Netzwerktechnologie
Kabel Klassen
Klasse | Geschwindigkeit |
---|---|
Cat.5 | 100Mbit/s |
Cat.5e | 1Gbit/s |
Cat.6 | 10Gbit/s |
Cat.7 | 10Gbit/s |
Bänder
Basis Band
Der Sender kann die gesamte Frequenz verwenden. Wird bei LAN oder Telefonie verwendet.
- hohe Geschwindigkeit
- kein Multiplexing
Breitband
Ermöglicht die Unterteilung in mehrere Kanäle. Jeder Kanal hat einen eigenen Frequenzbereich.
- Heimgebrauch -> DSL (Cablecom)
- WLAN
Topologien
ISO/OSI Layer
Layer | Name | Funktion |
---|---|---|
1 | Physical | Physikalische Definition |
2 | Data Link | MAC Addresse |
3 | Network | IP, ICMP (ping), IPsec |
4 | Transport | TCP, UDP |
5 | Session | Authentifizierung |
6 | Presentation | Verschlüsselung, Syntax |
7 | Application | SNMP, HTTP, SMTP |
Cisco Befehle
Config anzeigen
show run
Config speichern
write
IP Addressen anzeigen
sh ip interface brief
Subinterface auf Router einrichten
enable conf t
int g0/0.10
encapsulation dot1Q
ip address 172.16.0.1 255.255.0.0
Interface auf einem Router live schalten
enable int g0/0 no shutdown
VLAN
VLANs sind eine logische Unterteilung des Netzes. Jedes VLAN ist eine Broadcastdomäne. VLANs haben normalerweise jeweils einen eigenen Adressbereich. Clients in einem VLAN sind sich dem meist nicht bewusst.
Vorteile:
- Sicherheit
- Kostenreduzierung
- Bessere Leistung
- kleinere Broadcast Domain
2 Hauptarten:
- Port Basiert Werden nicht getagged ausser auf dem Trunking Port.
- Address basiert Wird noch getagged damit es zu geordnet werden kann.
Switch
Wichtige Punkte beim Kauf eines Switchs:
- Grösse der MAC Tabelle, basierend auf Anzahl Clients
- MppS (Maximum Packages per Second) -> Durchsatz
- kann er VLAN
- Wenn möglicher Layer 3 (Router)
Broadcast
VLANs bieten die Lösung gegen übermässigen Broadcast Traffic. Broadcast entsteht durch Geräte welche übermässig Anfragen ins Netz schicken (Drucker, PC, Access Points -> viele Clients)
Trunk
Werden genutzt damit mehrere VLANs über einen Port geleitet werden können. Sprich damit Geräte verschiedener Standorte aber im gleichen VLAN miteinander kommunizieren können.
Broadcast Domains
Jedes VLAN ist eine eigene Broadcast Domain. Für DHCP etwas müssen deshalb IP Helper eingesetzt werden.
Typen
- Daten VLAN
- Default VLAN
- Native VLAN (VLAN1)
- Management VLAN (VLAN1)
- Voice VLAN
Tagging
Dabei werdnen die Frames entsprechend ihrem VLAN markiert, damit sie über Trunks hinaus im richtigen VLAN angelangen. Beliebtestes Protokoll -> IEEE 802.1Q, es gibt jedoch noch andere. Die Protokolle defnieren die Struktur der Tags.
Wenn die Frames über einen nontrunk-Port hinausgehen werden die Tags vorher wieder entfernt.
Tagging & Router
Router können per default kein WLAN. Es wird .1Q benötigt. Mit aktiviertem .1Q merkt sich der Router das Tag des Frames und hängt es dann an die Antwort.
Subinterface
Werden benötigt um mehrere VLANs über den gleichen Port an einem Router zu führen.
IPv4
Klassen
Klasse | Range | Netmask |
---|---|---|
A | 0-127 | 255.0.0.0 |
B | 128-191 | 255.255.0.0 |
C | 192-223 | 255.255.255.0 |
D (multicast) | 224 | 239.255.255.255 |
E (resierviert) | 240 | 255.255.255.255 |
IP Range berechnen (CIDR)
18.x.x.x mit 19 SN Um 19 darzustellen zu können benötigen wir folgenden Bits.
