche Quellport durch eine neue Nebenstelle ersetzt. Diese Daten werden in einer Tabelle hinterlegt, damit die Antwortpakete entsprechend wieder umgesetzt werden knnen. So merkt ein Internet-Service nicht, dass er mit einem Port des Routers statt mit dem Client kommuniziert. Weitere Details zu Masquerading erfahren Sie im tecCHANNEL-Beitrag Masquerading mit Linux (webcode: a707).

3.2.7 Router: Port-Forwarding


Durch das Funktionsprinzip von Network Address Translation (NAT), wie es in vielen Firmennetzen eingesetzt wird, ist es nicht mglich, von auen direkte Verbindungen zu einem Rechner hinter einem Router aufzubauen. Als Port-Forwarding oder Port-Mapping bezeichnet man die Technik, bei der ein Rechner auf einem bestimmten Port auf einen Verbindungsaufbau wartet und die Datenpakete an einen anderen Computer im LAN weiterleitet. Damit ist der Betrieb eines Internet-Servers auf einem Client hinter einem Router mglich. Zugegriffen wird somit nicht direkt auf den Rechner im lokalen Netz, sondern auf einen bestimmten Port des Routers. Dieser leitet den Zugriff auf den entsprechenden Port des Zielrechners weiter. Die Pakete, die der Rechner zurckschickt, mssen ebenfalls bearbeitet werden. Es werden die IP-Adresse und die Portnummer des Rechners durch die IP-Adresse und den Forwarding-Port auf dem Router ersetzt. Port-Forwarding ist sozusagen ein Gegenstck zum Masquerading. Wie bei diesem sind die Clients fr das Internet unsichtbar. Zum besseren Verstndnis hier ein Beispiel, wie Port-Forwarding fr einen Webserver ablaufen knnte: Ein Client mit der Adresse 192.168.80.99 in einem lokalen Netz ist ber einen Router mit der ffentlichen Adresse 194.246.96.76 mit dem Internet verbunden. Um auf den Webserver auf dem Client zugreifen zu knnen, wird der Router dahingehend konfiguriert, dass er smtliche Datenpakete fr den Port 4711 an den Port 80 auf dem Rechner 192.168.80.99 weiterleitet. Die Antwortpakete von 192.168.80.99:80 werden vom Router auf 194.246.96.76: 4711 umgeschrieben.

3.2.8 Ports ein offenes Tor


Die TCP- und UDP-Ports knnen jedoch auch ein Sicherheitsrisiko darstellen. Zahlreiche Wrmer und Trojaner greifen ber diese auf lokale Systeme zu oder bauen eine Verbindung ins Internet auf. Gerade unter Windows-Systemen ist daher der Einsatz einer Firewall anzuraten. In bestimmten Kreisen entwickelt es sich mittlerweile zum Volkssport, wahllos IP-Adressen auf Backdoors zu untersuchen und sich damit unbemerkt Zugang zu verschaffen. Mit Hilfe eines Portscanners knnen Angreifer sehr schnell heraus136 www.tecChannel.de

Ports im berblick

finden, welche Ports auf einem Rechner offen sind. Ein solcher Scanner macht dabei nichts anderes, als alle Nebenstellen einzeln abzuklappern und zu prfen, ob dort eine Antwort kommt. Wenn sie kommt, ist der entsprechende Port aktiv und kann mglicherweise missbraucht werden. Daher ist der Einsatz einer Firewall unerlsslich. Im nchsten Abschnitt erklren wir die Konfiguration einer Firewall anhand von Regeln. Wenn Sie diese auf Ihrem Rechner anwenden, sind Sie vor den meisten Online-Gefahren geschtzt. Grundlagen und weitere Informationen ber die Funktionsweise einer Firewall erfahren Sie im tecCHANNEL-Beitrag Firewall-Grundlagen (webcode: a682).

3.2.9 Einrichten einer Firewall


Anhand einer Meta-Sprache erlutern wir Ihnen wichtige Filterregeln fr eine sichere Firewall. Diese lassen sich auf alle blichen Firewalls anwenden. Grundstzlich sollte man alle Ports erst einmal sperren und nur die ffnen, die wirklich bentigt werden. Filterregeln ergeben sich aus mehreren Optionen, die in der folgenden Tabelle aufgefhrt sind:

Firewall-Optionen
Option FORWARD/ACCEPT/REJECT/DROP -dir IN/OUT -prot TCP/UDP/ICMP -src HOST:PORT -dest HOST:PORT Beschreibung Datenpakete weiterleiten/ annehmen/blockieren/ignorieren Eingehend/ausgehend Verwendetes Protokoll: TCP, UDP oder ICMP Quellrechner:Port Zielrechner:Port

Fr die Meta-Sprache verwenden wir folgende Notation:


FORWARD/ACCEPT/REJECT/DROP -dir IN/OUT -prot TCP/UDP -src HOST:PORT -dest HOST:PORT

ber die IP-Adresse des Quellrechners knnen Sie Dienste fr bestimmte Rechner in Ihrem lokalen Netz sperren. Zudem sollte man bei der Konfiguration beachten, dass einige Dienste nicht ber eine bereits geffnete Datenverbindung antworten, sondern eine neue Verbindung aufbauen. Aus diesem Grund sollte die Firewall auch fallweise Verbindungen erlauben:

webcode: a901

137

Netzwerkdienste und Ports

IF FORWARD/ACCEPT/REJECT/DROP -dir IN/OUT -prot TCP/UDP -src HOST:PORT -dest HOST:PORT THEN FORWARD/ACCEPT/REJECT/DROP dir IN/OUT -prot TCP/UDP -src HOST: PORT -dest HOST:PORT

Mehrere einzelne Regeln nennt man auch Ruleset. Bei jeder Anfrage aus dem lokalen Netz oder aus dem Internet wird das Ruleset von oben bis unten abgearbeitet. Es verarbeitet und filtert jedes Datenpaket. In unserem Konfigurationsbeispiel sind in einer Firma mehrere Clients ber eine Firewall mit dem Internet verbunden. Ein Proxyserver kommt nicht zum Einsatz.

3.2.10 Standarddienste I
Im ersten Schritt empfiehlt es sich, die Standarddienste zu konfigurieren, die in der Regel bei den meisten Internet-Verbindungen bentigt werden. Hierzu zhlt unter anderem der Zugriff auf Webseiten und FTP-Server. Domain Name Service: Diese Regel ermglicht es dem lokalen Rechner, eine Verbindung mit dem Nameserver des Providers aufzubauen. Diese beiden Regeln werden in jedem Fall bentigt:
FORWARD -dir OUT -prot TCP -src LOCAL_CLIENT:ANY -dest ANY: 53 FORWARD -dir OUT -prot UDP -src LOCAL_CLIENT:ANY -dest ANY: 53

File Transfer Protokoll: Das FTP bietet zwei verschiedene Verbindungsarten, die unterschiedliche Portfiltereigenschaften voraussetzen. Grundstzlich sollte man dem passiven FTP den Vorzug geben, da hier alle Verbindungen vom Client aus aufgebaut werden und keine von auen initiierten Verbindungen zugelassen werden mssen. Im aktiven Modus baut der Client eine Verbindung zum Port 21 des Servers auf. Der Server besttigt die Verbindung und baut eine Verbindung von seinem Port 20 zum Client auf. Der Vollstndigkeit halber erlutern wir jedoch beide Varianten. Beim aktiven FTP sollte die Firewall dahingehend konfiguriert werden, dass nur der Server eine Verbindung aufbauen darf, insbesondere, da zuvor der entsprechende Client eine Verbindung ber Port 20 aufgebaut hat. Passives FTP:
FORWARD -dir OUT -prot TCP -scr LOCAL_CLIENT:ANY ANY:21

138

www.tecChannel.de

Ports im berblick

Aktives FTP:
IF FORWARD -dir OUT -prot TCP -scr LOCAL_CLIENT:ANY FTP_ SERVER:21 THEN FORWARD -dir IN -prot TCP -src FTP_SERVER:20 LOCAL_CLIENT:ANY

3.2.11 Standarddienste II
SSH Remote Login Protocol: SSH ermglicht eine sichere Kommunikation und Authentifizierung. Dazu wird der komplette Login-Prozess einschlielich der Passwortbermittlung verschlsselt. Diese Regel sollten man nur bei Bedarf einrichten.
FORWARD -dir OUT -prot TCP -src LOCAL_CLIENT:ANY -dest ANY: 22

Hypertext Transfer Protocol: HTTP ist das Standardprotokoll fr Webbrowser und ermglicht den Zugriff auf Internet-Seiten.
FORWARD -dir OUT -prot TCP -src LOCAL_CLIENT:ANY -dest ANY: 80

Wenn im Firmennetz ein Proxyserver zum Einsatz kommt, muss die Regel entsprechend angepasst werden. Hypertext Transfer Protocol over TLS/SSL: Dient zur sicheren bertragung von Webseiten zwischen Webserver und Browser. Die Kommunikation erfolgt hierbei SSL-verschlsselt. Das HTTPS-Protokoll wird von zahlreichen Webseiten verwendet, wie beispielsweise beim Online-Banking. Daher sollten die entsprechenden Ports freigegeben werden.
FORWARD -dir OUT -prot TCP -src LOCAL_CLIENT:ANY -dest ANY: 443

3.2.12 Mail- und News-Dienste


Damit ein Zugriff auf externe Mailserver zum Senden und Empfangen von Mails mglich ist, mssen auch hier entsprechende Ports freigegeben werden. Simple Mail Transfer Protocol: Das SMTP wird in der Regel zum Versenden von Nachrichten verwendet. Soll der Versand von Mails nur ber einen bestimmten Server mglich sein, so kann man dies hier festlegen. Nachrichten lassen sich so beispielsweise nur ber den Firmen-Mailserver verschicken.

webcode: a901

139

Netzwerkdienste und Ports

FORWARD -dir OUT -prot TCP -src LOCAL_CLIENT:ANY -dest ANY: 25

Post Office Protocol Version 3: Diese Regel ermglicht das Abrufen von Mails von POP3-Mailservern. Auch hier besteht die Mglichkeit, den Zugriff wieder auf bestimmte Server zu beschrnken.
FORWARD -dir OUT -prot TCP -src LOCAL_CLIENT:ANY -dest ANY: 110

Network News Transfer Protocol: NNTP dient zur bertragung von UsenetNachrichten. Diese Regel sollte nur bei Bedarf angelegt werden.
FORWARD -dir OUT -prot TCP -src LOCAL_CLIENT:ANY -dest ANY: 119

Internet Message Access Protocol Version 4: Soll der Zugriff auf E-Mails ber IMAP4 erfolgen, so muss man hierfr ebenfalls eine Regel anlegen.
FORWARD -dir OUT -prot TCP -src LOCAL_CLIENT:ANY -dest ANY: 143

Internet Message Access Protocol Version 4 over TLS/SSL: Dieses Protokoll dient der SSL-verschlsselten Datenbertragung zwischen Mail-Client und IMAP4Server. Diese Regel ist nur anzulegen, sofern das Protokoll eingesetzt wird.
FORWARD -dir OUT -prot TCP -src LOCAL_CLIENT:ANY -dest ANY: 993

Post Office Protocol Version 3 over TLS/SSL: Falls der verwendete POP3-Server eine sichere Datenbertragung ber SSL untersttzt, ist folgende Paketfilterregel anzulegen
FORWARD -dir OUT -prot TCP -src LOCAL_CLIENT:ANY -dest ANY: 995

Weitere Informationen zu den Protokollen SMTP, POP und IMAP sowie zu der grundlegenden Technik und dem Aufbau einer E-Mail erfahren Sie im tecCHANNEL-Beitrag So funktioniert E-Mail (webcode: a819).

140

www.tecChannel.de

Ports im berblick

3.2.13 Audio und Video I


In diesem Abschnitt erfahren Sie, welche Paketfilterregeln ntig sind, um hufig eingesetzte Audio- und Videoprogramme wie Apples QuickTime-Player (www.apple.de) oder den RealPlayer (www.real.com) mit einer Firewall einsetzen zu knnen. Diese Regeln sollten nur dann angelegt werden, wenn es unbedingt sein muss. In diesem Fall raten wir, die Regeln nur fr bestimmte Clients im LAN freizugeben. Real Player: Der Player baut ber die TCP-Ports 554, 7070 und 7071 eine Verbindung zum entsprechenden Streaming-Server auf. Den Audio-/Video-Stream sendet der Server von einem der UDP-Ports zwischen 6970 und 7170. Da es aber nicht ratsam ist, alle diese Ports freizugeben, empfehlen wir, nur einen UDP-Port fr den Real Player freizugeben und in der Software diesen einen Port einzutragen. Alternativ kann man den Stream auch ber TCP empfangen. Die Qualitt jedoch soll laut Real qualitativ schlechter sein.
FORWARD -dir OUT -prot TCP -src LOCAL_CLIENT:ANY -dest ANY: 554 FORWARD -dir OUT -prot TCP -src LOCAL_CLIENT:ANY -dest ANY: 7070 FORWARD -dir OUT -prot TCP -src LOCAL_CLIENT:ANY -dest ANY: 7071

Der UDP-Port sollte zwischen 6970 und 6997 liegen, da diese derzeit noch keine Registered Ports sind, zum Beispiel:
IF FORWARD -dir OUT -prot TCP -src LOCAL_CLIENT:ANY REAL_ SERVER:554 THEN FORWARD -dir IN -prot UDP -src REAL_SERVER: 6971 -dest LOCAL_CLIENT:ANY

Die Firewall sollte dahingehend konfiguriert werden, dass nur der Server eine Verbindung aufbauen darf, insbesondere, da zuvor der entsprechende Client eine Verbindung aufgebaut hat.

webcode: a901

141

Netzwerkdienste und Ports

3.2.14 Audio und Video II


Microsoft Media Player: Der Media Server verwendet fr Audio- und VideoStreams (*.asf) ein proprietres Serverprotokoll, das von Microsoft entwickelt wurde. Dieses wird vom MS Media Server ab Version 4.0 sowie vom MS Media Player untersttzt. Der Media Player kontaktiert zum Verbindungsaufbau den Server auf dem TCP-Port 1755. Der Stream wird dann ber den UDP-Port 1755 vom Server zum Client gesendet.
FORWARD -dir OUT -prot TCP -src LOCAL_CLIENT:ANY -dest ANY: 1755 IF FORWARD -dir OUT -prot TCP -src LOCAL_CLIENT:ANY MEDIA_ SERVER:1755 THEN FORWARD -dir IN -prot UDP -src MEDIA_SERVER:1755 -dest LOCAL_CLIENT:ANY

Apple QuickTime: Der Audio-/Video-Player verwendet fr den Verbindungsaufbau zum Server wie der Real Player den TCP-Port 554. Die Streaming-Daten sendet Apples QuickTime-Player ber die UDP-Ports 6970 bis 6999 zum Client. Auch hier ist es nicht empfehlenswert, alle diese Nebenstellen freizugeben. In diesem Fall raten wir, den QuickTime-Stream ber HTTP zu empfangen.
FORWARD -dir OUT -prot TCP -src LOCAL_CLIENT:ANY -dest ANY: 554

3.2.15 Kommunikation und Chat


In der Regel haben Instant Messenger in einem Firmennetz nichts verloren. Soll deren Einsatz dennoch mglich sein, erfordert dies eigene Filterregeln. ICQ: Fr die Client-zu-Server-Kommunikation mit dem Rechner login.icq.com verwendet das Programm den TCP-Port 5190. Optional kann fr diesen Server auch der TCP-Port 443 mit SSL-Verschlsselung verwendet werden. Zur Kommunikation zwischen den Clients kommen beliebige TCP-Ports zwischen 1024 und 65535 zum Einsatz. Hier sollte man nur einen Port freigeben und diesen in den Optionen von ICQ (web.icq.com) festlegen.
FORWARD -dir OUT -prot TCP -src LOCAL_CLIENT:ANY -dest login.icq.com:5190

Yahoo! Messenger: Bei diesem Messenger luft die gesamte Kommunikation ber den TCP-Port 5050. Daher kommen folgende drei Server zum Einsatz:
142 www.tecChannel.de

Ports im berblick

cs1.yahoo.com, cs2.yahoo.com sowie cs3.yahoo.com. Daher sind fr diese drei Server die Ports freizugeben. Kann ber den Port 5050 keine Verbindung zum Yahoo!-Server (http://de.messenger.yahoo.com) hergestellt werden, wird der Port 80 verwendet.
FORWARD -dir OUT -prot TCP -src LOCAL_CLIENT:ANY cs1.yahoo.com:5050 FORWARD -dir OUT -prot TCP -src LOCAL_CLIENT:ANY cs2.yahoo.com:5050 FORWARD -dir OUT -prot TCP -src LOCAL_CLIENT:ANY cs3.yahoo.com:5050

AOL Instant Messenger: AOLs Chat-Programm (www.aol.de) verwendet wie ICQ den TCP-Port 5190.
FORWARD -dir OUT -prot TCP -src LOCAL_CLIENT:ANY -dest ANY: 5190

MSN Messenger: Microsofts Instant Messenger nutzt zur Kommunikation den TCP-Port 1863. Zur Verwendung der AOL Instant Messenger Integration muss zustzlich der TCP-Port 5190 freigegeben werden:
FORWARD -dir OUT -prot TCP -src LOCAL_CLIENT:ANY -dest ANY: 1863

AIM-Integration:
FORWARD -dir OUT -prot TCP -src LOCAL_CLIENT:ANY -dest ANY: 5190

3.2.16 ICMP: Internet Control Message Protocol


Das Internet Control Message Protocol (ICMP) dient zum Austausch von Fehlerund Statusmeldungen, falls bei der bertragung des Internet Protocol (IP) Fehler auftreten. Ist beispielsweise ein Host nicht erreichbar, sendet ein Router die Fehlermeldung Destination Unreachable zum Absender. Neben der Fehlerbermittlung dient ICMP auch zur Kontrolle: So verwendet der Ping-Befehl ICMPPakete, um die Laufzeit von Datagrammen zwischen zwei Hosts zu ermitteln.

webcode: a901

143

Netzwerkdienste und Ports

Bit fr Bit: ICMP-Header und -Datagramm im Detail.

Weitere Details zum Internet Control Message Protocol erfahren Sie im tecCHANNEL-Beitrag So funktioniern TCP/IP und IPv6 (webcode: a209) sowie in RFC 792.

3.2.17 Angriffe ber ICMP


Das Internet Control Message Protocol ist eine Gratwanderung zwischen Sicherheit und Performance. Wer geringe Performance-Einbuen in Kauf nimmt, kann das Protokoll vollstndig blocken. Die Internet-Verbindung sollte in den meisten Fllen trotzdem problemlos funktionieren. Die Gefahr ist, dass das ICMP fr Angriffe missbraucht werden kann, indem knstlich falsche Fehlermeldungen versendet werden. So ist beispielsweise ein Angriff wie Denial-of-Service (DoS) mglich. Ein solcher Angriff kann zum Ausfall einiger Dienste oder im schlimmsten Fall zum Systemabsturz eines Rechners fhren. Durch die ICMP-Dienste Echo und Echo Reply kann sich ein Angreifer auch ntzliche Informationen ber den Aufbau eines Netzwerks verschaffen. Hierzu gehren die Anzahl der Maschinen und die Art der IP-Adressen. Diese Informationen knnen von Hackern dann fr weitere, gezielte Angriffe verwendet werden. Weitere Details zu Angriffen aus dem Internet bietet Ihnen tecCHANNEL im Artikel Firewall-Grundlagen (webcode: a682).

144

www.tecChannel.de

Ports im berblick

3.2.18 ICMP-Meldungen I
Wie bereits erwhnt, sollte man grundstzlich erst einmal alle Ports schlieen und nur diejenigen ffnen, die wirklich bentigt werden. Bei ICMP gibt es zahlreiche Meldungen, in der Praxis bentigt man jedoch nur wenige. Die Meldungen sind in ICMP-Typen unterteilt. Weitere Informationen zu den einzelnen Typen finden Sie auf den Webseiten der IANA (www.iana.org). Die bentigten Paketfilterregeln erlutern wir Ihnen im Folgenden.

3.2.19 Fehlermeldungen
Typ 3 Destination Unreachable : Diese Meldung wird versendet, falls ein Gateway ein entsprechendes Netz oder ein Zielrechner ein Protokoll oder einen Port nicht finden kann. Eingehende Datenpakete dieses Typs sollte man zulassen. Dies spart Wartezeit, ansonsten muss der Client auf einen Time-out warten.
FORWARD -dir IN -prot ICMP_Typ_3 -src ANY:ANY -dest LOCAL_ CLIENT:ANY

Typ 11 Time Exceeded: Dem Sender eines Datenpakets sagt diese Meldung, dass das Datenpaket wegen Zeitberschreitung nicht bertragen wurde. Ein Grund kann ein Paketstau am entsprechenden Router sein, oder auf dem Zielrechner ist das IP-Protokoll nicht in der Lage, die Fragmente zu einem vollstndigen Datenstrom zusammenzusetzen. Diese Meldung sollte man eingehend zulassen.
FORWARD -dir IN -prot ICMP_Typ_11 -src ANY:ANY -dest LOCAL_ CLIENT:ANY

3.2.20 ICMP-Meldungen II
Typ 12 Parameter Problem: Dem Sender eines Datagramms teilt diese Meldung mit, warum das Datenpaket nicht bertragen wurde.
FORWARD -dir IN -prot ICMP_Typ_12 -src ANY:ANY -dest LOCAL_ CLIENT:ANY

Typ 4 Source Quench: Die Puffer-Problem-Meldung teilt dem Sender des Datenpakets mit, warum das Datenpaket nicht bertragen wurde.
FORWARD -dir IN -prot ICMP_Typ_4 -src ANY:ANY -dest LOCAL_ CLIENT:ANY

webcode: a901

145

Netzwerkdienste und Ports

3.2.21 Informationsmeldung
Typ 8 Echo / Typ 0 Echo Reply: An den Sender eines Echo Request werden vom Empfnger alle im Datenpaket enthaltenen Daten zurckgeschickt. Dadurch stellt man fest, ob eine bestimmte IP-Adresse erreichbar ist oder nicht. Viele selbst ernannte Hacker scannen das Internet mit Echo nach Rechnern, die mit Echo Reply antworten. Diese Rechner werden daraufhin auf Trojaner durchsucht. Daher sollte man Echo nur ausgehend und Echo Reply nur eingehend zulassen.
FORWARD -dir OUT -prot ICMP_Typ_8 -src ANY -dest ANY FORWARD -dir IN -prot ICMP_Typ_0 -src ANY -dest ANY

3.2.22 Filesharing-Tools I
Filesharing-Dienste wie Gnutella und eDonkey erfreuen sich steigender Beliebtheit, sei es zum Tausch von Musikdateien oder Videos. So mancher Chef mchte seinen Mitarbeitern diese Dienste im Firmennetz trotzdem zur Verfgung stellen, auch wenn sie nicht allzu viel mit der eigentlichen Arbeit zu tun haben. Auf den folgenden Seiten erlutern wir die hierzu ntigen Paketfilterregeln. Gnutella: Der Peer-to-Peer-Dienst Gnutella (www.gnutella.com) ist einer der bekanntesten Tauschdienste. Um auf die Filesharing-Dienste zugreifen zu knnen, mssen die TCP-Ports 6346 und 6347 ausgehend freigegeben werden.
FORWARD -dir OUT -prot TCP -src LOCAL_CLIENT:ANY -dest ANY: 6346 FORWARD -dir OUT -prot TCP -src LOCAL_CLIENT:ANY -dest ANY: 6347

Weitere Details zum Einsatz von Gnutella hinter Firewalls finden Sie auf der Homepage von Gnutella News (www.gnutellanews.com).

