Netzwerktechnologie

Kabel Klassen

Bänder

Basis Band

Der Sender kann die gesamte Frequenz verwenden. Wird bei LAN oder Telefonie verwendet.

• hohe Geschwindigkeit
• kein Multiplexing

Breitband

Ermöglicht die Unterteilung in mehrere Kanäle. Jeder Kanal hat einen eigenen Frequenzbereich.

• Heimgebrauch -> DSL (Cablecom)
• WLAN

Topologien

ISO/OSI Layer

Cisco Befehle

Config anzeigen

show run

Config speichern

write

IP Addressen anzeigen

sh ip interface brief

Subinterface auf Router einrichten

enable conf t
int g0/0.10
encapsulation dot1Q
ip address 172.16.0.1 255.255.0.0

Interface auf einem Router live schalten

enable int g0/0 no shutdown

VLAN

VLANs sind eine logische Unterteilung des Netzes. Jedes VLAN ist eine Broadcastdomäne. VLANs haben normalerweise jeweils einen eigenen Adressbereich. Clients in einem VLAN sind sich dem meist nicht bewusst.

Vorteile:

• Sicherheit
• Kostenreduzierung
• Bessere Leistung
• kleinere Broadcast Domain

2 Hauptarten:

• Port Basiert Werden nicht getagged ausser auf dem Trunking Port.
• Address basiert Wird noch getagged damit es zu geordnet werden kann.

Switch

Wichtige Punkte beim Kauf eines Switchs:

• Grösse der MAC Tabelle, basierend auf Anzahl Clients
• MppS (Maximum Packages per Second) -> Durchsatz
• kann er VLAN
• Wenn möglicher Layer 3 (Router)

Broadcast

VLANs bieten die Lösung gegen übermässigen Broadcast Traffic. Broadcast entsteht durch Geräte welche übermässig Anfragen ins Netz schicken (Drucker, PC, Access Points -> viele Clients)

Trunk

Werden genutzt damit mehrere VLANs über einen Port geleitet werden können. Sprich damit Geräte verschiedener Standorte aber im gleichen VLAN miteinander kommunizieren können.

Broadcast Domains

Jedes VLAN ist eine eigene Broadcast Domain. Für DHCP etwas müssen deshalb IP Helper eingesetzt werden.

Typen

• Daten VLAN
• Default VLAN
• Native VLAN (VLAN1)
• Management VLAN (VLAN1)
• Voice VLAN

Tagging

Dabei werdnen die Frames entsprechend ihrem VLAN markiert, damit sie über Trunks hinaus im richtigen VLAN angelangen. Beliebtestes Protokoll -> IEEE 802.1Q, es gibt jedoch noch andere. Die Protokolle defnieren die Struktur der Tags.

Wenn die Frames über einen nontrunk-Port hinausgehen werden die Tags vorher wieder entfernt.

Tagging & Router

Router können per default kein WLAN. Es wird .1Q benötigt. Mit aktiviertem .1Q merkt sich der Router das Tag des Frames und hängt es dann an die Antwort.

Subinterface

Werden benötigt um mehrere VLANs über den gleichen Port an einem Router zu führen.

IPv4

Klassen

IP Range berechnen (CIDR)

18.x.x.x mit 19 SN Um 19 darzustellen zu können benötigen wir folgenden Bits.

Was dann zu folgender Subnetzmaske führt 255.248.0.0 für die Ranges zu berechnen müssen wir noch den Wert des letzten Bits wissen. 248 -> 11111000 was dann 8 wäre 8-1=7 18.0.0.1 > 18.7.255.254 18.8.0.1 > 18.15.255.254

Private Ranges

10.X.X.X
172.16.X.X-172.31.X.X
192.168.X.X

IP Pakete

IP Header

TCP Header

Ports

Aufbau von TCP

1. PC-1->PC2: Sync Bit
2. PC-2->PC-1: Sync Bit + Acknowledge Bit

3. PC-1->PC-2: Acknowlegde

4. PC-1->PC2: Fin Bit
5. PC-2->PC-1: Fin Bit + Acknowledge Bit

6. PC-1->PC-2: Acknowlegde

Acknowledge = A, Sequencenumber = S Jedes TCP Paket wird nach der Übertragung dem Sender bestätigt. Dies wird dabei über die Acknowlegde und Sequencenumber gemacht. A:1 S:1 + 500Byte -> A:1 S:501 -> A:501 S:1 A:1 S:501 + 500Byte -> A:1 S:1001 -> A:1001 S:1 A:1 S:1001 + 500Byte -> A:1 S:1501 -> A:1501 S:1

Ablauf einer TCP Kommunikation

DHCP

VLAN

DHCP funktioniert nicht über VLANs hinaus. Dafür wird ein DHCP Helper benötigt. Basierend auf dem Netz des IP-Helpers vergibt der DHCP dem Client dann eine entsprechende IP Addresse.