128 | 64 | 32 | 16 | 8 | 4 | 2 | 1 |
---|---|---|---|---|---|---|---|
0 | 0 | 0 | 1 | 1 | 1 | 1 | 1 |
Was dann zu folgender Subnetzmaske führt 255.248.0.0 für die Ranges zu berechnen müssen wir noch den Wert des letzten Bits wissen. 248 -> 11111000 was dann 8 wäre 8-1=7 18.0.0.1 > 18.7.255.254 18.8.0.1 > 18.15.255.254
Private Ranges
10.X.X.X
172.16.X.X-172.31.X.X
192.168.X.X
IP Pakete
name | beschreibung |
---|---|
Ethernet-Frame | Encapsulation (.1Q) |
MAC Adresse | |
IP Header | Source und Destination IP Adressen |
TCP Header | Source und Destination Port |
Daten |
IP Header
Name | Unterelement | Beschreibung |
---|---|---|
Version | Version des Internet Protocols | |
Header Length | Die Grösse des IP Headers | |
Type of Service Field | Wurde verwendet um Pakete zu priorisieren | |
Total Length | Gesamte Grösse (MTU) | |
Identification Number | Eindeutige Nummer zum identifizieren der Verbindung | |
Flags | Parameter | |
More | Die Daten wurden in mehrere Pakete aufgeteilt | |
Don't Fragment | Fragmentieren der Daten nicht erlaubt | |
Reserverd | Zur Zeit nicht definiert. | |
Fragment Offset | Anzahl der Pakete und wieviele noch kommen | |
Time to Live (TTL) | Wie lange das Paket unterwegs sein darf (max Anzahl Hops) | |
Protocol | Das verwendete Protokol (z.Bsp TCP) | |
IP Header Checksum | Prüfsumme für die Integritätsüberprüfung | |
Source | IP Adresse der Quelle | |
Destination | IP Adresse des Zielortes | |
Options | Optionen welche zusätzlich mitgeschickt werden können | |
Padding | "Polsterung" um dem Header die korrekte Grösse zu geben |
TCP Header
Name | Unterelement | Beschreibung |
---|---|---|
Source Port | Port der Quelle | |
Destination Port | Port des Zielortes | |
Sequence Number | Sequenznummer | |
Acknowledge Number | Bestätigungsnummer | |
Header Length | Länge des TCP Headers | |
Reserved | Reservierter Bereich | |
Flags | Parameter | |
Urgent | Dringend | |
Acknowledge | Bestätigung | |
Push | Stossen | |
Reset | Zurücksetzen/Abbrechen | |
Sync | Synchronisieren | |
Fin | Ende | |
Window Size | Fenstergrösse | |
Checksum | Prüfsumme für die Integritätsüberprüfung | |
Urgent Pointer | Dringend Zeiger | |
Options | Optionen welche zusätzlich mitgeschickt werden können | |
Padding | "Polsterung" um dem Header die korrekte Grösse zu geben | |
Data | Die eigentlich Daten die übertragen werden |
Ports
21: | FTP |
22: | SSH |
23: | Telnet |
25: | SMTP |
80: | HTTP |
110: | POP3 |
443: | HTTPS |
465: | SMTP |
993: | IMAP |
Aufbau von TCP
- PC-1->PC2: Sync Bit
- PC-2->PC-1: Sync Bit + Acknowledge Bit
-
PC-1->PC-2: Acknowlegde
- PC-1->PC2: Fin Bit
- PC-2->PC-1: Fin Bit + Acknowledge Bit
-
PC-1->PC-2: Acknowlegde
Acknowledge = A, Sequencenumber = S Jedes TCP Paket wird nach der Übertragung dem Sender bestätigt. Dies wird dabei über die Acknowlegde und Sequencenumber gemacht. A:1 S:1 + 500Byte -> A:1 S:501 -> A:501 S:1 A:1 S:501 + 500Byte -> A:1 S:1001 -> A:1001 S:1 A:1 S:1001 + 500Byte -> A:1 S:1501 -> A:1501 S:1

Ablauf einer TCP Kommunikation
DHCP
VLAN
DHCP funktioniert nicht über VLANs hinaus. Dafür wird ein DHCP Helper benötigt. Basierend auf dem Netz des IP-Helpers vergibt der DHCP dem Client dann eine entsprechende IP Addresse.
ICMP
Steht für Internet Control Message Protocol dazu gehört unter anderem PING.
Sicherheit
Sicherheit ist das Mass an Risiko das man bereit ist in Kauf nehmen zu wollen oder muss.