3.2.23 Filesharing-Tools II
eDonkey: Standardmig nutzt eDonkey (www.edonkey2000.com) die Ports 4661, 4662 sowie 4665. Allerdings muss man zur Nutzung des Clients nur den TCP-Port 4662 ausgehend ffnen. Der TCP-Port 4661 wird fr den Serverbetrieb bentigt und ist somit fr den Client nicht relevant. Die Nachrichtenfunktion von eDonkey nutzt den UDP-Port 4665.

146

www.tecChannel.de

Ports im berblick

FORWARD -dir OUT -prot TCP -src LOCAL_CLIENT:ANY -dest ANY: 4662

Obiges Beispiel ist damit ausreichend. Will man einen Server laufen lassen und dazu noch Nachrichten mit anderen Usern austauschen, sind folgende Paketfilterregeln anzulegen.
FORWARD -dir OUT -prot TCP -src LOCAL_CLIENT:ANY -dest ANY: 4661 FORWARD -dir IN -prot UDP -src ANY:ANY -dest LOCAL_CLIENT: 4662 FORWARD -dir OUT -prot UDP -src LOCAL_CLIENT:ANY -dest ANY: 4665

KaZaA und Morpheus: Die beiden Peer-to-Peer-Tools KaZaA (www.kazaa.com) und Morpheus (www.morpheus.com) nutzen den TCP-Port 1214 zum Austausch von Daten mit anderen Anwendern.
FORWARD -dir OUT -prot TCP -src LOCAL_CLIENT:ANY -dest ANY: 1214

3.2.24 Online-Spiele I
Gemeinsam ber das Internet zu spielen wird immer beliebter. Die ntigen Firewall-Regeln fr die beliebtesten Online-Games haben wir hier zusammengefasst. Diese sollte man allerdings nur freischalten, wenn der Chef gelegentliches Spielen am Arbeitsplatz erlaubt. Battle.net: Das wohl bekannteste Portal ermglicht das gemeinsame Spielen von StarCraft, WarCraft II, Diablo sowie Diablo II. Dazu ist der Port 6112 jeweils fr TCP und UDP ein- und ausgehend freizuschalten.
FORWARD -dir OUT -prot TCP -src LOCAL_CLIENT:ANY -dest ANY: 6112 IF FORWARD -dir OUT -prot TCP -src LOCAL_CLIENT:ANY GAME_ SERVER:6112 THEN FORWARD -dir IN -prot TCP -src GAME_SERVER: 6112 -dest LOCAL_CLIENT:ANY

webcode: a901

147

Netzwerkdienste und Ports

FORWARD -dir OUT -prot UDP -src LOCAL_CLIENT:ANY -dest ANY: 6112 IF FORWARD -dir OUT -prot UDP -src LOCAL_CLIENT:ANY GAME_ SERVER:6112 THEN FORWARD -dir IN -prot UDP -src GAME_SERVER: 6112 -dest LOCAL_CLIENT:ANY

3.2.25 Online-Spiele II
Microsoft Zone.com: MSN (www.msn.de) ermglicht auf der Homepage Zone.com (www.zone.com) das gemeinsame Spielen von Strategietiteln wie Age of Empires. Zur Nutzung mssen die entsprechenden Ports fr Zone.com sowie fr die Spieleschnittstelle DirectX freigegeben werden.Zone.com:
FORWARD -dir OUT -prot TCP -src LOCAL_CLIENT:ANY -dest ANY: 6667 FORWARD -dir OUT -prot TCP -src LOCAL_CLIENT:ANY -dest ANY: 28800-29100

DirectX 8:
FORWARD -dir OUT -prot UDP -src LOCAL_CLIENT:ANY -dest ANY: 6073 FORWARD -dir OUT -prot UDP -src LOCAL_CLIENT:ANY -dest ANY: 2302-2400 IF FORWARD -dir OUT -prot UDP -src LOCAL_CLIENT:ANY GAME_ SERVER:2302-2400 THEN FORWARD -dir IN -prot UDP -src GAME_ SERVER:2302-2400 -dest LOCAL_CLIENT:ANY

Microsoft SideWinder Game Voice: Das Peripheriegert fr den PC erlaubt sowohl die direkte Kommunikation mit anderen Spielern via LAN oder Internet als auch die Sprachsteuerung von Spielen.
FORWARD -dir OUT -prot UDP -src LOCAL_CLIENT:ANY -dest ANY: 9110

148

www.tecChannel.de

Ports im berblick

Soll ein Rechner im lokalen Netz auch als Chat-Host fungieren, muss der UDPPort 9110 auch eingehend freigegeben werden.
FORWARD -dir IN -prot UDP -src ANY:9110 -dest LOCAL_CLIENT: ANY

3.2.26 Ports im berblick


In der tecDaten-Tabelle (webcode: d901) haben wir fr Sie alle wichtigen Ports zusammengestellt. Unsere bersicht gibt Ihnen Aufschluss darber, welche Nebenstellen von welchen Applikationen verwendet werden und welches Protokoll zum Einsatz kommt: TCP oder UDP. Zudem haben wir jeweils die bekanntesten und hufigsten Trojaner und Wrmer aufgefhrt. Konstantin Pfliegl

tecCHANNEL-Links zum Thema


Alle Ports im berblick So funktionieren TCP/IP und IPv6 Firewall-Grundlagen So funktioniert E-Mail Domain Name System Sicher im Web unterwegs

Webcode
d901 a209 a682 a819 a205 a931

Compact
S.130 S.76 S.150 S.98

webcode: a901

149

Netzwerkdienste und Ports

3.3 So funktioniert E-Mail


Trotz neuer Alternativen wie Instant Messaging wird die E-Mail immer beliebter. Das Marktforschungsunternehmen IDC prognostiziert fr das Jahr 2005 rund 36 Milliarden versandte E-Mails pro Tag. Im Jahr 2000 verfgten rund 505 Millionen Menschen weltweit ber ein E-Mail-Postfach, im Jahr 2005 soll es bereits 1,2 Milliarden elektronische Briefksten geben. Dabei hatte die E-Mail im Herbst 1971 einen eher unspektakulren Start. Der BBN-Techniker Ray Tomlinson versandte eine Mail zwischen zwei Rechnern, die ber das damalige Arpanet miteinander verbunden waren. Auf der Suche nach einem unverbrauchten Satzzeichen fr die elektronische Post entdeckte er dabei das @-Zeichen und definierte so das Symbol fr ein neues Zeitalter. Einen weiteren Meilenstein in der Geschichte der elektronischen Post legte Eric Allman mit der Programmierung der Software Sendmail im Jahr 1981. Damit war es erstmals mglich, Nachrichten mit einem Mailprogramm gleichzeitig in verschiedene Netze zu versenden. Der heutige Erfolg der E-Mail war 1971 freilich noch nicht absehbar, Tomlinsons Erfindung machte nur wenige Schlagzeilen. Heutzutage ist die elektronische Post kaum mehr wegzudenken und gehrt fr viele zum Alltag. Die E-Mail-Kommunikation basiert auf drei Protokollen: SMTP zum Versenden und POP und IMAP zum Empfangen von Nachrichten. Die Spezifikationen fr jedes Protokoll sind jeweils in einem oder mehreren RFCs festgelegt.

3.3.1 SMTP Simple Mail Transfer Protocol


Die Aufgabe des Simple Mail Transfer Protocol (SMTP) ist der zuverlssige und effiziente Transport von Nachrichten. SMTP ist unabhngig vom Netzprotokoll, in der Regel wird das im Internet bliche TCP verwendet. Die Kommunikation erfolgt ber den Port 25. Fr den Austausch von Nachrichten sind so genannte Mail Transfer Agents (MTA) zustndig. Der bekannteste MTA ist Sendmail (www.sendmail.org). Anwender kommen normalerweise mit diesen nicht in Kontakt. E-Mail-Clients wie Outlook und KMail bernehmen die bertragung der elektronischen Post von und zum Mail Transfer Agent. Die MTAs verwenden zur Kommunikation untereinander einfache ASCII-Zeichen. Der Client sendet Kommandos zum Server, der mit einem nummerischen Code und einem optionalen String antwortet.

150

www.tecChannel.de

So funktioniert E-Mail

SMTP: Die Grafik erlutert den Weg einer E-Mail vom Sender zum Empfnger.

Das Simple Mail Transfer Protocol hat jedoch einen groen Nachteil: Nach dem Versenden einer E-Mail erhlt man keine weiteren Informationen ber deren Verbleib. Die Spezifikationen setzen zwar eine Benachrichtigung des Versenders voraus, falls eine Mail nicht zugestellt werden kann. Wie eine solche auszusehen hat, wurde nicht festgelegt. Meist ist dies eine Mail mit einer Fehlermeldung und dem angehngten Header der unzustellbaren Nachricht. Auf Grund eines fehlenden Standards lsst sich in der Praxis nur selten herausfinden, wo und warum Fehler aufgetreten sind. Daher wurde eine neue SMTP-Erweiterung fr standardisierte Fehlermeldungen ins Leben gerufen. Allerdings untersttzen derzeit nur wenige Server die Erweiterung, so dass diese hier nicht nher behandelt wird. Interessierte finden in den RFCs 1891 und 1894 weitere Informationen.

3.3.2 SMTP: Kommandos


Die SMTP-Kommandos definieren den Transport von E-Mails. Der Spezifikation zufolge muss eine Implementation von SMTP mindestens folgende acht Kommandos untersttzen:

Wichtige SMTP-Kommandos
Kommando Beschreibung Extended HELLO oder HELLO: Startet eine Sitzung und identifiziert den Client am Server. Als Argument wird, sofern verfgbar, der Fully Qualified Domain Name (FQDN) des Client bergeben. Ansonsten sollte eine andere Kennung zur Identifizierung gesendet werden, beispielsweise der Rechnername. Startet eine Mailbertragung. Als Argument wird die Absenderadresse (reverse-path) bergeben. Recipient: Identifiziert den Empfnger (forward-path) einer Mail. Bei mehreren Empfngern wird das Kommando mehrmals ausgefhrt.

EHLO oder HELO

MAIL RCPT

webcode: a819

151

Netzwerkdienste und Ports

DATA RSET VRFY EXPN NOOP QUIT

Der Server antwortet auf das Kommando mit dem Code 354 und wartet auf die bertragung der Nachricht. Der Client beendet die bertragung mit CRLF.RLF Reset: Die Mailtransaktion wird abgebrochen. Die Verbindung zwischen beiden Rechnern bleibt jedoch bestehen. Verify: berprft eine Empfngeradresse. Expand: Die meisten MTAs wie Sendmail behandeln das Kommando wie VRFY. Bewirkt die Antwort 250 OK vom Server. Dient zur Aufrechterhaltung der Verbindung, ohne dass es einen Time-out gibt. Beendet die Verbindung. Der Server muss daraufhin die Antwort 250 OK zurckliefern.

3.3.3 SMTP: Antwort-Codes


Die SMTP-Antwort-Codes garantieren, dass der Client jederzeit ber den Status des Servers informiert ist. Jedes Kommando erfordert einen Antwort-Code vom Server. Der Client entscheidet ausschlielich anhand des zurckgelieferten nummerischen Codes ber das weitere Vorgehen.

SMTP-Antwortcodes
Code 211 214 220 221 250 251 252 354 421 450 451 452 Beschreibung System-Status oder System-Hilfe. Hilfe Informationen zum Ausfhren eines Kommandos. Server bereit. Server beendet Verbindung. Kommando ausgefhrt. Keine lokale Mailbox; Weiterleitung an forward-path. berprfung der Empfngeradresse nicht mglich; Die Nachricht wird dennoch versendet. Starte Empfang der Mail; Beenden mit CRLF.CRLF Service nicht verfgbar; Verbindung wird beendet. Aktion nicht ausgefhrt Mailbox nicht verfgbar. Aktion abgebrochen Fehler beim Ausfhren. Aktion abgebrochen Nicht gengend System-Speicher.

152

www.tecChannel.de

So funktioniert E-Mail

500 501 502 503 504 550 551 552 553 554

Syntax-Fehler Kommando unbekannt. Syntax-Fehler Parameter oder Argument falsch. Kommando unbekannt / nicht implementiert. Falsche Reihenfolge der Kommandos. Parameter unbekannt / nicht implementiert. Aktion nicht ausgefhrt Mailbox nicht erreichbar (nicht gefunden, kein Zugriff). Mailbox nicht lokal; forward-path versuchen. Aktion abgebrochen Fehler bei der Speicherzuweisung. Aktion nicht ausgefhrt Mailbox-Name nicht erlaubt (Syntax inkorrekt). Transaktion fehlgeschlagen (beim Verbindungsaufbau: Kein SMTP-Service verfgbar).

Wie eine E-Mail aufgebaut ist, erfahren Sie auf den nchsten Seiten.

3.3.4 SMTP: Envelope, Header und Body


Eine E-Mail besteht aus drei Teilen: Envelope: Beinhaltet den Sender und Empfnger einer Nachricht und wird von den Mail Transfer Agents bentigt. Header: Verwendet der Mail-Client fr weitere Informationen wie Client-Kennung und Message-ID. Body: Enthlt den eigentlichen Text der Nachricht. RFC 822 spezifiziert den Body als ASCII-Text. Beim Versenden einer Mail mit dem Kommando DATA bertrgt der Client den Header, gefolgt von einer Leerzeile und dem Body. Jede bertragene Zeile darf nicht lnger als 1000 Bytes sein. Hier sehen Sie ein Beispiel fr einen Header:
Received: by xyz.de. id AA00502; Mon, 19 Nov 2001 12:47:32 +0100 Received: from adam1 (715684625313-0001@[192.168.80.201]) by fwd00.xyz.de with smtp id 166Cyz-1KXYRsC; Tue, 20 Nov 2001 16:38:45 +0100 From: adam@xyz.de (Adam) To: eva@test.de (Eva) Subject: Beispiel-Mail Date: Mon, 19 Nov 2001 12:47:31 +0100 Reply-To: adam@xyz.de webcode: a819 153

Netzwerkdienste und Ports

Message-ID: <9307191947AA00502.Adam@xyz.de> MIME-Version: 1.0 Content-Type: text/plain; charset=iso-8859-1 Content-Transfer-Encoding: 8bit X-Mailer: Microsoft Outlook IMO, Build 9.0.2416 (9.0.2910.0)

Unter Received werden alle SMTP-Server eingetragen, die die E-Mail auf dem Weg vom Sender zum Empfnger passiert hat. Jede Nachricht erhlt eine eindeutige Kennung, die Message-ID. Meist besteht diese aus einer Zahlen-/ Buchstaben-Kombination, gefolgt von der Host-Adresse des Senders. Mit X beginnende Zeilen sind in der Regel vom Mail-Client hinzugefgte Informationen, die fr den Versand der Nachricht nicht zwingend erforderlich sind. Die Zeilen Mime-Version, Content-Type und Content-Transfer-Encoding kennzeichnen eine MIME-konforme Mail. Alle weiteren Zeilen wie Date oder Subject sind grtenteils selbsterklrend.

3.3.5 SMTP: Beispiel fr den Versand einer Mail


In einem Beispiel wird eine dreizeilige Nachricht an zwei Empfnger versendet:
S: C: S: C: S: C: S: C: S: C: S: C: C: C: C: S: C: S: 220 test.de SMTP server ready HELO xyz.de. 250 xyz.de., pleased to meet you MAIL From:<adam@xyz.de> 250 <adam@xyz.de> Sender ok RCPT To:<eva@test.de> 250 <eva@test.de> Recipient ok RCPT TO:<tom@test.de> 250 <tom@test.de> Recipient ok DATA 354 Enter mail Hallo Eva, hallo Tom! Beispiel fr den Mail-Versand mit SMTP. Adam . 250 Mail accepted QUIT 221 test.de delivering mail

Zum Versenden einer Nachricht sind fnf Kommandos notwendig: Nachdem der Mail-Client ber TCP eine Verbindung zum SMTP-Server aufgebaut hat, wartet er auf einen Begrungstext mit dem Antwort-Code 220. Im nchsten Schritt identifiziert sich der Client mit dem Kommando HELO, als Argument bergibt er den Fully Qualified Domain Name seines Host, in diesem Beispiel xyz.de. Das Kommando MAIL identifiziert den Verfasser der Nachricht. Das Kommando
154 www.tecChannel.de

So funktioniert E-Mail

RCPT gibt die Empfnger an. Den Inhalt einer Mail sendet der Client mit dem Befehl DATA. Das Ende der Nachricht kennzeichnet eine Zeile, die nur einen Punkt enthlt. QUIT beendet die Verbindung, und der Server versendet die Nachricht.

3.3.6 SMTP: Mail Routing und das DNS


Nachdem der SMTP-Server eine Nachricht vom Client entgegengenommen hat, ist er fr das Routing der E-Mail verantwortlich. Das Domain Name System spielt nicht nur beim Zugriff auf Web- oder FTP-Server eine zentrale Rolle, sondern auch beim Versand elektronischer Nachrichten. Fr E-Mails sind im DNS spezielle Eintrge vorgesehen: die MX-Records. Der Server identifiziert den Zielrechner ber den so genannten Mail Exchange Record (MX Record) der Domain. Dazu fragt er einen DNS-Server ab und erhlt eine Liste mit Servern (Mail Exchanger), die Nachrichten fr die Ziel-Domain entgegennehmen. Jeder Mail Exchanger ist mit einer 16 Bit langen Prioritt versehen. Der SMTP-Server versucht nun, in der Reihenfolge der Prioritt dem entsprechenden Server die Nachricht zu bermitteln.
DNS und E-Mail: Nach der bergabe einer Mail an den SMTP-Server konsultiert dieser das DNS, um die Empfngerseite zu identifizieren.

Prinzipiell kann eine Nachricht ber mehrere SMTP-Server laufen. Entgegen der weit verbreiteten Meinung, E-Mails knnten mehrere Male um den Globus wandern, bis sie schlielich beim Empfnger eintreffen, berqueren sie in der Regel nur zwei SMTP-Server. Die MX Records sollen das Entstehen von diesen Mailschleifen verhindern. Dennoch kann es in Ausnahmefllen zu solchen Mailschleifen kommen. Dies ist beispielsweise der Fall, wenn Routing-Informationen unvollstndig oder nicht mehr aktuell sind. Beim Umzug einer Domain zu einem anderen Provider tritt dies eventuell auf.

webcode: a819

155

Netzwerkdienste und Ports

3.3.7 SMTP: Extended SMTP


Im Laufe der Jahre sind die Anforderungen an die E-Mail-Kommunikation gestiegen. Um dieser Entwicklung Rechnung zu tragen, wurde SMTP um einige Kommandos und Funktionen erweitert. Diese Erweiterungen hat man im Protokoll ESMTP (Extended SMTP) festgelegt. Alle neu hinzugekommenen Funktionen sind abwrtskompatibel, bereits existierende Implementationen sind somit nicht betroffen. Nutzt ein Client die erweiterten Features, identifiziert er sich beim SMTP-Server mit dem Kommando EHLO (statt HELO). Ist der Server zu den Erweiterungen kompatibel, antwortet er mit einem mehrzeiligen Antwort-Code 250. Jede Zeile enthlt ein Kennwort und ein optionales Argument. Die Kennwrter spezifizieren die SMTP-Erweiterungen, die der Server untersttzt.
220 test.de SMTP server ready EHLO xyz.de 250-xyz.de, pleased to meet you 250-HELP 250-EXPN 250-8BITMIME 250-SIZE 461544960 250 XADR

Der Antwort-Code und das Kennwort werden durch einen Bindestrich getrennt, ausgenommen die letzte Zeile, die ein Leerzeichen enthlt. Die Kommandos HELP und EXPN gibt es zwar bereits seit der ersten SMTP-Spezifikation, da diese aber optional ist, werden sie bei ESMTP oft zustzlich angegeben. Alle Kennwrter, die mit einem X beginnen, verweisen auf lokale SMTP-Erweiterungen.

Wichtige SMTP-Extensions
Extension 8BITMIME SIZE Beschreibung Erlaubt das Verwenden von 8-Bit-ASCII-Zeichen im Body (Standard: 7-Bit-ASCII); Spezifiziert in RFC 1426. Gibt die maximale Gre einer Mail an (in Bytes), die der Server akzeptiert; Spezifiziert in RFC 1427.

156

www.tecChannel.de

So funktioniert E-Mail

3.3.8 SMTP: Multipurpose Internet Mail Extension


Wie bereits erwhnt, verwendet man zum Senden von E-Mails im Body 7-BitASCII-Text. Dieser umfasst nur 128 Zeichen, internationale Sonderzeichen kommen darin nicht vor. Die unter anderem in Deutschland gebruchlichen Umlaute wren somit in elektronischen Nachrichten nicht verwendbar. RFC 2045 definiert MIME (Multipurpose Internet Mail Extension), das die Probleme beseitigt, wenn in E-Mails andere Zeichenstze als US-ASCII Verwendung finden. Der Body einer MIME-Mail kann weiterhin als ASCII-Text bertragen werden, ohne Rcksicht auf dessen Inhalt. Einzige Voraussetzung fr den Einsatz ist die Untersttzung durch den E-Mail-Client. MIME fgt dem Header einige Elemente hinzu, die dem Empfnger die Strukturierung des Bodys erlutern:

MIME-Header
Element MIMEVersion Parameter 1.0 text, image etc.; Es folgt nach einem / der Subtyp. Beschreibung Kennzeichnet die verwendete MIME-Version. Derzeit existiert nur Version 1.0. Bestimmt den Inhalt der Mail. Bei den Typen text und multipart wird eine Zeichensatzangabe und Textkrper-Kennung ergnzt. Beispiel MIME-Version: 1.0 Bestimmt den Inhalt der Mail. Bei den Typen text und multipart wird eine Zeichensatzangabe und Textkrper-Kennung ergnzt. Content-TransferEncoding: 8bit

ContentType

ContentTransferEncoding

7bit, 8bit, binary, quoted-printable

Kennzeichnet den Algorithmus, in dem die Daten vorliegen.