ICMP

Steht für Internet Control Message Protocol dazu gehört unter anderem PING.

Sicherheit

Sicherheit ist das Mass an Risiko das man bereit ist in Kauf nehmen zu wollen oder muss.

Risiko evaluieren

Die Risiken werden bewertet nach Häufigkeit und Tragweite. Umso höher die Bewertung ist umso eher müssen Massnahmen dagegen ergriffen werden

Massnahmen

Preloss

Massnahmen die vor einem Vorfall ergriffen werden.

Postloss

Massnahmen die nach einem Vorfall gemacht ergriffen werden. Analysieren des Vorfalls und was man besser machen könnte. Logs anschauen was auf den Systemen verändert wurden.

VPN

IPSEC

Setzt einen PSK oder ein Zertifikat voraus um den User zu identifizieren. Weitere Massnahmen die noch den Zugang absichern:

• PW
• OTP

Bedrohungen im Internet

• fremde Systeme nutzen für weitere Manöver
• verwischen von Spuren
• Manipulation von Daten
• DOS

Risiken im Internet

• Verzögerte Auftragsabwicklung
• Mitteilungen mit falscher Identität, Vertrauensverlust
• Verlust vertraulicher Informationen
• Verlust von Informationen an die Konkurrenz
• Handlungsausfall durch IT-Ausfall
• Falsche Entscheidungen aufgrund manipulierter Daten

Drei Säulen der Sicherheit

Integrität

Die Daten sind in dem Zustand in dem sie sein müssen Sprich sie wurden nicht von einer dritten Person manipuliert.

Verfügbarkeit

Die Zeit während der ein System verfügbar ist.

Vertraulichkeit

Niemand der nicht Zugriff haben darf (autorisiert ist), hat Zugriff auf die Daten.

Sicherheitspolitik

Sicherheitsstrategie

1. Ermittlung der Schutzbedürftigkeit

   • IT-Systeme
   • IT-Anwendungen
   • Dienstleistungen
   • Informationen
   • Bewertung der Schutzziele

2. Bedrohungsanalyse

   • Bedrohte Objekte
   • Grundbedrohung
   • Konkrete Bedrohung
   • Vorhandene Schutzmaßnahmen

3. Risikoanalyse

   • Bewertung bedrohter Objekte
   • Häufigkeit eines Schadens
   • Bewertung des möglichen Schadens
   • Bewertung der Risiken

4. Erstellung eines Sicherheitskonzepts

   • Infrastuktur
   • Organisation
   • Personal
   • Hard/Software
   • Kommunikation
   • Notfallversorgung
   • Bewertung Kosten/Nutzen
   • Restrisikoanalyse

5. Umsetzung des Sicherheitskonzepts/Implementierung

   • Priorisierung der Maßnahmen
   • Abgleich vorhander Maßnahmen
   • Definition der Verantwortlichkeiten
   • Realisierung der Maßnahmen

Firewall

Eine Firewall ist eine Sammlung von Komponenten und Systemenen über welche jeglicher Traffic im Netzwerk kontrolliert.

Zugangskontrolle auf Netzwerkebene

Welche Rechner dürfen mit der Firewall kommunizieren.

Zugangskontrolle auf Benutzerebene

Zugangskontrolle über Authentifikation des Benutzers.

Verwaltung von Zugriffsrechten der Dienste

Welche Protokolle und Dienste sind erlaubt Datenstrom auf Viren überprüfen

Anforderungen

Die interne Netzwerkinfrastrukur muss gegen aussen verborgen werden.

Arten

1. Packet-Filter

   Wer darf wohin kommunizieren.

2. Circuit-Level Gateway

   Proxy welche den Traffic untersucht.

3. Stateful Inspection

   Jede Schicht des ISO/OSI Modells untersucht. Dabei werden auch die kompletten Daten untersucht(etwa heruntergeladene Dateien).

NAT

1. Hide

   Eine offizielle Adresse für mehrere Clients

2. Static

   Jede externe IP Adresse wird direkt einem internen System zugewiesen.

DMZ

Die Server und Clients welche von aussen erreichbar sind werden in einem separaten Netz gehalten. Dies soll verhindern das ein Angriffer Zugriff auf die internen Systeme erhält.