Risiko evaluieren
Die Risiken werden bewertet nach Häufigkeit und Tragweite. Umso höher die Bewertung ist umso eher müssen Massnahmen dagegen ergriffen werden
Massnahmen
Preloss
Massnahmen die vor einem Vorfall ergriffen werden.
Postloss
Massnahmen die nach einem Vorfall gemacht ergriffen werden. Analysieren des Vorfalls und was man besser machen könnte. Logs anschauen was auf den Systemen verändert wurden.
VPN
IPSEC
Setzt einen PSK oder ein Zertifikat voraus um den User zu identifizieren. Weitere Massnahmen die noch den Zugang absichern:
- PW
- OTP
Bedrohungen im Internet
- fremde Systeme nutzen für weitere Manöver
- verwischen von Spuren
- Manipulation von Daten
- DOS
Risiken im Internet
- Verzögerte Auftragsabwicklung
- Mitteilungen mit falscher Identität, Vertrauensverlust
- Verlust vertraulicher Informationen
- Verlust von Informationen an die Konkurrenz
- Handlungsausfall durch IT-Ausfall
- Falsche Entscheidungen aufgrund manipulierter Daten
Drei Säulen der Sicherheit
Integrität
Die Daten sind in dem Zustand in dem sie sein müssen Sprich sie wurden nicht von einer dritten Person manipuliert.
Verfügbarkeit
Die Zeit während der ein System verfügbar ist.
Vertraulichkeit
Niemand der nicht Zugriff haben darf (autorisiert ist), hat Zugriff auf die Daten.
Sicherheitspolitik
Sicherheitsstrategie
-
Ermittlung der Schutzbedürftigkeit
- IT-Systeme
- IT-Anwendungen
- Dienstleistungen
- Informationen
- Bewertung der Schutzziele
-
Bedrohungsanalyse
- Bedrohte Objekte
- Grundbedrohung
- Konkrete Bedrohung
- Vorhandene Schutzmaßnahmen
-
Risikoanalyse
- Bewertung bedrohter Objekte
- Häufigkeit eines Schadens
- Bewertung des möglichen Schadens
- Bewertung der Risiken
-
Erstellung eines Sicherheitskonzepts
- Infrastuktur
- Organisation
- Personal
- Hard/Software
- Kommunikation
- Notfallversorgung
- Bewertung Kosten/Nutzen
- Restrisikoanalyse
-
Umsetzung des Sicherheitskonzepts/Implementierung
- Priorisierung der Maßnahmen
- Abgleich vorhander Maßnahmen
- Definition der Verantwortlichkeiten
- Realisierung der Maßnahmen
Firewall
Eine Firewall ist eine Sammlung von Komponenten und Systemenen über welche jeglicher Traffic im Netzwerk kontrolliert.
Zugangskontrolle auf Netzwerkebene
Welche Rechner dürfen mit der Firewall kommunizieren.
Zugangskontrolle auf Benutzerebene
Zugangskontrolle über Authentifikation des Benutzers.
Verwaltung von Zugriffsrechten der Dienste
Welche Protokolle und Dienste sind erlaubt Datenstrom auf Viren überprüfen
Anforderungen
Die interne Netzwerkinfrastrukur muss gegen aussen verborgen werden.
Arten
-
Packet-Filter
Wer darf wohin kommunizieren.
-
Circuit-Level Gateway
Proxy welche den Traffic untersucht.
-
Stateful Inspection
Jede Schicht des ISO/OSI Modells untersucht. Dabei werden auch die kompletten Daten untersucht(etwa heruntergeladene Dateien).
NAT
-
Hide
Eine offizielle Adresse für mehrere Clients
-
Static
Jede externe IP Adresse wird direkt einem internen System zugewiesen.
DMZ
Die Server und Clients welche von aussen erreichbar sind werden in einem separaten Netz gehalten. Dies soll verhindern das ein Angriffer Zugriff auf die internen Systeme erhält.
Routing
Es gibt zwei Grundtypen. Statisches (manuel) und dynamisches. Für das Routing kommunizieren die Router in der Regel über Multicast. Bei BGP kann es sein das über Unicast kommuniziert wird da die Partner normalerweise bekannt sind und man so etwas den Traffic reduzieren kann.