3.3.9 SMTP: MIME-Typen


MIME ermglicht nicht nur die bertragung von E-Mails mit Anhngen, sondern stellt auch gleichzeitig die Informationen zur Verfgung, die ein E-Mail-Client zur Auswahl des Darstellungsprogramms bentigt. Dazu dient im Header das Element Content-Type. MIME unterteilt die Datentypen (Media-Types) in sieben Obergruppen mit mehreren Untergruppen. Jede Dateiendung wird einem MediaType zugewiesen.

webcode: a819

157

Netzwerkdienste und Ports

Wichtige MIME-Typen
Name Typ plain Text richtext enriched mixed multipart parallel digest alternative rfc822 message partial external-body application image audio video octet-stream postscript jpeg gif basic mpeg Beschreibung Unformatierter Text. Text mit einfachen Formatierungen, zum Beispiel Kursiv. Vereinfachte und erweiterte Form von richtext. Mehrere Body-Teile, die sequenziell bearbeitet werden. Mehrere Body-Teile, die parallel bearbeitet werden. Auszug aus einer E-Mail. Mehrere Body-Teile mit identischem logischen Inhalt. Inhalt ist eine andere RFC822-Nachricht. Inhalt ist das Fragment einer E-Mail. Inhalt ist ein Zeiger zur eigentlichen Nachricht. Binr-Daten. Postscript-Daten. ISO10918-Format. CompuServe Graphic Interchange Format (GIF). Kodiertes 8-Bit--law Format. ISO11172-Format.

3.3.10 Empfangen von Mails


Viele Anwender nutzen das Internet ber eine Whlverbindung. Diese knnen daher auf ihren Rechnern nicht ohne Weiteres einen SMTP-Server zum Empfang von Mails einrichten. Dazu msste der SMTP-Server des Providers die Nachrichten an den eigenen Server weiterleiten, was in den meisten Fllen nicht mglich ist. Aus diesem Grund werden die Nachrichten zum Abruf zwischengespeichert. Fr den Fernzugriff auf diese E-Mail-Verzeichnisse sind zwei Protokolle von Bedeutung: Das ltere ist POP, das seit 1984 zur Verfgung steht. Die aktuelle Version ist POP3. Der zweite Ansatz ist das 1986 entwickelte IMAP, das in der erweiterten Version 4rev1 vorliegt.

158

www.tecChannel.de

So funktioniert E-Mail

In einer verteilten E-Mail-Struktur gibt es laut RFC1733 drei Mglichkeiten zum Zugriff auf Nachrichten: Bei der Offline-Verarbeitung werden Mails an einen Server bermittelt. Ein Client greift auf den Server zu und ldt die Nachrichten herunter. Die Bearbeitung der elektronischen Post erfolgt lokal auf dem Rechner des Benutzers. Im Online-Betrieb bleibt die Mail auf dem Server und wird dort vom Client bearbeitet. Die dritte Mglichkeit ist der Disconnected-Zugriff, ein Hybrid aus Onlineund Offline-Modell. Bei dieser Variante nimmt der Client Verbindung zum Server auf, erstellt eine Kopie der Nachrichten und baut die Verbindung wieder ab. Nachdem der Benutzer die Mail bearbeitet hat, erfolgt ein Abgleich der Mails zwischen Client und Server.

3.3.11 POP versus IMAP


IMAP bietet im Vergleich zu POP zahlreiche Vorteile, besonders fr den Fernzugriff auf E-Mails. Die folgende Tabelle bietet einen berblick ber den Funktionsumfang beider Protokolle.

IMAP und POP im berblick


Funktion Untersttzung fr den Offline-Modus Untersttzung fr den Online-Modus Untersttzung fr den Disconnected-Modus Mails laufen beim SMTP-Server auf Fr den Empfang von Nachrichten ist kein SMTPGateway erforderlich, jedoch fr den Versand Zugang zu unterschiedlichen Mailboxen mglich Erlaubt Zugang zu anderen Daten, wie beispielsweise News Hohe Performance bei Verbindungen ber Leitungen mit niedriger Bandbreite (Modems) Message-Status-Flags lassen sich bearbeiten Neue Nachrichten sind mit unterschiedlichen Clients berall im Netz zugnglich Offene Protokolle; Spezifiziert in RFCs IMAP X X X X X X X X X X X X X X X POP X

webcode: a819

159

Netzwerkdienste und Ports

Zusatzprotokoll fr die Verwaltung von Benutzereinstellungen verfgbar (Internet Message Support Protocol, IMSP)

Auf den folgenden Seiten finden Sie eine detaillierte Erluterung der Protokolle POP3 und IMAP4.

3.3.12 POP3: Post Office Protocol, Version 3


Wenn ein Client ber POP3 Nachrichten abrufen mchte, baut er eine TCP-Verbindung ber Port 110 auf. Ist die Verbindung zu Stande gekommen, sendet der Server eine Begrungsmeldung. Die weitere Kommunikation zwischen beiden Rechnern erfolgt ber Kommandos. POP3-Kommandos bestehen aus drei oder vier Zeichen langen Kennwrtern und einem oder mehreren Argumenten mit bis zu je 40 Zeichen. Antworten enthalten einen Status-Indikator und ein Kennwort sowie optionale Informationen. Es gibt zwei Status-Indikatoren: Positiv (+OK) und Negativ (-ERR). Eine POP3-Verbindung durchluft mehrere Sitzungsstufen. Nachdem der Server seine Begrungsmeldung gesendet hat, beginnt der Authorization State. Der Client muss sich gegenber dem Server identifizieren. Verluft dies erfolgreich, beginnt der Transaction State. Es werden alle Operationen zum Bearbeiten von Mails, wie Lschen und Abrufen der Nachrichten, ausgefhrt. Sendet der Client das Kommando QUIT, beginnt der Update State. Der Server beendet die TCPVerbindung und fhrt die vom Client in den Transaction State angeforderten nderungen durch. Viele POP3-Server haben zustzlich einen Inaktivitts-Timer. Laut Spezifikation muss dieser auf mindestens zehn Minuten eingestellt sein. Jedes Kommando seitens des Client setzt den Timer zurck. Ist der Timer abgelaufen, wird die TCPVerbindung sofort beendet, ohne in den Update State zu wechseln eventuelle nderungen werden auf dem Server nicht gespeichert.

3.3.13 POP3: Authorization State


Wenn der POP3-Client eine TCP-Verbindung zum Server aufgebaut hat, sendet dieser eine einzeilige Begrung an den Client zurck. Diese Meldung kann jeder beliebige String sein:
S: +OK POP3 server ready

160

www.tecChannel.de

So funktioniert E-Mail

Dabei handelt es sich bereits um eine Antwort des Servers, daher beginnt die Meldung immer mit einer positiven Besttigung (+OK). Die Verbindung befindet sich nun im Authorization State. Der Client muss sich jetzt gegenber dem Server identifizieren. Dies erfolgt ber die beiden Kommandos USER und PASS.

Kommandos im Authorization State


Kommando USER PASS QUIT Argument Name String Beschreibung Das Argument identifiziert eine Mailbox. Der String enthlt ein Mailbox-spezifisches Passwort. Beendet die Verbindung.

3.3.14 POP3: Transaction State


Hat sich der Client Server identifiziert, wechselt die Verbindung in den Transaction State. Dem Client steht nun eine Reihe von Kommandos zur Behandlung der Mails zur Verfgung:

Kommandos im Transaction State


Kommando STAT Argument Beschreibung Liefert die Anzahl der auf dem Server gespeicherten Mails und die Gre der Mailbox in Oktetts zurck. Liefert die Nummer und Gre (in Oktetts) aller Mails zurck. Wird als Argument eine Mailnummer angegeben, wird nur die Gre dieser Mail ausgegeben. Gibt die Mail mit der als Argument bergebenen Nummer aus. Gibt die Mail mit der als Argument bergebenen Nummer aus. Bewirkt die Antwort +OK. Dient zur Aufrechterhaltung der Verbindung, ohne dass es einen Time-out gibt. Setzt die aktive Verbindung zurck. Noch nicht ausgefhrte nderungen werden verworfen.

LIST

Nummer

RETR DELE NOOP

Nummer Nummer

RSET

webcode: a819

161

Netzwerkdienste und Ports

Der Server fhrt das Kommando DELE nicht unmittelbar aus. Die entsprechenden E-Mails werden zum Lschen gekennzeichnet und erst bei Beenden der Verbindung endgltig vom Server gelscht. Hat man eine Nachricht zum Lschen gekennzeichnet, mchte dies jedoch rckgngig machen, fhrt man das Kommando RSET aus. Der Server verwirft alle noch nicht ausgefhrten Operationen.

3.3.15 POP3: Update State


Wenn der Client das Kommando QUIT sendet, wechselt die Verbindung in den Update State. Der Server trennt die TCP-Verbindung und fhrt alle gespeicherten nderungen aus.

Kommando im Update State


Kommando QUIT Argument Beschreibung Beendet die TCP-Verbindung und fhrt alle gespeicherten nderungen aus.

Neben den hier vorgestellten, fr eine minimale Implementation erforderlichen Kommandos gibt es noch einige weitere, die von den meisten Clients und Servern untersttzt werden. Details hierzu finden Sie in RFC 1725.

3.3.16 POP3: Beispiel fr das Abrufen einer Mail


In diesem Beispiel sehen Sie den Ablauf einer POP3-Verbindung. Der Client identifiziert sich gegenber dem Server und ruft eine Liste der gespeicherten E-Mails ab. Danach werden die Nachrichten einzeln heruntergeladen, auf dem Server zum Lschen gekennzeichnet, und die Verbindung wird beendet.
S: C: S: C: S: C: S: S: S: S: C: S: +OK POP3 server ready user tecchannel +OK pass ahd635d +OK LIST +OK 2 messages (320 octets) 1 120 2 200 . RETR 1 +OK 120 octets

162

www.tecChannel.de

So funktioniert E-Mail

S: S: C: S: C: S: S: S: C: S: C: S: C: S:

<Server sendet Nachricht 1> . DELE 1 +OK message 1 deleted RETR 2 +OK 200 octets <Server sendet Nachricht 2> . DELE 2 +OK message 2 deleted RETR 3 -ERR no such message QUIT +OK

3.3.17 IMAP4: Internet Message Access Protocol, Version 4


E-Mail-Client und Server tauschen bei IMAP ihre Daten ber den TCP-Port 143 aus. Im Gegensatz zu den Protokollen SMTP und POP muss der Client bei IMAP nicht nach jedem gesendeten Kommando auf die unmittelbare Antwort des Servers warten. Es knnen mehrere Befehle hintereinander versendet werden, die jeweilige Rckmeldung vom Server kann spter erfolgen. Dazu wird jedem Kommando seitens des Client eine Kennung vorangestellt, auch Tag genannt, zum Beispiel A001 fr den ersten Befehl und A002 fr den zweiten. Der Server kann dem Client auf mehrere Arten antworten: Mit einem Plus-Zeichen am Anfang der Zeile antwortet der Server, wenn er weitere Informationen zu dem vorangegangenen Kommando erwartet. Er signalisiert dem Client gleichzeitig seine Empfangsbereitschaft. Steht dagegen ein Sternchen am Anfang der Zeile, sendet der Server weitere Informationen an den Client zurck.

webcode: a819

163

Netzwerkdienste und Ports

Sitzungsstufen: Eine IMAP4-Verbindung durchluft mehrere Phasen.

Die Antwort eines Servers kennzeichnet den Erfolg oder Fehler eines Kommandos: OK (Kommando erfolgreich ausgefhrt), NO (Fehler beim Ausfhren) oder BAD (Protokoll-Fehler: Kommando unbekannt oder Syntax-Fehler). Die Antwort enthlt denselben Tag wie das zugehrige Kommando, so erkennt der Client, welcher Response welchem Befehl gilt. Wie bei POP durchluft eine IMAP-Verbindung mehrere Sitzungsstufen: Non-Authenticated State: Unmittelbar nach dem Aufbau der Verbindung. Der Anwender muss sich gegenber dem Server identifizieren. Authenticated State: Der Anwender hat sich erfolgreich identifiziert und muss nun eine Mailbox auswhlen. Selected State: Eine Mailbox wurde ausgewhlt. In dieser Phase lassen sich die Mailbox und Mails bearbeiten. Logout State: Die Verbindung wird abgebrochen, und der Server fhrt noch anstehende nderungen aus. Auf den folgenden Seiten werden die einzelnen Sitzungsstufen genauer erlutert.

3.3.18 IMAP4: Non-Authenticated State


Der Non-Authenticated State stellt mehrere Mglichkeiten zur Identifizierung des Anwenders zur Verfgung. Folgende Kommandos stehen in diesem Verbindungszustand bereit:

164

www.tecChannel.de

So funktioniert E-Mail

Kommandos im Non-Authenticated State


Kommando Argument Authentifizierungsmechanismus Name / Passwort Beschreibung Das Kommando bestimmt den Authentifizierungsmechanismus, zum Beispiel Kerberos oder S/Key. Details zu den Authentifizierungsmechanismen finden Sie in RFC 1731. Identifiziert den Anwender ber den Benutzernamen und das Passwort.

QUIT

LOGIN

Beispiel fr eine Authentifizierung mittels des Kommandos LOGIN:


C: a001 LOGIN EVA AHD635D S: a001 OK LOGIN completed

3.3.19 IMAP4: Authenticated State


Im Authenticated State hat sich der User authentifiziert und muss nun eine Mailbox auswhlen, welche in dieser Sitzung bearbeitet werden soll. Dazu stehen unter anderem folgende Kommandos zur Verfgung:

Wichtige Kommandos im Authenticated State


Kommando Argument Beschreibung Whlt eine Mailbox zur weiteren Bearbeitung aus. Als erfolgreiche Antwort sendet der Client Informationen zur gewhlten Mailbox, wie beispielweise die Anzahl der gespeicherten Nachrichten. Identisch mit dem Kommando SELECT. Jedoch wird die Mailbox als read-only ausgewhlt, es sind keine dauerhaften nderungen mglich. Erstellt eine Mailbox mit dem als Argument bergebenen Namen. Lscht die als Argument bergebene Mailbox.

SELECT

Mailbox-Name

EXAMINE

Mailbox-Name

CREATE DELETE

Mailbox-Name Mailbox-Name

webcode: a819

165

Netzwerkdienste und Ports

RENAME

Bestehender Mailbox-Name / Neuer Mailbox-Name

ndert den Namen einer Mailbox.

Beispiel zum Lschen einer Mailbox mit DELETE:


C: A683 DELETE FRIENDS S: A683 OK DELETE completed

3.3.20 IMAP4: Selected State und Update State


Im Selected State stehen dem Client zahlreiche Kommandos zum Bearbeiten einer Mailbox zur Verfgung:

Wichtige Kommandos im Selected State


Kommando CLOSE Argument Beschreibung Entfernt alle zum Lschen gekennzeichneten Mails und setzt die Verbindung in den Authenticated State zurck. Entfernt alle zum Lschen gekennzeichneten Mails, die Verbindung bleibt im Selected State. Erlaubt die Suche nach bestimmten Nachrichten in der aktuellen Mailbox. Das Kommando untersttzt Boolesche Verknpfungen. Bewirkt das Senden von Daten einer Nachricht vom Server zum Client.

EXPUNGE

SEARCH

ein oder mehrere Suchkriterien Gewnschte Daten einer Nachricht

FETCH

Beispiel zum Suchen einer bestimmten Nachricht mit SEARCH. Als Ergebnis der Suche liefert der Server die Nummern der entsprechenden Mails zurck:
C: A282 SEARCH SINCE 1-NOV-2001 FROM ADAM S: * SEARCH 2 84 882 S: A282 OK SEARCH completed

Beendet der Client mit dem Kommando LOGOUT die Verbindung, wechselt der Server in den Update State und fhrt noch anstehende nderungen aus.

166

www.tecChannel.de

So funktioniert E-Mail

Daneben gibt es eine Reihe weiterer Befehle im Authenticated State und Selected State. Eine Beschreibung aller Funktionen und Befehle wrde den Rahmen dieses Artikels sprengen. An dieser Stelle knnen wir nur auf die rund 80 Seiten starke RFC 2060 verweisen.

3.3.21 IMAP4: Beispiel fr das Abrufen einer Mail


In diesem Beispiel sehen Sie den Ablauf einer IMAP4-Verbindung. Der Client identifiziert sich gegenber dem Server, whlt eine Mailbox aus und ldt den Header einer Nachricht herunter.
S: C: S: C: S: S: S: S: S: S: C: S: S: S: S: S: S: S: S: S: S: C: S: S: * OK IMAP4 Service Ready a001 login eva ahd635d a001 OK LOGIN completed a002 select inbox * 18 EXISTS * FLAGS (\Answered \Flagged \Deleted \Seen \Draft) * 2 RECENT * OK [UNSEEN 17] Message 17 is first new message * OK [UIDVALIDITY 3857529045] is first new message a002 OK [READ-WRITE] SELECT completed a003 fetch 12 rfc822.header * 12 FECH (RFC822.HEADER {346} Date: Wed, 10 Dec 2001 02:23:25 -0700 (PDT) From: Adam <adam@xyz.de> Subject: Beispiel fr eine IMAP4-Verbindung To: Eva <eva@test.de> Message-Id: <9307191947AA00502.Adam@xyz.de> Mime-Version: 1.0 Content-Type: TEXT/PLAIN; CHARSET=iso-8859-1 ) a003 OK FETCH completed a004 LOGOUT * BYE IMAP4 server terminating connection a004 OK LOGOUT completed

Nachdem der Mail-Client ber TCP eine Verbindung zum SMTP-Server aufgebaut hat, wartet er auf einen Begrungstext des Servers. Im nchsten Schritt identifiziert sich der Client mit dem Kommando LOGIN, als Argument bergibt er den Benutzernamen und das Passwort. Nach dem Auswhlen der Mailbox sendet der Server einige Informationen wie beispielsweise die Anzahl der ungelesenen Nachrichten. Mit dem Kommando FETCH fordert der Client den Header der Nachricht 12 an. LOGOUT beendet die Verbindung.

webcode: a819

167

Netzwerkdienste und Ports

3.3.22 Anti-Spam fr MTAs


In Massen verschickte Werbemails, auch Spam genannt, haben in den letzten Jahren immer mehr zugenommen. Einige Internet-Provider und E-Mail-Dienste lehnen Mails, die von bekannten Spammern stammen, bereits gnzlich ab. Derartige Manahmen betreffen allerdings im schlimmsten Fall nicht nur den Mail-Account des Spammers, sondern smtliche Post, die der betreffende E-Mail-Server versendet. Dabei ist es gar nicht so leicht, zwischen Werbemails und beispielsweise einem angeforderten News-Letter zu unterscheiden. So kann es passieren, dass die eine oder andere wichtige Mailing-Liste im Spam-Filter landet und ihre Empfnger nicht mehr erreicht. Bei den Spammern ist es gngige Praxis, zum Versenden der Mails fremde SMTP-Server zu verwenden, das so genannte Relaying. Dies ist nicht nur in vielen Lndern illegal, sondern bringt fr den Betreiber des betroffenen Servers unter Umstnden zahlreiche Probleme mit sich: Dieser hat letztendlich das unntige Datenvolumen zu bezahlen, und das pltzlich auftretende E-Mail-Aufkommen kann seine Infrastruktur lahm legen. Auerdem ist es bei hufigem unautorisiertem Relaying mglich, dass der Server auf eine so genannte Blacklist gesetzt wird. Andere MTAs akzeptieren von diesem Server auf Grund der vielen Spammings keine Mails mehr. Im schlimmsten Fall lassen sich von diesem SMTP-Server keine Nachrichten mehr versenden. Um den zweifelhaften Marketingmanahmen der Versender erfolgreich Einhalt zu gebieten, ist es erforderlich, das Versenden derartiger Massenmails schon im Vorfeld zu verhindern.

3.3.23 Anti-Spam: Verhindern von Relaying


Ein SMTP-Server sollte in der Lage sein, unautorisiertes Relaying zu erkennen und abzulehnen. Beim Versenden einer Mail gibt es dazu vier Elemente zur Identifizierung von Sender und Empfnger mit unterschiedlichem Sicherheitsgrad:

Identifizierung von Sender und Empfnger einer Mail


Identifizierung HELO Hostname MAIL From: RCPT To: SMTP_CALLER Beschreibung Es kann keiner oder jeder beliebige Hostname angegeben werden. Der Client kann jede beliebige Adresse angeben. Dies muss eine korrekte Adresse sein. IP-Adresse des Client.

168

www.tecChannel.de

So funktioniert E-Mail

Die ersten beiden Punkte (HELO und MAIL) knnen beliebige Angaben enthalten. Auf diese Angaben sollte man sich somit nicht verlassen. Daher sollte der Server das Relaying anhand des folgenden Algorithmus erlauben: Die Empfngeradresse der Mail gehrt zu den eigenen Domains. Mails an die Empfnger-Domain werden grundstzlich angenommen und weitergeleitet (MX Record). Die IP-Adresse des Client ist bekannt und autorisiert. Damit lassen sich zumindest die meisten unautorisierten Relaying-Versuche verhindern.