Routing

Es gibt zwei Grundtypen. Statisches (manuel) und dynamisches. Für das Routing kommunizieren die Router in der Regel über Multicast. Bei BGP kann es sein das über Unicast kommuniziert wird da die Partner normalerweise bekannt sind und man so etwas den Traffic reduzieren kann.

Statisches Routing

Beim statischen Routing muss jede Route auf dem Router manuell konfiguriert werden.

enable
conf t
int serial0/0
clock rate 115200
ip address 192.168.0.10 255.255.255.252
exit
int eth0/0
ip address 10.4.0.1 255.255.0.0
exit
ip route 10.4.0.0 255.255.0.0 192.168.0.9
ip route ...

Der Befehl ip route ist wie folgt aufgebaut:

ip route INTERNAL_NETWORK INTERNAL_SUBNETMASK GATEWAY

Dynamisches Routing

Bei dynamischen Routing gibt es folgende drei Hauptprotokolle:

RIPv2

"Redet viel und kommt nicht ans Ziel." Übermittelt jedes mal die ganze Routing Tabelle. Maximal sind 16 Hops (15 ohne sich selbst) möglich.

en
conf t
int eth0/0
ip address 10.4.0.1 255.255.0.0
exit
conf t
router rip
version 2
network 10.4.0.0

der Netzwerkbefehl ist wie folgt aufgebaut:

network INTERNAL_NETWORK

OSPF (Open Shortest Path First)

Berechnet den kürzesten Weg zum Ziel. Berechnet den Weg aufgrund von Vektoren. Hops kann man so viele machen wie man möchte. Begrenzung ist ist der Speicher.

BGP

Wird im WAN(Internet) eingesetzt. Die Router welche BGP verwenden haben sind oft sehr grosser Last ausgesetzt. Die Routing Tabellen sind nämlich sehr gross. Mit IPv6 wurde das Problem noch schlimmer.

WLAN

Ein Access Point funktioniert als Bridge zwischen dem Wireless Netzwerk und dem Kabelnetzwerk. Man kann dies als eine Art Adapter zwischen zwei Netzwerktechnologien verwenden.

Channels

Um einen optimalen Empfang garantieren zu können ist es wichtig das man den richtigen Channel für das jeweilige Frequenzband wählt. Dies wird gemacht um ein Übersprechen der Bänder zu vermeiden.

2.4GHz

Im 2.4GHz Bereich sollten wenn möglich nur folgende Channels benutzt werden: 1, 6 und 11. Falls bereits ein Netzwerk vorhanden ist immer dieses verwenden welches am weitesten vom bestehenden Netz entfernt ist. Zum Beispiel: 1 vorhanden dann 11 verwenden.

Wurde von einem bereits vorhandenen Netzwerk bereits andere Channels als die oben genannten drei verwendet. Nimmt man am besten folgende Formel zur Hand:

VorhandenerChannel + 5 = zuverwendenderChannel

9 und 10 sollten dabei jedoch wenn möglich nicht verwendet werden da Mikrowellen in diesem Range funktionieren.

Den WLAN Access Point den wir im Unterricht verwedet hatten war ein Zyxel G-1000v2.

5GHz

Da wir im Unterricht nicht dazu gekommmen sind den 5GHz Bereich anzuschauen haben wir das selber noch recherchiert. Nach unseren Recherchen sind die Channels die man im 5GHz am besten nutzen sollte die folgenden: 36, 40, 44, 48, 149, 153, 157, 161

Die Formel für den 5GHz Bereich scheint folgende zu sein:

VorhandenerChannel + 4 = zuverwendenderChannel

Allerdings gilt es hier zu beachten das es zwei verschiedene verwendbare Bereiche gibt. Den ersten von 36-48 und den zweiten von 149-161.

Authentifizierung

Um das Netzwerk vor unbefugtem Zugriff zu schützen empfiehlt es sich die Authentifizierung zu aktivieren. Dabei sollten heute nur noch die folgenden zwei Arten ausgewählt werden. Gerade von WEP wird dringend abgeraten da dies mittlerweile innerhalb von Minuten gehackt werden kann.

WPA2-PSK

WPA2-PSK steht für "Wi-Fi Protected Access Version 2 Pre Shared Key" Damit erfragt der Access Point ein Passwort um zu verbinden. Die Authentifizierung erfolgt dabei auf dem Access Point direkt.

WPA2

Verlangt wie auch WPA2-PSK ein Passwort zum verbinden allerdings erfolgt die Authentifizierung dabei auf einem Server welcher. Der Access Point authentifieziert sich dabei auf dem Server auch mit einem Key. Dies ermöglicht unter anderem für verschiedene User jeweils ein eigenes Passwort zu haben.