Statisches Routing
Beim statischen Routing muss jede Route auf dem Router manuell konfiguriert werden.
enable
conf t
int serial0/0
clock rate 115200
ip address 192.168.0.10 255.255.255.252
exit
int eth0/0
ip address 10.4.0.1 255.255.0.0
exit
ip route 10.4.0.0 255.255.0.0 192.168.0.9
ip route ...
Der Befehl ip route ist wie folgt aufgebaut:
ip route INTERNAL_NETWORK INTERNAL_SUBNETMASK GATEWAY
Dynamisches Routing
Bei dynamischen Routing gibt es folgende drei Hauptprotokolle:
RIPv2
"Redet viel und kommt nicht ans Ziel." Übermittelt jedes mal die ganze Routing Tabelle. Maximal sind 16 Hops (15 ohne sich selbst) möglich.
en
conf t
int eth0/0
ip address 10.4.0.1 255.255.0.0
exit
conf t
router rip
version 2
network 10.4.0.0
der Netzwerkbefehl ist wie folgt aufgebaut:
network INTERNAL_NETWORK
OSPF (Open Shortest Path First)
Berechnet den kürzesten Weg zum Ziel. Berechnet den Weg aufgrund von Vektoren. Hops kann man so viele machen wie man möchte. Begrenzung ist ist der Speicher.
BGP
Wird im WAN(Internet) eingesetzt. Die Router welche BGP verwenden haben sind oft sehr grosser Last ausgesetzt. Die Routing Tabellen sind nämlich sehr gross. Mit IPv6 wurde das Problem noch schlimmer.
WLAN
Ein Access Point funktioniert als Bridge zwischen dem Wireless Netzwerk und dem Kabelnetzwerk. Man kann dies als eine Art Adapter zwischen zwei Netzwerktechnologien verwenden.
Channels
Um einen optimalen Empfang garantieren zu können ist es wichtig das man den richtigen Channel für das jeweilige Frequenzband wählt. Dies wird gemacht um ein Übersprechen der Bänder zu vermeiden.
2.4GHz
Im 2.4GHz Bereich sollten wenn möglich nur folgende Channels benutzt werden: 1, 6 und 11. Falls bereits ein Netzwerk vorhanden ist immer dieses verwenden welches am weitesten vom bestehenden Netz entfernt ist. Zum Beispiel: 1 vorhanden dann 11 verwenden.
Wurde von einem bereits vorhandenen Netzwerk bereits andere Channels als die oben genannten drei verwendet. Nimmt man am besten folgende Formel zur Hand:
VorhandenerChannel + 5 = zuverwendenderChannel
9 und 10 sollten dabei jedoch wenn möglich nicht verwendet werden da Mikrowellen in diesem Range funktionieren.
Den WLAN Access Point den wir im Unterricht verwedet hatten war ein Zyxel G-1000v2.
5GHz
Da wir im Unterricht nicht dazu gekommmen sind den 5GHz Bereich anzuschauen haben wir das selber noch recherchiert. Nach unseren Recherchen sind die Channels die man im 5GHz am besten nutzen sollte die folgenden: 36, 40, 44, 48, 149, 153, 157, 161
Die Formel für den 5GHz Bereich scheint folgende zu sein:
VorhandenerChannel + 4 = zuverwendenderChannel
Allerdings gilt es hier zu beachten das es zwei verschiedene verwendbare Bereiche gibt. Den ersten von 36-48 und den zweiten von 149-161.
Authentifizierung
Um das Netzwerk vor unbefugtem Zugriff zu schützen empfiehlt es sich die Authentifizierung zu aktivieren. Dabei sollten heute nur noch die folgenden zwei Arten ausgewählt werden. Gerade von WEP wird dringend abgeraten da dies mittlerweile innerhalb von Minuten gehackt werden kann.
WPA2-PSK
WPA2-PSK steht für "Wi-Fi Protected Access Version 2 Pre Shared Key" Damit erfragt der Access Point ein Passwort um zu verbinden. Die Authentifizierung erfolgt dabei auf dem Access Point direkt.
WPA2
Verlangt wie auch WPA2-PSK ein Passwort zum verbinden allerdings erfolgt die Authentifizierung dabei auf einem Server welcher. Der Access Point authentifieziert sich dabei auf dem Server auch mit einem Key. Dies ermöglicht unter anderem für verschiedene User jeweils ein eigenes Passwort zu haben.
No Comments