3.3.24 Anti-Spam: Weitere Mglichkeiten


Eine weitere Mglichkeit gegen unautorisiertes Mail-Relaying ist die SMTP-Authentifizierung. Der Mailserver identifiziert den Client anhand von Zugangsdaten und erlaubt nur mit diesen eine Weiterleitung. Dies passiert bei jedem Versand. Das Verfahren entspricht dem Quasi-Standard RFC 2554, der von gngigen MailClients wie Microsoft Outlook und Netscape Messenger untersttzt wird.
Anti-Spam: Durch den Einsatz der SMTP-Authentifizierung lassen sich fremde Zugriffe auf den Mailserver unterbinden.

webcode: a819

169

Netzwerkdienste und Ports

3.3.25 SMTP after POP


Viele Provider setzen die SMTP-Authentifizierung nicht ein, da dies nicht von jedem System untersttzt wird. Stattdessen wird das Mail-Relaying dynamisch freigeschaltet. Dabei werden Nachrichten wie bisher per POP3 oder IMAP4 vom Server abgerufen. Hierfr identifiziert sich der Client gegenber dem Server mit einem Benutzernamen und Passwort und bertrgt auch seine IP-Adresse. Das System erlaubt nun dieser IP-Adresse den Versand von E-Mails fr eine bestimmte Zeit. Bei SMTP after POP muss also zumindest einmal vor dem Senden einer Mail das Postfach abgefragt worden sein. Weitere Informationen zu unerwnschten Werbemails finden Sie im tecCHANNEL-Artikel Kampf dem Spam (webcode: a323).

3.3.26 TLS: Sicherheit beim Mailen


Ein Nachteil von SMTP ist die Sicherheit. Die Mail Transfer Agents kommunizieren untereinander im Klartext. In den meisten Fllen geht die bermittlung ber einen oder mehrere Router. Dieser kann im schlimmsten Fall den gesamten Datenverkehr zwischen Client und Server mitprotokollieren und auswerten. Um einen sicheren Mailversand zur gewhrleisten, besteht die Mglichkeit, eine SMTP-Verbindung per TLS-Verschlsselung aufzubauen. Bei TLS (Transport Layer Security) handelt es sich um eine Weiterentwicklung des bekannteren SSL (Secure Sockets Layer). Details zu SMTP over TLS finden Sie in RFC 2487. ber das ESMTP-Kennwort STARTTLS teilt der Server dem Client beim Verbindungsaufbau mit, dass die Verschlsselung untersttzt wird. Falls der Client Verschlsselung nutzen mchte, sendet er das Kommando STARTTLS ohne Parameter. Beide Rechner starten daraufhin die Verschlsselung. Hier sehen Sie ein Beispiel fr eine SMTP-Verbindung per TLS:
S: 220 test.de SMTP server ready C: EHLO xyz.de S: 250-xyz.de, pleased to meet you S: 250 STARTTLS S: 220 Go ahead C: <Start der Verschlsselung> S: + C: <Verschlsselung wird abgesprochen> C: <Client sendet Kommandos zur Bearbeitung von Mails> ...

Auch bei POP und IMAP gibt es das Problem, dass insbesondere die Authentifizierungsdaten offen ber das Internet gesendet werden. Daher wurde TLS auch fr POP und IMAP eingefhrt. Details hierzu finden Sie in RFC 2595. Konstantin Pfliegl
170 www.tecChannel.de

So funktioniert E-Mail

tecCHANNEL-Links zum Thema


So funktioniert E-Mail So funktionieren TCP/IP und IPv6 So funktioniert DNS Kampf dem Spam Sichere E-Mail Kostenlose E-Mail-Dienste Unified Messaging Services im Vergleich

Webcode
a819 a209 a205 a323 a398 a87 a308

Compact
S.150 S.76 S.98

webcode: a819

171

VPN Theorie und Praxis

4 VPN Theorie und Praxis


Innerhalb eines Gebudes lsst sich ein Netzwerk gut absichern. Doch wenn Mitarbeiter weltweit auf Daten zugreifen mssen, wird die Sicherheit zum zentralen Problem. Dieses Kapitel beschreibt die Grundlagen und den Aufbau eines kostengnstigen VPNs und die Anbindung von Windows und Linux-Clients.

4.1 VPN-Grundlagen
Das Problem ist altbekannt: Man mchte groe Datenmengen an einen anderen Rechner schicken, etwa das neue Datenbank-Update, den Entwurf fr eine Titelseite oder auch nur die digitalisierten Urlaubsfotos. Der Weg ber E-Mail scheitert zumeist an Platzbeschrnkungen auf dem Mailserver. Upload ber FTP erfordert die Installation eines FTP-Servers und die Zwischenspeicherung im Internet ber einen der vielen Speicherdienste ist vielen Anwendern nicht sicher genug. Eine Alternative ist die Direkteinwahl per Modem in den Zielrechner, doch der muss ber ein Modem verfgen und als RAS-Server konfiguriert sein. Zudem sind die Kosten, besonders bei Fernverbindungen, nicht unerheblich. Sind beide Rechner mit dem Internet verbunden, kann man die Rechner auch per WindowsDateifreigabe miteinander kommunizieren lassen. Dann knnen die Benutzer genauso auf die entfernten Laufwerke zugreifen wie auf die lokalen. Der groe Haken: Mehr Scheunentore knnen Sie Hackern nicht mehr ffnen. So genannte VPNs virtuelle private Netzwerke beheben dieses Problem. ber Verschlsselung erzeugen sie ein kleines Netz im groen Netz. Nur wer die richtigen Adressen und Passwrter wei, kann ber dieses Netz kommunizieren. bervorsichtige Administratoren knnen VPNs sogar im LAN installieren, etwa fr die sichere Kommunikation der Geschftsleitung oder bestimmter Abteilungen. Per Packetsniffer knnen Hacker zwar den Datenstrom mitverfolgen, ohne die richtigen Schlssel die Daten allerdings nicht lesen.

4.1.1 Was ist ein VPN?


Ein VPN verbindet zwei Rechner oder Netzwerke miteinander, indem es ein anderes Netzwerk als Transportweg benutzt. Also beispielsweise den Rechner eines Auendienstmitarbeiters in Hamburg mit dem Netzwerk der Zentrale in Mnchen ber das Internet. Fr den Benutzer sieht das VPN aus wie eine normale Netzwerkverbindung zum Zielrechner, vom tatschlichen bertragungsweg bekommt er nichts mit.

172

www.tecChannel.de

VPN-Grundlagen

Um das zu ermglichen, stellt das VPN dem Benutzer beispielsweise eine virtuelle IP-Verbindung zur Verfgung. Die ber diese Verbindung bertragenen Datenpakete verschlsselt der Client und packt sie in ein Datenpaket ein, das er ber das ffentliche Netz an den VPN-Server verschickt. Im Fall des Internets also wiederum ein IP-Paket. Der VPN-Server entschlsselt wieder das Originalpaket und verarbeitet es weiter. Eine aussagekrftige animierte Grafik zu diesem Prozess finden Sie auf der Homepage von J. Helmig (www.wown.com/w_baeten/gifani/vpnani.gif). Das beschriebene Verfahren wird hufig auch als Tunneling bezeichnet, weil die eigentlichen Daten wie durch einen Tunnel zum Zielrechner flieen. Fr die eigentliche Implementation eines VPN gibt es verschiedene Verfahren. Die verbreitetsten sind: Das Point-to-Point Tunneling Protocol (PPTP) eignet sich fr den Transfer von IP, IPX oder NetBEUI ber ein IP-Netzwerk. Das Layer 2 Tunneling Protocol (L2TP) eignet sich fr den Transfer von IP, IPX oder NetBEUI ber ein beliebiges Medium, das die bertragung von Punkt-zu-Punkt-Datagrammen erlaubt. Beispiele hierfr sind IP, X.25, Frame Relay oder ATM. Das IP Security Protocol (IPsec) eignet sich fr den Transfer von IP-Daten ber ein darber gelagertes IP-Netzwerk.

4.1.2 Protokolle im Tunnel


Das Tunneling kann auf zwei verschiedenen Ebenen des OSI-Schichtenmodells erfolgen. PPTP und L2TP verwenden die Datenverbindungsschicht (Ebene 2) und packen die Datenpakete in Frames des Punkt-zu-Punkt-Protokolls (PPP) ein. Dabei knnen sie auf Features des PPP zurckgreifen, wie Benutzer-Authentifizierung, dynamische Adressvergabe (etwa DHCP), Datenkompression oder Datenverschlsselung. Insbesondere der Benutzer-Authentifizierung kommt eine besondere Bedeutung zu, da ein VPN die sichere Datenbertragung zum Ziel hat. Hufig kommt das so genannte CHAP zum Einsatz, bei dem die Benutzerdaten verschlsselt bertragen werden. Eine weitere Sicherheitsstufe lsst sich ber Call-back erreichen. Bei diesem Verfahren wird nach erfolgreicher Authentifizierung die Verbindung abgebrochen. Danach ruft der Einwahlserver bei einer spezifizierten Rufnummer an, um die eigentliche Datenverbindung aufzubauen. Bei der Datenbertragung werden die einzelnen Pakete (IP, IPX oder NetBEUI) in so genannte PPP-Rahmen eingepackt und an der Gegenstelle zur Weiterverarbeitung ausgepackt. PPTP verpackt die PPP-Rahmen vor der bermittlung in IP-Pakete und bermittelt sie ber ein IP-Netzwerk zum Zielknoten. Das Protokoll wurde 1996 von Firmen wie Microsoft, Ascend, 3Com und US Robotics entwickelt.

webcode: a306

173

VPN Theorie und Praxis

Die Einschrnkung, dass PPTP nur ber IP-Netzwerke arbeitet, adressiert ein Vorschlag von 1998. Das L2TP arbeitet auch ber X.25, Frame Relay oder das zu dieser Zeit hochgelobte ATM. Der Vorteil von L2TP gegenber PPTP ist, dass es direkt ber die verschiedenen WAN-Medien bertragen werden kann, aber optional auch ber den Umweg IP funktioniert.

4.1.3 IPsec VPN nur frs Internet


IPSec arbeitet im Gegensatz zu PPTP und L2TP auf der Netzwerkschicht (Ebene 3). Es verschlsselt die zu sendenden Datenpakete inklusive aller Informationen wie Empfnger und Statusmeldungen und fgt einen normalen IP-Header hinzu, der an das andere Ende des Tunnels geschickt wird. Der Rechner dort entfernt den zustzlichen IP-Header, entschlsselt das Originalpaket und leitet es an die eigentliche Zielstation weiter.

Aufbauschema: Der IP-Header im Detail

IPsec lsst sich auf zwei verschiedene Tunnel-Techniken konfigurieren. Beim so genannten freiwilligen Tunnel baut der Client zunchst eine normale Verbindung zum Internet auf, und benutzt dann diesen Kanal, um die virtuelle Verbindung zum eigentlichen Zielserver zu errichten. Dazu muss auf dem Client das entsprechende Tunnel-Protokoll installiert sein. Im Normalfall ist es der Internet-Benutzer, der sich ins Internet einwhlt. Jedoch knnen auch Rechner im LAN eine VPN-Verbindung aufbauen. Da die IP-Verbindung bereits besteht, muss in diesem Fall nur noch die VPN-Verbindung aufgebaut werden.

174

www.tecChannel.de

VPN-Grundlagen

Beim so genannten Pflicht-Tunnel muss nicht der Client das Tunneling bernehmen, der Service-Provider ist dafr zustndig. Der Client muss sich lediglich beim ISP einwhlen, der Tunnel wird automatisch vom Provider zur Zielstation aufgebaut. Dazu ist es jedoch erforderlich, mit dem Provider einen entsprechenden Vertrag abzuschlieen.

4.1.4 Sicherheitsmerkmale von IPsec


ber einen Authentifizierungs-Header (AH) stellt IPsec sicher, dass das empfangene Paket tatschlich vom richtigen Absender stammt (und nicht etwa von einem Hacker, der sich in die Kommunikation einmischen will) und dass das Paket nicht verndert wurde (Integritt). Der AH enthlt Informationen zur Authentifizierung und eine Sequenznummer, um zu vermeiden, dass mit alten Paketen eine Replay-Attacke gestartet wird. Er ist allerdings nicht verschlsselt. Verschlsselung lsst sich ber den Encapsulation Security Header (ESH) erzielen. Dabei wird die Nutzlast komplett verschlsselt und ber den ESH sendet das VPN Informationen hinsichtlich der Verschlsselung. Der ESH enthlt auch Mechanismen zur Authentifizierung und Datenintegritt, so dass kein zustzlicher AH notwendig ist. Die eigentliche Methode zur Verschlsselung und Authentifizierung ist dabei nicht festgelegt. Allerdings hat die IETF (www.ietf.org) bestimmte Algorithmen zwingend fr IPsec-Implementationen festgelegt, um Interoperabilitt zwischen verschiedenen Produkten zu erreichen. Dazu gehren etwa MD5, DES oder der Secure Hash Algorithm. IPSec benutzt unter anderem folgende Standards und Verfahren: Diffie-Hellman zum Austausch von Schlsseln zwischen den beiden beteiligten Stationen Public-Key-Verschlsselung, um die ausgetauschten Schlssel zu signieren und die Identitt der beteiligten Stationen zu garantieren Verschlsselungs-Algorithmen wie DES, um den eigentlichen Datenaustausch zu sichern Hash-Algorithmen, um die einzelnen Datenpakete zu authentifizieren Digitale Signaturen, um als digitale Ausweise zu dienen.

4.1.5 IPsec ohne Tunnel


IPsec hat gegenber den anderen Verfahren einen weiteren Vorteil: Es kann auch als normales Transportprotokoll verwendet werden. Dabei wird nicht wie beim Tunnel-Modus das gesamte IP-Paket verschlsselt und in ein neues eingepackt. Stattdessen wird nur die reine Nutzlast verschlsselt. Der Original-Header mit Absender- und Zielangaben bleibt erhalten. Dadurch mssen weniger zustzliwebcode: a306 175

VPN Theorie und Praxis

che Daten (Overhead) bermittelt werden, die Bandbreitenbelastung ist geringer. Dafr kann ein Hacker aber auch lokalisieren, von wem die Daten kommen und an wen sie gehen. Da die Informationen oberhalb der Ebene 3 im OSI-Modell jedoch verschlsselt sind, kann der Hacker nicht feststellen, ob es sich um eine Kommunikation mit dem E-Mail-Server handelt oder um eine andere Art von Kommunikation.

4.1.6 Ablauf einer IPsec-Verbindung


Bevor zwei Stationen Daten ber IPsec austauschen knnen, muss eine ganze Reihe von Schritten durchgefhrt werden. Zunchst ist der Sicherheitsdienst festzulegen. Dabei einigen sich die Stationen, ob Verschlsselung, Authentifizierung/Integritt oder alle drei verwendet werden sollen. Danach legen sie die exakten Algorithmen fest; etwa DES zur Verschlsselung und MD5 fr die Integritt. Im nchsten Schritt mssen Schlssel fr die Sitzung ausgetauscht werden. Fr die Sicherung der Kommunikation verwendet IPsec die so genannte Security Association (SA). Eine SA bezeichnet die Beziehung zwischen zwei oder mehreren Stationen und beschreibt, wie diese Stationen Sicherheitsdienste zur Kommunikation verwenden. SAs werden ber den Security Parameter Index (SPI) eindeutig gekennzeichnet. Der SPI besteht aus einer Zufallszahl und der Zieladresse. Das heit, zwischen zwei Stationen bestehen immer zwei SPIs: einer fr die Kommunikation von A nach B und einer fr den umgekehrten Weg. Will eine Station Daten gesichert bertragen, berprft sie die mit der Zielstation vereinbarte Sicherheitsassoziation und wendet die spezifizierten Verfahren auf das Datenpaket an. Dann schreibt sie den SPI in den Paket-Header und schickt das Paket an die Zieladresse.

4.1.7 Schlsselverwaltung in IPsec


IPSec verlsst sich zwar auf das Vorhandensein der Sicherheitsassoziation, bietet aber keine Mechanismen zum Erzeugen einer solchen Assoziation. Fr diese Aufgabe verlsst sich IPSec auf IKE (Internet Key Exchange), das als Key-Management-Protokoll (IKMP) agiert. Um die Security Association zu erzeugen, mssen sich beiden Stationen zunchst authentifizieren. IKE ist sehr flexibel, was diese Verstndigung angeht. Derzeit werden primr folgende Verfahren angewendet: Pre-shared Keys: Auf beiden Rechnern ist ein Schlssel vorinstalliert. Aus diesem Schlssel erzeugt IKE einen Hash-Wert und schickt ihn an den Zielrechner. Knnen die zwei Stationen diesen Wert erzeugen, verfgen wohl beide ber den Schlssel und sind authentifiziert.

176

www.tecChannel.de

VPN-Grundlagen

Public-Key-Verschlsselung: Jede Seite erzeugt eine Zufallszahl, verschlsselt sie mit dem ffentlichen Schlssel der anderen Seite und schickt sie dorthin. Kann die andere Seite die Zahl mittels ihres privaten Schlssels entschlsseln und zurcksenden, ist sie authentifiziert. Derzeit wird nur das RSA-Verfahren untersttzt. Digitale Signatur: Bei diesem Verfahren signiert jede Seite einen Datensatz und schickt ihn an den Zielrechner. Derzeit werden RSA und der Digital Signature Standard (DSS) untersttzt. Um diesen Datenaustausch zu sichern, mssen sich die beiden Seiten zunchst auf einen gemeinsamen Sitzungsschlssel einigen. Dieser wird nach dem DiffieHellman-Protokoll ermittelt. Ist die Authentifizierung erfolgreich, knnen sich die beiden Stationen auf einen Schlssel einigen, der fr die folgende Kommunikation verwendet wird. Dabei kann entweder der bereits fr die Authentifizierung erstellte Diffie-Hellmann-Schlssel zum Einsatz kommen (schneller) oder ein neuer Schlssel erstellt werden (sicherer).

4.1.8 Fazit
Der Datenaustausch ber das Internet ist nicht besonders sicher. Es kann quasi jeder, der an einer geeigneten Stelle sitzt, den Datenverkehr abhren und Nutzen daraus ziehen, und sei es nur, um die Firma zu stren. Mit virtuellen privaten Netzwerken macht man es den Hackern zumindest bedeutend schwerer. Mit der Integration von VPN-Technologie in Windows steht dem Einsatz eigentlich nichts mehr im Wege. Dennoch wird es bisher relativ selten verwendet. Genauso selten wie beispielsweise die Verschlsselung von E-Mail. Mike Hartmann

tecCHANNEL-Links zum Thema


Lauschangriff im Firmennetz So funktionieren TCP/IP und IPv6

Webcode
a288 a209

Compact
S.76

webcode: a306

177

VPN Theorie und Praxis

4.2 VPN mit Windows


Das Internet setzt sich immer mehr als das Transportnetzwerk schlechthin durch. Es bietet deutlich mehr als nur den Zugriff auf Webserver oder E-Mail-Dienste. Mit etwas Aufwand kann man sogar zwei Rechner miteinander verbinden, die auf verschiedenen Kontinenten stehen. Dabei sieht es fr die beiden Rechner so aus, als ob sie sich im selben LAN befinden. Damit ersparen sich die Benutzer der beiden Computer den umstndlichen Dateiversand per E-Mail oder die teure Whlverbindung zum Zielcomputer. Der einzige Haken bei der Sache: Ohne geeignete Schutzmechanismen stehen Hackern Tr und Tor offen, sei es zum direkten Angriff auf den Computer oder auch nur zum Belauschen des Datenverkehrs. Virtuelle private Netzwerke (VPNs) bieten eine Reihe von Sicherungsmethoden gegen diese Angriffe. Wie VPNs funktionieren, lesen Sie in unserem Grundlagenbeitrag in diesem Heft. Wir zeigen Ihnen, wie einfach man unter Windows ein eigenes VPN aufsetzen kann. Dazu ist nicht einmal spezielle Software ntig, denn Microsoft liefert die entsprechenden Treiber gleich mit dem Betriebssystem aus oder bietet sie auf seiner Website zum Download an.

4.2.1 Voraussetzungen
Damit Sie zwei Windows-Rechner ber ein VPN verbinden knnen, muss einer der beiden unter Windows NT oder Windows 2000 laufen. Er dient als VPN-Server, Windows 9x/ME kann nur als VPN-Client fungieren. Zudem sollte der VPN-Server eine statische IP-Adresse haben. Wie Sie das Ganze ohne statische IP-Adresse lsen knnen, zeigen wir im Abschnitt Hilfsmittel. Beide Rechner bentigen natrlich eine Verbindung zum Internet dabei ist es egal, ob es eine Whlverbindung ist oder ber ein LAN, das ans Internet angebunden ist. Der VPN-Server muss jedoch ber eine ffentliche IP-Adresse erreichbar sein, damit der Client ihn auch von auen erreichen kann. In lokalen Netzen werden meist private IP-Adressen verwendet (etwa 192.168.X.X). In einem solchen Fall knnen Sie lediglich ein VPN innerhalb des LAN aufbauen, was bei bestimmten Gegebenheiten durchaus sinnvoll ist etwa um die Verbindung zwischen zwei Stationen gegen das Belauschen durch die eigenen Mitarbeiter zu sichern. Wenn der VPN-Client unter Windows 95 laufen soll, laden Sie zunchst das Dial-up-Networking-Upgrade 1.3 (www.microsoft.com/windows95/downloads/ contents/WURecommended/S_WUNetworking/dun13win95/Default.asp) von der Microsoft-Site herunter und installieren Sie es. Es enthlt die Treiber, die fr das VPN notwendig sind. Dazu gibt es noch das Jahr-2000-Update (www.microsoft.com/windows95/downloads/contents/WURecommended/S_ WUNetworking/dunwinsky2k/Default.asp) und ein zustzliches VPN-Update (www.microsoft.com/windows95/downloads/contents/WURecommended/S_

178

www.tecChannel.de

VPN mit Windows

WUNetworking/vpn/Default.asp), das Angaben von Microsoft zufolge die Stabilitt und Geschwindigkeit von VPN-Verbindungen verbessert.

4.2.2 Installation des VPN-Servers


Auf dem NT-Rechner installieren Sie zunchst ber die Eigenschaften der Netzwerkumgebung das Point-to-Point Tunneling Protocol.

1. Schritt: Das Point-to-Point Tunneling Protocol ist die Grundvoraussetzung fr den VPN-Server.

Im Folgenden werden Sie automatisch nach der Zahl der simultan mglichen VPN-Verbindungen gefragt. Bei einem NT-Server knnen Sie maximal 256 einstellen. Bei einer NT-Workstation drfen Sie nur 1 eintragen, da die NT-Workstation nur eine RAS-Verbindung erlaubt.

webcode: a412

179

VPN Theorie und Praxis

2. Schritt: Bei einem NTServer sind bis zu 256 VPN-Verbindungen mglich, eine NT-Workstation untersttzt nur eine.

Da eine VPN-Verbindung als eine Remote-Access-Verbindung gewertet wird, startet Windows NT automatisch den RAS-Setup-Dialog. Ist RAS noch nicht installiert, richtet NT es gleich ein. Im Setup-Dialog fgen Sie den VPN-Adapter als Einwahlport hinzu. Haben Sie mehr als eine Verbindung ermglicht, fhren Sie diesen Schritt fr jeden VPN-Adapter durch.

3. Schritt: Der VPN-Adapter wird im RAS als Remote-Access-Gert hinzugefgt.

180

www.tecChannel.de

VPN mit Windows

4.2.3 Konfiguration des RAS-Servers


Den VPN-Adapter konfigurieren Sie nun so, dass er eingehende Verbindungen zulsst. Im nchsten Schritt legen Sie die erlaubten Netzwerkprotokolle fr diese Verbindung fest, indem Sie auf Netzwerk klicken. Hier stellen Sie auch die Art der Verschlsselung ein und legen fest, ob der Client nur auf den NT-Rechner zugreifen darf oder auch auf das LAN, an das der NT-Rechner eventuell angeschlossen ist. Soll das mglich sein, agiert der VPN-Server gleichzeitig auch als Router.

4. Schritt: Die Netzwerkeigenschaften der VPN-Verbindung legen fest, welche Protokolle erlaubt sind.

Um die Verbindung weiter abzusichern, knnen Sie ausschlielich NetBEUI als Protokoll zulassen und verbieten, dass der entfernte Rechner auf das LAN zugreifen darf. Dann kann der VPN-Client nur auf die Freigaben des VPN-Servers zugreifen. Das LAN und die Internet-Dienste des VPN-Servers sind fr Client nicht mehr sichtbar. Danach ist das Protokoll installiert und konfiguriert.

webcode: a412

181

VPN Theorie und Praxis

Bei TCP/IP ber das VPN sind noch einige weitere Konfigurationsschritte notwendig. Wenn Sie keinen DHCP-Server eingerichtet haben, weisen Sie einen statischen Adress-Pool zu. Verwenden Sie jedoch nur private IP-Adressen, keine ffentlichen. Der Adressbereich muss mindestens zwei Adressen umfassen, eine fr den VPN-Server und eine fr den VPN-Client.

5. Schritt: Sollen auch TCP/IP-Verbindungen ber das VPN erlaubt sein, sind einige zustzliche Einstellungen notwendig.

Jeder Benutzer bentigt eine Berechtigung, um ber das VPN auf den Server zugreifen zu knnen. Dazu rufen Sie den Benutzermanager auf und aktivieren bei den Benutzern unter dem Menpunkt Einwahl den Remote-Zugriff.

182

www.tecChannel.de

VPN mit Windows

6. Schritt: Jedem Benutzer, der ber das VPN zugreifen darf, rumen Sie die entsprechenden Rechte im Benutzermanager von NT ein.

Als letzten Schritt starten Sie den Remote Access Server, damit VPN-Verbindungen aufgebaut werden knnen.

4.2.4 VPN-Client: Windows NT


Die Installation des VPN-Client von Windows NT gleicht der Einrichtung des VPN-Servers. Folgen Sie zunchst den ersten vier Schritten wie bei Einrichtung des Servers beschrieben. Also: PPTP installieren Anzahl der Verbindungen festlegen VPN-Adapter als RAS-Gert hinzufgen VPN-Adapter im RAS konfigurieren. Der einzige Unterschied liegt in der Konfiguration des VPN-Adapters. Hier setzen Sie den Adapter auf eingehende Verbindungen statt auf ausgehende.

webcode: a412

183

VPN Theorie und Praxis

Achtung: Fr den VPN-Client muss der Adapter auf ausgehende Verbindungen eingestellt werden.

Danach speichern Sie die Einstellungen und warten den Neustart ab. Im nchsten Schritt ffnen Sie das DF-Netzwerk und richten einen neuen Telefonbucheintrag ein. Als Gert whlen Sie den VPN-Adapter aus, und als Rufnummer geben Sie die IP-Adresse des VPN-Servers an.

5. Schritt: Die Konfiguration der Whlverbindung zum VPN-Server.

184

www.tecChannel.de

VPN mit Windows

Damit ist die Konfiguration des VPN-Client von Windows NT erledigt und das virtuelle private Netzwerk aufgebaut.

Fertig: Die Verbindung zum VPN-Server steht.

4.2.5 VPN-Client: Windows 2000


Die Einrichtung des VPN-Client ist deutlich einfacher und weniger aufwendig als beim Server. Unter Windows 2000 gehen Sie in die Eigenschaften der Netzwerkumgebung und erstellen ber den Netzwerk-Assistenten eine neue Verbindung.

webcode: a412

185

VPN Theorie und Praxis

1. Schritt: Unter Windows 2000 vereinfacht der Assistent die VPN-Konfiguration.

Normalerweise bentigt der Assistent die IP-Adresse des VPN-Servers. Hier geben Sie die normale IP-Adresse an, nicht die des VPN-Netzwerks.

2. Schritt: Die Angabe der IP-Adresse des VPN-Servers reicht aus.

186

www.tecChannel.de

VPN mit Windows

Danach ist das VPN konfiguriert und die Verbindung wird aufgebaut. Zur Authentifizierung auf dem NT-Rechner geben Sie Benutzername und Passwort eines Benutzers ein, dem Sie Rechte fr den Remote Access zugewiesen haben.
3. Schritt: Zum Schluss sind nur noch die Anmeldeformalitten zu erledigen.

Im Anschluss daran baut Windows 2000 die Verbindung sofort auf, und das Virtual Private Network ist vollstndig.
Fertig: Die Verbindung zum VPN-Server steht.

webcode: a412

187

VPN Theorie und Praxis

4.2.6 VPN-Client: Windows 9x


Die Installation des VPN-Client unter Windows 95, 98 und 98 SE ist identisch. Zunchst ist die VPN-Untersttzung einzurichten. Anders als bei Windows NT wird hier kein Protokoll hinzugefgt, sondern ein Netzwerkadapter.

1. Schritt: Installation des VPN-Adapters.

Windows 9x richtet alle eventuell notwendigen zustzlichen Komponenten wie DF-Netzwerk automatisch ein und stellt die Bindungen zu den verschiedenen Protokollen her. Damit ist die Installation der Treiber abgeschlossen. Als Nchstes erstellen Sie einen neuen Telefonbucheintrag im DF-Netzwerk. Als Gert whlen Sie den VPN-Adapter aus.

188

www.tecChannel.de

VPN mit Windows

2. Schritt: Ein neuer Telefonbucheintrag mit dem VPN-Adapter.

Bei Windows 9x fragt das Betriebssystem korrekt nach der IP-Adresse fr den VPN-Server. Hier sind also keine Verwirrungen zwischen Telefonnummer und IP mglich.

3. Schritt: Die IP-Adresse des VPN-Servers eintragen.

Damit ist die Konfiguration des VPN-Client abgeschlossen, und die Verbindung kann hergestellt werden. Dazu geben Sie nur noch den Benutzernamen und das Passwort fr den NT-Rechner an.

webcode: a412

189

VPN Theorie und Praxis

4. Schritt: Angabe von Benutzernamen und Passwort fr den Zugriff auf den VPNServer.

Windows 9x baut nun die Verbindung ber das Internet auf, erstellt den Tunnel, durch den die privaten Daten flieen knnen.
Fertig: Die Verbindung zwischen Windows 9x als VPN-Client und Windows NT als VPN-Server steht.

4.2.7 Hilfsmittel
Wollen Sie beispielsweise vom Bro (VPN-Client) auf Ihren Rechner zu Hause (VPN-Server) zugreifen, gibt es zwei Probleme: Erstens: Der Rechner zu Hause ist nicht stndig mit dem Internet verbunden (es sei denn, Sie haben eine Standleitung), oder zweitens: Der VPN-Client erwartet eine IP-Adresse. Diese kennen Sie jedoch im Allgemeinen nicht im Voraus, da die meisten Service-Provider eine dynamische IP vergeben. Mit OnlineJack (www.mailjack.de/onlinejack/) gibt es eine interessante Lsung fr beide Probleme. OnlineJack ist ein kleines Tool, das Sie auf dem Rechner zu Hause installieren knnen. Vom Bro aus kann man ber die Webseite von OnlineJack per Benutzername und Kennwort den Rechner zu Hause veranlassen,
190 www.tecChannel.de

VPN mit Windows

eine Verbindung zum Internet herzustellen. Im so genannten Cockpit erfahren Sie dann gleich die IP-Adresse, die Ihr Provider dem Rechner zugewiesen hat. Mit dieser IP-Adresse knnen Sie den VPN-Client konfigurieren und starten.
Volle Kontrolle: OnlineJack veranlasst Ihren Rechner dazu, eine Verbindung mit dem Internet aufzubauen.

Zwei Einschrnkungen: OnlineJack funktioniert nur, wenn der Rechner ber ISDN angeschlossen und eine CAPI 2.0 installiert ist. Auerdem muss der Rechner eingeschaltet sein.

4.2.8 Fazit
Die Einsatzmglichkeiten von VPNs sind vielfltig: Die Anbindung von Auendienstmitarbeitern ans lokale Firmennetz, die Verbindung von zwei PCs oder Netzwerken in verschiedenen Stdten oder auch der Zugriff vom Brocomputer auf den Rechner zu Hause sind ohne Weiteres mglich. Mit VPNs lassen sich nicht nur Daten sicherer bertragen, man spart auch eine Menge Geld, wenn es darum geht, zwei weit entfernte Rechner miteinander zu verbinden. Anstatt eines direkten Anrufs beim Zielrechner, der womglich sogar im Ausland steht, gengt ein Anruf beim lokalen Internet Service Provider, um die Verbindung herzustellen. Und das Beste daran: Es ist recht einfach und kostet nichts, ein VPN aufzubauen. Mike Hartmann

tecCHANNEL-Links zum Thema


VPN: Daten sicher ber das Internet So funktionieren TCP/IP und IPv6

Webcode
a306 a209

Compact
S.172 S.76

webcode: a412

191

VPN Theorie und Praxis

4.3 VPN mit Linux I


Mitarbeitern den Zugriff von unterwegs oder zu Hause auf das Firmennetz anzubieten war bislang eine teure Angelegenheit. Der Remote Access per Direkteinwahl setzt zum einen nicht unerhebliche Investitionskosten fr Hardware voraus. Zum anderen laufen im Betrieb schnell stattliche Verbindungskosten auf, da die Connections zu Telefontarifen abgerechnet werden mssen. Schon bei einem mittelstndischen Betrieb mit mehr als nur einer Hand voll mobiler oder in den heimischen vier Wnden agierenden Mitarbeiter kommen da schnell mehrere zehntausend Euro zusammen. Als viel versprechende, weil kostengnstigere Alternative bietet sich der Ersatz der Dial-in-Connections durch eine Anbindung via Internet an. Das Netz der Netze ist nahezu berall zugnglich und lsst sich zu minimalen Kosten nutzen. Fr die Anbindung von Home- oder Remote-Offices eignet sich eine DSL-FlatrateVerbindung ideal als Standleitungsersatz zur Firma. Als Haar in der Suppe erweist sich bei dieser Idee jedoch die Sicherheit: Via Internet transportierte Daten kann jedermann mitlesen oder noch schlimmer unterwegs modifizieren. Die Einrichtung eines virtuellen privaten Netzes (VPN) ber das Internet bietet die Lsung des Problems. Die Authentizitt und Integritt der transportierten Daten schtzt dabei die Security Architecture for the Internet Protocol (RFC 2401), besser bekannt unter dem Krzel IPsec. Eine ebenso preiswerte wie performante Plattform fr die Implementation gibt dabei das Duo Linux und Free S/WAN ab.

4.3.1 IPsec und Free S/WAN


Zwar eignet sich Linux sowohl als stabile und gut abzusichernde Betriebssystemplattform als auch wegen seiner umfassenden Firewalling-Fhigkeiten ideal als Grundlage fr einen IPsec-basierten Security Gateway. Allerdings bringt es von Haus aus noch keine IPsec-Implementation mit. Die bietet das Paket Linux Free S/WAN (www.freeswan.org), ein Gemeinschaftsprojekt eines guten Dutzends ambitionierter Programmierer und Kontributoren. Free S/WAN besteht aus zwei Hauptkomponenten: KLIPS (kernel IPsec) implementiert die notwendigen Protokolle und das zugehrige Handling im Kernel. Der Daemon Pluto kmmert sich um den Verbindungsaufbau und Schlsselaustausch. Eine ganze Reihe von Scripts schlielich ergnzen den FreeS/WAN-Kern um ein Administrationsinterface. Dieses Kapitel beschreibt, wie IPsec funktioniert und sich mit Hilfe von Free S/ WAN unter Linux aufsetzen und fr den VPN-Einsatz konfigurieren lsst. Des Weiteren zeigen wir, wie sich durch den zustzlichen Einsatz von X.509-Zertifikaten eine fr den Unternehmenseinsatz taugliche Infrastruktur zur Authentifizierung implementieren lsst. Das nachfolgende Kapitel schildert die Konfiguration und den Einsatz von Windows-Clients mit Free S/WAN.

192

www.tecChannel.de

VPN mit Linux I

4.3.2 IPsec im berblick


Das gerne als Secure Internet Protocol apostrophierte IPsec stellt eigentlich eine Suite aus Protokollen und Techniken dar, mit deren Hilfe man sichere Verbindungen via Internet aufbauen kann. Den allgemeinen Aufbau dieser offiziell als Internet Protocol Security bezeichneten Architektur beschreiben die RFCs 2401 bis 2410 (www.ietf.org/rfc.html), Ergnzungen fr spezielle Einsatzzwecke finden sich in den RFCs 2207, 2709, 3104 und 3193. Zur Realisierung einer sicheren Verbindung stellt IPsec die Integritt und Vertraulichkeit der transportierten Daten durch Authentifikation sowie Verschlsselung sicher und ermglich parallel dazu eine Zugriffskontrolle auf Benutzerebene. Zu diesem Zweck implementiert es auf der Netzwerkebene zwei Transportmodi und zwei zugehrige Sicherheitsfunktionen.

4.3.3 Transport vs. Tunnel Mode


Im Transport Mode kommunizieren zwei Hosts direkt via Internet miteinander. In diesem Szenario lsst sich IPsec zum einen dazu nutzen, die Authentizitt und Integritt der Daten zu gewhrleisten. Man kann also nicht nur sicher sein, mit wem man da gerade kommuniziert, sondern sich auch darauf verlassen, dass die Pakete nicht unterwegs verndert wurden. Per optionaler Verschlsselung kann man zudem verhindern, dass Unbefugte die transportierten Inhalte mitlesen. Da hier zwei Rechner direkt ber ein frei zugngliches Netz miteinander Daten austauschen, lassen sich jedoch Ursprung und Ziel des Datenstroms nicht verschleiern. Der Tunnel Mode kommt stets dann zum Einsatz, wenn zumindest einer der beteiligten Rechner nicht direkt angesprochen, sondern als Security Gateway genutzt wird. In diesem Fall bleibt zumindest einer der Kommunikationspartner der hinter dem Gateway anonym. Tauschen gar zwei Netze ber ihre Security Gateways Daten aus, dann ist es nicht mehr mglich, von auen zu bestimmen, welche Rechner hier tatschlich miteinander sprechen. Auch im Tunnel Mode lassen sich natrlich Authentifizierung, Integrittskontrolle und Verschlsselung einsetzen.

4.3.4 Authentication Header (AH)


Der IP Authentication Header (AH, RFC 2402) sorgt dafr, dass sich Herkunftsangabe und Inhalt der transportierten Daten nicht unbemerkt durch Dritte verndern lassen. Dazu wird ein Hash-Wert ber alle statischen IP-Header-Daten sowie die gesamten Nutzdaten errechnet und zusammen mit weiteren Kontrollfeldern hinter dem ursprnglichen IP-Header eingefgt. Durch die berprfung dieses Werts kann der Empfnger nachtrgliche Manipulationen an Kopf- oder Nutzdaten sofort erkennen. Variable IP-Header-Daten, die sich im Verlauf der bertragung verndern knnen, bleiben von diesem Schutz notgedrungen ausgeklammert.

webcode: a897

193

VPN Theorie und Praxis

Der Authentication Header kommt sowohl im Transport wie auch im TunnelMode zum Einsatz. In der Transportvariante residiert er zwischen dem ursprnglichen IP-Header des Paketes und den Nutzdaten. Beim Tunneling dagegen verpackt der Gateway das komplette Datenpaket samt Header-Daten in ein neues IP-Packet. Hier findet sich der AH zwischen den neuen Kopfdaten und dem ursprnglichen Paket. In beiden Modi stellt er jedoch nur Authentizitt und Integritt der Daten sicher, nicht aber deren Vertraulichkeit: Er implementiert keinerlei Verschlsselung.

4.3.5 Encapsulated Security Payload (ESP)


Fr die Vertraulichkeit der Daten sorgt durch Verschlsselung die IP Encapsulated Security Payload (ESP, RFC 2406). Mittels eines Headers und eines Trailers umschliet das Protokoll die verschlsselten Nutzdaten. Ein optionales ESP-AuthFeld am Paket-Ende kann hnlich wie der Authentication Header Informationen zur Integritt der verschlsselten Daten aufnehmen. Im Transportmodus schlieen ESP Header und Trailer lediglich die reinen IPNutzdaten ein, der Paket-Header bleibt vllig ungeschtzt. Im Tunneling Mode allerdings umfassen die Nutzdaten das gesamte Ursprungspaket des Absenders, das der Security Gateway in ein neues Datenpaket eingebunden hat. Damit lassen sich nur noch die Transportdaten des Gateways einsehen. Das gesamte ursprngliche IP-Paket samt Sender- und Empfngerdaten dagegen liegt verschlsselt vor. In diesem Fall gewhrleistet ESP also nicht nur die Vertraulichkeit der Daten, sondern auch die der Verbindung. In beiden Fllen profitiert ESP von der Kombination mit einem AH, der zustzlich die Integritt und Authentizitt der wichtigsten IP-Header-Daten absichert. Erst das Duo ESP/AH bietet einen perfekten Schutz gegen Datenmanipulation und Aussphung.

4.3.6 Security Association (SA)


Um fr eine Verbindung ESP/AH einsetzen zu knnen, mssen sich allerdings die Kommunikationspartner erst einmal ber die Mechanismen und Algorithmen fr das Hashing sowie die Authentifizierung und Verschlsselung einig sein. Des Weiteren mssen beide Seiten die notwendigen Schlssel sowie deren Gltigkeitsdauer kennen. Alle diese Parameter handeln die beiden Endpunkte einer IPsec-Connection bei jedem Verbindungsaufbau aus. Es kommt quasi ein Vertrag die Security Association (SA, RFC 2408 und 2409) zwischen den Kommunikationspartnern zu Stande. Um die Sicherheit der Verbindung zu erhhen, knnen ber die SA die Schlssel auch bei laufender Verbindung neu vereinbart werden. Dies erfolgt in bestimmten Zeitabstnden oder nach bestimmten bertragungsmengen.
194 www.tecChannel.de

VPN mit Linux I

Zudem sorgt die Security Association durch die Mglichkeit zur individuellen Parametrisierung jeder Verbindung auch fr die Zugriffskontrolle auf Benutzerebene. So lassen sich ber die SA jedem Verbindungspartner eigene Schlssel- und Authentifizierungsverfahren und Kennungen zuordnen.

4.3.7 Internet Key Exchange (IKE)


Das Internet Key Exchange Protocol (IKE, RFC 2409) definiert den Ablauf beim Aushandeln einer IPsecSA inklusive der dazu notwendigen Mechanismen. Das Verfahren wird auch als Internet Security Association and Key Management Protocol (ISAKMP) bezeichnet. Es lst das Problem des vertraulichen Verbindungsaufbaus zwischen zwei Gegenstellen, die keinerlei Informationen und ergo auch keine Schlssel vom jeweiligen Kommunikationspartner haben. In IKE Phase 1 (Main Mode) vereinbaren die Verbindungspartner zunchst im Wechselspiel eine mgliche SA-Konfiguration samt der Algorithmen fr Hashing, Authentifizierung und Verschlsselung. Der Initiator der Verbindung unterbreitet der Gegenstelle (dem Responder) einen entsprechenden Vorschlag, der mehrere Varianten umfassen kann. Der Responder sucht sich etwas Passendes heraus und quittiert den Vorschlag entsprechend. Anschlieend handeln die beiden Gegenstellen im Wechselspiel ber den Diffie-Hellman-Algorithmus einen Secret Key aus, auf dessen Grundlage sich nun alle weiteren Daten verschlsseln lassen. Dies gilt insbesondere fr den jetzt flligen Austausch der Identifikationsparameter (ID), die der Absender jeweils mit seinem Public Key signiert. Optional kann auch ein Zertifikat mit bertragen werden. Ist dies der Fall, ermittelt der Empfnger daraus den Public Key des Absenders und kann damit die Signatur und somit die Identitt des Senders eindeutig ermitteln. Fehlt das Zertifikat, bentigt der Empfnger eine lokale Liste von IDs und zugehrigen Schlsseln, aus denen er den fraglichen Public Key ersieht. Damit sind nun die Authentizitt der Gegenstellen und die Vertraulichkeit der Verbindung gewhrleistet. Damit kann IKE Phase 2 starten, der so genannte Quick Mode. Er baut die eigentliche IPsec SA durch die Vereinbarung der Parameter und Mechanismen fr ESP und AH auf. Whrend einer IPsec-Session lsst sich der Quick Mode beliebig oft neu anstoen, um neue Schlssel fr beide Seiten zu generieren.

4.3.8 X.509-Zertifikate
Wie bereits erwhnt, lsst sich der Austausch der Public Keys am besten ber X.509-Zertifikate (RFC 2459) bewerkstelligen. Ein solches Zertifikat ordnet einen Public Key eindeutig seinem Inhaber zu. Fr die Glaubwrdigkeit des Zertifikats steht dessen Aussteller gerade, die Certification Authority (CA).

webcode: a897

195

VPN Theorie und Praxis

Das Zertifikat beinhaltet Daten ber den verwendeten Signatur-Algorithmus, den Aussteller, den Inhaber und die Gltigkeitsdauer. Als wichtigste Information enthlt es den Public Key des Inhabers. Die CA unterzeichnet das Zertifikat, indem sie einen Hash ber die gesamten Daten bildet und diesen mit ihrem eigenen Public Key signiert. Um die Gltigkeit eines vorliegenden Zertifikats zu prfen, muss der Empfnger also lediglich die Signatur mit dem Public Key der CA entschlsseln und anschlieend mit dem Hash-Wert vergleichen. Den Knackpunkt an diesem Verfahren bildet offensichtlich die Glaubwrdigkeit der CA. Die kann man erhhen, indem sie ihr Zertifikat von einer weiteren Certification Authority signieren lsst und so weiter. Damit kann eine Kette des Vertrauens aufgebaut werden, an deren Spitze die so genannte Root CA steht. Sie unterschreibt ihr Zertifikat selbst. Die Zertifikatskette ist also letztlich nur so glaubwrdig wie ihre Root CA. Beim Einsatz von Zertifikaten fr VPN-Verbindungen stellt das allerdings kein greres Problem dar: Der Administrator des zu kontaktierenden Netzes ernennt sich einfach selbst zur Root CA und zertifiziert sowohl den Security Gateway als auch die in Frage kommenden Verbindungspartner.

4.3.9 IPsec mit Free S/WAN


Wie eingangs bereits beschrieben, liegt mit Free S/WAN eine komplette IPsecImplementation fr Linux mehr oder weniger gebrauchsfertig vor. Zwar bringen die meisten Distributionen das Paket bereits mit. Erfahrungsgem empfiehlt es sich aber, bei der Einrichtung sowohl mit der neuesten Kernel- als auch der aktuellsten Free-S/WAN-Variante zu arbeiten. Fr unser Beispiel haben wir ein Red Hat Linux 7.2 mit aktualisiertem Kernel 2.4.18 sowie Free S/WAN 1.97 (ftp://ftp.xs4all.nl/pub/crypto/freeswan/) genutzt. Im Bedarfsfall lsst sich Free S/WAN auch mit Kerneln der 2.2er-Serie zusammen nutzen. Hier bentigen Sie jedoch wenigstens Linux 2.2.19. Zudem gilt es zu bedenken, dass fr den praktischen Einsatz meist die Kombination VPN-Gateway/ Firewall zum Zuge kommt. Hier bietet Kernel 2.4 durch die integrierte netfilterArchitektur Vorteile. Eine kleine Lcke lsst Free S/WAN in seinem Funktionsumfang bislang allerdings offen: Es untersttzt die Verwendung von X.509-Zertifikaten nicht. Hilfe bietet ein an der Schweizer Uni Winterthur entwickelter Patch (www.strongsec.com/de/).

4.3.10 Installation
Zur Installation entpacken Sie die Kernel-Sourcen an die bliche Stelle in /usr/ scr/linux und den Free-S/WAN-Tarball nach /usr/src/freeswan-versionsnummer. Anschlieend nehmen Sie mit make menuconfig respektive make xconfig die
196 www.tecChannel.de

VPN mit Linux I

Konfiguration des Kernels vor. Neben den fr Ihr System gewnschten Einstellungen konfigurieren Sie dabei unter Networking Options / IPsec Options (Free S/WAN) die Einstellungen fr Free S/WAN. Hier sind als Voreinstellung alle vorhandenen Features ausgewhlt. Dabei sollten Sie es auch belassen. Um den X.509-Patch einzuspielen, entpacken Sie den entsprechenden Tarball und kopieren die Datei freeswan.diff in das Quellverzeichnis von Free S/WAN. Das Kommando patch -p1 < freeswan.diff nimmt anschlieend die notwendigen Modifikationen vor. Zu guter Letzt kompilieren Sie den modifizierten Kernel, was sich am komfortabelsten durch die Eingabe von make kinstall im Free-S/WAN-Quellverzeichnis anstoen lsst. Nach dem Eintrag des neuen Kernels beim Bootmanager und dem Neustart des Rechners knnen Sie die Wirksamkeit Ihrer Modifikationen in Augenschein nehmen: Ein dmesg an der Kommandozeile sollte Initialisierungsmeldungen von KLIPS und Pluto zu Tage frdern. Zudem lassen sich bei funktionierendem Free S/WAN mit ipsec --version die Versionsnummer und mit ipsec whack --status ein Statusreport von Pluto abfragen. Eventuell ist anschlieend noch etwas Nacharbeit an den Runleveln notwendig. Da Free S/WAN den bestehenden Ethernet-Interfaces eth0 und eth1 noch ein ipsec0 hinzufgt, sollte das System zuerst das Networking, danach Free S/WAN und schlielich iptables starten. Unser Red Hat 7.2 initialisierte dagegen die Firewall vor Free S/WAN und lie sich erst durch entsprechende Modifikationen in /etc/rc.d eines Besseren belehren.

4.3.11 Konfiguration
Unser Security Gateway soll gleichzeitig als Firewall agieren und externe Rechner mit beliebiger IP-Adresse bei Authentifizierung ber ein X.509-Zertifikat an das interne Netz (172.16.0.0/16) anbinden. Er verfgt dazu ber die zwei Interfaces eth0 (intern, 172.16.0.0/16) und eth1 (extern). Zwischen den beiden Interfaces muss das IP-Forwarding aktiviert sein. Zunchst einmal gilt es, die Firewall des Security Gateway dazu zu bewegen, die entsprechenden AH- und ESP-Pakete zu akzeptieren. Wir lassen also auf dem externen Interface in unserem Fall eth1 UDP-Pakete zu Port 500 (ESP) sowie den IP-Protokolltyp 50 (AH) passieren. Die Konfiguration von Free S/WAN selbst erfolgt ber die Datei /etc/ipsec.conf. Hier bentigen wir genau drei Gruppen von Parametern: config setup umfasst die grundlegenden Settings, conn %default enthlt die Basiseinstellungen fr alle Verbindungen. Ein dritter Abschnitt, der ebenfalls mit dem Schlsselwort conn sowie einem beliebigen Namen gekennzeichnet ist, regelt die Parameter fr eine gleichnamige Verbindung. In unserem Beispiel nennen wir den Abschnitt nach der gngigen neuhochdeutschen Bezeichnung fr mobile externe Mitarbeiter conn Roadwarrior.

webcode: a897

197

VPN Theorie und Praxis

4.3.12 /etc/ipsec.conf
Unter config setup ist zunchst einmal das Interface anzugeben, ber das die IPsec-Verbindungsanfragen eingehen. Hier gengt in der Regel ein interfaces =%defaultroute, alternativ ist die IP-Adresse der Schnittstelle anzugeben. Das Debugging schalten wir durch Angabe von none fr klipsdebug und pluto debug aus. plutoload und plutostart setzen wir auf %search, damit Verbindungen erst auf Anfrage einer Gegenstelle hergestellt werden. uniqueids setzen wir auf no, so dass uns eine Connection-Beschreibung fr alle Roadwarriors gengt. Andernfalls mssten wir fr jeden mobilen Mitarbeiter eine eigene Verbindungsbeschreibung erstellen.

Kurz und schmerzlos: Unsere Free-S/WAN-Konfigurationsdatei fr den Roadwarrior-Einsatz.

Bei conn %default weisen wir mit keyingtries=0 den Gateway an, bei der Neuverhandlung von Schlsseln mglichst viel Geduld walten zu lassen. Als Authentifizierungsmethode nutzen wir authby=rsasig, wobei sich beide Verbindungsseiten ber ein Zertifikat ausweisen sollen: leftrsasigkey=%cert und rightrsasigkey=%cert. Als left geben wir wiederum %defaultroute an, als leftsubnet unser internes Netz (hier: 172.16.0.0/16). Spter werden wir hier noch den Parameter leftid ergnzen. Dabei handelt es sich um den Bezeichner unseres Zertifikats fr den Gateway. Fr unsere Verbindung conn Roadwarrior lassen wir alle Kommunikationspartner zu, die sich mit einem Zertifikat ausweisen knnen: right=%any. Als Ver198 www.tecChannel.de

VPN mit Linux I

bindungsmodus whlen wir type=tunnel, der Schlsselaustausch soll via IKE (keyexchange=ike) mit Perfect Forwarding Secrecy (pfs=yes) erfolgen. ber auto=add weisen wir Free S/WAN an, die Verbindung erst auf Anfrage des Roadwarriors auszuhandeln.

4.3.13 Zertifikate
Jetzt ist Free S/WAN fr eine Verbindung mit starker Verschlsselung per Zertifikatsaustausch konfiguriert. Die notwendigen Zertifikate fr Gateway und die Roadwarriors stellen wir uns selber aus. Dazu nutzen wir die Fhigkeiten von OpenSSL (www.openssl.org). Zunchst generieren wir uns eine Verzeichnisstruktur zur Generierung der Zertifikate. In unserem Beispiel residiert sie unter /etc/fenrisCA - in Anlehnung an den Host-Namen unseres Gateways. Hier erstellen wir die Verzeichnisse certs und newcerts (fr die Ablage von Zertifikaten), crl (fr unsere Certification Revocation List) und private (fr private Keys). Das Directory private darf logischerweise ebenso wie die enthaltenen Keys ausschlielich fr root zugnglich sein. In /etc/fenrisCA bentigen wir noch die beiden Dateien index.txt und serial. Mit touch legen wir index.txt als leere Datei an. Hierin fhrt OpenSSL spter eine Liste der ausgestellten Zertifikate. Welche Seriennummer es dem nchsten Zertifikat zuweisen soll, entnimmt openssl dem File serial. Wir belegen es mit dem Wert 00 vor. Nun tragen wir noch in der Konfigurationsdatei openssl.cnf (je nach Distribution meist in /usr/ssl oder /usr/share/ssl) den Pfad zu unserem CA-Verzeichnis in den Parameter dir ein. Optional knnen wir dort auch die Bestandteile des Identifier-Strings, wie country, state und organizationName mit Default-Werten vorbelegen. Das spart spter bei der Zertifikatsausstellung Tipparbeit. Fr die folgenden Arbeiten mit openssl muss das CA-Stammverzeichnis (bei uns /etc/fenrisCA) stets unser aktuelles Arbeitsverzeichnis sein.

4.3.14 Root CA
Nun schwingen wir uns zunchst einmal zur Root CA auf. Dazu generieren wir als erstes einen RSA Private Key mit 2048 Bit Schlssellnge:
openssl genrsa -des3 -out private/caKey.pem 2048

Die Option des3 verschlsselt unseren Key per TripleDES unter Angabe einer Passphrase, so dass nicht Unbefugte ein Zertifikat damit signieren knnen. Wir allerdings auch nicht, falls wir die Passphrase vergessen sollten.

webcode: a897

199

VPN Theorie und Praxis

Fragen ber Fragen: So luft die Erstellung des Root-CA-Zertifikats ab.

Jetzt generieren wir unser Root-CA-Zertifikat und limitieren es durch Angabe einer Gltigkeitsdauer auf einen nicht zu knapp bemessenen Zeitraum:
openssl req -new -x509 -days=1825 -key private/caKey.pem out caCert.pem

Als Passphrase ist hier diejenige unseres eben generierten Private Keys anzugeben. Anschlieend fragt openssl die einzelnen Elemente des Subject-Eintrags ab, welcher der Identifikation des Zertifikatsinhabers dient. Die einzelnen Bestandteile sind praktisch selbsterklrend, bis auf den Common Name. Fr diesen knnen Sie einen beliebigen Bezeichner vergeben, der aber tunlichst eine griffige Beschreibung des Subject liefern sollte. Das dazugehrige Email-Element beschreibt, wie der Zertifikatsinhaber erreichbar ist. Dass alles geklappt hat, knnen wir berprfen, indem wir das Zertifikat im Klartext ausgeben lassen:
openssl x509 -in caCert.pem -noout -text

Zu guter Letzt kopieren wir unser Root-CA-Zertifikat nach /etc/ipsec.d/cacerts/, wo es von Free S/WAN erwartet wird.

4.3.15 Gateway-Zertifikat
Ganz hnlich wie die Generierung des Root-CA-Zertifikats luft die Erstellung des Zertifikats fr unser Gateway ab. Mit seiner Hilfe beweisen wir unseren Roadwarriors zu einem spteren Zeitpunkt, dass sie auch mit dem richtigen Security Gateway kommunizieren.

200

www.tecChannel.de

VPN mit Linux I

Zunchst bentigen wir wieder einen Private Key, diesmal mit 1024 Bit Lnge:
openssl genrsa -des3 -out private/gwKey.pem 1024

Dabei vergeben wir eine eigene Passphrase fr den Gateway. Nun erstellen wir einen Zertifikatsantrag fr die Root CA:
openssl req -new -key private/gwKey.pem -out gwReq.pem

Wir besttigen dabei den Antrag mit unserer Gateway-Passphrase und ignorieren die Anfragen nach den extra attributes.

Nochmal: Diesmal erstellen wir ein Zertifikat fr unseren Security Gateway.

Nun unterschreiben wir den Request als Root CA:


openssl ca -notext -in gwReq.pem -out gwCert.pem

Dazu geben wir auf Anfrage die Root-CA-Passphrase an. Unser eben erstelltes Zertifikat mssen wir noch als /etc/x509cert.der in binrer Form fr den Gateway ablegen. Dazu konvertieren wir das Zertifikat mit dem Befehl:
openssl x509 -in gwCwert.pem -outform der -out /etc/ x509cert.der

webcode: a897

201

VPN Theorie und Praxis

Den Private Key gwKey.pem kopieren wir fr Free S/WAN nach /etc/ipsec.d/ private. Auerdem muss die zugehrige Passphrase in der Datei /etc/ipsec.secrets im Klartext vorgehalten werden. Lautet unsere Passphrase beispielsweise einfallslosePassphrase, tragen wir dort folgende Zeile ein:
: RSA gwKey.pem einfallslosePassphrase

Es versteht sich, dass ipsec.secrets nur fr root zugnglich sein darf. Mit dem Bezeicher fr den Inhaber des Gateway-Zertifikats stopfen wir jetzt noch die letzte Lcke in unserer /etc/ipsec.conf. Dort tragen wir den kompletten Bezeichner als leftid im Abschnitt conn %default ein. In unserem Beispiel lautet die entsprechende Zeile:
leftid=C=DE, ST=Bavaria, L=Munich, O=IDG Interactive GmbH, OU=tecCHANNEL, CN=fenrisGW, Email=jluther@tecchannel.de

4.3.16 Benutzerzertifikate
Fr jeden Benutzer gilt es jetzt das Zertifizierungsspiel noch einmal zu wiederholen. Bei der Erstellung des Private Key fr einen User mit:
openssl genrsa -des3 -out private/userKey.pem 1024

vergeben Sie fr jeden Benutzer eine eigene Passphrase. Mit dieser beantragen Sie anschlieend ein Zertifikat:
openssl req -new -key private/userKey.pem -out userReq.pem

Es soll gem der Voreinstellung in der openssl.cnf fr 365 Tage gltig bleiben.

202

www.tecChannel.de

VPN mit Linux I

Trau, schau wem: Das Zertifikat des Administrators knnen wir als CA aber wohl schon unterzeichnen.

Jetzt erzeugen Sie das Zertifikat, das Sie als Root CA signieren. Dabei beschrnken Sie die Gltigkeitsdauer praktischerweise mit -enddate auf das laufende Quartal:
openssl ca -notext -enddate 0209301200Z -in userReq.pem -out userCert.pem

So ersparen Sie sich ein Zurckrufen von Zertifikaten bei der blichen Personalfluktuation zum Quartalsende. Zudem erhht eine regelmige Neuvergabe die Sicherheit. Von diesem Zertifikat erzeugen Sie im letzten Schritt eine binre Version im PKCS#12-Format, die wir im nchsten Kapitel fr die Nutzung mit Windows2K/XP-Clients bentigen:
openssl pkcs12 -export -in userCert.pem -inkey private/ userKey.pem -certfile caCert.pem -out user.p12

4.3.17 Certificate Revocation List


Auch bei einer Laufzeitbeschrnkung der Zertifikate lsst es sich gelegentlich nicht umgehen, ein bereits ausgegebenes Zertifikat manuell wieder zu sperren. Dafr bentigen wir eine CRL, die wir in regelmigen Zeitabstnden erneuern mssen. Das entsprechende Intervall geben wir in der openssl.cnf mit dem Eintrag default_crl_days an, der als Vorgabe auf 30 Tage gesetzt ist.

webcode: a897

203

VPN Theorie und Praxis

Rohzustand: Noch enthlt unsere Certification Revocation List keine Eintrge.

Die CRL generieren wir als Root CA mit:


openssl ca -gencrl -out crl/crl.pem

wobei wir die Gltigkeitsdauer ber die optionalen Parameter -crldays und -crlhours manuell auf wenige Tage oder gar Stunden beschrnken knnen. Anschlieend kopieren wir die crl.pem nach /etc/ipsec.d/crls. Die Sperrung eines Zertifikats erfolgt durch den Aufruf:
openssl ca -revoke userCert.pem

Er markiert in der index.txt das entsprechende Zertifikat als ungltig, was allerdings erst bei der nchsten Aktualisierung der CRL zum Tragen kommt. Soll die CRL auf einem Server ffentlich zugnglich gemacht werden, muss sie noch ins binre DER-Format konvertiert werden:
openssl -crl -in crl/crl.pem -outform der -out crl/cert.crl

204

www.tecChannel.de

VPN mit Linux I

4.3.18 Ausblick
Damit haben wir die Konfiguration des Security Gateways erfolgreich hinter uns gebracht. Im nchsten Kapitel nehmen wir die Konfiguration entsprechender VPN-Clients fr Windows unter die Lupe. Dabei kommen dann sowohl die VPNBordmittel von Windows 2000 und XP zum Zug als auch spezielle VPN-ClientSoftware wie das fr private Zwecke kostenlose PGPnet (http://web.mit.edu/ network/pgp.html). Jrg Luther

tecCHANNEL-Links zum Thema


Workshop: VPN mit Linux II Daten sicher bers Internet Firewall-Grundlagen Linux als Firewall Linux Firewall mit ipchains VPN in der Praxis

Webcode
a969 a306 a682 a695 a704 a412

Compact
S.206 S.172 S.178

webcode: a897

205

VPN Theorie und Praxis

4.4 VPN mit Linux II


Im vorigen Kapitel haben wir auf Basis von Linux 2.4 und des IPsec-Pakets Free S/WAN (www.freeswan.org) einen VPN Security Gateway aufgesetzt. Durch Einspielen des X.509-Patches (www.strongsec.com/freeswan/) haben wir zudem unseren Gateway um sichere Authentifizierung und starke Verschlsselung ber Zertifikate ergnzt. Damit ist die Konfiguration der Serverseite abgeschlossen, auch die ntigen Zertifikate fr Gateway und Client liegen bereits vor. Nun gilt es noch, die Funktionalitt unserer Lsung zu berprfen sowie auch auf den Clients die notwendigen Einstellungen zum Zugriff via Virtual Private Network zu treffen. Als Betriebssysteme fr unsere Roadwarriors kommen primr Windows 2000 und XP in Frage. Beide bringen bereits Bordmittel fr den Aufbau und die Verwaltung von IPsec-Verbindungen mit. Allerdings mssen wir auch einkalkulieren, dass Mitarbeiter von Home Offices oder lteren Notebooks aus mit Windows 9x/Me das VPN nutzen wollen. In diesem Fall bentigen die Rechner zustzliche IPsec-Client-Software. Eine weit verbreitete Variante stellt das fr den Privateinsatz kostenlose PGPnet dar. Es lsst sich nicht nur mit den Consumer-Windows-Varianten anwenden, sondern eignet sich auch zum Einsatz unter Windows NT und 2000.

4.4.1 Windows 2000 und XP


Durch ihre integrierte IPsec-Untersttzung eignen sich speziell Windows 2000 und XP fr den Einsatz als VPN-Clients. Neben einem entsprechenden Service (IPSEC-Dienste) bringen beide Betriebssysteme auch die Mglichkeit zur Verwaltung von IP-Sicherheitsrichtlinien mit. Um eine getunnelte VPN-Connection aufzubauen, muss der User lediglich die IPsec-Dienste starten und eine passende Richtlinie fr die Verbindung zuweisen.

206

www.tecChannel.de

VPN mit Linux II

Bordwerkzeug: Sowohl Windows 2000 als auch XP bringen einen Dienst zur Verwaltung von IPsec-Verbindungen bereits mit.

Das setzt allerdings voraus, dass eine entsprechende Sicherheitsrichtlinie erst einmal existiert. Eine solche zu erstellen hat Microsoft dem Anwender jedoch nicht gerade leicht gemacht: In gewohnter Redmond-Manier verteilen sich die entsprechenden Settings ber drei Fenster und zwei Assistenten. Zum Glck offeriert die Opensource-Gemeinde eine Lsung, mit der auch weniger IPsec-erfahrene User innerhalb von Minuten eine Verbindung via VPN erstellen knnen.

4.4.2 Marcus Mllers VPN-Tools


Mit den VPN-Tools fr Windows 2000/XP (http://vpn.ebootis.de/) stellt Marcus Mller ein ebenso probates wie einfach zu implementierendes Werkzeug fr die Verbindungskonfiguration zur Verfgung. Ein gerade einmal 39 KByte groes ZIP-Archiv enthlt das eigentliche Setup-Werkzeug (ipsec.exe). Dabei handelt es sich um eine exemplarische Konfigurationsdatei sowie ein Plug-in fr Microsofts Managementkonsole MMC. Zur Distribution der Verbindungsparameter an den User knnen Sie dieses Archiv als Grundlage nutzen und um die notwendigen Zusatzdateien ergnzen. Da wre zum Ersten das digitale Benutzerzertifikat (user.p12), das wir im ersten Teil des Workshops schon vorbereitet haben. Zum Zweiten braucht der User eine Textdatei mit dem Kennwort, das Sie beim Generieren des PKCS#12-Zertifikats als export key vergeben haben.
webcode: a969 207

VPN Theorie und Praxis

Fr Windows-2000-Rechner packen Sie das Tool IPsecPol (http:// agent.microsoft.com/windows2000/techinfo/reskit/tools/existing/ipsecpol-o.asp) aus dem Windows 2000 Resource Kit dazu. Fr WinXP-Maschinen bentigen Sie stattdessen IPsecCmd. Um an dieses Programm zu kommen, mssen Sie eine vollstndige Installation der Support Tools von der Windows-XP-CD (Verzeichnis \SUPPORT\TOOLS) vornehmen.

4.4.3 ipsec.conf einrichten


Jetzt gilt es, die bereits vorhandene ipsec.conf aus dem Archiv fr Ihre Zwecke anzupassen. Deren Syntax hnelt stark jener der gleichnamigen Free-S/WANSteuerdatei. Im ersten Abschnitt geben Sie unter conn %default eine Dial-upVerbindung an, die bei der Verbindungsaufnahme zum Security Gateway automatisch gestartet werden soll.

Dj vu: Die ipsec.conf des 2K/XP-VPN-Tools hnelt stark jener des Free-S/WANGegenstcks.

208

www.tecChannel.de

VPN mit Linux II

Es folgt ein benannter conn-Abschnitt mit den Parametern fr die VPN-Verbindung. Die zu verwendende lokale Adresse definieren Sie als left=%any fr die automatische bernahme der Client-Adresse. Unter right tragen Sie die IP-Adresse des VPN-Gateway ein, der Parameter rightsubnet enthlt die IP-Adresse und Netzmaske des zu kontaktierenden LAN. Hier knnen Sie sowohl mit impliziter (172.16.0.0/16) als auch expliziter (172.16.0.0/255.255.0.0) Notation arbeiten. Die rightca ist jene der Certification Authority, die das Benutzerzertifikat unterzeichnet hat. Der Parameter network gibt an, ob die Verbindungsaufnahme via Einwahl (network=ras), LAN (network=lan), oder je nach Verfgbarkeit ber beides (network=both) erfolgen soll. Dabei initiiert in unserem Fall der Client die Verbindung (auto=start) und operiert mit Perfect Forwarding Secrecy (pfs=yes). Optional kann die ipsec.conf auch noch Parameter fr die (weniger sichere) Verbindungsaufnahme ber Preshared Keys enthalten. Diese finden Sie bei Bedarf in der Erluterung zu dieser Konfigurationsdatei.

4.4.4 Client-Konfiguration
Das um Benutzerzertifikat, Kennwort, MS-IPsec-Tools und modifizierte ipsec.conf ergnzte ZIP-Archiv transferieren Sie nun auf sicherem Weg, etwa mit Hilfe einer verschlsselten Mail, auf den Client-Rechner. Dort entpackt der Benutzer es komplett in ein prinzipiell beliebiges Verzeichnis. Falls allerdings der enthaltene Link (e.bootis VPN.lnk) unmodifiziert benutzt werden soll, mssen die Files in C:\Programme\IPsec\ landen.

webcode: a969

209

VPN Theorie und Praxis

Prparation: ber die Managementkonsole wird das Hinzufgen des Zertifikats vorbereitet.

Nun startet der Benutzer die Microsoft Managementkonsole und fgt ihr ber Datei / Snap-In hinzufgen/entfernen ein neues Plug-in des Typs Zertifikat zu. Es soll ein Computerkonto fr den Lokalen Computer verwalten. Nach Anwahl von Fertigstellen / Schlieen / OK erscheint das neue Plug-in im MMC-Fenster.

210

www.tecChannel.de

VPN mit Linux II

Einlesen: Im zweiten Schritt importiert der Benutzer das vorbereitete Zertifikat.

Dort ruft der Anwender im Kontextmen fr die Eigenen Zertifikate Alle Tasks / Importieren auf. Es erscheint das Begrungsfenster des Import-Assistenten. Nach Klicken von Weiter kann die Zertifikatsdatei aus dem gerade angelegten VPN-Verzeichnis importiert werden. Anschlieend ist das Kennwort anzugeben, das Sie beim Generieren des PKCS#12-Zertifikats als export key vergeben und in einem Textfile dem Archiv beigelegt haben. Im nchsten Schritt whlt der Anwender die Option Zertifikatspeicher automatisch auswhlen und importiert zu guter Letzt das Zertifikat mit Fertigstellen.

4.4.5 Funktionalitt prfen


Die frisch erstellte Managementkonsole sollte der Anwender beim Beenden speichern. Anschlieend ruft er entweder ber den Link e.bootis VPN.lnk oder direkt auf der Kommandozeile das Tool ipsec.exe auf. Es aktiviert die in ipsec.conf definierte Policy und baut eine Verbindung zum VPN-Gateway auf. Deren Funktion lsst sich unmittelbar durch einen Ping berprfen, wie die Abbildung auf der nchsten Seite zeigt.

webcode: a969

211

VPN Theorie und Praxis

Na also: Der Aufruf von ipsec.exe startet die VPN-Connection. Deren Funktion berprft ein schlichtes Ping.

Zur zustzlichen Kontrolle kann der User ber Programme / Verwaltung / Lokale Sicherheitsrichtlinie die Managementkonsole fr die Sicherheitseinstellungen aufrufen. Hier findet sich jetzt unter IP-Sicherheitsrichtlinien auf Lokaler Computer eine neue Richtlinie namens FreeSwan.

212

www.tecChannel.de

VPN mit Linux II

Arbeit gespart: ipsec.exe hat ber IPsecPol (Win2K) beziehungsweise IPsecCmd (WinXP) automatisch eine Richtlinie erstellt.

Ein Doppelklick darauf frdert deren Einstellungen zu Tage: Hier hat ipsec.exe ber die Windows-Policy-Tools (IPsecPol respektive IPsecCmd) automatisch passende Filterregeln fr die Connection eingetragen.

4.4.6 Startvarianten
Um knftig VPN-Verbindungen aufzubauen, existieren zwei Wege. Zum einen lsst sich die Connection durch erneuten Aufruf von ipsec.exe starten. Das kann wahlweise direkt oder ber den mitgelieferten Link erfolgen.

webcode: a969

213

VPN Theorie und Praxis

Alternative: Statt ipsec.exe zu starten, kann der Anwender das VPN auch ber die Richtlinie (de-)aktivieren.

Alternativ kann die VPN-Session jedoch auch durch Aufruf der Managementkonsole und eine entsprechende Anweisung im Kontextmen der FreeSwan-Richtlinie initiiert oder beendet werden. Die IPsec-Dienste von Windows starten dabei automatisch, falls sie nicht ohnehin bereits beim Systemstart geladen wurden.

4.4.7 PGPnet
Der VPN-Client von PGP zhlt als integraler Bestandteil zu den Security-Produktsuites von McAfee (www.mcafeeb2b.com). Er findet sich beispielsweise in PGP Corporate Desktop und PGP Personal Security. Daneben existiert mit PGP Freeware auch eine fr den Privateinsatz kostenlose Variante. Sie hat allerdings einen Schnheitsfehler: Es werden nur Host-to-Host-, nicht aber Host-to-Gateway-Verbindungen untersttzt.

214

www.tecChannel.de

VPN mit Linux II

Drei Hkchen: Fr den Einsatz als VPN-Client gengt die Minimalausstattung mit Schlsselverwaltung und PGPnet.

Fr unsere Free-S/WAN-Anbindung haben wir daher das PGPnet aus der deutschen Lokalisierung von PGP Personal Security benutzt. Zum Aufbau der Verbindung bentigen wir ausschlielich die Schlsselverwaltung und den PGP-Client. Auf andere Komponenten knnen wir fr unsere Zwecke verzichten. Ansonsten brauchen wir noch ein lokales RSA-Key-Paar, mit dem wir spter unsere Zertifikate signieren mssen. Einen solchen Schlsselsatz erzeugt PGP bei der Installation automatisch, alternativ lsst er sich aber auch durch Anwahl von Schlssel/ Neuer Schlssel im Men von PGPkeys generieren.

4.4.8 Zertifikat importieren


Als erstes muss das digitale Benutzerzertifikat (user.p12) importiert werden, das wir im ersten Teil des Workshops schon vorbereitet haben. Dazu bentigt der Anwender das Kennwort, das Sie beim Generieren des PKCS#12-Zertifikats als export key vergeben haben. Das Einlesen des Zertifikats erfolgt ber die Anwendung PGPkeys.

webcode: a969

215

VPN Theorie und Praxis

Halbe Miete: Nach dem Import genieen die vorbereiteten Zertifikate noch keine Vertrauensstellung.

In deren Men whlt der User Schlssel / Importieren und gibt als einzulesende Datei den Namen des PKCS#12-Files (user.p12) an. Unter Angabe des Export-Passworts importiert er sowohl den CA- als auch den Benutzer-Key. Beide finden sich anschlieend in der Schlsselliste wieder, allerdings ohne Vertrauensstellung. In dieser Form lassen sie sich nicht zum Aufbau einer VPN-Connection nutzen.

216

www.tecChannel.de

VPN mit Linux II

Nochmal: Die Signatur der Root-CA gengt PGP noch nicht. Der Anwender muss CA- wie Client-Schlssel erst durch seine Unterschrift besttigen.

Dazu muss der Anwender sie erst durch Signierung mit seinem lokalen PGPKey besttigen. Er klickt mit der rechten Maustaste auf den Root-CA-Eintrag und whlt im Kontextmen den Punkt Unterschreiben. Im nun auftauchenden Fenster besttigt er beide Schlssel. Anschlieend ruft er erneut das Kontextmen des CA-Schlssels auf und ndert jetzt die Schlsseleigenschaften: ber den Schieberegler im unteren Teil des aufpoppenden Eigenschaften-Fensters setzt er den Key auf den Status Vertrauenswrdig. Nach dem Schlieen des Fensters wiederholt er diese Prozedur fr den Client-Key.

4.4.9 Allgemeine Konfiguration


Nachdem nun das importierte Zertifikat auch gebrauchsfertig ist, kann der Anwender PGPnet aufrufen. ber Ansicht / Optionen gelangt er in die allgemeinen Einstellungen fr die Applikation. Die Settings auf den meisten der zwlf verfgbaren Reiter knnen im Default-Zustand bleiben. Fr den VPN-Einsatz interessieren ausschlielich die drei entsprechend bezeichneten Tabs.

webcode: a969

217

VPN Theorie und Praxis

Conditio sine qua non: Hier tragen Sie den Bezeichner des fr die Authentisierung zu verwendenden Zertifikats ein.

Auf dem Reiter VPN sind im Regelfall die ntigen Einstellungen mit VPNVerbindungen aktivieren und Dynamisches VPN zulassen schon getroffen. Lediglich die Zeitspanne fr die Erneuerung von IKE- und IPsec-Schlssel muss unter Umstnden an die Vorgaben aus dem Client-Zertifikat angepasst werden. berschreiten die hier getroffenen Einstellungen die Settings des Zertifikats, lehnt der Gateway eine Verbindung ab. Auf dem Tab VPN-Authentifizierung trgt der Anwender ber X.509-Authentisierung / Zertifikat auswhlen das Client-Zertifikat ein. Auerdem muss die Option Gltige entfernte Authentisierung von konfigurierten Hosts anfordern angewhlt sein.

218

www.tecChannel.de

VPN mit Linux II

Spielwiese: Hier stellen Sie ein, unter welchen Rahmenbedingungen die Security Association fr die Verbindung zu Stande kommen soll.

Der Reiter VPN Erweitert enthlt die grundlegenden Encryption-Einstellungen. Als Zulssige entfernte Vorschlge soll der Client Triple DES, SHA-1 und MD5 sowie jede Schlssellnge akzeptieren. Komprimierung wird dagegen von Free S/WAN nicht untersttzt. In den Vorschlagslisten fr die Schlsselverfahren setzt der Anwender die IKE-Variante RSA-Unterschrift MD5 - TripleDES - 1024 Bit ganz nach oben. Fr IPsec muss die primre Angabe Keine - MD5, TripleDES - Keine lauten. Fr die Perfect Forwarding Secrecy die Lokalisierung lautet in schnstem Deutsch Hchste Geheimhaltung beim Weiterleiten ist eine Schlssellnge von 1024 Bit einzustellen.

4.4.10 Gateway-Einstellungen
Nun muss der Anwender PGPnet nur noch mitteilen, mit welchem Netz eigentlich eine VPN-Verbindung aufgebaut werden soll. Dazu fgt der User im Hauptfenster der Anwendung ber den Button Hinzufgen zunchst den Gateway ein. Fr diesen sind ein Name (der auch deskriptiv sein darf) sowie die entsprechende IPAdresse anzugeben. Je nach Einsatzmodus kommt entweder die Option Automawebcode: a969 219

VPN Theorie und Praxis

tisch verbinden also bei jedem Ansprechen eines Rechners im entfernten Netz oder Manuelle Verbindung anfordern zum Zuge. Zur Verbindung mit Free S/WAN verwenden wir den Authentisierungstyp Normal und akzeptieren als Entfernte Authentisierung einen Beliebigen gltigen Schlssel.

Kurz und schmerzlos: Die Konfiguration der Verbindungsdaten ist in wenigen Sekunden erledigt.

Nun erscheint der VPN-Gateway im Hauptfenster von PGPnet. Durch einen Klick mit der rechten Maustaste auf den Eintrag ruft der Anwender das Kontextmen des Gateway-Eintrags auf und whlt den Punkt Hinzufgen. ber das Dropdown-Men des erscheinenden Fensters stellt er die Option Unsicheres Teilnetz ein und gibt dessen Name, IP-Adresse und Netzmaske an. Nach der Besttigung mit OK findet sich auch das gesicherte LAN als Untereintrag des Gateways im PGPnet-Hauptfenster wieder.

220

www.tecChannel.de

VPN mit Linux II

4.4.11 Funktionstest
Damit sind alle notwenigen Einstellungen getroffen, ein erster Funktionstest steht an. Dazu whlt der Anwender im Hauptfenster von PGPnet den VPN-Gateway an und startet mit Hilfe des Buttons Verbinden die Connection. PGPnet beginnt nun, mit dem Gateway eine SA auszuhandeln. Whrenddessen rotiert am Ende der betreffenden Eintragszeile ein gestreifter Ball, um die Aktion zu signalisieren.

Bingo: Bei richtiger Konfiguration kommt innerhalb weniger Sekunden eine funktionsfhige Verbindung ins Remote-Netz zu Stande.

Sobald die SA besteht, erscheinen hinter den Eintrgen von Security-Gateway und entferntem Netz grne Ampel-Lichter, die das Zustandekommen der VPNConnection verdeutlichen sollen. Ein simpler Ping ins Remote-LAN besttigt anschlieend die Funktionsfhigkeit der Verbindung. Signalisiert PGPnet zwar freie Fahrt, kommt jedoch kein Echo Reply zurck, dann haben Sie vermutlich versehentlich die Datenkompression eingeschaltet (weiter fhrende Informationen dazu unter: Allgemeine Konfiguration).

webcode: a969

221

VPN Theorie und Praxis

4.4.12 Fazit
Das Duo Linux und Free S/WAN stellt eine kostengnstige und einfach zu implementierende Open-Source-Alternative zu den gngigen, oft auf proprietrer Hardware und Methodik aufsetzenden kommerziellen VPN-Lsungen dar. Speziell die Anbindung von Windows-2000/XP-Clients lsst sich mit frei verfgbaren Werkzeugen im Handumdrehen erledigen. Einer sicheren Kommunikation externer Mitarbeiter via Internet mit dem Unternehmensnetz steht also nichts im Wege. Bei Aufsetzen eines VPN darf man jedoch eines nicht vergessen: Zwar sichert ein virtuelles privates Netz die Kommunikation aber nur so lange, wie die via IPsec angebundenen Rechner nicht kompromittiert werden. Ein ungeschtzter VPNClient bietet sich Viren, Wrmern sowie Trojanern und deren bswilligen Nutzern als weit offenes Einfallstor ins Firmennetz geradezu an. Eine Absicherung der Roadwarrior-Rechner durch Antiviren-Software und eine Desktop-Firewall ist also obligatorisch. Jrg Luther

tecCHANNEL-Links zum Thema


Workshop: VPN mit Linux I Daten sicher bers Internet Firewall-Grundlagen Linux als Firewall Linux Firewall mit ipchains VPN in der Praxis Virenscanner im Test

Webcode
a897 a306 a682 a695 a704 a209 a214

Compact
S.194 S.172 S.172

222

www.tecChannel.de

Glossar

Glossar
AH
IP Authentication Header (RFC 2402). Ermglicht, die Integritt und Authentizitt von Datenpaketen bei der IPsecbertragung zu prfen.

Bluetooth

Bluetooth ist eine standardisierte Funktechnik, die mobile und stationre Gerte mit Sendeleistungen zwischen 1 und 100 mW zu individuellen Piconets verbindet.

API
Application Programming Interface. Spezifizierte Schnittstelle zu Funktionen in einer Anwendung oder einem Betriebssystem. Damit lassen sich hufig benutzte Funktionen, wie etwa das Formatieren von Texten oder Darstellen von Fenstern, in einer zentralen DLL unterbringen.

Brute-Force
Brute-Force-Angriff: Der Versuch, ein Kryptosystem durch das Ausprobieren aller mglichen Schlssel-Kombinationen zu brechen. Der Aufwand, durch einen Brute-Force-Angriff ein System zu knacken, stellt eine obere Grenze fr die Strke eines Algorithmus dar. Die Strke eines Kryptosystems gilt als optimal, wenn es keinen mglichen Angriff auf das System gibt, der weniger aufwendig als ein Brute-Force-Angriff wre.

ARP
Address Resolution Protocol. TCP/IPProtokoll, ber das die physikalische Netzwerk-Adresse eines Clients ermittelt werden kann.

CA
Certification Authority, Trustcenter: CAs liefern Schlssel und digitale Zertifakate fr den rechstverbindlichen und vertraulichen Datenverkehr.

Backbone
Rckgrat. In der Kommunikationstechnologie wird dieser Begriff fr den Teil des Netzwerks verwendet, ber den ein Groteil des Datenverkehrs luft.

CAPI
Common ISDN Application Programming Interface. Standardisierte Schnittstelle, die Software verwenden, um auf eine ISDN-Karte zuzugreifen. Die aktuelle CAPI-Version ist 2.0. Duale CAPI nennt man einen Treiber, der die Versionen 1.1 und 2.0 des CAPIStandards untersttzt.

Backdoor
Hintertr in Form eines offenen Ports, den sich Trojaner fr das Eindringen in einen Rechner offenhalten.

www.tecChannel.de

223

Glossar

CDMA
Code Division Multiple Access: Auf diesem bertragungsverfahren basiert UMTS. Der Empfnger kann dank einer speziellen Datencodierung das fr ihn bestimmte Sendesignal aus dem von allen Teilnehmern belegten Frequenzband herausfiltern.

ten. Wenn die Kollision entdeckt wird, warten beide eine zufllige Zeit und senden erneut.

DCF
Distributed Coordination Function. Medienzugriffsregelung in drahtlosen Netzen nach IEEE802.11-Standard.

CHAP
Challenge Handshake Authentication. Verfahren zur Authentifizierung bei Einwhlverbindungen. Der Server sendet zur Verbindungsaufnahme zunchst eine spezielle Codesequenz (Challenge), auf die der Client richtig antworten muss (Handshake).

DES
Data Encryption Standard. Ein Verschlsselungsverfahren mit SecretKey-Technik. Das Standardverfahren verwendet eine Schlssellnge von lediglich 56 Bit. Daher verwendet der TripleDES drei Schlssel mit je 56 Bit, um die Sicherheit zu erhhen.

CMOS
Complimentary Metal Oxide Semiconductor. Benutzt PMOS- und NMOS-Transistoren in Kombination. Daraus resultiert ein geringerer Stromverbrauch als bei reinen PMOSoder NMOS-Implementationen.

DHCP
Dynamic Host Configuration Protocol. Bei DHCP bezieht ein Arbeitsrechner seine Konfiguration des IPNetzwerks von einem Server.

CRC
Cyclical Redundancy Checking. Eine sichere Methode, bertragungsfehler bei einem Datentransfer festzustellen.

DIFS
Distributed Interframe Space. Wartezeit fr sendewillige 801.11-Stationen vor Aufnahme der Datenbertragung.

CSMA/CD
(Carrier Sense Multiple Access/Collision Detection) Netz-Zugriffsverfahren im Ethernet, bei dem eine sendewillige Station zunchst berprft, ob das Medium belegt ist, und erst dann sendet (Carrier Sense). Senden zwei Stationen gleichzeitig, kollidieren ihre Signale und verstmmeln so die Da-

DMZ
Entmilitarisierte Zone, demilitarized zone: Dabei befinden sich BastionHost, Informationsserver, ModemPools und andere Server im DMZNetz. Das DMZ-Netz agiert so als kleines isoliertes Netzwerk zwischen dem privaten Netz und dem Internet.

224

www.tecChannel.de

Glossar

DNS
Domain Name System (oder Service). Ein Internet-Dienst, der Domain Namen wie www.tecChannel.de in die zugehrigen IP-Adressen umsetzt. Wei ein DNS-Server die IP-Adresse eines Namens nicht, so fragt er bei einem anderen Server nach.

ESP
IP Encapsulated Security Payload (RFC 2406). Sorgt mittels eines Headers und Trailers fr die verschsselte bermittlung der Nutzdaten ber IPsec-Verbindungen.

Ethernet
Die am weitesten verbreitete Methode zur Vernetzung in einem LAN. Verbindungen lassen sich ber Twisted-PairKabel, Glasfaser oder Koaxial-Kabel herstellen. Die Geschwindigkeiten betragen 10, 100 und 1000 Mbit/s.

Domne
Als Domne (Domain) bezeichnet der Hersteller Microsoft eine Gruppe von Netzwerkressourcen (Rechner, Drucker, Verzeichnisse, Anwendungen usw.), die ber einen gemeinsamen Authentifizierungsmechanismus fr Benutzer freigegeben werden. Als Domain Controller bezeichnete Server stellen die dazu notwendigen Sicherheitsmechanismen zur Verfgung. Rechner, die an der Domnensicherheit teilnehmen wollen, mssen dazu der Domne beitreten. Nicht zur Domain gehrende Rechner knnen zwar einzelne Freigaben nutzen, nicht aber alle Mechanismen der Domne.

ETSI
Europisches Standardisierungsinstitut fr Telekommunikation.

FHSS
Frequency Hopping Spread Spectrum. Bandspreizverfahren, das auf dem Wechsel der Sendefrequenz innerhalb des verfgbaren Bandes beruht.

DoS
Denial of Service. Hacker-Angriff auf einen Rechner, der nur ein Ziel hat: den angegriffenen Computer lahmzulegen, so dass er auf Anfragen nicht mehr reagieren kann.

Firewall
Software zur Sicherung des LAN vor Angriffen aus dem Internet. Eine Firewall kann auf verschiedenen Ebenen arbeiten: Als Paketfilter erlaubt sie nur Zugriffe auf bestimmte lokale IPAdressen und Ports. Als Proxy-Server agiert sie als Kommunikationsschnittstelle. Der Client im LAN leitet seine Anfragen nicht direkt an den Zielserver, sondern ber den Proxy. Mittels Stateful Inspection berwacht sie nicht nur den reinen Datenverkehr, sondern auch die Anwendungsebene des OSI-Schichtenmodells.

DSSS
Direct Sequence Spread Spectrum. Bandspreizverfahren, das auf der Aufteilung der Sendeenergie ber das verfgbare Frequenzband beruht.

www.tecChannel.de

225

Glossar

HTTPS
HyperText Transport Protocol Secure. Dient zur sicheren bertragung von Webseiten zwischen Webserver und Browser. Die Kommunikation erfolgt SSL-verschlsselt ber Port 443 statt Port 80 wie fr herkmmliches HTTP.

IMAP
Internet Mail Access Protocol. Standard-Protokoll zur Zustellung von EMails. E-Mail-Clients wie Outlook, Netscape Messenger und Eudora verwenden das Protokoll zur Kommunikation mit einem E-Mail-Server. Im Gegensatz zu POP3 bleiben bei IMAP4 die Nachrichten standardmig auf dem Server.

ICMP
Internet Control Message Protocol. TCP/IP-Protokoll, ber das Fehlerund Status-Meldungen ausgetauscht werden.

IP
Internet Protokoll. Bestandteil der TCP/IP-Suite. IP sendet die Daten in Paketen (auch Datagramme genannt) an die Empfngeradresse. Es kmmert sich jedoch nicht darum, ob die Daten wirklich ankommen. Dafr ist der TCP-Bestandteil zustndig. Derzeit ist IP Version 4 im Einsatz. IP Version 6 (auch IP Next Generation) ist bereits in Arbeit.

IEEE
Institute of Electrical and Electronic Engineers. Eine in den USA ansssige Ingenieurvereinigung zur Erstellung von Standards und Normen.

IGMP
Internet Group Management Protocol (RFC 2236). IGMP zhlt zum OSI-Netzwerk-Layer und ermglicht es Routern, Informationen ber die Multicast-Gruppenzugehrigkeit von Rechnern zu erhalten.

IP-Adressen
Ein TCP-Port dient als Kommunikationskanal fr den Zugriff auf einen Internet-Rechner ber das TCP/IPProtokoll, hnlich den Nebenstellen eines Telefonanschlusses. Jedes TCP/ IP-Programm verwendet einen TCPPort fr die Kommunikation mit anderen Rechnern.

IKE
Internet Key Exchange Protocol (RFC 2409). Definiert Ablauf und Mechanismen fr die verschsselte Verbindungsaufnahme zweier Kommunikations-Endstellen via Internet Protocol Security (IPsec).

IPsec
Security Architecture for IP (RFC 2401). Architektur fr die sichere Datenbertragung via IPv4 und IPv6. Umfasst Protokolle, Algorithmen und Verfahren fr die Schlsselverwaltung (RFC 2402-2412).

226

www.tecChannel.de

Glossar

IPX
Internetwork Packet Exchange. Von Novell fr Netware entwickeltes Netzwerkprotokoll zur bertragung von Daten. Inzwischen verwendet jedoch auch Netware TCP/IP.

rend der Sitzung erhalten bleibt. ber diese ID knnen dann die einzelnen Ressourcen entscheiden, welche Rechte der Benutzer erhlt.

MAC
Media Access Control. Unterste Ebene der Sicherungsschicht (Data Link Layer) im OSI-Referenzmodell. Die MAC-Ebene steuert Vorgnge, die fr bestimmte LAN-Typen spezifisch sind. Darunter fallen beispielsweise die Algorithmen zur Kanalverwaltung, Frame-Aufbau oder Kollisionsund Fehlererkennung.

ISM-Band
Funkfrequenzband bei 2,400 bis 2,485 GHz. Dieser Frequenzbereich lsst sich weltweit fr industrielle, wissenschaftliche und medizinische Zwecke (Industrial, Scientific, Medical) nutzen. Regional kann die Breite des Bandes durch (meist militrische) Nutzung eingeschrnkt werden.

ISO
Internationale Normungsorganisation fr vorwiegend nicht-elektrische und nicht-elektronische Normen in Genf. Die Kurzbezeichnung ist nicht die Abkrzung fr die Organisationsbezeichnung, sondern wird aus Griechisch iso (gleich = Norm) abgeleitet.

MAN
Metropolitan Area Network. Regionaloder Stadtnetz. blicherweise bezeichnet man WANs mit einer Ausdehnung unter 100 km Radius als MANs.

MD5
Message-Digest-Algorithmus: Version 5 ist ein Verschlsselungsalgorithmus, der zur Erzeugung digitaler Signaturen verwendet wird.

JDBC
Java Data Base Connectivity: JavaDatenbank-Schnittstelle fr den direkten Zugriff auf Datenbanken aus JavaProgrammen, beispielsweise mit Hilfe eines Applets.

MIME
Multipurpose Internet Mail Extensions: Erweiterung der textbasierten E-Mail um Verfahren fr den Versand von Binrdateien, Grafik-, Video- und Audio-Daten.

Kerberos
Sicherheitsstandard des MIT zur zentralen Authentifizierung von Benutzern (single-logon). Kerberos ist nicht fr die Freigabe von Ressourcen zustndig, sondern es weist einem Benutzer lediglich eine ID zu, die wh-

MMC
Die Microsoft Management Console zentralisiert zahlreiche Verwaltungsaufgaben unter einer Oberflche.

www.tecChannel.de

227

Glossar

MTU
Maximum Transfer Unit. Die maximal zulssige Gre eines Netzwerkpaketes in Byte.

NNTP
Network News Transport Protocol. In RFC 977 beschriebenes Protokoll zur bertragung von USENET-Nachrichten. Die Nachrichten des USENET sind in schwarzen Brettern (so genannten newsgroups) organisiert.

NAT
Network Address Translation. NAT ist ein Verfahren zur Abschottung des LAN gegenber dem Internet. Dabei wird zum Internet hin immer nur eine Adresse gemeldet, unabhngig von der tatschlichen IP-Adresse im LAN. Der NAT-Router bernimmt dabei die Verteilung der IP-Pakete zu den richtigen Empfngern.

OC
Optical Carrier. Grundbitrate der nordamerikanischen Sonet-Hierarchie, OC-1 entspricht 51,84 Mbit/s.

OC-192
In SONET definierte WAN-Infrastruktur mit Raten von 9,955328 Gbit/s.

NAV
Net Allocation Vector. Zeitgeber fr den RTS-CTS-Mechanismus in 802.11-Netzen.

ODBC
Open Data Base Connectivity: Offene Datenbank-Schnittstelle fr den direkten Zugriff auf Datenbanken. ODBC erlaubt die Datenbankrecherche aus beliebigen Programmen, die die standardisierte Schnittstelle untersttzen.

NDS
Novell Directory Services: Verzeichnisdienst von Novell, welcher mit Netware 4.0 eingefhrt wurde und eine netzwerkweite hierarchische Ablage von Objektinformationen in einer Datenbank ermglicht. Die Definition von Ressourcen, etwa Druckern, Benutzern oder Servern, erlaubt es Administratoren, Anwender durch eine einzige Authentifizierung zu verwalten.

OSI-Modell
Open Systems Interconnect. Ein ISOStandard fr weltweite Kommunikation, der ein Rahmenmodell fr die Implementierung von Protokollen in sieben Schichten definiert.

NetBEUI
Netzwerkprotokoll zur Kommunikation zwischen Rechnern. Wurde primr in Windows-Netzen eingesetzt. Inzwischen verwendet Windows auch TCP/IP.

PHY
Physical Control Layer (Bitbertragungsschicht). Unterste Ebene des OSI-Referenzmodells. PHY bernimmt die Codierung, Decodierung und Synchronisation auf Ebene des Transportmediums.

228

www.tecChannel.de

Glossar

POP
Post Office Protocol Standardprotokoll zur Zustellung von E-Mails. E-Mail-Clients wie zum Beispiel Outlook, Netscape Messenger und Eudora verwenden das Protokoll zur Kommunikation mit einem E-Mail-Server.

SA
Security Association, diese ist Teil des Internet Security Association and Key Management Protocol (ISAKMP, RFC 2408/2409). Bezeichnung fr eine zwischen zwei Endstellen verhandelte Kommunikationsbeziehung im Rahmen von IPsec.

Port
Ein TCP-Port dient als Kommunikationskanal fr den Zugriff auf einen Internet-Rechner ber das TCP/IPProtokoll, hnlich den Nebenstellen eines Telefonanschlusses.

SDH
Synchronous Digital Hierarchy. International standardisiertes bertragungsverfahren fr Weitverkehrsnetze. Die amerikanische (Sonet) und japanische Variante arbeiten mit 24 Kanlen, die europische Version mit 30 Kanlen. Basistransporteinheit ist ein Synchronous Transport Module mit einer bertragungsrate von 155,52 Mbit/s (STM-1).

RFCs
Request for Comments: Sammlung von Empfehlungen, Artikeln und Standards, in denen netzrelevante Konventionen und allgemeine Informationen zum Internet festgehalten sind.

SIFS
Short Interframe Space. Wartezeit fr sendewillige 802.11-Stationen vor Beginn einer Empfangsquittierung.

Router
Router vermitteln die Daten zwischen zwei oder mehreren Subnetzen, die beispielsweise durch Weitverkehrsleitungen wie ISDN verbunden sind. Auch ein Einsatz im LAN ist mglich, um die Datensicherheit zu erhhen.

SMTP
Simple Mail Transfer Protocol. Standardprotokoll zum E-Mail-Versand. Mailserver verwenden das Protokoll zur Kommunikation untereinander.

RSA
RSA (Rivest, Shamir, Adelman): Verschlsselungsverfahren, bei dem jeder Partner einen bekannten (public) und einen geheimen (private) Schlssel besitzt. Unterschiedliche Implementierungen nutzen verschiedene Schlssellngen. Als unsicher gelten derzeit Schlssellngen von unter 900 Bit.

SONET
Synchronous Optical NETwork. Glasfaser-bertragungssystem fr Hochgeschwindigkeitsnetze mit integrierten Managementfunktionen, das auf einer selbstheilenden Ringstruktur basiert. Damit existiert fr jeden Pfad mindestens ein Backup-Pfad.

www.tecChannel.de

229

Glossar

SSH
Secure Shell. Ein von der Firma SSH Communications Security entwickeltes Programm, das eine sichere Kommunikation und Authentifizierung ermglicht. Dazu verschlsselt SSH den kompletten Login-Prozess einschlielich der Passwortbermittlung. SSH steht unter anderem fr Windows und Unix zur Verfgung.

TLS
Transport Layer Security: Weiterentwicklung von Secure Sockets Layer (SSL). TLS ist in RFC 2246 definiert und sorgt fr Sicherheit und Datenintegritt zwischen zwei Anwendungen.

Trojaner
Ein Trojanisches Pferd, kurz Trojaner genannt, erscheint als vermeintlich ntzliches Programm, etwa als Utility. So getarnt, wird es von arglosen Anwendern verbreitet und bentigt daher keinen eigenen Replikationsmechanismus. Trojaner werden bevorzugt eingesetzt, um Daten auf fremden Rechnern auszusphen oder zu manipulieren.

SSL
Secure Sockets Layer. Von Netscape eingefhrtes Protokoll zur bermittlung von privaten Informationen. Verwendet ein Public-Key-Verfahren fr die Verschlsselung.

TCP
Transmission Control Protocol. Verbindungsorientiertes Transportprotokoll aus der TCP/IP-Suite. Umfasst Verbindungsauf- und -abbau, Reihenfolgegarantie, Verlustsicherung, Flusskontrolle und anderes mehr.

UDP
Das User Datagram Protocol erlaubt das Versenden von Datagrammen zwischen zwei Systemen. Das Protokoll garantiert weder die Zustellungen, noch die korrekte Reihenfolge der zugestellten Datenpakete.

TCP/IP
Transport Control Protocol / Internet Protocol. Das meistverbreitete Netzwerkprotokoll zur bermittlung von Daten. IP dient zur reinen Datenbermittlung, TCP stellt sicher, dass die Daten auch fehlerfrei ankommen.

V.90
Standardisiertes Verfahren fr die asynchrone Datenbertragung ber Telefonleitungen mit maximal 56 kbit/s (Downstream) beziehungsweise 33,8 kbit/s (Upstream).

TDM
Time Division Multiplexing. Beim TDM werden mehrere Datenkanle in einen groen eingefdelt. ber diesen werden abwechselnd die Datenpakete der einzelnen Kanle bermittelt.

VPN
Virtual Private Network. Beim VPN lassen sich ber ein ffentliches Datennetz, wie etwa das Internet, sichere private Verbindungen, beispielsweise in das Firmennetz, aufbauen.

230

www.tecChannel.de

Glossar

WAN
Wide Area Network. Computernetzwerk, das ber Telefon-, Funk- oder andere Weitverkehrsverbindungen kommuniziert. Das grte WAN ist das Internet.

XML
Die eXtensible Markup Language ist eine Meta-Sprache zur Beschreibung strukturierter Daten. XML ist ber Tags erweiterbar und auf vielen verschiedenen Plattformen darstellbar.

Webproxy
Software zur Sicherung des LAN vor Angriffen aus dem Internet. Eine Firewall kann auf verschiedenen Ebenen arbeiten: Als Paketfilter erlaubt sie nur Zugriffe auf bestimmte lokale IPAdressen und Ports. Als Proxy-Server agiert sie als Kommunikationsschnittstelle. Der Client im LAN leitet seine Anfragen nicht direkt an den Zielserver, sondern ber den Proxy. Mit Stateful Inspection berwacht sie nicht nur den reinen Datenverkehr, sondern auch die Anwendungsebene des OSI-Schichtenmodells.

XSL
Extensible Stylesheet Language. XML-Gegenstck zu Cascading Style Sheets unter HTML.

XSLT
Extensible Style Language Transformation: Sprache, die die Transformation von XML-Dokumenten in einen anderen XML-Dialekt erlaubt. Verwendet XSL-Stylesheets fr die Transformation. XSLT erlaubt beispielsweise die Konvertierung von XML-basierten Dokumenten nach HTML.

WEP
WEP, Wireless Equivalent Privacy. Bezeichnung fr Verschlsselungsverfahren auf RC4-Basis, die von auf dem Standard 802.11 basierenden Funknetzen genutzt werden.

Zertifikate
Quasi-Standard fr die Definition digitaler Zertifikate. X.509 ist bislang nur eine Empfehlung der ITU, also noch kein international anerkannter Internet-Standard. Liegt beispielsweise den SSL-Implementierungen von Microsofts und Netscapes Webserver zu Grunde.

WLAN
Wireless LAN. Drahtloses lokales Netzwerk auf Funk- oder Infrarotbasis.

X.509
ISO/IEC/ITU-Standard fr die Public Key Infrastructure (PKI). Siehe auch RFC 2459.

www.tecChannel.de

231

Index

Index
1000Base-T 17, 22, 26, 28, 35 100Base-T2 17, 19, 22 100Base-T4 17, 18, 22 100Base-TX 22, 26 100Base-Tx 17, 18 3-Way-Handshake 88 40-Bit-RC4-Algorithmus 71 4B5B 18, 22 64B/66B-Kodierung 24, 34 802.11a 44, 48, 50 802.11b 44, 48 8B/10B-Kodierung 24, 34 8B/10B-Modulationsverfahren 22

Contention Free Period CFP 63 CSMA/CA-Algorithmus 55 CSMA/CD 10, 29 CTS 61

Absolute Domain Name 100 Access Control Lists (ACLs) 126 Adressklassen 82 Anycast-Adresse 96 Application Programming Interface 117 ASN.1 123 Association Identifier (AID) 63 Attachment Unit Interfaces (AUI) 29 Attributtyp 118 Authentifizierungs-Header (AH) 175 Authorization State 160 Auto-Negotiation 19

Binary Backoff 11 Binary Phase Shift Keying (BPSK) 74 Bluetooth 44 BOOTP 112 Broadband Radio Access Network 50

Datagramm 78 Data Link Layer 53 DECT 44, 46 DECT Multimedia Access Profile 47 DES 175 DHCP 112 Dial-in User Service (RADIUS) 71 Diffie-Hellman 175, 195 DIFS 59 Digital Signature Standard (DSS) 177 Directory Access Protocol 121, 123 Directory Information Base (DIB) 118 Directory Information Tree (DIT) 118 Directory Operational Binding Management Protocol (DOP) 121 Directory System Agents (DSA) 120 Directory System Protocol (DSP) 121 Directory User Agent (DUA) 119 Direct Link Access (DLA) 47 Direct Mode (DM) 50 DirX 121 Dispersion Shifted Fiber DSF 36 Distinguished Name (DN) 119 Distinguished Value 119 Distributed Coordination Function 56 Distributed IFS (DIFS) 56 DNS 155 Domain Name Service 138 Domain Name System (DNS) 95, 98 Domne 127 DPRS 47 Dynamically Allocated Ports 133

Call-back 173 Carrier Sense (CS) 10 Centralized Mode (CM) 50 Certificate Revocation List (CRL) 203 Certification Authority (CA) 195 Cheapernet 15 Clear-to-Send-Rahmen (CTS) 61 Collision Avoidance 56 Collision Detection (CD) 11 Complimentary Code Keying (CCK) 74

Encapsulation (Kapselung) 77 Encapsulation Security Header (ESH) 175 ESMTP (Extended SMTP) 156 Extended Service Set (ESS) 55 Extended SMTP 156

Fast Link Pulses (FLP) 20 Forest 128 Frames 13

232

www.tecChannel.de

Index

Frame Checking Sequence FCS 31 Frequency Hopping 46 Fully Qualified Domain Name 100

GAP 47 GFSK-Modulation 66 Global Catalog Server 126

Layer 2 Tunneling Protocol (L2TP) 173 LDAP 116, 121, 122 Line Terminal Equipment LTE 36 Link Aggregation 28 Listen Before Talk LBT 56 Logical Link Control (LLC) 30, 53 Loopback 82

Hash-Algorithmen 175 High-Level Data Link Layer Control (HDLC) 36 HiperLAN 44, 50 HomeRF 44, 49 Hybrid-Transceiver 19 Hypertext Transfer Protocol (HTTP) 139

ICMP 130 Identifikationsparameter (ID) 195 IEEE 29 IEEE-802.3ae 38 IKE (Internet Key Exchange) 176 IMAP 158, 163 Independent Basic Service Sets (IBSS) 54 Initial Sequence Number ISN 88 Inter-Packet Gap IPG 37 Interframe Space (IFS) 56 Internet Control Message Protocol (ICMP) 85, 96, 143 Internet Key Exchange (IKE) 195 Internet Message Access Protocol 140 Internet Protocol (IP) 78, 131, 143 Internet Protocol next Generation 92 Internet Protocol Security 193 Internet Protocol Suite 76 Internet Security Association and Key IP 76, 81, 98 IPsec 174, 192, 193 IPv4 92, 135 IPv6 76, 92 IP Authentication Header 193 IP Encapsulated Security Payload 194

MAC-Adressen 14, 53 MAC-Layer 31 Mail Exchanger 155 Mail Routing 155 Mail Transfer Agents (MTA) 150 Masquerading 135 MBOK (M-ary Bi-Orthogonal Keying) 74 MC/TDMA/TDD-Algorithmus 46 MD5 175 Media Independent Interfaces (MII) 29 Medium Access Control (MAC) 30 Metropolitan Area Network 23, 53 Microsoft Active Directory 116, 121, 125 MIME 157 MLT-3: Multi-Level-Transmission 18 Multi-Level Analog Signaling (MAS) 35 Multi-Protocol Label Switching 28 Multicarrier Modulation 50 Multicast-Adresse 82, 96 Multiple Access (MA) 10 Multipurpose Internet Mail Extension 157

Nameserver 101, 104 NAV 61 Network Address Translation (NAT) 136 Network News Transfer Protocol 140 Net Allocation Vector NAV 61 Non-Authenticated State 164 Normal Link Pulses (NLP) 19 Novell eDirectory 116, 121, 123

Key-Management-Protokoll (IKMP) 176 Koaxialkabel 15

Objektklasse 118 OFDM-Verfahren 50 Organisationseinheit 127 OSI-Modell 30, 76, 120 OSI-Protokoll-Stack 123

www.tecChannel.de

233

Index

Packet-over-SONET/SDH POS 36 Packets 13 PAM5x5 19, 22, 24 PCF-IFS (PIFS) 63 Personal Area Network (PAN) 42, 53 PHY-Layer 32 Physical Coding Sublayer 32, 34 Physical Layer 53 PMD/PMA 35 Point-to-Point Protocol (PPP) 36 Point-to-Point Tunneling Protocol 173 Pointer Queries 108 Point Coordinator (PC) 63 POP3 140, 158, 160 Port-Mapping 136 Pre-shared Keys 176 Primary Distinguished Value 118 Primary Name Server 101 Public-Key-Verschlsselung 175, 177 Pulse Amplituden Modulation (PAM) 19 Pulse Position Modulation (PPM) 74 Punkt-zu-Punkt-Protokoll (PPP) 173

Security Protocol (IPsec) 173 Selected State 166 SIFS 59 Signal-to-Noise-Ratio SNR 74 Simple Mail Transfer Protocol 150 Simple Network Management Protocol 28 Single-Mode-Fiber (SMF) 35 SMTP 150 Socket 132 SONET/OC-192 27 SONET/SDH 27, 36 SONET OC-192 36 Source Network Address Translation 135 Spread Spectrum Technology SST 53 Subnetzmaske 82 SWAP-CA-Protokoll 49 Switching 21

Q R

Target Beacon Transmission Times 70 TCP/IP 76, 87, 98, 112, 135 TLS (Transport Layer Security) 170 Top Level Domains (TLDs) 99 Transaction State 161 Twisted-Pair-Interface RJ45 29

Quadrature Phase Shift Keying 74 RAS-Server 172 Registered Ports 133 Relative Distinguished Name (RDN) 119 Relaying 168 Remote Monitoring for Ethernet 28 Request-to-Send-Rahmen (RTS) 61 Resource Records (RRs) 105 Reverse Mapping 108 RIP (Routing Information Protocol) 84 Root-Server 101, 102 Round Trip Delay 11 Routing 83 RTS 61

UDP 90 Unicast-Adresse 96 Update State 162, 166 User Datagramm Protocol 78, 90, 130

VCSEL-Typ 35 Verzeichnisdienste 116 VPN 172, 178, 192, 206

Scrambling 18 SDH/STM-64 27, 36 Secondary Name Server 101 Secure Hash Algorithm 175 Security Association (SA) 176, 194 Security Parameter Index (SPI) 176

WAN Interface Sublayer (WIS) 33, 37 Wavelength Division Multiplexing 35 Well Known Ports 132 Wired Equivalent Privacy (WEP) 71 Wireless LAN 40 Wireless Local Loop (WLL) 51

X.500 116, 117 XAUI 32 XGMII 31

234

www.tecChannel.de